Auf dieser Seite wird die Eigenschaft severity von
Security Command Center-Ergebnisse und ihre möglichen Werte.
Die Eigenschaft severity bietet einen allgemeinen Indikator dafür,
Es ist wichtig, die Ergebnisse einer bestimmten Ergebniskategorie zu korrigieren.
oder in einigen Fällen eine Unterkategorie.
Im Allgemeinen sollten Sie die Ergebnisse mit dem Schweregrad HIGH vor dem LOW beheben
aber abhängig von der betroffenen Ressource
ist es möglich, dass das Beheben eines bestimmten Schweregrads LOW
Ergebnis kann wichtiger sein als der Schweregrad HIGH.
Schweregrad im Vergleich zur Angriffsbewertung
Sie können sowohl den Schweregrad des Ergebnisses als auch Angriffsbewertung die Korrektur der Ergebnisse zu priorisieren, aber es ist wichtig, die Unterschiede zwischen den beiden.
Der Schweregrad ist ein allgemeiner Indikator, der anhand des Kategorie des Ergebnisses. Allen Nutzern wird derselbe Standard-Schweregrad zugewiesen. Ergebnisse innerhalb einer bestimmten Kategorie oder Unterkategorie.
Eine Angriffsrisikobewertung ist ein dynamischer Indikator, für ein Ergebnis berechnet, nachdem das Ergebnis ausgegeben wurde. Die Punktzahl ist spezifisch zur Ergebnisinstanz und basiert auf einer Reihe von Faktoren, darunter Ressourceninstanzen, auf die sich das Ergebnis auswirkt, und die Schwierigkeit, die ein könnte ein hypothetischer Angreifer den Pfad von einem potenziellen Punkt aus durchlaufen, auf die betroffene, wertvolle Ressource.
Alle Ergebnisse können einen Schweregrad haben. Nur Sicherheitslücken und Fehlkonfigurationen Ergebnisse, die durch Angriffspfadsimulationen unterstützt kann ein Angriffsbewertung.
Priorisieren Sie bei der Priorisierung von Sicherheitslücken und Fehlkonfigurationen die Ergebnisse nach bevor sie nach Schweregrad priorisieren.
Schweregradklassifizierungen
Security Command Center verwendet die folgenden Schweregradklassifizierungen. werden in der Spalte Schweregrad angezeigt, wenn in der Google Cloud Console:
CriticalHighMediumLowUnspecified
Schweregrad Critical
Eine kritische Sicherheitslücke ist leicht zu erkennen und kann genutzt werden, um beliebigen Code auszuführen, Daten auszufiltern oder anderweitig Zugriff auf oder Privilegien in Cloud-Ressourcen und -Workflows zu erhalten. Beispiele hierfür sind öffentlich zugängliche Nutzerdaten und öffentliche SSH-Zugänge, die schwache oder keine Passwörter nutzen.
Eine kritische Bedrohung kann auf Daten zugreifen, sie ändern oder löschen und nicht autorisierten Code in vorhandenen Ressourcen ausführen.
Ein kritisches Ergebnis der SCC error-Klasse bedeutet, dass
Folgendes:
- Ein Konfigurationsfehler verhindert das Generieren von Security Command Center neuen Erkenntnissen jeder Schweregrad.
- Ein Konfigurationsfehler verhindert, dass Sie alle Ergebnisse eines Dienstes sehen.
- Ein Konfigurationsfehler verhindert, dass Angriffspfadsimulationen generiert werden Angriffsrisikobewertungen und Angriffspfaden.
Schweregrad High
Eine risikoreiche Sicherheitslücke ist leicht zu erkennen und könnte ausgenutzt werden mit anderen Schwachstellen kombinieren, um direkten Zugang und Daten exfiltrieren und zusätzliche Zugriffsrechte Ressourcen und Arbeitslasten. Beispiele sind Datenbanken mit schwachen oder ohne Passwörter, auf die nur intern zugegriffen werden kann und die von Akteuren mit Zugriff auf das interne Netzwerk manipuliert werden können.
Eine risikoreiche Bedrohung ist in der Lage, Rechenressourcen Er kann jedoch weder auf Daten zugreifen noch Code in vorhandenen Umgebungen ausführen, Ressourcen.
Ein Ergebnis zur SCC error-Klasse mit hohem Risiko weist darauf hin, dass eine Konfiguration
verursacht eines der folgenden Probleme:
- Einige Ergebnisse eines Dienstes können nicht angezeigt oder exportiert werden.
- Bei Angriffspfadsimulationen werden die Angriffsrisikobewertungen und unvollständig oder ungenau sein können.
Schweregrad Medium
Bei einer Sicherheitslücke mit mittlerem Risiko könnten sich Angreifer Zugang zu Ressourcen oder Berechtigungen zu erhalten, die es ihnen ermöglichen, Daten exfiltrieren oder beliebigen Code ausführen. Beispiel: Wenn ein Dienstkonto unnötigen Zugriff auf Projekte hat und ein Akteur Zugriff auf das Dienstkonto erhält, kann der Akteur dieses Dienstkonto zur Manipulation eines Projekts verwenden.
Eine Bedrohung mit mittlerem Risiko könnte zu einem schwerwiegenderen Problem führen, weist aber möglicherweise nicht darauf hin aktuellen Datenzugriff oder nicht autorisierte Codeausführung.
Schweregrad Low
Eine risikoarme Sicherheitslücke erschwert das Sicherheitsteam in der Lage, Sicherheitslücken oder aktive Bedrohungen in ihrer Bereitstellung zu erkennen oder verhindert die Ursache von Sicherheitsproblemen. Beispiel: Monitoring und Protokollierung werden für Ressourcenkonfigurationen und Zugriff deaktiviert.
Eine Bedrohung mit geringem Risiko hat nur minimalen Zugriff auf eine Umgebung, aber kann weder auf Daten zugreifen noch Code ausführen oder Ressourcen erstellen.
Schweregrad Unspecified
Die Schweregradklassifizierung Unspecified gibt an, dass der Dienst, der
generiert das Ergebnis und legte keinen Schweregrad für das Ergebnis fest.
Wenn Sie ein Ergebnis mit dem Schweregrad Unspecified erhalten, müssen Sie Folgendes bewerten:
Schweregrad selbst ermitteln, indem Sie das Ergebnis untersuchen und
Dokumentation, die das Produkt oder die Dienstleistung, die das Ergebnis generiert hat, bietet.
Variabler Schweregrad
Der Schweregrad der Ergebnisse in einer Ergebniskategorie kann unter bestimmten Situation.
Schweregrade, die je nach Angriffsbewertung variieren
Wenn Sie die Enterprise-Stufe von Security Command Center verwenden, Sicherheitslücken und Fehlkonfigurationen spiegelt sich das Risiko jedes einzelnen Ergebnisses, da der Schweregrad eines Ergebnisses kann sich ändern, um die Angriffsbewertung des Ergebnisses widerzuspiegeln.
Bei der Enterprise-Stufe werden die Ergebnisse mit einem Standard- oder Basisschweregrad erteilt werden, der allen gleich ist der Ergebnisse innerhalb einer bestimmten Ergebniskategorie. Nachdem ein Ergebnis ausgegeben wurde, ob die Angriffspfadsimulationen von Security Command Center feststellen, das Ergebnis eine oder mehrere Ressourcen aufzeigt, die Sie als wertvolle Ressource wird dem Ergebnis in den Simulationen eine Angriffsrisikobewertung erhöhen Sie den Schweregrad entsprechend. Wenn das Ergebnis aktiv bleibt, aber die Simulationen verringern später die Angriffsbewertung, den Schweregrad des Ergebnisses kann sich ebenfalls abnehmen, aber nicht darunter Ursprüngliche Standardstufe.
Wenn Sie die Premium- oder Standard-Stufe von Security Command Center verwenden, der Schweregrad aller Ergebnisse statisch.
Schweregrade, die je nach erkanntem Problem variieren
Für einige Ergebniskategorien kann Security Command Center eine andere Standardschweregrad für ein Ergebnis abhängig von den Besonderheiten des Sicherheitsproblem gefunden.
Zum Beispiel die Schweregradklassifizierung des
IAM anomalous grant Ergebnis
der von Event Threat Detection generiert wird, ist in der Regel HIGH, aber wenn
wird das Ergebnis für die Erteilung von sensiblen Berechtigungen an eine
benutzerdefinierte IAM-Rolle,
der Schweregrad MEDIUM lautet.
Schweregrad der Ergebnisse in der Google Cloud Console ansehen
Sie können Security Command Center-Ergebnisse nach Schweregrad auf verschiedene Arten in der Google Cloud Console:
- Auf der Seite Übersicht sehen Sie, wie viele Ergebnisse mit jedem Schweregrad angezeigt werden. sind in Ihren Ressourcen in der Spalte Sicherheitslücken pro Ressourcentyp aktiv. .
- Auf der Seite Bedrohungen sehen Sie, wie viele Bedrohungsergebnisse jeweils vorhanden sind. Schweregrad.
- Auf der Seite Sicherheitslücken können Sie die angezeigte Sicherheitslücke filtern. Erkennungsmodule nach Schweregrad sortiert, sodass nur die Module mit mit diesem Schweregrad aktiv sind.
- Auf der Seite Ergebnisse können Sie Filter für bestimmte Schweregrade zu die Ergebnisabfragen aus dem Bereich Schnellfilter aus.