Auf dieser Seite werden einige der Informationen und Methoden erläutert, mit denen Sie Security Command Center-Ergebnisse zu Software-Sicherheitslücken, Fehlkonfigurationen und, in den Enterprise- oder Premium-Versionen, zu toxischen Kombinationen und Engstellen (Probleme) priorisieren können, um das Risiko zu verringern und Ihren Sicherheitsstatus in Bezug auf die anwendbaren Sicherheitsstandards schneller und effizienter zu verbessern.
Zweck der Priorisierung
Da Ihre Zeit begrenzt ist und die Anzahl der Security Command Center-Probleme überwältigend sein kann, insbesondere in größeren Organisationen, müssen Sie schnell die Sicherheitslücken identifizieren und darauf reagieren, die das größte Risiko für Ihre Organisation darstellen.
Sie müssen Sicherheitslücken beheben, um das Risiko eines Cyberangriffs auf Ihre Organisation zu verringern und die Einhaltung der anwendbaren Sicherheitsstandards durch Ihre Organisation zu gewährleisten.
Um das Risiko eines Cyberangriffs effektiv zu verringern, müssen Sie die Sicherheitslücken finden und beheben, die Ihre Ressourcen am meisten gefährden, am einfachsten auszunutzen sind oder die bei einem Exploit den größten Schaden verursachen würden.
Um Ihren Sicherheitsstatus in Bezug auf einen bestimmten Sicherheitsstandard effektiv zu verbessern, müssen Sie die Sicherheitslücken finden und beheben, die gegen die Kontrollen der Sicherheitsstandards verstoßen, die für Ihre Organisation gelten.
In den folgenden Abschnitten wird erläutert, wie Sie die Ergebnisse der Security Command Center-Konfiguration priorisieren können, um diese Ziele zu erreichen.
Probleme priorisieren, um das Risiko zu verringern
Probleme enthalten schädliche Kombinationen und Engstellen, die in Ihrer Organisation erkannt wurden. Das sind die wichtigsten Probleme, die behoben werden müssen. Damit Sie Probleme besser priorisieren können, sind die folgenden Informationen enthalten, die Sie zur Priorisierung der Behebung des zugrunde liegenden Sicherheitsproblems verwenden können:
- Schweregrad
- Angriffsbewertung
- CVE-Einträge mit CVE-Bewertungen von MandiantVorschau
Nach Angriffsrisikowerten priorisieren
Im Allgemeinen sollten Sie die Behebung eines Problems mit einem hohen Angriffsrisiko gegenüber einem Problem mit einem niedrigeren oder ohne Risiko priorisieren.
Hier finden Sie weitere Informationen:
- Bewertungen verwenden, um die Suche nach Abhilfemaßnahmen zu priorisieren
- Angriffsbewertungen für schädliche Kombinationen und Engstellen
Punktzahlen in der Security Command Center-Konsole ansehen Google Cloud
Die Werte werden zusammen mit den Ergebnissen an mehreren Stellen angezeigt, unter anderem hier:
- Auf der Seite Risikoübersicht:
- In Security Command Center Enterprise, wo die riskantesten Probleme angezeigt werden.
- In Security Command Center Premium, wo die Engstellen und toxischen Kombinationen mit den höchsten Angriffsrisikobewertungen angezeigt werden.
- In einer Spalte auf der Seite Ergebnisse in Security Command Center Enterprise oder Premium, in der Sie Ergebnisse nach Punktzahl abfragen und sortieren können.
- In Security Command Center Enterprise oder Premium, wenn Sie die Details eines Konfigurationsergebnisses ansehen, das sich auf eine hochwertige Ressource auswirkt.
So rufen Sie in der Google Cloud Console die Ergebnisse mit den höchsten Werten für die Gefährdung durch Angriffe auf:
Rufen Sie in der Google Cloud Console die Seite Risikoübersicht auf:
Wählen Sie mit der Projektauswahl in der Google Cloud -Console das Projekt, den Ordner oder die Organisation aus, für die Sie Sicherheitslücken priorisieren müssen.
Sehen Sie sich im Bereich Top-Ergebnisse zu Sicherheitslücken die Ergebnisse zur Sicherheitslage mit den höchsten Angriffsexpositionswerten an. Ergebnisse zu schädlichen Kombinationen sind in diesem Abschnitt nicht enthalten.
Klicken Sie in der Spalte Risikobewertung für Angriffe auf eine Bewertung, um die Seite mit den Details zum Angriffspfad für das Ergebnis zu öffnen.
Klicken Sie auf einen Namen, um den Bereich mit den Ergebnisdetails auf der Seite Ergebnisse zu öffnen.
Bewertungen in Anfragen ansehen
In der Security Operations Console arbeiten Sie hauptsächlich mit Fällen, in denen Ergebnisse als Benachrichtigungen dokumentiert werden.
In Security Command Center Enterprise können Sie die Fälle mit schädlichen Kombinationen mit den höchsten Werten für die Angriffsgefährdung auf der Seite Risiko > Fälle ansehen. Sie können die Fälle nach ihren Angriffsbewertungen sortieren.
In Security Command Center Premium können Sie Ergebnisse auch nach dem Wert für die Gefährdung durch Angriffe auf der Seite Risiko > Ergebnisse sortieren.
Informationen dazu, wie Sie gezielt nach Fällen zu schädlichen Kombinationen suchen, finden Sie unter Details zu einem Fall zu schädlichen Kombinationen ansehen.
Priorisieren Sie nach CVE-Ausnutzbarkeit und -Auswirkung
Im Allgemeinen sollten Sie die Behebung von Ergebnissen mit einer CVE-Bewertung von „hohe Ausnutzbarkeit“ und „hohe Auswirkungen“ gegenüber Ergebnissen mit einer CVE-Bewertung von „geringe Ausnutzbarkeit“ und „geringe Auswirkungen“ priorisieren.
CVE-Informationen, einschließlich der von Mandiant bereitgestellten Bewertungen der Ausnutzbarkeit und Auswirkungen der CVE, basieren auf der Software-Sicherheitslücke selbst.
Auf der Seite Übersicht werden im Bereich Top-CVE-Ergebnisse die Ergebnisse zu Sicherheitslücken in einem Diagramm oder einer Heatmap in Blöcken nach den von Mandiant bereitgestellten Bewertungen zu Ausnutzbarkeit und Auswirkungen gruppiert.
Wenn Sie sich die Details zu Ergebnissen von Software-Sicherheitslücken in der Console ansehen, finden Sie die CVE-Informationen im Abschnitt Sicherheitslücke auf dem Tab Zusammenfassung. Neben den Auswirkungen und der Ausnutzbarkeit enthält der Abschnitt Sicherheitslücke den CVSS-Schweregrad, Referenzlinks und andere Informationen zur CVE-Definition der Sicherheitslücke.
So ermitteln Sie schnell die Ergebnisse mit der größten Wirkung und Ausnutzbarkeit:
Rufen Sie in der Google Cloud Console die Seite Übersicht auf:
Wählen Sie mit der Projektauswahl in der Google Cloud -Console das Projekt, den Ordner oder die Organisation aus, für die Sie Sicherheitslücken priorisieren müssen.
Klicken Sie auf der Seite Übersicht im Bereich Wichtigste CVE-Ergebnisse auf den Block mit einer Zahl ungleich null, die die höchste Ausnutzbarkeit und Auswirkung aufweist. Die Seite Ergebnisse nach CVE wird geöffnet und zeigt eine Liste von CVE-IDs mit derselben Auswirkung und Ausnutzbarkeit an.
Klicken Sie im Bereich Ergebnisse nach CVE-ID auf eine CVE-ID. Die Seite Ergebnisse wird geöffnet und zeigt die Liste der Ergebnisse mit dieser CVE‑ID an.
Klicken Sie auf der Seite Ergebnisse auf den Namen eines Ergebnisses, um die Details des Ergebnisses und empfohlene Maßnahmen zur Behebung aufzurufen.
Nach Schweregrad priorisieren
Im Allgemeinen sollten Sie ein Problem oder Ergebnis mit dem Schweregrad CRITICAL gegenüber einem Problem oder Ergebnis mit dem Schweregrad HIGH priorisieren, den Schweregrad HIGH gegenüber dem Schweregrad MEDIUM usw.
Schweregrade basieren auf der Art des Sicherheitsproblems und werden von Security Command Center den Ergebniskategorien zugewiesen. Alle Ergebnisse in einer bestimmten Kategorie oder Unterkategorie werden mit demselben Schweregrad generiert.
Sofern Sie nicht die Enterprise- oder Premium-Stufe von Security Command Center verwenden, sind die Schweregrade von Ergebnissen statische Werte, die sich während der Lebensdauer des Ergebnisses nicht ändern.
In der Enterprise-Stufe spiegeln die Schweregrade von Problemen das Echtzeitrisiko eines Ergebnisses genauer wider. Die Ergebnisse werden mit dem Standardschweregrad der Ergebniskategorie generiert. Solange das Ergebnis aktiv ist, kann der Schweregrad jedoch steigen oder sinken, wenn der Wert für die Angriffsgefährdung des Ergebnisses steigt oder sinkt.
Am einfachsten lassen sich die schwerwiegendsten Sicherheitslücken mithilfe von Schnellfiltern auf der Seite Ergebnisse in der Google Cloud -Konsole identifizieren.
So rufen Sie die Ergebnisse mit dem höchsten Schweregrad auf:
Rufen Sie in der Google Cloud Console die Seite Ergebnisse auf:
Wählen Sie mit der Projektauswahl in der Google Cloud -Console das Projekt, den Ordner oder die Organisation aus, für die Sie Sicherheitslücken priorisieren müssen.
Wählen Sie im Bereich Schnellfilter auf der Seite Ergebnisse die folgenden Attribute aus:
- Wählen Sie unter Klasse für Ergebnis die Option Sicherheitslücke aus.
- Wählen Sie unter Schweregrad die Option Kritisch, Hoch oder beide aus.
Der Bereich Ergebnisse der Ergebnisabfrage wird aktualisiert und enthält nur noch Ergebnisse mit dem angegebenen Schweregrad.
Die Schweregrade der Sicherheitsstatus-Ergebnisse finden Sie auch auf der Seite Übersicht im Abschnitt Ergebnisse zu aktiven Sicherheitslücken.
Posture-Ergebnisse priorisieren, um die Compliance zu verbessern
Bei der Priorisierung von Ergebnissen zur Konfiguration für die Compliance geht es in erster Linie um Ergebnisse, die gegen die Kontrollen des anwendbaren Compliance-Standards verstoßen.
So rufen Sie die Ergebnisse auf, die gegen die Kontrollen einer bestimmten Benchmark verstoßen:
Rufen Sie in der Google Cloud Console die Seite Compliance auf:
Wählen Sie mit der Projektauswahl in der Google Cloud -Console das Projekt, den Ordner oder die Organisation aus, für die Sie Sicherheitslücken priorisieren müssen.
Klicken Sie neben dem Namen des Sicherheitsstandards, den Sie einhalten müssen, auf Details ansehen. Die Seite Compliance-Details wird geöffnet.
Wenn der benötigte Sicherheitsstandard nicht angezeigt wird, geben Sie ihn auf der Seite Compliance-Details im Feld Compliance-Standard an.
Sortieren Sie die aufgeführten Regeln nach Ergebnissen, indem Sie auf die Spaltenüberschrift klicken.
Klicken Sie bei jeder Regel, für die ein oder mehrere Ergebnisse angezeigt werden, in der Spalte Regeln auf den Regelnamen. Die Seite Ergebnisse wird geöffnet und zeigt die Ergebnisse für diese Regel an.
Beheben Sie die Probleme, bis keine Ergebnisse mehr vorhanden sind. Wenn beim nächsten Scan keine neuen Sicherheitslücken für die Regel gefunden werden, steigt der Prozentsatz der bestandenen Kontrollen.