管理有毒组合和瓶颈

本页面介绍了如何使用以下页面识别恶意组合和关卡(预览版)并对其做出响应:

  • 问题(预览版),适用于 Enterprise 服务层级。
  • 支持请求,适用于 Enterprise 服务层级。
  • 发现结果,适用于 Enterprise 层级和高级服务层级。

准备工作

为了确保对恶意组合和关卡的检测准确,请检查安全运维组件软件是否是最新的、您的高价值资源集是否已准确指定,以及您是否拥有适当的 IAM 权限。

可选:从其他云收集数据

风险引擎支持对来自 Amazon Web Services (AWS)(预览版)和 Microsoft Azure(预览版)的数据运行模拟,以识别恶意组合和关卡。

配置从 Security Command Center 到这些云服务提供商的连接,以收集资源和配置数据。如需了解如何设置连接,请参阅以下内容:

如需查看受支持的资源列表,请参阅风险引擎功能支持

获取所需的权限

如需处理恶意组合和关卡,您需要可授予访问 Security Command Center 和 Google SecOps 功能的权限。

Security Command Center IAM 角色

Make sure that you have the following role or roles on the organization:

  • Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
  • Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
  • Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
  • Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
  • Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.
  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    前往 IAM
  2. 选择组织。
  3. 点击 授予访问权限
  4. 新的主账号字段中,输入您的用户标识符。 这通常是 Google 账号的电子邮件地址。

  5. 选择角色列表中,选择一个角色。
  6. 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
  7. 点击 Save(保存)。
  8. 如需详细了解 Security Command Center 角色和权限,请参阅适用于组织级激活的 IAM

    Google SecOps IAM 角色

    如需处理恶意组合和支持请求,您需要拥有以下任一角色:

    • Chronicle SOAR Vulnerability Manager (roles/chronicle.soarVulnerabilityManager)
    • Chronicle SOAR Threat Manager (roles/chronicle.soarThreatManager)
    • Chronicle SOAR Admin (roles/chronicle.soarAdmin)

    如需了解如何向用户授予角色,请参阅使用 IAM 映射和授权用户

    安装最新的安全运维应用场景

    恶意组合功能需要使用 2024 年 6 月 25 日或更高版本的 SCC Enterprise - 云端编排和修复应用场景。

    如需了解如何安装应用场景,请参阅更新 Enterprise 应用场景(2024 年 6 月)

    指定高价值资源集

    您无需启用检测恶意组合和关卡,该功能始终开启。风险引擎会自动检测泄露默认高价值资源集的恶意组合和关卡。

    根据默认的高价值资源集生成的恶意组合和关卡发现结果不太可能准确反映您的优先处理的安全事项。如需指定哪些资源属于高价值资源集,您可以在 Google Cloud 控制台中创建资源值配置。如需相关说明,请参阅定义和管理高价值资源集

    修复恶意组合和关卡

    恶意组合和关卡可能会将许多高价值资源泄露给潜在攻击者。您应先修复它们,然后再修复云环境中的其他风险。

    您可以根据恶意组合和关卡的攻击风险得分,确定修复它们的优先顺序。具体操作方式因您查看恶意组合和关卡的位置而异。

    问题

    您可以在风险 > 概览页面(预览版)中查看风险最高的恶意组合和关卡(显示为问题)。

    所有恶意组合和关卡都可以在风险 > 问题页面(预览版)中查看。

    如需修复问题,请完成以下说明:

    1. 如需查看所有问题,请前往风险 > 问题
    2. 默认情况下,系统会按严重程度对分组的问题进行排名。在该群组中,问题按攻击风险得分进行排名。如需改为按攻击风险得分对所有问题进行排序,请停用按检测结果分组
    3. 选择问题。
    4. 查看问题的说明和证据。
    5. 如果存在相关发现结果,请查看其详细信息。
    6. 如果在恶意组合或关卡(预览版)中的主要资源上发现多个严重问题,系统会在证据图表后面显示一条消息。如需优化修复工作,请点击该消息中的过滤此主要资源的问题,以专注于解决该特定资源的问题。如果要移除过滤条件,请点击 打开过滤条件面板 添加过滤条件附近的返回箭头。
    7. 点击证据图表中的探索完整攻击路径,深入了解问题以及攻击路径如何泄露高价值资源。
    8. 点击解决方法,然后按照相关指南来帮助降低风险。

    支持请求

    您可以前往支持请求页面,查看所有恶意组合支持请求。关卡不会自动生成支持请求,应在问题页面上查看。

    如需在支持请求中查找恶意组合,请按照以下说明操作:

    1. 在 Google Cloud 控制台中,依次前往风险 > 支持请求。系统会打开支持请求安全运维控制台页面。
    2. 在支持请求列表中,点击 打开过滤条件面板 支持请求过滤条件以打开过滤条件面板。此时会打开支持请求队列过滤条件面板。
    3. 支持请求队列过滤条件中,指定以下内容: 1. 在时间范围字段中,指定相应支持请求处于活跃状态的时间段。 1. 将逻辑运算符设置为 AND。 1. 在过滤键列表框中,选择标签。 1. 将等式运算符设置为 is。 1. 在“过滤条件值”列表框中,选择恶意组合。 1. 点击应用。支持请求队列中的支持请求将更新,以仅显示与您指定的过滤条件匹配的支持请求。
    4. 点击 打开过滤条件面板 支持请求过滤条件旁边的排序,然后选择按攻击风险排序(从高到低)
    5. 在支持请求队列中,点击要查看的支持请求。如果您在列表视图中查看支持请求,请改为点击支持请求 ID。系统会显示支持请求信息。
    6. 点击 场景 支持请求概览
    7. 支持请求摘要部分中,按照后续步骤指南操作。

    通常,恶意组合包含一个或多个软件漏洞或配置错误的发现结果。对于每项发现结果,Security Command Center 都会自动打开单独的支持请求并运行关联的 playbook。您可以查看这些发现结果的支持请求,并要求工单所有者优先处理相应问题,以帮助解决恶意组合问题。

    如需查看恶意组合中的相关发现结果,请按照以下步骤操作:

    1.  From the ![Case](/security-command-center/images/icons-uno/case.svg){:.inline-icon} 
    

    在某个支持请求的支持请求概览标签页中,前往发现结果部分。 1. 在发现结果部分中,查看列出的发现结果。 * 点击发现结果的支持请求 ID 以打开该支持请求,并查看其状态、分配的所有者以及其他支持请求信息。 * 点击攻击风险得分,以查看发现结果的攻击路径。 * 如果发现结果具有工单 ID,请点击该 ID 以打开相应工单。

    或者,您也可以在支持请求的各自“提醒”标签页中查看相关发现结果。

    发现结果

    恶意组合或关卡发现结果是指风险引擎在您的云环境中检测到恶意组合或关卡时生成的初始记录。

    您可以在发现结果页面上查看恶意组合和关卡发现结果,点击您的服务层级的标签页。

    高级

    1. 转到发现结果页面。

      前往“发现结果”

    2. 选择您的 Google Cloud 组织。

    3. 快速过滤条件面板的发现结果类部分中,选择恶意组合关卡发现结果的查询结果面板会更新,以仅显示恶意组合或关卡发现结果。

    4. 如需按严重程度对发现结果进行排序,请点击攻击风险得分列标题,直到得分按降序排列。

    5. 点击发现结果类别可打开发现结果详细信息面板。请前往后续步骤部分,并按照其中的指导来帮助修复安全问题。

    企业版

    1. 在 Google Cloud 控制台中,前往 Security Command Center 的发现结果页面。

      前往 Enterprise 层级中的“发现结果”

    2. 选择您的 Google Cloud 组织。
    3. 汇总部分中,展开发现结果类,然后选择恶意组合关卡
    4. 点击攻击风险得分,直到得分按降序排列。
    5. 点击发现结果类别可打开发现结果详细信息面板。请前往后续步骤部分,并按照其中的指导来帮助修复安全问题。

    关闭恶意组合支持请求

    您可以通过修复潜在的恶意组合或在Google Cloud 控制台中忽略相关发现结果,来关闭恶意组合的支持请求。

    通过修复恶意组合来关闭支持请求

    在您修复构成恶意组合的安全问题后,如果这些问题不再泄露高价值资源集中的任何资源,风险引擎会在下一次攻击路径模拟期间自动关闭相应支持请求(大约每 6 小时运行一次)。

    通过忽略发现结果来关闭支持请求

    如果您的业务可以接受恶意组合带来的风险,或者您无法修复恶意组合,则可以通过忽略相关发现结果来关闭相应支持请求。

    如需忽略恶意组合发现结果,请按照以下步骤操作:

    1. 在 Google Cloud 控制台中,依次前往风险 > 支持请求
    2. 找到并打开恶意组合支持请求。
    3. 点击相关的提醒标签页。
    4. 发现结果摘要 widget 中,点击在 SCC 中探索发现结果。系统随即会打开相关发现结果。
    5. 使用发现结果详情页面上的忽略选项来忽略发现结果。

    您也可以在 Google Cloud 控制台中忽略发现结果。如需了解详情,请参阅忽略个别发现结果

    查看已关闭的恶意组合支持请求

    关闭支持请求后,Security Command Center 会将其从支持请求页面中移除。

    如需查看已关闭的恶意组合问题,请按照以下步骤操作:

    1. 在 Google Cloud 控制台中,依次前往调查 > SOAR 搜索。系统会打开 SOAR 搜索安全运维控制台页面。
    2. 展开状态部分,然后选择已关闭
    3. 展开标签部分,然后选择恶意组合
    4. 点击应用。已关闭的恶意组合支持请求会显示在搜索结果中。