管理有害組合和瓶頸

本頁說明如何使用下列頁面,找出有害組合和瓶頸 (預覽版) 並採取因應措施:

  • 問題 (預先發布版),適用於 Enterprise 服務層級。
  • 案件 (適用於 Enterprise 服務層級)。
  • 調查結果 (適用於 Enterprise 和 Premium 服務層級)。

事前準備

為確保有害組合和瓶頸偵測結果準確無誤,請檢查安全營運元件軟體是否為最新版本、高價值資源集是否指定正確,以及您是否具備適當的 IAM 權限。

選用:從其他雲端收集資料

風險引擎支援對來自 Amazon Web Services (AWS) (搶先版) 和 Microsoft Azure (搶先版) 的資料執行模擬,以找出有害組合和瓶頸。

設定 Security Command Center 與這些雲端供應商的連線,以收集資源和設定資料。 如要瞭解如何設定連線,請參閱下列文章:

如需支援的資源清單,請參閱「風險引擎功能支援」。

取得必要權限

如要處理有害組合和瓶頸,您需要有權存取 Security Command Center 和 Google SecOps 功能。

Security Command Center IAM 角色

Make sure that you have the following role or roles on the organization:

  • Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
  • Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
  • Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
  • Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
  • Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.
  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    前往「IAM」頁面
  2. 選取機構。
  3. 按一下「授予存取權」
  4. 在「New principals」(新增主體) 欄位中,輸入您的使用者 ID。 這通常是 Google 帳戶的電子郵件地址。

  5. 在「Select a role」(選取角色) 清單中,選取角色。
  6. 如要授予其他角色,請按一下 「新增其他角色」,然後新增每個其他角色。
  7. 按一下 [Save]
  8. 如要進一步瞭解 Security Command Center 角色和權限,請參閱在機構層級啟用時的身分與存取權管理

    Google SecOps IAM 角色

    如要處理有害組合和案件,您需要下列任一角色:

    • Chronicle SOAR 安全漏洞管理員 (roles/chronicle.soarVulnerabilityManager)
    • Chronicle SOAR 威脅管理員 (roles/chronicle.soarThreatManager)
    • Chronicle SOAR 管理員 (roles/chronicle.soarAdmin)

    如要瞭解如何將角色授予使用者,請參閱「使用 IAM 對應及授權使用者」。

    安裝最新的安全營運應用情境

    如要使用有害組合功能,必須發布 2024 年 6 月 25 日或之後的 SCC Enterprise - Cloud Orchestration and Remediation 用例。

    如要瞭解如何安裝用途,請參閱「2024 年 6 月更新 Enterprise 用途」。

    指定高價值資源集

    您不需要啟用有害組合和瓶頸的偵測功能,因為這項功能一律會開啟。風險引擎會自動偵測有害組合和瓶頸,找出預設高價值資源集可能遭受的威脅。

    根據預設高價值資源集產生的有害組合和瓶頸結果,不太可能準確反映您的安全優先事項。如要指定哪些資源屬於高價值資源集,請在 Google Cloud 控制台中建立資源值設定。如需操作說明,請參閱定義及管理高價值資源集

    修正有害組合和瓶頸

    有害組合和瓶頸可能會讓許多高價值資源暴露在潛在攻擊者面前。建議您先修正這些問題,再處理雲端環境中的其他風險。

    您可以根據有害組合和瓶頸的攻擊風險分數,決定優先處理的項目。視您查看有害組合和瓶頸的位置而定,操作方式會有所不同。

    問題

    您可以在「風險」>「總覽」頁面 (預覽版),查看風險最高的有害組合和瓶頸 (顯示為「問題」)。

    如要查看所有有害組合和瓶頸,請前往「風險」>「問題」頁面 (預覽版)。

    如要修正問題,請完成下列操作說明:

    1. 如要查看所有問題,請依序前往「風險」>「問題」
    2. 根據預設,系統會依嚴重程度排序分組問題。在群組中,問題會依受攻擊風險分數排序。如要改為按照受攻擊風險分數排序所有問題,請停用「按照偵測項目分組」
    3. 選取問題。
    4. 查看問題說明和證據。
    5. 如有相關發現項目,請查看詳細資料。
    6. 如果系統在有毒組合或瓶頸 (預覽) 中,發現主要資源有多個重大問題,則會在「證據」圖表後方顯示訊息。如要提高修正效率,請按一下這則訊息中的「篩選這項主要資源的問題」,專注於解決該特定資源的問題。如要移除篩選器,請按一下「新增篩選器」附近的返回箭頭 開啟篩選器面板
    7. 按一下「證據」圖表中的「瞭解完整攻擊路徑」,深入瞭解問題,以及攻擊路徑如何暴露高價值資源。
    8. 按一下「如何修正」,然後按照指南說明降低風險。

    案件

    如要查看所有有害組合案件,請前往「案件」頁面。系統不會自動為瓶頸產生案件,請在「問題」頁面查看。

    如要在案件中找出有害組合,請完成下列步驟:

    1. 在 Google Cloud 控制台中,依序前往「風險」>「案件」。「Cases」(案件) Security Operations 控制台頁面隨即開啟。
    2. 在案件清單中,按一下「案件篩選器」開啟篩選器面板,開啟篩選器面板。「案件佇列篩選器」面板隨即開啟。
    3. 在「案件佇列篩選器」中,指定下列項目: 1. 在「時間範圍」欄位中,指定案件的有效時間範圍。 1. 將「邏輯運算子」設為「AND」。 1. 在篩選鍵清單方塊中,選取「標記」。 1. 將等號運算子設為 is。 1. 在篩選器值清單方塊中,選取「有害組合」。 1. 按一下「套用」。案件佇列中的案件會更新,只顯示符合指定篩選條件的案件。
    4. 按一下「案件篩選器」開啟篩選器面板 旁的「排序」,然後選取「依攻擊暴露程度排序 (從高到低)」
    5. 在案件佇列中,按一下要查看的案件。如果是在清單檢視畫面中查看案件,請改為點選案件 ID。系統會顯示案件資訊。
    6. 按一下「案件總覽」案件
    7. 在「案件摘要」部分,按照「後續步驟」的指引操作。

    通常有害組合會包含一或多個軟體安全漏洞或錯誤設定的發現項目。針對每項發現項目,Security Command Center 會自動開啟個別案件並執行相關應對手冊。您可以查看這些發現的案件,並要求案件負責人優先處理補救措施,協助解決有害組合。

    如要查看有毒組合的相關發現,請按照下列步驟操作:

    1.  From the ![Case](/security-command-center/images/icons-uno/case.svg){:.inline-icon} 
    

    前往案件的「案件總覽」分頁,然後前往「調查結果」部分。 1. 在「調查結果」部分,查看列出的調查結果。 * 按一下調查結果的案件 ID,開啟案件並查看案件狀態、指派的擁有者和其他案件資訊。 * 按一下受攻擊風險分數,即可查看發現項目的攻擊路徑。 * 如果調查結果有支援單 ID,請點選該 ID 開啟支援單。

    或者,您也可以在案件的專屬警告分頁中查看相關發現項目。

    發現項目

    當風險引擎在雲端環境中偵測到有害組合或瓶頸時,會產生初始記錄,即有害組合或瓶頸發現項目。

    您可以在「發現」頁面查看有害組合和瓶頸的發現結果,然後點選服務層級的分頁標籤。

    進階

    1. 前往「發現項目」頁面。

      前往「發現項目」

    2. 選取 Google Cloud 機構。

    3. 在「快速篩選器」面板的「發現項目類別」部分,選取「有毒組合」或「瓶頸」「發現項目查詢結果」面板會更新,只顯示有害組合或瓶頸發現項目。

    4. 如要依嚴重性排序發現項目,請按一下「受攻擊風險分數」欄標題,直到分數依遞減順序排列為止。

    5. 按一下發現項目類別,開啟發現項目詳細資料面板。前往「後續步驟」部分,按照其中的指引修正安全性問題。

    企業版

    1. 在 Google Cloud 控制台中,前往 Security Command Center 的「發現項目」頁面。

      前往 Enterprise 層級的「發現項目」

    2. 選取 Google Cloud 機構。
    3. 在「彙整」部分中,展開「發現類別」,然後選取「有害組合」和「瓶頸」
    4. 按一下「受攻擊風險分數」,直到分數依遞減順序排列為止。
    5. 按一下發現項目類別,開啟發現項目詳細資料面板。前往「後續步驟」部分,按照其中的指引修正安全性問題。

    關閉有害組合案件

    如要關閉有害組合案件,您可以修正有害組合的根本原因,或在Google Cloud 控制台中將相關發現項目設為靜音。

    修正有害組合來結案

    修正構成有害組合的安全問題,且這些問題不再造成高價值資源集中的任何資源暴露風險後,風險引擎會在下次攻擊路徑模擬期間自動結案 (模擬作業大約每六小時執行一次)。

    忽略發現項目來關閉案件

    如果有害組合造成的風險可接受,或您無法補救有害組合,可以將相關發現項目設為靜音,藉此結案。

    如要將有害組合調查結果設為靜音,請按照下列步驟操作:

    1. 在 Google Cloud 控制台中,依序前往「風險」>「案件」。
    2. 找出並開啟有害組合案件。
    3. 按一下相關的快訊分頁標籤。
    4. 在「發現項目摘要」小工具中,按一下「在 SCC 中探索發現項目」。系統會開啟相關發現。
    5. 在調查結果詳細資料頁面中,使用「忽略選項」忽略調查結果。

    您也可以在 Google Cloud 控制台中將調查結果設為靜音。詳情請參閱「將個別發現項目設為靜音」。

    查看已結案的有害組合案件

    案件結案後,Security Command Center 會從「案件」頁面移除該案件。

    如要查看已結案的有害組合案件,請按照下列步驟操作:

    1. 在 Google Cloud 控制台中,依序前往「Investigation」>「SOAR Search」。系統會開啟 SOAR Search Security Operations 控制台頁面。
    2. 展開「狀態」部分,然後選取「已結案」
    3. 展開「標記」部分,然後選取「有毒組合」
    4. 按一下 [套用]。搜尋結果會顯示已結案的有害組合案件。