Cette page décrit la propriété severity des résultats de Security Command Center et ses valeurs possibles.
La propriété severity fournit un indicateur général de l'importance de corriger les résultats d'une catégorie de résultats spécifique ou, dans certains cas, d'une sous-catégorie.
En règle générale, vous devez corriger les résultats de gravité HIGH avant les résultats de gravité LOW. Toutefois, en fonction de la ressource affectée ou d'autres considérations, il est possible que la correction d'un résultat de gravité LOW particulier soit plus importante que celle d'un résultat de gravité HIGH.
Gravité par rapport au score d'exposition aux attaques
Vous pouvez utiliser à la fois la sévérité des résultats et les scores d'exposition aux attaques pour hiérarchiser la résolution des problèmes, mais il est important de comprendre les différences entre les deux.
La gravité est un indicateur général prédéterminé en fonction de la catégorie de l'anomalie. Le même niveau de gravité par défaut est attribué à tous les résultats d'une catégorie ou d'une sous-catégorie donnée.
Un score d'exposition aux attaques est un indicateur dynamique calculé pour une anomalie après son émission. Le score est spécifique à l'instance de résultat et repose sur un certain nombre de facteurs, y compris les instances de ressources concernées par le résultat et la difficulté qu'un pirate informatique hypothétique rencontrerait pour parcourir le chemin d'accès à la ressource à forte valeur concernée à partir d'un point d'accès potentiel.
Toutes les observations peuvent avoir un niveau de gravité. Seuls les résultats de recherche de failles et d'erreurs de configuration compatibles avec les simulations de chemin d'attaque peuvent avoir un score d'exposition aux attaques.
Lorsque vous hiérarchisez les résultats de failles et de mauvaise configuration, priorisez les scores d'exposition aux attaques avant de les classer par gravité.
Classifications de gravité
Security Command Center utilise les classifications de gravité suivantes, qui s'affichent dans la colonne Sévérité lorsque les résultats s'affichent dans la console Google Cloud:
CriticalHighMediumLowUnspecified
Gravité de Critical
Une faille critique est facilement détectable et peut être exploitée pour exécuter directement du code arbitraire, exfiltrer des données et obtenir des accès et des droits supplémentaires dans les ressources et les workflows cloud. Il peut s'agir, par exemple, d'informations sur l'utilisateur accessibles publiquement et d'un accès SSH public avec des mots de passe peu sécurisés ou aucun mot de passe.
Une menace critique parvient à accéder aux données, à les modifier ou à les supprimer, ou encore à exécuter du code non autorisé dans vos ressources existantes.
Une découverte de classe SCC error critique signifie que l'une des conditions suivantes est remplie:
- Une erreur de configuration empêche Security Command Center de générer de nouveaux résultats, quelle que soit leur gravité.
- Une erreur de configuration vous empêche de voir tous les résultats d'un service.
- Une erreur de configuration empêche les simulations de chemin d'attaque de générer des scores d'exposition aux attaques et des chemins d'attaque.
Gravité de High
Une faille élevée est facile à trouver et pourrait être exploitée conjointement à d'autres failles pour avoir un accès direct permettant d'exécuter du code arbitraire ou d'exfiltrer des données, et pour obtenir des accès et des droits supplémentaires sur les ressources et les charges de travail. Par exemple, une base de données qui présente des mots de passe peu sécurisés ou aucun mot de passe, et qui n'est accessible qu'en interne peut être compromise par un individu ayant accès au réseau interne.
Une menace élevée amène la possibilité de créer des ressources de calcul dans un environnement, mais pas celle d'accéder aux données ni d'exécuter de code dans des ressources existantes.
Une détection de classe SCC error à haut risque indique qu'une erreur de configuration est à l'origine de l'un des problèmes suivants:
- Vous ne pouvez pas afficher ni exporter certains résultats d'un service.
- Pour les simulations de chemin d'attaque, les scores d'exposition aux attaques et les chemins d'attaque peuvent être incomplets ou inexacts.
Gravité de Medium
Une faille moyenne pourrait être utilisée par un individu pour accéder aux ressources ou aux droits lui permettant d'obtenir à terme un accès et la possibilité d'exfiltrer des données ou d'exécuter du code arbitraire. Par exemple, si un compte de service dispose d'un accès inutile aux projets et qu'un individu y accède, celui-ci pourrait utiliser ce compte de service pour manipuler un projet.
Une menace de niveau moyen peut entraîner un problème plus grave, mais n'indique pas nécessairement un accès aux données actuel ni une exécution de code non autorisée.
Gravité de Low
Une faille faible compromet la détection par une équipe de sécurité des failles ou des menaces actives dans son déploiement, ou empêche l'investigation de l'origine des problèmes de sécurité. Par exemple, un scénario dans lequel la surveillance et les journaux sont désactivés pour les configurations et l'accès aux ressources.
Une menace faible a obtenu un accès minimal à un environnement, mais ne peut pas accéder aux données, exécuter du code ni créer de ressources.
Gravité de Unspecified
Une classification de gravité de Unspecified indique que le service qui a généré le résultat n'a pas défini de valeur de gravité pour celui-ci.
Si vous recevez une anomalie de gravité Unspecified, vous devez évaluer vous-même la gravité en examinant l'anomalie et la documentation fournie par le produit ou le service qui l'a générée.
Gravité variable
La gravité des résultats d'une catégorie peut varier dans certaines circonstances.
Gravité variable en fonction du score d'exposition aux attaques
Si vous utilisez le niveau Enterprise de Security Command Center, les niveaux de gravité des résultats de faille et de configuration incorrecte reflètent plus précisément le risque de chaque résultat individuel, car la gravité d'un résultat peut changer pour refléter son score d'exposition aux attaques.
Avec le niveau Enterprise, les résultats de failles et d'erreurs de configuration sont émis avec un niveau de gravité par défaut ou de référence commun à tous les résultats d'une catégorie donnée. Une fois un résultat publié, si les simulations de chemins d'attaque de Security Command Center déterminent qu'il expose une ou plusieurs ressources que vous avez désignées comme ressources à forte valeur, les simulations attribuent un score d'exposition aux attaques au résultat et augmentent le niveau de gravité en conséquence. Si l'anomalie reste active, mais que les simulations réduisent ensuite le score d'exposition aux attaques, le niveau de gravité de l'anomalie peut également diminuer, mais pas en dessous du niveau par défaut d'origine.
Si vous utilisez le niveau Premium ou Standard de Security Command Center, les niveaux de gravité de tous les résultats restent statiques.
Gravité variable en fonction du problème détecté
Pour certaines catégories de résultats, Security Command Center peut attribuer un niveau de gravité par défaut différent à un résultat en fonction des détails du problème de sécurité détecté.
Par exemple, la classification de gravité de la découverte IAM anomalous grant générée par Event Threat Detection est généralement HIGH, mais si la découverte est générée pour l'attribution d'autorisations sensibles à un rôle IAM personnalisé, la gravité est MEDIUM.
Afficher les sévérités des résultats dans la console Google Cloud
Vous pouvez afficher les résultats de Security Command Center par gravité de plusieurs manières dans la console Google Cloud:
- Sur la page Vue d'ensemble, vous pouvez voir le nombre de résultats de chaque niveau de gravité qui sont actifs dans vos ressources dans la section Failles par type de ressource.
- Sur la page Menaces, vous pouvez voir le nombre de résultats de menace à chaque niveau de gravité.
- Sur la page Failles de sécurité, vous pouvez filtrer les modules de détection des failles affichés par niveau de gravité afin de n'afficher que les modules qui présentent des résultats actifs à ce niveau de gravité.
- Sur la page Résultats, vous pouvez ajouter des filtres pour des niveaux de gravité spécifiques à vos requêtes de résultats dans le panneau Filtres rapides.