Auf dieser Seite werden das Attribut severity von Security Command Center-Ergebnissen und ihre möglichen Werte beschrieben.
Das Attribut severity bietet einen allgemeinen Indikator dafür, wie wichtig es ist, die Ergebnisse einer bestimmten Ergebniskategorie oder Unterkategorie zu korrigieren.
Im Allgemeinen sollten Sie die Ergebnisse des Schweregrads HIGH vor den Ergebnissen des Schweregrads LOW korrigieren. Je nach betroffener Ressource oder anderen Überlegungen kann die Behebung eines bestimmten Schweregrads LOW jedoch wichtiger sein als die Ermittlung des Schweregrads HIGH.
Schweregrad im Vergleich zur Angriffsbewertung
Sie können sowohl die Ermittlung des Schweregrads als auch die Ermittlung der Angriffsrisikobewertungen verwenden, um die Behebung der Ergebnisse zu priorisieren. Es ist jedoch wichtig, die Unterschiede zwischen den beiden zu verstehen.
Ein Schweregrad ist ein allgemeiner Indikator, der anhand der Kategorie des Ergebnisses vorab bestimmt wird. Allen Ergebnissen innerhalb einer bestimmten Kategorie oder Unterkategorie wird derselbe Standardschweregrad zugewiesen.
Eine Angriffsbewertung ist ein dynamischer Indikator, der für ein Ergebnis berechnet wird, nachdem das Ergebnis ausgestellt wurde. Die Punktzahl ist spezifisch für die Ergebnisinstanz und basiert auf einer Reihe von Faktoren, einschließlich der Ressourceninstanzen, auf die sich das Ergebnis auswirkt, und der Schwierigkeit, mit der ein hypothetischer Angreifer den Pfad von einem potenziellen Zugriffspunkt zur betroffenen hochwertigen Ressource durchqueren würde.
Alle Ergebnisse können einen Schweregrad haben. Nur Ergebnisse zu Sicherheitslücken und Fehlkonfigurationen, die von Angriffspfadsimulationen unterstützt werden, können eine Angriffsbewertung haben.
Wenn Sie die Ergebnisse von Sicherheitslücken und Fehlkonfigurationen priorisieren, sollten Sie zuerst die Angriffsrisikobewertungen nach Schweregrad priorisieren.
Schweregradklassifizierungen
Security Command Center verwendet die folgenden Schweregradklassifizierungen, die in der Spalte Schweregrad angezeigt werden, wenn Ergebnisse in der Google Cloud Console angezeigt werden:
CriticalHighMediumLowUnspecified
Critical Schweregrad
Eine kritische Sicherheitslücke ist leicht zu erkennen und kann genutzt werden, um beliebigen Code auszuführen, Daten auszufiltern oder anderweitig Zugriff auf oder Privilegien in Cloud-Ressourcen und -Workflows zu erhalten. Beispiele hierfür sind öffentlich zugängliche Nutzerdaten und öffentliche SSH-Zugänge, die schwache oder keine Passwörter nutzen.
Eine kritische Bedrohung kann auf Daten zugreifen, sie ändern oder löschen und nicht autorisierten Code in vorhandenen Ressourcen ausführen.
Ein kritisches SCC error-Klassenergebnis bedeutet eines der folgenden Dinge:
- Ein Konfigurationsfehler verhindert, dass Security Command Center neue Ergebnisse mit einem beliebigen Schweregrad generiert.
- Ein Konfigurationsfehler verhindert, dass Sie alle Ergebnisse eines Dienstes sehen.
- Ein Konfigurationsfehler verhindert, dass Simulationen von Angriffspfaden Angriffsrisikobewertungen und Angriffspfade generieren.
High Schweregrad
Eine Sicherheitslücke mit hohem Risiko ist leicht zu finden und kann mit anderen Sicherheitslücken ausgenutzt werden, um sich direkten Zugriff zu verschaffen, um beliebigen Code auszuführen oder Daten zu exfiltrieren, und sich zusätzliche Zugriffsrechte und Berechtigungen für Ressourcen und Arbeitslasten zu verschaffen. Beispiele sind Datenbanken mit schwachen oder ohne Passwörter, auf die nur intern zugegriffen werden kann und die von Akteuren mit Zugriff auf das interne Netzwerk manipuliert werden können.
Eine risikoreiche Bedrohung kann zwar Rechenressourcen in einer Umgebung erstellen, jedoch nicht auf Daten zugreifen oder Code in vorhandenen Ressourcen ausführen.
Ein mit hohem Risiko verbundenes Ergebnis der SCC error-Klasse weist darauf hin, dass ein Konfigurationsfehler eines der folgenden Probleme verursacht:
- Sie können einige Ergebnisse eines Dienstes nicht sehen oder exportieren.
- Bei Angriffspfadsimulationen können die Angriffsrisikobewertungen und Angriffspfade unvollständig oder ungenau sein.
Medium Schweregrad
Eine Sicherheitslücke mit mittlerem Risiko könnte es einem Angreifer ermöglichen, sich Zugriff auf Ressourcen oder Berechtigungen zu verschaffen, mit denen er sich letztendlich Zugriff und die Fähigkeit zum Exfiltrieren von Daten oder zur Ausführung von beliebigen Code verschaffen kann. Beispiel: Wenn ein Dienstkonto unnötigen Zugriff auf Projekte hat und ein Akteur Zugriff auf das Dienstkonto erhält, kann der Akteur dieses Dienstkonto zur Manipulation eines Projekts verwenden.
Eine Bedrohung mit mittlerem Risiko könnte zu einem schwerwiegenderen Problem führen, aber kein Hinweis auf aktuellen Datenzugriff oder eine nicht autorisierte Codeausführung sein.
Low Schweregrad
Eine Sicherheitslücke mit geringem Risiko erschwert die Fähigkeit eines Sicherheitsteams, Sicherheitslücken oder aktive Bedrohungen in der Bereitstellung zu erkennen, oder verhindert, dass die zugrunde liegende Untersuchung von Sicherheitsproblemen durchgeführt wird. Beispiel: Monitoring und Protokollierung werden für Ressourcenkonfigurationen und Zugriff deaktiviert.
Eine Bedrohung mit geringem Risiko hat sich minimalen Zugriff auf eine Umgebung verschafft, kann jedoch nicht auf Daten zugreifen, Code ausführen oder Ressourcen erstellen.
Unspecified Schweregrad
Eine Schweregradklassifizierung von Unspecified bedeutet, dass der Dienst, der das Ergebnis generiert hat, keinen Schweregrad für das Ergebnis festgelegt hat.
Wenn Sie ein Ergebnis mit dem Schweregrad Unspecified erhalten, müssen Sie den Schweregrad selbst beurteilen. Dazu prüfen Sie das Ergebnis und prüfen die Dokumentation des Produkts oder Dienstes, von dem das Ergebnis generiert wurde.
Variabler Schweregrad
Der Schweregrad der Ergebnisse in einer Ergebniskategorie kann unter bestimmten Umständen variieren.
Schweregrade, die je nach Angriffsbewertung variieren
Wenn Sie die Enterprise-Stufe von Security Command Center verwenden, spiegeln die Schweregrade der Sicherheitslücken und die Ergebnisse der Fehlkonfiguration das Risiko jedes einzelnen Ergebnisses genauer wider, da sich der Schweregrad eines Ergebnisses ändern kann, um die Angriffsbewertung des Ergebnisses widerzuspiegeln.
Auf der Enterprise-Stufe werden Ergebnisse zu Sicherheitslücken und Fehlkonfigurationen mit einem Standard- oder Basisschweregrad ausgegeben, der für alle Ergebnisse innerhalb einer bestimmten Ergebniskategorie gleich ist. Wenn die Angriffspfadsimulationen von Security Command Center nach Ausgabe eines Ergebnisses feststellen, dass das Ergebnis eine oder mehrere Ressourcen freigibt, die Sie als hochwertige Ressource festgelegt haben, weisen die Simulationen dem Ergebnis eine Angriffsrisikobewertung zu und erhöhen entsprechend den Schweregrad. Wenn das Ergebnis aktiv bleibt, die Simulationen jedoch später die Angriffsbewertung verringern, kann auch der Schweregrad des Ergebnisses sinken, jedoch nicht unter das ursprüngliche Standardniveau.
Wenn Sie die Premium- oder Standard-Stufe von Security Command Center verwenden, bleiben die Schweregrade aller Ergebnisse statisch.
Schweregrade, die je nach erkanntem Problem variieren
Für einige Ergebniskategorien kann Security Command Center einem Ergebnis je nach den Details des erkannten Sicherheitsproblems einen anderen standardmäßigen Schweregrad zuweisen.
Die Schweregradklassifizierung des von Event Threat Detection generierten IAM anomalous grant-Ergebnisses ist beispielsweise normalerweise HIGH. Wenn das Ergebnis jedoch für die Erteilung sensibler Berechtigungen an eine benutzerdefinierte IAM-Rolle generiert wird, ist der Schweregrad MEDIUM.
Schweregrad von Ergebnissen in der Google Cloud Console ansehen
Sie können Security Command Center-Ergebnisse in der Google Cloud Console auf verschiedene Weise nach Schweregrad ansehen:
- Auf der Seite Übersicht sehen Sie im Abschnitt Sicherheitslücken pro Ressourcentyp, wie viele Ergebnisse mit jedem Schweregrad in Ihren Ressourcen aktiv sind.
- Auf der Seite Bedrohungen sehen Sie, wie viele Bedrohungsergebnisse für jeden Schweregrad vorhanden sind.
- Auf der Seite Sicherheitslücken können Sie die angezeigten Module zur Erkennung von Sicherheitslücken nach Schweregrad filtern. So werden nur die Module angezeigt, die aktive Ergebnisse mit diesem Schweregrad haben.
- Auf der Seite Ergebnisse können Sie Ihren Ergebnisabfragen im Bereich Schnellfilter Filter für bestimmte Schweregrade hinzufügen.