Diese Seite wurde von der Cloud Translation API übersetzt.

Schädliche Kombinationen

Auf dieser Seite finden Sie einen Überblick über das Konzept schädlicher Kombinationen und die Ergebnisse und Fälle, mit denen Sie als Sicherheitsanalyst oder in einer anderen Rolle, die für die Sicherheit Ihrer Cloud-Umgebung verantwortlich ist, schädliche Kombinationen erkennen, priorisieren und beheben können.

Ergebnisse und Fälle unangemessener Kombinationen helfen Ihnen, Risiken effektiver zu identifizieren. und die Sicherheit in Ihren Cloud-Umgebungen, einschließlich Google Cloud und Amazon Web Services (AWS) (Vorschau)

Definition einer schädlichen Kombination

Eine schädliche Kombination ist eine Gruppe von Sicherheitsproblemen, die, wenn sie in einem bestimmten Muster auftreten, einen Pfad zu einer oder mehreren Ihrer wertvollen Ressourcen erstellen, die ein entschlossener Angreifer möglicherweise nutzen könnte, um diese Ressourcen zu erreichen und zu manipulieren.

Ein Sicherheitsproblem ist alles, was zur Gefährdung Ihres Cloud-Ressourcen wie eine bestimmte Konfiguration von Ressourcen, Fehlkonfiguration oder eine Software-Sicherheitslücke.

Die Risiko-Engine von Security Command Center Enterprise erkennt schädliche Kombinationen während der ausgeführten Simulationen von Angriffspfaden. Für jedes toxische Element Kombination, die Risk Engine erkennt, gibt sie ein Ergebnis aus. Jede schädliche Kombination hat eine eindeutige Angriffsrisikobewertung, den Wert für schädliche Kombination, mit dem das Risiko der schädlichen Kombination für die Gruppe hochwertiger Ressourcen in Ihrer Cloud-Umgebung gemessen wird. Die Risiko-Engine generiert auch eine Visualisierung des Angriffspfads, den die schädliche Kombination zu den Ressourcen in Ihrem Satz hochwertiger Ressourcen erstellt.

Sie arbeiten mit Ergebnissen zu schädlichen Kombinationen über Anfragen. Wenn Sie die Ergebnisse selbst sehen möchten, können Sie sie in der Google Cloud Console auf der Seite Ergebnisse aufrufen. Dort können Sie die Ergebnisse nach der Ergebnisklasse Schädliche Kombination filtern oder nach dem Wert für schädliche Kombination sortieren.

Bewertungen der Angriffsrisiken bei schädlichen Kombinationen

Die Risiko-Engine berechnet für jede schädliche Kombination eine Angriffsbewertung. Diese Bewertungen der Angriffsrisiken werden in einigen Kontexten, z. B. auf der Seite Ergebnisse der Google Cloud Console, auch als Werte für schädliche Kombinationen bezeichnet. Der Wert gibt an, inwiefern eine schädliche Kombination eine oder mehrere der Ressourcen in Ihrer Gruppe wertvoller Ressourcen potenziellen Angriffen aussetzt.

Werte für schädliche Kombinationen sind ähnlich wie Angriffsrisikobewertungen auf andere Arten von Ergebnissen, die aber auf eine Reihe von Angriffsschritten angewendet werden. anstatt auf eine einzelne Software-Schwachstelle oder Fehlkonfiguration.

Schädliche Kombinationen werden standardmäßig als Ergebnisse mit kritischer Schwere und als Fälle mit kritischer Priorität eingestuft. Vergleichen Sie die Werte für schädliche Kombinationen, um die Fälle zu priorisieren.

Wie die Angriffsrisikobewertungen für andere Ergebnisse sind abgeleitet aus Folgendem:

Die Anzahl der gefährdeten Ressourcen in Ihrer Gruppe hochwertiger Ressourcen sowie die Prioritätswerte und Angriffsrisikobewertungen dieser Ressourcen.
Die Wahrscheinlichkeit, dass ein entschlossener Angreifer erfolgreich sein könnte, eine hochwertige Ressource ist, indem sie die giftige Kombination

Weitere Informationen finden Sie unter Angriffsrisikobewertungen.

Visualisierungen von Angriffspfaden für schädliche Kombinationen

Risk Engine bietet eine visuelle Darstellung der Angriffspfade die eine schädliche Kombination für die Ressourcen in Ihrem Satz hochwertiger Ressourcen erzeugt. Ein Angriffspfad repräsentiert eine Reihe von Angriffsschritten und die zugehörigen Sicherheitsmaßnahmen und Ressourcen, die ein potenzieller Angreifer nutzen könnte, um auf Ihre Ressourcen zuzugreifen.

Der Angriffspfad hilft Ihnen, die Zusammenhänge zwischen den Problemen in einem und wie sie zusammen Pfade zu Ressourcen in deinem Satz hochwertiger Ressourcen. Die Pfadvisualisierung zeigt Ihnen auch, wie viele wertvolle Ressourcen freigegeben sind und wie wichtig sie für Ihre Cloud-Umgebung sind.

In der Security Operations Console werden die Ressourcen mit Sicherheitsproblemen, die die schädliche Kombination ausmachen, im Angriffspfad durch einen fetten gelben rautenförmigen Rahmen hervorgehoben. In der Google Cloud Console sehen die Angriffspfade genauso aus wie Angriffspfade für andere Ergebnistypen.

In der Security Operations Console bietet Security Command Center zwei Versionen eines Angriffspfads mit schädlichen Kombinationen. Das erste ist eine vereinfachte Version, die auf dem Tab mit der Fallübersicht in einem Fall mit unangemessener Kombination angezeigt wird. Die zweite Version zeigt die vollständigen Angriffspfade. Sie können die vollständigen Angriffspfade öffnen, indem Sie im vereinfachten Angriffspfad auf Vollständige Angriffspfade ansehen oder rechts oben in der Fallansicht auf Angriffspfad zu schädlichen Kombinationen untersuchen klicken.

Der folgende Screenshot ist ein Beispiel für einen vereinfachten Angriffspfad.

Ein vereinfachter Angriffspfad, wie in der Security Operations Console angezeigt

In der Google Cloud Console wird immer der vollständige Angriffspfad angezeigt.

Weitere Informationen finden Sie unter Angriffspfade.

Fälle von giftigen Kombinationen

Security Command Center Enterprise öffnet einen Fall in der Security Operations-Konsole für jede toxische Kombination, die von der Risk-Engine herausgegeben wird.

Der Fall ist die Hauptmethode, um eine schädliche Kombination zu untersuchen und die Behebung zu verfolgen. In der Fallansicht finden Sie die folgenden Informationen:

Eine Beschreibung der unangemessenen Kombination
Angriffsbewertung der giftigen Kombination,
Eine Visualisierung des Angriffspfads, der durch die schädliche Kombination erstellt wird
Informationen zur betroffenen Ressource
Informationen zu den Schritten, die Sie unternehmen können, um die schädliche Kombination zu beheben
Informationen zu zugehörigen Ergebnissen aus anderen Security Command Center Erkennungsdienste, einschließlich Links zu zugehörigen Fällen
Alle anwendbaren Playbooks
Alle zugehörigen Tickets

In der Security Operations Console finden Sie auf der Seite Security Command Center-Statusübersicht eine Übersicht über alle Fälle mit schädlichen Kombinationen für Ihre Umgebung. Die Seite Sicherheitsstatus – Übersicht enthält Widgets, in denen Fälle mit schädlichen Kombinationen nach Priorität, Angriffsexpositions-Score und verbleibender Zeit bis zum Ablauf des Service Level Agreements (SLA) angezeigt werden.

Auf der Seite Fälle in der Security Operations Console können Sie Fälle mit schädlichen Kombinationen anhand des enthaltenen TOXIC_COMBINATION-Tags abfragen oder filtern. Sie können Fälle mit schädlichen Kombinationen auch anhand des folgenden Symbols erkennen:

In der Google Cloud Console wird auf der Seite Übersicht des Security Command Centers auch die Tabelle Top-Risikofälle angezeigt. Diese kann eine Mischung aus Fällen mit schädlichen Kombinationen mit dem höchsten Angriffsrisiko und einzelnen Fällen mit der höchsten Priorität enthalten. Die aufgeführten Ergebnisse enthalten einen Link zum entsprechenden Fall in der Security Operations Console.

Weitere Informationen zum Ansehen von Fällen zu schädlichen Kombinationen finden Sie unter Fälle zu schädlichen Kombinationen ansehen.

Fallpriorität

Fälle mit unangemessenen Kombinationen haben standardmäßig die Priorität Critical. den Schweregrad des Ergebnisses für die toxische Kombination und die zugehörige Warnung im Fall einer unangemessenen Kombination.

Nachdem ein Fall geöffnet wurde, können Sie die Priorität oder den Benachrichtigung.

Die Änderung der Priorität eines Falls oder einer Benachrichtigung ändert nichts an der Schwere des Problems.

Fälle abschließen

Die Disposition von Fällen mit toxischen Kombinationen hängt vom Zustand des das zugrunde liegende Ergebnis. Wenn eine Meldung zum ersten Mal herausgegeben wird, hat sie den Status Active.

Wenn Sie die schädliche Kombination beheben, erkennt die Risk Engine die Behebung automatisch bei der nächsten Simulation des Angriffspfads und schließt den Fall. Simulationen ausgeführt ungefähr alle sechs Stunden ein.

Wenn Sie feststellen, dass das Risiko, das die Kombination akzeptabel oder unvermeidbar ist, können Sie einen Fall abschließen, das Ergebnis einer unangemessenen Kombination unterdrücken.

Wenn Sie ein Ergebnis einer toxischen Kombination ausblenden, bleibt das Ergebnis aktiv, aber Security Command Center schließt den Fall und lässt das Ergebnis standardmäßig aus Abfragen und Ansichten.

Weitere Informationen finden Sie hier:

So erkennt die Risiko-Engine schädliche Kombinationen

Risk Engine führt Angriffspfadsimulationen auf allen Ihren Cloud-Ressourcen ungefähr alle sechs Stunden ein.

Während der Simulationen identifiziert Risk Engine Angriffspfade zu den hochwertigen Ressourcen in Ihrer Cloud-Umgebung berechnet Angriffsrisikobewertungen für Ergebnisse und Ihre wertvollen Ressourcen. Wenn die Risiko-Engine während der Simulationen eine schädliche Kombination erkennt, wird eine entsprechende Meldung ausgegeben.

Weitere Informationen zu Angriffspfadsimulationen finden Sie unter Simulationen von Angriffspfaden.