Questa pagina illustra alcune informazioni e metodi che puoi utilizzare per dare la priorità ai risultati di Security Command Center relativi a vulnerabilità del software, configurazioni errate e, con il livello Enterprise, combinazioni dannose (collettivamente risultati relativi alla postura), in modo da ridurre il rischio e migliorare la tua postura di sicurezza rispetto agli standard di sicurezza applicabili in modo più rapido ed efficiente.
Scopo della definizione delle priorità
Poiché il tempo è limitato e il volume dei risultati relativi alla postura di Security Command Center può essere ingombrante, soprattutto nelle organizzazioni più grandi, è necessario identificare e rispondere rapidamente alle vulnerabilità che rappresentano il rischio maggiore per la tua organizzazione.
Devi correggere le vulnerabilità per ridurre il rischio di un attacco informatico alla tua organizzazione e per mantenere la conformità della tua organizzazione agli standard di sicurezza vigenti.
Per ridurre efficacemente il rischio di un attacco informatico, devi trovare e correggere le vulnerabilità che espongono maggiormente le tue risorse, che sono più sfruttabili o che causerebbero i danni più gravi se venissero sfruttate.
Per migliorare in modo efficace la tua postura di sicurezza rispetto a un determinato standard di sicurezza, devi trovare e correggere le vulnerabilità che violano i controlli degli standard di sicurezza applicati alla tua organizzazione.
Le sezioni seguenti spiegano come assegnare la priorità ai risultati relativi alla situazione di Security Command Center per soddisfare questi scopi.
Assegna la priorità ai risultati relativi alla posizione per ridurre i rischi
I risultati relativi alla posizione includono le seguenti informazioni che puoi utilizzare per dare la priorità alla correzione del problema di sicurezza sottostante:
- Punteggio di esposizione agli attacchi o punteggio delle combinazioni dannose
- Record CVE con valutazioni CVE di MandiantPreview
- Gravità
Dare la priorità in base ai punteggi di esposizione agli attacchi
In genere, dai la priorità alla correzione di un rilevamento della posizione che ha un punteggio di esposizione agli attacchi elevato rispetto a un rilevamento della posizione che ha un punteggio più basso o nessun punteggio.
I risultati relativi alla posizione includono i risultati relativi alle combinazioni dannose. Se il punteggio di un risultato relativo a una combinazione tossica è approssimativamente uguale al punteggio di esposizione agli attacchi di un risultato in una classe di risultati diversa, devi dare la priorità alla correzione del risultato relativo alla combinazione tossica, in quanto rappresenta un percorso completo che un potenziale malintenzionato potrebbe seguire dalla rete internet pubblica a una o più delle tue risorse di alto valore.
Se il punteggio di esposizione agli attacchi di un rilevamento in un altro gruppo di rilevamenti è significativamente più alto rispetto al punteggio di un rilevamento di combinazioni dannose, dà la priorità al rilevamento con il punteggio significativamente più alto.
Per ulteriori informazioni, consulta le seguenti risorse:
- Utilizzare i punteggi per dare la priorità alla ricerca di soluzioni
- Punteggi di esposizione agli attacchi per le combinazioni dannose
Visualizzare i punteggi nella console Security Operations
Nella console Security Operations, lavori principalmente con le richieste, in cui i risultati sono documentati come avvisi.
Puoi visualizzare le richieste di combinazione tossica con i migliori scorci di esposizione agli attacchi nella pagina Postura > Panoramica.
Puoi visualizzare i punteggi di tutte le richieste nella pagina Richieste, dove puoi ordinarle in base al punteggio di esposizione agli attacchi. Puoi anche ordinare i risultati in base al punteggio di esposizione agli attacchi nella pagina Postura > Risultati.
Per informazioni su come eseguire query in modo specifico per le richieste relative alla combinazione tossica, consulta Visualizzare i dettagli di una richiesta relativa alla combinazione tossica.
Visualizzare i punteggi nella console Google Cloud
Nella console Google Cloud, i punteggi vengono visualizzati con i risultati in più posizioni, tra cui:
- Nella pagina Panoramica dei rischi, dove vengono visualizzati i 10 risultati con i punteggi più elevati.
- In una colonna della pagina Risultati, dove puoi eseguire query e ordinare i risultati in base al punteggio.
- Quando visualizzi i dettagli di un risultato relativo alla postura che interessa una risorsa di alto valore.
Nella pagina Risultati della console Google Cloud, i punteggi di esposizione agli attacchi dei risultati relativi alle combinazioni dannose sono presentati nella colonna Punteggio combinazione tossica, separatamente dai punteggi di esposizione agli attacchi di altri tipi di risultati.
Nella console Google Cloud, puoi visualizzare i risultati con i punteggi di esposizione agli attacchi più elevati seguendo questi passaggi:
Vai alla pagina Panoramica dei rischi nella console Google Cloud:
Utilizza il selettore di progetti nella console Google Cloud per selezionare il progetto, la cartella o l'organizzazione per cui devi dare la priorità alle vulnerabilità:
Nella sezione Principali richieste di combinazione tossica, esamina i risultati con i scorci più elevati per le combinazioni tossiche.
- Fai clic sul link Visualizza richiesta per aprire la richiesta corrispondente nella console Security Operations.
Nella sezione Risultati relativi alle vulnerabilità attive, esamina i risultati relativi alla posizione con i punteggi di esposizione agli attacchi più elevati. I risultati relativi alle combinazioni dannose non sono inclusi in questa sezione.
Fai clic su un punteggio nella colonna Punteggio esposizione all'attacco per aprire la pagina dei dettagli del percorso di attacco per la segnalazione.
Fai clic sul nome di una segnalazione per aprire il riquadro dei dettagli della segnalazione nella pagina Risultati.
Dare la priorità in base alla sfruttabilità e all'impatto delle CVE
In genere, dai la priorità alla correzione dei problemi con una valutazione CVE di elevata sfruttabilità e impatto elevato rispetto a quelli con una valutazione CVE di bassa sfruttabilità e basso impatto.
Le informazioni sulle CVE, incluse le valutazioni di sfruttabilità e impatto delle CVE fornite da Mandiant, si basano sulla vulnerabilità del software stessa.
Nella pagina Panoramica, nella sezione Principali risultati con CVE, un grafico o una mappa termica raggruppa i risultati relativi alle vulnerabilità in blocchi in base alle valutazioni di exploitabilità e impatto fornite da Mandiant.
Quando visualizzi i dettagli dei risultati relativi alle vulnerabilità del software nella console, puoi trovare le informazioni CVE nella sezione Vulnerabilità della scheda Riepilogo. Oltre a impatto e sfruttabilità, la sezione Vulnerabilità include il punteggio CVSS, i link ai riferimenti e altre informazioni sulla definizione della vulnerabilità CVE.
Per identificare rapidamente i risultati con l'impatto e la possibilità di sfruttamento più elevati:
Vai alla pagina Panoramica nella console Google Cloud:
Utilizza il selettore di progetti nella console Google Cloud per selezionare il progetto, la cartella o l'organizzazione per cui devi dare la priorità alle vulnerabilità:
Nella sezione Principali risultati CVE della pagina Panoramica, fai clic sul blocco con un numero diverso da zero con la maggiore sfruttabilità e impatto. Viene visualizzata la pagina Risultati per CVE, che mostra un elenco di ID CVE con lo stesso impatto e la stessa sfruttabilità.
Nella sezione Risultati per ID CVE, fai clic su un ID CVE. Viene visualizzata la pagina Risultati, che mostra l'elenco dei risultati che condividono l'ID CVE.
Nella pagina Risultati, fai clic sul nome di un risultato per visualizzarne i dettagli e i passaggi di correzione consigliati.
Assegna la priorità in base alla gravità
In genere, assegna la priorità a un risultato relativo alla postura con gravità CRITICAL rispetto a un risultato relativo alla postura con gravità HIGH, alla gravità HIGH rispetto a una gravità MEDIUM e così via.
Le gravità dei risultati si basano sul tipo di problema di sicurezza e vengono assegnate alle categorie di risultati da Security Command Center. Tutti i risultati in una determinata categoria o sottocategoria vengono emessi con lo stesso livello di gravità.
A meno che non utilizzi il livello Enterprise di Security Command Center, i livelli di gravità della segnalazione sono valori statici che non cambiano nel corso della vita della segnalazione.
Con il livello Enterprise, i livelli di gravità dei risultati relativi alla posizione rappresentano in modo più accurato il rischio in tempo reale di un risultato. I risultati vengono emessi con il livello di gravità predefinito della categoria del risultato, ma, mentre il risultato rimane attivo, il livello di gravità può aumentare o diminuire con l'aumento o la diminuzione del punteggio di esposizione agli attacchi del risultato.
Il modo più semplice per identificare le vulnerabilità con la gravità più elevata è utilizzare i filtri rapidi nella pagina Risultati della console Google Cloud.
Per visualizzare i risultati con la gravità più elevata:
Vai alla pagina Risultati nella console Google Cloud:
Utilizza il selettore di progetti nella console Google Cloud per selezionare il progetto, la cartella o l'organizzazione per cui devi dare la priorità alle vulnerabilità:
Nel riquadro Filtri rapidi della pagina Risultati, seleziona le seguenti proprietà:
- In Finding class (Ricerca della classe), seleziona Vulnerability (Vulnerabilità).
- In Gravità, seleziona Critica, Alta o entrambe le opzioni.
Il riquadro Risultati della query sui risultati si aggiorna per mostrare solo i risultati con la gravità specificata.
Puoi anche visualizzare le severità dei risultati relativi alla conformità nella pagina Panoramica nella sezione Risultati di vulnerabilità attivi.
Dare la priorità ai risultati relativi alla posizione per migliorare la conformità
Quando assegni la priorità ai risultati relativi alla conformità, la tua preoccupazione principale sono i risultati che violano i controlli dello standard di conformità applicabile.
Per visualizzare i risultati che violano i controlli di un determinato benchmark, segui questi passaggi:
Vai alla pagina Conformità nella console Google Cloud:
Utilizza il selettore di progetti nella console Google Cloud per selezionare il progetto, la cartella o l'organizzazione per cui devi dare la priorità alle vulnerabilità:
Accanto al nome dello standard di sicurezza a cui devi conformarti, fai clic su Visualizza dettagli. Viene visualizzata la pagina Dettagli sulla conformità.
Se lo standard di sicurezza di cui hai bisogno non viene visualizzato, specificalo nel campo Standard di conformità della pagina Dettagli sulla conformità.
Ordina le regole elencate per Risultati facendo clic sull'intestazione della colonna.
Per qualsiasi regola che mostra uno o più risultati, fai clic sul nome della regola nella colonna Regole. Viene visualizzata la pagina Risultati per visualizzare i risultati relativi alla regola.
Correggi i risultati finché non ne rimangono. Dopo la scansione successiva, se non vengono rilevate nuove vulnerabilità per la regola, la percentuale di controlli superati aumenta.