Gerenciar combinações tóxicas

Esta página oferece instruções para identificar e responder a combinações tóxicas usando casos e descobertas.

Antes de começar

Para garantir que a detecção de combinações tóxicas seja precisa, verifique se o software do componente de Operações de segurança está atualizado, seu alto valor recursos sejam designados com precisão e que você tenha as permissões do IAM.

Conseguir as permissões necessárias

Trabalhar com casos e descobertas de combinações tóxicas em todo o No console do Google Cloud e no console de operações de segurança, você precisa ter permissões concedidas a você nos dois consoles.

Papéis do IAM no console do Google Cloud

Make sure that you have the following role or roles on the organization:

  • Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
  • Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
  • Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
  • Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
  • Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Acessar o IAM
  2. Selecionar uma organização.
  3. Clique em CONCEDER ACESSO.

  4. No campo Novos principais, insira seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.

  5. Na lista Selecionar um papel, escolha um.
  6. Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
  7. Clique em Salvar.

    8. Para mais informações sobre papéis e permissões do Security Command Center, consulte IAM para ativações no nível da organização.

    Papéis do console de Operações de Segurança

    Para trabalhar com casos e descobertas de combinações tóxicas no console de operações de segurança, você precisa de qualquer um dos seguintes papéis:

    • Gerenciador de vulnerabilidades do Chronicle SOAR
    • Gerenciador de ameaças do Chronicle SOAR
    • Administrador do Chronicle SOAR

    Para informações sobre como conceder o papel a um usuário, consulte Mapeie e autorize usuários usando o IAM.

    Instale o caso de uso mais recente de operações de segurança

    O recurso de combinação tóxica exige a versão de 25 de junho de 2024 ou mais recente do caso de uso SCC Enterprise – Cloud Orchestrator and Remediation.

    Para informações sobre como instalar o caso de uso, consulte Atualizar o caso de uso do Enterprise, junho de 2024.

    Especifique quais recursos são de alto valor

    Não é necessário ativar a detecção de combinações tóxicas, que está sempre ativada, mas é necessário especificar quais recursos da nuvem são de alto valor.

    Até que você especifique quais deles são recursos de alto valor, O Risk Engine detecta combinações tóxicas que expõem uma conjunto de recursos de alto valor padrão.

    Descobertas de combinação tóxica geradas com base no e de alto valor provavelmente não refletirão com precisão as prioridades de segurança.

    Para especificar quais dos seus recursos são de alto valor, crie configurações do valor do recurso no console do Google Cloud. Para instruções, consulte Defina e gerencie seu conjunto de recursos de alto valor.

    Conferir casos de combinação tóxica

    Tenha uma visão geral de todos os casos de combinação tóxica e consulte detalhes de cada caso no console de Operações de Segurança.

    Confira uma visão geral de todos os casos de combinação tóxica

    Na página Visão geral da postura, vários widgets oferecem uma visão geral rápida dos casos de combinação tóxica no seu ambiente de nuvem. Você pode você encontrará as seguintes informações:

    • Casos de combinação tóxica abertos: é o número de combinações tóxicas abertas. casos em cada nível de prioridade. Clique na barra de uma determinada prioridade para abrir uma visualização em lista dos casos.
    • Principais casos de combinação tóxica: os principais casos de combinação tóxica classificados por pontuação de exposição a ataques. Clique no código do caso para abrir um caso.
    • Casos de combinação tóxica além do SLA: os casos de combinação tóxica classificados pelo tempo restante no contrato de nível de serviço (SLA). Clique no código do caso para abrir um caso.

    Você encontra a página Visão geral da postura no seguinte URL:

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/overview

    Substitua CUSTOMER_SUBDOMAIN pelo identificador específico do cliente.

    Conferir os detalhes de um caso de combinação tóxica

    Em qualquer visualização em lista dos casos de combinação tóxica, é possível abrir os detalhes do caso clicando no ID do caso.

    1. No console de Operações de Segurança, acesse Casos.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      Substitua CUSTOMER_SUBDOMAIN pelo seu identificador específico do cliente.

      A página Casos é aberta com a visualização Lado a lado selecionada.

    2. Na parte superior da lista de casos, clique no ícone de filtro . para abrir o painel de filtros. O painel Filtro de fila de casos é aberto.

    3. Em Filtro de fila de casos, especifique o seguinte:

      1. No campo Período, especifique o período em que o caso está ativo.
      2. Defina Operador lógico como AND.
      3. Para o primeiro valor em Operador lógico, selecione Tags na o menu.
      4. Para o segundo valor, selecione Combinações tóxicas.
      5. Especifique outros pares de valores conforme necessário para encontrar o caso específico que você precisa ver.
      6. Clique em Aplicar. Os casos na fila são atualizados para mostrar apenas os casos que correspondem ao filtro especificado.

    4. Na fila de casos, selecione o caso que você precisa. As informações do caso telas, incluindo as seguintes visualizações com guias:

      • A guia Visão geral do caso () fornece informações sobre os efeitos tóxicos incluindo um diagrama simplificado de caminho de ataque, uma lista descobertas relacionadas, uma lista de casos semelhantes, alertas, um gráfico de entidades, e muito mais.
      • A guia Mural de casos () contém um registro de ações, alterações de status, tarefas comentários e muito mais.
      • A guia Encontrando alerta oferece informações mais detalhadas sobre a combinação tóxica, incluindo o seguinte:
        • Em Visão geral, uma descrição da combinação tóxica e próximas etapas que você pode seguir para remediar a combinação tóxica.
        • Em Eventos, uma lista de propriedades de descoberta.
        • Em Playbooks, vai aparecer uma lista de playbooks associados.

    Priorizar casos de combinação tóxica

    Para priorizar um caso de combinação tóxica em relação a outros casos de postura, compare as pontuações de exposição a ataques.

    Geralmente, priorize a correção de um caso de combinação tóxica em vez da correção de casos de outras categorias de descoberta de postura, a menos que a pontuação de exposição a ataques no caso de outra categoria de descoberta seja significativamente maior do que a pontuação do caso de combinação tóxica.

    Casos com combinação tóxica precisam ser priorizados porque os tópicos tóxicos diferentes representam um caminho completo que, se um determinado atacante tivesse acesso ao seu ambiente na nuvem, o invasor poderia seguir da Internet pública para um ou mais de seus recursos de alto valor.

    No console de Operações de Segurança, é possível conferir casos de combinação que têm as maiores pontuações de exposição a ataques no Widget Principais casos de combinação tóxica na página Visão geral em Postura.

    É possível classificar todos os casos de combinação tóxica por exposição a ataques pontuação na página Casos. Para mais informações sobre visualização, filtrar e classificar casos de combinação tóxica, consulte Confira casos de combinação tóxica.

    Corrigir uma combinação tóxica

    Você pode encontrar orientações sobre como corrigir uma combinação tóxica na caso aberto para a descoberta no console de Operações de Segurança, ou no próprio registro de descoberta.

    Conferir orientações de correção em um caso

    Para conferir as orientações de correção em um caso de combinação tóxica, siga estas etapas:

    1. Acesse a página Casos no console de Operações de segurança.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      Substitua CUSTOMER_SUBDOMAIN pelo seu identificador específico do cliente.

    2. Abra o caso da combinação tóxica que você precisa corrigir.

    3. Clique na guia Caso ou Alerta.

    4. Consulte a seção Próximas etapas em um dos seguintes widgets:

      • Se você clicou na guia Caso, no widget Resumo do caso.
      • Se você clicou na guia Alerta, no widget Resumo de descobertas.

      Se necessário, role além da Descrição da descoberta para ver as Próximas etapas.

    Conferir orientações de correção em uma descoberta de combinação tóxica

    Para ver a orientação de correção em um registro de descoberta, siga estas etapas:

    1. No console de Operações de Segurança, acesse Postura > Descobertas.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

      Substitua CUSTOMER_SUBDOMAIN pelo identificador específico do cliente.

    2. Encontre a combinação tóxica selecionando Filtros rápidos ou editando a consulta de descoberta.

    3. Clique no nome da categoria de descoberta para abrir os detalhes. A descoberta a página de detalhes será aberta.

    4. Na página de detalhes da descoberta na seção Próximas etapas do Resumo, revise a orientação de correção.

    Analisar as descobertas em um caso de combinação tóxica

    Normalmente, uma combinação tóxica inclui uma ou mais descobertas de um software ou uma configuração incorreta. Para cada uma dessas descobertas, O Security Command Center abre automaticamente um caso separado e executa a playbooks associados. É possível analisar os casos dessas descobertas, e solicite que os proprietários dos tíquetes priorizem as correções a combinação tóxica.

    Para analisar as descobertas em uma combinação tóxica, siga estas etapas:

    1. No console de Operações de Segurança, acesse Casos.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      Substitua CUSTOMER_SUBDOMAIN pelo seu identificador específico do cliente.

    2. Localize e abra o caso de combinação tóxica.

    3. Selecione a guia de visão geral do caso ().

    4. Na seção Descobertas da guia de visão geral do caso, revise as descobertas.

    5. Clique em uma descoberta para mostrar informações resumidas sobre ela, incluindo o ID do caso, a pontuação de exposição a ataques e o ID do tíquete.

      • Clique no ID do caso da descoberta para abrir e conferir o status. proprietário atribuído e outras informações do caso.
      • Clique na pontuação de exposição a ataques para revisar o caminho de ataque da descoberta.
      • Clique no ID do tíquete para abrir o tíquete da descoberta.

    Fechar um caso de combinação tóxica

    É possível encerrar um caso de combinação tóxica corrigindo o combinação tóxica subjacente ou silenciando a descoberta da combinação tóxica no console do Google Cloud.

    Fechar um caso remediando uma combinação tóxica

    Depois de corrigir um ou mais problemas de segurança que compõem uma tóxica, para que não exponham mais recursos de alto valor, O Risk Engine fecha o caso de combinação tóxica automaticamente durante a próxima simulação do caminho de ataque, que é executada a cada seis horas, aproximadamente

    Para corrigir uma combinação tóxica, siga as orientações fornecidos no caso de combinação tóxica em Próximas etapas.

    Para mais informações, consulte Como corrigir uma combinação tóxica.

    Encerrar um caso silenciando a descoberta

    Se o risco apresentado pela combinação tóxica for aceitável para sua sua empresa ou se não conseguir remediar a combinação tóxica, pode fechar o caso silenciando a descoberta da combinação tóxica.

    Para desativar uma descoberta de combinação tóxica, siga estas etapas:

    1. No console de Operações de Segurança, acesse Casos.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      Substitua CUSTOMER_SUBDOMAIN pelo seu identificador específico do cliente.

    2. Localize e abra o caso de combinação tóxica.

    3. Selecione a guia "Alerta de descoberta".

    4. No canto inferior direito do widget Resumo de descobertas, clique em Explorar. A descoberta de combinação tóxica é aberta.

    5. Use as Opções de silenciamento no canto superior direito da descoberta. página de detalhes para silenciar a descoberta.

    Também é possível silenciar as descobertas no console do Google Cloud. Para mais informações, consulte Silenciar uma descoberta individual.

    Visualização de casos fechados de combinação tóxica

    Quando um caso no console de operações de segurança é encerrado, o Security Command Center o remove da página Casos.

    Para conferir um caso de combinação tóxica encerrado, siga estas etapas:

    1. No console de Operações de Segurança, acesse a página Pesquisa SOAR.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/sp-search

      Substitua CUSTOMER_SUBDOMAIN pelo seu identificador específico do cliente.

    2. No lado esquerdo da página, em Status, especifique Fechado.

    3. Em Tags, especifique a Combinação tóxica.

    4. Clique em Aplicar. Todos os casos de combinação tóxica fechados são exibidos nos resultados da pesquisa.

    Ver descobertas de combinação tóxica

    Uma descoberta de combinação tóxica é o registro inicial que O Risk Engine apresenta problemas ao detectar uma combinação tóxica. no seu ambiente de nuvem. O Security Command Center abre automaticamente um caso para cada descoberta de combinação tóxica gerada pelo Risk Engine.

    É possível conferir as descobertas de combinações tóxicas diretamente no console do Google Cloud na página Visão geral de risco ou na página Descobertas.

    Na página Visão geral do risco, as descobertas de combinações tóxicas que as pontuações mais altas de exposição a ataques são exibidas. Cada descoberta é listada com um link para seu caso correspondente na console de operações de segurança.

    Para consultar as descobertas de combinações tóxicas, siga estas etapas:

    1. No console do Google Cloud, acesse a página Descobertas do Security Command Center.

      Acesse Descobertas

    2. Se necessário, selecione sua organização do Google Cloud.

    3. Na seção Classe da descoberta do painel Filtros rápidos, faça o seguinte: Selecione Combinação tóxica. O painel Resultados da consulta de descobertas é atualizado para mostrar apenas descobertas de combinação tóxica.

    4. Para priorizar as descobertas da combinação tóxica, classifique-as em Ordem decrescente por pontuação. Para isso, clique em Pontuação de combinação tóxica. cabeçalho da coluna.