Questa pagina spiega alcune delle informazioni e dei metodi che puoi utilizzare per dare la priorità ai risultati di Security Command Center relativi a vulnerabilità del software, errori di configurazione e, con i livelli Enterprise o Premium, combinazioni tossiche e colli di bottiglia (problemi, collettivamente), in modo da ridurre il rischio e migliorare il tuo livello di sicurezza rispetto agli standard di sicurezza applicabili in modo più rapido ed efficiente.
Scopo della definizione delle priorità
Poiché il tuo tempo è limitato e il volume dei problemi di Security Command Center può essere eccessivo, soprattutto nelle organizzazioni più grandi, devi identificare e rispondere rapidamente alle vulnerabilità che rappresentano il rischio maggiore per la tua organizzazione.
Devi correggere le vulnerabilità per ridurre il rischio di un attacco informatico alla tua organizzazione e per mantenere la conformità della tua organizzazione agli standard di sicurezza applicabili.
Per ridurre efficacemente il rischio di un attacco informatico, devi trovare e correggere le vulnerabilità che espongono maggiormente le tue risorse, che sono più sfruttabili o che causerebbero i danni più gravi se venissero sfruttate.
Per migliorare in modo efficace la tua security posture rispetto a un particolare standard di sicurezza, devi trovare e correggere le vulnerabilità che violano i controlli degli standard di sicurezza applicabili alla tua organizzazione.
Le sezioni seguenti spiegano come dare la priorità ai risultati di postura di Security Command Center per raggiungere questi scopi.
Dai la priorità ai problemi per ridurre i rischi
I problemi contengono combinazioni tossiche e chokepoint rilevati nella tua organizzazione. Questi sono i problemi più importanti da risolvere. Per aiutarti ulteriormente a dare la priorità ai problemi, includono le seguenti informazioni che puoi utilizzare per dare la priorità alla correzione del problema di sicurezza sottostante:
- Gravità
- Punteggio di esposizione all'attacco
- Record CVE con valutazioni CVE di MandiantAnteprima
Prioritizzare in base ai punteggi di esposizione agli attacchi
In genere, dai la priorità alla correzione di un problema con un punteggio di esposizione agli attacchi elevato rispetto a un problema con un punteggio inferiore o senza punteggio.
Per ulteriori informazioni, consulta le seguenti risorse:
- Utilizzare i punteggi per dare la priorità alla ricerca di soluzioni
- Punteggi di esposizione agli attacchi su combinazioni dannose e chokepoint
Visualizzare i punteggi nella console Security Command Center Google Cloud
I punteggi vengono visualizzati insieme ai risultati in più posizioni, tra cui:
- Nella pagina Panoramica dei rischi:
- In Security Command Center Enterprise, dove vengono visualizzati i problemi più rischiosi.
- In Security Command Center Premium, dove vengono visualizzati i punti di strozzatura e le combinazioni tossiche con i punteggi di esposizione agli attacchi più elevati.
- In una colonna della pagina Risultati di Security Command Center Enterprise o Premium, dove puoi eseguire query e ordinare i risultati in base al punteggio.
- In Security Command Center Enterprise o Premium, quando visualizzi i dettagli di un risultato di postura che interessa una risorsa di valore elevato.
Nella console Google Cloud , puoi visualizzare i risultati con i punteggi di esposizione agli attacchi più elevati seguendo questi passaggi:
Vai alla pagina Panoramica dei rischi nella console Google Cloud :
Utilizza il selettore di progetti nella console Google Cloud per selezionare il progetto, la cartella o l'organizzazione per cui devi dare la priorità alle vulnerabilità.
Nella sezione Principali risultati relativi alle vulnerabilità, esamina i risultati relativi alla postura che hanno i punteggi di esposizione agli attacchi più elevati. I risultati delle combinazioni dannose non sono inclusi in questa sezione.
Fai clic su un punteggio nella colonna Punteggio di esposizione agli attacchi per aprire la pagina dei dettagli del percorso di attacco per il risultato.
Fai clic sul nome di un risultato per aprire il riquadro dei dettagli nella pagina Risultati.
Visualizzare i punteggi nelle richieste
Nella console Security Operations, lavori principalmente con i casi, in cui i risultati vengono documentati come avvisi.
In Security Command Center Enterprise, puoi visualizzare i casi di combinazione tossica con i punteggi di esposizione agli attacchi più elevati nella pagina Rischi > Casi. Puoi ordinare i casi in base ai punteggi di esposizione agli attacchi.
In Security Command Center Premium puoi anche ordinare i risultati in base al punteggio di esposizione agli attacchi nella pagina Rischio > Risultati.
Per informazioni su come eseguire query specifiche per le richieste relative alla combinazione tossica, vedi Visualizzare i dettagli di una richiesta relativa alla combinazione tossica.
Prioritizzare in base alla sfruttabilità e all'impatto della CVE
In generale, dai la priorità alla correzione dei risultati con una valutazione CVE di alta sfruttabilità e alto impatto rispetto a quelli con una valutazione CVE di bassa sfruttabilità e basso impatto.
Le informazioni CVE, incluse le valutazioni di sfruttabilità e impatto della CVE fornite da Mandiant, si basano sulla vulnerabilità del software stesso.
Nella pagina Panoramica, nella sezione Principali risultati con CVE, un grafico o una mappa termica raggruppa i risultati delle vulnerabilità in blocchi in base alle valutazioni di sfruttabilità e impatto fornite da Mandiant.
Quando visualizzi i dettagli dei risultati delle vulnerabilità del software nella console, puoi trovare le informazioni CVE nella sezione Vulnerabilità della scheda Riepilogo. Oltre a impatto e sfruttabilità, la sezione Vulnerabilità include il punteggio CVSS, i link di riferimento e altre informazioni sulla definizione della vulnerabilità CVE.
Per identificare rapidamente i risultati con il maggiore impatto e livello di sfruttamento, segui questi passaggi:
Vai alla pagina Panoramica nella console Google Cloud :
Utilizza il selettore di progetti nella console Google Cloud per selezionare il progetto, la cartella o l'organizzazione per cui devi dare la priorità alle vulnerabilità.
Nella sezione Principali risultati CVE della pagina Panoramica, fai clic sul blocco con un numero diverso da zero che presenta la sfruttabilità e l'impatto più elevati. Si apre la pagina Risultati per CVE, che mostra un elenco di ID CVE con lo stesso impatto e la stessa sfruttabilità.
Nella sezione Risultati per ID CVE, fai clic su un ID CVE. Si apre la pagina Risultati che mostra l'elenco dei risultati che condividono l'ID CVE.
Nella pagina Risultati, fai clic sul nome di un risultato per visualizzarne i dettagli e i passaggi di correzione consigliati.
Priorità in base alla gravità
In generale, dai la priorità a un problema o a un risultato con gravità CRITICAL rispetto a un problema o a un risultato con gravità HIGH, dai la priorità alla gravità HIGH rispetto a una gravità MEDIUM e così via.
Le gravità si basano sul tipo di problema di sicurezza e vengono assegnate alle categorie di risultati da Security Command Center. Tutti i risultati in una determinata categoria o sottocategoria vengono generati con lo stesso livello di gravità.
A meno che tu non utilizzi il livello Enterprise o Premium di Security Command Center, i livelli di gravità dei risultati sono valori statici che non cambiano durante il ciclo di vita del risultato.
Con il livello Enterprise, i livelli di gravità dei problemi rappresentano in modo più accurato il rischio in tempo reale di un risultato. I risultati vengono generati con il livello di gravità predefinito della categoria di risultati, ma, mentre il risultato rimane attivo, il livello di gravità può aumentare o diminuire man mano che il punteggio di esposizione all'attacco del risultato aumenta o diminuisce.
Forse il modo più semplice per identificare le vulnerabilità con la gravità più elevata è utilizzare i filtri rapidi nella pagina Risultati della console Google Cloud .
Per visualizzare i risultati con la gravità più elevata:
Vai alla pagina Risultati nella Google Cloud console:
Utilizza il selettore di progetti nella console Google Cloud per selezionare il progetto, la cartella o l'organizzazione per cui devi dare la priorità alle vulnerabilità.
Nel riquadro Filtri rapidi della pagina Risultati, seleziona le seguenti proprietà:
- In Finding class (Classe di risultati), seleziona Vulnerability (Vulnerabilità).
- In Gravità, seleziona Critica, Alta o entrambe le opzioni.
Il riquadro Risultati della query sui risultati viene aggiornato per mostrare solo i risultati con la gravità specificata.
Puoi anche visualizzare i livelli di gravità dei risultati di postura nella pagina Panoramica della sezione Risultati di vulnerabilità attivi.
Dai la priorità ai risultati della postura per migliorare la conformità
Quando dai la priorità ai risultati relativi alla postura per la conformità, la tua preoccupazione principale sono i risultati che violano i controlli dello standard di conformità applicabile.
Per visualizzare i risultati che violano i controlli di un determinato benchmark, segui questi passaggi:
Vai alla pagina Conformità nella console Google Cloud :
Utilizza il selettore di progetti nella console Google Cloud per selezionare il progetto, la cartella o l'organizzazione per cui devi dare la priorità alle vulnerabilità.
Accanto al nome dello standard di sicurezza che devi rispettare, fai clic su Visualizza dettagli. Viene visualizzata la pagina Dettagli conformità.
Se lo standard di sicurezza che ti serve non viene visualizzato, specificarlo nel campo Standard di conformità della pagina Dettagli conformità.
Ordina le regole elencate per Risultati facendo clic sull'intestazione della colonna.
Per qualsiasi regola che mostri uno o più risultati, fai clic sul nome della regola nella colonna Regole. Si apre la pagina Risultati per visualizzare i risultati relativi a questa regola.
Correggi i risultati finché non ne rimangono. Dopo la scansione successiva, se non vengono trovate nuove vulnerabilità per la regola, la percentuale di controlli superati aumenta.