En esta página, se describe la propiedad severity de
Hallazgos de Security Command Center y sus posibles valores.
La propiedad severity proporciona un indicador general de cómo
importante que es corregir los hallazgos de una categoría de hallazgo en particular
o, en algunos casos, subcategoría.
Por lo general, debes corregir los hallazgos de gravedad de HIGH antes del LOW
de gravedad alta, pero según el recurso afectado u otro
consideraciones, es posible que corregir una gravedad LOW particular
hallazgo puede ser más importante que uno de gravedad HIGH.
Gravedad en comparación con la puntuación de exposición a ataques
Puedes usar tanto la gravedad como la gravedad puntuaciones de exposición a ataques para priorizar la corrección de los hallazgos, pero es importante comprender las diferencias entre ambos.
La gravedad es un indicador general predeterminado según la del hallazgo. Se asigna la misma gravedad predeterminada a todos resultados dentro de una determinada categoría o subcategoría.
Una puntuación de exposición a ataques es un indicador dinámico que para un resultado después de que este se haya emitido. La puntuación es específica a la instancia del hallazgo y se basa en una serie de factores, entre los que se incluyen: instancias de recursos que el hallazgo afecta y la dificultad que un atacante hipotético enfrentaría atravesar el camino desde un punto potencial de acceso al recurso de alto valor afectado.
Todos los hallazgos pueden tener gravedad. Solo vulnerabilidad y configuración incorrecta resultados que son compatibles con las simulaciones de rutas de ataque puede tener un puntuación de exposición a ataques.
Cuando priorices los hallazgos de vulnerabilidades y parámetros de configuración, de exposición a ataques antes de priorizar por gravedad.
Clasificaciones de gravedad
Security Command Center usa las siguientes clasificaciones de gravedad, que se mostrarán en la columna Gravedad cuando los hallazgos se muestren en la consola de Google Cloud:
CriticalHighMediumLowUnspecified
Gravedad de Critical
Una vulnerabilidad crítica es fácil de detectar y se puede aprovechar para mejorar la capacidad de ejecutar el código arbitrario, robar datos y, de lo contrario, obtener acceso y privilegios adicionales en recursos y flujos de trabajo en la nube. En los ejemplos, se incluyen los datos del usuario de acceso público y el acceso SSH público con contraseñas débiles o nulas.
Una amenaza crítica puede acceder a los datos, modificarlos o borrarlos, o ejecutar código no autorizado en sus recursos existentes.
Un hallazgo de clase SCC error crítico significa cualquiera de los siguientes puntos:
- Un error de configuración impide que Security Command Center genere nuevos hallazgos de cualquier gravedad.
- Un error de configuración te impide ver todos los hallazgos de un servicio.
- Un error de configuración impide que las simulaciones de rutas de ataque generen las puntuaciones de exposición a ataques y las rutas de ataque.
Gravedad High
Una vulnerabilidad de alto riesgo se puede detectar fácilmente y podría explotarse con otras vulnerabilidades para obtener acceso directo a fin de ejecutar código arbitrario o robar datos, y obtener acceso y privilegios adicionales a recursos y cargas de trabajo. Por ejemplo, una base de datos con poca seguridad o sin contraseña y solo que se puede acceder a ella de forma interna, puede ser un actor que tiene acceso a la red interna.
Una amenaza de alto riesgo es capaz de crear recursos de procesamiento en una en un entorno de ejecución, pero no puede acceder a los datos ni ejecutar un código de Google Cloud.
Un hallazgo de la clase SCC error de alto riesgo indica que una configuración
es la causa de cualquiera de los siguientes problemas:
- No puedes ver ni exportar algunos de los hallazgos de un servicio.
- En el caso de las simulaciones de rutas de ataque, las puntuaciones de exposición a ataques y las rutas de ataque pueden estar incompletas o ser imprecisas.
Gravedad Medium
Una vulnerabilidad de riesgo medio podría permitir a un actor obtener acceso a recursos o privilegios que le permitan finalmente acceder a él y la capacidad de robar datos o ejecutar código arbitrario. Por ejemplo, si una cuenta de servicio tiene acceso innecesario a proyectos y un actor obtiene acceso a la cuenta de servicio, este puede usar esa cuenta de servicio para manipular un proyecto.
Una amenaza de riesgo medio podría generar un problema más grave, pero es posible que no indique acceso a datos actual ni ejecución de código no autorizado.
Gravedad Low
Una vulnerabilidad de bajo riesgo obstaculiza la capacidad de un equipo de seguridad para detectar vulnerabilidades o amenazas activas en su implementación impide que la causa raíz investigue los problemas de seguridad. Por ejemplo, una situación en la que la supervisión y los registros están inhabilitados para la configuración y el acceso a los recursos.
Una amenaza de bajo riesgo ha obtenido acceso mínimo a un entorno, pero no puede acceder a datos, ejecutar códigos ni crear recursos.
Gravedad de Unspecified
Una clasificación de gravedad de Unspecified indica que el servicio que
generado el hallazgo no estableció un valor de gravedad para el hallazgo.
Si obtienes un hallazgo con una gravedad de Unspecified, debes evaluarla por tu cuenta. Para ello, investiga el hallazgo y revisa la documentación que proporciona el producto o servicio que lo generó.
Gravedad de la variable
La gravedad de los hallazgos en una categoría de hallazgo puede variar en ciertos a las circunstancias.
Gravedad que varía según la puntuación de exposición a ataques
Si usas el nivel empresarial de Security Command Center, los niveles de gravedad de los resultados de vulnerabilidad y configuración incorrecta reflejan con mayor precisión el riesgo de cada resultado individual, ya que la gravedad de un resultado puede cambiar para reflejar la puntuación de exposición al ataque del resultado.
Con el nivel Enterprise, los hallazgos de vulnerabilidades y parámetros de configuración se emiten con un nivel de gravedad predeterminado o de referencia común a todos de los hallazgos dentro de una categoría determinada. Después de que se emite un hallazgo, si las simulaciones de rutas de ataque de Security Command Center determinan que el hallazgo expone uno o más recursos que designaste como recurso de alto valor, las simulaciones asignan una puntuación de exposición a ataques al hallazgo aumentar el nivel de gravedad según corresponda. Si el hallazgo permanece activo, pero las simulaciones luego reducen la puntuación de exposición al ataque, la gravedad del hallazgo también puede disminuir, pero no por debajo en el nivel predeterminado original.
Si usas los niveles Premium o Estándar de Security Command Center, los niveles de gravedad de todos los hallazgos permanecen estáticos.
Gravedad que varía según el problema detectado
En el caso de algunas categorías de resultados, Security Command Center puede asignar un nivel de gravedad predeterminado diferente a un resultado según los detalles del problema de seguridad que se detectó.
Por ejemplo, la clasificación de gravedad de la
IAM anomalous grant resultado
que genera Event Threat Detection suele ser HIGH, pero si
el hallazgo se genera para otorgar permisos sensibles a un
rol de IAM personalizado,
la gravedad es MEDIUM.
Consulta las gravedades de los hallazgos en la consola de Google Cloud
Puedes ver los hallazgos de Security Command Center por gravedad de varias maneras en la Consola de Google Cloud:
- En la página Descripción general, puedes ver la cantidad de hallazgos en cada nivel de gravedad. están activos en tus recursos en la sección Vulnerabilidades por tipo de recurso. sección.
- En la página Amenazas, puedes ver cuántos hallazgos de amenazas existen en cada uno. nivel de gravedad.
- En la página Vulnerabilidades, puedes filtrar los módulos de detección de vulnerabilidades que se muestran por nivel de gravedad para mostrar solo los módulos que tienen resultados activos en ese nivel de gravedad.
- En la página Hallazgos, puedes agregar filtros para niveles de gravedad específicos a fin de tus consultas de resultados en el panel Filtros rápidos.