本頁說明如何運用資訊和方法,優先處理 Security Command Center 發現的軟體安全漏洞、錯誤設定,以及 (Enterprise 或 Premium 級別) 毒性組合和瓶頸 (統稱為問題),以便更快速有效地降低風險,並根據適用的安全標準提升安全防護措施。
優先順序安排的目的
由於時間有限,且 Security Command Center 問題量可能十分龐大 (尤其是在大型機構中),您需要快速找出並因應對機構造成最大風險的安全漏洞。
您必須修正弱點,才能降低貴機構遭受網路攻擊的風險,並確保貴機構符合適用的安全標準。
如要有效降低網路攻擊風險,您需要找出並修正最容易暴露資源、最容易遭到攻擊,或遭攻擊後會造成最嚴重損害的安全漏洞。
如要根據特定安全標準有效改善安全防護機制,您必須找出並修正違反適用於貴機構安全標準控管措施的安全漏洞。
下列各節說明如何排定 Security Command Center 狀態發現項目的優先順序,以達成這些目的。
優先處理問題,降低風險
問題包含在貴機構中偵測到的有害組合和瓶頸。這些是最重要的問題,為進一步協助您排定問題優先順序,這些報告會提供下列資訊,方便您優先修正根本的安全性問題:
依據遭受攻擊的風險分數決定優先順序
一般來說,如果問題的受攻擊風險分數較高,應優先解決這類問題,而非分數較低或沒有分數的問題。
如要瞭解詳情,請參考下列資源:
在 Security Command Center Google Cloud 控制台中查看分數
分數會與發現項目一起顯示在多個位置,包括:
- 在「風險總覽」頁面中:
- 在 Security Command Center Enterprise 中,顯示風險最高的問題。
- 在 Security Command Center Premium 中,系統會顯示受攻擊風險分數最高的瓶頸和有害組合。
- 在 Security Command Center Enterprise 或 Premium 的「發現項目」頁面中,您可以在欄中依分數查詢及排序發現項目。
- 在 Security Command Center Enterprise 或 Premium 中,查看影響高價值資源的狀態發現項目詳細資料時。
在 Google Cloud 控制台中,您可以按照下列步驟,查看攻擊暴露分數最高的調查結果:
前往 Google Cloud 控制台的「風險總覽」頁面:
在 Google Cloud 控制台使用專案選取器,選取需要優先處理安全漏洞的專案、資料夾或機構。
在「重大安全漏洞發現項目」部分,查看受攻擊風險分數最高的安全狀態發現項目。本節不包含有害組合發現項目。
按一下「攻擊暴露程度分數」欄中的分數,開啟該發現項目的攻擊路徑詳細資料頁面。
按一下發現項目名稱,開啟「發現項目」頁面的發現項目詳細資料面板。
查看案件中的分數
在 Security Operations 控制台中,您主要處理案件,並將調查結果記錄為快訊。
在 Security Command Center Enterprise 中,您可以在「風險」> 案件」頁面,查看受攻擊風險分數最高的有害組合案件。您可以依受攻擊風險分數排序案件。
在 Security Command Center Premium 中,您也可以在「風險」>「發現項目」頁面上,依受攻擊風險分數排序發現項目。
如要瞭解如何查詢特定有害組合案件,請參閱「查看有害組合案件的詳細資料」。
依據 CVE 漏洞攻擊可能性和影響程度排定優先順序
一般來說,如果發現項目的 CVE 評估結果為「可利用性高」和「影響程度高」,請優先修復,而非「可利用性低」和「影響程度低」的發現項目。
CVE 資訊 (包括 Mandiant 提供的 CVE 漏洞利用可能性和影響評估) 是以軟體漏洞本身為依據。
在「總覽」頁面的「重大 CVE 發現項目」部分,圖表或熱度地圖會根據 Mandiant 提供的可利用性和影響評估,將安全漏洞發現項目分組。
在主控台中查看軟體安全漏洞調查結果的詳細資料時,您可以在「摘要」分頁的「安全漏洞」部分找到 CVE 資訊。除了影響和可利用性之外,「安全漏洞」部分還包括 CVSS 分數、參考連結,以及其他有關 CVE 安全漏洞定義的資訊。
如要快速找出影響最大且最容易遭到利用的發現,請按照下列步驟操作:
前往 Google Cloud 控制台的「Overview」(總覽) 頁面:
在 Google Cloud 控制台使用專案選取器,選取需要優先處理安全漏洞的專案、資料夾或機構。
在「總覽」頁面的「前幾名 CVE 發現項目」部分,按一下漏洞攻擊可能性和影響程度最高的非零數字方塊。 「依 CVE 顯示的發現項目」頁面隨即開啟,並顯示影響程度和可利用性相同的 CVE ID 清單。
在「各 CVE ID 的發現項目」部分,按一下 CVE ID。系統會開啟「發現項目」頁面,顯示共用該 CVE ID 的發現項目清單。
在「Findings」(發現事項) 頁面中,按一下發現事項的名稱,即可查看發現事項的詳細資料和建議的補救步驟。
依嚴重程度排序
一般而言,您應優先處理嚴重程度為 CRITICAL 的問題或發現項目,再處理嚴重程度為 HIGH 的問題或發現項目,依此類推。HIGHMEDIUM
嚴重程度會依據安全性問題類型而定,並由 Security Command Center 指派給發現項目類別。特定類別或子類別中的所有發現項目,都會產生相同的嚴重程度。
除非您使用 Security Command Center 的 Enterprise 或 Premium 級,否則發現項目的嚴重程度等級是靜態值,不會在發現項目的生命週期內變更。
使用 Enterprise 方案時,問題的嚴重程度等級會更準確地反映發現項目的即時風險。系統會根據發現項目類別的預設嚴重程度產生發現項目,但如果發現項目仍處於有效狀態,嚴重程度可能會隨著發現項目的攻擊暴露分數增加或減少。
如要找出最嚴重的安全漏洞,最簡單的方法就是在 Google Cloud 控制台的「發現」頁面使用「快速篩選器」。
如要查看嚴重程度最高的發現項目,請按照下列步驟操作:
前往 Google Cloud 控制台的「發現項目」頁面:
在 Google Cloud 控制台使用專案選取器,選取需要優先處理安全漏洞的專案、資料夾或機構。
在「發現」頁面的「快速篩選器」面板中,選取下列屬性:
- 在「Finding class」(發現類別) 下方,選取「Vulnerability」(安全漏洞)。
- 在「嚴重程度」下方,選取「重大」、「高」或兩者。
「Findings query results」(發現項目查詢結果) 面板會更新,只顯示具有指定嚴重性的發現項目。
您也可以在「總覽」頁面的「含有未解決安全漏洞的發現項目」部分,查看安全狀態發現項目的嚴重程度。
優先處理態勢發現項目,以提升法規遵循程度
優先處理法規遵循狀態的發現項目時,主要考量是違反適用法規遵循標準控管機制的發現項目。
如要查看違反特定基準控制項的結果,請按照下列步驟操作:
前往 Google Cloud 控制台的「Compliance」(法規遵循) 頁面:
在 Google Cloud 控制台使用專案選取器,選取需要優先處理安全漏洞的專案、資料夾或機構。
找出您需要遵守的安全性標準,然後按一下旁邊的「查看詳細資料」。「法規遵循詳細資料」頁面隨即開啟。
如果沒有顯示您需要的安全標準,請在「法規遵循詳細資料」頁面的「法規遵循標準」欄位中指定標準。
按一下欄標題,即可依「發現項目」排序列出的規則。
如果規則顯示一或多個結果,請按一下「規則」欄中的規則名稱。「發現」頁面隨即開啟,顯示該規則的發現項目。
修正發現項目,直到沒有任何發現項目為止。下次掃描後,如果系統未發現規則有新的安全漏洞,通過的控制項百分比就會增加。