Auf dieser Seite finden Sie eine Anleitung, wie Sie anhand von Beispielen und Ergebnissen schädliche Kombinationen erkennen und darauf reagieren können.
Hinweis
Damit die schädlichen Kombinationen korrekt erkannt werden, muss die Software der Security Operations-Komponente auf dem neuesten Stand sein, Ihre wertvollen Ressourcen müssen korrekt gekennzeichnet sein und Sie müssen die erforderlichen IAM-Berechtigungen haben.
Erforderliche Berechtigungen abrufen
Um mit unangemessenen Kombinationen und Fällen sowohl im Für die Google Cloud Console und die Security Operations Console benötigen Sie Berechtigungen die Sie in beiden Konsolen erhalten.
IAM-Rollen in der Google Cloud Console
Make sure that you have the following role or roles on the organization:
- Security Center Admin Viewer (
roles/securitycenter.adminViewer
), to view assets, findings, and attack paths in Security Command Center. - Security Center Assets Viewer (
roles/securitycenter.assetsViewer
), to view only resources. - Security Center Attack Paths Reader
(
roles/securitycenter.attackPathsViewer
), to view only attack paths. - Security Center Findings Editor
(
roles/securitycenter.findingsEditor
), to view, mute, and edit findings. - Security Center Findings Mute Setter
(
roles/securitycenter.findingsMuteSetter
), to mute findings only. - Security Center Findings Viewer (
roles/securitycenter.findingsViewer
), to view only findings.
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
Zu IAM - Wählen Sie die Organisation aus.
- Klicken Sie auf Zugriff erlauben.
-
Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Dies ist in der Regel die E-Mail-Adresse eines Google-Kontos.
- Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
- Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
- Klicken Sie auf Speichern.
- Chronicle SOAR Vulnerability Manager
- Chronicle SOAR Threat Manager
- Chronicle SOAR-Administrator
- Offene Fälle zu schädlichen Kombinationen: Die Anzahl der offenen toxischen Kombinationen. in jeder Prioritätsstufe. Klicken Sie auf die Leiste für eine bestimmte Priorität, um sie zu öffnen. eine Listenansicht der Fälle.
- Häufigste Fälle von unangemessenen Kombinationen: Die häufigsten Fälle von schädlichen Kombinationen: nach Angriffsbewertung. Klicken Sie auf die Fall-ID, um eine Anfrage zu öffnen.
- Fälle unangemessener Kombinationen, die das SLA überschreiten: Fälle von unangemessenen Kombinationen nach der im Service Level Agreement (SLA) verbleibenden Zeit sortiert. Klicken Sie auf die Fall-ID, um einen Fall zu öffnen.
Klicken Sie in der Security Operations Console auf Cases (Fälle).
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
Ersetzen Sie
CUSTOMER_SUBDOMAIN
durch Ihren kundenspezifische Kennung.Die Seite Fälle wird geöffnet und die Ansicht Side-by-Side ist ausgewählt.
Klicken Sie oben in der Liste der Fälle auf das Filtersymbol . um den Filterbereich zu öffnen. Der Bereich Filter für Fallwarteschlange wird geöffnet.
Geben Sie im Filter für die Fallwarteschlange Folgendes an:
- Geben Sie im Feld Zeitraum den Zeitraum an, in dem der Fall aktiv ist.
- Legen Sie Logischer Operator auf AND fest.
- Wählen Sie für den ersten Wert unter Logischer Operator die Option Tags aus dem Menü aus.
- Wählen Sie für den zweiten Wert Giftige Kombinationen aus.
- Geben Sie nach Bedarf weitere Wertepaare an, um den speziellen Fall zu finden, den Sie die Sie sich ansehen müssen.
- Klicken Sie auf Anwenden. Die Fälle in der Fallwarteschlange werden aktualisiert und es werden nur noch die Fälle angezeigt, die dem von Ihnen angegebenen Filter entsprechen.
Wähle in der Fallwarteschlange den Fall aus, den du dir ansehen möchtest. Die Fallinformationen werden angezeigt, einschließlich der folgenden Ansichten auf Tabs:
- Auf dem Tab Fallübersicht () finden Sie Informationen zum Fall mit schädlichen Kombinationen, darunter ein vereinfachtes Diagramm des Angriffspfads, eine Liste der zugehörigen Ergebnisse, eine Liste ähnlicher Fälle, Benachrichtigungen und ein Entitätsdiagramm.
- Der Tab Case Wall () enthält eine Übersicht über Aktionen, Statusänderungen, Aufgaben Kommentare und mehr.
- Auf dem Tab Benachrichtigung finden Sie detailliertere Informationen zur toxischen Kombination, darunter:
- Unter Übersicht finden Sie eine Beschreibung der schädlichen Kombination und die nächsten Schritte, die Sie zur Behebung unternehmen können.
- Unter Ereignisse eine Liste der Ergebniseigenschaften.
- Unter Playbooks eine Liste der zugehörigen Playbooks.
Rufen Sie in der Security Operations-Konsole die Seite Fälle auf.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
Ersetzen Sie
CUSTOMER_SUBDOMAIN
durch Ihre kundenspezifische Kennung.Öffnen Sie das Case für die giftige Kombination, die Sie beheben müssen.
Klicken Sie entweder auf den Tab Fall oder Benachrichtigung.
Lesen Sie den Abschnitt Nächste Schritte in einem der folgenden Widgets:
- Wenn Sie auf den Tab Anfrage geklickt haben, das Widget Anfrageübersicht.
- Wenn Sie auf den Tab Benachrichtigung geklickt haben, das Widget Zusammenfassung der Ergebnisse.
Scrollen Sie bei Bedarf an der Ergebnisbeschreibung vorbei, um die Nächsten Schritte zu sehen.
Klicken Sie in der Security Operations Console auf Posture > Findings (Sicherheitsstatus > Ergebnisse).
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Ersetzen Sie
CUSTOMER_SUBDOMAIN
durch Ihren kundenspezifische Kennung.Suchen Sie die toxische Kombination, indem Sie entweder Schnellfilter auswählen oder die Ergebnisabfrage bearbeiten.
Klicken Sie auf den Namen der Ergebniskategorie, um die Details des Ergebnisses zu öffnen. Die Seite mit den Details zum Ergebnis wird geöffnet.
Lesen Sie sich auf der Seite mit den Ergebnisdetails im Abschnitt Nächste Schritte auf dem Tab Zusammenfassung die Anleitung zur Behebung durch.
Klicken Sie in der Security Operations Console auf Cases (Fälle).
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
Ersetzen Sie
CUSTOMER_SUBDOMAIN
durch Ihre kundenspezifische Kennung.Suchen Sie den Fall zu schädlichen Kombinationen und öffnen Sie ihn.
Wähle den Tab „Fallübersicht“ () aus.
Sehen Sie sich auf dem Tab „Fallübersicht“ im Abschnitt Ergebnisse die aufgeführten Ergebnisse an.
Klicken Sie auf ein Ergebnis, um eine Zusammenfassung die Fall-ID, die Angriffsrisikobewertung und eine Ticket-ID für das Ergebnis.
- Klicken Sie auf die Fall-ID des Ergebnisses, um den Fall zu öffnen und seinen Status anzusehen. zugewiesener Inhaber und andere Informationen zur Anfrage.
- Klicken Sie auf den Risikowert für den Angriffspfad, um den Angriffspfad für das Ergebnis aufzurufen.
- Klicken Sie auf die Ticket-ID, um das Ticket für den Mangel zu öffnen.
Klicken Sie in der Security Operations Console auf Cases (Fälle).
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
Ersetzen Sie
CUSTOMER_SUBDOMAIN
durch Ihre kundenspezifische Kennung.Suchen Sie den Fall zu schädlichen Kombinationen und öffnen Sie ihn.
Wählen Sie den Tab „Ergebnisbenachrichtigung“ aus.
Klicken Sie rechts unten im Widget Ergebnisübersicht auf Erkunden. Das Ergebnis für schädliche Kombinationen wird geöffnet.
Verwenden Sie die Optionen zum Stummschalten rechts oben auf der Seite mit den Details zum Ergebnis, um es stummzuschalten.
Rufen Sie in der Security Operations Console die Seite SOAR Search auf.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/sp-search
Ersetzen Sie
CUSTOMER_SUBDOMAIN
durch Ihre kundenspezifische Kennung.Geben Sie links auf der Seite unter Status die Option Geschlossen an.
Geben Sie unter Tags die Option Schädliche Kombination an.
Klicken Sie auf Anwenden. Alle geschlossenen Fälle zu schädlichen Kombinationen werden in den Suchergebnissen angezeigt.
Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
Wählen Sie bei Bedarf Ihre Google Cloud-Organisation aus.
Gehen Sie im Bereich Schnellfilter unter Klasse finden so vor: wählen Sie Unangemessene Kombination aus. Im Bereich Suchergebnisse der Suchanfrage werden nur Ergebnisse für toxische Kombinationen angezeigt.
Um die Ergebnisse der unangemessenen Kombination zu priorisieren, sortieren Sie die Ergebnisse absteigend nach Bewertung sortieren, indem Sie auf Wert der unangemessenen Kombinationen klicken. Spaltenüberschrift.
Weitere Informationen zu Security Command Center-Rollen und -Berechtigungen finden Sie unter IAM für Aktivierungen auf Organisationsebene
Rollen in der Security Operations Console
Um mit unangemessenen Kombinationen und Fällen in der Security Operations Console verwenden, benötigen Sie eine der folgenden Rollen:
Informationen zum Zuweisen der Rolle an einen Nutzer finden Sie unter Nutzer mit IAM zuordnen und autorisieren
Neuesten Anwendungsfall für Security Operations installieren
Die Funktion zur Verwendung schädlicher Kombinationen erfordert die Veröffentlichung am 25. Juni 2024 oder später. des Anwendungsfalls SCC Enterprise – Cloud Orchestration and Remediation.
Informationen zum Installieren des Anwendungsfalls finden Sie unter Anwendungsfall „Enterprise“ aktualisieren, Juni 2024
Geben Sie an, welche Ihrer Ressourcen umsatzstark sind
Sie müssen die Erkennung schädlicher Kombinationen nicht aktivieren, da sie immer aktiviert ist. Sie müssen jedoch angeben, welche Ihrer Cloud-Ressourcen hochwertige Ressourcen sind.
Bis Sie angeben, welche Ihrer Ressourcen als wertvoll eingestuft werden sollen, erkennt die Risiko-Engine schädliche Kombinationen, die einen standardmäßigen Satz hochwertiger Ressourcen gefährden.
Ergebnisse zu unangemessenen Kombinationen, die auf Grundlage des Standardwerts generiert wurden ist es unwahrscheinlich, dass der Satz hochwertiger Ressourcen die Sicherheitsprioritäten der Nutzer.
Um anzugeben, welche Ihrer Ressourcen hochwertige Ressourcen sind, erstellen Sie Ressourcenwertkonfigurationen in der Google Cloud Console. Anweisungen finden Sie unter Satz hochwertiger Ressourcen definieren und verwalten
Fälle zu schädlichen Kombinationen ansehen
Sie erhalten eine Übersicht über alle Fälle von unangemessenen Äußerungen sowie die Details zu den einzelnen Fällen in der Security Operations-Konsole.
Übersicht aller Fälle zu schädlichen Kombinationen ansehen
Auf der Seite Statusübersicht haben Sie mit Widgets einen schnellen Überblick Übersicht über die Fälle von schädlichen Kombinationen in Ihrer Cloud-Umgebung. Sie können finden Sie die folgenden Informationen:
Die Seite Körperhaltung – Übersicht finden Sie unter der folgenden URL:
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/overview
Ersetzen Sie CUSTOMER_SUBDOMAIN
durch Ihren
kundenspezifische Kennung.
Details zu einem Fall mit giftigen Kombinationen ansehen
In jeder Listenansicht von Fällen zu schädlichen Kombinationen können Sie die Falldetails öffnen, indem Sie auf die ID des Falls klicken.
Fälle von giftigen Kombinationen priorisieren
Wenn Sie einen Fall zu schädlichen Kombinationen im Vergleich zu anderen Fällen zur Bewertung der Sicherheit priorisieren möchten, vergleichen Sie die Angriffsrisikowerte.
Generell sollte die Behebung eines Falles mit giftigen Kombinationen gegenüber den Behebung von Fällen für andere Status-Ergebniskategorien, es sei denn, der Angriff Kontaktwert für den Fall für eine andere Ergebniskategorie ist erheblich höher als der Wert der toxischen Kombination.
Fälle von unangemessenen Kombinationen sollten eine höhere Priorität erhalten, da sie als unangemessen eingestuft werden. Kombinationen stellen einen vollständigen Pfad dar, der im Fall eines entschlossenen Angreifers Zugriff auf Ihre Cloud-Umgebung verschafft, könnte der Angreifer vernünftigerweise aus dem öffentlichen Internet auf eine oder mehrere Ihrer hochwertigen Ressourcen zu verfolgen.
In der Security Operations-Konsole sehen Sie die schädlichen Kombinationsfälle mit den höchsten Angriffsrisikowerten in der Widget Die häufigsten Fälle von schädlichen Kombinationen auf der Seite Übersicht unter Status:
Auf der Seite Fälle können Sie alle Fälle zu schädlichen Kombinationen nach dem Risikowert für Angriffe sortieren. Weitere Informationen zum Ansehen, Filtern und Sortieren von Fällen zu schädlichen Kombinationen finden Sie unter Fälle zu schädlichen Kombinationen ansehen.
Schädliche Kombination beheben
Eine Anleitung zur Behebung eines Ergebnisses für schädliche Kombinationen finden Sie im Fall, der für das Ergebnis in der Security Operations Console geöffnet wurde, oder im Ergebnis selbst.
Anleitung zur Abhilfe für einen Fall ansehen
Um Abhilfemaßnahmen für einen Fall mit schädlichen Kombinationen aufzurufen, folge diese Schritte:
Anleitung zur Behebung bei einem Ergebnis zu schädlichen Kombinationen aufrufen
So rufen Sie die Anleitung zur Abhilfe in einem Ergebniseintrag auf:
Ergebnisse in einem Fall zu schädlichen Kombinationen prüfen
Eine schädliche Kombination enthält in der Regel ein oder mehrere Ergebnisse zu einer Softwarelücke oder einer Fehlkonfiguration. Für jedes dieser Ergebnisse Security Command Center öffnet automatisch einen separaten Fall und führt den zugehörigen Playbooks. Sie können die Fälle auf diese Ergebnisse prüfen und die Ticketinhaber bitten, die Behebung der schädlichen Kombination zu priorisieren.
So überprüfen Sie die Ergebnisse in einer unangemessenen Kombination:
Fall mit unangemessenen Kombinationen schließen
Sie können einen Fall für eine toxische Kombination schließen, indem Sie entweder die zugrunde liegende toxische Kombination oder durch Stummschalten des Ergebnisses in der Google Cloud Console.
Fall schließen, indem eine schädliche Kombination behoben wird
Nachdem Sie mindestens eines der Sicherheitsprobleme behoben haben, die eine toxische Kombination bilden, sodass keine Ressourcen mit hohem Wert mehr preisgegeben werden, schließt die Risk Engine den Fall für die toxische Kombination automatisch bei der nächsten Angriffspfadsimulation, die ungefähr alle sechs Stunden ausgeführt wird.
Folgen Sie der Anleitung, um eine giftige Kombination zu beheben. im Fall einer unangemessenen Kombination unter Nächste Schritte angegeben.
Weitere Informationen finden Sie unter Problematische Kombinationen beheben.
Fall schließen, indem das Ergebnis ausgeblendet wird
Ist das Risiko, das die giftige Kombination von Ihnen birgt, für Ihr Unternehmen akzeptabel oder die giftige Kombination nicht beseitigen können, den Fall schließen kann, indem er das Ergebnis der unangemessenen Kombination stummschaltet.
So blenden Sie Ergebnisse zu toxischen Kombinationen aus:
Sie können Ergebnisse auch in der Google Cloud Console stummschalten. Weitere Informationen finden Sie unter Einzelne Ergebnisse ausblenden:
Geschlossene Fälle von giftigen Kombinationen ansehen
Wenn ein Fall in der Security Operations-Konsole geschlossen wird, wird es von der Seite Fälle entfernt.
So rufen Sie einen geschlossenen Fall auf:
Ergebnisse zu schädlichen Kombinationen ansehen
Ein Ergebnis einer unangemessenen Kombination ist der erste Datensatz, Risk Engine gibt Probleme, wenn es eine toxische Kombination erkennt in Ihrer Cloud-Umgebung. Security Command Center öffnet automatisch einen Fall für jede toxische Kombination, die von der Risk-Engine herausgegeben wird.
Die Ergebnisse zu unangemessenen Kombinationen können Sie direkt in der in der Google Cloud Console entweder auf der Seite Risikoübersicht oder in der Seite Ergebnisse:
Auf der Seite Risikoübersicht werden die Ergebnisse zu schädlichen Kombinationen mit den höchsten Angriffsrisikobewertungen angezeigt. Jedes Ergebnis wird mit einem Link zum entsprechenden Fall in der Security Operations Console.
So rufen Sie die Ergebnisse zu unangemessenen Kombinationen auf: