Gestire combinazioni dannose e colli di bottiglia

Questa pagina fornisce istruzioni per identificare e rispondere a combinazioni tossiche e chokepoint (anteprima) utilizzando le seguenti pagine:

  • Problemi (anteprima), disponibile nel livello di servizio Enterprise.
  • Richieste, disponibili nel livello di servizio Enterprise.
  • Risultati, disponibili nei livelli di servizio Enterprise e Premium.

Prima di iniziare

Per garantire che il rilevamento di combinazioni tossiche e chokepoint sia accurato, verifica che il software del componente delle operazioni di sicurezza sia aggiornato, che il set di risorse di alto valore sia designato con precisione e che tu disponga delle autorizzazioni IAM appropriate.

(Facoltativo) Raccogli dati da altri cloud

Risk Engine supporta l'esecuzione di simulazioni sui dati di Amazon Web Services (AWS) (anteprima) e Microsoft Azure (anteprima) per identificare combinazioni dannose e chokepoint.

Configura la connessione da Security Command Center a questi fornitori di servizi cloud per raccogliere dati su risorse e configurazione. Per informazioni sulla configurazione delle connessioni, vedi quanto segue:

Per l'elenco delle risorse supportate, consulta Supporto delle funzionalità del motore di valutazione del rischio.

Ottenere le autorizzazioni richieste

Per lavorare con la combinazione tossica e i punti di strozzatura, devi disporre delle autorizzazioni che concedono l'accesso a Security Command Center e alle funzionalità di Google SecOps.

Ruoli IAM di Security Command Center

Make sure that you have the following role or roles on the organization:

  • Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
  • Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
  • Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
  • Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
  • Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Vai a IAM
  2. Seleziona l'organizzazione.
  3. Fai clic su Concedi l'accesso.

  4. Nel campo Nuove entità, inserisci il tuo identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.

  5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
  6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
  7. Fai clic su Salva.

    8. Per saperne di più su ruoli e autorizzazioni di Security Command Center, consulta IAM per le attivazioni a livello di organizzazione.

    Ruoli IAM Google SecOps

    Per lavorare con combinazioni e casi tossici, devi disporre di uno dei seguenti ruoli:

    • Chronicle SOAR Vulnerability Manager (roles/chronicle.soarVulnerabilityManager)
    • Chronicle SOAR Threat Manager (roles/chronicle.soarThreatManager)
    • Amministratore di Chronicle SOAR (roles/chronicle.soarAdmin)

    Per informazioni sulla concessione del ruolo a un utente, vedi Mappare e autorizzare gli utenti utilizzando IAM.

    Installare l'ultimo caso d'uso delle operazioni di sicurezza

    La funzionalità di combinazione tossica richiede la release del 25 giugno 2024 o successive del caso d'uso SCC Enterprise - Cloud Orchestration and Remediation.

    Per informazioni sull'installazione del caso d'uso, consulta Aggiornamento del caso d'uso Enterprise, giugno 2024.

    Specifica il set di risorse di alto valore

    Non è necessario attivare il rilevamento di combinazioni dannose e chokepoint, perché è sempre attivo. Risk Engine rileva automaticamente le combinazioni tossiche e i chokepoint che espongono un set di risorse di alto valore predefinito.

    È improbabile che i risultati relativi a combinazioni tossiche e chokepoint generati in base al set di risorse di alto valore predefinito riflettano con precisione le tue priorità di sicurezza. Per specificare quali risorse fanno parte del set di risorse di alto valore, crea configurazioni di valori delle risorse nella console Google Cloud . Per istruzioni, vedi Definire e gestire il set di risorse di alto valore.

    Correggere combinazioni dannose e chokepoint

    Combinazioni dannose e chokepoint possono esporre molte risorse di alto valore a potenziali malintenzionati. Devi risolverli prima di altri rischi nei tuoi ambienti cloud.

    Puoi dare la priorità all'ordine in cui correggere le combinazioni tossiche e i chokepoint in base al loro punteggio di esposizione agli attacchi. La procedura varia a seconda di dove visualizzi le combinazioni dannose e i chokepoint.

    Problemi

    Puoi accedere alle combinazioni dannose e ai chokepoint a rischio più elevato (visualizzati come problemi) nella pagina Panoramica > dei rischi (Anteprima).

    Tutte le combinazioni dannose e i chokepoint possono essere visualizzati nella pagina Rischio > Problemi (Anteprima).

    Per risolvere un problema, completa le seguenti istruzioni:

    1. Per visualizzare tutti i problemi, vai a Rischio > Problemi.
    2. Per impostazione predefinita, i problemi raggruppati sono classificati in base alla gravità. All'interno del gruppo, i problemi sono classificati in base al punteggio di esposizione agli attacchi. Per ordinare tutti i problemi in base al punteggio di esposizione agli attacchi, disattiva Raggruppa per rilevamenti.
    3. Seleziona un problema.
    4. Esamina la descrizione del problema e le prove.
    5. Se sono presenti risultati correlati, visualizzane i dettagli.
    6. Se vengono rilevati più problemi critici in una risorsa principale in una combinazione tossica o in un punto di strozzatura (anteprima), viene visualizzato un messaggio dopo il diagramma delle prove. Per ottimizzare i tuoi sforzi di correzione, fai clic su Filtra i problemi per questa risorsa principale in questo messaggio per concentrarti sulla risoluzione dei problemi per quella risorsa specifica. Fai clic sulla freccia indietro accanto ad Apri il riquadro del filtro Aggiungi filtro quando vuoi rimuovere il filtro.
    7. Fai clic su Esplora percorsi di attacco completi nel diagramma Prove per comprendere in modo approfondito il problema e come i percorsi di attacco espongono risorse di alto valore.
    8. Fai clic su Come risolvere il problema e segui le indicazioni per contribuire a mitigare il rischio.

    Richieste

    Puoi visualizzare tutte le richieste relative alla combinazione tossica andando alla pagina Richieste. I punti di strozzatura non generano automaticamente una richiesta e devono essere visualizzati nella pagina Problemi.

    Per trovare combinazioni tossiche nelle richieste, completa le seguenti istruzioni:

    1. Nella console Google Cloud , vai a Rischio > Richieste. Viene visualizzata la pagina della console Casi di Security Operations.
    2. Nell'elenco delle richieste, fai clic su Apri riquadro filtri Filtro richieste per aprire il riquadro dei filtri. Si apre il riquadro Filtro coda di richieste.
    3. Nel filtro della coda delle richieste, specifica quanto segue: 1. Nel campo Intervallo di tempo, specifica il periodo di tempo in cui la richiesta è attiva. 1. Imposta Operatore logico su AND. 1. Nella casella dell'elenco delle chiavi di filtro, seleziona Tag. 1. Imposta l'operatore di uguaglianza su è. 1. Nella casella dell'elenco dei valori del filtro, seleziona Combinazione tossica. 1. Fai clic su Applica. Le richieste nella coda vengono aggiornate in modo da mostrare solo quelle che corrispondono al filtro specificato.
    4. Fai clic su Ordina accanto a Apri riquadro filtri Filtro casi e seleziona Ordina per esposizione agli attacchi (dal più alto al più basso).
    5. Nella coda delle richieste, fai clic sulla richiesta che vuoi visualizzare. Se stai visualizzando le richieste nella visualizzazione elenco, fai clic sull'case ID. Vengono visualizzate le informazioni sulla richiesta.
    6. Fai clic su Richiesta Panoramica della richiesta.
    7. Nella sezione Riepilogo della richiesta, segui le indicazioni riportate nella sezione Passaggi successivi.

    In genere, una combinazione tossica include uno o più risultati di una vulnerabilità del software o di un errore di configurazione. Per ciascuna di queste minacce, Security Command Center apre automaticamente una richiesta separata ed esegue i playbook associati. Puoi esaminare i casi relativi a questi risultati e chiedere ai proprietari dei ticket di dare la priorità alla correzione per risolvere la combinazione tossica.

    Per esaminare i risultati correlati in una combinazione tossica:

    1.  From the ![Case](/security-command-center/images/icons-uno/case.svg){:.inline-icon}

    Scheda Panoramica del caso di un caso, vai alla sezione Risultati. 1. Nella sezione Risultati, esamina i risultati elencati. * Fai clic sull'case ID del risultato per aprire la richiesta e visualizzarne lo stato, il proprietario assegnato e altre informazioni. * Fai clic sul punteggio di esposizione all'attacco per esaminare il percorso di attacco per il risultato. * Se il risultato ha un ID ticket, fai clic per aprirlo.

    In alternativa, puoi visualizzare i risultati correlati nelle rispettive schede degli avvisi nel caso.

    Risultati

    Un risultato di combinazione dannosa o chokepoint è il record iniziale che Risk Engine genera quando rileva una combinazione dannosa o un chokepoint nel tuo ambiente cloud.

    Puoi visualizzare i risultati relativi a combinazioni dannose e chokepoint nella pagina Risultati, fai clic sulla scheda relativa al tuo livello di servizio.

    Premium

    1. Vai alla pagina Risultati.

      Vai a Risultati

    2. Seleziona la tua Google Cloud organizzazione.

    3. Nella sezione Ricerca della classe del riquadro Filtri rapidi, seleziona Combinazione tossica o Punto di strozzatura. Il riquadro Risultati della query sui risultati viene aggiornato per mostrare solo i risultati relativi a combinazioni tossiche o chokepoint.

    4. Per ordinare i risultati in base alla gravità, fai clic sull'intestazione della colonna Punteggio di esposizione agli attacchi finché i punteggi non sono in ordine decrescente.

    5. Fai clic su una categoria di risultati per aprire il riquadro dei dettagli. Vai alla sezione Passaggi successivi e segui le indicazioni per risolvere il problema di sicurezza.

    Aziende

    1. Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.

      Vai a Risultati nel livello Enterprise

    2. Seleziona la tua Google Cloud organizzazione.
    3. Nella sezione Aggregazioni, espandi Classe di risultati, quindi seleziona Combinazione dannosa e Chokepoint.
    4. Fai clic su Punteggio di esposizione agli attacchi finché i punteggi non sono in ordine decrescente.
    5. Fai clic su una categoria di risultati per aprire il riquadro dei dettagli. Vai alla sezione Passaggi successivi e segui le indicazioni per risolvere il problema di sicurezza.

    Chiudi le richieste relative alle combinazioni dannose

    Puoi chiudere un caso di combinazione tossica correggendo la combinazione tossica sottostante o disattivando il risultato correlato nella consoleGoogle Cloud .

    Chiudere una richiesta correggendo una combinazione tossica

    Dopo aver risolto i problemi di sicurezza che costituiscono una combinazione tossica e non espongono più risorse nel tuo set di risorse di alto valore, il motore di rischio chiude automaticamente il caso durante la successiva simulazione del percorso di attacco, che viene eseguita circa ogni sei ore.

    Chiudere un problema disattivando il risultato

    Se il rischio rappresentato dalla combinazione tossica è accettabile per la tua attività o non riesci a risolvere il problema, puoi chiudere la richiesta disattivando il risultato correlato.

    Per disattivare un risultato di combinazione tossica:

    1. Nella console Google Cloud , vai a Rischio > Richieste.
    2. Individua e apri la richiesta di combinazione tossica.
    3. Fai clic sulla scheda dell'avviso correlato.
    4. Nel widget Riepilogo dei risultati, fai clic su Esplora i risultati in SCC. Si apre il risultato correlato.
    5. Utilizza le opzioni di disattivazione nella pagina dei dettagli del risultato per disattivarlo.

    Puoi anche disattivare i risultati nella console Google Cloud . Per saperne di più, vedi Disattivare una singola scoperta.

    Visualizzare le richieste relative alla combinazione tossica chiuse

    Quando una richiesta viene chiusa, Security Command Center la rimuove dalla pagina Richieste.

    Per visualizzare una richiesta relativa alla combinazione tossica chiusa:

    1. Nella console Google Cloud , vai a Indagine > Ricerca SOAR. Si apre la pagina della console SOAR Search Security Operations.
    2. Espandi la sezione Stato, poi seleziona Chiusa.
    3. Espandi la sezione Tag, quindi seleziona Combinazione tossica.
    4. Fai clic su Applica. Le richieste di combinazione tossica chiuse vengono visualizzate nei risultati di ricerca.