管理恶意组合

本页介绍了如何识别和应对恶意评论 进行组合。

准备工作

为确保准确检测有毒组合，请确保 安全操作组件软件为最新版本，您的高价值 并确保您已对相应资源进行适当的 IAM 权限。

获取所需的权限

处理两个平台上的有害组合发现结果和案例 您需要相应权限的 Google Cloud 控制台和 Security Operations 控制台 。

Google Cloud 控制台 IAM 角色

确保您拥有组织的以下一个或多个角色：

• Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
• Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
• Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
• Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
• Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
• Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

检查角色

1. 在 Google Cloud 控制台中，前往 IAM 页面。

   转到 IAM
2. 选择组织。

3. 在主账号列中，找到您的电子邮件地址所在的行。

   如果您的电子邮件地址不在此列，则表示您没有任何角色。

4. 在您的电子邮件地址所在的行对应的角色列中，检查角色列表是否包含所需的角色。

授予角色

1. 在 Google Cloud 控制台中，前往 IAM 页面。

   转到 IAM
2. 选择组织。
3. 点击 person_add 授予访问权限。
4. 在新的主账号字段中，输入您的电子邮件地址。
5. 在选择角色列表中，选择一个角色。
6. 如需授予其他角色，请点击 add 添加其他角色，然后添加其他各个角色。
7. 点击 Save（保存）。

如需详细了解 Security Command Center 角色和权限，请参阅 用于组织级激活的 IAM。

Security Operations 控制台角色

处理有毒组合发现结果和案例 Security Operations 控制台中，您需要以下任一角色：

• Chronicle SOAR 漏洞管理器
• Chronicle SOAR Threat Manager
• Chronicle SOAR 管理员

如需了解如何向用户授予角色，请参阅 使用 IAM 映射用户并向其授权。

安装最新的安全运维用例

必须为 2024 年 6 月 25 日或更新的版本使用恶意组合功能 SCC Enterprise - 云编排和修复用例中介绍。

如需了解如何安装用例，请参阅 更新 Enterprise 用例，2024 年 6 月。

指定您的哪些资源是高价值资源

您无需启用有毒组合的检测功能，该功能始终可用 但您需要指定要将哪些云资源 高价值资源。

您必须先指定哪些资源是高价值资源 Risk Engine 会检测导致 默认高价值资源集。

根据默认值生成的恶意组合发现结果 高价值资源集可能无法准确反映您的 安全优先级

要指定哪些资源是高价值资源，您可以创建 资源值 Google Cloud 控制台。 有关说明，请参阅 定义和管理高价值资源集。

查看恶意组合案例

您可以查看所有恶意组合案例的概述，并查看 Security Operations 控制台中每个支持请求的详细信息。

查看所有恶意组合案例概览

安全状况概览页面上有几个微件可让您快速查看 云环境中的恶意组合案例概览。您可以 找到以下信息：

• 未解决的恶意组合案例：未解决的恶意组合的数量 每个优先级的支持请求点击与指定优先级对应的栏即可打开 支持请求的列表视图
• 热门恶意组合案例：排名靠前的恶意组合案例名胜 攻击风险得分。点击支持请求 ID 以打开支持请求。
• 超过 SLA 的恶意组合案例数：恶意组合案例数 按服务等级协议 (SLA) 的剩余时间排序。 点击支持请求 ID 以打开支持请求。

您可以在以下网址找到 Posture 概览页面：

https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/overview

将 CUSTOMER_SUBDOMAIN 替换为您的 客户特定标识符。

查看恶意组合案例的详细信息

在恶意组合支持请求的任何列表视图中，您可以打开支持请求详情 支持请求的 ID

1. 在 Security Operations 控制台中，前往案例。

   https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
   

   将 CUSTOMER_SUBDOMAIN 替换为您的 客户特定标识符。

   系统随即会打开支持请求页面，其中并排视图处于选中状态。

2. 在支持请求列表顶部，点击过滤条件图标 。 打开过滤条件面板。系统会打开案例队列过滤条件面板。

3. 在案例队列过滤条件中，指定以下内容：

   1. 在 Time Frame（时间范围）字段中，指定出现这种情况的时间段 有效。
   2. 将逻辑运算符设置为 AND。
   3. 对于逻辑运算符下的第一个值，从以下位置选择标记： 菜单。
   4. 对于第二个值，请选择恶意组合。
   5. 根据需要指定其他值对，以查找
   6. 点击应用。案例队列中的案例已更新为仅显示 符合您指定的过滤条件的案例。

4. 从支持请求队列中，选择要查看的支持请求。支持请求信息 显示的视图，包括以下标签式视图：

   • Case Overview（案例概览）标签页 () 提供了恶意案例的相关信息 组合案例，包括简化攻击路径图、列表 相关发现结果列表、类似案例列表、警报、实体图表 等等。
   • 案例墙标签页 () 包含操作、状态更改、任务 评论等。
   • 查找提醒标签页会提供更详细的信息 包括以下内容：
     • 概览下方显示了恶意组合和 您可以采取哪些后续措施来修复该恶意组合。
     • 事件下方会显示发现结果属性列表。
     • Playbook 下方会列出关联的 playbook。

优先处理恶意组合案例

为了优先处理有毒组合情况，而不是 比较其攻击风险得分。

一般来说，应优先修复有毒组合，而不是 修复其他状况发现结果类别案例的情况，除非相应攻击 另一个发现结果类别的案例的曝光率得分显著 高于恶意组合案例的分数。

应将恶意组合案例放在优先地位，因为有毒 组合代表了一条完整路径，如果确定的攻击者 因此攻击者可以合理地 从公共互联网访问您的一项或多项高价值资源。

在 Security Operations 控制台中，您可以看到 具有最高攻击风险得分的组合案例 概览页面中的常见恶意组合案例微件 安全状况。

您可以按攻击风险对所有恶意组合案例进行排序 得分。如需详细了解如何查看 请参阅 查看不良组合案例。

修复有毒组合

如需有关如何修复有毒组合结果的指南，请参阅 在 Security Operations 控制台中针对发现结果打开的支持请求，或者 查找记录本身。

查看支持请求中的补救指南

如需查看有毒组合案例中的补救指南，请按照 具体步骤：

1. 转到 Security Operations 控制台中的案例页面。

   https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
   

   将 CUSTOMER_SUBDOMAIN 替换为您的 客户特定标识符。

2. 针对您需要修复的恶意组合创建支持请求。

3. 点击案例标签或提醒标签。

4. 查看以下某个微件中的后续步骤部分：

   • 如果您点击了案例标签页，则会看到案例摘要微件。
   • 如果您点击了 Alert 标签页，则会看到 Finding summary 微件。

   如有必要，请滚动到发现结果说明部分，以查看 后续步骤。

查看有毒组合发现结果中的补救指南

如需查看发现结果记录中的补救指南，请按以下步骤操作：

1. 在 Security Operations 控制台中，转到 Posture >发现结果。

   https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
   

   将 CUSTOMER_SUBDOMAIN 替换为您的 客户特定标识符。

2. 选择快速过滤器可查找恶意组合结果 或修改发现结果查询。

3. 点击发现结果类别名称，以打开发现结果详情。发现 详细信息页面打开。

4. 在发现结果详情页面的后续步骤部分中，具体方法为： 摘要标签页中，查看修复指南。

查看有毒组合案例中的发现结果

通常，恶意组合包括软件的一个或多个发现结果 出现漏洞或配置错误对于每项发现结果 Security Command Center 会自动创建一个单独的案例并运行 关联的 playbook。您可以查看这些发现结果的案例， 并要求工单所有者优先进行补救 这一点非常重要

如需以恶意组合查看发现结果，请按以下步骤操作：

1. 在 Security Operations 控制台中，前往案例。

   https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
   

   将 CUSTOMER_SUBDOMAIN 替换为您的 客户特定标识符。

2. 找到并打开有毒组合案例。

3. 选择支持请求“概览”标签页 ()。

4. 在支持请求概览标签页的发现结果部分，查看列出的 结果。

5. 点击发现结果，以显示有关发现结果的摘要信息。 包括支持请求 ID、攻击风险得分和 找到该发现结果。

   • 点击发现结果的支持请求 ID，即可打开相应支持请求并查看其状态。 分配的所有者和其他支持请求信息。
   • 点击攻击风险得分以查看发现结果的攻击路径。
   • 点击工单 ID 以打开发现结果的工单。

了结恶意组合案例

若要关闭有毒组合的支持请求，您可以采取 或将有毒组合的发现结果设为静音 Google Cloud 控制台中。

通过修复有毒组合来关闭案例

在您修复一个或多个构成 使其不再暴露任何高价值资源 Risk Engine 会自动关闭恶意组合案例 在下一次攻击路径模拟（每六小时运行一次）期间， 。

要修复有毒组合，请遵循指南 请参阅后续步骤下的恶意组合用例。

如需了解详情，请参阅如何修复恶意组合。

通过忽略发现结果关闭案例

如果毒性组合造成的风险可接受 或者您无从下手解决这一有毒组合， 可以通过忽略有毒组合发现结果来关闭案例。

如需忽略恶意组合发现结果，请按以下步骤操作：

1. 在 Security Operations 控制台中，前往案例。

   https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
   

   将 CUSTOMER_SUBDOMAIN 替换为您的 客户特定标识符。

2. 找到并打开有毒组合案例。

3. 选择发现结果提醒标签页。

4. 在发现结果摘要微件的右下角，点击 探索。系统随即会打开恶意组合发现结果。

5. 使用发现结果右上角的忽略选项 以忽略发现结果。

您还可以在 Google Cloud 控制台中忽略发现结果。有关 相关信息，请参阅忽略单个发现结果。

查看封闭的恶意组合案例

当 Security Operations 控制台中的支持请求关闭时，Security Command Center 将其从支持请求页面移除。

如需查看封闭的恶意组合案例，请按以下步骤操作：

1. 在 Security Operations 控制台中，转到 SOAR 搜索页面。

   https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/sp-search
   

   将 CUSTOMER_SUBDOMAIN 替换为您的 客户特定标识符。

2. 在页面左侧的状态下，指定已停业。

3. 在标记下，指定恶意组合。

4. 点击应用。所有封闭的恶意组合案例都会显示在 搜索结果。

查看恶意组合发现结果

有害组合发现是最初记录 检测到有毒组合时出现风险引擎问题 部署您的应用Security Command Center 自动创建支持请求 找出 Risk Engine 问题的每个恶意组合。

您可以直接在 Google Cloud 控制台中的风险概览页面或 发现结果页面。

在风险概览页面上，存在以下风险的恶意组合发现结果： 并显示最高攻击风险得分。每个 每个发现结果都列在 Security Operations 控制台。

如需查看不良组合发现结果，请按以下步骤操作：

1. 在 Google Cloud 控制台中，转到 Security Command Center 发现结果页面。

   转至“发现结果”

2. 如有必要，请选择您的 Google Cloud 组织。

3. 在快速过滤器面板的发现结果类部分， 选择恶意组合。发现结果查询结果面板 更新以仅显示有毒组合的发现结果。

4. 如需对有害组合发现结果进行优先排序，请将发现结果排序： 方法是点击恶意组合得分，按得分降序排列 列标题。