Diese Seite bietet einen Überblick über das Konzept der schädlichen Kombination und der Ergebnisse und Fälle, die Sie als Analyst für Sicherheitslücken oder für den Schutz Ihrer Cloud-Umgebung verantwortlich, toxische Kombinationen identifizieren, priorisieren und beseitigen.
Ergebnisse und Fälle von unangemessenen Kombinationen helfen Ihnen, die Identifizierung und die Sicherheit Ihrer Cloud-Umgebungen zu verbessern.
Definition einer unangemessenen Kombination
Eine toxische Kombination ist eine Gruppe von Sicherheitsproblemen. die zusammen in einem bestimmten Muster vorkommen, eine oder mehrere Ihrer hochwertigen Ressourcen, die ein entschlossener Angreifer könnte um diese Ressourcen zu erreichen und zu kompromittieren.
Ein Sicherheitsproblem ist alles, was zur Gefährdung Ihres Cloud-Ressourcen wie eine bestimmte Konfiguration von Ressourcen, Fehlkonfiguration oder eine Software-Sicherheitslücke.
Die Risk Engine von Security Command Center Enterprise toxische Kombinationen während der ausgeführten Angriffspfadsimulationen erkennt. Für jede von Risk Engine erkannte schädliche Kombination ein Ergebnis. Jedes Ergebnis enthält eine Angriffsrisikobewertung, das Risiko der toxischen Kombination für die hochwertigen Ressourcen in Ihrem Cloud-Umgebung. Risk Engine generiert außerdem eine Visualisierung des Angriffspfads die die toxische Kombination zu den hochwertigen Ressourcen erzeugt.
Sie arbeiten mit Ergebnissen zu unangemessenen Kombinationen in Fällen, aber wenn Sie um die Ergebnisse selbst zu sehen, Google Cloud Console auf der Ergebnisse auf der Sie nach Kategorien filtern können, Ergebnisse nach der Ergebnisklasse Toxische Kombination sortiert oder nach Bewertung der unangemessenen Kombination.
Angriffsrisikobewertungen für schädliche Kombinationen
Risk Engine berechnet jeweils eine Angriffsrisikobewertung toxischen Kombinationen gefunden. Der Score ist eine Schätzung der Menge an das Risiko, dass die toxische Kombination für Ihre hochwertigen Ressourcen ausgeht.
Ein Wert für das Ergebnis einer toxischen Kombination ähnelt dem Angriffsrisikowert. auf andere Arten von Erkenntnissen anwenden, kann aber als anstatt auf eine einzelne Software-Schwachstelle oder Fehlkonfiguration.
Im Allgemeinen birgt eine schädliche Kombination ein größeres Risiko für Ihr in der Cloud bereitgestellt werden als ein individuelles Sicherheitsproblem. Vergleichen Sie jedoch Wert eines Ergebnisses für eine toxische Kombination mit den Werten anderer toxischer Stoffe Kombinations- und Haltungsergebnisse, um zu bestimmen, zuerst handeln sollte.
Wenn der Wert eines Ergebnisses für ein einzelnes Sicherheitsproblem erheblich höher als der Wert einer unangemessenen Kombination sollten Sie das Ergebnis mit der höheren Punktzahl priorisieren.
Wie Angriffsrisikobewertungen für andere Ergebnisse, bei unangemessenen Kombinationen werden aus Folgendem abgeleitet:
- Die Anzahl der gefährdeten hochwertigen Ressourcen und die Priorität Werte und Angriffsrisikobewertungen dieser Ressourcen
- Die Wahrscheinlichkeit, dass ein entschlossener Angreifer erfolgreich sein könnte, eine hochwertige Ressource ist, indem sie die giftige Kombination
Weitere Informationen finden Sie unter Angriffsrisikobewertungen.
Visualisierung des Angriffspfads für schädliche Kombinationen
Risk Engine bietet eine visuelle Darstellung der Angriffspfade die eine schädliche Kombination für Ihre hochwertigen Ressourcen erzeugt. Angriff der eine Reihe von Sicherheitsproblemen und Ressourcen darstellt, die Angreifer nutzen könnten, um eine wertvolle Ressource zu erreichen.
Der Angriffspfad hilft Ihnen, die Beziehungen zwischen den in einer unangemessenen Kombination auftreten und wie sie zusammen einen Weg zum Ihre hochwertigen Ressourcen zu nutzen. Die Pfadvisualisierung zeigt auch, wie viele werden hochwertige Ressourcen aufgedeckt den gefährdeten Ressourcen.
In der Security Operations-Konsole werden die Sicherheitsprobleme, Giftige Kombinationen werden durch einen kräftigen gelben rautenförmigen Rahmen hervorgehoben. auf dem Angriffspfad. In der Google Cloud Console sehen die Angriffspfade wie die Angriffspfade für andere Ergebnistypen.
In der Security Operations-Konsole bietet Security Command Center zwei Versionen eines Angriffspfads für toxische Kombinationen. Das erste ist eine vereinfachte Version, die auf dem Tab mit der Fallübersicht in einem Fall mit unangemessener Kombination angezeigt wird. Die zweite Version zeigt den vollständigen Angriffspfad. Sie können den vollständigen Angriff öffnen indem Sie im vereinfachten Angriffspfad auf Vollständige Angriffspfade ansehen klicken oder indem Sie rechts oben auf Angriffspfad für toxische Kombinationen untersuchen klicken. Ecke der Fallansicht.
Der folgende Screenshot ist ein Beispiel für einen vereinfachten Angriffspfad.
In der Google Cloud Console wird immer der vollständige Angriffspfad angezeigt.
Weitere Informationen finden Sie unter Angriffspfade.
Fälle von giftigen Kombinationen
Security Command Center Enterprise öffnet einen Fall in der Security Operations-Konsole für jede toxische Kombination, die von der Risk-Engine herausgegeben wird.
Der Fall ist die primäre Methode zur Untersuchung und Nachverfolgung der Behebung eines toxische Kombination. In der Fallansicht finden Sie die folgenden Informationen:
- Eine Beschreibung der unangemessenen Kombination
- Angriffsbewertung der giftigen Kombination,
- Eine Visualisierung des Angriffspfads die die toxische Kombination
- Informationen zur betroffenen Ressource
- Informationen über die Maßnahmen, die du ergreifen kannst, um die giftige Kombination zu beseitigen
- Informationen zu zugehörigen Ergebnissen aus anderen Security Command Center Erkennungsdienste, einschließlich Links zu zugehörigen Fällen
- Alle anwendbaren Playbooks
- Alle zugehörigen Tickets
Ein Fall von unangemessenen Kombinationen enthält nie mehr als ein Element. ein kombiniertes Ergebnis oder eine Benachrichtigung.
In der Security Operations-Konsole in der Statusübersicht von Security Command Center enthält eine Übersicht über alle Fälle von unangemessenen Äußerungen zu verbessern. Die Seite Statusübersicht enthält Widgets, die Fälle von unangemessenen Kombinationen nach Priorität, Angriffsbewertung und die im Service Level Agreement (SLA) verbleibende Zeit.
Auf der Seite Fälle in der Security Operations-Konsole können Sie
Fälle von unangemessenen Kombinationen mit dem Tag TOXIC_COMBINATION filtern, das
enthalten sind. Als toxische Inhalte können Sie
durch das folgende Symbol:
In der Google Cloud Console, dem Security Command Center Risikoübersicht Seite mit den Ergebnissen der toxischen Kombination mit der größten Angriffskraft angezeigt. Kontaktbewertungen Die aufgelisteten Ergebnisse enthalten einen Link zum entsprechenden in der Security Operations-Konsole.
Weitere Informationen zum Anzeigen von Fällen mit unangemessenen Kombinationen findest du unter Fälle schädlicher Kombinationen ansehen
Fallpriorität
Fälle mit unangemessenen Kombinationen haben standardmäßig die Priorität Critical.
den Schweregrad des Ergebnisses für die toxische Kombination und die zugehörige Warnung
in der Kategorie „toxische Kombination“.
Nachdem ein Fall geöffnet wurde, können Sie die Priorität oder den Benachrichtigung.
Wenn Sie die Priorität eines Falls oder einer Benachrichtigung ändern, hat dies keinen Einfluss auf den Schweregrad zu finden.
Fälle abschließen
Die Disposition von Fällen mit toxischen Kombinationen hängt vom Zustand des
das zugrunde liegende Ergebnis. Wenn ein Ergebnis erstmals ausgegeben wird, lautet der Status Active.
Wenn Sie die toxische Kombination beheben, kann Risk Engine erkennt die Abhilfe automatisch während der nächsten Angriffspfadsimulation und schließt den Fall. Simulationen ausgeführt etwa alle sechs Stunden.
Wenn Sie feststellen, dass das Risiko, das die Kombination akzeptabel oder unvermeidbar ist, können Sie einen Fall abschließen, das Ergebnis einer unangemessenen Kombination unterdrücken.
Wenn Sie ein Ergebnis einer toxischen Kombination ausblenden, bleibt das Ergebnis aktiv, aber Security Command Center schließt den Fall und lässt das Ergebnis standardmäßig aus. Abfragen und Ansichten.
Weitere Informationen finden Sie hier:
- Fälle mit toxischen Kombinationen schließen
- Supportanfragen
- Ergebnisse in Security Command Center ausblenden
Ähnliche Ergebnisse
Viele der individuellen Sicherheitsprobleme, die eine schädliche Kombination ausmachen die von Risk Engine erkannt werden, auch von anderen Security Command Center-Erkennungsdienste. Diese anderen Erkennungsdienste für diese Probleme jeweils separate Ergebnisse vorzulegen. Diese Ergebnisse sind in einer unangemessenen Kombination als verwandte Ergebnisse.
Weil damit verbundene Ergebnisse getrennt von der unangemessenen Kombination veröffentlicht werden es werden separate Fälle geöffnet und verschiedene Playbooks für sie tätig sind und andere Mitglieder Ihres Teams möglicherweise Abhilfemaßnahmen unabhängig von der Schadensbehebung zu finden.
Prüfen Sie den Status der Anfragen auf diese Ergebnisse und, falls nötig, bitten Sie die Verantwortlichen der Fälle, ihre Behebung zu priorisieren, die toxische Kombination zu lösen.
Bei unangemessenen Kombinationen werden alle damit verbundenen Ergebnisse in der Widget Ergebnisse auf dem Tab „Übersicht“. Für jedes zugehörige Ergebnis enthält das Widget einen Link zum entsprechenden Fall.
Ähnliche Ergebnisse werden auch im Angriffspfad für toxische Kombinationen identifiziert.
So erkennt Risk Engine toxische Kombinationen
Risk Engine führt Angriffspfadsimulationen auf allen Ihren Cloud-Ressourcen etwa alle sechs Stunden.
Während der Simulationen identifiziert Risk Engine Angriffspfade zu den hochwertigen Ressourcen Ihrer Cloud-Umgebung berechnet Angriffsrisikobewertungen für Ergebnisse und hochwertige Ressourcen. Wenn Risk Engine während der gibt es ein Ergebnis.
Weitere Informationen zu Angriffspfadsimulationen finden Sie unter Simulationen von Angriffspfaden.