管理有毒组合和瓶颈

本页介绍了如何使用问题(预览版)、支持请求或发现结果来识别和响应有害组合和瓶颈问题(预览版)。

准备工作

为确保准确检测有害组合和瓶颈,请检查安全运营组件软件是否是最新的、高价值资源集是否已准确指定,以及您是否拥有适当的 IAM 权限。

获取所需权限

若要在 Google Cloud 控制台和安全运营控制台中处理有害组合和瓶颈问题,您需要在这两个控制台中获得相应权限。

Google Cloud 控制台 IAM 角色

Make sure that you have the following role or roles on the organization:

  • Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
  • Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
  • Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
  • Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
  • Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    进入 IAM
  2. 选择组织。
  3. 点击 授予访问权限

  4. 新的主账号字段中,输入您的用户标识符。 这通常是 Google 账号的电子邮件地址。

  5. 选择角色列表中,选择一个角色。
  6. 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
  7. 点击 Save(保存)。

如需详细了解 Security Command Center 角色和权限,请参阅适用于组织级激活的 IAM

安全运维控制台角色

如需在安全运营控制台中处理有害组合和支持请求,您需要具备以下任一角色:

  • Chronicle SOAR Vulnerability Manager
  • Chronicle SOAR Threat Manager
  • Chronicle SOAR Admin

如需了解如何向用户授予该角色,请参阅使用 IAM 映射和授权用户

安装最新的安全运营用例

有毒组合功能需要 2024 年 6 月 25 日或之后发布的 SCC Enterprise - Cloud Orchestration and Remediation 用例。

如需了解如何安装此应用场景,请参阅2024 年 6 月更新企业应用场景

指定高价值资源集

您无需启用有毒组合和瓶颈检测功能,因为该功能始终处于启用状态。风险引擎会自动检测会暴露默认高价值资源集的有害组合和瓶颈。

根据默认的高价值资源集生成的有害组合和瓶颈问题发现结果不太可能准确反映您的安全重点。如需指定哪些资源属于高价值资源集,您可以在 Google Cloud 控制台中创建资源值配置。如需了解相关说明,请参阅定义和管理高价值资源集

解决危险组合和瓶颈问题

恶意组合和瓶颈可能会将许多高价值资源暴露给潜在攻击者。您应先解决这些问题,然后再解决云环境中的其他风险。

您可以根据恶意组合和瓶颈的攻击风险得分,确定修复这些问题的优先顺序。具体方法会因您查看有毒组合和瓶颈的位置而异。

问题(预览版

风险最高的危险组合和瓶颈会在安全运营控制台的风险 > 概览页面上显示为问题

您可以在风险 > 问题页面上查看所有有害组合和瓶颈问题。

如需解决问题,请完成以下说明:

  1. 如需在安全运营控制台中查看所有问题,请前往问题

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/security-command-center/issues

    CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

  2. 默认情况下,系统会按严重程度对分组问题进行排名。在组内,问题按攻击风险得分进行排名。如需改为按攻击风险得分对所有问题进行排序,请停用按检测结果分组

  3. 选择一个问题。

  4. 查看问题说明和证据。

  5. 如果有相关发现,请查看其详细信息。

  6. 如果在有毒组合或瓶颈(预览)中的主要资源上发现多个严重问题,系统会在证据图表后面显示一条消息。为优化问题整改工作,请点击本邮件中的过滤此主要资源的问题,以便专注于解决该特定资源的问题。如需移除过滤条件,请点击 打开过滤条件面板 添加过滤条件旁边的返回箭头。

  7. 点击证据图表中的探索完整攻击路径,深入了解该问题以及攻击路径如何公开高价值资源。

  8. 点击如何解决,然后按照相关指南操作,以帮助降低风险。

支持请求

您可以前往支持请求页面查看所有危险组合支持请求。 瓶颈不会自动生成支持请求,应在问题页面上查看。

如需在支持请求中查找有毒组合,请按以下说明操作:

  1. 在安全运营控制台中,前往支持请求

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

    系统随即会打开支持请求页面,其中并排视图处于选中状态。

  2. 在案例列表中,点击 打开过滤条件面板 Cases filter(案例过滤条件)以打开过滤条件面板。系统随即会打开支持请求队列过滤条件面板。

  3. 支持请求队列过滤条件中,指定以下内容:

    1. 时间范围字段中,指定支持请求的有效期。
    2. 逻辑运算符设为
    3. 在过滤条件键列表框中,选择代码
    4. 将等式运算符设置为 is
    5. 在过滤条件值列表框中,选择有毒组合
    6. 点击应用。支持请求队列中的支持请求会更新,仅显示与您指定的过滤条件匹配的支持请求。

  4. 点击 打开过滤条件面板 “支持请求”过滤条件旁边的排序,然后选择按攻击风险排序(从高到低)

  5. 在支持请求队列中,点击要查看的支持请求。如果您是在列表视图中查看支持请求,请改为点击支持请求 ID。系统会显示支持请求信息。

  6. 依次点击 支持请求 支持请求概览

  7. 支持请求摘要部分,按照后续步骤中的说明操作。

通常,恶意组合包含一个或多个软件漏洞或错误配置发现结果。对于每项发现结果,Security Command Center 都会自动打开一个单独的支持请求并运行关联的 Playbook。您可以查看这些发现对应的支持请求,并要求工单所有者优先解决这些问题,以帮助解决有害组合。

如需查看有毒组合中的相关发现结果,请按以下步骤操作:

  1. 在相应支持请求的 支持请求 Case overview(支持请求概览)标签页中,前往 Findings(发现结果)部分。
  2. 发现结果部分,查看列出的发现结果。
    • 点击相应问题的支持请求 ID 可打开该支持请求,并查看其状态、指定的所有者和其他支持请求信息。
    • 点击攻击风险得分可查看相应发现结果的攻击路径。
    • 如果相应发现结果具有工单 ID,请点击该 ID 以打开工单。

或者,您也可以在支持请求的各个提醒标签页中查看相关发现。

发现结果

有毒组合或瓶颈问题是指风险引擎在云环境中检测到有毒组合或瓶颈问题时生成的初始记录。

您可以在以下位置查看危险组合和瓶颈问题发现结果:

  • Google Cloud 控制台中的发现结果页面。

  • 安全运营控制台中的发现结果页面。

Google Cloud 控制台

如需在 Google Cloud 控制台中修复有害组合和瓶颈问题,请完成以下步骤:

  1. 转到发现结果页面。

    前往“发现结果”页面

  2. 选择您的 Google Cloud 组织。

  3. 快速过滤条件面板的发现结果类部分中,选择有毒组合瓶颈发现结果的查询结果面板会更新,仅显示有毒组合或瓶颈发现结果。

  4. 如需按严重级别对发现结果进行排序,请点击危险组合得分攻击风险得分列标题,直到得分按降序排列。

  5. 点击某个发现结果类别可打开发现结果详情面板。前往后续措施部分,按照其中的指南操作,以帮助解决安全问题。

安全运维控制台

如需在安全运营控制台中修复有害组合和瓶颈问题,请完成以下步骤:

  1. 依次选择风险 > 发现

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/security-command-center/findings

    CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

  2. 汇总部分中,展开发现类,然后选择有毒组合瓶颈

  3. 点击攻击风险得分,直到得分按降序排列。

  4. 点击某个发现结果类别可打开发现结果详情面板。前往后续措施部分,按照其中的指南操作,以帮助解决安全问题。

关闭危险组合支持请求

您可以通过以下方式关闭有毒组合案例:修复潜在的有毒组合,或在 Google Cloud 控制台中关闭相关发现。

通过修复有毒组合来关闭支持请求

在您修复构成有害组合的安全问题后,如果这些问题不再暴露高价值资源集中的任何资源,风险引擎会在下一次攻击路径模拟(大约每 6 小时运行一次)期间自动关闭支持请求。

通过忽略发现结果来关闭支持请求

如果您的企业可以接受由有害组合带来的风险,或者您无法更正有害组合,则可以通过忽略相关发现来关闭支持请求。

如需忽略有毒组合发现结果,请按以下步骤操作:

  1. 在安全运营控制台中,前往支持请求

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

  2. 找到并打开危险组合或瓶颈问题支持请求。

  3. 点击相关的提醒标签页。

  4. 发现结果摘要 widget 中,点击在 SCC 中探索发现结果。系统随即会打开相关发现。

  5. 使用发现结果详情页面上的忽略选项忽略发现结果。

您还可以在 Google Cloud 控制台中静音发现结果。如需了解详情,请参阅关闭个别发现

查看已关闭的危险组合支持请求

当 Security Operations 控制台中的支持请求关闭后,Security Command Center 会将其从支持请求页面中移除。

如需查看已关闭的有毒组合情况,请按以下步骤操作:

  1. 在 Security Operations 控制台中,前往 SOAR Search 页面。

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/sp-search

    CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

  2. 展开状态部分,然后选择已结

  3. 展开标记部分,然后选择有毒组合

  4. 点击应用。已解决的危险组合案例会显示在搜索结果中。