本頁說明如何使用下列頁面,找出有害組合和瓶頸 (預覽版) 並採取因應措施:
- 問題 (預先發布版),適用於 Enterprise 服務層級。
- 案件 (適用於 Enterprise 服務層級)。
- 調查結果 (適用於 Enterprise 和 Premium 服務層級)。
事前準備
為確保有害組合和瓶頸偵測結果準確無誤,請檢查安全營運元件軟體是否為最新版本、高價值資源集是否指定正確,以及您是否具備適當的 IAM 權限。
選用:從其他雲端收集資料
風險引擎支援對來自 Amazon Web Services (AWS) (搶先版) 和 Microsoft Azure (搶先版) 的資料執行模擬,以找出有害組合和瓶頸。
設定 Security Command Center 與這些雲端供應商的連線,以收集資源和設定資料。 如要瞭解如何設定連線,請參閱下列文章:
如需支援的資源清單,請參閱「風險引擎功能支援」。
取得必要權限
如要處理有害組合和瓶頸,您需要有權存取 Security Command Center 和 Google SecOps 功能。
Security Command Center IAM 角色
Make sure that you have the following role or roles on the organization:
-
Security Center Admin Viewer
(
roles/securitycenter.adminViewer
), to view assets, findings, and attack paths in Security Command Center. -
Security Center Assets Viewer
(
roles/securitycenter.assetsViewer
), to view only resources. -
Security Center Attack Paths Reader
(
roles/securitycenter.attackPathsViewer
), to view only attack paths. -
Security Center Findings Editor
(
roles/securitycenter.findingsEditor
), to view, mute, and edit findings. -
Security Center Findings Mute Setter
(
roles/securitycenter.findingsMuteSetter
), to mute findings only. -
Security Center Findings Viewer
(
roles/securitycenter.findingsViewer
), to view only findings.
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
前往「IAM」頁面 - 選取機構。
- 按一下「授予存取權」 。
-
在「New principals」(新增主體) 欄位中,輸入您的使用者 ID。 這通常是 Google 帳戶的電子郵件地址。
- 在「Select a role」(選取角色) 清單中,選取角色。
- 如要授予其他角色,請按一下 「新增其他角色」,然後新增每個其他角色。
- 按一下 [Save]。
- Chronicle SOAR 安全漏洞管理員
(
roles/chronicle.soarVulnerabilityManager
) - Chronicle SOAR 威脅管理員 (
roles/chronicle.soarThreatManager
) - Chronicle SOAR 管理員 (
roles/chronicle.soarAdmin
) - 如要查看所有問題,請依序前往「風險」>「問題」。
- 根據預設,系統會依嚴重程度排序分組問題。在群組中,問題會依受攻擊風險分數排序。如要改為按照受攻擊風險分數排序所有問題,請停用「按照偵測項目分組」。
- 選取問題。
- 查看問題說明和證據。
- 如有相關發現項目,請查看詳細資料。
- 如果系統在有毒組合或瓶頸 (預覽) 中,發現主要資源有多個重大問題,則會在「證據」圖表後方顯示訊息。如要提高修正效率,請按一下這則訊息中的「篩選這項主要資源的問題」,專注於解決該特定資源的問題。如要移除篩選器,請按一下「新增篩選器」附近的返回箭頭
。
- 按一下「證據」圖表中的「瞭解完整攻擊路徑」,深入瞭解問題,以及攻擊路徑如何暴露高價值資源。
- 按一下「如何修正」,然後按照指南說明降低風險。
- 在 Google Cloud 控制台中,依序前往「風險」>「案件」。「Cases」(案件) Security Operations 控制台頁面隨即開啟。
- 在案件清單中,按一下「案件篩選器」
,開啟篩選器面板。「案件佇列篩選器」面板隨即開啟。
- 在「案件佇列篩選器」中,指定下列項目: 1. 在「時間範圍」欄位中,指定案件的有效時間範圍。 1. 將「邏輯運算子」設為「AND」。 1. 在篩選鍵清單方塊中,選取「標記」。 1. 將等號運算子設為 is。 1. 在篩選器值清單方塊中,選取「有害組合」。 1. 按一下「套用」。案件佇列中的案件會更新,只顯示符合指定篩選條件的案件。
- 按一下「案件篩選器」
旁的「排序」,然後選取「依攻擊暴露程度排序 (從高到低)」。
- 在案件佇列中,按一下要查看的案件。如果是在清單檢視畫面中查看案件,請改為點選案件 ID。系統會顯示案件資訊。
- 按一下「案件總覽」
。
- 在「案件摘要」部分,按照「後續步驟」的指引操作。
前往「發現項目」頁面。
選取 Google Cloud 機構。
在「快速篩選器」面板的「發現項目類別」部分,選取「有毒組合」或「瓶頸」。「發現項目查詢結果」面板會更新,只顯示有害組合或瓶頸發現項目。
如要依嚴重性排序發現項目,請按一下「受攻擊風險分數」欄標題,直到分數依遞減順序排列為止。
按一下發現項目類別,開啟發現項目詳細資料面板。前往「後續步驟」部分,按照其中的指引修正安全性問題。
- 在 Google Cloud 控制台中,前往 Security Command Center 的「發現項目」頁面。
- 選取 Google Cloud 機構。
- 在「彙整」部分中,展開「發現類別」,然後選取「有害組合」和「瓶頸」。
- 按一下「受攻擊風險分數」,直到分數依遞減順序排列為止。
- 按一下發現項目類別,開啟發現項目詳細資料面板。前往「後續步驟」部分,按照其中的指引修正安全性問題。
- 在 Google Cloud 控制台中,依序前往「風險」>「案件」。
- 找出並開啟有害組合案件。
- 按一下相關的快訊分頁標籤。
- 在「發現項目摘要」小工具中,按一下「在 SCC 中探索發現項目」。系統會開啟相關發現。
- 在調查結果詳細資料頁面中,使用「忽略選項」忽略調查結果。
- 在 Google Cloud 控制台中,依序前往「Investigation」>「SOAR Search」。系統會開啟 SOAR Search Security Operations 控制台頁面。
- 展開「狀態」部分,然後選取「已結案」。
- 展開「標記」部分,然後選取「有毒組合」。
- 按一下 [套用]。搜尋結果會顯示已結案的有害組合案件。
如要進一步瞭解 Security Command Center 角色和權限,請參閱在機構層級啟用時的身分與存取權管理。
Google SecOps IAM 角色
如要處理有害組合和案件,您需要下列任一角色:
如要瞭解如何將角色授予使用者,請參閱「使用 IAM 對應及授權使用者」。
安裝最新的安全營運應用情境
如要使用有害組合功能,必須發布 2024 年 6 月 25 日或之後的 SCC Enterprise - Cloud Orchestration and Remediation 用例。
如要瞭解如何安裝用途,請參閱「2024 年 6 月更新 Enterprise 用途」。
指定高價值資源集
您不需要啟用有害組合和瓶頸的偵測功能,因為這項功能一律會開啟。風險引擎會自動偵測有害組合和瓶頸,找出預設高價值資源集可能遭受的威脅。
根據預設高價值資源集產生的有害組合和瓶頸結果,不太可能準確反映您的安全優先事項。如要指定哪些資源屬於高價值資源集,請在 Google Cloud 控制台中建立資源值設定。如需操作說明,請參閱定義及管理高價值資源集。
修正有害組合和瓶頸
有害組合和瓶頸可能會讓許多高價值資源暴露在潛在攻擊者面前。建議您先修正這些問題,再處理雲端環境中的其他風險。
您可以根據有害組合和瓶頸的攻擊風險分數,決定優先處理的項目。視您查看有害組合和瓶頸的位置而定,操作方式會有所不同。
問題
您可以在「風險」>「總覽」頁面 (預覽版),查看風險最高的有害組合和瓶頸 (顯示為「問題」)。如要查看所有有害組合和瓶頸,請前往「風險」>「問題」頁面 (預覽版)。
如要修正問題,請完成下列操作說明:
案件
如要查看所有有害組合案件,請前往「案件」頁面。系統不會自動為瓶頸產生案件,請在「問題」頁面查看。如要在案件中找出有害組合,請完成下列步驟:
查看有害組合案件中的相關發現項目
通常有害組合會包含一或多個軟體安全漏洞或錯誤設定的發現項目。針對每項發現項目,Security Command Center 會自動開啟個別案件並執行相關應對手冊。您可以查看這些發現的案件,並要求案件負責人優先處理補救措施,協助解決有害組合。
如要查看有毒組合的相關發現,請按照下列步驟操作:
1. From the {:.inline-icon}
前往案件的「案件總覽」分頁,然後前往「調查結果」部分。 1. 在「調查結果」部分,查看列出的調查結果。 * 按一下調查結果的案件 ID,開啟案件並查看案件狀態、指派的擁有者和其他案件資訊。 * 按一下受攻擊風險分數,即可查看發現項目的攻擊路徑。 * 如果調查結果有支援單 ID,請點選該 ID 開啟支援單。
或者,您也可以在案件的專屬警告分頁中查看相關發現項目。
發現項目
當風險引擎在雲端環境中偵測到有害組合或瓶頸時,會產生初始記錄,即有害組合或瓶頸發現項目。
您可以在「發現」頁面查看有害組合和瓶頸的發現結果,然後點選服務層級的分頁標籤。
進階
企業版
關閉有害組合案件
如要關閉有害組合案件,您可以修正有害組合的根本原因,或在Google Cloud 控制台中將相關發現項目設為靜音。
修正有害組合來結案
修正構成有害組合的安全問題,且這些問題不再造成高價值資源集中的任何資源暴露風險後,風險引擎會在下次攻擊路徑模擬期間自動結案 (模擬作業大約每六小時執行一次)。
忽略發現項目來關閉案件
如果有害組合造成的風險可接受,或您無法補救有害組合,可以將相關發現項目設為靜音,藉此結案。
如要將有害組合調查結果設為靜音,請按照下列步驟操作:
您也可以在 Google Cloud 控制台中將調查結果設為靜音。詳情請參閱「將個別發現項目設為靜音」。
查看已結案的有害組合案件
案件結案後,Security Command Center 會從「案件」頁面移除該案件。
如要查看已結案的有害組合案件,請按照下列步驟操作: