Schädliche Kombinationen und Engpässe verwalten

Auf dieser Seite finden Sie eine Anleitung zum Identifizieren und Reagieren auf toxische Kombinationen und Engstellen (Vorschau) mithilfe der folgenden Seiten:

  • „Probleme“ (Vorschau) ist in der Enterprise-Dienststufe verfügbar.
  • Vorgänge, die in der Enterprise-Dienststufe verfügbar sind.
  • Ergebnisse, die in den Service-Stufen „Enterprise“ und „Premium“ verfügbar sind.

Hinweise

Damit toxische Kombinationen und Engstellen richtig erkannt werden, muss die Software der Security Operations-Komponente auf dem neuesten Stand sein, Ihr Set mit wichtigen Ressourcen muss richtig festgelegt sein und Sie müssen die richtigen IAM-Berechtigungen haben.

Optional: Daten aus anderen Clouds erfassen

Die Risk Engine unterstützt die Ausführung von Simulationen für Daten von Amazon Web Services (AWS) (Vorschau) und Microsoft Azure (Vorschau), um toxische Kombinationen und Engstellen zu identifizieren.

Konfigurieren Sie die Verbindung von Security Command Center zu diesen Cloud-Anbietern, um Ressourcen- und Konfigurationsdaten zu erfassen. Informationen zum Einrichten der Verbindungen finden Sie hier:

Eine Liste der unterstützten Ressourcen finden Sie unter Unterstützung von Risk Engine-Funktionen.

Erforderliche Berechtigungen erhalten

Wenn Sie mit toxischen Kombinationen und Engstellen arbeiten möchten, benötigen Sie Berechtigungen, die den Zugriff auf Security Command Center- und Google SecOps-Funktionen ermöglichen.

IAM-Rollen für Security Command Center

Make sure that you have the following role or roles on the organization:

  • Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
  • Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
  • Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
  • Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
  • Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Zu IAM
  2. Wählen Sie die Organisation aus.
  3. Klicken Sie auf Zugriff erlauben.

  4. Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Dies ist in der Regel die E-Mail-Adresse eines Google-Kontos.

  5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
  6. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
  7. Klicken Sie auf Speichern.

    8. Weitere Informationen zu Rollen und Berechtigungen in Security Command Center finden Sie unter IAM für Aktivierungen auf Organisationsebene.

    Google SecOps-IAM-Rollen

    Um mit toxischen Kombinationen und Fällen zu arbeiten, benötigen Sie eine der folgenden Rollen:

    • Chronicle SOAR Vulnerability Manager (roles/chronicle.soarVulnerabilityManager)
    • Chronicle SOAR Threat Manager (roles/chronicle.soarThreatManager)
    • Chronicle SOAR-Administrator (roles/chronicle.soarAdmin)

    Informationen zum Zuweisen der Rolle zu einem Nutzer finden Sie unter Nutzer mit IAM zuordnen und autorisieren.

    Neuesten Anwendungsfall für Security Operations installieren

    Für das Feature „Toxische Kombination“ ist die Version vom 25. Juni 2024 oder höher des Anwendungsfalls SCC Enterprise – Cloud Orchestration and Remediation erforderlich.

    Informationen zur Installation des Anwendungsfalls finden Sie unter Update für Enterprise-Anwendungsfall, Juni 2024.

    Satz hochwertiger Ressourcen angeben

    Sie müssen die Erkennung von toxischen Kombinationen und Engstellen nicht aktivieren. Sie ist immer aktiviert. Die Risk Engine erkennt automatisch toxische Kombinationen und Engstellen, die einen Standardsatz hochwertiger Ressourcen gefährden.

    Ergebnisse zu schädlichen Kombinationen und Engstellen, die auf Grundlage des standardmäßigen Sets von Ressourcen mit hohem Wert generiert werden, spiegeln Ihre Sicherheitsprioritäten wahrscheinlich nicht genau wider. Um anzugeben, welche Ressourcen zu Ihrem Satz hochwertiger Ressourcen gehören, erstellen Sie Konfigurationen für den Wert von Ressourcen in der Google Cloud -Konsole. Eine Anleitung finden Sie unter Satz hochwertiger Ressourcen definieren und verwalten.

    Schädliche Kombinationen und Engstellen beheben

    Schädliche Kombinationen und Engstellen können viele hochwertige Ressourcen potenziellen Angreifern aussetzen. Sie sollten diese beheben, bevor Sie sich um andere Risiken in Ihren Cloud-Umgebungen kümmern.

    Sie können die Reihenfolge, in der Sie schädliche Kombinationen und Engstellen beheben, anhand des Angriffsrisikowerts priorisieren. Die Vorgehensweise hängt davon ab, wo Sie sich toxische Kombinationen und Engstellen ansehen.

    Probleme

    Auf der Seite Risiko > Übersicht (Vorschau) finden Sie die toxischen Kombinationen und Engstellen mit dem höchsten Risiko, die als Probleme angezeigt werden.

    Alle schädlichen Kombinationen und Engstellen können auf der Seite Risiko > Probleme (Vorschau) eingesehen werden.

    Führen Sie die folgenden Schritte aus, um ein Problem zu beheben:

    1. Rufen Sie Risiko> Probleme auf, um alle Probleme zu sehen.
    2. Standardmäßig werden gruppierte Probleme nach Schweregrad sortiert. Innerhalb der Gruppe werden die Probleme nach dem Risikowert für Angriffspfade sortiert. Wenn Sie alle Probleme stattdessen nach der Angriffsbewertung sortieren möchten, deaktivieren Sie Nach Erkennungen gruppieren.
    3. Wählen Sie ein Problem aus.
    4. Sehen Sie sich die Beschreibung des Problems und die Nachweise an.
    5. Wenn es ähnliche Ergebnisse gibt, rufen Sie die Details auf.
    6. Wenn bei einer primären Ressource in einer toxischen Kombination oder einem Engpass (Vorschau) mehrere kritische Probleme gefunden werden, wird nach dem Nachweisdiagramm eine Meldung angezeigt. Wenn Sie die Behebung von Problemen optimieren möchten, klicken Sie in dieser Meldung auf Probleme für diese primäre Ressource filtern, um sich auf die Behebung von Problemen für diese bestimmte Ressource zu konzentrieren. Klicken Sie auf den Zurückpfeil neben Filterleiste öffnen Filter hinzufügen, um den Filter zu entfernen.
    7. Klicken Sie im Diagramm Nachweise auf Vollständige Angriffspfade ansehen, um das Problem und die Art und Weise, wie die Angriffspfade hochwertige Ressourcen offenlegen, genauer zu untersuchen.
    8. Klicken Sie auf Beheben und folgen Sie der Anleitung, um das Risiko zu minimieren.

    Fälle

    Alle Fälle zu schädlichen Kombinationen finden Sie auf der Seite Fälle. Bei Engstellen wird nicht automatisch eine Supportanfrage erstellt. Sie sollten auf der Seite Probleme nachsehen.

    So finden Sie toxische Kombinationen in Fällen:

    1. Wechseln Sie in der Google Cloud Console zu Risiko > Anfragen. Die Seite Fälle in der Security Operations Console wird geöffnet.
    2. Klicken Sie in der Liste der Fälle auf Filterleiste öffnen Fallfilter, um den Filterbereich zu öffnen. Der Bereich Filter für Fallwarteschlange wird geöffnet.
    3. Geben Sie im Filter für die Fallwarteschlange Folgendes an: 1. Geben Sie im Feld Zeitraum den Zeitraum an, in dem der Fall aktiv ist. 1. Stellen Sie Logischer Operator auf AND ein. 1. Wählen Sie im Listenfeld für den Filterschlüssel Tags aus. 1. Legen Sie den Gleichheitsoperator auf is fest. 1. Wählen Sie im Listenfeld für Filterwerte die Option Toxische Kombination aus. 1. Klicken Sie auf Übernehmen. Die Anfragen in der Warteschlange werden aktualisiert und es werden nur noch die Anfragen angezeigt, die dem angegebenen Filter entsprechen.
    4. Klicken Sie neben Filter für Fälle Filterleiste öffnen auf Sortieren und wählen Sie Nach Angriffsexposition sortieren (hoch bis niedrig) aus.
    5. Klicken Sie in der Fallwarteschlange auf den Fall, den Sie sich ansehen möchten. Wenn Sie sich Fälle in der Listenansicht ansehen, klicken Sie stattdessen auf die Fall-ID. Die Informationen zur Anfrage werden angezeigt.
    6. Klicken Sie auf Fall Fallübersicht.
    7. Folgen Sie im Abschnitt Fallzusammenfassung der Anleitung unter Nächste Schritte.

    Eine schädliche Kombination umfasst in der Regel ein oder mehrere Ergebnisse zu einer Software-Sicherheitslücke oder einer fehlerhaften Konfiguration. Für jedes dieser Ergebnisse öffnet Security Command Center automatisch einen separaten Fall und führt die zugehörigen Playbooks aus. Sie können sich die Fälle für diese Ergebnisse ansehen und die Ticketinhaber bitten, die Behebung zu priorisieren, um die toxische Kombination zu beheben.

    So rufen Sie die zugehörigen Ergebnisse in einer toxischen Kombination auf:

    1.  From the ![Case](/security-command-center/images/icons-uno/case.svg){:.inline-icon}

    Gehen Sie auf dem Tab Fallübersicht eines Falls zum Bereich Ergebnisse. 1. Sehen Sie sich im Abschnitt Ergebnisse die aufgeführten Ergebnisse an. * Klicken Sie auf die Fall-ID des Ergebnisses, um den Fall zu öffnen und den Status, den zugewiesenen Inhaber und andere Fallinformationen aufzurufen. * Klicken Sie auf den Risikowert für Angriffspfade, um den Angriffspfad für das Ergebnis zu prüfen. * Wenn dem Ergebnis eine Ticket-ID zugewiesen ist, klicken Sie darauf, um das Ticket zu öffnen.

    Alternativ können Sie sich die zugehörigen Ergebnisse im Fall auf den jeweiligen Benachrichtigungstabs ansehen.

    Ergebnisse

    Ein Ergebnis für eine toxische Kombination oder einen Engpass ist der erste Datensatz, den Risk Engine generiert, wenn eine toxische Kombination oder ein Engpass in Ihrer Cloud-Umgebung erkannt wird.

    Sie können sich die Ergebnisse zu toxischen Kombinationen und Engstellen auf der Seite Ergebnisse ansehen. Klicken Sie dazu auf den Tab für Ihre Service-Stufe.

    Premium

    1. Rufen Sie die Seite Ergebnisse auf.

      Zu Ergebnissen

    2. Wählen Sie Ihre Google Cloud Organisation aus.

    3. Wählen Sie im Bereich Schnellfilter im Abschnitt Klasse der Ergebnisse die Option Toxische Kombination oder Engstelle aus. Der Bereich Ergebnisse der Ergebnisabfrage wird aktualisiert und enthält dann nur noch Ergebnisse zu toxischen Kombinationen oder Engpässen.

    4. Klicken Sie auf die Spaltenüberschrift Attack Exposure Score, bis die Werte in absteigender Reihenfolge sortiert sind.

    5. Klicken Sie auf eine Kategorie, um den Detailbereich zu öffnen. Rufen Sie den Abschnitt Nächste Schritte auf und folgen Sie der Anleitung, um das Sicherheitsproblem zu beheben.

    Unternehmen

    1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

      Zu Ergebnissen in der Enterprise-Version

    2. Wählen Sie Ihre Google Cloud Organisation aus.
    3. Maximieren Sie im Bereich Aggregationen die Option Klasse für Fund und wählen Sie dann Toxische Kombination und Engstelle aus.
    4. Klicken Sie auf Angriffsbewertung, bis die Werte in absteigender Reihenfolge angezeigt werden.
    5. Klicken Sie auf eine Kategorie, um den Detailbereich zu öffnen. Rufen Sie den Abschnitt Nächste Schritte auf und folgen Sie der Anleitung, um das Sicherheitsproblem zu beheben.

    Fälle zu schädlichen Kombinationen schließen

    Sie können einen Fall zu einer schädlichen Kombination schließen, indem Sie die zugrunde liegende schädliche Kombination beheben oder den entsprechenden Befund in derGoogle Cloud -Konsole stummschalten.

    Fall durch Beheben einer schädlichen Kombination schließen

    Nachdem Sie die Sicherheitsprobleme behoben haben, die eine toxische Kombination bilden, und keine Ressourcen in der Gruppe Ihrer hochwertigen Ressourcen mehr gefährden, schließt Risk Engine den Fall automatisch bei der nächsten Angriffspfadsimulation, die etwa alle sechs Stunden ausgeführt wird.

    Fall durch Stummschalten des Ergebnisses schließen

    Wenn das Risiko, das von der toxischen Kombination ausgeht, für Ihr Unternehmen akzeptabel ist oder Sie die toxische Kombination nicht beheben können, können Sie den Fall schließen, indem Sie den entsprechenden Befund stummschalten.

    So blenden Sie ein Ergebnis für eine toxische Kombination aus:

    1. Wechseln Sie in der Google Cloud Console zu Risiko > Anfragen.
    2. Suchen Sie den Fall zu schädlichen Kombinationen und öffnen Sie ihn.
    3. Klicken Sie auf den entsprechenden Benachrichtigungstab.
    4. Klicken Sie im Widget Zusammenfassung der Ergebnisse auf Ergebnisse in SCC ansehen. Das zugehörige Ergebnis wird geöffnet.
    5. Verwenden Sie die Stummschaltungsoptionen auf der Seite mit den Ergebnisdetails, um das Ergebnis stummzuschalten.

    Sie können Ergebnisse auch in der Google Cloud -Konsole ausblenden. Weitere Informationen finden Sie unter Einzelne Ergebnisse stummschalten.

    Abgeschlossene Fälle zu schädlichen Kombinationen ansehen

    Wenn ein Fall geschlossen wird, wird er von Security Command Center von der Seite Fälle entfernt.

    So rufen Sie einen geschlossenen Fall mit einer toxischen Kombination auf:

    1. Rufen Sie in der Google Cloud -Konsole Untersuchung > SOAR-Suche auf. Die Seite SOAR Search (SOAR-Suche) in der Security Operations Console wird geöffnet.
    2. Maximieren Sie den Bereich Status und wählen Sie Geschlossen aus.
    3. Maximieren Sie den Bereich Tags und wählen Sie Schädliche Kombination aus.
    4. Klicken Sie auf Übernehmen. Geschlossene Fälle zu schädlichen Kombinationen werden in den Suchergebnissen angezeigt.