Cette page a été traduite par l'API Cloud Translation.

Présentation des combinaisons toxiques et des goulots d'étranglement
Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Les combinaisons toxiques sont un groupe de problèmes de sécurité qui, lorsqu'ils se produisent ensemble selon un schéma particulier, créent un chemin vers une ou plusieurs de vos ressources de grande valeur qu'un pirate informatique déterminé pourrait potentiellement utiliser pour compromettre ces ressources.

Le moteur de gestion des risques de Security Command Center Enterprise détecte les combinaisons toxiques lors des simulations de chemin d'attaque qu'il exécute. Pour chaque combinaison toxique détectée par le moteur de risque, il génère un résultat. Chaque combinaison toxique inclut un score d'exposition aux attaques unique, appelé score de combinaison toxique, qui mesure le risque de la combinaison toxique pour l'ensemble de ressources à forte valeur de votre environnement cloud. Le moteur de risque génère également une visualisation du chemin d'attaque que la combinaison toxique crée vers les ressources de votre ensemble de ressources à forte valeur.

Les points d'étranglement (version Preview) sont semblables aux combinaisons toxiques, mais se concentrent sur des ressources ou des groupes de ressources communs où plusieurs chemins d'attaque convergent. Par conséquent, la résolution d'un goulot d'étranglement peut résoudre plusieurs combinaisons toxiques.

Des combinaisons toxiques peuvent être trouvées pour Google Cloud et Amazon Web Services (AWS) (Preview). Des goulets d'étranglement peuvent être détectés pour Google Cloud.

Afficher les combinaisons toxiques et les goulots d'étranglement

Les combinaisons toxiques et les goulots d'étranglement les plus à risque s'affichent sous forme de problèmes (Aperçu) sur la page Risque > Vue d'ensemble de la console Security Operations.

Vous pouvez consulter toutes les combinaisons et les goulots d'étranglement toxiques plus en détail sur la page Risque > Problèmes. Vous pouvez également consulter les combinaisons toxiques sur la page Cas.

Pour afficher les résultats liés aux combinaisons toxiques et aux goulets d'étranglement dans la console Google Cloud, accédez à la page Résultats et filtrez par classe de résultats Combinaison toxique ou Goulet d'étranglement.

Scores d'exposition aux attaques pour les combinaisons toxiques et les points d'étranglement

Le moteur de risque calcule un score d'exposition aux attaques pour chaque combinaison toxique et goulot d'étranglement. Ce score mesure dans quelle mesure une combinaison ou un goulot d'étranglement toxique expose une ou plusieurs des ressources de votre ensemble de ressources à forte valeur à des attaques potentielles. Plus le score est élevé, plus le risque est élevé.

Les scores d'exposition aux attaques pour les combinaisons toxiques et les points d'étranglement sont dérivés des éléments suivants:

Nombre de ressources de votre ensemble de ressources à forte valeur exposées, ainsi que les valeurs de priorité et les scores d'exposition aux attaques de ces ressources.
Probabilité qu'un pirate informatique déterminé parvienne à atteindre une ressource à forte valeur en exploitant la combinaison toxique ou le goulot d'étranglement.

En fonction du score d'exposition aux attaques, l'une des gravités suivantes peut être attribuée aux combinaisons toxiques:

Critique: combinaisons toxiques avec un score d'exposition aux attaques ≥ 10.
Élevé: combinaisons toxiques avec un score d'exposition aux attaques inférieur à 10.

Les points d'étranglement ont toujours un score d'exposition aux attaques supérieur ou égal à 10 et, par conséquent, un niveau de gravité critique.

Pour en savoir plus, consultez la section Scores d'exposition aux attaques.

Visualisations de chemin d'attaque pour les combinaisons toxiques et les goulots d'étranglement

Le moteur de risque fournit une représentation visuelle de la combinaison toxique et des chemins d'attaque par point d'étranglement qui mènent à votre ensemble de ressources à forte valeur. Un chemin d'attaque représente une série d'étapes d'attaque, y compris des problèmes de sécurité et des ressources associés qu'un pirate informatique potentiel pourrait utiliser pour atteindre vos ressources.

Les chemins d'attaque vous aident à comprendre les relations entre les problèmes de sécurité individuels dans une combinaison ou un goulot d'étranglement toxiques, et comment ils forment des chemins vers les ressources de votre ensemble de ressources à forte valeur. La visualisation du chemin d'accès vous indique également le nombre de ressources de valeur exposées et leur importance relative pour votre environnement cloud.

Dans la console Security Operations, les ressources d'un chemin d'attaque sont codées par couleur comme suit:

Les ressources présentant des problèmes de sécurité qui contribuent à une combinaison toxique sont mises en évidence par une bordure jaune.
Les ressources identifiées comme goulot d'étranglement sont mises en surbrillance avec une bordure rouge.

Vous pouvez afficher les chemins d'attaque à plusieurs endroits dans la console Security Operations. Une version simplifiée du chemin d'attaque est présentée dans les emplacements suivants:

Page Risque > Vue d'ensemble, pour les éléments du widget Problèmes les plus risqués.
Page Risque > Problèmes, lorsqu'un problème est sélectionné. Vous pouvez accéder au chemin d'attaque simplifié dans l'onglet Présentation du problème.
Page Demandes, lorsqu'une demande est sélectionnée Vous pouvez accéder au chemin d'attaque simplifié dans l'onglet Présentation de l'affaire.

Pour afficher la version complète d'un chemin d'attaque, affichez la version simplifiée, puis cliquez sur Explorer les chemins d'attaque complets.

La capture d'écran suivante est un exemple de chemin d'attaque simplifié pour une combinaison toxique:

Chemin d'attaque de la combinaison toxique simplifié, comme indiqué dans la console Security Operations

La capture d'écran suivante est un exemple de chemin d'attaque simplifié pour un goulot d'étranglement:

Chemin d'attaque simplifié via un point d'étranglement, comme indiqué dans la console Security Operations

Dans la console Google Cloud, le chemin d'attaque complet est toujours affiché.

Pour en savoir plus, consultez la section Chemins d'attaque.

Résultats associés

De nombreux risques individuels qui constituent des combinaisons et des goulots d'étranglement toxiques sont également détectés par d'autres services de détection de Security Command Center. Ces autres services de détection génèrent des résultats distincts pour ces risques, qui sont listés dans les problèmes (Aperçu) et les cas en tant que résultats associés. Les résultats associés sont également identifiés dans les chemins d'attaque.

Pour les combinaisons toxiques, des demandes distinctes sont ouvertes pour les résultats associés, différents playbooks sont exécutés et d'autres membres de votre équipe peuvent travailler sur leur résolution indépendamment de la résolution de la combinaison toxique. Vérifiez l'état des demandes pour ces résultats associés et, si nécessaire, demandez aux propriétaires des demandes de hiérarchiser leur résolution pour résoudre la combinaison toxique.

Demandes

Security Command Center Enterprise ouvre une demande dans la console Security Operations pour chaque résultat de combinaison toxique généré. Les goulets d'étranglement ne génèrent pas de cas.

Dans la vue "Case" (Cas), vous trouverez les informations suivantes sur les combinaisons toxiques:

Description de la combinaison toxique
Niveau d'exposition aux attaques de la combinaison toxique
Visualisation du chemin d'attaque créé par la combinaison toxique
Informations sur les ressources concernées
Informations sur les mesures que vous pouvez prendre pour corriger la combinaison toxique
Informations sur les résultats associés d'autres services de détection de Security Command Center, y compris des liens vers les demandes associées
Playbooks applicables
Demandes associées

Sur la page Demandes de la console Security Operations, vous pouvez interroger ou filtrer les demandes de combinaison toxique à l'aide de la balise Combinaison toxique. Vous pouvez également identifier visuellement les cas de combinaison toxique dans la liste des cas à l'aide de l'icône suivante : .

Pour en savoir plus sur l'affichage des cas de combinaison toxique, consultez Afficher les cas de combinaison toxique.

Priorité des demandes

Par défaut, la priorité des cas de combinaison toxique est définie sur la même valeur que la gravité de la combinaison toxique et de l'alerte associée dans le cas associé. Cela signifie que toutes les combinaisons toxiques ont initialement une priorité de Critical ou High.

Une fois une demande ouverte, vous pouvez modifier sa priorité ou celle de l'alerte. Modifier la priorité d'un ticket ou d'une alerte ne modifie pas la gravité de la non-conformité.

Clôturer les demandes

Lorsqu'un résultat est généré pour la première fois pour une combinaison toxique, son état est Active.

Si vous corrigez la combinaison toxique, Risk Engine détecte automatiquement la correction lors de la prochaine simulation du chemin d'attaque et clôture la demande. Les simulations s'exécutent environ toutes les six heures.

Si vous déterminez que le risque posé par une combinaison toxique est acceptable ou inévitable, vous pouvez clôturer une demande en désactivant la conclusion.

Lorsque vous ignorez un résultat, il reste actif, mais Security Command Center ferme la demande et l'omet des requêtes et des vues par défaut.

Pour en savoir plus, consultez les informations suivantes: