Cette page décrit la propriété severity des résultats Security Command Center et ses valeurs possibles.
La propriété severity fournit un indicateur général de l'importance de corriger les résultats d'une catégorie ou, dans certains cas, d'une sous-catégorie de résultats spécifique.
En règle générale, vous devez corriger les problèmes de gravité HIGH avant ceux de gravité LOW. Toutefois, selon la ressource concernée ou d'autres considérations, il est possible qu'il soit plus important de corriger un problème de gravité LOW spécifique qu'un problème de gravité HIGH.
Gravité comparée au score d'exposition aux attaques
Vous pouvez utiliser à la fois les niveaux de gravité des résultats et les scores d'exposition aux attaques pour hiérarchiser la correction des résultats. Toutefois, il est important de comprendre les différences entre les deux.
La gravité est un indicateur général prédéterminé en fonction de la catégorie du problème. Le même niveau de gravité par défaut est attribué à tous les résultats d'une catégorie ou d'une sous-catégorie données.
Le score d'exposition aux attaques est un indicateur dynamique calculé pour un résultat après sa génération. Le score est spécifique à l'instance de résultat et repose sur un certain nombre de facteurs, y compris les instances de ressources concernées par le résultat et la difficulté qu'un pirate informatique hypothétique rencontrerait pour parcourir le chemin d'accès d'un point d'accès potentiel à la ressource à forte valeur concernée.
Tous les résultats peuvent avoir un niveau de gravité. Seuls les résultats de recherche de failles et d'erreurs de configuration compatibles avec les simulations de chemins d'attaque peuvent avoir un score d'exposition aux attaques.
Lorsque vous hiérarchisez les failles et les erreurs de configuration, privilégiez les scores d'exposition aux attaques avant de tenir compte de la gravité.
Classification par niveau de gravité
Security Command Center utilise les classifications de gravité suivantes, qui s'affichent dans la colonne Gravité lorsque les résultats sont affichés dans la console Google Cloud :
CriticalHighMediumLowUnspecified
Gravité Critical
Une faille critique est facilement détectable et peut être exploitée pour exécuter directement du code arbitraire, exfiltrer des données et obtenir des accès et des droits supplémentaires dans les ressources et les workflows cloud. Il peut s'agir, par exemple, d'informations sur l'utilisateur accessibles publiquement et d'un accès SSH public avec des mots de passe peu sécurisés ou aucun mot de passe.
Une menace critique parvient à accéder aux données, à les modifier ou à les supprimer, ou encore à exécuter du code non autorisé dans vos ressources existantes.
Un résultat de classe SCC error critique signifie l'une des choses suivantes :
- Une erreur de configuration empêche Security Command Center de générer de nouveaux résultats, quelle que soit leur gravité.
- Une erreur de configuration vous empêche de voir tous les résultats d'un service.
- Une erreur de configuration empêche les simulations de chemin d'attaque de générer des scores d'exposition aux attaques et des chemins d'attaque.
Gravité High
Une faille élevée est facile à trouver et pourrait être exploitée conjointement à d'autres failles pour avoir un accès direct permettant d'exécuter du code arbitraire ou d'exfiltrer des données, et pour obtenir des accès et des droits supplémentaires sur les ressources et les charges de travail. Par exemple, une base de données qui présente des mots de passe peu sécurisés ou aucun mot de passe, et qui n'est accessible qu'en interne peut être compromise par un individu ayant accès au réseau interne.
Une menace à risque élevé amène la possibilité de créer des ressources de calcul dans un environnement, mais pas celle d'accéder aux données ni d'exécuter de code dans des ressources existantes.
Une découverte de classe SCC error à risque élevé indique qu'une erreur de configuration est à l'origine de l'un des problèmes suivants :
- Vous ne pouvez pas voir ni exporter certains résultats d'un service.
- Pour les simulations de chemins d'attaque, les scores d'exposition aux attaques et les chemins d'attaque peuvent être incomplets ou inexacts.
Gravité Medium
Une faille de risque moyen pourrait permettre à un acteur d'accéder à des ressources ou à des droits lui permettant d'obtenir à terme un accès et la possibilité d'exfiltrer des données ou d'exécuter du code arbitraire. Par exemple, si un compte de service dispose d'un accès inutile aux projets et qu'un individu y accède, celui-ci pourrait utiliser ce compte de service pour manipuler un projet.
Une menace à risque moyen peut entraîner un problème plus grave, mais n'indique pas nécessairement un accès aux données ou une exécution de code non autorisée.
Gravité Low
Une faille faible compromet la détection par une équipe de sécurité des failles ou des menaces actives dans son déploiement, ou empêche l'investigation de l'origine des problèmes de sécurité. Par exemple, un scénario dans lequel la surveillance et les journaux sont désactivés pour les configurations et l'accès aux ressources.
Une menace à risque faible a obtenu un accès minimal à un environnement, mais ne peut pas accéder aux données, exécuter du code ni créer de ressources.
Gravité Unspecified
Une classification de gravité Unspecified indique que le service qui a généré le résultat n'a pas défini de valeur de gravité pour celui-ci.
Si vous recevez un résultat de gravité Unspecified, vous devez évaluer vous-même la gravité en examinant le résultat et en consultant toute documentation fournie par le produit ou service qui l'a généré.
Gravité variable
La gravité des résultats d'une catégorie de résultats peut varier dans certaines circonstances.
Niveaux de gravité qui varient en fonction du score d'exposition aux attaques
Si vous utilisez le niveau Enterprise de Security Command Center, les niveaux de gravité des résultats de vulnérabilité et de configuration incorrecte reflètent plus précisément le risque de chaque résultat individuel, car la gravité d'un résultat peut changer pour refléter le score d'exposition aux attaques du résultat.
Avec le niveau Enterprise, les résultats de failles et de mauvaises configurations sont générés avec un niveau de gravité par défaut ou de référence commun à tous les résultats d'une catégorie donnée. Une fois qu'un résultat est généré, si les simulations de chemins d'attaque de Security Command Center déterminent que le résultat expose une ou plusieurs ressources que vous avez désignées comme ressources à forte valeur, les simulations attribuent un score d'exposition aux attaques au résultat et augmentent le niveau de gravité en conséquence. Si le résultat reste actif, mais que les simulations réduisent ensuite le score d'exposition aux attaques, le niveau de gravité du résultat peut également diminuer, mais pas en dessous du niveau par défaut d'origine.
Si vous utilisez le niveau Premium ou Standard de Security Command Center, les niveaux de gravité de tous les résultats restent statiques.
Niveaux de gravité qui varient en fonction du problème détecté
Pour certaines catégories de résultats, Security Command Center peut attribuer un niveau de gravité par défaut différent à un résultat en fonction des spécificités du problème de sécurité détecté.
Par exemple, la classification de la gravité du résultat IAM anomalous grant généré par Event Threat Detection est généralement HIGH, mais si le résultat est généré pour l'attribution d'autorisations sensibles à un rôle IAM personnalisé, la gravité est MEDIUM.
Afficher le niveau de gravité des résultats dans la console Google Cloud
Dans la consoleGoogle Cloud , vous pouvez afficher les résultats de Security Command Center par niveau de gravité de plusieurs façons :
Niveaux Standard et Premium
- Sur la page Vue d'ensemble, vous pouvez voir le nombre de résultats actifs pour chaque niveau de gravité dans vos ressources, dans la section Failles par type de ressource.
- Sur la page Menaces, vous pouvez voir le nombre de résultats de menaces pour chaque niveau de gravité.
- Sur la page Failles, vous pouvez filtrer les modules de détection des failles affichés par niveau de gravité pour n'afficher que les modules qui présentent des résultats actifs à ce niveau de gravité.
- Sur la page Résultats, vous pouvez ajouter des filtres pour des niveaux de gravité spécifiques à vos requêtes de résultats dans le panneau Filtres rapides.
Au niveau Enterprise
Sur la page Problèmes, vous pouvez sélectionner un problème, puis afficher les résultats, y compris la gravité, dans le panneau Résultats.
Sur la page Résultats, vous pouvez ajouter des filtres pour des niveaux de gravité spécifiques à vos requêtes de résultats depuis le panneau Agrégations.