Administra combinaciones tóxicas

En esta página, se proporcionan instrucciones para identificar y responder a combinaciones tóxicas con casos y hallazgos.

Antes de comenzar

Para garantizar que la detección de combinaciones tóxicas sea precisa, asegúrate de que el software de los componentes de las operaciones de seguridad esté actualizado, de que tu conjunto de recursos de alto valor esté designado con precisión y de que tengas los permisos de IAM adecuados.

Obtén los permisos necesarios

Para trabajar con los resultados y casos de combinaciones tóxicas en la consola de Google Cloud y la consola de Security Operations, necesitas los permisos que se te otorgaron en ambas consolas.

Roles de IAM de la consola de Google Cloud

Make sure that you have the following role or roles on the organization:

  • Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
  • Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
  • Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
  • Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
  • Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Ir a IAM
  2. Selecciona la organización.
  3. Haz clic en Grant access.

  4. En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.

  5. En la lista Seleccionar un rol, elige un rol.
  6. Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
  7. Haz clic en Guardar.

    8. Para obtener más información sobre los roles y permisos de Security Command Center, consulta IAM para activaciones a nivel de la organización.

    Roles de la consola de operaciones de seguridad

    Para trabajar con casos y resultados de combinaciones tóxicas en la consola de Security Operations, necesitas uno de los siguientes roles:

    • Administrador de vulnerabilidades de Chronicle SOAR
    • Administrador de amenazas de Chronicle SOAR
    • Administrador de Chronicle SOAR

    Para obtener información sobre cómo otorgar el rol a un usuario, consulta Asigna y autoriza usuarios con IAM.

    Instala el caso de uso de operaciones de seguridad más reciente

    La función de combinación tóxica requiere la versión del 25 de junio de 2024 o posterior del caso de uso de SCC Enterprise: Orquestación y remediación de la nube.

    Para obtener información sobre la instalación del caso de uso, consulta Actualiza el caso de uso de Enterprise, junio de 2024.

    Especifica tu conjunto de recursos de alto valor

    No es necesario que habilites la detección de combinaciones tóxicas, ya que siempre está activada. El motor de riesgo detecta automáticamente las combinaciones tóxicas que exponen un conjunto de recursos de alto valor predeterminado.

    Es probable que los resultados de combinaciones tóxicas generados en función del conjunto predeterminado de recursos de alto valor no reflejen con exactitud tus prioridades de seguridad. Por lo tanto, te recomendamos que especifiques los recursos en tu conjunto de recursos de alto valor.

    Para especificar qué recursos forman parte de tu conjunto de recursos de alto valor, crea parámetros de configuración de valor de recursos en la consola de Google Cloud. Para obtener instrucciones, consulta Define y administra tu conjunto de recursos de alto valor.

    Ver casos de combinaciones tóxicas

    Puedes ver una descripción general de todos los casos de combinación tóxica y los detalles de cada uno en la consola de Security Operations.

    Ver una descripción general de todos los casos de combinaciones tóxicas

    En la página Resumen de postura, varios widgets te proporcionan una descripción general rápida de los casos de combinación tóxica en tus entornos de nube de Google Cloud y Amazon Web Services (AWS) (Versión preliminar). Puedes encontrar la siguiente información:

    • Todos los casos de postura abierta o Casos de combinaciones tóxicas abiertos: Para ver los casos de combinaciones tóxicas abiertos, selecciona Combinaciones tóxicas en el selector. El widget muestra la cantidad de casos de combinación tóxica abiertos en cada nivel de prioridad. Haz clic en la barra de una prioridad determinada para abrir una vista de lista de los casos.

    • TTR y tendencia de casos de combinaciones tóxicas: Son las tendencias de los casos de combinaciones tóxicas abiertos y cerrados para un período específico. Mantén el puntero sobre las líneas de tendencia para ver la cantidad específica de casos abiertos y cerrados para un dato determinado en el período. Este widget también proporciona un valor de tiempo de remediación (TTR) que indica la cantidad promedio de tiempo que se tarda en resolver un caso de combinación tóxica según el período determinado.

    • Casos de combinaciones tóxicas principales: Muestra los casos de combinaciones tóxicas principales ordenados según la puntuación de exposición a ataques. Haz clic en el ID del caso para abrirlo.

    • Casos de combinaciones tóxicas que superan el ANS: Los casos de combinaciones tóxicas se ordenan según el tiempo restante en su acuerdo de nivel de servicio (ANS). Haz clic en el ID del caso para abrirlo.

    Puedes encontrar la página Descripción general de la postura en la siguiente URL:

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/overview

    Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

    Cómo ver los detalles de un caso de combinación tóxica

    En cualquier vista de lista de casos de combinación tóxica, puedes abrir los detalles del caso haciendo clic en el ID del caso.

    1. En la consola de Security Operations, ve a Casos.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

      Se abrirá la página Casos con la vista En paralelo seleccionada.

    2. En la parte superior de la lista de casos, haz clic en el ícono de filtro, , para abrir el panel de filtros. Se abrirá el panel Filtro de cola de casos.

    3. En el Filtro de fila de casos, especifica lo siguiente:

      1. En el campo Período, especifica el período en el que el caso está activo.
      2. Establece Operador lógico en AND.
      3. Para el primer valor en Operador lógico, selecciona Etiquetas en el menú.
      4. Para el segundo valor, selecciona Combinaciones tóxicas.
      5. Especifica otros pares de valores según sea necesario para encontrar el caso en particular que necesitas ver.
      6. Haz clic en Aplicar. Los casos de la fila se actualizan para mostrar solo los casos que coinciden con el filtro que especificaste.

    4. En la cola de casos, selecciona el caso que necesitas ver. Se muestra la información del caso, incluidas las siguientes vistas con pestañas:

      • La pestaña Descripción general del caso () proporciona información sobre el caso de combinación tóxica, incluido un diagrama simplificado de la ruta de ataque, una lista de hallazgos relacionados, una lista de recursos afectados, una lista de casos similares, alertas, un gráfico de entidades y mucho más.
      • Pestaña Case wall (): Contiene un registro de acciones, cambios de estado, tareas, comentarios y mucho más.
      • Pestañas Alertas relacionadas: Proporcionan información más detallada sobre los resultados individuales relacionados, incluidos los siguientes:
        • En Descripción general, se incluye una descripción del resultado individual y los próximos pasos que puedes seguir para corregirlo.
        • En Eventos, se muestra una lista de propiedades de hallazgo.
        • En Guías, encontrarás una lista de las guías asociadas.

    Prioriza los casos de combinaciones tóxicas

    De forma predeterminada, las combinaciones tóxicas se clasifican como hallazgos de gravedad crítica y casos de prioridad crítica. Por lo tanto, se deben priorizar sobre la remediación de casos de otras categorías de detección de posturas. Las combinaciones tóxicas representan una ruta completa que, si un atacante determinado obtuviera acceso a tu entorno de nube, podría seguir de manera razonable desde la Internet pública hasta uno o más recursos de tu conjunto de recursos de alto valor.

    Compara las puntuaciones de combinación tóxica en la página Resultados de la consola de Google Cloud para ayudarte a priorizar entre los casos de combinación tóxica. En la consola de Security Operations, puedes ver los casos de combinaciones tóxicas que tienen las puntuaciones de exposición a ataques más altas en el widget Casos de combinaciones tóxicas principales en la página Resumen, en Posición.

    Puedes ordenar todos los casos de combinaciones tóxicas por puntuación de exposición al ataque en la página Casos. Para obtener más información sobre cómo ver,filtrar y ordenar casos de combinaciones tóxicas, consulta Cómo ver casos de combinaciones tóxicas.

    Cómo corregir una combinación tóxica

    Puedes encontrar orientación para corregir un hallazgo de combinación tóxica en el caso que se abre para el hallazgo en la consola de Operaciones de seguridad o en el registro del hallazgo.

    Consulta la guía de solución en un caso

    Para ver la orientación de remediación en un caso de combinación tóxica, sigue estos pasos:

    1. Ve a la página Casos en la consola de Security Operations.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

    2. Abre el caso de la combinación tóxica que debes corregir.

    3. Haz clic en la pestaña Caso o en la pestaña Alerta.

    4. Revisa la sección Próximos pasos en uno de los siguientes widgets:

      • Si hiciste clic en la pestaña Caso, el widget Resumen del caso.
      • Si hiciste clic en la pestaña Alert, el widget Resumen de hallazgos.

      Si es necesario, desplázate más allá de la Descripción del resultado para ver los Próximos pasos.

    Cómo ver la orientación para la corrección en un hallazgo de combinación tóxica

    Para ver la guía de solución en un registro de hallazgo, sigue estos pasos:

    1. En la consola de Security Operations, ve a Postura > Hallazgos.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

      Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

    2. Para encontrar el hallazgo de combinación tóxica, selecciona Filtros rápidos o edita la búsqueda de hallazgos.

    3. Haz clic en el nombre de la categoría del resultado para abrir sus detalles. Se abrirá la página de detalles del hallazgo.

    4. En la página de detalles de los resultados, en la sección Próximos pasos de la pestaña Resumen, revisa la guía de solución.

    Revisa los hallazgos de un caso de combinación tóxica

    Por lo general, una combinación tóxica incluye uno o más hallazgos de una vulnerabilidad de software o una configuración incorrecta. Para cada uno de estos resultados, Security Command Center abre automáticamente un caso independiente y ejecuta los libros de jugadas asociados. Puedes revisar los casos en busca de estos hallazgos y pedirles a los propietarios de los tickets que prioricen su solución para resolver la combinación tóxica.

    Para revisar los resultados de una combinación tóxica, sigue estos pasos:

    1. En la consola de Security Operations, ve a Casos.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

    2. Busca y abre el caso de combinación tóxica.

    3. Selecciona la pestaña de descripción general del caso ().

    4. En la sección Hallazgos de la pestaña Descripción general del caso, revisa los hallazgos enumerados.

    5. Haz clic en un resultado para mostrar información de resumen sobre él, como el ID del caso, la puntuación de exposición al ataque y cualquier ID de ticket correspondiente.

      • Haz clic en el ID del caso del hallazgo para abrirlo y ver su estado, el propietario asignado y otra información.
      • Haz clic en la puntuación de exposición al ataque para revisar la ruta de ataque del hallazgo.
      • Haz clic en el ID del ticket para abrirlo y ver el hallazgo.

    Cómo cerrar un caso de combinación tóxica

    Para cerrar un caso de combinación tóxica, puedes corregir la combinación tóxica subyacente o silenciar el hallazgo de combinación tóxica en la consola de Google Cloud.

    Cómo cerrar un caso mediante la solución de una combinación tóxica

    Después de corregir uno o más de los problemas de seguridad que conforman una combinación tóxica para que ya no exponga ningún recurso de tu conjunto de recursos de alto valor, el motor de riesgo cerrará el caso de combinación tóxica automáticamente durante la próxima simulación de ruta de ataque, que se ejecuta aproximadamente cada seis horas.

    Para corregir una combinación tóxica, sigue las instrucciones que se proporcionan en el caso de combinación tóxica en Próximos pasos.

    Para obtener más información, consulta Cómo corregir una combinación tóxica.

    Cómo cerrar un caso silenciando el resultado

    Si tu empresa acepta el riesgo que plantea la combinación tóxica o no puedes solucionarla, puedes silenciar el hallazgo de combinación tóxica para cerrar el caso.

    Para silenciar un resultado de combinación tóxica, sigue estos pasos:

    1. En la consola de Security Operations, ve a Casos.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

    2. Busca y abre el caso de combinación tóxica.

    3. Selecciona la pestaña de alerta de hallazgo.

    4. En la esquina inferior derecha del widget Resumen de búsqueda, haz clic en Explorar. Se abrirá el hallazgo de combinación tóxica.

    5. Utiliza las opciones para silenciar que se encuentran en la esquina superior derecha de la página de detalles del hallazgo para silenciarlo.

    También puedes silenciar los resultados en la consola de Google Cloud. Para obtener más información, consulta Cómo silenciar un hallazgo individual.

    Cómo ver casos de combinaciones tóxicas cerrados

    Cuando se cierra un caso en la consola de Security Operations, Security Command Center lo quita de la página Casos.

    Para ver un caso cerrado de combinación tóxica, sigue estos pasos:

    1. En la consola de Security Operations, ve a la página Búsqueda de SOAR.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/sp-search

      Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

    2. En el lado izquierdo de la página, en Estado, especifica Cerrado.

    3. En Etiquetas, especifica Combinación tóxica.

    4. Haz clic en Aplicar. Los casos de combinaciones tóxicas cerrados se muestran en los resultados de la búsqueda.

    Consulta los resultados de las combinaciones tóxicas

    Un hallazgo de combinación tóxica es el registro inicial que emite el motor de riesgo cuando detecta una combinación tóxica en tu entorno de nube. Security Command Center abre automáticamente un caso para cada resultado de combinación tóxica que emite el motor de riesgos.

    Puedes ver los resultados de combinaciones tóxicas directamente en la consola de Google Cloud, en la página Descripción general de riesgos o en la página Resultados.

    En la página Descripción general de riesgos, se muestran los hallazgos de combinaciones tóxicas que tienen las puntuaciones de exposición a ataques más altas. Cada resultado se muestra con un vínculo a su caso correspondiente en la consola de Security Operations.

    Para ver los resultados de las combinaciones tóxicas, sigue estos pasos:

    1. En la consola de Google Cloud, ve a la página Resultados de Security Command Center.

      Ir a hallazgos

    2. Si es necesario, selecciona tu organización de Google Cloud.

    3. En la sección Clase de hallazgo del panel Filtros rápidos, selecciona Combinación tóxica. El panel Resultados de la búsqueda se actualiza para mostrar solo los hallazgos de combinaciones tóxicas.

    4. Para priorizar los hallazgos de combinaciones tóxicas, haz clic en el encabezado de la columna Puntuación de combinaciones tóxicas para ordenarlos en orden descendente según la puntuación.