Sie können sich mit demselben Nutzernamen und denselben Anmeldedaten in beiden Konsolen anmelden.
Google Cloud Console
In der Google Cloud Console können Sie u. a. folgende Aufgaben ausführen:
- Aktivieren Sie Security Command Center.
- Richten Sie IAM-Berechtigungen (Identity and Access Management) für alle Security Command Center-Nutzer ein.
- Konfigurieren Sie die AWS-Verbindung für die Sicherheitslückenverwaltung.
- Ergebnisse bearbeiten und exportieren
- Sicherheitsstatus verwalten
- Risiken mit Angriffsbewertungen bewerten
- Identifizieren Sie Daten mit hoher Vertraulichkeit mit Sensitive Data Protection.
- Erkennen und beheben Sie einzelne Ergebnisse direkt.
- Security Health Analytics, Web Security Scanner und andere in Google Cloud integrierte Dienstleistungen.
- die Einhaltung gängiger Sicherheitsstandards oder Benchmarks.
- Google Cloud-Assets ansehen und durchsuchen.
Sie können in der Google Cloud Console auf die Inhalte von Security Command Center zugreifen auf der Seite Risikoübersicht.
Die folgende Abbildung zeigt den Inhalt von Security Command Center in der Google Cloud Console
Security Operations-Konsole
In der Security Operations-Konsole können Sie u. a. folgende Aufgaben ausführen:
- AWS-Verbindung für die Bedrohungserkennung konfigurieren
- Nutzer und Gruppen für das Vorfallsmanagement konfigurieren
- Einstellungen für Sicherheitsorchestrierung, Automatisierung und Reaktion (Security Orchestration, Automation and Response, SOAR) konfigurieren.
- Datenaufnahme in die Sicherheitsinformationen und Ereignisverwaltung konfigurieren (SIEM)
- Einzelne Ergebnisse für Google Cloud untersuchen und beheben Organisation und AWS-Umgebung.
- Mit Anfragen arbeiten, einschließlich Gruppieren von Ergebnissen, Zuweisen von Tickets und Arbeiten mit Benachrichtigungen
- Verwenden Sie eine automatisierte Abfolge von Schritten, die als Playbooks bezeichnet werden, um Probleme zu beheben.
- Mit Workdesk können Sie Aktionen und Aufgaben in offenen Fällen und Aufgaben verwalten, die auf Sie warten. Playbooks.
Sie können auf die Security Operations-Konsole zugreifen von
https://customer_subdomain.backstory.chronicle.security,
wobei customer_subdomain Ihr kundenspezifisches
Kennung. Sie können Ihre URL mit einer der folgenden Methoden ermitteln:
Im Einrichtungsleitfaden in der Google Cloud Console werden Sie in Schritt 4 bis 6 zur Security Operations Console weitergeleitet. So greifen Sie auf den Einrichtungsleitfaden zu:
Rufen Sie in Security Command Center die Seite Risikoübersicht auf.
Klicken Sie auf Einrichtungsanleitung ansehen.
Klicken Sie in der Google Cloud Console auf einen der Links zur Anfrage. So greifen Sie auf einen Fall-Link zu:
Gehen Sie auf der Seite Risikoübersicht von Security Command Center zur Seite Sicherheitslücken nach Fall-Dashboard.
Klicken Sie auf Alle Supportanfragen bezüglich Sicherheitslücken ansehen.
Klicken Sie in der Google Cloud Console auf der Seite Chronicle SecOps auf den Link.
Rufen Sie die Seite Chronicle SecOps auf.
Klicken Sie auf Zu Chronicle.
Die folgende Abbildung zeigt die Security Operations Console.
Dashboard für das Schwachstellenmanagement
Die Dashboards in der Security Operations Console bieten einen schnellen Überblick über Statusfälle und Sicherheitslücken in Ihren Cloud-Umgebungen.
Mit dem Dashboard für die Sicherheitslückenverwaltung in der Security Operations Console können Sie CVE-Sicherheitslücken untersuchen, die in Ihren Google Cloud- und AWS-Umgebungen erkannt wurden.
Rufen Sie die Seite Ergebnisse auf, um das Dashboard anzusehen.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/overview/cve-vulnerabilities
Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.
Wenn die Seite nicht angezeigt wird, wählen Sie Posture > Übersicht und wählen Sie dann Vulnerability Management Dashboard aus.
In jedem Bericht können Sie mithilfe von Filtern Daten für alle oder einen Teil der Cloud-Anbieter anzeigen lassen. Das Dashboard enthält die folgenden Berichte:
Unter Häufigste Sicherheitslücken und Exploits werden Sicherheitslücken nach Ausnutzbarkeit und Auswirkungen gruppiert.
Folgende Werte sind für Exploitability möglich:
WIDE: Ein Exploit für die Sicherheitslücke wurde gemeldet oder es wurde bestätigt, dass er weit verbreitet ist.CONFIRMED: Es wurden nur wenige gemeldete oder bestätigte Ausnutzungsaktivitäten für die Sicherheitslücke gemeldet.AVAILABLE: Ein Exploit ist für diese Sicherheitslücke öffentlich verfügbar.ANTICIPATED: Für die Sicherheitslücke liegen keine bekannten Ausnutzungsaktivitäten vor, es liegt jedoch ein ein hohes Angriffspotenzial.NO_KNOWN: Die Sicherheitslücke wurde nicht ausgenutzt.
Dies sind die ExploitationActivity -Werte, die von der
organizations.sources.findingsAPI für eine CVE zurückgegeben wurden.Die möglichen Werte für Auswirkung sind ein Maß für die Verfügbarkeit eines potenziellen Exploits:
LOW: Ein Exploit hätte nur geringe bis gar keine Auswirkungen auf die Sicherheit.MEDIUM: Ein Exploit würde es Angreifern ermöglichen, Aktivitäten auszuführen oder eine direkte Auswirkung zu haben, erfordert aber zusätzliche Schritte.HIGH: Ein Exploit würde es Angreifern ermöglichen, erhebliche direkte Auswirkungen zu erzielen, ohne größere Risikominderungsfaktoren überwinden zu müssen.CRITICAL: Ein Exploit würde die Sicherheit betroffener Systeme grundlegend beeinträchtigen. Sie ermöglichen es Angreifern, mit minimalem Aufwand und minimalen Aufwand wichtige Angriffe auszuführen. gibt an, dass es keine Minderungsfaktoren gibt, die bewältigt werden müssen.
Dies sind die RiskRating -Werte, die von der
organizations.sources.findingsAPI für eine CVE zurückgegeben wurden.Klicken Sie auf eine Zelle in der Heatmap, um die zugehörigen Sicherheitslücken gefiltert nach ausgewählten Kriterien entsprechen.
In der Spalte Ressourcen sehen Sie die Anzahl der eindeutigen Ressourcen-IDs, die erkannt wurden. In der Spalte Ergebnisse sehen Sie die Gesamtzahl der Ergebnisse, die in allen Ressourcen gefunden wurden. Jede Ressource kann mehrere Ergebnisse enthalten. Klicken Sie auf den Wert in der Spalte Ergebnisse, um detaillierte Informationen zu diesen Ergebnissen aufzurufen.
Unter Häufigste kritische ausnutzbare Sicherheitslücken werden CVE-Sicherheitslücken und die Anzahl der eindeutigen Ressourcen-IDs angezeigt, unter denen die Sicherheitslücke erkannt wurde.
Maximieren Sie die Zeile für eine einzelne CVE-ID, um die Liste der zugehörigen Ergebnisse und die Anzahl der Ressourcen, in denen das Ergebnis gefunden wurde. Bei einer einzelnen Ressource können mehrere Probleme festgestellt werden. Die Summe aller Ressourcenzahlen für die zugehörigen Ergebnisse kann höher sein als die Anzahl der eindeutigen Ressourcen-IDs für die CVE-ID.
Auf der Seite Neueste Compute-Sicherheitslücken mit bekannten Exploits finden Sie CVE-Sicherheitslücken im Zusammenhang mit Software auf Compute-Instanzen mit bekannten Exploits. Ergebnisse in dieser Bericht haben die Kategorie
OS_VULNERABILITYundSOFTWARE_VULNERABILITY. Tabelle enthält die folgenden Informationen:Exploit-Veröffentlichungsdatum und Erstes Verfügbarkeitsdatum: das Datum, an dem der Exploit erstellt wurde und wann sie zum ersten Mal verfügbar war oder bestätigt wurde.
Sichtbare Ressourcen: die Anzahl der identifizierten Ressourcen, die ebenfalls konfiguriert sind in der Konfiguration der Ressourcenwerte von Risk Engine. Die Anzahl umfasst alle mit einer beliebigen Ressourcenwertkonfiguration: hoch, mittel oder niedrig.
Angriffsbewertung: dieses Feld wird ausgefüllt, wenn Risk Engine einen Wert berechnet hat. Klicken Sie auf den Wert, um Details zur Bewertung aufzurufen.
Virtuelle Maschine: die VM-Instanz-ID. Klicken Sie auf den Wert, um Details zur Ressource in der jeweiligen Cloud-Umgebung aufzurufen.
In freier Wildbahn beobachtet und Ausnutzbarkeit: Gibt an, ob ein Exploit die weltweit beobachtet wurden, und ein Maß für die Ausnutzung.