Questa pagina fornisce istruzioni per identificare e rispondere a combinazioni tossiche e chokepoint utilizzando le seguenti pagine:
- Problemi, disponibili nei livelli di servizio Premium ed Enterprise.
- Richieste, disponibili nel livello di servizio Enterprise.
- Risultati, disponibili nei livelli di servizio Premium ed Enterprise.
Prima di iniziare
Per garantire l'accuratezza del rilevamento di combinazioni tossiche e chokepoint, verifica che il software del componente delle operazioni di sicurezza sia aggiornato, che il set di risorse di alto valore sia designato con precisione e che tu disponga delle autorizzazioni IAM appropriate.
(Facoltativo) Raccogli dati da altri cloud
Risk Engine supporta l'esecuzione di simulazioni sui dati di Amazon Web Services (AWS) (anteprima) e Microsoft Azure (anteprima) per identificare combinazioni tossiche e chokepoint.
Configura la connessione da Security Command Center a questi provider di servizi cloud per raccogliere dati su risorse e configurazione. Per informazioni sulla configurazione delle connessioni, consulta quanto segue:
- Connettiti ad AWS per la raccolta di dati su configurazione e risorse
- Connettiti a Microsoft Azure per la raccolta di dati su configurazione e risorse
Per l'elenco delle risorse supportate, consulta Supporto delle funzionalità di Risk Engine.
Ottieni le autorizzazioni richieste
Per utilizzare combinazioni tossiche e chokepoint, devi disporre delle autorizzazioni che concedono l'accesso a Security Command Center e alle funzionalità di Google SecOps.
Ruoli IAM di Security Command Center
Per ottenere le autorizzazioni necessarie per utilizzare combinazioni tossiche e chokepoint, chiedi all'amministratore di concederti i seguenti ruoli IAM nella tua organizzazione:
-
Visualizza i percorsi di attacco:
- Visualizzatore amministratore Centro sicurezza (
roles/securitycenter.adminViewer) - Security Center Attack Paths Reader (
roles/securitycenter.attackPathsViewer) - Visualizzatore risultati Centro sicurezza (
roles/securitycenter.findingsViewer)
- Visualizzatore amministratore Centro sicurezza (
-
Visualizza i risultati del percorso di attacco:
- Visualizzatore amministratore Centro sicurezza (
roles/securitycenter.adminViewer) - Security Center Attack Paths Reader (
roles/securitycenter.attackPathsViewer) - Visualizzatore risultati Centro sicurezza (
roles/securitycenter.findingsViewer)
- Visualizzatore amministratore Centro sicurezza (
-
Visualizza i risultati:
- Visualizzatore amministratore Centro sicurezza (
roles/securitycenter.adminViewer) - Visualizzatore risultati Centro sicurezza (
roles/securitycenter.findingsViewer)
- Visualizzatore amministratore Centro sicurezza (
-
Disattiva i risultati:
- Visualizzatore amministratore Centro sicurezza (
roles/securitycenter.adminViewer) - Editor risultati Centro sicurezza (
roles/securitycenter.findingsEditor) - Impostatore disattivazione risultati Centro sicurezza (
roles/securitycenter.findingsMuteSetter)
- Visualizzatore amministratore Centro sicurezza (
-
Visualizza le risorse:
- Visualizzatore amministratore Centro sicurezza (
roles/securitycenter.adminViewer) - Impostatore disattivazione risultati Centro sicurezza (
roles/securitycenter.findingsMuteSetter)
- Visualizzatore amministratore Centro sicurezza (
-
Modifica i risultati:
- Visualizzatore amministratore Centro sicurezza (
roles/securitycenter.adminViewer) - Editor risultati Centro sicurezza (
roles/securitycenter.findingsEditor) - Visualizzatore risultati Centro sicurezza (
roles/securitycenter.findingsViewer)
- Visualizzatore amministratore Centro sicurezza (
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Per saperne di più sui ruoli e sulle autorizzazioni di Security Command Center, consulta IAM per le attivazioni a livello di organizzazione.
Ruoli IAM di Google SecOps
Per il livello di servizio Enterprise, per utilizzare combinazioni tossiche e richieste, devi disporre di uno dei seguenti ruoli:
- Chronicle SOAR Vulnerability Manager
(
roles/chronicle.soarVulnerabilityManager) - Chronicle SOAR Threat Manager (
roles/chronicle.soarThreatManager) - Chronicle SOAR Admin (
roles/chronicle.soarAdmin)
Per informazioni sulla concessione del ruolo a un utente, consulta Mappare e autorizzare gli utenti utilizzando IAM.
Installa l'ultimo caso d'uso delle operazioni di sicurezza
La funzionalità di combinazione tossica richiede la release del 25 giugno 2024 o successive del caso d'uso SCC Enterprise - Cloud Orchestration and Remediation.
Per informazioni sull'installazione del caso d'uso, consulta Aggiorna il caso d'uso Enterprise, giugno 2024.
Specifica il set di risorse di alto valore
Non devi attivare il rilevamento di combinazioni tossiche e chokepoint: è sempre attivo. Risk Engine rileva automaticamente le combinazioni tossiche e i chokepoint che espongono un set di risorse di alto valore predefinito.
È improbabile che i risultati di combinazioni tossiche e chokepoint generati in base al set di risorse di alto valore predefinito riflettano con precisione le tue priorità di sicurezza. Per specificare quali risorse fanno parte del set di risorse di alto valore, crea configurazioni dei valori delle risorse nella Google Cloud console. Per istruzioni, consulta Definire e gestire il set di risorse di alto valore set.
Risolvi combinazioni tossiche e chokepoint
Le combinazioni tossiche e i chokepoint possono esporre molte risorse di alto valore a potenziali utenti malintenzionati. Dovresti risolverli prima di altri rischi nei tuoi ambienti cloud.
Puoi dare la priorità all'ordine in cui risolvere combinazioni tossiche e chokepoint in base al loro punteggio di esposizione agli attacchi. La procedura varia a seconda di dove visualizzi combinazioni tossiche e chokepoint.
Problemi
Per i livelli di servizio Premium ed Enterprise, puoi accedere alle combinazioni tossiche e ai chokepoint a rischio più elevato (visualizzati come problemi) nelle seguenti pagine:
- Livello di servizio Enterprise: Rischio > Panoramica pagina
- Livello di servizio Premium: Security Command Center > Panoramica dei rischi
Tutte le combinazioni tossiche e i chokepoint possono essere visualizzati nella pagina Rischio > Problemi.
Per risolvere un problema, completa le seguenti istruzioni:
Premium
Visualizza tutti i problemi
- Per visualizzare tutti i problemi, vai alla pagina Problemi di Security Command Center.
- Seleziona la tua Google Cloud organizzazione.
Ordina per punteggio di esposizione agli attacchi
- Per impostazione predefinita, i problemi raggruppati sono classificati in base alla gravità. All'interno del gruppo, i problemi sono classificati in base al punteggio di esposizione agli attacchi. Per ordinare tutti i problemi in base al punteggio di esposizione agli attacchi, disattiva Raggruppa per rilevamenti.
- Seleziona un problema.
- Esamina la descrizione e le prove del problema.
Accedi a ulteriori informazioni
- Se sono presenti risultati correlati, visualizzane i dettagli.
- Se vengono rilevati più problemi critici in una risorsa principale in
una combinazione tossica o in un chokepoint, viene visualizzato un messaggio dopo
il Prove diagramma. Per ottimizzare gli sforzi di risoluzione, fai clic
Filtra i problemi per questa risorsa principale in questo messaggio per concentrarti sulla
risoluzione dei problemi per quella risorsa specifica. Fai clic sulla freccia indietro vicino a
Aggiungi filtro quando vuoi rimuovere il filtro. - Fai clic su Esplora i percorsi di attacco completi nel diagramma Prove per comprendere a fondo il problema e in che modo i percorsi di attacco espongono le risorse di alto valore.
- Fai clic su Come risolvere e segui le indicazioni per ridurre il rischio.
Aziende
Visualizza tutti i problemi
- Per visualizzare tutti i problemi, vai alla pagina Rischio > Problemi di Security Command Center.
- Seleziona la tua Google Cloud organizzazione.
Ordina per punteggio di esposizione agli attacchi
- Per impostazione predefinita, i problemi raggruppati sono classificati in base alla gravità. All'interno del gruppo, i problemi sono classificati in base al punteggio di esposizione agli attacchi. Per ordinare tutti i problemi in base al punteggio di esposizione agli attacchi, disattiva Raggruppa per rilevamenti.
- Seleziona un problema.
- Esamina la descrizione e le prove del problema.
Accedi a ulteriori informazioni
- Se sono presenti risultati correlati, visualizzane i dettagli.
- Se vengono rilevati più problemi critici in una risorsa principale in
una combinazione tossica o in un chokepoint, viene visualizzato un messaggio dopo
il Prove diagramma. Per ottimizzare gli sforzi di risoluzione, fai clic
Filtra i problemi per questa risorsa principale in questo messaggio per concentrarti sulla
risoluzione dei problemi per quella risorsa specifica. Fai clic sulla freccia indietro vicino a
Aggiungi filtro quando vuoi rimuovere il filtro.
- Fai clic su Esplora i percorsi di attacco completi nel diagramma Prove per comprendere a fondo il problema e in che modo i percorsi di attacco espongono le risorse di alto valore.
- Fai clic su Come risolvere e segui le indicazioni per ridurre il rischio.
Richieste
Per il livello di servizio Enterprise, puoi visualizzare tutte le richieste di combinazione tossica andando alla pagina Richieste. I chokepoint non generano automaticamente una richiesta e devono essere visualizzati nella pagina Problemi.
Per trovare le combinazioni tossiche nelle richieste, completa le seguenti istruzioni:
- Nella Google Cloud console, vai a Rischio > Richieste. Si apre la pagina della console Richieste di Security Operations.
- Nell'elenco delle richieste, fai clic su
Filtro richieste per aprire il riquadro del filtro. Si apre il riquadro Filtro coda di richieste.
- Nel Filtro coda di richieste, specifica quanto segue: 1. Nel campo Intervallo di tempo, specifica il periodo di tempo in cui la richiesta è attiva. 1. Imposta Operatore logico su AND. 1. Nella casella di riepilogo della chiave del filtro, seleziona Tag. 1. Imposta l'operatore di uguaglianza su è. 1. Nella casella di riepilogo del valore del filtro, seleziona Combinazione tossica. 1. Fai clic su Applica. Le richieste nella coda delle richieste vengono aggiornate per mostrare solo le richieste che corrispondono al filtro specificato.
- Fai clic su Ordina accanto a
Filtro richieste e seleziona Ordina per esposizione agli attacchi (dal più alto al più basso).
- Nella coda delle richieste, fai clic sulla richiesta che vuoi visualizzare. Se visualizzi le richieste nella Visualizzazione elenco, fai clic sull'case ID. Vengono visualizzate le informazioni sulla richiesta.
- Fai clic su
Panoramica della richiesta. - Nella sezione Riepilogo della richiesta, segui le indicazioni Passaggi successivi.
Esamina i risultati correlati nelle richieste di combinazione tossica
In genere, una combinazione tossica include uno o più risultati di una vulnerabilità del software o di una configurazione errata. Per ciascuno di questi risultati, Security Command Center apre automaticamente una richiesta separata ed esegue i playbook associati. Puoi esaminare le richieste per questi risultati e chiedere ai proprietari dei ticket di dare la priorità alla risoluzione per risolvere la combinazione tossica.
Per esaminare i risultati correlati in una combinazione tossica:
- Dalla scheda
Panoramica della richiesta di una richiesta, vai alla sezione Risultati.
Nella sezione Risultati, esamina i risultati elencati.
- Fai clic sull'ID richiesta del risultato per aprire la richiesta e visualizzarne lo stato, il proprietario assegnato e altre informazioni sulla richiesta.
- Fai clic sul punteggio di esposizione agli attacchi per esaminare il percorso di attacco per il risultato.
- Se il risultato ha un ID ticket, fai clic per aprire il ticket.
In alternativa, puoi visualizzare i risultati correlati nelle schede degli avvisi nella richiesta.
Risultati
Un risultato di combinazione tossica o chokepoint è il record iniziale generato da Risk Engine quando rileva una combinazione tossica o un chokepoint nel tuo ambiente cloud.
Vai alla pagina Risultati.
Seleziona la tua Google Cloud organizzazione.
Nella sezione Classe di risultati del riquadro Filtri rapidi , seleziona Combinazione tossica o Chokepoint. Il riquadro Risultati della query sui risultati viene aggiornato per mostrare solo i risultati di combinazione tossica o chokepoint.
Per ordinare i risultati in base alla gravità, fai clic sull'intestazione della colonna Punteggio di esposizione agli attacchi finché i punteggi non sono in ordine decrescente.
Fai clic su una categoria di risultati per aprire il riquadro dei dettagli dei risultati. Vai alla sezione Passaggi successivi e segui le indicazioni per risolvere il problema di sicurezza.
Chiudi le richieste di combinazione tossica
Puoi chiudere una richiesta per una combinazione tossica risolvendo la combinazione tossica sottostante o disattivando il risultato correlato nella Google Cloud console.
Chiudi una richiesta risolvendo una combinazione tossica
Dopo aver risolto i problemi di sicurezza che compongono una combinazione tossica e non espongono più risorse nel set di risorse di alto valore, Risk Engine chiude automaticamente la richiesta durante la simulazione del percorso di attacco successiva, che viene eseguita all'incirca ogni sei ore.
Chiudi una richiesta disattivando il risultato
Se il rischio posto dalla combinazione tossica è accettabile per la tua attività o non puoi risolvere la combinazione tossica, puoi chiudere la richiesta disattivando il risultato correlato.
Per disattivare un risultato di combinazione tossica:
- Nella Google Cloud console, vai a Rischio > Richieste.
- Individua e apri la richiesta di combinazione tossica.
- Fai clic sulla scheda dell'avviso correlato.
- Nel widget Riepilogo dei risultati, fai clic su Esplora i risultati in SCC. Si apre il risultato correlato.
- Utilizza le Opzioni di disattivazione nella pagina dei dettagli del risultato per disattivare il risultato.
Puoi anche disattivare i risultati nella Google Cloud console. Per saperne di più, consulta Disattivare un singolo risultato.
Visualizza le richieste di combinazione tossica chiuse
Quando una richiesta viene chiusa, Security Command Center la rimuove dalla pagina Richieste.
Per visualizzare una richiesta di combinazione tossica chiusa:
- Nella Google Cloud console, vai alla pagina Richieste. Si apre la console di Security Operations.
- Espandi la sezione Stato e seleziona Chiusa.
- Espandi la sezione Tag e seleziona Combinazione tossica.
- Fai clic su Applica. I risultati di combinazione tossica chiusi vengono visualizzati nei risultati di ricerca.