Gerenciar combinações ruins e gargalos

Esta página apresenta instruções para identificar e responder a combinações tóxicas e pontos de gargalo (prévia) usando as seguintes páginas:

  • Problemas (prévia), disponível no nível de serviço Enterprise.
  • Casos, disponíveis no nível de serviço Enterprise.
  • Descobertas, disponíveis nos níveis de serviço Enterprise e Premium.

Antes de começar

Para garantir que a detecção de combinações tóxicas e gargalos seja precisa, verifique se o software do componente de operações de segurança está atualizado, se o conjunto de recursos de alto valor foi designado corretamente e se você tem as permissões adequadas do IAM.

Opcional: coletar dados de outras nuvens

O Risk Engine permite executar simulações com dados da Amazon Web Services (AWS) (prévia) e do Microsoft Azure (prévia) para identificar combinações tóxicas e gargalos.

Configure a conexão do Security Command Center com esses provedores de nuvem para coletar dados de recursos e configurações. Para informações sobre como configurar as conexões, consulte:

Para conferir a lista de recursos compatíveis, consulte Suporte a recursos do Risk Engine.

Receber as permissões necessárias

Para trabalhar com combinação tóxica e gargalos, você precisa de permissões que concedam acesso aos recursos do Security Command Center e do Google SecOps.

Papéis do IAM do Security Command Center

Make sure that you have the following role or roles on the organization:

  • Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
  • Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
  • Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
  • Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
  • Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Acessar o IAM
  2. Selecionar uma organização.
  3. Clique em CONCEDER ACESSO.

  4. No campo Novos principais, insira seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.

  5. Na lista Selecionar um papel, escolha um.
  6. Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
  7. Clique em Salvar.

    8. Para mais informações sobre papéis e permissões do Security Command Center, consulte IAM para ativações no nível da organização.

    Papéis do IAM do Google SecOps

    Para trabalhar com combinações e casos tóxicos, você precisa de uma das seguintes funções:

    • Gerenciador de vulnerabilidades do Chronicle SOAR (roles/chronicle.soarVulnerabilityManager)
    • Gerenciador de ameaças do Chronicle SOAR (roles/chronicle.soarThreatManager)
    • Administrador do Chronicle SOAR (roles/chronicle.soarAdmin)

    Para informações sobre como conceder o papel a um usuário, consulte Mapear e autorizar usuários usando o IAM.

    Instalar o caso de uso mais recente de operações de segurança

    O recurso de combinação tóxica requer a versão de 25 de junho de 2024 ou posterior do caso de uso SCC Enterprise – Orquestração e correção na nuvem.

    Para informações sobre como instalar o caso de uso, consulte Atualização do caso de uso empresarial, junho de 2024.

    Especifique seu conjunto de recursos de alto valor

    Não é necessário ativar a detecção de combinações ruins e pontos de estrangulamento. Ela está sempre ativada. O mecanismo de risco detecta automaticamente combinações tóxicas e pontos de gargalo que expõem um conjunto padrão de recursos de alto valor.

    É improvável que as descobertas de combinação tóxica e ponto de gargalo geradas com base no conjunto padrão de recursos de alto valor reflitam com precisão suas prioridades de segurança. Para especificar quais recursos fazem parte do seu conjunto de recursos de alto valor, crie configurações de valor de recursos no console do Google Cloud . Para instruções, consulte Definir e gerenciar seu conjunto de recursos de alto valor.

    Corrigir combinações ruins e pontos de estrangulamento

    Combinações tóxicas e pontos de estrangulamento podem expor muitos recursos de alto valor a possíveis invasores. É recomendável corrigir esses problemas antes de outros riscos nos seus ambientes de nuvem.

    É possível priorizar a ordem de correção das combinações tóxicas e dos pontos de gargalo com base na pontuação de exposição a ataques. A forma de fazer isso muda dependendo de onde você vê as combinações ruins e os pontos de estrangulamento.

    Problemas

    Acesse as combinações tóxicas e os pontos de estrangulamento de maior risco (mostrados como problemas) na página Visão geral de > risco (Prévia).

    Todas as combinações ruins e pontos de estrangulamento podem ser vistos na página Risco > Problemas (Prévia).

    Para corrigir um problema, siga estas instruções:

    1. Para ver todos os problemas, acesse Risco > Problemas.
    2. Por padrão, os problemas agrupados são classificados por gravidade. Dentro do grupo, os problemas são classificados por pontuação de exposição a ataques. Para classificar todos os problemas por pontuação de exposição a ataques, desative Agrupar por detecções.
    3. Selecione um problema.
    4. Analise a descrição e as evidências do problema.
    5. Se houver descobertas relacionadas, confira os detalhes delas.
    6. Se vários problemas críticos forem encontrados em um recurso principal em uma combinação tóxica ou ponto de estrangulamento (prévia), uma mensagem vai aparecer após o diagrama de evidências. Para otimizar seus esforços de correção, clique em Filtrar problemas neste recurso principal na mensagem para se concentrar em resolver problemas desse recurso específico. Clique na seta para trás perto de Abrir o painel de filtros Adicionar filtro quando quiser remover o filtro.
    7. Clique em Analisar caminhos de ataque completos no diagrama Evidências para entender melhor o problema e como os caminhos de ataque expõem recursos de alto valor.
    8. Clique em Como corrigir e siga as orientações para reduzir o risco.

    Casos

    Para ver todos os casos de combinação tóxica, acesse a página Casos. Os pontos de estrangulamento não geram um caso automaticamente e devem ser visualizados na página Problemas.

    Para encontrar combinações tóxicas em casos, siga estas instruções:

    1. No console do Google Cloud , acesse Risco > Casos. A página Casos do console do Security Operations será aberta.
    2. Na lista de casos, clique em Abrir o painel de filtros Filtro de casos para abrir o painel de filtros. O painel Filtro da fila de casos é aberto.
    3. No Filtro da fila de casos, especifique o seguinte: 1. No campo Período, especifique o período em que o caso está ativo. 1. Defina o Operador lógico como AND. 1. Na caixa de listagem de chaves de filtro, selecione Tags. 1. Defina o operador de igualdade como é. 1. Na caixa de listagem de valores do filtro, selecione Combinação tóxica. 1. Clique em Aplicar. Os casos na fila são atualizados para mostrar apenas aqueles que correspondem ao filtro especificado.
    4. Clique em Classificar ao lado de Abrir o painel de filtros Filtro de casos e selecione Classificar por exposição a ataques (de alta a baixa).
    5. Na fila de casos, clique no caso que você quer acessar. Se você estiver visualizando casos na Visualização em lista, clique no ID do caso. As informações do caso aparecem.
    6. Clique em Caso Visão geral do caso.
    7. Na seção Resumo do caso, siga as orientações em Próximas etapas.

    Normalmente, uma combinação tóxica inclui uma ou mais descobertas de uma vulnerabilidade de software ou uma configuração incorreta. Para cada uma dessas descobertas, o Security Command Center abre automaticamente um caso separado e executa os playbooks associados. Você pode analisar os casos desses resultados e pedir aos proprietários dos tíquetes para priorizar a correção e resolver a combinação tóxica.

    Para analisar as descobertas relacionadas em uma combinação tóxica, siga estas etapas:

    1.  From the ![Case](/security-command-center/images/icons-uno/case.svg){:.inline-icon}

    Visão geral do caso, acesse a seção Descobertas. 1. Na seção Descobertas, analise as descobertas listadas. * Clique no ID do caso da descoberta para abrir o caso e conferir o status, o proprietário atribuído e outras informações. * Clique na pontuação de exposição a ataques para analisar o caminho de ataque da descoberta. * Se a descoberta tiver um ID de tíquete, clique nele para abrir o tíquete.

    Como alternativa, é possível conferir as descobertas relacionadas nas guias de alerta do caso.

    Descobertas

    Uma descoberta de combinação ruim ou ponto de estrangulamento é o registro inicial que o Risk Engine gera quando detecta uma combinação ruim ou um ponto de estrangulamento no seu ambiente de nuvem.

    Para ver as descobertas de combinações ruins e pontos de estrangulamento, acesse a página Descobertas e clique na guia do nível de serviço.

    Premium

    1. Acesse a página Descobertas.

      Acesse Descobertas

    2. Selecione sua Google Cloud organização.

    3. Na seção Classe da descoberta do painel Filtros rápidos, selecione Combinação tóxica ou Ponto de estrangulamento. O painel Resultados da consulta de descobertas é atualizado para mostrar apenas descobertas de combinação tóxica ou gargalo.

    4. Para classificar as descobertas por gravidade, clique no cabeçalho da coluna Pontuação de exposição a ataques até que as pontuações estejam em ordem decrescente.

    5. Clique em uma categoria para abrir o painel de detalhes da descoberta. Acesse a seção Próximas etapas e siga as orientações para corrigir o problema de segurança.

    Enterprise

    1. No console Google Cloud , acesse a página Descobertas do Security Command Center.

      Acesse Descobertas no nível Enterprise

    2. Selecione sua Google Cloud organização.
    3. Na seção Agregações, expanda Classe de descoberta e selecione Combinação tóxica e Ponto de estrangulamento.
    4. Clique em Pontuação de exposição a ataques até que as pontuações estejam em ordem decrescente.
    5. Clique em uma categoria para abrir o painel de detalhes da descoberta. Acesse a seção Próximas etapas e siga as orientações para corrigir o problema de segurança.

    Fechar casos de combinações tóxicas

    Para fechar um caso de combinação tóxica, corrija a combinação tóxica subjacente ou silencie a descoberta relacionada no consoleGoogle Cloud .

    Fechar um caso corrigindo uma combinação tóxica

    Depois que você corrigir os problemas de segurança que compõem uma combinação tóxica e eles não expuserem mais nenhum recurso no seu conjunto de recursos de alto valor, o Risk Engine vai fechar o caso automaticamente durante a próxima simulação de caminho de ataque, que é executada aproximadamente a cada seis horas.

    Silenciar uma descoberta para fechar um caso

    Se o risco representado pela combinação tóxica for aceitável para sua empresa ou se não for possível corrigir a combinação tóxica, feche o caso silenciando a descoberta relacionada.

    Para desativar uma descoberta de combinação tóxica, siga estas etapas:

    1. No console do Google Cloud , acesse Risco > Casos.
    2. Encontre e abra o caso de combinação tóxica.
    3. Clique na guia de alertas relacionados.
    4. No widget Resumo da descoberta, clique em Analisar descobertas no SCC. A descoberta relacionada é aberta.
    5. Use as Opções de silenciamento na página de detalhes da descoberta para silenciar.

    Também é possível silenciar descobertas no console Google Cloud . Para mais informações, consulte Silenciar uma descoberta individual.

    Ver casos de combinação tóxica encerrados

    Quando um caso é encerrado, o Security Command Center o remove da página Casos.

    Para conferir um caso encerrado de combinação tóxica, siga estas etapas:

    1. No console Google Cloud , acesse Investigação > Pesquisa do SOAR. A página do console de operações de segurança Pesquisa do SOAR é aberta.
    2. Expanda a seção Status e selecione Fechado.
    3. Expanda a seção Tags e selecione Combinação tóxica.
    4. Clique em Aplicar. Os casos de combinação tóxica fechados são mostrados nos resultados da pesquisa.