Auf dieser Seite wird die Property severity von Security Command Center-Ergebnissen und ihre möglichen Werte beschrieben.
Die Property severity gibt einen allgemeinen Hinweis darauf, wie wichtig es ist, die Ergebnisse einer bestimmten Ergebniskategorie oder in einigen Fällen einer Unterkategorie zu beheben.
Im Allgemeinen sollten Sie HIGH-Schweregrad-Fehler vor LOW-Schweregrad-Fehlern beheben. Je nach betroffener Ressource oder anderen Überlegungen kann es jedoch sein, dass die Behebung eines bestimmten LOW-Schweregrad-Fehlers wichtiger ist als die eines HIGH-Schweregrad-Fehlers.
Schwere im Vergleich zur Angriffsbewertung
Sie können sowohl die Schwere der Ergebnisse als auch die Punktzahl für die Angriffsexposition verwenden, um die Behebung von Ergebnissen zu priorisieren. Es ist jedoch wichtig, die Unterschiede zwischen den beiden zu kennen.
Die Schwere ist ein allgemeiner Indikator, der basierend auf der Kategorie der Abweichung festgelegt wird. Allen Ergebnissen innerhalb einer bestimmten Kategorie oder Unterkategorie wird derselbe Standardschweregrad zugewiesen.
Die Angriffsbewertung ist ein dynamischer Indikator, der nach der Veröffentlichung eines Ergebnisses berechnet wird. Die Bewertung ist spezifisch für die Ergebnisinstanz und basiert auf einer Reihe von Faktoren, darunter, welche Ressourceninstanzen sich auf das Ergebnis auswirken und wie schwierig es für einen hypothetischen Angreifer wäre, den Pfad von einem potenziellen Zugriffspunkt zur betroffenen wertvollen Ressource zu durchlaufen.
Alle Ergebnisse können einen Schweregrad haben. Nur Ergebnisse zu Sicherheitslücken und Fehlkonfigurationen, die von Angriffspfadsimulationen unterstützt werden, können einen Angriffsrisikowert haben.
Priorisieren Sie Sicherheitslücken und Fehlkonfigurationen nach dem Angriffsrisiko, bevor Sie sie nach Schweregrad priorisieren.
Schweregradklassifizierungen
Im Security Command Center werden die folgenden Schweregrade verwendet, die in der Spalte Schweregrad angezeigt werden, wenn Ergebnisse in der Google Cloud Console angezeigt werden:
CriticalHighMediumLowUnspecified
Critical Schweregrad
Eine kritische Sicherheitslücke ist leicht zu erkennen und kann genutzt werden, um beliebigen Code auszuführen, Daten auszufiltern oder anderweitig Zugriff auf oder Privilegien in Cloud-Ressourcen und -Workflows zu erhalten. Beispiele hierfür sind öffentlich zugängliche Nutzerdaten und öffentliche SSH-Zugänge, die schwache oder keine Passwörter nutzen.
Eine kritische Bedrohung kann auf Daten zugreifen, sie ändern oder löschen und nicht autorisierten Code in vorhandenen Ressourcen ausführen.
Eine kritische SCC error-Klassenfeststellung kann eine der folgenden Optionen sein:
- Ein Konfigurationsfehler verhindert, dass Security Command Center neue Ergebnisse – unabhängig vom Schweregrad – generiert.
- Ein Konfigurationsfehler verhindert, dass alle Ergebnisse eines Dienstes angezeigt werden.
- Ein Konfigurationsfehler verhindert, dass bei Angriffspfadsimulationen Angriffsrisikobewertungen und Angriffspfade generiert werden.
High Schweregrad
Sicherheitslücken mit hohem Risiko können leicht entdeckt und mit anderen Sicherheitslücken genutzt werden, um beliebigen Code auszuführen, Daten auszufiltern oder anderweitig Zugriff auf oder Privilegien in Cloud-Ressourcen und -Workflows zu erhalten. Beispiele sind Datenbanken mit schwachen oder ohne Passwörter, auf die nur intern zugegriffen werden kann und die von Akteuren mit Zugriff auf das interne Netzwerk manipuliert werden können.
Eine Bedrohung mit hohem Risiko kann Rechenressourcen in einer Umgebung erstellen, aber weder auf Daten zugreifen noch Code in vorhandenen Ressourcen ausführen.
Ein SCC error-Risikoklasse-Hinweis mit hohem Risiko weist darauf hin, dass ein Konfigurationsfehler eines der folgenden Probleme verursacht:
- Sie können einige der Ergebnisse eines Dienstes nicht sehen oder exportieren.
- Bei Angriffspfadsimulationen sind die Angriffsrisikobewertungen und Angriffspfade möglicherweise unvollständig oder ungenau.
Medium Schweregrad
Eine Sicherheitslücke mit mittlerem Risiko kann von Akteuren verwendet werden, um Zugriff auf Ressourcen oder Berechtigungen zu erlangen, womit letztlich der Zugriff und die Option zum Auslesen von Daten oder zur Ausführung beliebigen Codes erreicht werden soll. Beispiel: Wenn ein Dienstkonto unnötigen Zugriff auf Projekte hat und ein Akteur Zugriff auf das Dienstkonto erhält, kann der Akteur dieses Dienstkonto zur Manipulation eines Projekts verwenden.
Eine Bedrohung mit mittlerem Risiko kann zu einem schwerwiegenderen Problem führen, aber nicht auf aktuellen Datenzugriff oder die Ausführung nicht autorisierten Codes hinweisen.
Low Schweregrad
Eine Sicherheitslücke mit geringem Risiko beeinträchtigt die Fähigkeit eines Sicherheitsteams, Sicherheitslücken oder aktive Bedrohungen bei der Bereitstellung zu erkennen, oder verhindert die Untersuchung der Ursachen von Sicherheitsproblemen. Beispiel: Monitoring und Protokollierung werden für Ressourcenkonfigurationen und Zugriff deaktiviert.
Bedrohungen mit geringem Risiko haben minimalen Zugriff auf Umgebungen, können aber weder auf Daten zugreifen, noch Code ausführen oder Ressourcen erstellen.
Unspecified Schweregrad
Eine Schweregradklassifizierung von Unspecified gibt an, dass der Dienst, der die Meldung generiert hat, keinen Schweregradwert für die Meldung festgelegt hat.
Wenn Sie eine Feststellung mit der Schwere Unspecified erhalten, müssen Sie die Schwere selbst beurteilen. Prüfen Sie dazu die Feststellung und alle Dokumente, die für das Produkt oder die Dienstleistung vorliegen, die die Feststellung hervorgebracht hat.
Variabler Schweregrad
Der Schweregrad der Ergebnisse in einer Ergebniskategorie kann unter bestimmten Umständen variieren.
Schweregrade, die je nach Angriffsbewertung variieren
Wenn Sie die Enterprise-Stufe von Security Command Center verwenden, spiegeln die Schweregrade von Sicherheitslücken und Fehlkonfigurationen das Risiko der einzelnen Ergebnisse genauer wider, da sich die Schwere eines Ergebnisses ändern kann, um den Wert der Angriffsfläche des Ergebnisses widerzuspiegeln.
Bei der Enterprise-Stufe werden Ergebnisse zu Sicherheitslücken und Fehlkonfigurationen mit einem Standard- oder Basisschweregrad versehen, der für alle Ergebnisse innerhalb einer bestimmten Ergebniskategorie gilt. Wenn nach der Veröffentlichung eines Ergebnisses durch die Angriffspfadsimulationen von Security Command Center festgestellt wird, dass das Ergebnis eine oder mehrere Ressourcen gefährdet, die Sie als wertvolle Ressource gekennzeichnet haben, wird dem Ergebnis eine Angriffsrisikobewertung zugewiesen und der Schweregrad entsprechend erhöht. Wenn das Ergebnis aktiv bleibt, aber die Simulationen den Wert für die Angriffsexposition später senken, kann auch der Schweregrad des Ergebnisses sinken, jedoch nicht unter den ursprünglichen Standardwert.
Wenn Sie die Premium- oder Standard-Stufe von Security Command Center verwenden, bleiben die Schweregrade aller Ergebnisse unverändert.
Schweregrade, die je nach erkanntem Problem variieren
Für einige Ergebniskategorien kann in Security Command Center einem Ergebnis je nach den Details des erkannten Sicherheitsproblems ein anderer Standardschweregrad zugewiesen werden.
Die Schwereklassifizierung der IAM anomalous grant-Ergebnis, die von Event Threat Detection generiert wird, ist beispielsweise in der Regel HIGH. Wenn das Ergebnis jedoch für die Gewährung vertraulicher Berechtigungen für eine benutzerdefinierte IAM-Rolle generiert wird, ist die Schwere MEDIUM.
Schweregrade von Ergebnissen in der Google Cloud Console ansehen
Sie können sich die Ergebnisse von Security Command Center in der Google Cloud Console auf verschiedene Arten nach Schweregrad ansehen:
- Auf der Seite Übersicht sehen Sie im Abschnitt Sicherheitslücken nach Ressourcentyp, wie viele Ergebnisse mit welchem Schweregrad in Ihren Ressourcen aktiv sind.
- Auf der Seite Bedrohungen sehen Sie, wie viele Bedrohungsergebnisse es für die einzelnen Schweregrade gibt.
- Auf der Seite Sicherheitslücken können Sie die angezeigten Module zur Erkennung von Sicherheitslücken nach Schweregrad filtern, um nur die Module mit aktiven Ergebnissen dieses Schweregrads zu sehen.
- Auf der Seite Ergebnisse können Sie Ihren Suchanfragen für Ergebnisse im Bereich Schnellfilter Filter für bestimmte Schweregrade hinzufügen.