Cette page présente le concept de combinaison toxique, ainsi que les résultats et les cas que les analystes de failles peuvent utiliser pour identifier, hiérarchiser et corriger les combinaisons toxiques dans Security Command Center Enterprise.
Les résultats et cas de combinaison toxique vous aident à identifier plus efficacement les risques et à améliorer la sécurité dans vos environnements cloud.
Définition d'une combinaison toxique
Une combinaison toxique est un groupe de problèmes de sécurité qui, lorsqu'ils se produisent ensemble selon un modèle particulier, créent un chemin vers une ou plusieurs de vos ressources de forte valeur qu'un pirate informatique déterminé pourrait potentiellement utiliser pour atteindre et compromettre ces ressources.
Un problème de sécurité désigne tout élément qui contribue à l'exposition de vos ressources cloud, tel qu'une configuration particulière des ressources, une configuration ou une faille logicielle.
Le moteur de gestion des risques de Security Command Center Enterprise détecte les combinaisons toxiques lors des simulations de chemin d'attaque qu'il exécute. Pour chaque combinaison toxique détectée par Risk Engine, il émet un résultat. Chaque résultat inclut un score d'exposition aux attaques qui mesure le risque associé à la combinaison toxique pour les ressources de forte valeur de votre environnement cloud. Risk Engine génère également une visualisation du chemin d'attaque créé par la combinaison toxique sur les ressources à forte valeur.
Scores d'exposition au piratage pour des combinaisons toxiques
Risk Engine calcule un score d'exposition au piratage pour chaque résultat de combinaison toxique. Le score est une estimation du risque que la combinaison toxique présente pour vos ressources de forte valeur.
Un score sur une combinaison toxique est semblable aux scores d'exposition aux attaques sur d'autres types de résultats, mais peut être considéré comme une application à un chemin plutôt qu'à une découverte d'une faille ou d'une configuration logicielle individuelle.
En règle générale, une combinaison toxique représente un plus grand risque pour votre déploiement cloud qu'un problème de sécurité individuel. Toutefois, comparez le score d'une combinaison toxique aux scores d'autres résultats de combinaison et de position toxiques pour déterminer sur laquelle agir en premier.
Si le score d'un résultat lié à un problème de sécurité individuel est nettement supérieur à celui d'une combinaison toxique, vous devez prioriser le résultat présentant le score le plus élevé.
Comme les scores d'exposition au piratage pour d'autres résultats, les scores d'exposition au piratage pour les combinaisons toxiques sont dérivés des éléments suivants:
- Le nombre de ressources de forte valeur exposées, ainsi que les valeurs de priorité et les scores d'exposition aux attaques de ces ressources
- Probabilité qu'un attaquant déterminé réussisse à atteindre une ressource de forte valeur en exploitant la combinaison
Pour en savoir plus, consultez la section Scores d'exposition au piratage.
Visualisations des chemins d'attaque pour des combinaisons toxiques
Risk Engine fournit une représentation visuelle des chemins d'attaque qu'une combinaison toxique crée sur vos ressources à forte valeur. Un chemin d'attaque représente une série de problèmes de sécurité et de ressources qu'un pirate informatique pourrait utiliser pour atteindre une ressource de grande valeur.
Le chemin d'attaque vous aide à comprendre les relations entre les problèmes d'une combinaison toxique et la façon dont ils forment ensemble un chemin vers vos ressources de forte valeur. La visualisation du chemin vous montre également le nombre de ressources à forte valeur exposées et les priorités relatives des ressources exposées.
Dans la console Opérations de sécurité, les problèmes de sécurité qui composent la combinaison toxique sont mis en évidence par une bordure jaune en forme de losange et en gras sur le chemin d'attaque.
Dans la console Opérations de sécurité, Security Command Center fournit deux versions d'un chemin d'attaque par combinaison toxique. La première est une version simplifiée qui apparaît dans l'onglet "Présentation de la demande" dans un cas de combinaison toxique. La deuxième version montre le chemin d'attaque complet. Pour ouvrir le chemin d'attaque complet, cliquez sur Explorer les chemins d'attaque complets dans le chemin d'attaque simplifié ou cliquez sur Explorer le chemin d'attaque par combinaison toxique en haut à droite de la vue du cas.
La capture d'écran suivante est un exemple de chemin d'attaque simplifié.
Pour en savoir plus, consultez la section Chemins d'attaque.
Cas de combinaison toxique
Security Command Center Enterprise ouvre une demande dans la console Opérations de sécurité pour chaque combinaison toxique détectée dans Risk Engine.
Vous pouvez interroger ou filtrer les cas de combinaison toxique à l'aide de la balise TOXIC_COMBINATION qu'ils incluent. Vous pouvez également identifier visuellement les cas de combinaison toxique dans la console Security Operations à l'aide de l'icône suivante : 
Un cas de combinaison toxique ne contient jamais plus d'une recherche ou d'une alerte de combinaison toxique.
Le cas est le principal moyen d'enquêter et de suivre la remédiation d'une combinaison toxique. La vue de la demande contient les informations suivantes:
- Description de la combinaison toxique
- Le score d'exposition aux attaques de la combinaison toxique
- Visualisation du chemin d'attaque créé par la combinaison toxique
- Informations sur la ressource concernée
- Informations sur les mesures que vous pouvez prendre pour éliminer cette combinaison toxique
- Informations sur tous les résultats associés provenant d'autres services de détection de Security Command Center, y compris les liens vers les demandes associées
- Tous les playbooks applicables
- Tous les billets associés
Vous pouvez consulter en un coup d'œil les cas de combinaison toxique dans votre environnement sur la page Présentation de la stratégie de Security Command Center dans la console Security Operations. La page Vue d'ensemble de la stratégie contient des widgets qui présentent les cas de combinaisons toxiques par priorité, par score d'exposition aux attaques et en fonction du temps restant dans leur contrat de niveau de service (SLA).
Pour en savoir plus sur l'affichage des cas de combinaison toxique, consultez Afficher les cas de combinaison toxique.
Priorité des demandes
Par défaut, les cas de combinaison toxique ont une priorité de Critical pour correspondre à la gravité du résultat de la combinaison toxique et à l'alerte associée dans le cas de combinaison toxique.
Une fois la demande ouverte, vous pouvez en modifier la priorité ou l'alerte.
La modification de la priorité d'un cas ou d'une alerte ne modifie pas la gravité du résultat.
Clôture des demandes
La disposition des cas de combinaison toxique est déterminée par l'état du résultat sous-jacent. Lorsqu'un résultat est émis pour la première fois, son état est Active.
Si vous corrigez la combinaison toxique, Risk Engine détecte automatiquement la correction lors de la prochaine simulation du chemin d'attaque et ferme la demande. Les simulations s'exécutent environ toutes les six heures.
Si vous déterminez que le risque posé par la combinaison toxique est acceptable ou inévitable, vous pouvez clôturer une demande en masquant la combinaison toxique identifiée.
Lorsque vous ignorez un résultat de combinaison toxique, celui-ci reste actif, mais Security Command Center ferme la demande et omet le résultat des requêtes et des vues par défaut.
Pour en savoir plus, consultez les informations suivantes:
- Comment boucler les cas de combinaison toxique
- Présentation des demandes
- Ignorer les résultats dans Security Command Center
Résultats associés
De nombreux problèmes de sécurité individuels qui constituent une combinaison toxique détectée par Risk Engine sont également détectés par d'autres services de détection de Security Command Center. Ces autres services de détection génèrent des résultats distincts pour ces problèmes. Ces résultats sont listés dans un cas de combinaison toxique en tant que résultats associés.
Étant donné que les résultats associés sont émis séparément de la recherche de combinaison toxique, des demandes distinctes sont ouvertes pour eux, différents playbooks sont exécutés pour ces derniers, et d'autres membres de votre équipe peuvent travailler sur leur correction indépendamment de la correction apportée à la découverte de la combinaison toxique.
Vérifiez l'état des cas pour prendre connaissance des résultats associés et, si nécessaire, demandez aux propriétaires des cas de hiérarchiser leur remédiation pour aider à résoudre la combinaison toxique.
Dans un cas de combinaison toxique, tous les résultats associés sont répertoriés dans le widget Résultats de l'onglet "Aperçu" d'un cas de combinaison toxique. Pour chaque résultat associé, le widget inclut un lien vers le cas correspondant.
Les résultats associés sont également identifiés dans le chemin d'attaque par combinaison toxique.
Comment Risk Engine détecte-t-il les combinaisons toxiques ?
Risk Engine exécute des simulations de chemin d'attaque sur toutes vos ressources cloud environ toutes les six heures.
Au cours des simulations, Risk Engine identifie les chemins d'attaque potentiels vers les ressources à forte valeur de votre environnement cloud et calcule les scores d'exposition aux attaques pour les résultats et les ressources à forte valeur. Si Risk Engine détecte une combinaison toxique pendant les simulations, il émet un résultat.
Pour en savoir plus sur les simulations de chemin d'attaque, consultez la page Simulations de chemin d'attaque.