Gérer les combinaisons toxiques et les goulots d'étranglement

Cette page explique comment identifier les combinaisons toxiques et les goulets d'étranglement (aperçu) et y répondre à l'aide des pages suivantes :

  • Problèmes (Preview), disponible au niveau de service Enterprise.
  • Les demandes, disponibles avec le niveau de service Enterprise.
  • Résultats disponibles dans les niveaux de service Enterprise et Premium.

Avant de commencer

Pour vous assurer que la détection des combinaisons toxiques et des points d'étranglement est précise, vérifiez que le logiciel du composant Security Operations est à jour, que votre ensemble de ressources à forte valeur est correctement désigné et que vous disposez des autorisations IAM appropriées.

Facultatif : Collecter des données à partir d'autres clouds

Le moteur de risque permet d'exécuter des simulations sur les données d'Amazon Web Services (AWS) (aperçu) et de Microsoft Azure (aperçu) pour identifier les combinaisons toxiques et les points de blocage.

Configurez la connexion entre Security Command Center et ces fournisseurs de services cloud pour collecter des données sur les ressources et la configuration. Pour savoir comment configurer les connexions, consultez les articles suivants :

Pour obtenir la liste des ressources compatibles, consultez Compatibilité des fonctionnalités du moteur de risque.

Obtenir les autorisations requises

Pour utiliser les combinaisons toxiques et les points d'étranglement, vous devez disposer d'autorisations qui vous donnent accès aux fonctionnalités Security Command Center et Google SecOps.

Rôles IAM Security Command Center

Make sure that you have the following role or roles on the organization:

  • Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
  • Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
  • Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
  • Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
  • Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Accéder à IAM
  2. Sélectionnez l'organisation.
  3. Cliquez sur Accorder l'accès.

  4. Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.

  5. Dans la liste Sélectionner un rôle, sélectionnez un rôle.
  6. Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
  7. Cliquez sur Enregistrer.

    8. Pour en savoir plus sur les rôles et autorisations Security Command Center, consultez IAM pour les activations au niveau de l'organisation.

    Rôles IAM Google SecOps

    Pour travailler avec des combinaisons et des cas toxiques, vous devez disposer de l'un des rôles suivants :

    • Gestionnaire de failles Chronicle SOAR (roles/chronicle.soarVulnerabilityManager)
    • Gestionnaire de menaces Chronicle SOAR (roles/chronicle.soarThreatManager)
    • Administrateur Chronicle SOAR (roles/chronicle.soarAdmin)

    Pour savoir comment attribuer le rôle à un utilisateur, consultez Mapper et autoriser les utilisateurs à l'aide d'IAM.

    Installer le dernier cas d'utilisation des opérations de sécurité

    La fonctionnalité de combinaison toxique nécessite la version du 25 juin 2024 ou ultérieure du cas d'utilisation SCC Enterprise – Cloud Orchestration and Remediation.

    Pour savoir comment installer le cas d'utilisation, consultez Mettre à jour le cas d'utilisation Enterprise, juin 2024.

    Spécifier votre ensemble de ressources de forte valeur

    Vous n'avez pas besoin d'activer la détection des combinaisons toxiques et des points d'étranglement, car elle est toujours activée. Le moteur de risque détecte automatiquement les combinaisons toxiques et les goulets d'étranglement qui exposent un ensemble de ressources à forte valeur par défaut.

    Les résultats des combinaisons toxiques et des goulets d'étranglement générés sur la base de l'ensemble de ressources à forte valeur par défaut ne reflètent probablement pas précisément vos priorités en matière de sécurité. Pour spécifier les ressources qui font partie de votre ensemble de ressources à forte valeur, vous devez créer des configurations de valeurs de ressources dans la console Google Cloud . Pour obtenir des instructions, consultez Définir et gérer votre ensemble de ressources à forte valeur.

    Corriger les combinaisons toxiques et les goulets d'étranglement

    Les combinaisons toxiques et les goulets d'étranglement peuvent exposer de nombreuses ressources à forte valeur à des pirates informatiques potentiels. Vous devez les corriger avant les autres risques dans vos environnements cloud.

    Vous pouvez hiérarchiser l'ordre dans lequel vous corrigez les combinaisons toxiques et les goulets d'étranglement en fonction de leur score d'exposition aux attaques. La procédure à suivre dépend de l'endroit où vous consultez les combinaisons toxiques et les goulets d'étranglement.

    Problèmes

    Vous pouvez accéder aux combinaisons toxiques et aux goulets d'étranglement les plus à risque (affichés sous forme de problèmes) sur la page Risque > Vue d'ensemble (Aperçu).

    Vous pouvez consulter toutes les combinaisons toxiques et tous les goulets d'étranglement sur la page Risque> Problèmes (Aperçu).

    Pour résoudre un problème, suivez les instructions ci-dessous :

    1. Pour afficher tous les problèmes, accédez à Risque > Problèmes.
    2. Par défaut, les problèmes groupés sont classés par niveau de gravité. Dans le groupe, les problèmes sont classés par score d'exposition aux attaques. Pour trier tous les problèmes par score d'exposition aux attaques, désactivez Regrouper par détections.
    3. Sélectionnez un problème.
    4. Examinez la description du problème et les preuves.
    5. Si des résultats associés sont disponibles, consultez leurs détails.
    6. Si plusieurs problèmes critiques sont détectés dans une ressource principale d'une combinaison toxique ou d'un point d'étranglement (Aperçu), un message s'affiche après le diagramme Preuves. Pour optimiser vos efforts de correction, cliquez sur Filtrer les problèmes de cette ressource principale dans ce message afin de vous concentrer sur la résolution des problèmes liés à cette ressource spécifique. Cliquez sur la flèche de retour près de Ouvrir le panneau des filtres Ajouter un filtre lorsque vous souhaitez supprimer le filtre.
    7. Cliquez sur Explorer les chemins d'attaque complets dans le diagramme Preuves pour mieux comprendre le problème et comment les chemins d'attaque exposent les ressources à forte valeur.
    8. Cliquez sur Comment résoudre le problème, puis suivez les instructions pour limiter les risques.

    Demandes

    Vous pouvez afficher tous les cas de combinaison toxique sur la page Cas. Les points de blocage ne génèrent pas automatiquement de demande. Vous devez les consulter sur la page Problèmes.

    Pour trouver des combinaisons toxiques dans les cas, suivez les instructions ci-dessous :

    1. Dans la console Google Cloud , accédez à Risque > Demandes. La page Cas de la console Security Operations s'ouvre.
    2. Dans la liste des demandes, cliquez sur Ouvrir le panneau des filtres Filtre des demandes pour ouvrir le panneau de filtre. Le panneau Filtre de la file d'attente des cas s'ouvre.
    3. Dans le filtre de file d'attente des demandes, spécifiez les éléments suivants : 1. Dans le champ Période, spécifiez la période pendant laquelle la demande est active. 1. Définissez l'opérateur logique sur AND. 1. Dans la zone de liste des clés de filtre, sélectionnez Tags. 1. Définissez l'opérateur d'égalité sur is. 1. Dans la zone de liste des valeurs de filtre, sélectionnez Combinaison toxique. 1. Cliquez sur Appliquer. Les demandes de la file d'attente sont mises à jour pour n'afficher que celles qui correspondent au filtre que vous avez spécifié.
    4. Cliquez sur Trier à côté de Ouvrir le panneau des filtres Filtre "Cas", puis sélectionnez Trier par exposition aux attaques (de la plus élevée à la plus faible).
    5. Dans la file d'attente des demandes, cliquez sur celle que vous souhaitez consulter. Si vous consultez les demandes en vue Liste, cliquez plutôt sur l'ID de la demande. Les informations sur la demande s'affichent.
    6. Cliquez sur Cas Vue d'ensemble de la demande.
    7. Dans la section Résumé de la demande, suivez les Prochaines étapes.

    En général, une combinaison toxique inclut un ou plusieurs résultats de failles logicielles ou d'erreurs de configuration. Pour chacun de ces résultats, Security Command Center ouvre automatiquement une requête distincte et exécute les playbooks associés. Vous pouvez examiner les cas correspondant à ces résultats et demander aux propriétaires des demandes de les traiter en priorité pour résoudre la combinaison toxique.

    Pour examiner les résultats associés dans une combinaison toxique, procédez comme suit :

    1.  From the ![Case](/security-command-center/images/icons-uno/case.svg){:.inline-icon}

    Dans l'onglet Aperçu de la demande, accédez à la section Résultats. 1. Dans la section Résultats, examinez les résultats listés. * Cliquez sur le numéro de demande du résultat pour ouvrir la demande et afficher son état, le propriétaire qui lui est attribué et d'autres informations. * Cliquez sur le score d'exposition aux attaques pour examiner le chemin d'attaque du résultat. * Si le résultat comporte un numéro de ticket, cliquez dessus pour ouvrir le ticket.

    Vous pouvez également afficher les résultats associés dans leurs propres onglets d'alerte dans la demande.

    Résultats

    Une combinaison toxique ou un goulet d'étranglement détectés sont enregistrés par le moteur de risque lorsqu'il les détecte dans votre environnement cloud.

    Vous pouvez afficher les résultats des combinaisons toxiques et des goulets d'étranglement sur la page Résultats, puis cliquer sur l'onglet correspondant à votre niveau de service.

    Premium

    1. Accéder à la page Résultats

      Accéder

    2. Sélectionnez votre Google Cloud organisation.

    3. Dans la section Classe de résultat du panneau Filtres rapides, sélectionnez Combinaison toxique ou Point d'étranglement. Le panneau Résultats de la requête sur les résultats est mis à jour pour n'afficher que les résultats de combinaison toxique ou de point d'étranglement.

    4. Pour trier les résultats par gravité, cliquez sur l'en-tête de colonne Score d'exposition aux attaques jusqu'à ce que les scores soient classés par ordre décroissant.

    5. Cliquez sur une catégorie de résultats pour ouvrir le panneau des détails des résultats. Accédez à la section Étapes suivantes et suivez les instructions pour résoudre le problème de sécurité.

    Entreprise

    1. Dans la console Google Cloud , accédez à la page Résultats de Security Command Center.

      Accéder à la page "Résultats" du niveau Enterprise

    2. Sélectionnez votre Google Cloud organisation.
    3. Dans la section Agrégations, développez Classe de résultat, puis sélectionnez Combinaison toxique et Point de blocage.
    4. Cliquez sur Niveau d'exposition aux attaques jusqu'à ce que les scores soient classés par ordre décroissant.
    5. Cliquez sur une catégorie de résultats pour ouvrir le panneau des détails des résultats. Accédez à la section Étapes suivantes et suivez les instructions pour résoudre le problème de sécurité.

    Clôturer les cas de combinaison toxique

    Pour fermer un cas de combinaison toxique, vous pouvez corriger la combinaison toxique sous-jacente ou désactiver la constatation associée dans la consoleGoogle Cloud .

    Fermer une demande en corrigeant une combinaison toxique

    Une fois que vous avez corrigé les problèmes de sécurité qui constituent une combinaison toxique et qu'ils n'exposent plus aucune ressource de votre ensemble de ressources à forte valeur, le moteur de risque clôture automatiquement la demande lors de la prochaine simulation de chemin d'attaque, qui s'exécute environ toutes les six heures.

    Fermer une demande en mettant en sourdine le résultat

    Si le risque posé par la combinaison toxique est acceptable pour votre entreprise ou si vous ne pouvez pas corriger la combinaison toxique, vous pouvez clore la demande en mettant en sourdine le résultat associé.

    Pour désactiver un résultat de combinaison toxique, procédez comme suit :

    1. Dans la console Google Cloud , accédez à Risque > Demandes.
    2. Localisez et ouvrez la demande de combinaison toxique.
    3. Cliquez sur l'onglet de l'alerte associée.
    4. Dans le widget Résumé des résultats, cliquez sur Explorer les résultats dans SCC. Le résultat associé s'ouvre.
    5. Utilisez les options Ignorer sur la page d'informations sur le résultat pour l'ignorer.

    Vous pouvez également désactiver les résultats dans la console Google Cloud . Pour en savoir plus, consultez Ignorer un résultat individuel.

    Afficher les cas de combinaison toxique clôturés

    Lorsqu'une demande est clôturée, Security Command Center la supprime de la page Demandes.

    Pour afficher une demande fermée concernant une combinaison toxique, procédez comme suit :

    1. Dans la console Google Cloud , accédez à Investigation > Recherche SOAR. La page de la console SOAR Search Security Operations s'ouvre.
    2. Développez la section État, puis sélectionnez Fermé.
    3. Développez la section Tags, puis sélectionnez Combinaison toxique.
    4. Cliquez sur Appliquer. Les cas de combinaison toxique clôturés s'affichent dans les résultats de recherche.