危险组合概览

本页将概述毒性组合的概念， 您、漏洞分析人员或其他角色 可用于保护云环境 识别、优先处理和修复任何有毒组合。

有毒组合发现和案例可帮助您更有效地识别风险并提高云环境的安全性。

毒性组合的定义

恶意组合是指一组安全问题 当它们以某种特定模式一起出现时，就会创建一条 确定的攻击者可以获取的一项或多项高价值资源 来获取和危害这些资源。

安全问题是指导致您的 云资源，例如特定的资源配置、 配置错误或软件漏洞

Security Command Center Enterprise 的风险引擎会在运行攻击路径模拟期间检测恶意组合。对于 Risk Engine 检测到的每种恶意组合 发现结果。每个发现结果都包含一个攻击风险得分，用于衡量有害组合对云环境中高价值资源的风险。风险引擎还会生成恶意组合对高价值资源创建的攻击路径的可视化图表。

您可以通过支持请求处理有毒组合发现结果，但如果您需要查看发现结果本身，可以在 Google Cloud 控制台的发现结果页面上查看，您可以在该页面上按有毒组合发现结果类过滤发现结果，也可以按有毒组合得分对发现结果进行排序。

危险组合的攻击风险得分

风险引擎会为每项恶意组合发现结果计算攻击风险得分。该得分是对危险组合对高价值资源造成的风险量的估算。

危险组合发现结果的得分与其他类型发现结果的攻击风险得分类似，但可以视为应用于路径，而不是应用于单个软件漏洞或配置错误的发现结果。

通常，与单个安全问题相比，有害组合对云部署的风险更大。不过，您可以比较 与其他恶意组合的评分对比 组合和状况发现结果，以确定您要 应该首先采取行动

如果单个安全问题的发现结果的得分是 明显高于恶意组合的得分 您应优先处理得分较高的发现结果。

与其他发现的攻击风险得分一样，危险组合的攻击风险得分也基于以下因素得出：

• 已公开的高价值资源的数量和优先级 这些资源的价值和攻击风险得分
• 有决心的攻击者利用恶意组合成功访问高价值资源的可能性

如需了解详情，请参阅攻击风险得分。

恶意组合的攻击路径可视化

Risk Engine 可直观地描述攻击路径 以及恶意组合给高价值资源带来的风险攻击 表示一系列安全问题和资源， 访问高价值资源所需的资源。

攻击路径有助于您了解 以及它们如何共同组成 您的高价值资源路径可视化还会显示 会暴露出高价值资源，以及该资源的相对优先级 公开的资源

在 Security Operations 控制台中，构成 恶意组合以黄色粗体菱形边框突出显示 攻击路径中的资源在 Google Cloud 控制台中，攻击路径看 与其他发现结果类型的攻击路径相同。

在 Security Operations 控制台中，Security Command Center 提供两个 以及恶意组合攻击路径的典型版本第一种是简化版，会显示在危险组合案例的“案例概览”标签页中。第二个版本显示了完整的攻击路径。您可以通过以下任一方式打开完整攻击路径：点击简化攻击路径中的探索完整攻击路径，或点击案例视图右上角的探索恶意组合攻击路径。

以下屏幕截图展示了一个简化的攻击路径示例。

在 Google Cloud 控制台中，系统始终会显示完整的攻击路径。

如需了解详情，请参阅 攻击路径。

有害组合案例

对于风险引擎发出的每项有毒组合发现结果，Security Command Center Enterprise 都会在 Security Operations 控制台中打开一个支持请求。

支持请求是调查和跟踪有毒组合修复情况的主要方式。在支持请求视图中，您可以找到以下信息：

• 危险组合的说明
• 攻击风险得分 的危害性
• 直观显示攻击路径 这一恶意组合所形成的
• 受影响资源的相关信息
• 有关您可以采取哪些措施来修复有害组合的相关信息
• 其他 Security Command Center 检测服务中的任何相关发现结果的相关信息，包括指向其关联支持请求的链接
• 任何适用的 Playbook
• 所有关联的车票

一个恶意组合案例永远不会包含一种以上的恶意组合 组合发现结果或提醒。

在安全运营控制台中，Security Command Center 状况概览页面概要介绍了您环境中的所有危险组合案例。状况概览页面包含一些微件，可按优先级、攻击暴露得分和服务等级协议 (SLA) 剩余时间显示有毒组合情况。

在 Security Operations 控制台的案例页面上，您可以查询或 使用 TOXIC_COMBINATION 标记过滤恶意组合案例， 包含的内容您还可以直观地识别有毒的 组合用例（如以下图标所示）：

在 Google Cloud 控制台中，Security Command Center 风险概览 页面还会显示攻击次数最多的恶意组合发现结果 暴露量得分。列出的发现结果包含指向 Security Operations 控制台中的案例。

如需详细了解如何查看危险组合支持请求，请参阅查看危险组合支持请求。

支持请求优先级

默认情况下，恶意组合案例的优先级为 Critical 来匹配 相关发现的危险组合的严重程度及其相关警报 在有毒组合的情况下出现。

建立一个案例后，您可以更改其优先级或 提醒。

更改支持请求或提醒的优先级不会更改相应发现的严重程度。

关闭案例

恶意组合案例的处理方式取决于其基本发现的状态。首次发出发现结果时，其状态为 Active。

如果您修复了恶意组合，风险引擎会在下一次攻击路径模拟期间自动检测修复情况，并关闭支持请求。模拟运行 大约 每 6 小时发送一次。

或者，如果您确定恶意评论 组合是否可接受或不可避免，您可以通过 将有害组合发现静音。

当您忽略恶意组合发现结果时，相应发现结果仍会保持活跃状态， Security Command Center 会关闭案例并忽略发现结果 查询和视图。

如需了解详情，请参阅以下信息：

• 如何关闭危险组合支持请求
• 支持请求概览
• 在 Security Command Center 中忽略发现结果

相关发现结果

风险引擎检测到的很多安全问题也是其他 Security Command Center 检测服务检测到的。这些检测服务 针对这些问题分别发布发现结果。这些发现结果会在危险组合支持请求中列为相关发现结果。

因为相关发现结果与恶意组合分开发布 为他们打开单独的案例、不同的策略方案 而您团队中的其他成员可能也在 与毒性组合的补救无关 查找。

查看支持请求的状态，了解相关发现结果，并在必要时查看 让支持请求负责人优先安排补救措施 从而消除这种不良组合

在有毒组合案例中，所有相关发现结果都会列在 发现结果微件。 对于每个相关发现，该微件都会包含指向其相应支持请求的链接。

相关发现结果在恶意组合攻击路径中也得到了识别。

Risk Engine 如何检测恶意组合

风险引擎大约每 6 小时对您的所有云资源运行一次攻击路径模拟。

在模拟过程中，Risk Engine 会识别 云环境中高价值资源的攻击路径， 计算发现结果和高价值资源的攻击风险得分。 运行期间，如果 Risk Engine 检测到有毒组合， 都会发出发现结果。

如需详细了解攻击路径模拟，请参阅攻击路径模拟。