Cette page décrit la propriété severity des résultats de Security Command Center et ses valeurs possibles.
La propriété severity fournit un indicateur général
il est important de corriger les résultats d’une catégorie de résultats particulière
ou, dans certains cas, une sous-catégorie.
En règle générale, vous devez corriger les problèmes de gravité HIGH avant le LOW
de gravité, mais selon la ressource concernée ou d'autres
il est possible que la résolution d'un problème LOW particulier
ce résultat peut être plus important qu'un résultat de gravité HIGH.
Gravité par rapport au score d'exposition aux attaques
Vous pouvez utiliser à la fois la sévérité des résultats et les scores d'exposition aux attaques pour hiérarchiser la résolution des problèmes, mais il est important de comprendre les différences entre les deux.
Une gravité est un indicateur général qui est prédéterminé en fonction du catégorie du résultat. Le même niveau de gravité par défaut est attribué à tous les résultats d'une catégorie ou d'une sous-catégorie donnée.
Le score d'exposition aux attaques est un indicateur dynamique calculé pour un résultat après sa publication. Le score est spécifique à l'instance de résultat et repose sur un certain nombre de facteurs, y compris les instances de ressources concernées par le résultat et la difficulté qu'un pirate informatique hypothétique rencontrerait pour parcourir le chemin d'accès à la ressource à forte valeur concernée à partir d'un point d'accès potentiel.
Toutes les observations peuvent avoir un niveau de gravité. Seuls les résultats de recherche de failles et d'erreurs de configuration compatibles avec les simulations de chemin d'attaque peuvent avoir un score d'exposition aux attaques.
Lorsque vous hiérarchisez les résultats de failles et de mauvaise configuration, priorisez les scores d'exposition aux attaques avant de les classer par gravité.
Classification des niveaux de gravité
Security Command Center utilise les classifications de gravité suivantes : apparaissent dans la colonne Gravité lorsque les résultats sont affichés dans la console Google Cloud:
CriticalHighMediumLowUnspecified
Critical de gravité
Une faille critique est facilement détectable et peut être exploitée pour exécuter directement du code arbitraire, exfiltrer des données et obtenir des accès et des droits supplémentaires dans les ressources et les workflows cloud. Il peut s'agir, par exemple, d'informations sur l'utilisateur accessibles publiquement et d'un accès SSH public avec des mots de passe peu sécurisés ou aucun mot de passe.
Une menace critique parvient à accéder aux données, à les modifier ou à les supprimer, ou encore à exécuter du code non autorisé dans vos ressources existantes.
Un résultat de classe SCC error critique correspond à l'une des
suivantes:
- Une erreur de configuration empêche Security Command Center de générer de nouveaux résultats, quelle que soit leur gravité.
- Une erreur de configuration vous empêche de voir tous les résultats d'un service.
- Une erreur de configuration empêche les simulations de chemin d'attaque de générer des scores d'exposition aux attaques et des chemins d'attaque.
High de gravité
Une faille élevée est facile à trouver et pourrait être exploitée conjointement à d'autres failles pour avoir un accès direct permettant d'exécuter du code arbitraire ou d'exfiltrer des données, et pour obtenir des accès et des droits supplémentaires sur les ressources et les charges de travail. Par exemple, une base de données qui présente des mots de passe peu sécurisés ou aucun mot de passe, et qui n'est accessible qu'en interne peut être compromise par un individu ayant accès au réseau interne.
Une menace élevée amène la possibilité de créer des ressources de calcul dans un environnement, mais pas celle d'accéder aux données ni d'exécuter de code dans des ressources existantes.
Une détection de classe SCC error à haut risque indique qu'une erreur de configuration est à l'origine de l'un des problèmes suivants :
- Vous ne pouvez pas afficher ni exporter certains résultats d'un service.
- Pour les simulations de chemin d'attaque, les scores d'exposition aux attaques et les chemins d'attaque peuvent être incomplets ou inexacts.
Gravité de Medium
Une faille moyenne pourrait être utilisée par un individu pour accéder aux ressources ou aux droits lui permettant d'obtenir à terme un accès et la possibilité d'exfiltrer des données ou d'exécuter du code arbitraire. Par exemple, si un compte de service dispose d'un accès inutile aux projets et qu'un individu y accède, celui-ci pourrait utiliser ce compte de service pour manipuler un projet.
Une menace à risque moyen peut entraîner un problème plus grave, mais n’indique pas nécessairement l'accès actuel aux données ou l'exécution de code non autorisé.
Gravité de Low
Une vulnérabilité à faible risque empêche une équipe de sécurité de détecter des failles ou des menaces actives dans leur déploiement ; empêche l’investigation des problèmes de sécurité. Par exemple, un scénario dans lequel la surveillance et les journaux sont désactivés pour les configurations et l'accès aux ressources.
Une menace faible a obtenu un accès minimal à un environnement, mais ne peut pas accéder aux données, exécuter de code ni créer de ressources.
Unspecified de gravité
Une classification de gravité de Unspecified indique que le service
et généré le résultat n'a pas défini de valeur de gravité pour le résultat.
Si vous recevez un résultat d'une gravité Unspecified, vous devez évaluer vous-même la gravité en examinant le résultat et en consultant toute documentation fournie par le produit ou le service qui l'a généré.
Gravité variable
La gravité des résultats d'une catégorie de résultats peut varier les circonstances.
Gravités qui varient en fonction du score d'exposition au piratage
Si vous utilisez le niveau Enterprise de Security Command Center, le niveau de gravité les niveaux de vulnérabilité et d'erreur de configuration le risque de chaque résultat individuel, car la gravité d’un résultat peut changer pour refléter le score d'exposition au piratage du résultat.
Avec le niveau Entreprise, les résultats de failles et d'erreurs de configuration avec un niveau de gravité de référence ou par défaut commun des résultats dans une catégorie de résultats donnée. Une fois qu'un résultat est publié, si les simulations de chemins d'attaque de Security Command Center déterminent qu'il expose une ou plusieurs ressources que vous avez désignées comme ressources à forte valeur, les simulations attribuent un score d'exposition aux attaques au résultat et augmentent le niveau de gravité en conséquence. Si l'anomalie reste active, mais que les simulations réduisent ensuite le score d'exposition aux attaques, le niveau de gravité de l'anomalie peut également diminuer, mais pas en dessous du niveau par défaut d'origine.
Si vous utilisez le niveau Premium ou Standard de Security Command Center, les niveaux de gravité de tous les résultats restent statiques.
Gravités qui varient en fonction du problème détecté
Pour certaines catégories de résultats, Security Command Center peut attribuer un niveau de gravité par défaut différent à un résultat en fonction des détails du problème de sécurité détecté.
Par exemple, la classification de gravité de la découverte IAM anomalous grant générée par Event Threat Detection est généralement HIGH, mais si la découverte est générée pour l'attribution d'autorisations sensibles à un rôle IAM personnalisé, la gravité est MEDIUM.
Afficher les niveaux de gravité des résultats dans la console Google Cloud
Vous pouvez afficher les résultats de Security Command Center par gravité de plusieurs manières dans la console Google Cloud :
- Sur la page Vue d'ensemble, vous pouvez voir le nombre de résultats de chaque niveau de gravité qui sont actifs dans vos ressources dans la section Failles par type de ressource.
- Sur la page Menaces, vous pouvez voir le nombre de menaces trouvées pour chaque niveau de gravité.
- Sur la page Failles de sécurité, vous pouvez filtrer les modules de détection des failles affichés par niveau de gravité afin de n'afficher que les modules qui présentent des résultats actifs à ce niveau de gravité.
- Sur la page Résultats, vous pouvez ajouter des filtres pour des niveaux de gravité spécifiques à vos requêtes de résultats à partir du panneau Filtres rapides.