有害組合是一組安全性問題,如果以特定模式同時發生,就會形成通往一或多個高價值資源的路徑,讓有心人士可能利用這些路徑入侵資源。
Security Command Center Enterprise 或 Premium 的風險引擎會在執行的攻擊路徑模擬期間偵測惡意組合。風險引擎偵測到每個有害組合時,都會產生調查結果。每種有害組合都有專屬的受攻擊風險分數 (稱為「有害組合分數」),可衡量雲端環境中高價值資源組合的有害組合風險。風險引擎也會產生攻擊路徑的視覺化圖表,顯示有害組合對高價值資源集中的資源造成的影響。
瓶頸 (預覽版) 與有害組合類似,但著重於多條攻擊路徑匯聚的常見資源或資源群組。因此,修正瓶頸可以修正多個有害組合。
系統會偵測下列雲端服務供應商平台中的有害組合和瓶頸:
- Google Cloud
- Amazon Web Services (AWS)。AWS 支援的 Chokepoint 為預先發布版。
- Microsoft Azure。Microsoft Azure 的 Chokepoints 支援功能為預先發布版。
如需支援的資源清單,請參閱「風險引擎功能支援」。
查看有害組合和瓶頸
在 Security Command Center Enterprise 中,風險最高的有害組合和瓶頸會顯示為「問題」(預覽版),位於「風險」>「總覽」頁面。您也可以在「案件」頁面查看有害組合。
在 Security Command Center Enterprise 中,您可以在「風險」>「問題」頁面,查看所有有害組合和瓶頸的詳細資料。
如要在Google Cloud 控制台中查看與有害組合和瓶頸相關的發現項目,請前往「發現項目」頁面,然後依「有害組合」或「瓶頸」發現項目類別進行篩選。
風險報告會擷取與有害組合和瓶頸相關的發現項目。詳情請參閱「風險報告總覽」。
有害組合和瓶頸的受攻擊風險分數
風險引擎會計算每個有害組合和瓶頸的攻擊風險分數。這個分數是用來衡量有害組合或瓶頸,對高價值資源集中的一或多項資源造成潛在攻擊風險的程度。分數越高,風險就越高。
受攻擊風險分數計算方式
有害組合和瓶頸的攻擊風險分數是根據下列因素計算得出:
- 高價值資源集中有風險的資源數量,以及這些資源的優先順序值和受攻擊風險分數。
- 準備充足的攻擊者利用有害組合或瓶頸,成功存取高價值資源的可能性。
根據攻擊風險分數,有害組合可能會有下列其中一個嚴重程度:
- 重大:有害組合的受攻擊風險分數 ≥ 10。
- 高:攻擊暴露分數 < 10 的有害組合。
瓶頸的攻擊暴露分數一律 ≥ 10,因此嚴重程度評等一律為「重大」。
詳情請參閱「攻擊暴露程度分數」。
有害組合和瓶頸的攻擊路徑視覺化
風險引擎會以視覺化方式呈現有害組合和瓶頸攻擊路徑,這些路徑會導致高價值資源集遭受攻擊。攻擊路徑代表一系列攻擊步驟,包括潛在攻擊者可能利用的相關安全性問題和資源,以便存取您的資源。
攻擊路徑有助於瞭解有害組合或瓶頸中個別安全問題之間的關係,以及這些問題如何形成通往高價值資源集的路徑。路徑圖表也會顯示有多少重要資源暴露風險,以及這些資源對雲端環境的相對重要性。
攻擊路徑上的資源會以不同顏色標示:
- 如果資源有安全問題,導致出現有害組合,系統會以黃色邊框醒目顯示。
- 系統會以紅色邊框標示出瓶頸資源。
您可以透過多種方式查看攻擊路徑。
在 Security Command Center 進階版中,於「攻擊路徑」頁面查看完整攻擊路徑。詳情請參閱「攻擊路徑」。
在 Security Command Center Enterprise 中,您可以在下列位置查看簡化版攻擊路徑:
- 「風險」>「總覽」頁面,適用於「風險最高的議題」小工具中的項目。
- 選取問題時,「風險」> 問題頁面。您可以在問題的「總覽」分頁中,查看簡化的攻擊路徑。
- 選取案件後,系統會顯示「風險」>「案件」頁面。您可以在「案件總覽」
分頁中,查看簡化版攻擊路徑。
如要查看完整攻擊路徑,請先查看簡化版本,然後按一下「瞭解完整攻擊路徑」。
以下螢幕截圖是簡化版攻擊路徑的範例,顯示有害組合:
以下螢幕截圖是簡化版攻擊路徑的範例,適用於瓶頸:
相關發現項目
構成有害組合和瓶頸的許多個別風險,也會由其他 Security Command Center 偵測服務偵測到。這些其他偵測服務會針對這些風險產生個別的調查結果,並列在問題 (預覽) 和案件中做為相關調查結果。相關發現也會在攻擊路徑中顯示。
如果是危險組合,系統會為相關發現開啟個別案件、執行不同的劇本,且團隊其他成員可能會獨立處理危險組合發現的補救措施,與您處理的補救措施不同。檢查這些相關發現的案件狀態,並視需要要求案件擁有者優先處理補救措施,以協助解決有害組合。
案件
Security Command Center Enterprise 會為每個產生的有害組合發現結果開啟案件。瓶頸不會產生案件。
在案件詳細資料檢視畫面中,您可以找到下列與有害組合相關的資訊:
- 有害組合的說明
- 有害組合的受攻擊風險分數
- 有害組合建立的攻擊路徑圖表
- 受影響資源的相關資訊
- 可採取哪些步驟來修正有害組合
- 其他 Security Command Center 偵測服務的相關發現項目資訊,包括相關案件的連結
- 適用的應對手冊
- 相關支援單
在 Security Operations 控制台的「風險」> 案件頁面,您可以使用「有害組合」標記查詢或篩選有害組合案件。您也可以在案件清單中,透過以下圖示 
找出有害組合案件。
如要進一步瞭解如何查看有害組合案件,請參閱「查看有害組合案件」。
案件優先順序
根據預設,有害組合案件的優先順序會設為與相關案件中,有害組合發現項目和相關聯快訊的嚴重程度相同。這表示所有有害組合案件的初始優先順序為 Critical 或 High。
案件開啟後,您可以變更案件或警示的優先順序。 變更案件或快訊的優先順序,不會影響調查結果的嚴重程度。
關閉案件
系統首次為有害組合產生發現項目時,其狀態為 Active。
如果您修正有害組合,Risk Engine 會在下次模擬攻擊路徑時自動偵測到修正措施,並結案。模擬作業大約每六小時執行一次。
或者,如果您認為有害組合造成的風險可接受或無法避免,可以將發現項目設為靜音,藉此結案。
略過發現項目後,該項目仍會保持有效,但 Security Command Center 會關閉案件,並從預設查詢和檢視畫面中省略該項目。
詳情請參閱下列資訊: