Gerenciar combinações ruins e gargalos

Esta página fornece instruções para identificar e responder a combinações tóxicas e gargalos (Visualização) usando problemas (Visualização), casos ou descobertas.

Antes de começar

Para garantir que a detecção de combinações e gargalos tóxicos seja precisa, verifique se o software do componente de operações de segurança está atualizado, se o conjunto de recursos de alto valor foi designado corretamente e se você tem as permissões do IAM adequadas.

Conseguir as permissões necessárias

Para trabalhar com combinações tóxicas e gargalos no console do Google Cloud e no console de operações de segurança, você precisa de permissões concedidas em ambos os consoles.

Papéis do IAM no console do Google Cloud

Make sure that you have the following role or roles on the organization:

  • Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
  • Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
  • Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
  • Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
  • Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Acessar o IAM
  2. Selecionar uma organização.
  3. Clique em CONCEDER ACESSO.

  4. No campo Novos principais, insira seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.

  5. Na lista Selecionar um papel, escolha um.
  6. Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.

Para mais informações sobre papéis e permissões do Security Command Center, consulte IAM para ativações no nível da organização.

Papéis do console de operações de segurança

Para trabalhar com combinações e casos tóxicos no console de operações de segurança, você precisa de um dos seguintes papéis:

  • Gerenciador de vulnerabilidades do Chronicle SOAR
  • Gerenciador de ameaças do Chronicle SOAR
  • Administrador do Chronicle SOAR

Para saber como conceder a função a um usuário, consulte Mapear e autorizar usuários usando o IAM.

Instalar o caso de uso mais recente de operações de segurança

O recurso de combinação tóxica exige a versão de 25 de junho de 2024 ou mais recente do caso de uso SCC Enterprise: orquestração e correção na nuvem.

Para informações sobre como instalar o caso de uso, consulte Atualizar o caso de uso empresarial, junho de 2024.

Especificar o conjunto de recursos de alto valor

Não é necessário ativar a detecção de combinações tóxicas e gargalos. Ela está sempre ativada. O mecanismo de risco detecta automaticamente combinações tóxicas e pontos de estrangulamento que expõem um conjunto de recursos de alto valor padrão.

É improvável que as descobertas de combinação tóxica e ponto de estrangulamento geradas com base no conjunto de recursos de alto valor padrão reflitam com precisão suas prioridades de segurança. Para especificar quais recursos fazem parte do conjunto de recursos de alto valor, crie configurações de valor de recursos no console do Google Cloud. Para instruções, consulte Definir e gerenciar seu conjunto de recursos de alto valor.

Remediar combinações tóxicas e pontos de estrangulamento

Combinações tóxicas e gargalos podem expor muitos recursos de alto valor a possíveis invasores. É necessário corrigi-los antes de outros riscos nos seus ambientes em nuvem.

É possível priorizar a ordem em que você corrige combinações tóxicas e gargalos com base na pontuação de exposição a ataques. A forma de fazer isso muda dependendo de onde você encontra combinações e pontos de estrangulamento tóxicos.

Problemas (pré-lançamento)

As combinações tóxicas e os gargalos de maior risco são mostrados como problemas na página Visão geral do risco > do console de operações de segurança.

Todas as combinações tóxicas e pontos de estrangulamento podem ser visualizados na página Risco > Problemas.

Para corrigir um problema, siga estas instruções:

  1. Para conferir todos os problemas no console de operações de segurança, acesse Problemas:

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/security-command-center/issues

    Substitua CUSTOMER_SUBDOMAIN pelo seu identificador específico do cliente.

  2. Por padrão, os problemas agrupados são classificados por gravidade. No grupo, os problemas são classificados pela pontuação de exposição a ataques. Para classificar todos os problemas por pontuação de exposição a ataques, desative Agrupar por detecções.

  3. Selecione um problema.

  4. Revise a descrição e as evidências do problema.

  5. Se houver descobertas relacionadas, confira os detalhes delas.

  6. Se vários problemas críticos forem encontrados em um recurso principal em uma combinação tóxica ou gargalo (Pré-visualização), uma mensagem será exibida após o diagrama Evidência. Para otimizar os esforços de correção, clique em Filtrar problemas neste recurso principal nesta mensagem para se concentrar na resolução de problemas desse recurso específico. Clique na seta para voltar perto de Abrir painel de filtros Adicionar filtro quando quiser remover o filtro.

  7. Clique em Analisar caminhos de ataque completos no diagrama Evidência para entender melhor o problema e como os caminhos de ataque expõem recursos de alto valor.

  8. Clique em Como corrigir e siga as orientações para ajudar a reduzir o risco.

Casos

Para conferir todos os casos de combinação tóxica, acesse a página Casos. Os gargalos não geram um caso automaticamente e precisam ser visualizados na página Issues.

Para encontrar combinações tóxicas em casos, siga estas instruções:

  1. No console de operações de segurança, acesse Casos.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    Substitua CUSTOMER_SUBDOMAIN pelo seu identificador específico do cliente.

    A página Casos é aberta com a visualização Lado a lado selecionada.

  2. Na lista de casos, clique em Abrir painel de filtros Filtro de casos para abrir o painel de filtro. O painel Filtro da fila de casos é aberto.

  3. No Filtro da fila de casos, especifique o seguinte:

    1. No campo Período, especifique o período em que o caso está ativo.
    2. Defina Operador lógico como AND.
    3. Na caixa de lista de chaves de filtro, selecione Tags.
    4. Defina o operador de igualdade como is.
    5. Na caixa de lista de valores do filtro, selecione Combinação tóxica.
    6. Clique em Aplicar. Os casos na fila são atualizados para mostrar apenas aqueles que correspondem ao filtro especificado.

  4. Clique em Classificar ao lado de Abrir painel de filtros Filtro de casos e selecione Classificar por ataque de exposição (de alta para baixa).

  5. Na fila de casos, clique no caso que você quer consultar. Se você estiver visualizando casos na visualização em lista, clique no código do caso. As informações do caso são exibidas.

  6. Clique em Caso Visão geral do caso.

  7. Na seção Resumo do caso, siga as orientações de Próximas etapas.

Normalmente, uma combinação tóxica inclui uma ou mais descobertas de uma vulnerabilidade de software ou uma configuração incorreta. Para cada uma dessas descobertas, o Security Command Center abre automaticamente um caso separado e executa os playbooks associados. Você pode analisar os casos para essas descobertas e pedir aos proprietários de tíquetes que priorizem a correção para ajudar a resolver a combinação tóxica.

Para analisar as descobertas relacionadas em uma combinação tóxica, siga estas etapas:

  1. Na guia Caso Visão geral do caso de um caso, acesse a seção Descobertas.
  2. Na seção Descobertas, revise as descobertas listadas.
    • Clique no código do caso da descoberta para abrir o caso e conferir o status, o proprietário atribuído e outras informações.
    • Clique na pontuação de exposição a ataques para analisar o caminho de ataque da descoberta.
    • Se a descoberta tiver um ID de tíquete, clique nele para abrir o tíquete.

Como alternativa, você pode conferir as descobertas relacionadas nas respectivas guias de alerta no caso.

Descobertas

Uma combinação tóxica ou um gargalo encontrado é o registro inicial que o Risk Engine gera quando detecta uma combinação tóxica ou um gargalo no seu ambiente de nuvem.

É possível conferir as descobertas de combinação tóxica e ponto de estrangulamento nos seguintes locais:

  • A página Descobertas no console do Google Cloud.

  • A página Descobertas no console de operações de segurança.

Console do Google Cloud

Para corrigir as descobertas de combinação tóxica e gargalo no console do Google Cloud, siga estas etapas:

  1. Acesse a página Descobertas.

    Acesse Descobertas

  2. Selecione sua Google Cloud organização.

  3. Na seção Classe da descoberta do painel Filtros rápidos, selecione Combinação perigosa ou Estreitamento. O painel Resultados da consulta de descobertas é atualizado para mostrar apenas descobertas de combinação tóxica ou gargalo.

  4. Para classificar as descobertas por gravidade, clique no cabeçalho da coluna Pontuação de combinação tóxica ou Pontuação de exposição a ataques até que as pontuações fiquem em ordem decrescente.

  5. Clique em uma categoria para abrir o painel de detalhes. Acesse a seção Próximas etapas e siga as orientações para ajudar a corrigir o problema de segurança.

Console de operações de segurança

Para corrigir as descobertas de combinação tóxica e gargalo no console de operações de segurança, siga estas etapas:

  1. Acesse Risco > Resultados.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/security-command-center/findings

    Substitua CUSTOMER_SUBDOMAIN pelo seu identificador específico do cliente.

  2. Na seção Agregações, expanda Classe de descoberta e selecione Combinação tóxica e Estreitamento.

  3. Clique em Pontuação de exposição a ataques até que as pontuações estejam em ordem decrescente.

  4. Clique em uma categoria para abrir o painel de detalhes. Acesse a seção Próximas etapas e siga as orientações para ajudar a corrigir o problema de segurança.

Fechar casos de combinações tóxicas

É possível fechar um caso de combinação tóxica remediando a combinação tóxica ou desativando a descoberta relacionada no console do Google Cloud.

Fechar um caso corrigindo uma combinação tóxica

Depois de corrigir os problemas de segurança que compõem uma combinação tóxica e eles não exporem mais nenhum recurso no seu conjunto de recursos de alto valor, o Risk Engine fecha o caso automaticamente durante a próxima simulação de caminho de ataque, que é executada aproximadamente a cada seis horas.

Fechar um caso silenciando a descoberta

Se o risco apresentado pela combinação tóxica for aceitável para sua empresa ou se você não conseguir corrigir a combinação tóxica, feche o caso desativando a descoberta relacionada.

Para desativar uma descoberta de combinação tóxica, siga estas etapas:

  1. No console de operações de segurança, acesse Casos.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    Substitua CUSTOMER_SUBDOMAIN pelo seu identificador específico do cliente.

  2. Localize e abra o caso de combinação tóxica ou estrangulamento.

  3. Clique na guia de alerta relacionada.

  4. No widget Resumo da descoberta, clique em Analisar descobertas na SCC. A descoberta relacionada é aberta.

  5. Use as Opções de silenciar na página de detalhes da descoberta para desativar o som.

Também é possível silenciar descobertas no console do Google Cloud. Para mais informações, consulte Silenciar uma descoberta individual.

Acessar casos de combinação tóxica fechados

Quando um caso no console de operações de segurança é encerrado, o Security Command Center o remove da página Casos.

Para conferir um caso de combinação tóxica encerrado, siga estas etapas:

  1. No console de operações de segurança, acesse a página Pesquisa SOAR.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/sp-search

    Substitua CUSTOMER_SUBDOMAIN pelo seu identificador específico do cliente.

  2. Abra a seção Status e selecione Fechado.

  3. Abra a seção Tags e selecione Combinação tóxica.

  4. Clique em Aplicar. Os casos de combinação tóxica fechados são mostrados nos resultados da pesquisa.