In diesem Dokument finden Sie eine Schritt-für-Schritt-Anleitung zum Aktivieren der Behebung von Problemen mit öffentlichen Buckets für die Playbooks für Sicherheitsstatus-Ergebnisse in der Enterprise-Stufe von Security Command Center.
Übersicht
Security Command Center unterstützt zusätzliche Behebungsmaßnahmen für die Sicherheitslücken in den folgenden Playbooks:
- Sicherheitsstatus-Ergebnisse – Allgemein
- Sicherheitsstatus-Ergebnisse mit Jira
- Sicherheitsstatus-Ergebnisse mit ServiceNow
Diese Playbooks für Sicherheitsstatus-Ergebnisse enthalten einen Block, mit dem die Ergebnisse OPEN PORT, PUBLIC IP ADDRESS und PUBLIC BUCKET ACL behoben werden. Weitere Informationen
zu diesen Ergebnistypen finden Sie unter Ergebnisse zu Sicherheitslücken.
Playbooks sind so vorkonfiguriert, dass sie die Ergebnisse OPEN PORT und PUBLIC IP ADDRESS verarbeiten. Um die Ergebnisse PUBLIC_BUCKET_ACL zu beheben, müssen Sie die Behebung von Problemen mit öffentlichen Buckets für Playbooks aktivieren.
Behebung von Problemen mit öffentlichen Buckets für Playbooks aktivieren
Nachdem der Security Health Analytics-Detektor (SHA) die öffentlich zugänglichen Cloud Storage-Buckets identifiziert und die Ergebnisse PUBLIC_BUCKET_ACL generiert hat, werden die Ergebnisse in Security Command Center Enterprise aufgenommen und Playbooks angehängt. Um die Behebung von Problemen mit öffentlichen Buckets für Playbooks für Sicherheitsstatus-Ergebnisse zu aktivieren, müssen Sie eine benutzerdefinierte IAM-Rolle erstellen, eine bestimmte Berechtigung dafür konfigurieren und die erstellte benutzerdefinierte Rolle einem vorhandenen Prinzipal zuweisen.
Hinweis
Für die Behebung von Problemen mit dem Zugriff auf öffentliche Buckets ist eine konfigurierte und ausgeführte Instanz der Cloud Storage-Integration erforderlich. Informationen zum Überprüfen der Integration skonfiguration finden Sie unter Enterprise-Anwendungsfall aktualisieren.
Benutzerdefinierte IAM-Rolle erstellen
So erstellen Sie eine benutzerdefinierte IAM-Rolle und konfigurieren eine bestimmte Berechtigung dafür:
Rufen Sie in der Google Cloud Console die Seite Rollen auf.
Klicken Sie auf Rolle erstellen , um eine benutzerdefinierte Rolle mit den für die Integration erforderlichen Berechtigungen zu erstellen.
Geben Sie für eine neue benutzerdefinierte Rolle den Titel, die Beschreibung und eine eindeutige ID an.
Legen Sie die Phase der Rollenerstellung auf Allgemeine Verfügbarkeit fest.
Fügen Sie der erstellten Rolle die folgende Berechtigung hinzu:
resourcemanager.organizations.setIamPolicyKlicken Sie auf Erstellen.
Benutzerdefinierte Rolle einem vorhandenen Prinzipal zuweisen
Nachdem Sie die neue benutzerdefinierte Rolle einem ausgewählten Prinzipal zugewiesen haben, kann dieser die Berechtigungen für jeden Nutzer in Ihrer Organisation ändern.
So weisen Sie die benutzerdefinierte Rolle einem vorhandenen Prinzipal zu:
Rufen Sie in der Google Cloud Console die Seite IAM auf.
Fügen Sie im Feld Filter den Wert für die E-Mail-Adresse der Workload Identity ein, die Sie für die Cloud Storage-Integration verwenden, und suchen Sie nach dem vorhandenen Prinzipal.
Klicken Sie auf Hauptkonto bearbeiten. Das Dialogfeld Bearbeitungszugriff auf "PROJECT" wird geöffnet.
Klicken Sie unter Rollen zuweisen auf Weitere Rolle hinzufügen.
Wählen Sie die erstellte benutzerdefinierte Rolle aus und klicken Sie auf Speichern.