恶意组合概览

本页将概述毒性组合的概念， 您、漏洞分析人员或其他角色 可用于保护云环境 识别、优先处理和修复任何有毒组合。

有毒组合的发现结果和案例可帮助您更有效地识别 提高云环境中的安全性并提升安全性

毒性组合的定义

恶意组合是指一组安全问题 当它们以某种特定模式一起出现时，就会创建一条 确定的攻击者可以获取的一项或多项高价值资源 来获取和危害这些资源。

安全问题是指导致您的 云资源，例如特定的资源配置、 或软件漏洞

Security Command Center Enterprise 的风险引擎 在其运行的攻击路径模拟期间检测恶意组合。 对于 Risk Engine 检测到的每种恶意组合 发现结果。每个发现结果都包含攻击风险得分，用于衡量 内部高价值资源遭遇恶意组合的风险， 云端环境Risk Engine 还会生成 直观显示攻击路径 将恶意组合造成的破坏传递给高价值资源

您要通过案例处理有毒组合结果，但如果需要， 想要查看发现结果本身，您可以在 Google Cloud 控制台 发现 页，您可在其中过滤 按恶意组合发现结果类对发现结果进行排序，或按以下依据对发现结果进行排序： 不良组合得分。

恶意组合的攻击风险得分

Risk Engine 会计算每个位置的攻击风险得分， 有毒组合发现。得分是 存在有害组合对高价值资源造成的风险。

恶意组合发现结果的分数与攻击风险分数类似 但可以视为适用于 而不是在发现个别软件漏洞或 配置错误。

一般来说，毒性组合表示危险的危害更大， 而非单个安全问题。不过，您可以比较 与其他恶意组合的评分对比 组合和状况调查结果，以确定您要 应该首先采取行动

如果单个安全问题的发现结果的得分是 明显高于恶意组合的得分 您应优先处理得分较高的发现结果。

如其他发现结果的攻击风险得分、攻击风险得分 由以下来源得出：

• 已公开的高价值资源的数量和优先级 这些资源的价值和攻击风险得分
• 确定的攻击者成功到达 将恶意资源组合用于高价值资源，

如需了解详情，请参阅 攻击风险得分。

恶意组合的攻击路径可视化

Risk Engine 可直观地描述攻击路径 以及恶意组合给高价值资源带来的危害。攻击 代表一系列安全问题和资源， 访问高价值资源所需的资源。

攻击路径有助于您了解 以及它们如何共同构成 您的高价值资源。路径可视化还会显示 存在攻击风险，以及相应资源的相对优先级 公开的资源

在 Security Operations 控制台中，构成 恶意组合以黄色粗体菱形边框突出显示 攻击路径中的资源在 Google Cloud 控制台中，攻击路径看似 与其他发现结果类型的攻击路径相同。

在 Security Operations 控制台中，Security Command Center 提供两个 以及恶意组合攻击路径的典型版本第一个是简化的 版本。 第二个版本显示了完整的攻击路径。你可以打开完整的攻击 路径：点击简化攻击路径中的探索完整攻击路径 或者点击右上角的探索恶意组合攻击路径 位于支持请求视图的一角。

以下屏幕截图展示了一个简化的攻击路径示例。

在 Google Cloud 控制台中，系统始终会显示完整的攻击路径。

如需了解详情，请参阅攻击路径。

有害组合案例

Security Command Center Enterprise 在 Security Operations 控制台中打开支持请求 找出 Risk Engine 问题的每个恶意组合。

该案例是调查和跟踪修复情况的主要方式， 这种不良组合在支持请求视图中，您可以找到以下信息：

• 对毒性组合的说明
• 攻击风险得分 的危害性
• 直观了解攻击路径 这一恶意组合所形成的
• 有关受影响资源的信息
• 有关补救恶意组合的步骤的信息
• 有关其他 Security Command Center 中的任何相关发现结果的信息 检测服务，包括指向相关案例的链接
• 所有适用的 playbook
• 所有关联的车票

有毒组合案例只含有一种。 组合发现结果或提醒。

在 Security Operations 控制台中，找到 Security Command Center 安全状况概览 网页提供了关于您的 API 的所有恶意组合案例的概述。 环境安全状况概览页面包含 按优先级、攻击风险得分以及 服务等级协议 (SLA) 规定的剩余时间。

在 Security Operations 控制台的案例页面上，您可以查询或 使用 TOXIC_COMBINATION 标记过滤恶意组合案例， 包含的内容您还可以直观地识别有毒的 组合用例（如以下图标所示）：

在 Google Cloud 控制台中，Security Command Center 风险概览 页面还会显示攻击次数最多的恶意组合发现结果 暴露量得分。列出的发现结果包含指向 Security Operations 控制台中的案例。

如需详细了解如何查看恶意组合案例，请参阅 查看不良组合案例。

支持请求优先级

默认情况下，恶意组合案例的优先级为 Critical 来匹配 相关发现的危险组合的严重程度及其相关警报 在有毒组合的情况下出现。

建立一个案例后，您可以更改案例的优先级或 提醒。

更改案例或提醒的优先级不会更改案例或提醒的严重程度 查找。

关闭案例

有毒的组合病例的处置方式由 基础发现结果。首次发出发现结果时，其状态为 Active。

如果您修复有毒组合，Risk Engine 会自动检测修复 然后结束案例。模拟运行 大约 每 6 小时运行一次。

或者，如果您确定恶意评论 组合是否可接受或不可避免，您可以通过 将有害组合发现静音。

当您忽略恶意组合发现结果时，相应发现结果仍会保持活跃状态， Security Command Center 会关闭案例并忽略发现结果 查询和视图。

如需了解详情，请参阅以下信息：

• 如何关闭恶意组合案例
• 支持请求概览
• 在 Security Command Center 中忽略发现结果

相关发现结果

构成恶意组合的许多单独的安全问题 以及由其他 Security Command Center 检测服务。这些检测服务 针对这些问题分别发布发现结果。这些发现结果列在 作为相关发现。

因为相关发现结果与恶意组合分开发布 为他们打开单独的案例、不同的策略方案 而您团队中的其他成员可能也在 与毒素组合的补救无关 查找。

查看支持请求的状态，了解相关发现结果，并在必要时查看 让支持请求负责人优先安排补救措施 从而消除这种不良组合

在有毒组合案例中，所有相关发现结果都会列在 发现结果微件。 对于每个相关发现结果，该 widget 都会包含一个指向其相应发现结果的链接 这种情况。

相关发现结果在恶意组合攻击路径中也得到了识别。

Risk Engine 如何检测恶意组合

Risk Engine 会针对您的所有服务器运行攻击路径模拟， 大约每 6 小时运行一次 Cloud 资源。

在模拟过程中，Risk Engine 会识别 云环境中高价值资源的攻击路径， 计算发现结果和高价值资源的攻击风险得分。 运行期间，如果 Risk Engine 检测到有毒组合， 都会发出发现结果。

如需详细了解攻击路径模拟，请参阅 攻击路径模拟。