Schädliche Kombinationen verwalten

Auf dieser Seite finden Sie eine Anleitung, wie Sie anhand von Beispielen und Ergebnissen schädliche Kombinationen erkennen und darauf reagieren können.

Hinweise

Damit schädliche Kombinationen korrekt erkannt werden, muss die Software der Security Operations-Komponente auf dem neuesten Stand sein, Ihre wertvollen Ressourcen müssen korrekt gekennzeichnet sein und Sie müssen die erforderlichen IAM-Berechtigungen haben.

Erforderliche Berechtigungen abrufen

Wenn Sie mit Ergebnissen und Fällen zu schädlichen Kombinationen sowohl in der Google Cloud Console als auch in der Security Operations Console arbeiten möchten, benötigen Sie Berechtigungen, die Ihnen in beiden Konsolen gewährt wurden.

IAM-Rollen in der Google Cloud Console

Make sure that you have the following role or roles on the organization:

  • Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
  • Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
  • Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
  • Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
  • Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    IAM aufrufen
  2. Wählen Sie die Organisation aus.
  3. Klicken Sie auf Zugriff erlauben.

  4. Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Dies ist in der Regel die E-Mail-Adresse eines Google-Kontos.

  5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
  6. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
  7. Klicken Sie auf Speichern.

    8. Weitere Informationen zu Rollen und Berechtigungen in Security Command Center finden Sie unter IAM für Aktivierungen auf Organisationsebene.

    Rollen in der Security Operations Console

    Um in der Security Operations Console mit Ergebnissen und Anfragen zu schädlichen Kombinationen arbeiten zu können, benötigen Sie eine der folgenden Rollen:

    • Chronicle SOAR Vulnerability Manager
    • Chronicle SOAR Threat Manager
    • Chronicle SOAR Admin

    Informationen zum Zuweisen der Rolle an einen Nutzer finden Sie unter Nutzer mit IAM zuordnen und autorisieren.

    Neuesten Anwendungsfall für Security Operations installieren

    Für die Funktion „Giftige Kombination“ ist die Version 2.0 des Anwendungsfalls SCC Enterprise – Cloud Orchestration and Remediation vom 25. Juni 2024 oder höher erforderlich.

    Informationen zum Installieren des Anwendungsfalls finden Sie unter Update Enterprise-Anwendungsfall, Juni 2024.

    Satz hochwertiger Ressourcen angeben

    Sie müssen die Erkennung schädlicher Kombinationen nicht aktivieren – sie ist immer aktiviert. Die Risiko-Engine erkennt automatisch schädliche Kombinationen, die einen Standardsatz hochwertiger Ressourcen gefährden.

    Ergebnisse zu schädlichen Kombinationen, die auf Grundlage des Standardsatzes hochwertiger Ressourcen generiert wurden, spiegeln Ihre Sicherheitsprioritäten wahrscheinlich nicht genau wider. Wir empfehlen daher, die Ressourcen in Ihrem Set mit hochwertigen Ressourcen anzugeben.

    Um anzugeben, welche Ressourcen zu Ihrem Set mit wertvollen Ressourcen gehören, erstellen Sie in der Google Cloud Console Konfigurationen für Ressourcenwerte. Eine Anleitung finden Sie unter Satz hochwertiger Ressourcen definieren und verwalten.

    Fälle zu schädlichen Kombinationen ansehen

    In der Security Operations Console finden Sie eine Übersicht über alle Fälle mit schädlichen Kombinationen und die Details zu den einzelnen Fällen.

    Übersicht aller Fälle zu schädlichen Kombinationen ansehen

    Auf der Seite Sicherheitsstatus – Übersicht finden Sie mehrere Widgets, die Ihnen einen schnellen Überblick über die schädlichen Kombinationen in Ihren Google Cloud- und Amazon Web Services-Umgebungen (AWS, Vorabversion) geben. Sie finden dort folgende Informationen:

    • Alle offenen Fälle zum Status oder Offene Fälle zu schädlichen Kombinationen: Wenn Sie sich offene Fälle zu schädlichen Kombinationen ansehen möchten, wählen Sie in der Auswahl Schädliche Kombinationen aus. Im Widget wird die Anzahl der offenen Fälle zu schädlichen Kombinationen für jede Prioritätsstufe angezeigt. Klicken Sie auf die Leiste für eine bestimmte Priorität, um eine Listenansicht der Fälle zu öffnen.

    • Zeit bis zur Wiederherstellung und Trend für Fälle zu schädlichen Kombinationen: Die Trends für offene und geschlossene Fälle zu schädlichen Kombinationen für einen bestimmten Zeitraum. Bewegen Sie den Mauszeiger auf die Trendlinien, um die Anzahl der offenen und geschlossenen Fälle für einen bestimmten Datenpunkt im ausgewählten Zeitraum zu sehen. Dieses Widget enthält auch einen Wert für die Behebungszeit (Time to Remediation, TTR), der angibt, wie lange es im angegebenen Zeitraum durchschnittlich gedauert hat, einen Fall mit schädlichen Kombinationen zu beheben.

    • Top-Fälle zu schädlichen Kombinationen: Die Top-Fälle zu schädlichen Kombinationen, sortiert nach dem Wert für die Angriffsgefahr. Klicken Sie auf die Fall-ID, um einen Fall zu öffnen.

    • Fälle schädlicher Kombinationen, die das SLA überschreiten: Die Fälle schädlicher Kombinationen werden nach der verbleibenden Zeit im Service Level Agreement (SLA) sortiert. Klicken Sie auf die Fall-ID, um einen Fall zu öffnen.

    Die Seite Körperhaltung – Übersicht finden Sie unter der folgenden URL:

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/overview

    Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

    Details zu einem Fall mit schädlichen Kombinationen ansehen

    In jeder Listenansicht von Fällen zu schädlichen Kombinationen können Sie die Falldetails öffnen, indem Sie auf die ID des Falls klicken.

    1. Klicken Sie in der Security Operations Console auf Cases (Fälle).

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

      Die Seite Fälle wird geöffnet und die Ansicht Nebeneinander ist ausgewählt.

    2. Klicken Sie oben in der Liste der Anfragen auf das Filtersymbol , um die Filterleiste zu öffnen. Der Bereich Filter für Fallwarteschlange wird geöffnet.

    3. Geben Sie im Filter für die Fallwarteschlange Folgendes an:

      1. Geben Sie im Feld Zeitraum den Zeitraum an, in dem der Fall aktiv ist.
      2. Legen Sie Logischer Operator auf AND fest.
      3. Wählen Sie für den ersten Wert unter Logischer Operator die Option Tags aus dem Menü aus.
      4. Wählen Sie für den zweiten Wert Giftige Kombinationen aus.
      5. Geben Sie nach Bedarf weitere Wertepaare an, um den gewünschten Fall zu finden.
      6. Klicken Sie auf Anwenden. Die Fälle in der Fallwarteschlange werden aktualisiert und es werden nur noch die Fälle angezeigt, die dem von Ihnen angegebenen Filter entsprechen.

    4. Wähle in der Fallwarteschlange den Fall aus, den du dir ansehen möchtest. Die Fallinformationen werden angezeigt, einschließlich der folgenden Ansichten auf Tabs:

      • Tab Fallübersicht (): Hier finden Sie Informationen zum Fall mit schädlichen Kombinationen, darunter ein vereinfachtes Diagramm des Angriffspfads, eine Liste der zugehörigen Ergebnisse, eine Liste der betroffenen Ressourcen, eine Liste ähnlicher Fälle, Benachrichtigungen und ein Entitätsdiagramm.
      • Tab Fallwand (): Enthält unter anderem Informationen zu Aktionen, Statusänderungen, Aufgaben und Kommentaren.
      • Tabs „Weitere Informationen“: Hier finden Sie detailliertere Informationen zu den einzelnen Ergebnissen, darunter:
        • Unter Übersicht finden Sie eine Beschreibung des einzelnen Ergebnisses und die nächsten Schritte zur Behebung.
        • Unter Ereignisse eine Liste der Ergebniseigenschaften.
        • Unter Playbooks eine Liste der zugehörigen Playbooks.

    Fälle zu schädlichen Kombinationen priorisieren

    Schädliche Kombinationen werden standardmäßig als Ergebnisse mit kritischer Schwere und als Fälle mit kritischer Priorität eingestuft. Daher sollten sie vor der Behebung von Fällen in anderen Kategorien von Sicherheitsrisiken priorisiert werden. Giftige Kombinationen stellen einen vollständigen Pfad dar, den ein entschlossener Angreifer, der Zugriff auf Ihre Cloud-Umgebung erlangt, vernünftigerweise vom öffentlichen Internet zu einer oder mehreren Ressourcen in Ihrem Set mit wertvollen Ressourcen verfolgen könnte.

    Vergleichen Sie die Bewertungen für schädliche Kombinationen auf der Seite Ergebnisse in der Google Cloud Console, um die Fälle mit schädlichen Kombinationen zu priorisieren. In der Security Operations Console finden Sie die Fälle mit schädlichen Kombinationen mit den höchsten Angriffsrisiken im Widget Top-Fälle zu schädlichen Kombinationen auf der Seite Übersicht unter Bereitschaft.

    Auf der Seite Fälle können Sie alle Fälle zu schädlichen Kombinationen nach dem Risikowert für Angriffe sortieren. Weitere Informationen zum Ansehen, Filtern und Sortieren von Fällen zu schädlichen Kombinationen finden Sie unter Fälle zu schädlichen Kombinationen ansehen.

    Schädliche Kombination beheben

    Eine Anleitung zur Behebung eines Ergebnisses für schädliche Kombinationen finden Sie im Fall, der für das Ergebnis in der Security Operations Console geöffnet wurde, oder im Ergebnis selbst.

    Anleitung zur Behebung in einem Fall ansehen

    So rufen Sie eine Anleitung zur Behebung von Problemen mit schädlichen Kombinationen auf:

    1. Rufen Sie in der Security Operations Console die Seite Fälle auf.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

    2. Öffnen Sie den Fall für die schädliche Kombination, die Sie beheben müssen.

    3. Klicken Sie auf den Tab Anfrage oder Benachrichtigung.

    4. Lesen Sie den Abschnitt Nächste Schritte in einem der folgenden Widgets:

      • Wenn Sie auf den Tab Anfrage geklickt haben, das Widget Anfrageübersicht.
      • Wenn Sie auf den Tab Benachrichtigung geklickt haben, das Widget Ergebnisübersicht.

      Scrollen Sie bei Bedarf an der Ergebnisbeschreibung vorbei, um die Nächsten Schritte zu sehen.

    Anleitung zur Behebung bei einem Ergebnis zu schädlichen Kombinationen aufrufen

    So rufen Sie die Anleitung zur Behebung in einem Ergebnisdatensatz auf:

    1. Klicken Sie in der Security Operations Console auf Posture > Findings (Sicherheitsstatus > Ergebnisse).

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

      Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

    2. Sie können die entsprechende Information entweder über die Schnellfilter oder über die Bearbeitung der Suchanfrage finden.

    3. Klicken Sie auf den Namen der Ergebniskategorie, um die Details des Ergebnisses zu öffnen. Die Seite mit den Details zum Ergebnis wird geöffnet.

    4. Lesen Sie sich auf der Seite mit den Ergebnisdetails im Abschnitt Nächste Schritte auf dem Tab Zusammenfassung die Anleitung zur Behebung durch.

    Ergebnisse in einem Fall zu schädlichen Kombinationen prüfen

    Eine schädliche Kombination enthält in der Regel ein oder mehrere Ergebnisse zu einer Softwarelücke oder einer Fehlkonfiguration. Für jedes dieser Ergebnisse wird in Security Command Center automatisch ein separater Fall geöffnet und die zugehörigen Playbooks ausgeführt. Sie können die Fälle auf diese Ergebnisse prüfen und die Ticketinhaber bitten, die Behebung zu priorisieren, um die schädliche Kombination zu beheben.

    So rufen Sie die Ergebnisse für eine toxische Kombination auf:

    1. Klicken Sie in der Security Operations Console auf Cases (Fälle).

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

    2. Suchen Sie den Fall zu schädlichen Kombinationen und öffnen Sie ihn.

    3. Wähle den Tab „Fallübersicht“ () aus.

    4. Sehen Sie sich auf dem Tab „Fallübersicht“ im Abschnitt Ergebnisse die aufgeführten Ergebnisse an.

    5. Klicken Sie auf ein Ergebnis, um Zusammenfassungsinformationen dazu aufzurufen, einschließlich der Fall-ID, des Angriffsrisikowerts und der Ticket-ID für das Ergebnis.

      • Klicken Sie auf die Fall-ID der Abweichung, um den Fall zu öffnen und sich den Status, den zugewiesenen Inhaber und andere Fallinformationen anzusehen.
      • Klicken Sie auf den Risikowert für den Angriffspfad, um den Angriffspfad für das Ergebnis aufzurufen.
      • Klicken Sie auf die Ticket-ID, um das Ticket für den Mangel zu öffnen.

    Fall zu schädlichen Kombinationen schließen

    Sie können einen Fall für eine schädliche Kombination schließen, indem Sie entweder die zugrunde liegende schädliche Kombination beheben oder die Meldung in der Google Cloud Console stummschalten.

    Fall schließen, indem eine schädliche Kombination behoben wird

    Nachdem Sie mindestens eines der Sicherheitsprobleme behoben haben, die eine schädliche Kombination ausmachen, sodass keine Ressourcen in Ihrem Set mit wertvollen Ressourcen mehr gefährdet sind, schließt die Risk Engine den Fall für die schädliche Kombination automatisch bei der nächsten Simulation des Angriffspfads, die etwa alle sechs Stunden ausgeführt wird.

    Folgen Sie der Anleitung unter Nächste Schritte, um eine schädliche Kombination zu beheben.

    Weitere Informationen finden Sie unter Problematische Kombinationen beheben.

    Fall schließen, indem Sie das Ergebnis ausblenden

    Wenn das Risiko, das von der schädlichen Kombination ausgeht, für Ihr Unternehmen akzeptabel ist oder Sie die schädliche Kombination nicht beheben können, können Sie den Fall schließen, indem Sie die entsprechende Benachrichtigung stummschalten.

    So blenden Sie Ergebnisse zu toxischen Kombinationen aus:

    1. Klicken Sie in der Security Operations Console auf Cases (Fälle).

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

    2. Suchen Sie den Fall zu schädlichen Kombinationen und öffnen Sie ihn.

    3. Wählen Sie den Tab „Ergebnisbenachrichtigung“ aus.

    4. Klicken Sie rechts unten im Widget Ergebnisübersicht auf Erkunden. Das Ergebnis für schädliche Kombinationen wird geöffnet.

    5. Verwenden Sie die Optionen zum Stummschalten rechts oben auf der Seite mit den Details zum Ergebnis, um es stummzuschalten.

    Sie können Ergebnisse auch in der Google Cloud Console stummschalten. Weitere Informationen finden Sie unter Einzelne Ergebnisse ausblenden.

    Abgeschlossene Fälle zu schädlichen Kombinationen aufrufen

    Wenn ein Fall in der Security Operations Console geschlossen wird, wird er im Security Command Center von der Seite Fälle entfernt.

    So rufen Sie einen geschlossenen Fall mit schädlichen Kombinationen auf:

    1. Rufen Sie in der Security Operations Console die Seite SOAR Search auf.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/sp-search

      Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

    2. Geben Sie links auf der Seite unter Status die Option Geschlossen an.

    3. Geben Sie unter Tags die Option Schädliche Kombination an.

    4. Klicken Sie auf Anwenden. Alle geschlossenen Fälle zu schädlichen Kombinationen werden in den Suchergebnissen angezeigt.

    Ergebnisse zu schädlichen Kombinationen ansehen

    Eine schädliche Kombination ist der erste Eintrag, den die Risiko-Engine ausgibt, wenn sie eine schädliche Kombination in Ihrer Cloud-Umgebung erkennt. In Security Command Center wird automatisch ein Fall für jede schädliche Kombination geöffnet, die von der Risiko-Engine gemeldet wird.

    Sie können die Ergebnisse zu schädlichen Kombinationen direkt in der Google Cloud Console auf der Seite Risikoübersicht oder auf der Seite Ergebnisse aufrufen.

    Auf der Seite Risikoübersicht werden die Ergebnisse zu schädlichen Kombinationen mit den höchsten Angriffsrisikobewertungen angezeigt. Jedes Ergebnis wird in der Security Operations Console mit einem Link zum entsprechenden Fall aufgeführt.

    So rufen Sie Ergebnisse zu schädlichen Kombinationen auf:

    1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

      Zu Ergebnissen

    2. Wählen Sie gegebenenfalls Ihre Google Cloud-Organisation aus.

    3. Wählen Sie im Bereich Suchklasse des Bereichs Schnellfilter die Option Giftige Kombination aus. Im Bereich Suchergebnisse der Suchanfrage werden nur Ergebnisse für toxische Kombinationen angezeigt.

    4. Wenn Sie die Ergebnisse zu schädlichen Kombinationen priorisieren möchten, klicken Sie auf die Spaltenüberschrift Wert für schädliche Kombination, um sie absteigend nach Wert zu sortieren.