Administra combinaciones tóxicas y cuellos de botella

En esta página, se proporcionan instrucciones para identificar y responder a combinaciones y cuellos de botella tóxicos (versión preliminar) mediante problemas (versión preliminar), casos o hallazgos.

Antes de comenzar

Para asegurarte de que la detección de combinaciones tóxicas y puntos de estrangulamiento sea precisa, verifica que el software del componente de operaciones de seguridad esté actualizado, que el conjunto de recursos de alto valor esté designado con precisión y que tengas los permisos de IAM adecuados.

Obtén los permisos necesarios

Para trabajar con combinaciones tóxicas y puntos de estrangulamiento en la consola de Google Cloud y la consola de Security Operations, debes tener permisos en ambas consolas.

Roles de IAM de la consola de Google Cloud

Make sure that you have the following role or roles on the organization:

  • Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
  • Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
  • Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
  • Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
  • Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Ir a IAM
  2. Selecciona la organización.
  3. Haz clic en Grant access.

  4. En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.

  5. En la lista Seleccionar un rol, elige un rol.
  6. Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
  7. Haz clic en Guardar.

Para obtener más información sobre los roles y permisos de Security Command Center, consulta IAM para activaciones a nivel de la organización.

Roles de la consola de operaciones de seguridad

Para trabajar con casos y combinaciones tóxicos en la consola de Security Operations, debes tener uno de los siguientes roles:

  • Administrador de vulnerabilidades de Chronicle SOAR
  • Administrador de amenazas de Chronicle SOAR
  • Administrador de Chronicle SOAR

Para obtener información sobre cómo otorgar el rol a un usuario, consulta Asigna y autoriza usuarios con IAM.

Instala el caso de uso de operaciones de seguridad más reciente

La función de combinación tóxica requiere la versión del 25 de junio de 2024 o posterior del caso de uso de SCC Enterprise: orquestación y remediación en la nube.

Para obtener información sobre cómo instalar el caso de uso, consulta Caso de uso de actualización empresarial, junio de 2024.

Especifica tu conjunto de recursos de alto valor

No es necesario que habilites la detección de combinaciones tóxicas y puntos de estrangulamiento, ya que está siempre activada. El motor de riesgo detecta automáticamente combinaciones tóxicas y puntos de estrangulamiento que exponen un conjunto de recursos de alto valor predeterminado.

Es probable que los resultados de combinaciones tóxicas y puntos de estrangulamiento generados en función del conjunto de recursos de alto valor predeterminado no reflejen con precisión tus prioridades de seguridad. Para especificar qué recursos forman parte de tu conjunto de recursos de alto valor, debes crear configuraciones de valor de recursos en la consola de Google Cloud. Para obtener instrucciones, consulta Define y administra tu conjunto de recursos de alto valor.

Soluciona los cuellos de botella y las combinaciones tóxicas

Las combinaciones tóxicas y los puntos de estrangulamiento pueden exponer muchos recursos de alto valor a posibles atacantes. Debes solucionarlos antes que otros riesgos en tus entornos de nube.

Puedes priorizar el orden en el que corriges las combinaciones tóxicas y los cuellos de botella según su puntuación de exposición al ataque. La forma en que lo hagas cambiará según dónde veas las combinaciones tóxicas y los cuellos de botella.

Problemas (versión preliminar)

Las combinaciones tóxicas y los puntos de estrangulamiento de mayor riesgo se muestran como problemas en la página Riesgo > Resumen de la consola de Security Operations.

Todas las combinaciones tóxicas y los cuellos de botella se pueden ver en la página Riesgo > Problemas.

Para solucionar un problema, sigue estas instrucciones:

  1. Para ver todos los problemas en la consola de Security Operations, ve a Problemas:

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/security-command-center/issues

    Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

  2. De forma predeterminada, los problemas agrupados se clasifican por gravedad. Dentro del grupo, los problemas se clasifican según la puntuación de exposición al ataque. Para ordenar todos los problemas por puntuación de exposición a ataques, inhabilita Agrupar por detecciones.

  3. Selecciona un problema.

  4. Revisa la descripción y las pruebas del problema.

  5. Si hay resultados relacionados, consulta sus detalles.

  6. Si se encuentran varios problemas críticos en un recurso principal en una combinación tóxica o un cuello de botella (Versión preliminar), se muestra un mensaje después del diagrama Evidencia. Para optimizar tus esfuerzos de solución, haz clic en Filtrar los problemas de este recurso principal en este mensaje para enfocarte en resolver los problemas de ese recurso específico. Haz clic en la flecha hacia atrás cerca de Cómo abrir el panel de filtros Agregar filtro cuando quieras quitar el filtro.

  7. Haz clic en Explorar rutas de ataque completas en el diagrama Evidencia para obtener una explicación detallada del problema y cómo las rutas de ataque exponen recursos de alto valor.

  8. Haz clic en Cómo corregir y sigue las instrucciones para mitigar el riesgo.

Casos

Para ver todos los casos de combinaciones tóxicas, ve a la página Casos. Los cuellos de botella no generan un caso automáticamente y se deben ver en la página Problemas.

Para encontrar combinaciones tóxicas en los casos, completa las siguientes instrucciones:

  1. En la consola de Security Operations, ve a Casos.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

    Se abrirá la página Casos con la vista En paralelo seleccionada.

  2. En la lista de casos, haz clic en Abre el panel de filtros Filtro de casos para abrir el panel de filtros. Se abrirá el panel Filtro de la cola de casos.

  3. En el Filtro de fila de casos, especifica lo siguiente:

    1. En el campo Período, especifica el período en el que el caso está activo.
    2. Establece Operador lógico en AND.
    3. En el cuadro de lista de claves de filtro, selecciona Etiquetas.
    4. Establece el operador de igualdad en is.
    5. En el cuadro de lista de valores del filtro, selecciona Combinación tóxica.
    6. Haz clic en Aplicar. Los casos de la fila se actualizan para mostrar solo los casos que coinciden con el filtro que especificaste.

  4. Haz clic en Ordenar junto a Cómo abrir el panel de filtros Filtro de casos y selecciona Ordenar por exposición a ataques (de mayor a menor).

  5. En la cola de casos, haz clic en el caso que quieres ver. Si estás viendo los casos en la vista de lista, haz clic en el ID del caso. Se muestra la información del caso.

  6. Haz clic en Caso Descripción general del caso.

  7. En la sección Resumen del caso, sigue las instrucciones de Próximos pasos.

Por lo general, una combinación tóxica incluye uno o más hallazgos de una vulnerabilidad de software o una configuración incorrecta. Para cada uno de estos resultados, Security Command Center abre automáticamente un caso independiente y ejecuta los planes de acción asociados. Puedes revisar los casos en busca de estos hallazgos y pedirles a los propietarios de los tickets que prioricen su solución para ayudar a resolver la combinación tóxica.

Para revisar los resultados relacionados en una combinación tóxica, sigue estos pasos:

  1. En la pestaña Caso Descripción general del caso de un caso, ve a la sección Resultados.
  2. En la sección Resultados, revisa los resultados que se enumeran.
    • Haz clic en el ID del caso del hallazgo para abrirlo y ver su estado, el propietario asignado y otra información.
    • Haz clic en la puntuación de exposición a ataques para revisar la ruta de ataque del resultado.
    • Si el resultado tiene un ID de ticket, haz clic en él para abrirlo.

Como alternativa, puedes ver los resultados relacionados en sus propias pestañas de alertas en el caso.

Resultados

Un hallazgo de combinación tóxica o cuello de botella es el registro inicial que genera el motor de riesgo cuando detecta una combinación tóxica o un cuello de botella en tu entorno de nube.

Puedes ver los resultados de combinaciones tóxicas y cuellos de botella en los siguientes lugares:

  • La página Resultados en la consola de Google Cloud

  • La página Resultados en la consola de Security Operations

Consola de Google Cloud

Para solucionar los resultados de combinación tóxica y cuello de botella en la console de Google Cloud, completa los siguientes pasos:

  1. Ir a la página Resultados

    Ir a hallazgos

  2. Selecciona tu Google Cloud organización.

  3. En la sección Clase de hallazgo del panel Filtros rápidos, selecciona Combinación tóxica o Estrangulamiento. El panel Resultados de la búsqueda se actualiza para mostrar solo los resultados de combinación tóxica o punto crítico.

  4. Para ordenar los resultados por gravedad, haz clic en el encabezado de la columna Puntuación de combinación tóxica o Puntuación de exposición al ataque hasta que las puntuaciones estén en orden descendente.

  5. Haz clic en una categoría de resultados para abrir el panel de detalles de los resultados. Ve a la sección Próximos pasos y sigue las instrucciones para solucionar el problema de seguridad.

Consola de operaciones de seguridad

Para solucionar los resultados de combinación tóxica y cuellos de botella en la consola de Security Operations, completa los siguientes pasos:

  1. Ve a Riesgo > Hallazgos.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/security-command-center/findings

    Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

  2. En la sección Agrupaciones, expande Finding class y, luego, selecciona Toxic combination y Chokepoint.

  3. Haz clic en la Puntuación de exposición al ataque hasta que las puntuaciones estén en orden descendente.

  4. Haz clic en una categoría de resultados para abrir el panel de detalles de los resultados. Ve a la sección Próximos pasos y sigue las instrucciones para solucionar el problema de seguridad.

Cerrar casos de combinaciones tóxicas

Para cerrar un caso de combinación tóxica, puedes corregir la combinación tóxica subyacente o silenciar el hallazgo relacionado en la consola de Google Cloud.

Cómo cerrar un caso mediante la solución de una combinación tóxica

Después de corregir los problemas de seguridad que conforman una combinación tóxica y de que ya no expongan ningún recurso de tu conjunto de recursos de alto valor, el motor de riesgos cerrará el caso automáticamente durante la próxima simulación de ruta de ataque, que se ejecuta aproximadamente cada seis horas.

Silencia el hallazgo para cerrar un caso

Si tu empresa considera aceptable el riesgo que plantea la combinación tóxica o no puedes solucionarlo, puedes cerrar el caso silenciando el hallazgo relacionado.

Para silenciar un resultado de combinación tóxica, sigue estos pasos:

  1. En la consola de Security Operations, ve a Casos.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

  2. Busca y abre el caso de combinación tóxica o cuello de botella.

  3. Haz clic en la pestaña de alerta relacionada.

  4. En el widget Resumen de hallazgos, haz clic en Explorar hallazgos en SCC. Se abrirá el resultado relacionado.

  5. Usa las opciones para silenciar en la página de detalles del resultado para silenciarlo.

También puedes silenciar los resultados en la consola de Google Cloud. Para obtener más información, consulta Cómo silenciar un hallazgo individual.

Ver casos de combinaciones tóxicas cerrados

Cuando se cierra un caso en la consola de Security Operations, Security Command Center lo quita de la página Casos.

Para ver un caso cerrado de combinación tóxica, sigue estos pasos:

  1. En la consola de Security Operations, ve a la página Búsqueda de SOAR.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/sp-search

    Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

  2. Expande la sección Estado y, luego, selecciona Cerrado.

  3. Expande la sección Etiquetas y, luego, selecciona Combinación tóxica.

  4. Haz clic en Aplicar. Los casos de combinaciones tóxicas cerrados se muestran en los resultados de la búsqueda.