En esta página, se proporcionan instrucciones para identificar y responder a combinaciones tóxicas y puntos críticos con las siguientes páginas:
- Problemas, disponibles en los niveles de servicio Premium y Enterprise
- Casos, disponibles en el nivel de servicio Enterprise
- Resultados, disponibles en los niveles de servicio Premium y Enterprise
Antes de comenzar
Para asegurarte de que la detección de combinaciones tóxicas y puntos críticos sea precisa, verifica que el software del componente de operaciones de seguridad esté actualizado, que tu conjunto de recursos de alto valor esté designado con precisión y que tengas los permisos de IAM adecuados.
Opcional: Recopila datos de otras nubes
El motor de riesgo admite la ejecución de simulaciones en datos de Amazon Web Services (AWS) (vista previa) y Microsoft Azure (vista previa) para identificar combinaciones tóxicas y puntos críticos.
Configura la conexión de Security Command Center a estos proveedores de servicios en la nube para recopilar datos de recursos y configuración. Para obtener información sobre cómo configurar las conexiones, consulta lo siguiente:
- Conéctate a AWS para recopilar datos de configuración y recursos
- Conéctate a Microsoft Azure para recopilar datos de configuración y recursos
Para obtener la lista de recursos compatibles, consulta Compatibilidad con las funciones del motor de riesgo.
Obtén los permisos necesarios
Para trabajar con combinaciones tóxicas y puntos críticos, necesitas permisos que otorguen acceso a las funciones de Security Command Center y Google SecOps.
Roles de IAM de Security Command Center
Para obtener los permisos que necesitas para trabajar con combinaciones tóxicas y puntos críticos, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu organización:
-
Ver rutas de ataque:
- Visualizador administrador del centro de seguridad (
roles/securitycenter.adminViewer) - Lector de rutas de ataque del centro de seguridad (
roles/securitycenter.attackPathsViewer) - Visualizador de hallazgos del centro de seguridad (
roles/securitycenter.findingsViewer)
- Visualizador administrador del centro de seguridad (
-
Ver los resultados de la ruta de ataque:
- Visualizador administrador del centro de seguridad (
roles/securitycenter.adminViewer) - Lector de rutas de ataque del centro de seguridad (
roles/securitycenter.attackPathsViewer) - Visualizador de hallazgos del centro de seguridad (
roles/securitycenter.findingsViewer)
- Visualizador administrador del centro de seguridad (
-
Ver resultados:
- Visualizador administrador del centro de seguridad (
roles/securitycenter.adminViewer) - Visualizador de hallazgos del centro de seguridad (
roles/securitycenter.findingsViewer)
- Visualizador administrador del centro de seguridad (
-
Silenciar resultados:
- Visualizador administrador del centro de seguridad (
roles/securitycenter.adminViewer) - Editor de hallazgos del centro de seguridad (
roles/securitycenter.findingsEditor) - Definidor para silenciar hallazgos del centro de seguridad (
roles/securitycenter.findingsMuteSetter)
- Visualizador administrador del centro de seguridad (
-
Ver recursos:
- Visualizador administrador del centro de seguridad (
roles/securitycenter.adminViewer) - Definidor para silenciar hallazgos del centro de seguridad (
roles/securitycenter.findingsMuteSetter)
- Visualizador administrador del centro de seguridad (
-
Editar resultados:
- Visualizador administrador del centro de seguridad (
roles/securitycenter.adminViewer) - Editor de hallazgos del centro de seguridad (
roles/securitycenter.findingsEditor) - Visualizador de hallazgos del centro de seguridad (
roles/securitycenter.findingsViewer)
- Visualizador administrador del centro de seguridad (
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.
Para obtener más información sobre los roles y permisos de Security Command Center, consulta IAM para activaciones a nivel de la organización.
Roles de IAM de Google SecOps
Para el nivel de servicio Enterprise, para trabajar con combinaciones tóxicas y casos, necesitas cualquiera de los siguientes roles:
- Administrador de vulnerabilidades de Chronicle SOAR (
roles/chronicle.soarVulnerabilityManager) - Administrador de amenazas de Chronicle SOAR (
roles/chronicle.soarThreatManager) - Administrador de Chronicle SOAR (
roles/chronicle.soarAdmin)
Para obtener información sobre cómo otorgar el rol a un usuario, consulta Asigna y autoriza usuarios con IAM.
Instala el caso de uso de operaciones de seguridad más reciente
La función de combinación tóxica requiere la versión del 25 de junio de 2024 o posterior del caso de uso de SCC Enterprise: organización y corrección en la nube.
Para obtener información sobre cómo instalar el caso de uso, consulta Actualiza el caso de uso de Enterprise, junio de 2024.
Especifica tu conjunto de recursos de alto valor
No es necesario habilitar la detección de combinaciones tóxicas y puntos críticos, ya que siempre está activada. El motor de riesgo detecta automáticamente combinaciones tóxicas y puntos críticos que exponen un conjunto de recursos de alto valor predeterminado.
Es poco probable que los resultados de combinaciones tóxicas y puntos críticos generados en función del conjunto de recursos de alto valor predeterminado reflejen con precisión tus prioridades de seguridad. Para especificar qué recursos forman parte de tu conjunto de recursos de alto valor, crea configuraciones del valor de recurso en la Google Cloud consola de. Si deseas obtener instrucciones, consulta Define y administra tu conjunto de recursos de alto valor set.
Corrige combinaciones tóxicas y puntos críticos
Las combinaciones tóxicas y los puntos críticos pueden exponer muchos recursos de alto valor a posibles atacantes. Debes corregirlos antes que otros riesgos en tus entornos de nube.
Puedes priorizar el orden en el que corriges las combinaciones tóxicas y los puntos críticos en función de su puntuación de exposición a ataques. La forma de hacerlo cambia según dónde veas las combinaciones tóxicas y los puntos críticos.
Problemas
Para los niveles de servicio Premium y Enterprise, puedes acceder a las combinaciones tóxicas y los puntos críticos de mayor riesgo (que se muestran como problemas) en las siguientes páginas:
- Nivel de servicio Enterprise: Riesgo > Descripción general página
- Nivel de servicio Premium: Security Command Center > Descripción general de riesgos
Todas las combinaciones tóxicas y los puntos críticos se pueden ver en la página Riesgo > Problemas.
Para corregir un problema, completa las siguientes instrucciones:
Premium
Ver todos los problemas
- Para ver todos los problemas, ve a la página Problemas de Security Command Center.
- Selecciona tu Google Cloud organización.
Ordenar por puntuación de exposición a ataques
- De forma predeterminada, los problemas agrupados se clasifican por gravedad. Dentro del grupo, los problemas se clasifican por puntuación de exposición a ataques. Para ordenar todos los problemas por puntuación de exposición a ataques, inhabilita Agrupar por detecciones.
- Selecciona un problema.
- Revisa la descripción y la evidencia del problema.
Acceder a más información
- Si hay resultados relacionados, consulta sus detalles.
- Si se encuentran varios problemas críticos en un recurso principal en
una combinación tóxica o un punto crítico, se muestra un mensaje después de
el diagrama de Evidencia. Para optimizar tus esfuerzos de corrección, haz clic
Filtrar los problemas de este recurso principal en este mensaje para enfocarte en
resolver los problemas de ese recurso específico. Haz clic en la flecha hacia atrás cerca de
Agregar filtro cuando quieras quitar el filtro. - Haz clic en Explorar rutas de ataque completas en el diagrama de Evidencia para comprender en detalle el problema y cómo las rutas de ataque exponen recursos de alto valor.
- Haz clic en Cómo corregir y sigue la guía para ayudar a mitigar el riesgo.
Enterprise
Ver todos los problemas
- Para ver todos los problemas, ve a la página Riesgo > Problemas de Security Command Center.
- Selecciona tu Google Cloud organización.
Ordenar por puntuación de exposición a ataques
- De forma predeterminada, los problemas agrupados se clasifican por gravedad. Dentro del grupo, los problemas se clasifican por puntuación de exposición a ataques. Para ordenar todos los problemas por puntuación de exposición a ataques, inhabilita Agrupar por detecciones.
- Selecciona un problema.
- Revisa la descripción y la evidencia del problema.
Acceder a más información
- Si hay resultados relacionados, consulta sus detalles.
- Si se encuentran varios problemas críticos en un recurso principal en
una combinación tóxica o un punto crítico, se muestra un mensaje después de
el diagrama de Evidencia. Para optimizar tus esfuerzos de corrección, haz clic
Filtrar los problemas de este recurso principal en este mensaje para enfocarte en
resolver los problemas de ese recurso específico. Haz clic en la flecha hacia atrás cerca de
Agregar filtro cuando quieras quitar el filtro.
- Haz clic en Explorar rutas de ataque completas en el diagrama de Evidencia para comprender en detalle el problema y cómo las rutas de ataque exponen recursos de alto valor.
- Haz clic en Cómo corregir y sigue la guía para ayudar a mitigar el riesgo.
Casos
Para el nivel de servicio Enterprise, puedes ver todos los casos de combinación tóxica si vas a la página Casos. Los puntos críticos no generan automáticamente un caso y deben verse en la página Problemas.
Para encontrar combinaciones tóxicas en casos, completa las siguientes instrucciones:
- En la Google Cloud consola de, ve a Riesgo > Casos. Se abrirá la página Casos de la consola de Security Operations.
- En la lista de casos, haz clic en
Filtro de casos para abrir el panel de filtros. Se abrirá el panel Filtro de la cola de casos.
- En el Filtro de la cola de casos, especifica lo siguiente: 1. En el campo Período, especifica el período durante el que el caso está activo. 1. Establece Operador lógico en AND. 1. En el cuadro de lista de claves de filtro, selecciona Etiquetas. 1. Establece el operador de igualdad en es. 1. En el cuadro de lista de valores de filtro, selecciona Combinación tóxica. 1. Haz clic en Aplicar. Los casos de la cola de casos se actualizan para mostrar solo los que coinciden con el filtro que especificaste.
- Haz clic en Ordenar junto a
Filtro de casos y selecciona Ordenar por exposición a ataques (de mayor a menor).
- En la cola de casos, haz clic en el caso que deseas ver. Si ves los casos en la Vista de lista, haz clic en el ID del caso. Se mostrará la información del caso.
- Haz clic en
Descripción general del caso. - En la sección Resumen del caso, sigue la guía de Próximos pasos.
Revisa los resultados relacionados en casos de combinaciones tóxicas
Por lo general, una combinación tóxica incluye uno o más resultados de una vulnerabilidad de software o un error de configuración. Para cada uno de estos resultados, Security Command Center abre automáticamente un caso independiente y ejecuta las guías asociadas. Puedes revisar los casos de estos resultados y pedir a los propietarios de los tickets que prioricen su corrección para ayudar a resolver la combinación tóxica.
Para revisar los resultados relacionados en una combinación tóxica, sigue estos pasos:
- En la pestaña
Descripción general del caso de un caso, ve a la sección Resultados.
En la sección Resultados, revisa los resultados que se muestran.
- Haz clic en el ID del caso del resultado para abrir el caso y ver su estado, el propietario asignado y otra información del caso.
- Haz clic en la puntuación de exposición a ataques para revisar la ruta de ataque del resultado.
- Si el hallazgo tiene un ID de ticket, haz clic en él para abrir el ticket.
Como alternativa, puedes ver los resultados relacionados en sus propias pestañas de alertas en el caso.
Resultados
Un hallazgo de combinación tóxica o punto crítico es el registro inicial que genera el motor de riesgo cuando detecta una combinación tóxica o un punto crítico en tu entorno de nube.
Ir a la página Resultados.
Selecciona tu Google Cloud organización.
En la sección Clase de hallazgo del panel Filtros rápidos , selecciona Combinación tóxica o Punto crítico. El panel Resultados de la búsqueda se actualiza para mostrar solo los resultados de combinaciones tóxicas o puntos críticos.
Para ordenar los resultados por gravedad, haz clic en el encabezado de la columna Puntuación de exposición a ataques hasta que las puntuaciones estén en orden descendente.
Haz clic en una categoría de resultado para abrir el panel de detalles del resultado. Ve a la sección Próximos pasos y sigue la guía para ayudar a corregir el problema de seguridad.
Cierra casos de combinaciones tóxicas
Puedes cerrar un caso de una combinación tóxica si corriges la combinación tóxica subyacente o si silencias el hallazgo relacionado en laGoogle Cloud consola.
Cierra un caso corrigiendo una combinación tóxica
Después de corregir los problemas de seguridad que componen una combinación tóxica y que ya no exponen ningún recurso en tu conjunto de recursos de alto valor, el motor de riesgo cierra el caso automáticamente durante la próxima simulación de ruta de ataque, que se ejecuta aproximadamente cada seis horas.
Cierra un caso silenciando el resultado
Si el riesgo que plantea la combinación tóxica es aceptable para tu empresa o no puedes corregir la combinación tóxica, puedes silenciar el resultado relacionado para cerrar el caso.
Para silenciar un hallazgo de combinación tóxica, sigue estos pasos:
- En la Google Cloud consola de, ve a Riesgo > Casos.
- Busca y abre el caso de combinación tóxica.
- Haz clic en la pestaña de alerta relacionada.
- En el widget Resumen de hallazgos, haz clic en Explorar hallazgos en SCC. Se abrirá el hallazgo relacionado.
- Usa las Opciones para silenciar en la página de detalles del hallazgo para silenciarlo.
También puedes silenciar los resultados en la Google Cloud consola de. Para obtener más información, consulta Silencia un resultado individual finding.
Visualiza casos de combinaciones tóxicas cerrados
Cuando se cierra un caso, Security Command Center lo quita de la página Casos.
Para ver un caso de combinación tóxica cerrado, sigue estos pasos:
- En la Google Cloud consola de, ve a la página Casos. Se abrirá la consola de Security Operations.
- Expande la sección Estado y, luego, selecciona Cerrado.
- Expande la sección Etiquetas y, luego, selecciona Combinación tóxica.
- Haz clic en Aplicar. Los casos de combinaciones tóxicas cerrados se muestran en los resultados de la búsqueda.