Cette page présente certaines informations et méthodes que vous pouvez utiliser pour hiérarchiser les failles et erreurs de configuration de Security Command Center (collectivement, les failles), afin de réduire les risques et d'améliorer plus rapidement et plus efficacement votre stratégie de sécurité par rapport aux normes de sécurité applicables.
Le but de la hiérarchisation
Comme vous avez un temps limité et que le volume de résultats de failles de Security Command Center peut être écrasant, en particulier dans les grandes organisations, vous devez identifier rapidement les failles qui présentent le plus de risques pour votre organisation et y remédier.
Vous devez corriger les failles pour réduire le risque de cyberattaque sur votre organisation et maintenir sa conformité avec les normes de sécurité applicables.
Pour réduire efficacement le risque de cyberattaque, vous devez identifier et corriger les failles qui exposent le plus vos ressources, celles qui sont les plus exploitables ou qui entraîneraient les dommages les plus graves si elles étaient exploitées.
Pour améliorer efficacement votre stratégie de sécurité par rapport à une norme de sécurité particulière, vous devez identifier et corriger les failles qui enfreignent les contrôles des normes de sécurité qui s'appliquent à votre organisation.
Les sections suivantes expliquent comment hiérarchiser les résultats de failles de Security Command Center pour répondre à ces objectifs.
Hiérarchiser les découvertes de failles pour réduire les risques
Un résultat est l’enregistrement d’un problème de sécurité. Un résultat de faille inclut les informations suivantes que vous pouvez utiliser pour hiérarchiser la correction de la faille:
- Niveau d'exposition au piratage
- Enregistrements CVE avec évaluations CVE par MandiantPreview
- Niveau de gravité
Bien que les scores d'exposition aux attaques soient attribués aux résultats de failles, ils sont principalement basés sur l'identification des chemins d'attaque potentiels depuis l'Internet public vers vos ressources de forte valeur, la valeur de priorité attribuée aux ressources et le nombre de ressources affectées par le résultat.
Les informations CVE, y compris l’exploitabilité et les évaluations d’impact de la CVE fournies par Mandiant, sont basées sur la vulnérabilité elle-même.
De même, le niveau de gravité des résultats est basé sur le type de faille et est attribué à des catégories de résultats par Security Command Center. Tous les résultats d'une catégorie ou d'une sous-catégorie particulière sont émis avec le même niveau de gravité.
À moins que vous n'utilisiez le niveau Entreprise de Security Command Center, les niveaux de gravité des résultats sont des valeurs statiques qui ne changent pas pendant la durée de vie du résultat.
Avec le niveau Entreprise, les niveaux de gravité des résultats de failles et d'erreurs de configuration représentent plus précisément le risque en temps réel d'un résultat. Les résultats sont publiés avec le niveau de gravité par défaut de la catégorie de résultats, mais peuvent être supérieurs ou inférieurs au niveau par défaut lorsque le score d'exposition aux attaques du résultat augmente ou diminue tant que le résultat reste actif.
Prioriser en fonction des scores d'exposition aux attaques
En règle générale, privilégiez la correction des résultats de failles présentant un score d'exposition aux attaques élevé par rapport à ceux dont le score est faible ou inexistant.
Seuls les résultats de failles qui affectent les ressources désignées comme à forte valeur reçoivent des scores d'exposition aux attaques. Pour que les scores reflètent les priorités de votre entreprise, vous devez d'abord définir les ressources à forte valeur ajoutée. Pour en savoir plus, consultez la section Valeurs des ressources.
Dans la console Google Cloud, les scores s'affichent avec les résultats à plusieurs endroits, par exemple:
- Sur la page Présentation, où sont affichés les 10 résultats avec les scores les plus élevés.
- Dans une colonne de la page Résultats vous permettant d'interroger et de trier les résultats en fonction de leur score d'exposition au piratage.
- Lorsque vous affichez les détails d'un résultat de faille affectant une ressource de grande valeur.
Pour consulter les 10 résultats de failles présentant les scores d'exposition aux attaques les plus élevés, procédez comme suit:
Accédez à la page Présentation de la console Google Cloud:
Utilisez le sélecteur de projet de la console Google Cloud pour sélectionner le projet, le dossier ou l'organisation pour lesquels vous devez prioriser les failles:
Dans la section Principales failles constatées, examinez les 10 résultats.
Cliquez sur un score dans la colonne Niveau d'exposition aux attaques pour ouvrir la page des détails du chemin d'attaque correspondant au résultat.
Cliquez sur le nom d'un résultat pour ouvrir le panneau des détails du résultat sur la page Résultats.
Pour en savoir plus, consultez l'article Scores d'exposition aux attaques et chemins d'attaque.
Prioriser en fonction de l'exploitabilité et de l'impact des CVE
En règle générale, privilégiez la correction des résultats qui évaluent la facilité d'exploitation et l'impact de la CVE par rapport à ceux dont l'impact est faible ou faible.
Sur la page Présentation, dans la section Principaux résultats CVE, un graphique ou une carte thermique regroupe les failles identifiées en blocs en fonction des évaluations d'impact et d'exploitabilité fournies par Mandiant.
Lorsque vous affichez les détails de certains résultats de failles dans la console, vous pouvez trouver les informations CVE dans la section Vulnerability (Failles) de l'onglet Summary (Résumé). En plus de l'impact et de l'exploitabilité, la section Vulnérabilité inclut le score CVSS, des liens de référence et d'autres informations sur la définition de la faille CVE.
Pour identifier rapidement les résultats les plus efficaces et les plus exploitables, procédez comme suit:
Accédez à la page Présentation de la console Google Cloud:
Utilisez le sélecteur de projet de la console Google Cloud pour sélectionner le projet, le dossier ou l'organisation pour lesquels vous devez prioriser les failles:
Dans la section Principaux résultats CVE de la page Vue d'ensemble, cliquez sur le bloc dont le nombre est différent de zéro et présente le niveau d'exploitabilité et d'impact le plus élevé. La page Résultats par CVE s'ouvre et affiche la liste des ID de CVE qui ont le même impact et le même niveau d'exploitabilité.
Dans la section Résultats par ID de CVE, cliquez sur un ID de CVE. La page Résultats s'ouvre et affiche la liste des résultats qui partagent cet ID de CVE.
Sur la page Résultats, cliquez sur le nom d'un résultat pour afficher les détails du résultat et les étapes de résolution recommandées.
Hiérarchiser par gravité
En règle générale, privilégiez un résultat de faille de gravité CRITICAL à un résultat de faille de gravité HIGH, de gravité HIGH plutôt que MEDIUM, et ainsi de suite.
Le moyen le plus simple d'identifier les failles les plus graves consiste à utiliser les filtres rapides sur la page Résultats de la console Google Cloud.
Pour afficher les résultats présentant le niveau de gravité le plus élevé, procédez comme suit:
Accédez à la page Résultats de la console Google Cloud:
Utilisez le sélecteur de projet de la console Google Cloud pour sélectionner le projet, le dossier ou l'organisation pour lesquels vous devez prioriser les failles:
Dans le panneau Filtres rapides de la page Résultats, sélectionnez les propriétés suivantes:
- Sous Classe de résultat, sélectionnez Vulnérabilité.
- Sous Gravité, sélectionnez Critique, Élevée ou les deux.
Le panneau Résultats de la requête de résultats est actualisé pour n'afficher que les résultats présentant le niveau de gravité spécifié.
Vous pouvez également consulter le niveau de gravité des résultats de failles sur la page Présentation de la section Résultats de failles actives.
Hiérarchiser les découvertes de failles pour améliorer la conformité
Lorsque vous hiérarchisez les résultats de failles à des fins de conformité, votre principale préoccupation concerne ceux qui enfreignent les contrôles de la norme de conformité applicable.
Pour afficher les résultats qui ne respectent pas les contrôles d'une analyse comparative spécifique, procédez comme suit:
Accédez à la page Conformité dans la console Google Cloud:
Utilisez le sélecteur de projet de la console Google Cloud pour sélectionner le projet, le dossier ou l'organisation pour lesquels vous devez prioriser les failles:
À côté du nom de la norme de sécurité que vous devez respecter, cliquez sur Afficher les détails. La page Détails de la conformité s'ouvre.
Si la norme de sécurité dont vous avez besoin ne s'affiche pas, spécifiez-la dans le champ Norme de conformité de la page Détails de la conformité.
Triez les règles répertoriées par Résultats en cliquant sur l'en-tête de colonne.
Pour chaque règle qui affiche un ou plusieurs résultats, cliquez sur le nom de la règle dans la colonne Règles. La page Résultats s'ouvre et affiche les résultats pour cette règle.
Corrigez les résultats jusqu'à ce qu'il n'en reste plus. Après l'analyse suivante, si aucune nouvelle faille n'est détectée pour la règle, le pourcentage de contrôles réussis augmente.