Cette page a été traduite par l'API Cloud Translation.

Présentation des combinaisons toxiques

Cette page présente le concept de combinaison toxique et des résultats et des cas que vous, un analyste de failles ou un autre rôle de la sécurité de votre environnement cloud, identifier, hiérarchiser et corriger les combinaisons toxiques.

Les résultats et les cas de combinaisons toxiques vous aident à identifier plus efficacement les risques et d'améliorer la sécurité dans vos environnements cloud.

Définition d'une combinaison toxique

Une combinaison toxique désigne un groupe de problèmes de sécurité qui, lorsqu'ils se produisent ensemble selon un modèle particulier, créent un chemin une ou plusieurs de vos ressources de forte valeur qu’un attaquant déterminé pourrait potentiellement utiliser pour atteindre et compromettre ces ressources.

Un problème de sécurité désigne tout élément qui contribue à l'exposition de votre des ressources cloud, comme une configuration particulière des ressources, ou une faille logicielle.

Moteur de gestion des risques de Security Command Center Enterprise détecte les combinaisons toxiques pendant les simulations de chemin d'attaque qu'il exécute. Pour chaque combinaison toxique détectée par le moteur de risque, il émet un résultat. Chaque résultat inclut un score d'exposition au piratage qui mesure le risque de la combinaison toxique pour les ressources de forte valeur cloud privé virtuel. Risk Engine génère également Visualisation du chemin d'attaque créée par la combinaison toxique aux ressources de forte valeur.

Vous travaillez avec des résultats de combinaisons toxiques à travers des cas, mais si vous avez besoin les résultats eux-mêmes, vous pouvez les consulter dans la la console Google Cloud Résultats sur laquelle vous pouvez filtrer résultats selon la classe de résultat Combinaison toxique ou triez les résultats par Score de combinaison toxique.

Scores d'exposition au piratage pour des combinaisons toxiques

Le moteur de risque calcule un score d'exposition au piratage pour chaque de combinaison toxique. Le score est une estimation du volume risque que la combinaison toxique présente vos ressources de forte valeur.

Le score d'une combinaison toxique est semblable aux scores d'exposition au piratage sur d'autres types de résultats, mais peut être considéré comme s'appliquant à un chemin plutôt que la découverte d'une vulnérabilité logicielle individuelle ou les erreurs de configuration.

Généralement, une combinaison toxique représente un risque plus élevé pour votre un déploiement dans le cloud plutôt qu'un problème de sécurité individuel. Toutefois, comparez d'une combinaison toxique par rapport aux scores d'autres de combinaison et de stratégie pour déterminer sur lesquels agir en premier.

Si le score d’un résultat lié à un problème de sécurité individuel est significativement supérieur au score d'une combinaison toxique vous devez donner la priorité au résultat avec le score le plus élevé.

Comme les scores d'exposition au piratage pour d'autres résultats, les scores d'exposition aux attaques sur les combinaisons toxiques proviennent des éléments suivants:

Le nombre de ressources de forte valeur exposées et leur priorité et les scores d'exposition aux attaques de ces ressources
La probabilité qu’un attaquant déterminé puisse parvenir à atteindre une ressource de grande valeur en exploitant la combinaison toxique

Pour en savoir plus, consultez Scores d'exposition au piratage.

Visualisations des chemins d'attaque pour des combinaisons toxiques

Risk Engine fournit une représentation visuelle des chemins d'attaque qu'une combinaison toxique crée pour vos ressources de forte valeur. Une attaque représente une série de ressources et de problèmes de sécurité qu’un attaquant pourrait utiliser pour atteindre une ressource de grande valeur.

Le chemin d'attaque vous aide à comprendre les relations entre les dans une combinaison toxique et comment, ensemble, ils forment un chemin vos ressources de forte valeur. La visualisation du chemin vous montre également combien les ressources de forte valeur sont exposées, et quelles sont leurs priorités les ressources exposées.

Dans la console Opérations de sécurité, les problèmes de sécurité combinaison toxique mise en évidence par une bordure jaune en forme de losange sur le chemin d'attaque. Dans la console Google Cloud, les chemins d'attaque se présentent les mêmes que les chemins d'attaque pour les autres types de résultats.

Dans la console Opérations de sécurité, Security Command Center propose d'un chemin d'attaque par combinaison toxique. La première est une version simplifiée qui s'affiche dans l'onglet "Présentation de la demande" dans un cas de combinaison toxique. La deuxième version montre le chemin d'attaque complet. Vous pouvez ouvrir l'ensemble d'attaque en cliquant sur Explorer les chemins d'attaque complets dans le chemin d'attaque simplifié ou en cliquant sur Explorer le chemin d'attaque par combinaison toxique en haut à droite dans la vue de la demande.

La capture d'écran suivante est un exemple de chemin d'attaque simplifié.

Un chemin d'attaque simplifié, comme indiqué dans la console Security Operations

Dans la console Google Cloud, le chemin d'attaque complet est toujours affiché.

Pour en savoir plus, consultez la section Chemins d'attaque.

Cas de combinaison toxique

Security Command Center Enterprise ouvre une demande dans la console Opérations de sécurité pour chaque combinaison toxique, constatant que le Moteur de risque présente des problèmes.

Le dossier est le principal moyen d'enquêter et de suivre la résolution d'un problème combinaison toxique. La vue de la demande contient les informations suivantes:

Description de la combinaison toxique
Le score d'exposition au piratage de la combinaison toxique
Une visualisation du chemin d'attaque que la combinaison toxique crée
Informations sur la ressource concernée
Informations sur les mesures que vous pouvez prendre pour éliminer cette combinaison toxique
Informations sur tous les résultats associés provenant d'autres services Security Command Center services de détection, y compris des liens vers les demandes associées
Les playbooks applicables
Tous les billets associés

Un cas de combinaison toxique ne contient jamais plus d'un produit toxique recherche de combinaison ou alerte.

Dans la console Opérations de sécurité, la page Présentation de la stratégie de Security Command Center fournit un aperçu de tous les cas de combinaison toxique pour votre environnement. La page Vue d'ensemble de la stratégie contient des widgets qui affichent de combinaisons toxiques par priorité, par score d'exposition au piratage et par le temps restant dans leur contrat de niveau de service.

Sur la page Demandes de la console Opérations de sécurité, vous pouvez interroger ou filtrer les cas de combinaison toxique à l'aide du tag TOXIC_COMBINATION qui qu'ils incluent. Vous pouvez aussi identifier visuellement de chaque cas par l'icône suivante:

Dans la console Google Cloud, Security Command Center Vue d'ensemble des risques affiche également les combinaisons toxiques associées à l'attaque la plus élevée les scores d'exposition. Les résultats répertoriés incluent un lien vers les dans la console Opérations de sécurité.

Pour en savoir plus sur l'affichage des cas de combinaison toxique, consultez Afficher les cas de combinaison toxique

Priorité des demandes

Par défaut, les cas de combinaison toxique ont une priorité de Critical à mettre en correspondance La gravité du résultat de la combinaison toxique et l'alerte associée dans le cas des combinaisons toxiques.

Une fois qu'une demande est ouverte, vous pouvez en modifier la priorité ou alerte.

Modifier la priorité d'un cas ou d'une alerte n'a pas d'incidence sur la gravité de l'incident trouver.

Clôture des demandes

La disposition des cas de combinaison toxique est déterminée par l'état le résultat sous-jacent. Lorsqu'un résultat est émis pour la première fois, son état est Active.

Si vous corrigez la combinaison toxique, détecte automatiquement la correction la prochaine simulation de chemin d'attaque et clôture le cas. Simulations environ toutes les six heures.

Sinon, si vous déterminez que le risque posé par le est acceptable ou inévitable, vous pouvez clôturer un dossier en ignorant la recherche de combinaison toxique.

Lorsque vous ignorez le résultat d'une combinaison toxique, celui-ci reste actif, mais Security Command Center ferme la demande et omet le résultat par défaut des requêtes et des vues.

Pour en savoir plus, consultez les informations suivantes:

Résultats associés

De nombreux problèmes de sécurité individuels qui constituent une combinaison toxique détectés par Risk Engine sont également détectés par d'autres Services de détection Security Command Center. Ces autres services de détection des conclusions distinctes pour ces problèmes. Ces résultats sont répertoriés dans un cas de combinaison toxique comme résultats connexes.

Comme les résultats associés sont publiés séparément de la combinaison toxique des demandes distinctes leur sont ouvertes, différents playbooks exécuter pour eux, et d’autres membres de votre équipe peuvent travailler sur leurs indépendamment de la correction de la combinaison toxique trouver.

Vérifiez l'état des demandes pour connaître les conclusions associées et, si nécessaire, demander aux propriétaires des cas de hiérarchiser leur résolution afin de la combinaison toxique.

Dans un cas de combinaison toxique, tous les résultats associés sont répertoriés dans le Widget Résultats de l'onglet "Vue d'ensemble" Pour chaque résultat associé, le widget inclut un lien vers son .

Les résultats associés sont également identifiés dans le chemin d'attaque par combinaison toxique.

Comment Risk Engine détecte-t-il les combinaisons toxiques ?

Le moteur de gestion des risques exécute des simulations de chemin d'attaque sur l'ensemble de ressources cloud environ toutes les six heures.

Pendant les simulations, le moteur de gestion des risques identifie vers les ressources de forte valeur de votre environnement cloud calcule les scores d'exposition aux attaques pour les résultats et les ressources de forte valeur. Si le moteur de risque détecte une combinaison toxique pendant le des simulations, il émet un résultat.

Pour en savoir plus sur les simulations de chemin d'attaque, consultez Simulations de chemin d'attaque.