Gestire combinazioni dannose e colli di bottiglia

Questa pagina fornisce istruzioni per identificare e rispondere a combinazioni dannose e colli di bottiglia (Anteprima) utilizzando problemi (Anteprima), richieste o risultati.

Prima di iniziare

Per assicurarti che il rilevamento di combinazioni e punti di congestione dannosi sia accurato, controlla che il software del componente delle operazioni di sicurezza sia aggiornato, che l'insieme di risorse di alto valore sia designato con precisione e che tu disponga delle autorizzazioni IAM appropriate.

Ottenere le autorizzazioni richieste

Per lavorare con combinazioni tossiche e colli di bottiglia sia nella console Google Cloud sia nella console Security Operations, devi disporre delle autorizzazioni concesse in entrambe le console.

Ruoli IAM della console Google Cloud

Make sure that you have the following role or roles on the organization:

  • Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
  • Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
  • Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
  • Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
  • Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Vai a IAM
  2. Seleziona l'organizzazione.
  3. Fai clic su Concedi accesso.

  4. Nel campo Nuovi principali, inserisci il tuo identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.

  5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
  6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
  7. Fai clic su Salva.

Per saperne di più sui ruoli e sulle autorizzazioni di Security Command Center, consulta IAM per le attivazioni a livello di organizzazione.

Ruoli della console Security Operations

Per lavorare con combinazioni e casi dannosi nella console Security Operations, devi disporre di uno dei seguenti ruoli:

  • Chronicle SOAR Vulnerability Manager
  • Chronicle SOAR Threat Manager
  • Amministratore di Chronicle SOAR

Per informazioni su come concedere il ruolo a un utente, consulta Mappare e autorizzare gli utenti utilizzando IAM.

Installa il caso d'uso di operazioni di sicurezza più recente

La funzionalità di combinazione di elementi dannosi richiede la versione del 25 giugno 2024 o successiva del caso d'uso SCC Enterprise - Cloud Orchestration and Remediation.

Per informazioni sull'installazione del caso d'uso, consulta Aggiornamento del caso d'uso Enterprise, giugno 2024.

Specifica l'insieme di risorse di alto valore

Non è necessario attivare il rilevamento di combinazioni tossiche e punti di congestione: è sempre attivo. Risk Engine rileva automaticamente combinazioni tossiche e colli di bottiglia che espongono un insieme di risorse di alto valore predefinite.

È improbabile che i risultati relativi a combinazioni dannose e punti di saturazione generati in base al set di risorse di alto valore predefinito riflettano con precisione le tue priorità di sicurezza. Per specificare quali risorse fanno parte dell'insieme di risorse di alto valore, crei configurazioni dei valori delle risorse nella console Google Cloud. Per le istruzioni, consulta Definire e gestire il set di risorse di alto valore.

Risolvere i problemi relativi a combinazioni dannose e colli di bottiglia

Combinazioni tossiche e colli di bottiglia possono esporre molte risorse di alto valore a potenziali malintenzionati. Dovresti correggerli prima di altri rischi nei tuoi ambienti cloud.

Puoi dare la priorità all'ordine in cui correggere le combinazioni dannose e i punti di passaggio critici in base al loro punteggio di esposizione agli attacchi. La modalità di esecuzione varia in base a dove visualizzi combinazioni dannose e colli di bottiglia.

Problemi (Anteprima)

Le combinazioni dannose e i colli di bottiglia con il rischio più elevato vengono visualizzati come problemi nella pagina Rischio > Panoramica della console Security Operations.

Tutte le combinazioni dannose e i colli di bottiglia possono essere visualizzati nella pagina Rischio > Problemi.

Per risolvere un problema, segui le istruzioni riportate di seguito:

  1. Per visualizzare tutti i problemi nella console Security Operations, vai a Problemi:

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/security-command-center/issues

    Sostituisci CUSTOMER_SUBDOMAIN con il tuo identificativo specifico per il cliente.

  2. Per impostazione predefinita, i problemi raggruppati sono classificati in base alla gravità. All'interno del gruppo, i problemi sono classificati in base al punteggio di esposizione agli attacchi. Per ordinare tutti i problemi in base al punteggio di esposizione agli attacchi, disattiva Raggruppa per rilevamenti.

  3. Seleziona un problema.

  4. Esamina la descrizione e le prove del problema.

  5. Se sono presenti risultati correlati, visualizza i relativi dettagli.

  6. Se in una risorsa principale vengono rilevati più problemi critici in una combinazione tossica o in un punto di saturazione (Anteprima), viene visualizzato un messaggio dopo il diagramma Prove. Per ottimizzare le attività di correzione, fai clic su Filtra i problemi per questa risorsa principale in questo messaggio per concentrarti sulla risoluzione dei problemi relativi a quella risorsa specifica. Fai clic sulla freccia indietro accanto a Apri riquadro filtri Aggiungi filtro quando vuoi rimuovere il filtro.

  7. Fai clic su Esplora percorsi di attacco completi nel diagramma Evidenze per approfondire il problema e capire in che modo i percorsi di attacco espongono risorse di alto valore.

  8. Fai clic su Come risolvere il problema e segui le indicazioni per contribuire a ridurre il rischio.

Richieste

Puoi visualizzare tutte le richieste relative alla combinazione tossica nella pagina Richieste. I colli di bottiglia non generano automaticamente una richiesta e devono essere visualizzati nella pagina Problemi.

Per trovare combinazioni tossiche nelle richieste:

  1. Nella console Security Operations, vai a Cases (Richieste).

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    Sostituisci CUSTOMER_SUBDOMAIN con il tuo identificativo specifico per il cliente.

    Viene visualizzata la pagina Richieste con la visualizzazione Accanto selezionata.

  2. Nell'elenco delle richieste, fai clic su Apri riquadro filtri Filtro richieste per aprire il riquadro dei filtri. Viene visualizzato il riquadro Filtro coda di richieste.

  3. In Filtro coda di richieste, specifica quanto segue:

    1. Nel campo Intervallo di tempo, specifica il periodo di tempo in cui la richiesta è attiva.
    2. Imposta Operatore logico su E.
    3. Nella casella dell'elenco delle chiavi di filtro, seleziona Tag.
    4. Imposta l'operatore di uguaglianza su è.
    5. Nella casella dell'elenco dei valori del filtro, seleziona Combinazione tossica.
    6. Fai clic su Applica. Le richieste nella coda vengono aggiornate in modo da mostrare solo quelle che corrispondono al filtro specificato.

  4. Fai clic su Ordina accanto a Apri riquadro filtri Filtro richieste e seleziona Ordina per esposizione agli attacchi (dal più alto al più basso).

  5. Dalla coda delle richieste, fai clic sulla richiesta che vuoi visualizzare. Se stai visualizzando le richieste in Visualizzazione elenco, fai clic sull'ID richiesta. Vengono visualizzate le informazioni sulla richiesta.

  6. Fai clic su Richiesta Panoramica della richiesta.

  7. Nella sezione Riepilogo richiesta, segui le indicazioni nella sezione Passaggi successivi.

In genere, una combinazione tossica include uno o più risultati relativi a una vulnerabilità del software o a un errore di configurazione. Per ciascuno di questi risultati, Security Command Center apre automaticamente una richiesta separata ed esegue i playbook associati. Puoi esaminare le richieste per questi risultati e chiedere ai proprietari di ticket di dare la priorità alla correzione per contribuire a risolvere la combinazione tossica.

Per esaminare i risultati correlati in una combinazione tossica:

  1. Dalla scheda Richiesta Panoramica della richiesta di una richiesta, vai alla sezione Risultati.
  2. Nella sezione Risultati, esamina i risultati elencati.
    • Fai clic sull'ID richiesta del rilevamento per aprirla e visualizzarne lo stato, il proprietario assegnato e altre informazioni.
    • Fai clic sul punteggio di esposizione agli attacchi per esaminare il percorso di attacco per il risultato.
    • Se il rilevamento ha un ID ticket, fai clic per aprirlo.

In alternativa, puoi visualizzare i risultati correlati nelle rispettive schede di avviso della richiesta.

Risultati

Un risultato relativo a una combinazione tossica o a un punto di saturazione è il record iniziale che il motore di rischio genera quando rileva una combinazione tossica o un punto di saturazione nel tuo ambiente cloud.

Puoi visualizzare i risultati relativi a combinazioni dannose e colli di bottiglia nei seguenti modi:

  • La pagina Risultati nella console Google Cloud.

  • La pagina Risultati nella console Security Operations.

Console Google Cloud

Per correggere i risultati relativi a combinazioni tossiche e colli di bottiglia nella console Google Cloud, completa i seguenti passaggi:

  1. Vai alla pagina Risultati.

    Vai a Risultati

  2. Seleziona la tua Google Cloud organizzazione.

  3. Nella sezione Classe di risultati del riquadro Filtri rapidi, seleziona Combinazione tossica o Punto di saturazione. Il riquadro Risultati della query sui risultati si aggiorna per mostrare solo i risultati relativi a combinazioni tossiche o chokepoint.

  4. Per ordinare i risultati in base alla gravità, fai clic sull'intestazione della colonna Punteggio combinazione tossica o Punteggio esposizione agli attacchi finché i punteggi non sono in ordine decrescente.

  5. Fai clic su una categoria di risultati per aprire il riquadro dei dettagli. Vai alla sezione Passaggi successivi e segui le indicazioni per risolvere il problema di sicurezza.

Console Security Operations

Per risolvere i problemi relativi a combinazioni tossiche e colli di bottiglia nella console Security Operations, completa i seguenti passaggi:

  1. Vai a Rischio > Risultati.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/security-command-center/findings

    Sostituisci CUSTOMER_SUBDOMAIN con il tuo identificatore specifico del cliente.

  2. Nella sezione Aggregazioni, espandi Classe di risultati, quindi seleziona Combinazione tossica e Punto di saturazione.

  3. Fai clic su Punteggio di esposizione agli attacchi finché i punteggi non sono in ordine decrescente.

  4. Fai clic su una categoria di risultati per aprire il riquadro dei dettagli. Vai alla sezione Passaggi successivi e segui le indicazioni per risolvere il problema di sicurezza.

Chiudere le richieste relative alle combinazioni tossiche

Puoi chiudere una richiesta per una combinazione tossica correggendo la combinazione tossica di base o disattivando il rilevamento correlato nella console Google Cloud.

Chiudere una richiesta correggendo una combinazione tossica

Dopo aver risolto i problemi di sicurezza che costituiscono una combinazione tossica e se non espongono più risorse nel set di risorse di alto valore, Risk Engine chiude automaticamente la richiesta durante la successiva simulazione del percorso di attacco, che viene eseguita ogni sei ore circa.

Chiudere una richiesta disattivando il risultato

Se il rischio rappresentato dalla combinazione tossica è accettabile per la tua attività o se non riesci a correggere la combinazione tossica, puoi chiudere la richiesta disattivando il rilevamento correlato.

Per disattivare un risultato relativo a una combinazione tossica:

  1. Nella console Security Operations, vai a Cases (Richieste).

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    Sostituisci CUSTOMER_SUBDOMAIN con il tuo identificativo specifico per il cliente.

  2. Individua e apri la richiesta relativa alla combinazione tossica o al punto di congestione.

  3. Fai clic sulla scheda dell'avviso correlato.

  4. Nel widget Riepilogo dei risultati, fai clic su Esplora i risultati in SCC. Si apre il risultato correlato.

  5. Utilizza le Opzioni di disattivazione nella pagina dei dettagli del rilevamento per disattivare il rilevamento.

Puoi anche disattivare l'audio dei risultati nella console Google Cloud. Per ulteriori informazioni, consulta Disattivare un singolo risultato.

Visualizzare le richieste di combinazione tossica chiuse

Quando una richiesta nella console Security Operations viene chiusa, Security Command Center la rimuove dalla pagina Richieste.

Per visualizzare una richiesta relativa alla combinazione tossica chiusa:

  1. Nella console Security Operations, vai alla pagina Ricerca SOAR.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/sp-search

    Sostituisci CUSTOMER_SUBDOMAIN con il tuo identificativo specifico per il cliente.

  2. Espandi la sezione Stato e seleziona Chiusa.

  3. Espandi la sezione Tag e seleziona Combinazione tossica.

  4. Fai clic su Applica. Le richieste di combinazione tossica chiuse vengono visualizzate nei risultati di ricerca.