Auf dieser Seite wird die Eigenschaft severity von
Security Command Center-Ergebnisse und ihre möglichen Werte.
Die Eigenschaft severity bietet einen allgemeinen Indikator dafür,
Es ist wichtig, die Ergebnisse einer bestimmten Ergebniskategorie zu korrigieren.
oder in einigen Fällen eine Unterkategorie.
Im Allgemeinen sollten Sie die Ergebnisse mit dem Schweregrad HIGH vor dem LOW beheben
aber abhängig von der betroffenen Ressource
ist es möglich, dass das Beheben eines bestimmten Schweregrads LOW
Ergebnis kann wichtiger sein als der Schweregrad HIGH.
Schweregrad im Vergleich zur Angriffsbewertung
Sie können sowohl den Schweregrad des Ergebnisses als auch Angriffsbewertung die Korrektur der Ergebnisse zu priorisieren, aber es ist wichtig, die Unterschiede zwischen den beiden.
Die Schwere ist ein allgemeiner Indikator, der basierend auf der Kategorie der Abweichung festgelegt wird. Allen Ergebnissen innerhalb einer bestimmten Kategorie oder Unterkategorie wird derselbe Standardschweregrad zugewiesen.
Die Angriffsbewertung ist ein dynamischer Indikator, der nach der Veröffentlichung eines Ergebnisses berechnet wird. Die Punktzahl ist spezifisch zur Ergebnisinstanz und basiert auf einer Reihe von Faktoren, darunter Ressourceninstanzen, auf die sich das Ergebnis auswirkt, und die Schwierigkeit, die ein könnte ein hypothetischer Angreifer den Pfad von einem potenziellen Punkt aus durchlaufen, auf die betroffene, wertvolle Ressource.
Alle Ergebnisse können einen Schweregrad haben. Nur Sicherheitslücken und Fehlkonfigurationen Ergebnisse, die durch Angriffspfadsimulationen unterstützt kann ein Angriffsbewertung.
Priorisieren Sie bei der Priorisierung von Sicherheitslücken und Fehlkonfigurationen die Ergebnisse nach bevor sie nach Schweregrad priorisieren.
Schweregradklassifizierungen
Im Security Command Center werden die folgenden Schweregrade verwendet, die in der Spalte Schweregrad angezeigt werden, wenn Ergebnisse in der Google Cloud Console angezeigt werden:
CriticalHighMediumLowUnspecified
Critical Schweregrad
Eine kritische Sicherheitslücke ist leicht zu erkennen und kann genutzt werden, um beliebigen Code auszuführen, Daten auszufiltern oder anderweitig Zugriff auf oder Privilegien in Cloud-Ressourcen und -Workflows zu erhalten. Beispiele hierfür sind öffentlich zugängliche Nutzerdaten und öffentliche SSH-Zugänge, die schwache oder keine Passwörter nutzen.
Eine kritische Bedrohung kann auf Daten zugreifen, sie ändern oder löschen und nicht autorisierten Code in vorhandenen Ressourcen ausführen.
Eine kritische SCC error-Klassenfeststellung kann eine der folgenden Optionen sein:
- Ein Konfigurationsfehler verhindert, dass Security Command Center neue Ergebnisse – unabhängig vom Schweregrad – generiert.
- Ein Konfigurationsfehler verhindert, dass Sie alle Ergebnisse eines Dienstes sehen.
- Ein Konfigurationsfehler verhindert, dass bei Angriffspfadsimulationen Angriffsrisikobewertungen und Angriffspfade generiert werden.
Schweregrad High
Sicherheitslücken mit hohem Risiko können leicht entdeckt und mit anderen Sicherheitslücken genutzt werden, um beliebigen Code auszuführen, Daten auszufiltern oder anderweitig Zugriff auf oder Privilegien in Cloud-Ressourcen und -Workflows zu erhalten. Beispiele sind Datenbanken mit schwachen oder ohne Passwörter, auf die nur intern zugegriffen werden kann und die von Akteuren mit Zugriff auf das interne Netzwerk manipuliert werden können.
Eine Bedrohung mit hohem Risiko kann Rechenressourcen in einer Umgebung erstellen, aber weder auf Daten zugreifen noch Code in vorhandenen Ressourcen ausführen.
Ein Ergebnis zur SCC error-Klasse mit hohem Risiko weist darauf hin, dass eine Konfiguration
verursacht eines der folgenden Probleme:
- Sie können einige der Ergebnisse eines Dienstes nicht sehen oder exportieren.
- Bei Angriffspfadsimulationen sind die Angriffsrisikobewertungen und Angriffspfade möglicherweise unvollständig oder ungenau.
Schweregrad Medium
Bei einer Sicherheitslücke mit mittlerem Risiko könnten sich Angreifer Zugang zu Ressourcen oder Berechtigungen zu erhalten, die es ihnen ermöglichen, Daten exfiltrieren oder beliebigen Code ausführen. Beispiel: Wenn ein Dienstkonto unnötigen Zugriff auf Projekte hat und ein Akteur Zugriff auf das Dienstkonto erhält, kann der Akteur dieses Dienstkonto zur Manipulation eines Projekts verwenden.
Eine Bedrohung mit mittlerem Risiko kann zu einem schwerwiegenderen Problem führen, aber nicht auf aktuellen Datenzugriff oder die Ausführung nicht autorisierten Codes hinweisen.
Low Schweregrad
Eine risikoarme Sicherheitslücke erschwert das Sicherheitsteam in der Lage, Sicherheitslücken oder aktive Bedrohungen in ihrer Bereitstellung zu erkennen oder verhindert, dass Sicherheitsprobleme der Ursache untersucht werden. Beispiel: Monitoring und Protokollierung werden für Ressourcenkonfigurationen und Zugriff deaktiviert.
Bedrohungen mit geringem Risiko haben minimalen Zugriff auf Umgebungen, können aber weder auf Daten zugreifen, noch Code ausführen oder Ressourcen erstellen.
Schweregrad Unspecified
Eine Schweregradklassifizierung von Unspecified gibt an, dass der Dienst, der
generiert das Ergebnis und legte keinen Schweregrad für das Ergebnis fest.
Wenn Sie eine Feststellung mit der Schwere Unspecified erhalten, müssen Sie die Schwere selbst beurteilen. Prüfen Sie dazu die Feststellung und alle Dokumente, die für das Produkt oder die Dienstleistung vorliegen, aus dem bzw. der die Feststellung stammt.
Variabler Schweregrad
Der Schweregrad der Ergebnisse in einer Ergebniskategorie kann unter bestimmten Situation.
Schweregrade, die je nach Angriffsbewertung variieren
Wenn Sie die Enterprise-Stufe von Security Command Center verwenden, spiegeln die Schweregrade von Sicherheitslücken und Fehlkonfigurationen das Risiko der einzelnen Ergebnisse genauer wider, da sich die Schwere eines Ergebnisses ändern kann, um den Wert der Angriffsfläche des Ergebnisses widerzuspiegeln.
Bei der Enterprise-Stufe werden die Ergebnisse mit einem Standard- oder Basisschweregrad erteilt werden, der allen gleich ist der Ergebnisse innerhalb einer bestimmten Ergebniskategorie. Wenn nach der Veröffentlichung eines Ergebnisses durch die Angriffspfadsimulationen von Security Command Center festgestellt wird, dass das Ergebnis eine oder mehrere Ressourcen gefährdet, die Sie als wertvolle Ressource gekennzeichnet haben, wird dem Ergebnis eine Angriffsrisikobewertung zugewiesen und der Schweregrad entsprechend erhöht. Wenn das Ergebnis aktiv bleibt, aber die Simulationen verringern später die Angriffsbewertung, den Schweregrad des Ergebnisses kann sich ebenfalls abnehmen, aber nicht darunter Ursprüngliche Standardstufe.
Wenn Sie die Premium- oder Standard-Stufe von Security Command Center verwenden, der Schweregrad aller Ergebnisse statisch.
Schweregrade, die je nach erkanntem Problem variieren
Für einige Ergebniskategorien kann Security Command Center einem Ergebnis je nach den Details des erkannten Sicherheitsproblems einen anderen Standardschweregrad zuweisen.
Zum Beispiel die Schweregradklassifizierung des
IAM anomalous grant Ergebnis
der von Event Threat Detection generiert wird, ist in der Regel HIGH, aber wenn
wird das Ergebnis für die Erteilung von sensiblen Berechtigungen an eine
benutzerdefinierte IAM-Rolle,
der Schweregrad MEDIUM lautet.
Schweregrade von Ergebnissen in der Google Cloud Console ansehen
Sie können sich die Ergebnisse von Security Command Center in der Google Cloud Console auf verschiedene Arten nach Schweregrad ansehen:
- Auf der Seite Übersicht sehen Sie, wie viele Ergebnisse mit jedem Schweregrad angezeigt werden. sind in Ihren Ressourcen in der Spalte Sicherheitslücken pro Ressourcentyp aktiv. .
- Auf der Seite Bedrohungen sehen Sie, wie viele Bedrohungsergebnisse jeweils vorhanden sind. Schweregrad.
- Auf der Seite Sicherheitslücken können Sie die angezeigte Sicherheitslücke filtern. Erkennungsmodule nach Schweregrad sortiert, sodass nur die Module mit mit diesem Schweregrad aktiv sind.
- Auf der Seite Ergebnisse können Sie Ihren Suchanfragen für Ergebnisse im Bereich Schnellfilter Filter für bestimmte Schweregrade hinzufügen.