Cette page explique certaines des informations et méthodes que vous pouvez utiliser pour hiérarchiser les résultats Security Command Center concernant les failles logicielles, les erreurs de configuration et, avec les niveaux Enterprise ou Premium, les combinaisons toxiques et les points d'étranglement (problèmes, collectivement), afin de réduire les risques et d'améliorer votre posture de sécurité par rapport aux normes de sécurité applicables plus rapidement et plus efficacement.
Objectif de la hiérarchisation
Comme votre temps est limité et que le volume de problèmes Security Command Center peut être accablant, en particulier dans les grandes organisations, vous devez identifier rapidement les failles qui présentent le plus grand risque pour votre organisation et y répondre.
Vous devez corriger les failles pour réduire le risque de cyberattaque sur votre organisation et pour maintenir la conformité de votre organisation avec les normes de sécurité applicables.
Pour réduire efficacement le risque de cyberattaque, vous devez identifier et corriger les failles qui exposent le plus vos ressources, qui sont les plus exploitables ou qui entraîneraient les dommages les plus graves si elles étaient exploitées.
Pour améliorer efficacement votre posture de sécurité par rapport à une norme de sécurité spécifique, vous devez identifier et corriger les failles qui enfreignent les contrôles des normes de sécurité applicables à votre organisation.
Les sections suivantes expliquent comment hiérarchiser les résultats de posture Security Command Center pour atteindre ces objectifs.
Prioriser les problèmes pour réduire les risques
Les problèmes contiennent des combinaisons toxiques et des goulets d'étranglement détectés dans votre organisation. Ce sont les problèmes les plus importants à résoudre. Pour vous aider à prioriser les problèmes, ils incluent les informations suivantes que vous pouvez utiliser pour prioriser la résolution du problème de sécurité sous-jacent :
- Gravité
- Niveau d'exposition aux attaques
- Enregistrements CVE avec des évaluations CVE par MandiantAperçu
Prioriser les tâches en fonction des scores d'exposition aux attaques
En général, privilégiez la correction d'un problème ayant un score d'exposition aux attaques élevé par rapport à un problème ayant un score plus faible ou aucun score.
Pour en savoir plus, consultez les ressources suivantes :
- Utiliser les scores pour hiérarchiser la recherche de solutions
- Scores d'exposition aux attaques sur les combinaisons toxiques et les goulets d'étranglement
Afficher les scores dans la console Security Command Center Google Cloud
Les scores s'affichent avec les résultats à plusieurs endroits, y compris les suivants :
- Sur la page Aperçu des risques :
- Dans Security Command Center Enterprise, où les problèmes les plus risqués sont affichés.
- Dans Security Command Center Premium, où les points d'étranglement et les combinaisons toxiques ayant les scores d'exposition aux attaques les plus élevés sont affichés.
- Dans une colonne de la page Résultats de Security Command Center Enterprise ou Premium, où vous pouvez interroger et trier les résultats par score.
- Dans Security Command Center Enterprise ou Premium, lorsque vous consultez les détails d'un résultat de posture qui affecte une ressource à forte valeur.
Dans la console Google Cloud , vous pouvez afficher les résultats qui présentent les scores d'exposition aux attaques les plus élevés en procédant comme suit :
Accédez à la page Présentation des risques dans la console Google Cloud :
Utilisez le sélecteur de projet de la console Google Cloud pour sélectionner le projet, le dossier ou l'organisation pour lesquels vous devez hiérarchiser les failles.
Dans la section Principales failles constatées, examinez les résultats de l'évaluation de la posture qui présentent les scores d'exposition aux attaques les plus élevés. Les résultats de combinaisons toxiques ne sont pas inclus dans cette section.
Cliquez sur un score dans la colonne Score d'exposition aux attaques pour ouvrir la page d'informations sur le chemin d'attaque du résultat.
Cliquez sur le nom d'un résultat pour ouvrir le panneau d'informations sur la page Résultats.
Afficher les scores dans les demandes
Dans la console Security Operations, vous travaillez principalement avec des cas, dans lesquels les résultats sont documentés sous forme d'alertes.
Dans Security Command Center Enterprise, vous pouvez afficher les cas de combinaison toxique avec les scores d'exposition aux attaques les plus élevés sur la page Risque > Cas. Vous pouvez trier les cas en fonction de leur score d'exposition aux attaques.
Dans Security Command Center Premium, vous pouvez également trier les résultats par score d'exposition aux attaques sur la page Risque > Résultats.
Pour savoir comment interroger spécifiquement les cas de combinaison toxique, consultez Afficher les détails d'un cas de combinaison toxique.
Prioriser par exploitabilité et impact des CVE
En règle générale, privilégiez la correction des résultats présentant une évaluation CVE à forte exploitabilité et à fort impact par rapport à ceux présentant une évaluation CVE à faible exploitabilité et à faible impact.
Les informations CVE, y compris les évaluations de l'exploitabilité et de l'impact de la CVE fournies par Mandiant, sont basées sur la faille logicielle elle-même.
Sur la page Vue d'ensemble, dans la section Principales failles CVE détectées, un graphique ou une carte thermique regroupe les failles détectées dans des blocs en fonction des évaluations de l'exploitabilité et de l'impact fournies par Mandiant.
Lorsque vous affichez les détails des résultats de failles logicielles dans la console, vous pouvez trouver les informations CVE dans la section Faille de l'onglet Récapitulatif. En plus de l'impact et de l'exploitabilité, la section Faille inclut le score CVSS, des liens de référence et d'autres informations sur la définition de la faille CVE.
Pour identifier rapidement les résultats ayant le plus d'impact et de facilité d'exploitation, procédez comme suit :
Accédez à la page Présentation dans la console Google Cloud :
Utilisez le sélecteur de projet de la console Google Cloud pour sélectionner le projet, le dossier ou l'organisation pour lesquels vous devez hiérarchiser les failles.
Dans la section Principaux résultats CVE de la page Présentation, cliquez sur le bloc avec un nombre non nul qui présente le niveau d'exploitabilité et l'impact les plus élevés. La page Résultats par CVE s'ouvre et affiche la liste des ID CVE ayant le même impact et la même exploitabilité.
Dans la section Résultats par ID de CVE, cliquez sur un ID de CVE. La page Résultats s'ouvre et affiche la liste des résultats qui partagent cet ID de CVE.
Sur la page Résultats, cliquez sur le nom d'un résultat pour afficher ses détails et les étapes de correction recommandées.
Hiérarchiser par niveau de gravité
En règle générale, hiérarchisez un problème ou un résultat de gravité CRITICAL par rapport à un problème ou un résultat de gravité HIGH, hiérarchisez la gravité HIGH par rapport à la gravité MEDIUM, et ainsi de suite.
Les niveaux de gravité sont basés sur le type de problème de sécurité et sont attribués aux catégories de résultats par Security Command Center. Tous les résultats d'une catégorie ou sous-catégorie spécifique sont générés avec le même niveau de gravité.
Sauf si vous utilisez le niveau Enterprise ou Premium de Security Command Center, les niveaux de gravité des résultats sont des valeurs statiques qui ne changent pas pendant la durée de vie du résultat.
Avec le niveau Enterprise, les niveaux de gravité des problèmes représentent plus précisément le risque en temps réel d'un résultat. Les résultats sont générés avec le niveau de gravité par défaut de la catégorie de résultats. Toutefois, tant que le résultat reste actif, le niveau de gravité peut augmenter ou diminuer en fonction de l'évolution du score d'exposition aux attaques.
Le moyen le plus simple d'identifier les failles les plus graves consiste peut-être à utiliser les filtres rapides sur la page Résultats de la console Google Cloud .
Pour afficher les résultats les plus graves, procédez comme suit :
Accédez à la page Résultats dans la console Google Cloud :
Utilisez le sélecteur de projet de la console Google Cloud pour sélectionner le projet, le dossier ou l'organisation pour lesquels vous devez hiérarchiser les failles.
Dans le panneau Filtres rapides de la page Résultats, sélectionnez les propriétés suivantes :
- Sous Classe de découverte, sélectionnez Vulnérabilité.
- Sous Gravité, sélectionnez Critique, Élevée ou les deux.
Le panneau Résultats de la requête de résultats est mis à jour pour n'afficher que les résultats ayant le niveau de gravité spécifié.
Vous pouvez également consulter le niveau de gravité des résultats de posture sur la page Présentation, dans la section Failles actives constatées.
Prioriser les résultats de posture pour améliorer la conformité
Lorsque vous hiérarchisez les résultats de posture pour la conformité, votre principale préoccupation concerne les résultats qui enfreignent les contrôles de la norme de conformité applicable.
Pour afficher les résultats qui enfreignent les contrôles d'un benchmark spécifique, procédez comme suit :
Accédez à la page Conformité dans la console Google Cloud :
Utilisez le sélecteur de projet de la console Google Cloud pour sélectionner le projet, le dossier ou l'organisation pour lesquels vous devez hiérarchiser les failles.
À côté du nom de la norme de sécurité que vous devez respecter, cliquez sur Afficher les détails. La page Informations sur la conformité s'ouvre.
Si la norme de sécurité dont vous avez besoin ne s'affiche pas, spécifiez-la dans le champ Norme de conformité de la page Détails de conformité.
Triez les règles listées par Résultats en cliquant sur l'en-tête de la colonne.
Pour toute règle affichant un ou plusieurs résultats, cliquez sur son nom dans la colonne Règles. La page Résultats s'ouvre et affiche les résultats de cette règle.
Corrigez les résultats jusqu'à ce qu'il n'y en ait plus. Lors de la prochaine analyse, si aucune nouvelle faille n'est détectée pour la règle, le pourcentage de contrôles réussis augmente.