Schädliche Kombinationen und Engpässe verwalten

Auf dieser Seite erfahren Sie, wie Sie mithilfe von Problemen (Vorabversion), Fällen oder Ergebnissen schädliche Kombinationen und Engpässe (Vorabversion) erkennen und darauf reagieren.

Hinweise

Damit die Erkennung schädlicher Kombinationen und Engpässe korrekt funktioniert, prüfen Sie, ob die Software der Security Operations-Komponente auf dem neuesten Stand ist, Ihre Ressourcen mit hohem Wert korrekt gekennzeichnet sind und Sie die erforderlichen IAM-Berechtigungen haben.

Erforderliche Berechtigungen abrufen

Wenn Sie mit schädlichen Kombinationen und Engpässen sowohl in der Google Cloud Console als auch in der Security Operations Console arbeiten möchten, benötigen Sie Berechtigungen, die Ihnen in beiden Konsolen gewährt wurden.

IAM-Rollen in der Google Cloud Console

Make sure that you have the following role or roles on the organization:

  • Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
  • Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
  • Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
  • Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
  • Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    IAM aufrufen
  2. Wählen Sie die Organisation aus.
  3. Klicken Sie auf Zugriff erlauben.

  4. Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Dies ist in der Regel die E-Mail-Adresse eines Google-Kontos.

  5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
  6. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
  7. Klicken Sie auf Speichern.

Weitere Informationen zu Rollen und Berechtigungen in Security Command Center finden Sie unter IAM für Aktivierungen auf Organisationsebene.

Rollen in der Security Operations Console

Um mit schädlichen Kombinationen und Anfragen in der Security Operations Console arbeiten zu können, benötigen Sie eine der folgenden Rollen:

  • Chronicle SOAR Vulnerability Manager
  • Chronicle SOAR Threat Manager
  • Chronicle SOAR Admin

Informationen zum Zuweisen der Rolle an einen Nutzer finden Sie unter Nutzer mit IAM zuordnen und autorisieren.

Neuesten Anwendungsfall für Security Operations installieren

Für die Funktion „Giftige Kombination“ ist die Version 25.0.0 des Anwendungsfalls SCC Enterprise – Cloud Orchestration and Remediation vom 25. Juni 2024 oder höher erforderlich.

Informationen zum Installieren des Anwendungsfalls finden Sie unter Update Enterprise-Anwendungsfall, Juni 2024.

Satz hochwertiger Ressourcen angeben

Sie müssen die Erkennung schädlicher Kombinationen und Engpässe nicht aktivieren, sie ist immer aktiviert. Die Risiko-Engine erkennt automatisch schädliche Kombinationen und Engpässe, die einen Standardsatz hochwertiger Ressourcen gefährden.

Ergebnisse zu schädlichen Kombinationen und Engpässen, die auf der Grundlage des standardmäßigen Sets mit wertvollen Ressourcen generiert wurden, spiegeln Ihre Sicherheitsprioritäten wahrscheinlich nicht genau wider. Um anzugeben, welche Ressourcen zu Ihrem Set mit Ressourcen mit hohem Wert gehören, erstellen Sie in der Google Cloud Console Konfigurationen für Ressourcenwerte. Eine Anleitung finden Sie unter Satz hochwertiger Ressourcen definieren und verwalten.

Schädliche Kombinationen und Engpässe beheben

Schädliche Kombinationen und Engpässe können viele wertvolle Ressourcen potenziellen Angreifern ausliefern. Sie sollten diese vor anderen Risiken in Ihren Cloud-Umgebungen beheben.

Sie können die Reihenfolge, in der Sie schädliche Kombinationen und Engpässe beheben, basierend auf dem Angriffsrisikowert priorisieren. Wie Sie vorgehen, hängt davon ab, wo Sie toxische Kombinationen und Engpässe sehen.

Probleme (Vorabversion)

Die schädlichen Kombinationen und Engpässe mit dem höchsten Risiko werden auf der Seite Risiko > Übersicht der Security Operations Console als Probleme angezeigt.

Alle schädlichen Kombinationen und Engpässe finden Sie auf der Seite Risiko > Probleme.

So beheben Sie ein Problem:

  1. Wenn Sie alle Probleme in der Security Operations Console aufrufen möchten, gehen Sie zu Probleme:

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/security-command-center/issues

    Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

  2. Gruppierte Probleme werden standardmäßig nach Schweregrad sortiert. Innerhalb der Gruppe werden die Probleme nach dem Risikowert für Angriffspfade sortiert. Wenn Sie alle Probleme stattdessen nach dem Angriffsbewertungs-Score sortieren möchten, deaktivieren Sie Nach Erkennungen gruppieren.

  3. Wählen Sie ein Problem aus.

  4. Sehen Sie sich die Beschreibung des Problems und die Nachweise an.

  5. Wenn es ähnliche Ergebnisse gibt, können Sie sich die Details ansehen.

  6. Wenn bei einer primären Ressource in einer toxischen Kombination oder einem Engpass (Vorschau) mehrere kritische Probleme gefunden werden, wird nach dem Diagramm Beweise eine Meldung angezeigt. Wenn Sie Ihre Maßnahmen zur Behebung von Problemen optimieren möchten, klicken Sie in dieser Nachricht auf Probleme für diese primäre Ressource filtern, um sich auf die Behebung von Problemen für diese bestimmte Ressource zu konzentrieren. Wenn Sie den Filter entfernen möchten, klicken Sie auf den Zurückpfeil neben Filterleiste öffnen Filter hinzufügen.

  7. Klicken Sie im Diagramm Evidenz auf Vollständige Angriffspfade ansehen, um mehr über das Problem und die Auswirkungen der Angriffspfade auf wertvolle Ressourcen zu erfahren.

  8. Klicken Sie auf Problem beheben und folgen Sie der Anleitung, um das Risiko zu minimieren.

Fälle

Alle Fälle zu schädlichen Kombinationen finden Sie auf der Seite Fälle. Für Engpässe wird keine Supportanfrage automatisch erstellt. Sie sollten sie auf der Seite Probleme ansehen.

So finden Sie schädliche Kombinationen in Supportanfragen:

  1. Klicken Sie in der Security Operations Console auf Cases (Fälle).

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

    Die Seite Fälle wird geöffnet und die Ansicht Nebeneinander ist ausgewählt.

  2. Klicken Sie in der Fallliste auf Filterleiste öffnen Fallfilter, um den Filterbereich zu öffnen. Der Bereich Filter für Fallwarteschlange wird geöffnet.

  3. Geben Sie im Filter für die Fallwarteschlange Folgendes an:

    1. Geben Sie im Feld Zeitraum den Zeitraum an, in dem der Fall aktiv ist.
    2. Legen Sie Logischer Operator auf AND fest.
    3. Wählen Sie im Feld für Filterschlüssel die Option Tags aus.
    4. Legen Sie den Gleichheitsoperator auf ist fest.
    5. Wählen Sie im Listenfeld für Filterwerte die Option Giftige Kombination aus.
    6. Klicken Sie auf Übernehmen. Die Fälle in der Fallwarteschlange werden aktualisiert und es werden nur noch die Fälle angezeigt, die dem von Ihnen angegebenen Filter entsprechen.

  4. Klicken Sie neben Filterleiste öffnen Anfragefilter auf Sortieren und wählen Sie Nach Angriffsexposition sortieren (hoch nach niedrig) aus.

  5. Klicken Sie in der Fallwarteschlange auf den Fall, den Sie sich ansehen möchten. Wenn Sie sich Anfragen in der Listenansicht ansehen, klicken Sie stattdessen auf die Fall-ID. Die Fallinformationen werden angezeigt.

  6. Klicken Sie auf Fall Fallübersicht.

  7. Folgen Sie im Abschnitt Fallübersicht der Anleitung unter Nächste Schritte.

Eine schädliche Kombination enthält in der Regel eine oder mehrere Ergebnisse zu einer Softwarelücke oder einer fehlerhaften Konfiguration. Für jedes dieser Ergebnisse wird im Security Command Center automatisch ein separater Fall geöffnet und die zugehörigen Playbooks ausgeführt. Sie können die Fälle auf diese Ergebnisse prüfen und die Ticketinhaber bitten, die Behebung zu priorisieren, um die schädliche Kombination zu beheben.

So rufen Sie die zugehörigen Ergebnisse für eine toxische Kombination auf:

  1. Rufe auf dem Tab Fall Fallübersicht eines Falls den Bereich Ergebnisse auf.
  2. Sehen Sie sich die aufgeführten Ergebnisse im Abschnitt Ergebnisse an.
    • Klicken Sie auf die Fall-ID der Abweichung, um den Fall zu öffnen und sich den Status, den zugewiesenen Inhaber und andere Fallinformationen anzusehen.
    • Klicken Sie auf den Risikowert für Angriffspfade, um den Angriffspfad für das Ergebnis aufzurufen.
    • Wenn das Ergebnis eine Ticket-ID hat, klicken Sie darauf, um das Ticket zu öffnen.

Alternativ können Sie sich zugehörige Ergebnisse in eigenen Benachrichtigungstabs im Fall ansehen.

Ergebnisse

Eine Meldung zu einer toxischen Kombination oder einem Engpass ist der erste Eintrag, den die Risiko-Engine generiert, wenn eine toxische Kombination oder ein Engpass in Ihrer Cloud-Umgebung erkannt wird.

Sie können sich Ergebnisse zu schädlichen Kombinationen und Engpässen an folgenden Stellen ansehen:

  • Die Seite Ergebnisse in der Google Cloud Console.

  • Die Seite Ergebnisse in der Security Operations Console.

Google Cloud Console

So beheben Sie Ergebnisse zu schädlichen Kombinationen und Engpässen in der Google Cloud Console:

  1. Rufen Sie die Seite Ergebnisse auf.

    Zu Ergebnissen

  2. Wählen Sie Ihre Google Cloud Organisation aus.

  3. Wählen Sie im Bereich Ergebnisklasse des Steuerfelds Schnellfilter die Option Schädliche Kombination oder Engpass aus. Im Bereich Ergebnisse der Suchanfrage werden nur Ergebnisse zu schädlichen Kombinationen oder Engpässen angezeigt.

  4. Klicken Sie auf die Spaltenüberschrift Wert für schädliche Kombination oder Wert für Angriffsrisiken, um die Ergebnisse nach Schweregrad zu sortieren.

  5. Klicken Sie auf eine Ergebniskategorie, um den Bereich mit den Ergebnisdetails zu öffnen. Rufen Sie den Abschnitt Nächste Schritte auf und folgen Sie der Anleitung, um das Sicherheitsproblem zu beheben.

Security Operations Console

So beheben Sie Ergebnisse zu schädlichen Kombinationen und Engpässen in der Security Operations Console:

  1. Gehen Sie zu Risiko > Ergebnisse.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/security-command-center/findings

    Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

  2. Maximieren Sie im Bereich Aggregationen die Option Suchklasse und wählen Sie dann Schädliche Kombination und Engpass aus.

  3. Klicken Sie auf die Angriffsbewertung, bis die Bewertungen in absteigender Reihenfolge angezeigt werden.

  4. Klicken Sie auf eine Ergebniskategorie, um den Bereich mit den Ergebnisdetails zu öffnen. Rufen Sie den Abschnitt Nächste Schritte auf und folgen Sie der Anleitung, um das Sicherheitsproblem zu beheben.

Fälle zu schädlichen Kombinationen schließen

Sie können einen Fall für eine schädliche Kombination schließen, indem Sie entweder die zugrunde liegende schädliche Kombination beheben oder die zugehörige Feststellung in der Google Cloud Console stummschalten.

Fall schließen, indem eine schädliche Kombination behoben wird

Nachdem Sie die Sicherheitsprobleme behoben haben, die eine toxische Kombination bilden, und keine Ressourcen mehr in Ihrem Set mit hochwertigen Ressourcen gefährdet sind, schließt die Risk Engine den Fall automatisch bei der nächsten Angriffspfadsimulation, die etwa alle sechs Stunden ausgeführt wird.

Fall schließen, indem Sie das Ergebnis ausblenden

Wenn das Risiko, das von der schädlichen Kombination ausgeht, für Ihr Unternehmen akzeptabel ist oder Sie die schädliche Kombination nicht beheben können, können Sie den Fall schließen, indem Sie die zugehörige Feststellung stummschalten.

So blenden Sie Ergebnisse zu toxischen Kombinationen aus:

  1. Klicken Sie in der Security Operations Console auf Cases (Fälle).

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

  2. Suchen Sie den Fall zu schädlichen Kombinationen oder Engpässen und öffnen Sie ihn.

  3. Klicken Sie auf den Tab der entsprechenden Benachrichtigung.

  4. Klicken Sie im Widget Ergebnisübersicht auf Ergebnisse in SCC untersuchen. Das zugehörige Ergebnis wird geöffnet.

  5. Verwenden Sie die Optionen zum Stummschalten auf der Seite mit den Ergebnisdetails, um das Ergebnis stummzuschalten.

Sie können Ergebnisse auch in der Google Cloud Console stummschalten. Weitere Informationen finden Sie unter Einzelne Ergebnisse stummschalten.

Abgeschlossene Fälle zu schädlichen Kombinationen ansehen

Wenn ein Fall in der Security Operations Console geschlossen wird, wird er im Security Command Center von der Seite Fälle entfernt.

So rufen Sie einen geschlossenen Fall mit schädlichen Kombinationen auf:

  1. Rufen Sie in der Security Operations Console die Seite SOAR Search auf.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/sp-search

    Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

  2. Maximieren Sie den Bereich Status und wählen Sie Geschlossen aus.

  3. Maximieren Sie den Bereich Tags und wählen Sie Giftige Kombination aus.

  4. Klicken Sie auf Übernehmen. Geschlossene Fälle zu schädlichen Kombinationen werden in den Suchergebnissen angezeigt.