Auf dieser Seite finden Sie eine Anleitung, wie Sie anhand von Beispielen und Ergebnissen schädliche Kombinationen erkennen und darauf reagieren können.
Hinweise
Damit schädliche Kombinationen korrekt erkannt werden, muss die Software der Security Operations-Komponente auf dem neuesten Stand sein, Ihre wertvollen Ressourcen müssen korrekt gekennzeichnet sein und Sie müssen die erforderlichen IAM-Berechtigungen haben.
Erforderliche Berechtigungen abrufen
Wenn Sie mit Ergebnissen und Fällen zu schädlichen Kombinationen sowohl in der Google Cloud Console als auch in der Security Operations Console arbeiten möchten, benötigen Sie Berechtigungen, die Ihnen in beiden Konsolen gewährt wurden.
IAM-Rollen in der Google Cloud Console
Make sure that you have the following role or roles on the organization:
-
Security Center Admin Viewer
(
roles/securitycenter.adminViewer
), to view assets, findings, and attack paths in Security Command Center. -
Security Center Assets Viewer
(
roles/securitycenter.assetsViewer
), to view only resources. -
Security Center Attack Paths Reader
(
roles/securitycenter.attackPathsViewer
), to view only attack paths. -
Security Center Findings Editor
(
roles/securitycenter.findingsEditor
), to view, mute, and edit findings. -
Security Center Findings Mute Setter
(
roles/securitycenter.findingsMuteSetter
), to mute findings only. -
Security Center Findings Viewer
(
roles/securitycenter.findingsViewer
), to view only findings.
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
IAM aufrufen - Wählen Sie die Organisation aus.
- Klicken Sie auf Zugriff erlauben.
-
Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Dies ist in der Regel die E-Mail-Adresse eines Google-Kontos.
- Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
- Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
- Klicken Sie auf Speichern.
- Chronicle SOAR Vulnerability Manager
- Chronicle SOAR Threat Manager
- Chronicle SOAR Admin
Alle offenen Fälle zum Status oder Offene Fälle zu schädlichen Kombinationen: Wenn Sie sich offene Fälle zu schädlichen Kombinationen ansehen möchten, wählen Sie in der Auswahl Schädliche Kombinationen aus. Im Widget wird die Anzahl der offenen Fälle zu schädlichen Kombinationen für jede Prioritätsstufe angezeigt. Klicken Sie auf die Leiste für eine bestimmte Priorität, um eine Listenansicht der Fälle zu öffnen.
Zeit bis zur Wiederherstellung und Trend für Fälle zu schädlichen Kombinationen: Die Trends für offene und geschlossene Fälle zu schädlichen Kombinationen für einen bestimmten Zeitraum. Bewegen Sie den Mauszeiger auf die Trendlinien, um die Anzahl der offenen und geschlossenen Fälle für einen bestimmten Datenpunkt im ausgewählten Zeitraum zu sehen. Dieses Widget enthält auch einen Wert für die Behebungszeit (Time to Remediation, TTR), der angibt, wie lange es im angegebenen Zeitraum durchschnittlich gedauert hat, einen Fall mit schädlichen Kombinationen zu beheben.
Top-Fälle zu schädlichen Kombinationen: Die wichtigsten Fälle zu schädlichen Kombinationen, sortiert nach dem Wert für das Angriffsrisiko. Klicken Sie auf die Fall-ID, um einen Fall zu öffnen.
Fälle schädlicher Kombinationen, die das SLA überschreiten: Die Fälle schädlicher Kombinationen werden nach der verbleibenden Zeit im Service Level Agreement (SLA) sortiert. Klicken Sie auf die Fall-ID, um eine Supportanfrage zu erstellen.
Klicken Sie in der Security Operations Console auf Cases (Fälle).
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
Ersetzen Sie
CUSTOMER_SUBDOMAIN
durch Ihre kundenspezifische Kennung.Die Seite Fälle wird geöffnet und die Ansicht Nebeneinander ist ausgewählt.
Klicken Sie in der Fallliste auf Fallfilter, um den Filterbereich zu öffnen. Der Bereich Filter für Fallwarteschlange wird geöffnet.
Geben Sie im Filter für die Fallwarteschlange Folgendes an:
- Geben Sie im Feld Zeitraum den Zeitraum an, in dem der Fall aktiv ist.
- Legen Sie Logischer Operator auf AND fest.
- Wählen Sie für den ersten Wert im Bereich Logischer Operator die Option Tags aus dem Menü aus.
- Wählen Sie für den zweiten Wert Giftige Kombination aus.
- Geben Sie nach Bedarf weitere Wertepaare an, um den gewünschten Fall zu finden.
- Klicken Sie auf Anwenden. Die Fälle in der Fallwarteschlange werden aktualisiert und es werden nur noch die Fälle angezeigt, die dem von Ihnen angegebenen Filter entsprechen.
Wähle in der Fallwarteschlange den Fall aus, den du dir ansehen möchtest. Die Fallinformationen werden angezeigt, einschließlich der folgenden Ansichten auf Tabs:
- Tab Fallübersicht (): Hier finden Sie Informationen zum Fall mit schädlichen Kombinationen, darunter ein vereinfachtes Diagramm des Angriffspfads, eine Liste der zugehörigen Ergebnisse, eine Liste der betroffenen Ressourcen, eine Liste ähnlicher Fälle, Benachrichtigungen und ein Entitätsdiagramm.
- Tab Fallwand (): enthält unter anderem Informationen zu Aktionen, Statusänderungen, Aufgaben und Kommentaren.
Tab Weitere Informationen: Hier finden Sie detailliertere Informationen zu den einzelnen Ergebnissen. Die Informationen werden auf den folgenden Tabs angezeigt:
- Übersicht: Beschreibung der einzelnen Abweichung und der nächsten Schritte zur Behebung.
- Ereignisse: Liste der Suchergebnisseigenschaften.
- Playbooks: Eine Liste der zugehörigen Playbooks.
Rufen Sie in der Security Operations Console die Seite Fälle auf.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
Ersetzen Sie
CUSTOMER_SUBDOMAIN
durch Ihre kundenspezifische Kennung.Öffnen Sie den Fall für die schädliche Kombination, die Sie beheben müssen.
Klicken Sie auf den Tab Anfrage oder Benachrichtigung.
Lesen Sie den Abschnitt Nächste Schritte in einem der folgenden Widgets:
- Wenn Sie auf den Tab Anfrage geklickt haben, das Widget Anfrageübersicht.
- Wenn Sie auf den Tab Benachrichtigung geklickt haben, das Widget Ergebnisübersicht.
Scrollen Sie bei Bedarf an der Ergebnisbeschreibung vorbei, um die Nächsten Schritte zu sehen.
Klicken Sie in der Security Operations Console auf Posture > Findings (Sicherheitsstatus > Ergebnisse).
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Ersetzen Sie
CUSTOMER_SUBDOMAIN
durch Ihre kundenspezifische Kennung.Sie können die Meldung zu schädlichen Kombinationen finden, indem Sie entweder Schnellfilter auswählen oder die Suchanfrage für die Meldung bearbeiten.
Klicken Sie auf den Namen der Ergebniskategorie, um die Details des Ergebnisses zu öffnen. Die Seite mit den Details zum Ergebnis wird geöffnet.
Lesen Sie sich auf der Seite mit den Ergebnisdetails im Abschnitt Nächste Schritte auf dem Tab Zusammenfassung die Anleitung zur Behebung durch.
Klicken Sie in der Security Operations Console auf Cases (Fälle).
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
Ersetzen Sie
CUSTOMER_SUBDOMAIN
durch Ihre kundenspezifische Kennung.Suchen Sie den Fall zu schädlichen Kombinationen und öffnen Sie ihn.
Wähle den Tab „Fallübersicht“ aus:
Sehen Sie sich auf dem Tab „Fallübersicht“ im Abschnitt Ergebnisse die aufgeführten Ergebnisse an.
Klicken Sie auf ein Ergebnis, um Zusammenfassungsinformationen dazu aufzurufen, einschließlich der Fall-ID, des Angriffsrisikowerts und der Ticket-ID für das Ergebnis.
- Klicken Sie auf die Fall-ID der Abweichung, um den Fall zu öffnen und sich den Status, den zugewiesenen Inhaber und andere Fallinformationen anzusehen.
- Klicken Sie auf den Risikowert für den Angriffspfad, um den Angriffspfad für das Ergebnis aufzurufen.
- Klicken Sie auf die Ticket-ID, um das Ticket für den Mangel zu öffnen.
Klicken Sie in der Security Operations Console auf Cases (Fälle).
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
Ersetzen Sie
CUSTOMER_SUBDOMAIN
durch Ihre kundenspezifische Kennung.Suchen Sie den Fall zu schädlichen Kombinationen und öffnen Sie ihn.
Klicken Sie auf den Tab der entsprechenden Benachrichtigung.
Klicken Sie im Widget Ergebnisübersicht auf Ergebnisse in SCC untersuchen. Das Ergebnis für schädliche Kombinationen wird geöffnet.
Verwenden Sie die Optionen zum Stummschalten auf der Seite mit den Ergebnisdetails, um das Ergebnis stummzuschalten.
Rufen Sie in der Security Operations Console die Seite SOAR Search auf.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/sp-search
Ersetzen Sie
CUSTOMER_SUBDOMAIN
durch Ihre kundenspezifische Kennung.Maximieren Sie den Bereich Status und wählen Sie dann Geschlossen aus.
Maximieren Sie den Bereich Tags und wählen Sie Giftige Kombination aus.
Klicken Sie auf Anwenden. Alle geschlossenen Fälle zu schädlichen Kombinationen werden in den Suchergebnissen angezeigt.
Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
Wählen Sie gegebenenfalls Ihre Google Cloud-Organisation aus.
Wählen Sie im Bereich Suchergebnisklasse des Bereichs Schnellfilter die Option Giftige Kombination aus. Im Bereich Ergebnisse der Suchanfrage werden nur Ergebnisse zu schädlichen Kombinationen angezeigt.
Wenn Sie die Ergebnisse nach schädlichen Kombinationen priorisieren möchten, klicken Sie auf die Spaltenüberschrift Wert für schädliche Kombination, um sie absteigend nach Wert zu sortieren.
Weitere Informationen zu Rollen und Berechtigungen in Security Command Center finden Sie unter IAM für Aktivierungen auf Organisationsebene.
Rollen in der Security Operations Console
Um in der Security Operations Console mit Ergebnissen und Anfragen zu schädlichen Kombinationen arbeiten zu können, benötigen Sie eine der folgenden Rollen:
Informationen zum Zuweisen der Rolle an einen Nutzer finden Sie unter Nutzer mit IAM zuordnen und autorisieren.
Neuesten Anwendungsfall für Security Operations installieren
Für die Funktion „Giftige Kombination“ ist die Version 25.0.0 des Anwendungsfalls SCC Enterprise – Cloud Orchestration and Remediation vom 25. Juni 2024 oder höher erforderlich.
Informationen zum Installieren des Anwendungsfalls finden Sie unter Update Enterprise-Anwendungsfall, Juni 2024.
Satz hochwertiger Ressourcen angeben
Sie müssen die Erkennung schädlicher Kombinationen nicht aktivieren – sie ist immer aktiviert. Die Risiko-Engine erkennt automatisch schädliche Kombinationen, die einen Standardsatz hochwertiger Ressourcen gefährden.
Ergebnisse zu schädlichen Kombinationen, die auf Grundlage des Standardsatzes hochwertiger Ressourcen generiert wurden, spiegeln Ihre Sicherheitsprioritäten wahrscheinlich nicht genau wider. Wir empfehlen daher, die Ressourcen in Ihrem Set mit hochwertigen Ressourcen anzugeben.
Um anzugeben, welche Ressourcen zu Ihrem Set mit wertvollen Ressourcen gehören, erstellen Sie in der Google Cloud Console Konfigurationen für Ressourcenwerte. Eine Anleitung finden Sie unter Satz hochwertiger Ressourcen definieren und verwalten.
Fälle zu schädlichen Kombinationen ansehen
In der Security Operations Console finden Sie eine Übersicht über alle Fälle mit schädlichen Kombinationen und die Details zu den einzelnen Fällen.
Übersicht aller Fälle zu schädlichen Kombinationen ansehen
Auf der Seite Sicherheitsstatus – Übersicht finden Sie mehrere Widgets, die Ihnen einen schnellen Überblick über die schädlichen Kombinationen in Ihren Google Cloud- und Amazon Web Services-Umgebungen (AWS, Vorabversion) geben. Sie finden dort folgende Informationen:
Die Seite Körperhaltung – Übersicht finden Sie unter der folgenden URL:
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/overview
Ersetzen Sie CUSTOMER_SUBDOMAIN
durch Ihre kundenspezifische Kennung.
Details zu einem Fall mit schädlichen Kombinationen ansehen
In jeder Listenansicht von Fällen zu schädlichen Kombinationen können Sie die Falldetails öffnen, indem Sie auf die ID des Falls klicken.
Fälle zu schädlichen Kombinationen priorisieren
Schädliche Kombinationen werden standardmäßig als Ergebnisse mit kritischer Schwere und als Fälle mit kritischer Priorität eingestuft. Daher sollten sie vor der Behebung von Fällen in anderen Kategorien von Sicherheitsrisiken priorisiert werden. Giftige Kombinationen stellen einen vollständigen Pfad dar, den ein entschlossener Angreifer, der Zugriff auf Ihre Cloud-Umgebung erlangt, vernünftigerweise vom öffentlichen Internet zu einer oder mehreren Ressourcen in Ihrem Set mit wertvollen Ressourcen verfolgen könnte.
Vergleichen Sie die Bewertungen für schädliche Kombinationen auf der Seite Ergebnisse der Google Cloud Console, um die Fälle mit schädlichen Kombinationen zu priorisieren. In der Security Operations Console finden Sie die Fälle mit schädlichen Kombinationen mit den höchsten Angriffsexpositionswerten im Widget Top-Fälle zu schädlichen Kombinationen auf der Seite Übersicht unter Bedrohungslage.
Auf der Seite Fälle können Sie alle Fälle zu schädlichen Kombinationen nach dem Wert für das Angriffsrisiko sortieren. Weitere Informationen zum Ansehen, Filtern und Sortieren von Fällen zu schädlichen Kombinationen finden Sie unter Fälle zu schädlichen Kombinationen ansehen.
Schädliche Kombination beheben
Eine Anleitung zur Behebung eines Ergebnisses für schädliche Kombinationen finden Sie im Fall, der für das Ergebnis in der Security Operations Console geöffnet wurde, oder im Ergebnis selbst.
Anleitung zur Behebung in einem Fall ansehen
So rufen Sie Informationen zur Behebung von schädlichen Kombinationen auf:
Anleitung zur Behebung bei einem Ergebnis zu schädlichen Kombinationen ansehen
So rufen Sie die Anleitung zur Behebung in einem Ergebnisdatensatz auf:
Ergebnisse in einem Fall zu schädlichen Kombinationen prüfen
Eine schädliche Kombination enthält in der Regel eine oder mehrere Ergebnisse zu einer Softwarelücke oder einer Fehlkonfiguration. Für jedes dieser Ergebnisse wird im Security Command Center automatisch ein separater Fall geöffnet und die zugehörigen Playbooks ausgeführt. Sie können die Fälle auf diese Ergebnisse prüfen und die Ticketinhaber bitten, die Behebung der schädlichen Kombination zu priorisieren.
So rufen Sie die Ergebnisse für eine toxische Kombination auf:
Fall zu schädlichen Kombinationen schließen
Sie können einen Fall für eine schädliche Kombination schließen, indem Sie entweder die zugrunde liegende schädliche Kombination beheben oder die entsprechende Meldung in der Google Cloud Console stummschalten.
Fall schließen, indem eine schädliche Kombination behoben wird
Nachdem Sie mindestens eines der Sicherheitsprobleme behoben haben, die eine schädliche Kombination ausmachen, sodass keine Ressourcen in Ihrem Set mit wertvollen Ressourcen mehr gefährdet sind, schließt die Risk Engine den Fall für die schädliche Kombination automatisch bei der nächsten Simulation des Angriffspfads, die etwa alle sechs Stunden ausgeführt wird.
Folgen Sie der Anleitung unter Nächste Schritte, um eine schädliche Kombination zu beheben.
Weitere Informationen finden Sie unter Problematische Kombinationen beheben.
Fall schließen, indem Sie das Ergebnis ausblenden
Wenn das Risiko, das von der schädlichen Kombination ausgeht, für Ihr Unternehmen akzeptabel ist oder Sie die schädliche Kombination nicht beheben können, können Sie den Fall schließen, indem Sie die entsprechende Benachrichtigung stummschalten.
So blenden Sie Ergebnisse zu toxischen Kombinationen aus:
Sie können Ergebnisse auch in der Google Cloud Console stummschalten. Weitere Informationen finden Sie unter Einzelne Ergebnisse ausblenden.
Abgeschlossene Fälle zu schädlichen Kombinationen aufrufen
Wenn ein Fall in der Security Operations Console geschlossen wird, wird er im Security Command Center von der Seite Fälle entfernt.
So rufen Sie einen geschlossenen Fall mit schädlichen Kombinationen auf:
Ergebnisse zu schädlichen Kombinationen ansehen
Eine schädliche Kombination ist der erste Eintrag, den die Risiko-Engine ausgibt, wenn eine schädliche Kombination in Ihrer Cloud-Umgebung erkannt wird. In Security Command Center wird automatisch ein Fall für jede toxische Kombination geöffnet, die von der Risiko-Engine gemeldet wird.
Sie können die Ergebnisse zu schädlichen Kombinationen direkt in der Google Cloud Console auf der Seite Risikoübersicht oder auf der Seite Ergebnisse aufrufen.
Auf der Seite Risikoübersicht werden die Ergebnisse für schädliche Kombinationen mit den höchsten Angriffsrisiken angezeigt. Jedes Ergebnis wird in der Security Operations Console mit einem Link zum entsprechenden Fall aufgeführt.
So rufen Sie Ergebnisse zu schädlichen Kombinationen auf: