Mit unangemessenen Kombinationen umgehen

Diese Seite enthält Anleitungen zum Erkennen und Reagieren auf toxische Inhalte anhand von Fällen und Ergebnissen.

Hinweise

Damit unangemessene Kombinationen akkurat erkannt werden können, dass die Software der Security Operations-Komponente auf dem neuesten Stand ist, genau bezeichnet sind und über die richtigen IAM-Berechtigungen

Erforderliche Berechtigungen einholen

Um mit unangemessenen Kombinationen und Fällen sowohl im Für die Google Cloud Console und die Security Operations Console benötigen Sie Berechtigungen die Sie in beiden Konsolen erhalten.

IAM-Rollen der Google Cloud Console

Prüfen Sie, ob Sie die folgenden Rollen für die Organisation haben:

  • Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
  • Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
  • Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
  • Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
  • Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

Auf Rollen prüfen

  1. Öffnen Sie in der Google Cloud Console die Seite IAM.

    IAM aufrufen
  2. Wählen Sie die Organisation aus.

  3. Suchen Sie in der Spalte Hauptkonto die Zeile mit Ihrer E-Mail-Adresse.

    Ist Ihre E-Mail-Adresse nicht in dieser Spalte enthalten, haben Sie keine Rollen.

  4. Prüfen Sie in der Spalte Rolle der Zeile mit Ihrer E-Mail-Adresse, ob die Liste der Rollen die erforderlichen Rollen enthält.

Rollen zuweisen

  1. Öffnen Sie in der Google Cloud Console die Seite IAM.

    IAM aufrufen
  2. Wählen Sie die Organisation aus.
  3. Klicken Sie auf Zugriff erlauben.
  4. Geben Sie in das Feld Neue Hauptkonten Ihre E-Mail-Adresse ein.
  5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
  6. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
  7. Klicken Sie auf Speichern.

Weitere Informationen zu Security Command Center-Rollen und -Berechtigungen finden Sie unter IAM für Aktivierungen auf Organisationsebene

Rollen der Security Operations-Konsole

Um mit unangemessenen Kombinationen und Fällen in der Security Operations Console verwenden, benötigen Sie eine der folgenden Rollen:

  • Chronicle SOAR Vulnerability Manager
  • Chronicle SOAR Threat Manager
  • Chronicle SOAR-Administrator

Informationen zum Zuweisen der Rolle an einen Nutzer finden Sie unter Nutzer mit IAM zuordnen und autorisieren

Aktuellen Anwendungsfall für Security Operations installieren

Die Funktion zur Verwendung schädlicher Kombinationen erfordert die Veröffentlichung am 25. Juni 2024 oder später. des Anwendungsfalls SCC Enterprise – Cloud Orchestration and Remediation.

Informationen zum Installieren des Anwendungsfalls finden Sie unter Anwendungsfall „Enterprise“ aktualisieren, Juni 2024

Geben Sie an, welche Ihrer Ressourcen umsatzstark sind

Sie müssen die Erkennung unangemessener Kombinationen nicht aktivieren. aber Sie müssen angeben, welche Cloud-Ressourcen Hochwertige Ressourcen.

Solange Sie nicht angeben, welche Ihrer Ressourcen Risk Engine erkennt toxische Kombinationen, die eine Standardsatz hochwertiger Ressourcen.

Ergebnisse zu unangemessenen Kombinationen, die auf Grundlage des Standardwerts generiert wurden ist es unwahrscheinlich, dass der Satz hochwertiger Ressourcen die Sicherheitsprioritäten der Nutzer.

Um anzugeben, welche Ihrer Ressourcen hochwertige Ressourcen sind, erstellen Sie Ressourcenwertkonfigurationen in der Google Cloud Console. Anweisungen finden Sie unter Satz hochwertiger Ressourcen definieren und verwalten

Fälle von unangemessenen Kombinationen ansehen

Sie erhalten eine Übersicht über alle Fälle von unangemessenen Äußerungen sowie die Details zu den einzelnen Fällen in der Security Operations-Konsole.

Übersicht über alle Fälle von unangemessenen Kombinationen ansehen

Auf der Seite Statusübersicht haben Sie mit Widgets einen schnellen Überblick Übersicht über die Fälle von schädlichen Kombinationen in Ihrer Cloud-Umgebung. Sie können finden Sie die folgenden Informationen:

  • Offene Fälle zu schädlichen Kombinationen: Die Anzahl der offenen toxischen Kombinationen. in jeder Prioritätsstufe. Klicken Sie auf die Leiste für eine bestimmte Priorität, um sie zu öffnen. eine Listenansicht der Fälle.
  • Häufigste Fälle von unangemessenen Kombinationen: Die häufigsten Fälle von schädlichen Kombinationen: nach Angriffsbewertung. Klicken Sie auf die Fall-ID, um eine Anfrage zu öffnen.
  • Fälle unangemessener Kombinationen, die das SLA überschreiten: Fälle von unangemessenen Kombinationen nach der im Service Level Agreement (SLA) verbleibenden Zeit sortiert. Klicken Sie auf die Fall-ID, um eine Anfrage zu öffnen.

Sie finden die Seite Statusübersicht unter der folgenden URL:

https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/overview

Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihren kundenspezifische Kennung.

Details zu einem Fall mit giftigen Kombinationen ansehen

Sie können die Falldetails in jeder Listenansicht mit Fällen von unangemessenen Kombinationen öffnen indem Sie auf die ID der Anfrage klicken.

  1. Gehen Sie in der Security Operations-Konsole zu Fälle.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihren kundenspezifische Kennung.

    Die Seite Fälle wird geöffnet und die Ansicht Side-by-Side ist ausgewählt.

  2. Klicken Sie oben in der Liste der Fälle auf das Filtersymbol . um den Filterbereich zu öffnen. Der Bereich Filter für die Anfragewarteschlange wird geöffnet.

  3. Geben Sie im Filter für die Fallwarteschlange Folgendes an:

    1. Geben Sie im Feld Zeitraum den Zeitraum an, in dem der Fall ist aktiv.
    2. Setzen Sie Logischer Operator auf AND.
    3. Wählen Sie für den ersten Wert unter Logischer Operator die Option Tags aus Menü.
    4. Wählen Sie als zweiten Wert Unerwünschte Kombinationen aus.
    5. Geben Sie nach Bedarf weitere Wertepaare an, um den speziellen Fall zu finden, den Sie die Sie sich ansehen müssen.
    6. Klicken Sie auf Anwenden. Die Fälle in der Fallwarteschlange werden so aktualisiert, dass nur noch die Fälle, die dem angegebenen Filter entsprechen.

  4. Wählen Sie aus der Fallwarteschlange den Fall aus, den Sie sich ansehen möchten. Die Fallinformationen wird angezeigt, einschließlich der folgenden Registerkartenansichten:

    • Der Tab Fallübersicht () enthält Informationen zu den schädlichen Inhalten. Kombinationsfall, einschließlich eines vereinfachten Angriffspfaddiagramms, einer Liste ähnliche Ergebnisse, eine Liste ähnlicher Fälle, Benachrichtigungen, ein Diagramm zu Entitäten, und vieles mehr.
    • Der Tab Case Wall () enthält eine Übersicht über Aktionen, Statusänderungen, Aufgaben Kommentare und mehr.
    • Der Tab Benachrichtigungen finden enthält genauere Informationen. zur unangemessenen Kombination, einschließlich der folgenden: <ph type="x-smartling-placeholder">
        </ph>
      • Unter Übersicht finden Sie eine Beschreibung der giftigen Kombination und die nächsten Schritte, um die giftige Kombination zu beseitigen.
      • Unter Ereignisse eine Liste der gefundenen Properties.
      • Eine Liste der zugehörigen Playbooks unter Playbooks.

Fälle von giftigen Kombinationen priorisieren

Um einen Fall mit unangemessenen Kombinationen im Vergleich zu anderen Status und ihre Angriffsrisikobewertungen vergleichen.

Generell sollte die Behebung eines Falles mit giftigen Kombinationen gegenüber den Behebung von Fällen für andere Status-Ergebniskategorien, es sei denn, der Angriff Kontaktwert für den Fall für eine andere Ergebniskategorie ist erheblich höher als der Wert der toxischen Kombination.

Fälle von unangemessenen Kombinationen sollten eine höhere Priorität erhalten, da sie als unangemessen eingestuft werden. Kombinationen stellen einen vollständigen Pfad dar, der im Fall eines entschlossenen Angreifers Zugriff auf Ihre Cloud-Umgebung verschafft, könnte der Angreifer vernünftigerweise aus dem öffentlichen Internet auf eine oder mehrere Ihrer hochwertigen Ressourcen zu verfolgen.

In der Security Operations-Konsole werden die schädlichen Kombinationsfälle mit den höchsten Angriffsrisikowerten in der Widget Die häufigsten Fälle von schädlichen Kombinationen auf der Seite Übersicht unter Status:

Du kannst alle Fälle von unangemessenen Kombinationen nach Angriffsrisiko sortieren auf der Seite Fälle bewerten. Weitere Informationen zum Anzeigen das Filtern und Sortieren von Fällen mit unangemessenen Kombinationen, siehe Fälle schädlicher Kombinationen ansehen

Eine toxische Kombination beseitigen

Eine Anleitung zur Behebung des Ergebnisses einer unangemessenen Kombination finden Sie in der ein Fall, der für das Ergebnis in der Security Operations-Konsole geöffnet wird, oder im Ergebnisdatensatz selbst.

Anleitung zur Abhilfe für einen Fall ansehen

Um Abhilfemaßnahmen für einen Fall mit schädlichen Kombinationen aufzurufen, folge diese Schritte:

  1. Rufen Sie in der Security Operations-Konsole die Seite Fälle auf.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihren kundenspezifische Kennung.

  2. Öffnen Sie das Case für die giftige Kombination, die Sie beheben müssen.

  3. Klicken Sie entweder auf den Tab Fall oder Benachrichtigung.

  4. Lesen Sie den Abschnitt Nächste Schritte in einem der folgenden Widgets:

    • Wenn Sie auf den Tab Fall geklickt haben, dann das Widget Fallzusammenfassung.
    • Wenn Sie auf den Tab Warnung geklickt haben, das Widget Zusammenfassung der Ergebnisse.

    Scrollen Sie gegebenenfalls an der Ergebnisbeschreibung vorbei, um die Weitere Informationen

Abhilfehinweise für Ergebnis einer toxischen Kombination ansehen

So rufen Sie die Anleitung zur Abhilfe in einem Ergebniseintrag auf:

  1. Gehen Sie in der Security Operations-Konsole zu Status > Ergebnisse.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

    Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihren kundenspezifische Kennung.

  2. Suchen Sie nach dem Ergebnis der unangemessenen Kombination, indem Sie entweder Schnellfilter auswählen oder die Ergebnisabfrage bearbeiten.

  3. Klicken Sie auf den Namen der Ergebniskategorie, um die Ergebnisdetails zu öffnen. Die Erkenntnis wird die Detailseite geöffnet.

  4. Auf der Seite mit den Ergebnisdetails im Abschnitt Nächste Schritte des Zusammenfassung finden Sie die Anleitung zur Abhilfe.

Die Ergebnisse in einem Fall mit toxischer Kombination prüfen

In der Regel umfasst eine toxische Kombination ein oder mehrere Ergebnisse einer Software. Sicherheitslücken oder Fehlkonfigurationen enthalten. Für jedes dieser Ergebnisse Security Command Center öffnet automatisch einen separaten Fall und führt den zugehörigen Playbooks. Sie können sich die Fälle für diese Ergebnisse ansehen, und die Ticketinhaber bitten, ihre Behebung zu priorisieren die toxische Kombination.

So überprüfen Sie die Ergebnisse in einer unangemessenen Kombination:

  1. Gehen Sie in der Security Operations-Konsole zu Fälle.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihren kundenspezifische Kennung.

  2. Suche und öffne die Schadstoffkombination.

  3. Wählen Sie den Tab mit der Fallübersicht () aus.

  4. Sehen Sie sich im Abschnitt Ergebnisse des Tabs mit der Fallübersicht die aufgelisteten Ergebnisse.

  5. Klicken Sie auf ein Ergebnis, um eine Zusammenfassung die Fall-ID, die Angriffsrisikobewertung und eine Ticket-ID für für das Ergebnis.

    • Klicken Sie auf die Fall-ID des Ergebnisses, um den Fall zu öffnen und seinen Status anzusehen. zugewiesener Inhaber und andere Informationen zur Anfrage.
    • Klicken Sie auf die Angriffsrisikobewertung, um den Angriffspfad für das Ergebnis zu überprüfen.
    • Klicken Sie auf die Ticket-ID, um das Ticket für das Ergebnis zu öffnen.

Fall mit unangemessenen Kombinationen schließen

Sie können einen Fall für eine toxische Kombination schließen, indem Sie entweder die zugrunde liegende toxische Kombination oder durch Stummschalten des Ergebnisses in der Google Cloud Console.

Einen Fall abschließen, indem eine toxische Kombination beseitigt wird

Nachdem Sie mindestens eines der Sicherheitsprobleme behoben haben, toxische Kombination, sodass sie keine hochwertigen Ressourcen mehr freisetzt, Risk Engine schließt den Fall mit unangemessenen Kombinationen automatisch während der nächsten Angriffspfadsimulation, die alle sechs Stunden ausgeführt wird, ungefähr.

Folgen Sie der Anleitung, um eine giftige Kombination zu beheben. im Fall einer unangemessenen Kombination unter Nächste Schritte angegeben.

Weitere Informationen

Fall schließen, indem das Ergebnis ausgeblendet wird

Ist das Risiko, das die giftige Kombination von Ihnen birgt, für Ihr Unternehmen akzeptabel oder die giftige Kombination nicht beseitigen können, den Fall abschließen kann, indem er das Ergebnis der unangemessenen Kombination stummschaltet.

So unterdrücken Sie das Ergebnis einer unangemessenen Kombination:

  1. Gehen Sie in der Security Operations-Konsole zu Fälle.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihren kundenspezifische Kennung.

  2. Suche und öffne die Schadstoffkombination.

  3. Wählen Sie den Tab „Ergebnisbenachrichtigung“ aus.

  4. Klicken Sie rechts unten im Widget Zusammenfassung der Ergebnisse auf Entdecken: Das Ergebnis der unangemessenen Kombination wird geöffnet.

  5. Verwenden Sie die Ausblendungsoptionen oben rechts im Ergebnis. Detailseite, um das Ergebnis auszublenden.

Sie können Ergebnisse auch in der Google Cloud Console ausblenden. Weitere Informationen Weitere Informationen finden Sie unter Einzelne Ergebnisse ausblenden.

Geschlossene Fälle von giftigen Kombinationen ansehen

Wenn ein Fall in der Security Operations-Konsole geschlossen wird, wird es von der Seite Fälle entfernt.

So rufen Sie einen geschlossenen Fall auf:

  1. Rufen Sie in der Security Operations-Konsole die Seite SOAR-Suche auf.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/sp-search

    Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihren kundenspezifische Kennung.

  2. Wählen Sie links auf der Seite unter Status die Option Geschlossen aus.

  3. Geben Sie unter Tags die Option Unangemessene Kombination an.

  4. Klicken Sie auf Anwenden. Geschlossene toxische Kombinationen werden in in den Suchergebnissen.

Ergebnisse zu schädlichen Kombinationen ansehen

Ein Ergebnis einer unangemessenen Kombination ist der erste Datensatz, Risk Engine gibt Probleme, wenn es eine toxische Kombination erkennt in Ihrer Cloud-Umgebung. Security Command Center öffnet automatisch einen Fall für jede toxische Kombination, die von der Risk-Engine herausgegeben wird.

Die Ergebnisse zu unangemessenen Kombinationen können Sie direkt in der in der Google Cloud Console entweder auf der Seite Risikoübersicht oder in der Seite Ergebnisse:

Auf der Seite Risikoübersicht werden die Ergebnisse der unangemessenen Kombinationen, die werden die höchsten Angriffsrisikobewertungen angezeigt. Jedes Ergebnis wird mit einem Link zum entsprechenden Fall in der Security Operations Console.

So rufen Sie die Ergebnisse zu unangemessenen Kombinationen auf:

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie bei Bedarf Ihre Google Cloud-Organisation aus. Projektauswahl

  3. Gehen Sie im Bereich Schnellfilter unter Klasse finden so vor: wählen Sie Unangemessene Kombination aus. Der Bereich Ergebnisse der Ergebnisabfrage aktualisiert, um nur die Ergebnisse zu unangemessenen Kombinationen anzuzeigen.

  4. Um die Ergebnisse der unangemessenen Kombination zu priorisieren, sortieren Sie die Ergebnisse absteigend nach Bewertung sortieren, indem Sie auf Wert der unangemessenen Kombinationen klicken. Spaltenüberschrift.