Auf dieser Seite werden das severity-Attribut von Security Command Center-Ergebnissen und seine möglichen Werte beschrieben.
Das severity-Attribut gibt einen allgemeinen Hinweis darauf, wie wichtig es ist, die Ergebnisse bestimmter Kategorien oder in einigen Fällen Unterkategorien zu beheben.
Im Allgemeinen sollten Sie Ergebnisse mit dem Schweregrad HIGH vor Ergebnissen mit dem Schweregrad LOW beheben. Je nach betroffener Ressource oder anderen Faktoren kann es jedoch sein, dass die Behebung eines bestimmten Ergebnisses mit dem Schweregrad LOW wichtiger ist als die Behebung eines Ergebnisses mit dem Schweregrad HIGH.
Schweregrad im Vergleich zur Angriffsrisikobewertung
Sie können sowohl Schweregrade als auch Angriffsrisikobewertungen verwenden, um die Behebung von Ergebnissen zu priorisieren. Es ist jedoch wichtig, die Unterschiede zwischen den beiden zu kennen.
Der Schweregrad ist ein allgemeiner Indikator, der anhand der Kategorie des Ergebnisses vorab festgelegt wird. Allen Ergebnissen in einer bestimmten Kategorie oder Unterkategorie wird derselbe Standardschweregrad zugewiesen.
Die Angriffsrisikobewertung ist ein dynamischer Indikator, der für ein Ergebnis berechnet wird, nachdem das Ergebnis generiert wurde. Die Punktzahl bezieht sich auf die jeweilige Instanz des Ergebnisses und basiert auf einer Reihe von Faktoren, wie etwa die Ressourceninstanzen, die von dem Ergebnis betroffen sind. Weiterhin wird berücksichtigt, wie schwierig es wäre, bei einem Angriff von einem potenziellen Zugriffspunkt zur betroffenen hochwertigen Ressource zu gelangen.
Alle Ergebnisse können einen Schweregrad haben. Nur Sicherheitslücken und Fehlkonfigurationen, die von Angriffspfadsimulationen unterstützt werden, können eine Angriffsrisikobewertung haben.
Bei der Priorisierung von Sicherheitslücken und Fehlkonfigurationen sollten Sie zuerst nach Angriffsrisikobewertung und dann nach Schweregrad priorisieren.
Schweregradklassifizierungen
Security Command Center verwendet die folgenden Schweregradklassifizierungen, die in der Spalte Schweregrad angezeigt werden, wenn Ergebnisse in der Google Cloud Console angezeigt werden:
CriticalHighMediumLowUnspecified
Schweregrad Critical
Kritische Sicherheitslücke sind leicht zu erkennen und können zum Ausführen von beliebigem Code oder zur Datenexfiltration genutzt werden. Außerdem können Angreifer darüber Berechtigungen in Cloud-Ressourcen und -Workflows oder Zugriff darauf erhalten. Beispiele hierfür sind öffentlich zugängliche Nutzerdaten und öffentliche SSH-Zugänge, die schwache oder keine Passwörter nutzen.
Eine kritische Bedrohung bedeutet, dass Angreifer auf Daten zugreifen, sie ändern oder löschen und nicht autorisierten Code in vorhandenen Ressourcen ausführen können.
Ein als kritisch eingestuftes Ergebnis vom Typ SCC error bedeutet, dass eine der folgenden Situationen vorliegt:
- Ein Konfigurationsfehler verhindert, dass Security Command Center neue Ergebnisse von beliebigem Schweregrad generiert.
- Ein Konfigurationsfehler verhindert, dass alle Ergebnisse eines Dienstes angezeigt werden.
- Ein Konfigurationsfehler verhindert, dass Angriffsrisikobewertungen und Angriffspfade durch Angriffspfadsimulationen generiert werden.
Schweregrad High
Sicherheitslücken mit hohem Risiko sind leicht zu erkennen und können mit anderen Sicherheitslücken zum Ausführen von beliebigem Code oder zur Datenexfiltration genutzt werden. Außerdem können Angreifer darüber Berechtigungen in Cloud-Ressourcen und -Workflows oder Zugriff darauf erhalten. Beispiele sind Datenbanken mit schwachen Passwörtern oder ohne Passwörter, auf die nur intern zugegriffen werden kann und die von Akteuren mit Zugriff auf das interne Netzwerk manipuliert werden können.
Eine Bedrohung mit hohem Risiko bedeutet, dass Angreifer Rechenressourcen in einer Umgebung erstellen können. Sie können aber weder auf Daten zugreifen noch Code in vorhandenen Ressourcen ausführen.
Ein als hohes Risiko eingestuftes Ergebnis vom Typ SCC error weist darauf hin, dass ein Konfigurationsfehler eines der folgenden Probleme verursacht:
- Einige Ergebnisse eines Dienstes können nicht angezeigt oder exportiert werden.
- Bei Angriffspfadsimulationen sind die Angriffsrisikobewertungen und Angriffspfade möglicherweise unvollständig oder ungenau.
Schweregrad Medium
Eine Sicherheitslücke mit mittlerem Risiko kann von Akteuren verwendet werden, um Zugriff auf Ressourcen oder Berechtigungen zu erlangen, womit letztlich der Zugriff und die Option zum Auslesen von Daten oder Ausführen von beliebigem Code erreicht werden soll. Beispiel: Wenn ein Dienstkonto unnötigen Zugriff auf Projekte hat und ein Akteur Zugriff auf das Dienstkonto erhält, kann der Akteur dieses Dienstkonto zur Manipulation eines Projekts verwenden.
Eine als mittleres Risiko eingestufte Bedrohung kann zu einem schwerwiegenderen Problem führen, deutet aber möglicherweise nicht auf aktuellen Datenzugriff oder die Ausführung nicht autorisierten Codes hin.
Schweregrad Low
Eine Sicherheitslücke mit geringem Risiko beeinträchtigt die Fähigkeit eines Sicherheitsteams, Sicherheitslücken oder aktive Bedrohungen bei der Bereitstellung zu erkennen, oder verhindert die Untersuchung der Ursachen von Sicherheitsproblemen. Ein Beispiel wäre ein Szenario, in dem Monitoring und Protokollierung für Ressourcenkonfigurationen und Zugriff deaktiviert werden.
Bei einer Bedrohung mit geringem Risiko haben Angreifer minimalen Zugriff auf eine Umgebung erhalten, können aber weder auf Daten zugreifen, noch Code ausführen oder Ressourcen erstellen.
Schweregrad Unspecified
Der Schweregrad Unspecified bedeutet, dass der Dienst, der das Ergebnis generiert hat, keinen Schweregradwert für das Ergebnis festgelegt hat.
Wenn Sie ein Ergebnis mit dem Schweregrad Unspecified erhalten, müssen Sie den Schweregrad selbst bewerten. Untersuchen Sie dazu das Ergebnis und lesen Sie die Dokumentation, die für das Produkt oder den Dienst bereitgestellt wird, mit dem das Ergebnis generiert wurde.
Variabler Schweregrad
Der Schweregrad der Ergebnisse in einer Ergebniskategorie kann unter bestimmten Umständen variieren.
Schweregrade, die je nach Angriffsrisikobewertung variieren
Wenn Sie die Enterprise-Stufe von Security Command Center verwenden, spiegeln die Schweregrade von Ergebnissen zu Sicherheitslücken und Fehlkonfigurationen das Risiko der einzelnen Ergebnisse genauer wider, da sich der Schweregrad eines Ergebnisses ändern kann, um die Angriffsrisikobewertung des Ergebnisses widerzuspiegeln.
Bei der Enterprise-Stufe wird für Sicherheitslücken und Fehlkonfigurationen ein Standard- oder Baseline-Schweregrad generiert, der für alle Ergebnisse in einer bestimmten Ergebniskategorie gilt. Wenn nach der Generierung eines Ergebnisses durch die Angriffspfadsimulationen von Security Command Center festgestellt wird, dass durch das Ergebnis eine oder mehrere Ressourcen gefährdet sind, die Sie als hochwertige Ressource gekennzeichnet haben, wird dem Ergebnis eine Angriffsrisikobewertung zugewiesen und der Schweregrad entsprechend erhöht. Wenn das Ergebnis aktiv bleibt, die Simulationen den Wert für das Risiko durch Angriffe jedoch später verringern, kann auch der Schweregrad des Ergebnisses sinken, jedoch nicht unter das ursprüngliche Standardniveau.
Wenn Sie die Premium- oder Standard-Stufe von Security Command Center verwenden, bleiben die Schweregrade aller Ergebnisse statisch.
Schweregrade, die je nach erkanntem Problem variieren
Für einige Ergebniskategorien kann Security Command Center einem Ergebnis je nach den Besonderheiten des erkannten Sicherheitsproblems einen anderen Standardschweregrad zuweisen.
Die Schweregradklassifizierung des Ergebnisses für IAM anomalous grant, das von Event Threat Detection generiert wird, ist in der Regel HIGH. Wenn das Ergebnis jedoch für die Erteilung vertraulicher Berechtigungen für eine benutzerdefinierte IAM-Rolle generiert wird, ist der Schweregrad MEDIUM.
Schweregrad von Ergebnissen in der Google Cloud -Console ansehen
Sie können Security Command Center-Ergebnisse nach Schweregrad auf verschiedene Arten in derGoogle Cloud -Console ansehen:
Standard- und Premium-Stufe
- Auf der Seite Übersicht sehen Sie im Bereich Sicherheitslücken nach Ressourcentyp, wie viele Ergebnisse mit den einzelnen Schweregraden in Ihren Ressourcen aktiv sind.
- Auf der Seite Bedrohungen sehen Sie, wie viele Bedrohungen es für jeden Schweregrad gibt.
- Auf der Seite Sicherheitslücken können Sie die angezeigten Module zur Erkennung von Sicherheitslücken nach Schweregrad filtern, um nur die Module mit aktiven Ergebnissen auf dieser Ebene aufzurufen.
- Auf der Seite Ergebnisse können Sie Ihren Ergebnisabfragen im Bereich Schnellfilter Filter für bestimmte Schweregradebenen hinzufügen.
Enterprise-Stufe
Auf der Seite Probleme können Sie ein Problem auswählen und dann im Bereich Ergebnisse die Ergebnisse ansehen, einschließlich des Schweregrads.
Auf der Seite Ergebnisse können Sie Ihren Ergebnisabfragen im Bereich Schnellfilter Filter für bestimmte Schweregradebenen hinzufügen.