Questa pagina descrive la proprietà severity dei risultati di Security Command Center e i relativi valori possibili.
La proprietà severity fornisce un indicatore generale dell'importanza di correggere i risultati di una determinata categoria o, in alcuni casi, sottocategoria.
In genere, devi correggere i risultati di gravità HIGH prima di quelli di gravità LOW, ma a seconda della risorsa interessata o di altre considerazioni, è possibile che la correzione di un particolare risultato di gravità LOW sia più importante di un risultato di gravità HIGH.
Gravità rispetto al punteggio di esposizione agli attacchi
Puoi utilizzare sia i livelli di gravità dei risultati che i punteggi di esposizione agli attacchi per dare la priorità alla correzione dei risultati, ma è importante comprendere le differenze tra i due.
Una gravità è un indicatore generale predeterminato in base alla categoria del risultato. A tutti i risultati all'interno di una determinata categoria o sottocategoria viene assegnata la stessa gravità predefinita.
Un punteggio di esposizione agli attacchi è un indicatore dinamico calcolato per un risultato dopo la generazione del risultato. Il punteggio è specifico per l'istanza del risultato e si basa su una serie di fattori, tra cui le istanze delle risorse interessate e la difficoltà che un potenziale utente malintenzionato incontrerebbe nel percorrere il percorso da un potenziale punto di accesso alla risorsa di alto valore interessata.
Tutti i risultati possono avere una gravità. Solo i risultati relativi a vulnerabilità e configurazioni errate supportati dalle simulazioni del percorso di attacco possono avere un punteggio di esposizione agli attacchi.
Quando dai la priorità ai risultati relativi a vulnerabilità ed errori di configurazione, dai la priorità in base ai punteggi di esposizione agli attacchi prima di dare la priorità in base alla gravità.
Classificazioni della gravità
Security Command Center utilizza le seguenti classificazioni di gravità, che vengono visualizzate nella colonna Gravità quando i risultati vengono visualizzati nella console Google Cloud :
CriticalHighMediumLowUnspecified
Gravità Critical
Una vulnerabilità critica è facilmente rilevabile e può essere sfruttata per ottenere la possibilità diretta di eseguire codice arbitrario, esfiltrare dati e ottenere altrimenti accesso e privilegi aggiuntivi in risorse e flussi di lavoro cloud. Gli esempi includono dati utente accessibili pubblicamente e accesso SSH pubblico con password deboli o assenti.
Una minaccia critica è in grado di accedere, modificare o eliminare i dati oppure eseguire codice non autorizzato all'interno delle risorse esistenti.
Un risultato di classificazione SCC error critico significa uno dei seguenti:
- Un errore di configurazione impedisce a Security Command Center di generare nuovi risultati di qualsiasi gravità.
- Un errore di configurazione ti impedisce di visualizzare tutti i risultati di un servizio.
- Un errore di configurazione impedisce alle simulazioni del percorso di attacco di generare punteggi di esposizione agli attacchi e percorsi di attacco.
Gravità High
Una vulnerabilità ad alto rischio è facilmente rilevabile e potrebbe essere sfruttata con altre vulnerabilità per ottenere l'accesso diretto per eseguire codice arbitrario o esfiltrare dati e ottenere accesso e privilegi aggiuntivi a risorse e carichi di lavoro. Ad esempio, un database con password deboli o assenti e accessibile solo internamente potrebbe essere compromesso da un utente che ha accesso alla rete interna.
Una minaccia ad alto rischio è in grado di creare risorse di calcolo in un ambiente, ma non è in grado di accedere ai dati o eseguire codice nelle risorse esistenti.
Un risultato della classe SCC error ad alto rischio indica che un errore di configurazione sta causando uno dei seguenti problemi:
- Non puoi visualizzare o esportare alcuni risultati di un servizio.
- Per le simulazioni del percorso di attacco, i punteggi di esposizione agli attacchi e i percorsi di attacco potrebbero essere incompleti o imprecisi.
Gravità Medium
Una vulnerabilità a rischio medio potrebbe consentire a un utente di accedere a risorse o privilegi che gli consentono di accedere e di estrarre dati o eseguire codice arbitrario. Ad esempio, se un account di servizio ha accesso non necessario ai progetti e un attore ottiene l'accesso al account di servizio, l'attore potrebbe utilizzare questo service account per manipolare un progetto.
Una minaccia a rischio medio potrebbe portare a un problema più grave, ma potrebbe non indicare l'accesso ai dati corrente o l'esecuzione di codice non autorizzato.
Gravità Low
Una vulnerabilità a basso rischio ostacola la capacità di un team di sicurezza di rilevare vulnerabilità o minacce attive nella propria implementazione oppure impedisce l'indagine sulla causa principale dei problemi di sicurezza. Ad esempio, uno scenario in cui il monitoraggio e i log sono disabilitati per la configurazione e l'accesso alle risorse.
Una minaccia a basso rischio ha ottenuto un accesso minimo a un ambiente, ma non è in grado di accedere ai dati, eseguire codice o creare risorse.
Gravità Unspecified
Una classificazione della gravità pari a Unspecified indica che il servizio che
ha generato il risultato non ha impostato un valore di gravità per il risultato.
Se ricevi un risultato con gravità Unspecified, devi valutare
la gravità autonomamente esaminando il risultato e consultando la documentazione
fornita dal prodotto o servizio che ha generato il risultato.
Gravità variabile
La gravità dei risultati in una categoria di risultati può variare in determinate circostanze.
Gravità che variano in base al punteggio di esposizione all'attacco
Se utilizzi il livello Enterprise di Security Command Center, i livelli di gravità dei risultati relativi a vulnerabilità ed errori di configurazione riflettono in modo più accurato il rischio di ogni singolo risultato, perché la gravità di un risultato può cambiare per riflettere il punteggio di esposizione agli attacchi del risultato.
Con il livello Enterprise, i risultati relativi a vulnerabilità ed errori di configurazione vengono generati con un livello di gravità predefinito o di base comune a tutti i risultati all'interno di una determinata categoria di risultati. Dopo la generazione di un risultato, se le simulazioni dei percorsi di attacco di Security Command Center determinano che il risultato espone una o più risorse che hai designato come risorsa di valore elevato, le simulazioni assegnano un punteggio di esposizione agli attacchi al risultato e aumentano il livello di gravità di conseguenza. Se il risultato rimane attivo, ma le simulazioni riducono in seguito il punteggio di esposizione all'attacco, anche il livello di gravità del risultato può diminuire, ma non al di sotto del livello predefinito originale.
Se utilizzi il livello Premium o Standard di Security Command Center, i livelli di gravità di tutti i risultati rimangono statici.
Gravità che variano in base al problema rilevato
Per alcune categorie di risultati, Security Command Center può assegnare un livello di gravità predefinito diverso a un risultato a seconda dei dettagli del problema di sicurezza rilevato.
Ad esempio, la classificazione della gravità del
risultato IAM anomalous grant
generato da Event Threat Detection è in genere HIGH, ma se
il risultato viene generato per la concessione di autorizzazioni sensibili a un
ruolo IAM personalizzato,
la gravità è MEDIUM.
Visualizza le gravità dei risultati nella console Google Cloud
Puoi visualizzare i risultati di Security Command Center in base alla gravità in diversi modi nella consoleGoogle Cloud :
Nei livelli Standard e Premium
- Nella pagina Panoramica, puoi vedere quanti risultati per ogni livello di gravità sono attivi nelle tue risorse nella sezione Vulnerabilità per tipo di risorsa.
- Nella pagina Minacce puoi vedere quanti risultati di minacce esistono per ogni livello di gravità.
- Nella pagina Vulnerabilità, puoi filtrare i moduli di rilevamento delle vulnerabilità visualizzati in base al livello di gravità per mostrare solo i moduli che hanno risultati attivi a quel livello di gravità.
- Nella pagina Risultati, puoi aggiungere filtri per livelli di gravità specifici alle query sui risultati dal riquadro Filtri rapidi.
Nel livello Enterprise
Nella pagina Problemi, puoi selezionare un problema e visualizzare i risultati, inclusa la gravità, nel riquadro Risultati.
Nella pagina Risultati, puoi aggiungere filtri per livelli di gravità specifici alle query sui risultati dal riquadro Aggregazioni.