Questa pagina descrive la proprietà severity
dei risultati di Security Command Center e i relativi possibili valori.
La proprietà severity
fornisce un indicatore generale dell'importanza della correzione dei risultati di una determinata categoria di risultati o, in alcuni casi, di una sottocategoria.
In genere, devi risolvere i risultati relativi alla gravità di HIGH
prima del giorno LOW
di gravità, ma in base alla risorsa interessata o ad altro
considerazioni, è possibile che la correzione di una particolare gravità LOW
potrebbe essere più importante di un risultato con gravità HIGH
.
Gravità rispetto al punteggio di esposizione agli attacchi
Puoi utilizzare sia le severità dei problemi sia i punteggi di esposizione agli attacchi per dare la priorità alla correzione dei problemi, ma è importante comprendere le differenze tra i due.
La gravità è un indicatore generale predeterminato in base alla categoria del risultato. La stessa gravità predefinita viene assegnata a tutti i risultati di una determinata categoria o sottocategoria.
Un punteggio di esposizione agli attacchi è un indicatore dinamico calcolato per un rilevamento dopo la sua emissione. Il punteggio è specifico all'istanza del risultato e si basa su una serie di fattori, tra cui: le istanze di risorse interessate dal risultato e la difficoltà ipotetico aggressore potrebbe attraversare il percorso da un punto potenziale alla risorsa di alto valore interessata.
Tutti i risultati possono avere una gravità. Solo i risultati relativi a vulnerabilità e configurazioni errate supportati dalle simulazioni del percorso di attacco possono avere un punteggio di esposizione agli attacchi.
Quando dai la priorità ai risultati relativi a vulnerabilità ed errori di configurazione, assegna la priorità in base a i punteggi di esposizione agli attacchi prima di assegnare la priorità in base alla gravità.
Classificazioni della gravità
Security Command Center utilizza le seguenti classificazioni di gravità, che vengono visualizzate nella colonna Gravità quando i risultati vengono visualizzati nella console Google Cloud:
Critical
High
Medium
Low
Unspecified
Gravità Critical
Una vulnerabilità critica è facilmente rilevabile e può essere sfruttata per ottenere la possibilità diretta di eseguire codice arbitrario, esfiltrare dati e ottenere in altro modo privilegi e accessi aggiuntivi nelle risorse e nei flussi di lavoro cloud. Gli esempi includono i dati utente accessibili pubblicamente e l'accesso SSH pubblico con password inefficaci o senza password.
Una minaccia critica è in grado di accedere, modificare o eliminare dati oppure di eseguire codice non autorizzato all'interno delle risorse esistenti.
Un SCC error
rilevamento di classe critico indica uno dei seguenti elementi:
- Un errore di configurazione impedisce a Security Command Center di generare nuovi risultati di qualsiasi gravità.
- Un errore di configurazione ti impedisce di visualizzare tutti i risultati di un servizio.
- Un errore di configurazione impedisce la generazione di simulazioni del percorso di attacco i punteggi di esposizione agli attacchi e i percorsi di attacco.
Gravità High
Una vulnerabilità ad alto rischio è facilmente rilevabile e potrebbe essere sfruttata con altre vulnerabilità per ottenere l'accesso diretto per eseguire codice arbitrario o esfiltrare dati e ottenere ulteriori accessi e privilegi a risorse e carichi di lavoro. Ad esempio, un database che ha dati deboli o assenti password ed è accessibile solo internamente potrebbe essere compromessa da utente che ha accesso alla rete interna.
Una minaccia ad alto rischio è in grado di creare risorse di calcolo in un ma non è in grado di accedere ai dati o di eseguire codice in Google Cloud.
Un rilevamento di classe SCC error
ad alto rischio indica che un errore di configurazione sta causando uno dei seguenti problemi:
- Non puoi vedere o esportare alcuni risultati di un servizio.
- Per le simulazioni del percorso di attacco, i punteggi di esposizione agli attacchi e i percorsi di attacco potrebbero essere incompleti o imprecisi.
Gravità Medium
Una vulnerabilità a rischio medio potrebbe consentire a un utente di accedere a: a risorse o privilegi che consentono loro di ottenere l'accesso la capacità di esfiltrare i dati o di eseguire codice arbitrario. Ad esempio, se un account di servizio ha accesso non necessario ai progetti e un attore ottiene l'accesso all'account di servizio, l'attore potrebbe utilizzare l'account di servizio per manipolare un progetto.
Una minaccia a medio rischio potrebbe portare a un problema più grave, ma potrebbe non indicare l'accesso ai dati in corso o l'esecuzione non autorizzata di codice.
Gravità Low
Una vulnerabilità a basso rischio ostacola la capacità di un team di sicurezza di rilevare vulnerabilità o minacce attive nel loro deployment; oppure previene la ricerca delle cause principali dei problemi di sicurezza. Ad esempio: uno scenario in cui il monitoraggio e i log sono disabilitati per la risorsa configurazioni e accesso.
Una minaccia a basso rischio ha ottenuto un accesso minimo a un ambiente, ma non è in grado di accedere ai dati, eseguire codice o creare risorse.
Gravità Unspecified
La classificazione di gravità Unspecified
indica che il servizio
è stato generato il risultato. Non è stato impostato un valore di gravità per il risultato.
Se ricevi un rilevamento con una gravità pari a Unspecified
, devi valutare autonomamente la gravità esaminando il rilevamento e la documentazione fornita dal prodotto o dal servizio che lo ha generato.
Gravità variabile
La gravità dei risultati in una categoria di risultati può variare in base a determinate circostanze.
Gravità che variano in base al punteggio di esposizione agli attacchi
Se utilizzi il livello Enterprise di Security Command Center, la gravità i livelli di vulnerabilità e i risultati di configurazione errata si riflettono in modo più accurato il rischio di ogni singolo risultato, perché la gravità di un risultato può cambiare per riflettere il punteggio di esposizione agli attacchi del risultato.
Nel livello Enterprise, i risultati relativi a vulnerabilità ed errori di configurazione vengono emessi con un livello di gravità predefinito o di riferimento comune a tutti dei risultati all'interno di una determinata categoria di risultati. Dopo l'emissione di un risultato, se le simulazioni dei percorsi di attacco di Security Command Center determinano che il risultato espone una o più risorse che hai designato come risorse di alto valore, le simulazioni assegnano un punteggio di esposizione agli attacchi al risultato e aumentano di conseguenza il livello di gravità. Se il rilevamento rimane attivo, ma le simulazioni riducono in seguito il punteggio di esposizione agli attacchi, anche il livello di gravità del rilevamento può diminuire, ma non inferiore al livello predefinito originale.
Se utilizzi il livello Premium o Standard di Security Command Center, i livelli di gravità di tutti i risultati rimangono statici.
Gravità che variano in base al problema rilevato
Per alcune categorie di risultati, Security Command Center può assegnare un livello di gravità predefinito diverso a un risultato a seconda dei dettagli del problema di sicurezza rilevato.
Ad esempio, la classificazione della gravità
IAM anomalous grant
risultato
generato da Event Threat Detection è in genere HIGH
, ma
il risultato viene generato per la concessione di autorizzazioni sensibili a un
ruolo IAM personalizzato,
la gravità è MEDIUM
.
Visualizza le gravità dei risultati nella console Google Cloud
Puoi visualizzare i risultati di Security Command Center in base alla gravità in diversi modi nel Console Google Cloud:
- Nella pagina Panoramica, puoi vedere quanti risultati per ogni livello di gravità Sono attive nelle tue risorse nella sezione Vulnerabilità per tipo di risorsa .
- Nella pagina Minacce, puoi vedere quante minacce rilevate per ogni il livello di gravità.
- Nella pagina Vulnerabilità, puoi filtrare i moduli di rilevamento delle vulnerabilità visualizzati in base al livello di gravità per mostrare solo i moduli con risultati attivi a quel livello di gravità.
- Nella pagina Risultati, puoi aggiungere filtri per livelli di gravità specifici alle query sui risultati dal riquadro Filtri rapidi.