Auf dieser Seite wird das Attribut severity
von Security Command Center-Ergebnissen und seine möglichen Werte beschrieben.
Die severity
-Property gibt einen allgemeinen Hinweis darauf, wie wichtig es ist, die Ergebnisse einer bestimmten Ergebniskategorie oder in einigen Fällen Unterkategorie zu beheben.
Im Allgemeinen sollten Sie Ergebnisse mit dem Schweregrad HIGH
vor Ergebnissen mit dem Schweregrad LOW
beheben. Je nach betroffener Ressource oder anderen Faktoren kann es jedoch sein, dass die Behebung eines bestimmten Ergebnisses mit dem Schweregrad LOW
wichtiger ist als die Behebung eines Ergebnisses mit dem Schweregrad HIGH
.
Schweregrad im Vergleich zur Angriffsbewertung
Sie können sowohl Schweregrade als auch Angriffsrisikobewertungen verwenden, um die Behebung von Ergebnissen zu priorisieren. Es ist jedoch wichtig, die Unterschiede zwischen den beiden zu verstehen.
Der Schweregrad ist ein allgemeiner Indikator, der auf Grundlage der Kategorie des Ergebnisses vorab festgelegt wird. Allen Ergebnissen in einer bestimmten Kategorie oder Unterkategorie wird derselbe Standardschweregrad zugewiesen.
Die Angriffsrisikobewertung ist ein dynamischer Indikator, der für ein Ergebnis berechnet wird, nachdem das Ergebnis generiert wurde. Die Bewertung bezieht sich auf die jeweilige Instanz des Ergebnisses und basiert auf einer Reihe von Faktoren, darunter die Ressourceninstanzen, die von dem Ergebnis betroffen sind, und die Schwierigkeit, die ein hypothetischer Angreifer hätte, wenn er den Pfad von einem potenziellen Zugriffspunkt zur betroffenen hochwertigen Ressource durchlaufen würde.
Alle Ergebnisse können einen Schweregrad haben. Nur Ergebnisse zu Sicherheitslücken und Fehlkonfigurationen, die von Angriffspfadsimulationen unterstützt werden, können einen Angriffsrisikowert haben.
Bei der Priorisierung von Ergebnissen zu Sicherheitslücken und Fehlkonfigurationen sollten Sie zuerst nach Angriffsrisikowerten und dann nach Schweregrad priorisieren.
Schweregradklassifizierungen
Security Command Center verwendet die folgenden Schweregradklassifizierungen, die in der Spalte Schweregrad angezeigt werden, wenn Ergebnisse in der Google Cloud Console angezeigt werden:
Critical
High
Medium
Low
Unspecified
Critical
Schweregrad
Eine kritische Sicherheitslücke ist leicht zu erkennen und kann genutzt werden, um beliebigen Code auszuführen, Daten auszufiltern oder anderweitig Zugriff auf oder Privilegien in Cloud-Ressourcen und -Workflows zu erhalten. Beispiele hierfür sind öffentlich zugängliche Nutzerdaten und öffentliche SSH-Zugänge, die schwache oder keine Passwörter nutzen.
Eine kritische Bedrohung kann auf Daten zugreifen, sie ändern oder löschen und nicht autorisierten Code in vorhandenen Ressourcen ausführen.
Ein kritischer Befund der Klasse SCC error
bedeutet eines der Folgenden:
- Ein Konfigurationsfehler verhindert, dass Security Command Center neue Ergebnisse mit einem beliebigen Schweregrad generiert.
- Ein Konfigurationsfehler verhindert, dass alle Ergebnisse eines Dienstes angezeigt werden.
- Ein Konfigurationsfehler verhindert, dass Angriffspfadsimulationen Angriffsrisikobewertungen und Angriffspfade generieren.
High
Schweregrad
Sicherheitslücken mit hohem Risiko können leicht entdeckt und mit anderen Sicherheitslücken genutzt werden, um beliebigen Code auszuführen, Daten auszufiltern oder anderweitig Zugriff auf oder Privilegien in Cloud-Ressourcen und -Workloads zu erhalten. Beispiele sind Datenbanken mit schwachen oder ohne Passwörter, auf die nur intern zugegriffen werden kann und die von Akteuren mit Zugriff auf das interne Netzwerk manipuliert werden können.
Eine Bedrohung mit hohem Risiko kann Rechenressourcen in einer Umgebung erstellen, aber weder auf Daten zugreifen noch Code in vorhandenen Ressourcen ausführen.
Ein Ergebnis der Klasse „Hohes Risiko“ für SCC error
weist darauf hin, dass ein Konfigurationsfehler eines der folgenden Probleme verursacht:
- Einige Ergebnisse eines Dienstes können nicht angezeigt oder exportiert werden.
- Bei Angriffspfadsimulationen sind die Angriffsrisikobewertungen und Angriffspfade möglicherweise unvollständig oder ungenau.
Medium
Schweregrad
Eine Sicherheitslücke mit mittlerem Risiko kann von Akteuren verwendet werden, um Zugriff auf Ressourcen oder Berechtigungen zu erlangen, womit letztlich der Zugriff und die Option zum Auslesen von Daten oder zur Ausführung beliebigen Codes erreicht werden soll. Beispiel: Wenn ein Dienstkonto unnötigen Zugriff auf Projekte hat und ein Akteur Zugriff auf das Dienstkonto erhält, kann der Akteur dieses Dienstkonto zur Manipulation eines Projekts verwenden.
Eine Bedrohung mit mittlerem Risiko kann zu einem schwerwiegenderen Problem führen, deutet aber möglicherweise nicht auf aktuellen Datenzugriff oder die Ausführung nicht autorisierten Codes hin.
Low
Schweregrad
Eine Sicherheitslücke mit geringem Risiko beeinträchtigt die Fähigkeit eines Sicherheitsteams, Sicherheitslücken oder aktive Bedrohungen bei der Bereitstellung zu erkennen, oder verhindert die Untersuchung der Ursachen von Sicherheitsproblemen. Beispiel: Monitoring und Protokollierung werden für Ressourcenkonfigurationen und Zugriff deaktiviert.
Bedrohungen mit geringem Risiko haben minimalen Zugriff auf Umgebungen, können aber weder auf Daten zugreifen, noch Code ausführen oder Ressourcen erstellen.
Unspecified
Schweregrad
Ein Schweregrad von Unspecified
bedeutet, dass der Dienst, der das Ergebnis generiert hat, keinen Schweregradwert für das Ergebnis festgelegt hat.
Wenn Sie ein Ergebnis mit dem Schweregrad Unspecified
erhalten, müssen Sie den Schweregrad selbst bewerten. Untersuchen Sie dazu das Ergebnis und lesen Sie die Dokumentation, die für das Produkt oder den Dienst bereitgestellt wird, mit dem das Ergebnis generiert wurde.
Variable Schwere
Der Schweregrad der Ergebnisse in einer Ergebniskategorie kann unter bestimmten Umständen variieren.
Schweregrade, die je nach Angriffsbewertung variieren
Wenn Sie die Enterprise-Version von Security Command Center verwenden, spiegeln die Schweregrade von Ergebnissen zu Sicherheitslücken und Fehlkonfigurationen das Risiko der einzelnen Ergebnisse genauer wider, da sich der Schweregrad eines Ergebnisses ändern kann, um den Angriffsexpositionswert des Ergebnisses widerzuspiegeln.
Bei der Enterprise-Version werden Ergebnisse zu Sicherheitslücken und Fehlkonfigurationen mit einem Standard- oder Baseline-Schweregrad generiert, der für alle Ergebnisse in einer bestimmten Ergebniskategorie gilt. Wenn nach der Generierung eines Ergebnisses durch die Angriffspfadsimulationen von Security Command Center festgestellt wird, dass durch das Ergebnis eine oder mehrere Ressourcen, die Sie als hochwertige Ressource festgelegt haben, gefährdet sind, wird dem Ergebnis eine Angriffsrisikobewertung zugewiesen und der Schweregrad entsprechend erhöht. Wenn das Ergebnis aktiv bleibt, die Simulationen den Wert für das Risiko durch Angriffe jedoch später verringern, kann auch der Schweregrad des Ergebnisses sinken, jedoch nicht unter das ursprüngliche Standardniveau.
Wenn Sie die Premium- oder Standard-Stufe von Security Command Center verwenden, bleiben die Schweregrade aller Ergebnisse statisch.
Schweregrade, die je nach erkanntem Problem variieren
Für einige Ergebniskategorien kann Security Command Center einem Ergebnis je nach den Besonderheiten des erkannten Sicherheitsproblems einen anderen Standardschweregrad zuweisen.
Die Schweregradklassifizierung des IAM anomalous grant
-Ergebnisses, das von Event Threat Detection generiert wird, ist in der Regel HIGH
. Wenn das Ergebnis jedoch für die Erteilung vertraulicher Berechtigungen für eine benutzerdefinierte IAM-Rolle generiert wird, ist der Schweregrad MEDIUM
.
Schweregrad von Ergebnissen in der Google Cloud -Console ansehen
Sie können Security Command Center-Ergebnisse nach Schweregrad auf verschiedene Arten in derGoogle Cloud -Konsole ansehen:
Standard- und Premiumstufe
- Auf der Seite Übersicht sehen Sie im Bereich Sicherheitslücken nach Ressourcentyp, wie viele Ergebnisse mit den einzelnen Schweregraden in Ihren Ressourcen aktiv sind.
- Auf der Seite Bedrohungen sehen Sie, wie viele Bedrohungen es für jeden Schweregrad gibt.
- Auf der Seite Sicherheitslücken können Sie die angezeigten Module zur Erkennung von Sicherheitslücken nach Schweregrad filtern, um nur die Module mit aktiven Ergebnissen auf dieser Ebene aufzurufen.
- Auf der Seite Ergebnisse können Sie im Bereich Schnellfilter Filter für bestimmte Schweregradebenen zu Ihren Ergebnisabfragen hinzufügen.
Enterprise-Stufe
Auf der Seite Probleme können Sie ein Problem auswählen und dann im Bereich Ergebnisse die Ergebnisse ansehen, einschließlich des Schweregrads.
Auf der Seite Ergebnisse können Sie im Bereich Zusammenfassungen Filter für bestimmte Schweregradebenen zu Ihren Ergebnisabfragen hinzufügen.