Administra combinaciones tóxicas y cuellos de botella

En esta página, se proporcionan instrucciones para identificar y responder a combinaciones tóxicas y puntos críticos (vista previa) con las siguientes páginas:

  • Problemas (versión preliminar), disponible en el nivel de servicio Enterprise
  • Casos, disponibles en el nivel de servicio Enterprise
  • Resultados, disponibles en los niveles de servicio Premium y Enterprise

Antes de comenzar

Para asegurarte de que la detección de combinaciones tóxicas y puntos críticos sea precisa, verifica que el software del componente de operaciones de seguridad esté actualizado, que tu conjunto de recursos valiosos esté designado con precisión y que tengas los permisos de IAM adecuados.

Opcional: Recopila datos de otras nubes

El motor de riesgos admite la ejecución de simulaciones sobre datos de Amazon Web Services (AWS) (versión preliminar) y Microsoft Azure (versión preliminar) para identificar combinaciones tóxicas y puntos de estrangulamiento.

Configura la conexión de Security Command Center a estos proveedores de servicios en la nube para recopilar datos de recursos y configuración. Para obtener información sobre cómo configurar las conexiones, consulta lo siguiente:

Para obtener la lista de recursos compatibles, consulta Compatibilidad con las funciones del motor de riesgos.

Obtén los permisos necesarios

Para trabajar con combinaciones tóxicas y embudos, necesitas permisos que otorguen acceso a las funciones de Security Command Center y Google SecOps.

Roles de IAM de Security Command Center

Make sure that you have the following role or roles on the organization:

  • Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
  • Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
  • Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
  • Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
  • Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Ir a IAM
  2. Selecciona la organización.
  3. Haz clic en Grant access.

  4. En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.

  5. En la lista Seleccionar un rol, elige un rol.
  6. Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
  7. Haz clic en Guardar.

    8. Para obtener más información sobre los roles y permisos de Security Command Center, consulta IAM para activaciones a nivel de la organización.

    Roles de IAM de Google SecOps

    Para trabajar con combinaciones y casos tóxicos, necesitas uno de los siguientes roles:

    • Administrador de vulnerabilidades de Chronicle SOAR (roles/chronicle.soarVulnerabilityManager)
    • Administrador de amenazas de Chronicle SOAR (roles/chronicle.soarThreatManager)
    • Administrador de Chronicle SOAR (roles/chronicle.soarAdmin)

    Para obtener información sobre cómo otorgar el rol a un usuario, consulta Cómo asignar y autorizar usuarios con IAM.

    Instala el caso de uso de operaciones de seguridad más reciente

    La función de combinación tóxica requiere la versión del 25 de junio de 2024 o posterior del caso de uso de SCC Enterprise – Cloud Orchestration and Remediation.

    Para obtener información sobre la instalación del caso de uso, consulta Caso de uso de actualización de Enterprise, junio de 2024.

    Especifica tu conjunto de recursos de alto valor

    No es necesario que habilites la detección de combinaciones tóxicas y embudos, ya que siempre está activada. El motor de riesgos detecta automáticamente las combinaciones tóxicas y los puntos críticos que exponen un conjunto predeterminado de recursos de alto valor.

    Es poco probable que los hallazgos de combinaciones tóxicas y puntos críticos generados en función del conjunto predeterminado de recursos de alto valor reflejen con precisión tus prioridades de seguridad. Para especificar qué recursos forman parte de tu conjunto de recursos de alto valor, crea configuraciones de valor de recursos en la consola de Google Cloud . Para obtener instrucciones, consulta Cómo definir y administrar tu conjunto de recursos de alto valor.

    Cómo corregir combinaciones tóxicas y puntos críticos

    Las combinaciones tóxicas y los puntos críticos pueden exponer muchos recursos de alto valor a atacantes potenciales. Debes corregirlas antes que otros riesgos en tus entornos de nube.

    Puedes priorizar el orden en el que corriges las combinaciones tóxicas y los puntos críticos según su puntuación de exposición al ataque. La forma de hacerlo cambia según dónde veas las combinaciones tóxicas y los puntos críticos.

    Problemas

    Puedes acceder a las combinaciones tóxicas y los puntos críticos de mayor riesgo (que se muestran como problemas) en la página Resumen de > riesgos (Vista previa).

    Todas las combinaciones tóxicas y los puntos críticos se pueden ver en la página Riesgo > Problemas (Vista previa).

    Para corregir un problema, completa las siguientes instrucciones:

    1. Para ver todos los problemas, ve a Riesgos > Problemas.
    2. De forma predeterminada, los problemas agrupados se clasifican por gravedad. Dentro del grupo, los problemas se clasifican según la puntuación de exposición al ataque. Para ordenar todos los problemas por la puntuación de exposición a ataques, inhabilita Agrupar por detecciones.
    3. Selecciona un problema.
    4. Revisa la descripción y la evidencia del problema.
    5. Si hay hallazgos relacionados, consulta sus detalles.
    6. Si se encuentran varios problemas críticos en un recurso principal de una combinación tóxica o un cuello de botella (Vista previa), se mostrará un mensaje después del diagrama de Evidencia. Para optimizar tus esfuerzos de corrección, haz clic en Filtrar los problemas de este recurso principal en este mensaje y enfócate en resolver los problemas de ese recurso específico. Haz clic en la flecha hacia atrás cerca de Abrir panel de filtros Agregar filtro cuando quieras quitar el filtro.
    7. Haz clic en Explorar rutas de ataque completas en el diagrama de Evidencia para comprender en detalle el problema y cómo las rutas de ataque exponen recursos valiosos.
    8. Haz clic en Cómo corregir y sigue las instrucciones para mitigar el riesgo.

    Casos

    Para ver todos los casos de combinación tóxica, ve a la página Casos. Los embudos no generan automáticamente un caso y deben consultarse en la página Problemas.

    Para encontrar combinaciones tóxicas en los casos, completa las siguientes instrucciones:

    1. En la consola de Google Cloud , ve a Riesgo > Casos. Se abrirá la página Casos de la consola de Operaciones de seguridad.
    2. En la lista de casos, haz clic en Abrir el panel de filtros Filtro de casos para abrir el panel de filtros. Se abrirá el panel Filtro de cola de casos.
    3. En el Filtro de la cola de casos, especifica lo siguiente: 1. En el campo Período, especifica el período en el que el caso está activo. 1. Establece Operador lógico en AND. 1. En el cuadro de lista de claves de filtro, selecciona Etiquetas. 1. Establece el operador de igualdad en is. 1. En el cuadro de lista de valores del filtro, selecciona Combinación tóxica. 1. Haz clic en Aplicar. Los casos de la fila de casos se actualizan para mostrar solo los casos que coinciden con el filtro que especificaste.
    4. Haz clic en Ordenar junto a Abrir el panel de filtros Filtro de casos y selecciona Ordenar por exposición al ataque (de mayor a menor).
    5. En la cola de casos, haz clic en el caso que quieras ver. Si ves los casos en la vista de lista, haz clic en el ID del caso. Se muestra la información del caso.
    6. Haz clic en Caso Resumen del caso.
    7. En la sección Resumen del caso, sigue las instrucciones de Próximos pasos.

    Por lo general, una combinación tóxica incluye uno o más descubrimientos de una vulnerabilidad de software o un parámetro de configuración incorrecto. Para cada uno de estos hallazgos, Security Command Center abre automáticamente un caso independiente y ejecuta los manuales asociados. Puedes revisar los casos de estos hallazgos y pedirles a los propietarios de los tickets que prioricen la corrección para ayudar a resolver la combinación tóxica.

    Para revisar los hallazgos relacionados en una combinación tóxica, sigue estos pasos:

    1.  From the ![Case](/security-command-center/images/icons-uno/case.svg){:.inline-icon}

    En la pestaña Descripción general del caso, ve a la sección Hallazgos. 1. En la sección Hallazgos, revisa los hallazgos que se muestran. * Haz clic en el ID del caso del hallazgo para abrirlo y ver su estado, el propietario asignado y otra información del caso. * Haz clic en la puntuación de exposición al ataque para revisar la ruta de ataque del hallazgo. * Si el hallazgo tiene un ID de ticket, haz clic en él para abrir el ticket.

    También puedes ver los resultados relacionados en sus propias pestañas de alertas en el caso.

    Resultados

    Un hallazgo de combinación tóxica o punto crítico es el registro inicial que genera el motor de riesgos cuando detecta una combinación tóxica o un punto crítico en tu entorno de nube.

    Puedes ver los resultados de las combinaciones tóxicas y los puntos críticos en la página Resultados. Para ello, haz clic en la pestaña correspondiente a tu nivel de servicio.

    Premium

    1. Ir a la página Resultados

      Ir a hallazgos

    2. Selecciona tu Google Cloud organización.

    3. En la sección Clase de hallazgo del panel Filtros rápidos, selecciona Combinación tóxica o Cuello de botella. El panel Resultados de la búsqueda se actualiza para mostrar solo los hallazgos de combinación tóxica o cuello de botella.

    4. Para ordenar los resultados por gravedad, haz clic en el encabezado de la columna Puntuación de exposición al ataque hasta que las puntuaciones estén en orden descendente.

    5. Haz clic en una categoría de hallazgo para abrir el panel de detalles del hallazgo. Ve a la sección Próximos pasos y sigue las instrucciones para solucionar el problema de seguridad.

    Enterprise

    1. En la consola de Google Cloud , ve a la página Resultados de Security Command Center.

      Ir a Hallazgos en el nivel Enterprise

    2. Selecciona tu Google Cloud organización.
    3. En la sección Aggregations, expande Finding class y, luego, selecciona Toxic combination y Chokepoint.
    4. Haz clic en Puntuación de exposición al ataque hasta que las puntuaciones estén en orden descendente.
    5. Haz clic en una categoría de hallazgo para abrir el panel de detalles del hallazgo. Ve a la sección Próximos pasos y sigue las instrucciones para solucionar el problema de seguridad.

    Cerrar casos de combinaciones tóxicas

    Para cerrar un caso de combinación tóxica, puedes corregir la combinación tóxica subyacente o silenciar el hallazgo relacionado en la consola deGoogle Cloud .

    Cierra un caso corrigiendo una combinación tóxica

    Después de corregir los problemas de seguridad que componen una combinación tóxica y que ya no exponen ningún recurso en tu conjunto de recursos de alto valor, el motor de riesgos cerrará el caso automáticamente durante la próxima simulación de ruta de ataque, que se ejecuta aproximadamente cada seis horas.

    Cómo cerrar un caso silenciando el hallazgo

    Si el riesgo que plantea la combinación tóxica es aceptable para tu empresa o no puedes corregirla, puedes cerrar el caso silenciando el hallazgo relacionado.

    Para silenciar un hallazgo de combinación tóxica, sigue estos pasos:

    1. En la consola de Google Cloud , ve a Riesgo > Casos.
    2. Busca y abre el caso de combinación tóxica.
    3. Haz clic en la pestaña de la alerta relacionada.
    4. En el widget Resumen de hallazgos, haz clic en Explorar los hallazgos en SCC. Se abrirá el hallazgo relacionado.
    5. Usa las Opciones para silenciar en la página de detalles del hallazgo para silenciarlo.

    También puedes silenciar los resultados en la consola de Google Cloud . Para obtener más información, consulta Cómo silenciar un hallazgo individual.

    Cómo ver los casos de combinaciones tóxicas cerrados

    Cuando se cierra un caso, Security Command Center lo quita de la página Casos.

    Para ver un caso cerrado de combinación tóxica, sigue estos pasos:

    1. En la consola de Google Cloud , ve a Investigación > Búsqueda de SOAR. Se abrirá la página de la consola de Operaciones de seguridad de SOAR Search.
    2. Expande la sección Estado y, luego, selecciona Cerrado.
    3. Expande la sección Etiquetas y, luego, selecciona Combinación tóxica.
    4. Haz clic en Aplicar. Los casos de combinaciones tóxicas cerrados se muestran en los resultados de la búsqueda.