尋找嚴重性

本頁面說明 Security Command Center 發現項目的 severity 屬性,以及可能的值。

severity 屬性會提供一般指標,指出修正特定發現類別 (或某些情況下的子類別) 發現事項的重要性。

一般來說,您應先修正 HIGH 嚴重程度的發現項目,再修正 LOW 嚴重程度的發現項目,但視受影響的資源或其他考量因素而定,修正特定 LOW 嚴重程度的發現項目可能比修正 HIGH 嚴重程度的發現項目更重要。

嚴重程度與受攻擊風險分數的比較

您可以同時使用嚴重程度和攻擊暴露分數,決定修正結果的優先順序,但請務必瞭解兩者之間的差異。

嚴重程度是根據發現項目的類別預先決定的通用指標。系統會為特定類別或子類別中的所有發現項目指派相同的預設嚴重程度。

攻擊風險分數是動態指標,會在產生發現項目後計算。這項分數是針對特定發現項目例項計算,並根據多項因素而定,包括發現項目影響的資源例項,以及假設攻擊者從潛在存取點到受影響高價值資源的路徑難度。

所有發現項目都可能具有嚴重性。只有攻擊路徑模擬支援的安全漏洞和設定錯誤發現項目,才能取得受攻擊風險分數

排定安全漏洞和錯誤設定發現項目的優先順序時,請先依據遭受攻擊的風險分數,再依據嚴重程度。

嚴重性分類

Security Command Center 會使用下列嚴重性分類,在 Google Cloud 控制台顯示偵測結果時,這些分類會顯示在「嚴重性」欄中:

  • Critical
  • High
  • Medium
  • Low
  • Unspecified

Critical 嚴重程度

重大安全漏洞很容易發現,且可遭人利用,直接執行任意程式碼、外洩資料,以及在雲端資源和工作流程中取得其他存取權和權限。例如可公開存取的使用者資料,以及使用強度不足或沒有密碼的公開 SSH 存取權。

重大威脅能夠存取、修改或刪除資料,或在現有資源中執行未經授權的程式碼。

如果發現SCC error嚴重類別問題,表示有下列任一情況:

  • 設定錯誤會導致 Security Command Center 無法產生任何嚴重程度的新發現項目。
  • 設定錯誤會導致您無法查看服務的所有發現項目。
  • 設定錯誤會導致攻擊路徑模擬無法產生受攻擊風險分數和攻擊路徑。

High 嚴重程度

高風險安全漏洞很容易被發現,且可能遭到其他安全漏洞利用,直接存取以執行任意程式碼或外洩資料,並取得資源和工作負載的額外存取權和權限。舉例來說,如果資料庫的密碼強度不足或沒有密碼,且只能從內部存取,那麼只要有權存取內部網路的行為人,就能入侵資料庫。

高風險威脅可以在環境中建立運算資源,但無法存取資料或在現有資源中執行程式碼。

高風險 SCC error 類別發現項目表示設定錯誤導致下列任一問題:

  • 您無法查看或匯出部分服務的調查結果。
  • 攻擊路徑模擬作業的受攻擊風險分數和攻擊路徑可能不完整或不準確。

Medium 嚴重程度

中風險漏洞可能會讓攻擊者取得資源或權限,最終得以存取及外洩資料,或執行任意程式碼。舉例來說,如果服務帳戶擁有專案的不必要存取權,而行為人取得該服務帳戶的存取權,行為人就能使用該服務帳戶操控專案。

中等風險的威脅可能導致更嚴重的問題,但可能不代表目前有資料存取或未經授權的程式碼執行情形。

Low 嚴重程度

低風險安全漏洞會妨礙資安團隊偵測部署中的安全漏洞或現有威脅,或阻礙安全問題的根本原因調查。舉例來說,如果資源設定和存取權的監控和記錄功能已停用,就會發生這種情況。

低風險威脅僅取得環境的最低存取權,但無法存取資料、執行程式碼或建立資源。

Unspecified 嚴重程度

嚴重程度分類為 Unspecified 表示產生發現項目的服務未設定發現項目的嚴重程度值。

如果發現的安全性問題嚴重程度為 Unspecified,您必須自行評估嚴重程度,方法是調查該問題,並查看產生該問題的產品或服務提供的任何文件。

嚴重程度不一

在特定情況下,發現項目類別中發現項目的嚴重程度可能會有所不同。

嚴重程度 (依受攻擊風險分數而異)

如果您使用 Security Command Center 的 Enterprise 方案,安全漏洞和錯誤設定發現項目的嚴重程度會更準確地反映各項發現項目的風險,因為發現項目的嚴重程度可能會變更,以反映發現項目的遭受攻擊風險分數。

在「企業」級別中,系統會根據預設或基準嚴重程度,產生安全漏洞和設定錯誤的結果,這類嚴重程度適用於特定結果類別中的所有結果。產生發現項目後,如果 Security Command Center 的攻擊路徑模擬功能判斷該項目會暴露您指定的一或多個高價值資源,模擬功能就會為該項目指派受攻擊風險分數,並相應提高嚴重程度。如果調查結果仍處於有效狀態,但模擬作業隨後降低了攻擊暴露分數,調查結果的嚴重程度也可能會降低,但不會低於原始預設等級。

如果您使用 Security Command Center 的 Premium 級或 Standard 級,所有發現項目的嚴重程度都會維持不變。

嚴重程度會因偵測到的問題而異

對於少數發現項目類別,Security Command Center 會根據偵測到的安全性問題詳細資料,為發現項目指派不同的預設嚴重程度。

舉例來說,Event Threat Detection 產生的IAM anomalous grant發現結果嚴重程度通常為 HIGH,但如果發現結果是針對授予自訂 IAM 角色的敏感權限而產生,嚴重程度則為 MEDIUM

在 Google Cloud 控制台中查看嚴重程度

您可以在Google Cloud 控制台中,透過多種方式依嚴重程度查看 Security Command Center 發現項目:

標準和進階層級

  • 在「總覽」頁面中,您可以在「依資源類型列出的安全漏洞」部分,查看資源中各嚴重程度的發現項目數量。
  • 您可以在「威脅」頁面查看各嚴重程度的威脅發現項目數量。
  • 在「安全漏洞」頁面,您可以依嚴重程度篩選顯示的安全漏洞偵測模組,只顯示該嚴重程度有發現結果的模組。
  • 在「Findings」(發現項目) 頁面中,您可以從「Quick filters」(快速篩選器) 面板,為發現項目查詢新增特定嚴重程度的篩選器。

Enterprise 級別

  • 在「問題」頁面中選取問題,然後在「發現」面板中查看發現結果,包括嚴重程度。

  • 在「發現項目」頁面,您可以從「彙整」面板,為發現項目查詢新增特定嚴重程度的篩選條件。