管理危险组合

本页介绍了如何使用案例和发现结果来识别和响应有毒组合。

准备工作

为确保准确检测有害组合,请确保 Security Operations 组件软件是最新版本,高价值资源集已准确指定,并且您拥有适当的 IAM 权限。

获取所需权限

如需在 Google Cloud 控制台和安全运营控制台中处理有毒组合发现结果和支持请求,您需要在两个控制台中获得相应权限。

Google Cloud 控制台 IAM 角色

Make sure that you have the following role or roles on the organization:

  • Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
  • Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
  • Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
  • Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
  • Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.
  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    进入 IAM
  2. 选择组织。
  3. 点击 授予访问权限
  4. 新的主账号字段中,输入您的用户标识符。 这通常是 Google 账号的电子邮件地址。

  5. 选择角色列表中,选择一个角色。
  6. 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
  7. 点击 Save(保存)。
  8. 如需详细了解 Security Command Center 角色和权限,请参阅适用于组织级激活的 IAM

    安全运维控制台角色

    如需在安全运营控制台中处理有害组合问题和支持请求,您需要拥有以下任一角色:

    • Chronicle SOAR Vulnerability Manager
    • Chronicle SOAR Threat Manager
    • Chronicle SOAR Admin

    如需了解如何向用户授予该角色,请参阅使用 IAM 映射和授权用户

    安装最新的安全运营用例

    有毒组合功能需要 2024 年 6 月 25 日或之后发布的 SCC Enterprise - Cloud Orchestration and Remediation 用例。

    如需了解如何安装此用例,请参阅 2024 年 6 月更新企业用例

    指定高价值资源集

    您无需启用有毒组合检测功能,该功能始终处于开启状态。风险引擎会自动检测会暴露默认高价值资源集的有害组合。

    基于默认的高价值资源集生成的有害组合发现结果不太可能准确反映您的安全优先级。因此,我们建议您在高价值资源集中指定资源。

    如需指定哪些资源属于高价值资源集,您可以在 Google Cloud 控制台中创建资源值配置。如需了解相关说明,请参阅定义和管理高价值资源集

    查看危险组合案例

    您可以在安全运营控制台中查看所有危险组合案例的概览,以及每个案例的详细信息。

    查看所有危险组合支持请求的概览

    状态概览页面上,您可以通过多个微件快速了解 Google Cloud 和 Amazon Web Services (AWS)(预览版)云环境中的有害组合情况。您可以找到以下信息:

    • 所有未解决的安全状况案例未解决的危险组合案例:如需查看未解决的危险组合案例,请从选择器中选择危险组合。该微件会显示每个优先级级别的未解决危险组合案例数。点击给定优先级对应的条状标签,即可打开支持请求的列表视图。

    • 危险组合案例的 TTR 和趋势:特定时间范围内未解决和已解决的危险组合案例的趋势。将指针悬停在趋势线上,即可查看时间范围内给定数据点的未结和已结支持请求的具体数量。此微件还会提供修复时间 (TTR) 值,该值表示根据给定时间范围解决有毒组合案例的平均时间。

    • 热门恶意组合支持请求:按攻击暴露得分排序的热门恶意组合支持请求。点击支持请求 ID 以打开支持请求。

    • 超出服务等级协议 (SLA) 范围的恶意组合支持请求:按服务等级协议 (SLA) 剩余时间对恶意组合支持请求进行排序。点击支持请求 ID 即可打开支持请求。

    您可以访问以下网址,找到姿势概览页面:

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/overview
    

    CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

    查看危险组合案例的详细信息

    在危险组合案例的任何列表视图中,您都可以点击相应案例的 ID 来打开案例详情。

    1. 在安全运营控制台中,前往支持请求

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
      

      CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

      系统随即会打开支持请求页面,其中并排视图处于选中状态。

    2. 在案例列表中,点击 打开过滤条件面板 Cases filter(案例过滤条件)以打开过滤条件面板。系统随即会打开支持请求队列过滤条件面板。

    3. 支持请求队列过滤条件中,指定以下内容:

      1. 时间范围字段中,指定支持请求的有效期。
      2. 逻辑运算符设为
      3. 对于逻辑运算符部分中的第一个值,从菜单中选择代码
      4. 对于第二个值,请选择有毒组合
      5. 根据需要指定其他值对,以查找您需要查看的特定情况。
      6. 点击应用。支持请求队列中的支持请求会更新,仅显示与您指定的过滤条件匹配的支持请求。
    4. 从案例队列中,选择您需要查看的案例。系统会显示支持请求信息,包括以下标签页视图:

      • 支持请求概览标签页 (支持请求):提供有关恶意组合支持请求的信息,包括简化的攻击路径图、相关发现结果列表、受影响的资源列表、类似支持请求列表、提醒、实体图表等。
      • 支持请求墙标签页 (墙):包含操作、状态更改、任务、评论等记录。
      • 相关提醒标签页:提供有关相关个别发现结果的更详细信息。信息会显示在以下标签页中:

        • 概览:对具体发现结果的说明,以及您可以采取的后续措施来进行修复。
        • 事件:发现媒体资源的列表。
        • Playbook:关联的 Playbook 列表。

    优先处理危险组合支持请求

    默认情况下,危险组合会被归类为严重级别的发现结果和重要优先级的支持请求。因此,应优先解决此类问题,而不是其他类别的姿势问题。有害组合表示一条完整的路径,如果有决心攻击的攻击者获得了对您云环境的访问权限,则可以合理地沿着此路径从公共互联网到达您高价值资源集中的一个或多个资源。

    比较 Google Cloud 控制台的发现页面上的有毒组合得分,以帮助您确定有毒组合问题的优先级。在安全运营控制台中,您可以在状况概览页面上的热门恶意组合支持请求 widget 中查看攻击暴露分数最高的恶意组合支持请求。

    您可以在案例页面上按攻击风险得分对所有危险组合案例进行排序。如需详细了解如何查看、过滤和排序危险组合案例,请参阅查看危险组合案例

    修复危险组合

    您可以在安全运营控制台中为相应发现结果打开的支持请求中,或在相应发现结果记录中,找到有关如何修复有毒组合发现结果的指导。

    查看支持请求中的补救指南

    如需查看有毒组合案例中的修复指南,请按以下步骤操作:

    1. 前往安全运营控制台中的支持请求页面。

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
      

      CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

    2. 打开您需要进行修复的危险组合对应的支持请求。

    3. 点击支持请求标签页或提醒标签页。

    4. 查看以下某个微件中的后续步骤部分:

      • 如果您点击了支持请求标签页,则会看到支持请求摘要 widget。
      • 如果您点击了提醒标签页,则会看到发现结果摘要 widget。

      如有必要,请滚动到发现结果说明下方,查看后续步骤

    在危险组合发现结果中查看修复指南

    如需在发现记录中查看修复指南,请按以下步骤操作:

    1. 在安全运营控制台中,依次选择状况 > 发现

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
      

      CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

    2. 选择快速过滤条件或修改发现结果查询,找到相应的有害组合发现结果。

    3. 点击发现结果类别名称以打开发现结果详情。系统随即会打开发现结果详情页面。

    4. 在发现结果详情页面的摘要标签页的后续步骤部分中,查看修复指南。

    查看危险组合支持请求中的发现结果

    通常,恶意组合包含一个或多个软件漏洞或错误配置发现结果。对于每项发现结果,Security Command Center 都会自动打开一个单独的支持请求并运行关联的 Playbook。您可以查看存在这些问题的支持请求,并要求工单所有者优先解决这些问题,以解决恶意组合问题。

    如需查看有毒组合中的发现结果,请按以下步骤操作:

    1. 在安全运营控制台中,前往支持请求

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
      

      CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

    2. 找到并打开危险组合支持请求。

    3. 选择“支持请求概览”标签页 (支持请求):

    4. 在“Case Overview”(案例概览)标签页的 Findings(发现结果)部分,查看列出的发现结果。

    5. 点击某个发现结果可显示该发现结果的摘要信息,包括支持请求 ID、攻击风险得分以及该发现结果的任何工单 ID。

      • 点击相应问题的支持请求 ID 可打开支持请求,并查看其状态、指定的所有者和其他支持请求信息。
      • 点击攻击风险得分可查看相应发现结果的攻击路径。
      • 点击工单 ID 以打开相应发现结果的工单。

    关闭危险组合支持请求

    您可以通过以下方式关闭有毒组合案例:修复潜在的有毒组合,或在 Google Cloud 控制台中关闭有毒组合发现结果。

    通过修复有毒组合来关闭支持请求

    在您修复构成有害组合的一个或多个安全问题后,使其不再暴露高价值资源集中的任何资源,风险引擎会在下一次攻击路径模拟(大约每 6 小时运行一次)期间自动关闭有害组合案例。

    如需解决有害组合问题,请按照后续措施部分中针对有害组合案例提供的指导操作。

    如需了解详情,请参阅如何修复有毒组合

    通过忽略发现结果来关闭支持请求

    如果您的企业可以接受由恶意组合带来的风险,或者您无法修复恶意组合,则可以通过静音恶意组合问题来关闭支持请求。

    如需忽略有毒组合发现结果,请按以下步骤操作:

    1. 在安全运营控制台中,前往支持请求

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
      

      CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

    2. 找到并打开危险组合支持请求。

    3. 点击相关的提醒标签页。

    4. 发现结果摘要 widget 中,点击在 SCC 中探索发现结果。系统随即会打开危险组合发现结果。

    5. 使用发现结果详情页面上的忽略选项忽略发现结果。

    您还可以在 Google Cloud 控制台中静音发现结果。如需了解详情,请参阅忽略个别发现

    查看已关闭的危险组合支持请求

    当 Security Operations 控制台中的支持请求关闭后,Security Command Center 会将其从支持请求页面中移除。

    如需查看已关闭的有毒组合情况,请按以下步骤操作:

    1. 在 Security Operations 控制台中,前往 SOAR Search 页面。

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/sp-search
      

      CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

    2. 展开状态部分,然后选择已结

    3. 展开标记部分,然后选择有毒组合

    4. 点击应用。搜索结果中会显示所有已关闭的危险组合案例。

    查看危险组合发现结果

    有毒组合发现结果是风险引擎在云环境中检测到有毒组合时发出的初始记录。Security Command Center 会针对风险引擎发出的每个有毒组合发现结果自动打开一个支持请求。

    您可以直接在 Google Cloud 控制台的风险概览页面或发现结果页面上查看有毒组合发现结果。

    风险概览页面会显示攻击风险得分最高的危险组合发现结果。安全运营控制台中会列出每个发现结果,并附上指向相应支持请求的链接。

    如需查看有毒组合发现结果,请按以下步骤操作:

    1. 在 Google Cloud 控制台中,转到 Security Command Center 发现结果页面。

      前往“发现结果”页面

    2. 如有必要,请选择您的 Google Cloud 组织。

    3. 快速过滤条件面板的发现结果类部分中,选择有毒组合发现结果的查询结果面板会更新,仅显示有毒组合发现结果。

    4. 如需确定危险组合发现结果的优先级,请点击危险组合得分列标题,按得分从高到低对发现结果进行排序。