管理危险组合

本页介绍了如何识别和应对恶意评论 来对模型进行组合。

准备工作

为了确保对恶意组合的检测准确无误,请确保 安全运维组件软件是最新版本, 已准确指定各个角色集,并且您拥有适当的 IAM 权限。

获取所需的权限

如需在 Google Cloud 控制台和安全运营控制台中处理有害组合发现结果和支持请求,您需要在两个控制台中获得相应权限。

Google Cloud 控制台 IAM 角色

Make sure that you have the following role or roles on the organization:

  • Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
  • Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
  • Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
  • Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
  • Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    前往 IAM
  2. 选择组织。
  3. 点击 授予访问权限

  4. 新的主账号字段中,输入您的用户标识符。 这通常是 Google 账号的电子邮件地址。

  5. 选择角色列表中,选择一个角色。
  6. 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
  7. 点击保存

    8. 如需详细了解 Security Command Center 角色和权限,请参阅适用于组织级激活的 IAM

    安全运维控制台角色

    如需在安全运营控制台中处理有害组合问题和支持请求,您需要拥有以下任一角色:

    • Chronicle SOAR 漏洞管理器
    • Chronicle SOAR Threat Manager
    • Chronicle SOAR Admin

    如需了解如何向用户授予该角色,请参阅使用 IAM 映射和授权用户

    安装最新的安全运维用例

    必须为 2024 年 6 月 25 日或更新的版本使用恶意组合功能 SCC Enterprise - 云编排和修复用例中介绍。

    如需了解如何安装用例,请参阅 更新 Enterprise 用例,2024 年 6 月

    指定高价值资源集

    您无需启用有毒组合检测功能,该功能始终处于开启状态。Risk Engine 会自动检测导致 默认高价值资源集。

    基于默认的高价值资源集生成的有害组合发现结果不太可能准确反映您的安全优先级。因此,我们建议您在高价值资源集中指定资源。

    如需指定哪些资源属于高价值资源集,您可以在 Google Cloud 控制台中创建资源值配置。有关说明,请参阅 定义和管理高价值资源集

    查看恶意组合案例

    您可以查看所有恶意组合案例的概述,并查看 Security Operations 控制台中每个支持请求的详细信息。

    查看所有危险组合支持请求的概览

    状况概览页面上,您可以通过多个微件快速了解 Google Cloud 和 Amazon Web Services (AWS)(预览版)云环境中的有害组合情况。您可以找到以下信息:

    • All Open Posture CasesOpen Toxic Combination Cases:查看未解决的案例 恶意组合用例,请从选择器中选择恶意组合。通过 微件显示每个优先级下的未解决恶意组合案例数量 。点击给定优先级对应的条状标签,即可打开支持请求的列表视图。

    • 恶意组合案例 TTR 和趋势:未结和已完结的趋势 特定时间范围内的恶意组合案例数。将指针悬停在趋势线上,即可查看时间范围内给定数据点的未结和已结支持请求的具体数量。这个微件还提供了 (TTR) 值,表示解决恶意评论所需的平均时间 组合大小写。

    • 热门恶意组合支持请求:按攻击暴露得分排序的热门恶意组合支持请求。点击支持请求 ID 以打开支持请求。

    • 超过 SLA 的恶意组合案例数:恶意组合案例数 按服务等级协议 (SLA) 的剩余时间排序。 点击支持请求 ID 以打开支持请求。

    您可以在以下网址找到 Posture 概览页面:

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/overview

    CUSTOMER_SUBDOMAIN 替换为您的 客户特定标识符。

    查看危险组合案例的详细信息

    在恶意组合支持请求的任何列表视图中,您可以打开支持请求详情 支持请求的 ID

    1. 在 Security Operations 控制台中,前往案例

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

      系统随即会打开支持请求页面,其中并排视图处于选中状态。

    2. 在支持请求列表的顶部,点击过滤条件图标 。 打开过滤条件面板。系统随即会打开案例队列过滤条件面板。

    3. 案例队列过滤条件中,指定以下内容:

      1. 时间范围字段中,指定支持请求的有效期。
      2. 逻辑运算符设置为 AND
      3. 对于逻辑运算符下的第一个值,从菜单中选择代码
      4. 对于第二个值,请选择有毒组合
      5. 根据需要指定其他值对,以查找您需要查看的特定支持请求。
      6. 点击应用。案例队列中的案例已更新为仅显示 符合您指定的过滤条件的案例。

    4. 从案例队列中,选择您需要查看的案例。支持请求信息 显示的视图,包括以下标签式视图:

      • Case Overview(案例概览)标签页 ():提供有关恶意评论的信息 包括简化攻击路径图、 相关发现结果、受影响的资源列表、类似案例列表 实体图表等。
      • 支持请求墙标签页 ():包含操作、状态更改、任务、评论等记录。
      • 相关提醒标签页:提供有关相关各项发现结果的更详细信息,包括:
        • 概览下,对具体发现结果的说明以及您可以采取的后续措施。
        • 事件下方显示发现结果属性列表。
        • Playbook 下方会列出关联的 Playbook。

    优先处理危险组合支持请求

    默认情况下,危险组合会被归类为严重级别的发现结果和重要优先级的支持请求。因此,应优先解决此类问题,而不是其他类别的姿势问题。有毒组合表示一条完整的路径,如果有决心攻击的攻击者获得了对您云环境的访问权限,则可以合理地沿着该路径从公共互联网到达您高价值资源集中的一个或多个资源。

    比较 Google Cloud 控制台中发现结果页面上的有毒组合得分,以便确定有毒组合问题的优先级。在安全运营控制台中,您可以在概览页面上的状况下方,通过风险最高的恶意组合案例 widget 查看攻击暴露得分最高的恶意组合案例。

    您可以按攻击风险对所有恶意组合案例进行排序 得分。如需详细了解如何查看、过滤和排序危险组合案例,请参阅查看危险组合案例

    修复有毒组合

    您可以在 Security Operations 控制台中为相应发现结果打开的支持请求中,或在相应发现结果记录中,找到有关如何修复有毒组合发现结果的指导。

    查看支持请求中的补救指南

    如需查看有毒组合案例中的补救指南,请按照 具体步骤:

    1. 转到 Security Operations 控制台中的案例页面。

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      CUSTOMER_SUBDOMAIN 替换为您的 客户特定标识符。

    2. 针对您需要修复的恶意组合创建支持请求。

    3. 点击案例标签或提醒标签。

    4. 查看以下某个微件中的后续步骤部分:

      • 如果您点击了案例标签页,则会看到案例摘要微件。
      • 如果您点击了提醒标签页,则会看到发现结果摘要 widget。

      如有必要,请滚动到发现结果说明部分,以查看 后续步骤

    查看有毒组合发现结果中的补救指南

    如需在发现记录中查看修复指南,请按以下步骤操作:

    1. 在 Security Operations 控制台中,转到 Posture >发现结果

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

      CUSTOMER_SUBDOMAIN 替换为您的 客户特定标识符。

    2. 选择快速过滤器可查找恶意组合结果 或修改发现结果查询。

    3. 点击发现结果类别名称以打开发现结果详情。发现 详细信息页面打开。

    4. 在发现结果详情页面的后续步骤部分中,具体方法为: 摘要标签页中,查看修复指南。

    查看有毒组合案例中的发现结果

    通常,恶意组合包含一个或多个软件漏洞或错误配置发现结果。对于每项发现结果,Security Command Center 都会自动打开一个单独的支持请求并运行关联的 Playbook。您可以查看存在这些问题的工单,并要求工单所有者优先解决这些问题,以解决恶意组合问题。

    如需查看有毒组合中的发现结果,请按以下步骤操作:

    1. 在安全运营控制台中,前往支持请求

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

    2. 找到并打开有毒组合案例。

    3. 选择支持请求“概览”标签页 ()。

    4. 在“Case Overview”(案例概览)标签页的 Findings(发现结果)部分,查看列出的发现结果。

    5. 点击发现结果,以显示有关发现结果的摘要信息。 包括支持请求 ID、攻击风险得分和 找到该发现结果。

      • 点击相应问题的支持请求 ID 可打开该支持请求,并查看其状态、指定的所有者和其他支持请求信息。
      • 点击攻击风险得分以查看发现结果的攻击路径。
      • 点击工单 ID 以打开发现结果的工单。

    了结恶意组合案例

    若要关闭有毒组合的支持请求,您可以采取 或将有毒组合的发现结果设为静音 Google Cloud 控制台中。

    通过修复有毒组合来关闭案例

    在您修复构成有害组合的一个或多个安全问题后,使其不再暴露高价值资源集中的任何资源,风险引擎会在下一次攻击路径模拟(大约每 6 小时运行一次)期间自动关闭有害组合案例。

    要修复有毒组合,请遵循指南 请参阅后续步骤下的恶意组合用例。

    如需了解详情,请参阅如何修复有毒组合

    通过忽略发现结果来关闭支持请求

    如果毒性组合造成的风险可接受 或者您无从下手解决这一有毒组合, 可以通过忽略有毒组合发现结果来关闭案例。

    如需忽略恶意组合发现结果,请按以下步骤操作:

    1. 在安全运营控制台中,前往支持请求

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

    2. 找到并打开危险组合支持请求。

    3. 选择发现结果提醒标签页。

    4. 发现结果摘要微件的右下角,点击 探索。系统随即会打开恶意组合发现结果。

    5. 使用发现结果右上角的忽略选项 以忽略发现结果。

    您还可以在 Google Cloud 控制台中忽略发现结果。有关 请参阅 忽略单个发现结果

    查看已关闭的危险组合支持请求

    当 Security Operations 控制台中的支持请求关闭后,Security Command Center 会将其从支持请求页面中移除。

    如需查看封闭的恶意组合案例,请按以下步骤操作:

    1. 在 Security Operations 控制台中,转到 SOAR 搜索页面。

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/sp-search

      CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

    2. 在页面左侧的状态下,指定已关闭

    3. 标记下,指定危险组合

    4. 点击应用。所有已关闭的危险组合支持请求都会显示在搜索结果中。

    查看恶意组合发现结果

    有毒组合发现结果是风险引擎在云环境中检测到有毒组合时发出的初始记录。Security Command Center 自动创建支持请求 找出 Risk Engine 问题的每个恶意组合。

    您可以直接在 Google Cloud 控制台的风险概览页面或发现结果页面上查看有毒组合发现结果。

    风险概览页面上,存在以下风险的恶意组合发现结果: 并显示最高的攻击风险得分。每个 每个发现结果都列在 Security Operations 控制台。

    如需查看有毒组合发现结果,请按以下步骤操作:

    1. 在 Google Cloud 控制台中,转到 Security Command Center 发现结果页面。

      转至“发现结果”

    2. 如有必要,请选择您的 Google Cloud 组织。

    3. 快速过滤条件面板的发现结果类部分中,选择有毒组合发现结果查询结果面板 更新以仅显示有毒组合的发现结果。

    4. 如需对有害组合发现结果进行优先排序,请将发现结果排序: 方法是点击恶意组合得分,按得分降序排列 列标题。