In questa pagina viene descritta la proprietà severity di
Risultati di Security Command Center e relativi valori possibili.
La proprietà severity fornisce un indicatore generale del modo in cui
è importante correggere i risultati di una particolare categoria
o, in alcuni casi, sottocategoria.
In genere, devi risolvere i risultati relativi alla gravità di HIGH prima del giorno LOW
di gravità, ma in base alla risorsa interessata o ad altro
considerazioni, è possibile che la correzione di una particolare gravità LOW
potrebbe essere più importante di un risultato con gravità HIGH.
Gravità rispetto al punteggio di esposizione agli attacchi
Puoi utilizzare sia il risultato per gravità che il risultato punteggi di esposizione agli attacchi dare priorità alla correzione dei risultati, ma è importante comprendere le differenze tra i due.
La gravità è un indicatore generale predeterminato in base al categoria del risultato. La stessa gravità predefinita viene assegnata a tutti i risultati di una determinata categoria o sottocategoria.
Il punteggio di esposizione agli attacchi è un indicatore dinamico che calcolate per un risultato dopo l'emissione di quest'ultimo. Il punteggio è specifico all'istanza del risultato e si basa su una serie di fattori, tra cui: le istanze di risorse interessate dal risultato e la difficoltà ipotetico aggressore potrebbe attraversare il percorso da un punto potenziale alla risorsa di alto valore interessata.
Tutti i risultati possono avere una gravità. Solo vulnerabilità ed errori di configurazione risultati che sono supportate da simulazioni del percorso di attacco possono avere punteggio di esposizione agli attacchi.
Quando dai la priorità ai risultati relativi a vulnerabilità ed errori di configurazione, assegna la priorità in base a i punteggi di esposizione agli attacchi prima di assegnare la priorità in base alla gravità.
Classificazioni della gravità
Security Command Center utilizza le seguenti classificazioni di gravità, vengono visualizzati nella colonna Gravità quando i risultati vengono visualizzati in la console Google Cloud:
CriticalHighMediumLowUnspecified
Gravità Critical
Una vulnerabilità critica è facilmente rilevabile e può essere sfruttata portare nella capacità diretta di eseguire codice arbitrario, esfiltrare dati aziendali e ottenere ulteriori accessi e privilegi nel cloud di risorse e flussi di lavoro. Gli esempi includono i dati utente accessibili pubblicamente e l'accesso SSH pubblico con password inefficaci o senza password.
Una minaccia critica è in grado di accedere, modificare o eliminare dati oppure codice non autorizzato nelle risorse esistenti.
Per rilevamento della classe SCC error critico si intende uno qualsiasi dei
seguenti:
- Un errore di configurazione impedisce a Security Command Center di generare risultati di qualunque gravità.
- Un errore di configurazione ti impedisce di vedere tutti i risultati di un servizio.
- Un errore di configurazione impedisce la generazione di simulazioni del percorso di attacco i punteggi di esposizione agli attacchi e i percorsi di attacco.
Gravità High
Una vulnerabilità ad alto rischio è facilmente individuabile e potrebbe essere sfruttata con altre vulnerabilità per ottenere l’accesso diretto per eseguire codice o esfiltrare dati e ottenere ulteriori accessi e privilegi di risorse e carichi di lavoro. Ad esempio, un database che ha dati deboli o assenti password ed è accessibile solo internamente potrebbe essere compromessa da utente che ha accesso alla rete interna.
Una minaccia ad alto rischio è in grado di creare risorse di calcolo in un ma non è in grado di accedere ai dati o di eseguire codice in Google Cloud.
Un risultato di classe SCC error ad alto rischio indica che una configurazione
causa uno dei seguenti problemi:
- Non puoi visualizzare o esportare alcuni dei risultati di un servizio.
- Per le simulazioni del percorso di attacco, i punteggi di esposizione agli attacchi e i percorsi di attacco potrebbero essere incompleti o imprecisi.
Gravità Medium
Una vulnerabilità a rischio medio potrebbe consentire a un utente di accedere a: a risorse o privilegi che consentono loro di ottenere l'accesso la capacità di esfiltrare i dati o di eseguire codice arbitrario. Ad esempio: se un account di servizio ha accesso non necessario ai progetti e a un attore ottiene l'accesso all'account di servizio, l'utente può utilizzare quel servizio per manipolare un progetto.
Una minaccia a medio rischio potrebbe portare a un problema più grave, ma potrebbe non indicare l'accesso ai dati in corso o l'esecuzione non autorizzata di codice.
Gravità Low
Una vulnerabilità a basso rischio ostacola la capacità di un team di sicurezza di rilevare vulnerabilità o minacce attive nel loro deployment; oppure previene la ricerca delle cause principali dei problemi di sicurezza. Ad esempio: uno scenario in cui il monitoraggio e i log sono disabilitati per la risorsa configurazioni e accesso.
Una minaccia a basso rischio ha ottenuto un accesso minimo a un ambiente, ma non può accedere ai dati, eseguire codice o creare risorse.
Gravità Unspecified
La classificazione di gravità Unspecified indica che il servizio
ha generato il risultato; non è stato impostato un valore di gravità per il risultato.
Se ottieni un risultato con gravità pari a Unspecified, devi valutare
la gravità autonomamente esaminando il risultato e esaminando eventuali
documentazione fornita dal prodotto o servizio che ha generato il risultato.
Gravità variabile
La gravità dei risultati in una categoria di esiti può variare in base a determinate circostanze.
Gravità che variano in base al punteggio di esposizione agli attacchi
Se utilizzi il livello Enterprise di Security Command Center, la gravità i livelli di vulnerabilità e i risultati di configurazione errata si riflettono in modo più accurato il rischio di ogni singolo risultato, perché la gravità di un risultato può cambiare per riflettere il punteggio di esposizione agli attacchi del risultato.
Nel livello Enterprise, i risultati relativi a vulnerabilità ed errori di configurazione vengono emessi con un livello di gravità predefinito o di riferimento comune a tutti dei risultati all'interno di una determinata categoria di risultati. Dopo l'emissione di un risultato, se le simulazioni del percorso di attacco di Security Command Center determinano il risultato espone una o più risorse che hai designato come risorsa di alto valore, le simulazioni assegnano al risultato un punteggio di esposizione agli attacchi aumenta il livello di gravità di conseguenza. Se il risultato rimane attivo, ma in seguito le simulazioni riducono il punteggio di esposizione agli attacchi, livello del risultato può anche diminuire, ma non al di sotto del livello predefinito originale.
Se utilizzi il livello Premium o Standard di Security Command Center, i livelli di gravità di tutti i risultati rimangono statici.
Gravità che variano in base al problema rilevato
Per alcune categorie di risultati, Security Command Center può assegnare livello di gravità predefinito su un risultato in base alle particolarità del è stato rilevato un problema di sicurezza.
Ad esempio, la classificazione della gravità
IAM anomalous grant risultato
generato da Event Threat Detection è in genere HIGH, ma
il risultato viene generato per la concessione di autorizzazioni sensibili a un
ruolo IAM personalizzato,
la gravità è MEDIUM.
Visualizza le gravità dei risultati nella console Google Cloud
Puoi visualizzare i risultati di Security Command Center in base alla gravità in diversi modi nel Console Google Cloud:
- Nella pagina Panoramica, puoi vedere quanti risultati per ogni livello di gravità Sono attive nelle tue risorse nella sezione Vulnerabilità per tipo di risorsa .
- Nella pagina Minacce, puoi vedere quante minacce rilevate per ogni il livello di gravità.
- Nella pagina Vulnerabilità puoi filtrare la vulnerabilità visualizzata. di moduli di rilevamento in base al livello di gravità, in modo da mostrare solo i moduli con i risultati attivi a quel livello di gravità.
- Nella pagina Risultati, puoi aggiungere filtri per livelli di gravità specifici a le query sui risultati dal riquadro Filtri rapidi.