Gestire le combinazioni dannose

Questa pagina fornisce istruzioni per identificare e rispondere a combinazioni dannose utilizzando casi e risultati.

Prima di iniziare

Per garantire l'accuratezza del rilevamento delle combinazioni dannose, assicurati che il software dei componenti di operazioni di sicurezza sia aggiornato, che l'insieme di risorse di alto valore sia designato con precisione e che tu disponga delle autorizzazioni IAM appropriate.

Ottieni le autorizzazioni richieste

Per lavorare con i risultati e le richieste relativi alle combinazioni dannose sia nella console Google Cloud sia nella console Security Operations, devi disporre delle autorizzazioni concesse in entrambe le console.

Ruoli IAM della console Google Cloud

Make sure that you have the following role or roles on the organization:

  • Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
  • Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
  • Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
  • Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
  • Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Vai a IAM
  2. Seleziona l'organizzazione.
  3. Fai clic su Concedi accesso.

  4. Nel campo Nuove entità, inserisci il tuo identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.

  5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
  6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
  7. Fai clic su Salva.

    8. Per saperne di più sui ruoli e sulle autorizzazioni di Security Command Center, consulta IAM per le attivazioni a livello di organizzazione.

    Ruoli della console Security Operations

    Per gestire le segnalazioni e le richieste relative alle combinazioni dannose nella console Security Operations, devi disporre di uno dei seguenti ruoli:

    • Chronicle SOAR Vulnerability Manager
    • Chronicle SOAR Threat Manager
    • Chronicle SOAR Admin

    Per informazioni su come concedere il ruolo a un utente, consulta Mappare e autorizzare gli utenti utilizzando IAM.

    Installa il caso d'uso di operazioni di sicurezza più recente

    La funzionalità di combinazione di elementi dannosi richiede la versione del 25 giugno 2024 o successiva del caso d'uso SCC Enterprise - Cloud Orchestration and Remediation.

    Per informazioni sull'installazione del caso d'uso, consulta Aggiornamento del caso d'uso Enterprise, giugno 2024.

    Specifica l'insieme di risorse di alto valore

    Non è necessario attivare il rilevamento delle combinazioni tossiche, perché è sempre attivo. Risk Engine rileva automaticamente le combinazioni dannose che espongono un insieme predefinito di risorse di alto valore.

    È improbabile che i risultati delle combinazioni dannose generati in base all'insieme di risorse di alto valore predefinito riflettano con precisione le tue priorità di sicurezza. Pertanto, ti consigliamo di specificare le risorse nel set di risorse di alto valore.

    Per specificare quali risorse fanno parte dell'insieme di risorse di alto valore, crei configurazioni dei valori delle risorse nella console Google Cloud. Per le istruzioni, consulta Definire e gestire il set di risorse di alto valore.

    Visualizzare le richieste relative alla combinazione tossica

    Puoi visualizzare una panoramica di tutte le richieste relative alla combinazione tossica e i dettagli di ciascuna richiesta nella console Security Operations.

    Visualizza una panoramica di tutte le richieste di combinazione tossica

    Nella pagina Panoramica della posizione, diversi widget forniscono una rapida panoramica delle combinazioni tossiche nei tuoi ambienti cloud Google Cloud e Amazon Web Services (AWS) (anteprima). Puoi trovare le seguenti informazioni:

    • Tutte le richieste di postura aperte o Richieste di combinazione tossica aperte: per visualizzare le richieste di combinazione tossica aperte, seleziona Combinazioni tossiche dal selettore. Il widget mostra il numero di richieste di combinazione tossica aperte per ciascun livello di priorità. Fai clic sulla barra di una determinata priorità per aprire una visualizzazione elenco delle richieste.

    • TTR e tendenza delle richieste relative alla combinazione tossica: le tendenze per le richieste di combinazione tossica aperte e chiuse per un intervallo di tempo specifico. Tieni premuto il cursore sopra le linee di tendenza per visualizzare il numero specifico di richieste aperte e chiuse per un determinato punto dati nell'intervallo di tempo. Questo widget fornisce anche un valore di tempo di correzione (TTR) che indica il tempo medio necessario per risolvere una richiesta con combinazione tossica in base all'intervallo di tempo specificato.

    • Prime richieste di combinazione tossica: le richieste di combinazione tossica principali ordinate in base al punteggio di esposizione agli attacchi. Fai clic sull'case ID per aprirla.

    • Richieste di combinazione tossica che superano lo SLA: le richieste di combinazione tossica messe in ordine in base al tempo rimanente dell'accordo sul livello del servizio (SLA). Fai clic sull'case ID per aprirla.

    Puoi trovare la pagina Panoramica della postura all'URL seguente:

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/overview

    Sostituisci CUSTOMER_SUBDOMAIN con il tuo identificatore specifico del cliente.

    Visualizzare i dettagli di una richiesta relativa alla combinazione tossica

    In qualsiasi visualizzazione elenco delle richieste relative alla combinazione tossica, puoi aprire i dettagli della richiesta facendo clic sull'ID della richiesta.

    1. Nella console Security Operations, vai a Cases (Richieste).

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      Sostituisci CUSTOMER_SUBDOMAIN con il tuo identificatore specifico del cliente.

      Viene visualizzata la pagina Richieste con la visualizzazione Accanto selezionata.

    2. Nella parte superiore dell'elenco delle richieste, fai clic sull'icona del filtro per aprire il riquadro dei filtri. Viene visualizzato il riquadro Filtro coda di richieste.

    3. In Filtro coda di richieste, specifica quanto segue:

      1. Nel campo Periodo di tempo, specifica il periodo di tempo in cui la richiesta è attiva.
      2. Imposta Operatore logico su E.
      3. Per il primo valore in Operatore logico, seleziona Tag dal menu.
      4. Per il secondo valore, seleziona Combinazioni dannose.
      5. Specifica altre coppie di valori in base alle esigenze per trovare la situazione specifica che devi visualizzare.
      6. Fai clic su Applica. Le richieste nella coda vengono aggiornate in modo da mostrare solo quelle che corrispondono al filtro specificato.

    4. Dalla coda delle richieste, seleziona la richiesta che devi visualizzare. Vengono visualizzate le informazioni sulla richiesta, incluse le seguenti visualizzazioni con schede:

      • Scheda Panoramica della richiesta (): fornisce informazioni sulla richiesta relativa alle combinazioni dannose, tra cui un diagramma semplificato del percorso di attacco, un elenco di risultati correlati, un elenco di risorse interessate, un elenco di richieste simili, avvisi, un grafico delle entità e altro ancora.
      • Scheda Bacheca della richiesta (): contiene un record di azioni, modifiche dello stato, attività, commenti e altro ancora.
      • Schede Avviso correlato: forniscono informazioni più dettagliate sui singoli risultati correlati, tra cui:
        • In Panoramica, una descrizione del singolo rilevamento e i passaggi successivi che puoi svolgere per risolverlo.
        • In Eventi, un elenco di proprietà di ricerca.
        • In Playbook, un elenco di playbook associati.

    Assegnare la priorità alle richieste di combinazione tossica

    Per impostazione predefinita, le combinazioni dannose sono classificate come risultati di gravità critici e come richieste con priorità critica. Pertanto, devono avere la priorità rispetto alla risoluzione delle richieste per altre categorie di risultati relativi alla postura. Le combinazioni dannose rappresentano un percorso completo che, se un utente malintenzionato determinato dovesse ottenere l'accesso al tuo ambiente cloud, potrebbe ragionevolmente seguire dalla rete internet pubblica a una o più risorse del tuo set di risorse di alto valore.

    Confronta i punteggi delle combinazioni tossiche nella pagina Risultati della console Google Cloud per stabilire la priorità tra i casi di combinazioni tossiche. Nella console Security Operations, puoi visualizzare le richieste di combinazione tossica con i punteggi di esposizione agli attacchi più elevati nel widget Prime richieste di combinazione tossica nella pagina Panoramica in Postura.

    Puoi ordinare tutte le richieste di combinazione tossica in base al voto di esposizione agli attacchi nella pagina Richieste. Per ulteriori informazioni su come visualizzare, filtrare e ordinare le richieste relative alla combinazione tossica, consulta Visualizzare le richieste relative alla combinazione tossica.

    Correggere una combinazione tossica

    Puoi trovare indicazioni per la correzione di un rilevamento di combinazioni tossiche nella richiesta aperta per il rilevamento nella console Security Operations o nel record del rilevamento stesso.

    Visualizzare le indicazioni per la correzione in una richiesta

    Per visualizzare le indicazioni per la correzione in una richiesta relativa alla combinazione tossica, segui questi passaggi:

    1. Vai alla pagina Richieste nella console Security Operations.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      Sostituisci CUSTOMER_SUBDOMAIN con il tuo identificatore specifico del cliente.

    2. Apri la richiesta relativa alla combinazione tossica che devi correggere.

    3. Fai clic sulla scheda Richiesta o sulla scheda Avviso.

    4. Esamina la sezione Passaggi successivi in uno dei seguenti widget:

      • Se hai fatto clic sulla scheda Richiesta, il widget Riepilogo richiesta.
      • Se hai fatto clic sulla scheda Avviso, il widget Riepilogo della ricerca.

      Se necessario, scorri oltre la Descrizione del risultato per visualizzare i Passaggi successivi.

    Visualizzare le indicazioni per la correzione in un risultato relativo a una combinazione tossica

    Per visualizzare le indicazioni per la correzione in un record di risultati:

    1. Nella console Security Operations, vai a Posture > Findings.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

      Sostituisci CUSTOMER_SUBDOMAIN con il tuo identificatore specifico del cliente.

    2. Per trovare il risultato relativo alla combinazione tossica, seleziona Filtri rapidi o modifica la query del risultato.

    3. Fai clic sul nome della categoria del rilevamento per aprire i relativi dettagli. Viene visualizzata la pagina dei dettagli del risultato.

    4. Nella pagina dei dettagli del rilevamento, nella sezione Passaggi successivi della scheda Riepilogo, esamina le indicazioni per la correzione.

    Esaminare i risultati in una richiesta relativa alla combinazione tossica

    In genere, una combinazione tossica include uno o più risultati relativi a una vulnerabilità del software o a un errore di configurazione. Per ciascuno di questi risultati, Security Command Center apre automaticamente una richiesta separata ed esegue i playbook associati. Puoi esaminare le richieste per questi risultati e chiedere ai proprietari dei ticket di dare la priorità alla correzione per risolvere la combinazione tossica.

    Per esaminare i risultati di una combinazione tossica:

    1. Nella console Security Operations, vai a Cases (Richieste).

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      Sostituisci CUSTOMER_SUBDOMAIN con il tuo identificatore specifico del cliente.

    2. Individua e apri la richiesta di combinazione tossica.

    3. Seleziona la scheda Panoramica della richiesta ().

    4. Nella sezione Risultati della scheda Panoramica della richiesta, esamina i risultati elencati.

    5. Fai clic su un risultato per visualizzare le informazioni di riepilogo relative al risultato, tra cui l'case ID, il punteggio di esposizione agli attacchi ed eventuali ID ticket per il risultato.

      • Fai clic sull'case ID del rilevamento per aprirla e visualizzarne lo stato, il proprietario assegnato e altre informazioni.
      • Fai clic sul punteggio di esposizione agli attacchi per esaminare il percorso di attacco del risultato.
      • Fai clic sull'ID richiesta per aprire la richiesta relativa al rilevamento.

    Chiudere una richiesta di combinazione tossica

    Puoi chiudere una richiesta relativa a una combinazione tossica correggendo la combinazione tossica di base o disattivando il rilevamento della combinazione tossica nella console Google Cloud.

    Chiudere una richiesta correggendo una combinazione tossica

    Dopo aver risolto uno o più dei problemi di sicurezza che costituiscono una combinazione dannosa, in modo che non esponga più risorse nel set di risorse di alto valore, Risk Engine chiude automaticamente la richiesta relativa alla combinazione dannosa durante la simulazione del percorso di attacco successiva, che viene eseguita ogni sei ore circa.

    Per correggere una combinazione tossica, segui le indicazioni fornite nella richiesta relativa alla combinazione tossica in Passaggi successivi.

    Per ulteriori informazioni, consulta Come correggere una combinazione tossica.

    Chiudere una richiesta disattivando il risultato

    Se il rischio rappresentato dalla combinazione tossica è accettabile per la tua attività o se non riesci a correggere la combinazione tossica, puoi chiudere la richiesta disattivando il rilevamento della combinazione tossica.

    Per disattivare un risultato relativo a una combinazione tossica:

    1. Nella console Security Operations, vai a Cases (Richieste).

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      Sostituisci CUSTOMER_SUBDOMAIN con il tuo identificatore specifico del cliente.

    2. Individua e apri la richiesta di combinazione tossica.

    3. Seleziona la scheda dell'avviso relativo al risultato.

    4. Nell'angolo in basso a destra del widget Riepilogo dei risultati, fai clic su Esplora. Si apre il rilevamento della combinazione tossica.

    5. Utilizza le Opzioni di disattivazione nell'angolo in alto a destra della pagina dei dettagli del rilevamento per disattivare il rilevamento.

    Puoi anche disattivare l'audio dei risultati nella console Google Cloud. Per ulteriori informazioni, consulta la sezione Disattivare un singolo risultato.

    Visualizzazione delle richieste di combinazione tossica chiuse

    Quando una richiesta nella console Security Operations viene chiusa, Security Command Center la rimuove dalla pagina Richieste.

    Per visualizzare una richiesta relativa alla combinazione tossica chiusa:

    1. Nella console Security Operations, vai alla pagina Ricerca SOAR.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/sp-search

      Sostituisci CUSTOMER_SUBDOMAIN con il tuo identificatore specifico del cliente.

    2. Sul lato sinistro della pagina, in Stato, specifica Chiusa.

    3. In Tags (Tag), specifica Combinazione dannosa.

    4. Fai clic su Applica. Le richieste di combinazione tossica chiuse vengono visualizzate nei risultati di ricerca.

    Visualizzare i risultati relativi alle combinazioni dannose

    Un rilevamento di una combinazione tossica è il record iniziale emesso da Risk Engine quando rileva una combinazione tossica nel tuo ambiente cloud. Security Command Center apre automaticamente una richiesta per ogni risultato di combinazione tossica generato da Risk Engine.

    Puoi visualizzare i risultati delle combinazioni tossiche direttamente nella console Google Cloud, nella pagina Panoramica dei rischi o nella pagina Risultati.

    Nella pagina Panoramica dei rischi vengono visualizzati i risultati relativi alle combinazioni dannose con i punteggi di esposizione agli attacchi più elevati. Ogni risultato è elencato con un link alla richiesta corrispondente nella Console Security Operations.

    Per visualizzare i risultati delle combinazioni tossiche:

    1. Nella console Google Cloud, vai alla pagina Risultati del Security Command Center.

      Vai a Risultati

    2. Se necessario, seleziona la tua organizzazione Google Cloud.

    3. Nella sezione Classe di risultati del riquadro Filtri rapidi, seleziona Combinazione tossica. Il riquadro Risultati della query sui risultati si aggiorna per mostrare solo i risultati delle combinazioni tossiche.

    4. Per dare la priorità ai risultati relativi alle combinazioni dannose, ordinali in ordine decrescente in base al punteggio facendo clic sull'intestazione della colonna Punteggio delle combinazioni dannose.