本页介绍了一些信息和方法,可用于对 Security Command Center 的发现结果(包括软件漏洞、配置错误,以及 Enterprise 方案或高级方案中的有害组合和瓶颈,统称为“问题”)进行优先排序,以便更快、更高效地降低风险,并根据适用的安全标准提高您的安全状况。
确定优先级的目的
由于您的时间有限,并且 Security Command Center 问题数量可能非常庞大(尤其是在大型组织中),因此您需要快速识别并应对给贵组织带来最大风险的漏洞。
您需要修复漏洞,以降低组织遭受网络攻击的风险,并确保组织符合适用的安全标准。
为了有效降低遭受网络攻击的风险,您需要查找并修复那些最容易暴露您的资源、最容易被利用,或者一旦被利用就会造成最严重损害的漏洞。
为了有效改善特定安全标准方面的安全状况,您需要查找并修复违反适用于贵组织的安全标准控制措施的漏洞。
以下部分介绍了如何对 Security Command Center 安全状况发现结果进行优先级排序,以实现这些目的。
对问题进行优先级排序以降低风险
问题包含在贵组织中检测到的有害组合和瓶颈。这些是需要解决的最重要的问题。为了进一步帮助您确定问题的优先级,它们包含以下信息,您可以使用这些信息来确定底层安全问题修复工作的优先级:
根据攻击风险得分确定优先级
通常,与得分较低或没有得分的问题发现结果相比,应优先修复攻击风险得分较高的问题。
详情请参阅以下内容:
在 Security Command Center Google Cloud 控制台中查看得分
得分会在多个位置与发现结果一起显示,包括:
- 在风险概览页面上。
- 在 Security Command Center 的发现结果页面上的某个列中,您可以按得分查询和排序发现结果。
如需查看攻击风险得分最高的发现结果,请按以下步骤操作:
前往 Google Cloud 控制台中的风险概览页面:
使用 Google Cloud 控制台中的项目选择器,选择需要对其漏洞进行优先级排序的项目、文件夹或组织。
风险最高的问题部分会显示攻击风险得分最高的问题。
选择一个问题,然后点击查看问题详情,打开攻击路径详情页面和攻击风险得分。
点击查看全部,即可查看所有问题的列表,其中会显示每个问题的攻击风险得分。
如需详细了解风险概览页面,请参阅快速评估风险。
查看用例中的得分
在 Security Operations 控制台中,您主要使用支持请求,其中的发现结果会记录为提醒。
在 Security Command Center Enterprise 中,您可以在风险 > 支持请求页面上查看攻击风险得分最高的有害组合用例。您可以按攻击风险得分对用例进行排序。
在 Security Command Center 高级方案中,您还可以在 Google Cloud 控制台的发现结果页面上按攻击风险得分对发现结果进行排序。
如需了解如何专门查询有害组合用例,请参阅查看有害组合用例的详细信息。
按 CVE 可利用性和影响确定优先级
通常,与 CVE 评估结果为“可利用性低”且“影响小”的发现结果相比,应优先修复 CVE 评估结果为“可利用性高”且“影响大”的发现结果。
CVE 信息(包括 Mandiant 提供的 CVE 的可利用性和影响评估)基于软件漏洞本身。
在概览页面的漏洞信息中心下,最常见的漏洞及漏洞利用威胁 热图会根据 Mandiant 提供的可利用性和影响评估将漏洞发现结果汇总到不同的块中。
在 Google Cloud 控制台中查看软件漏洞发现结果的详细信息时,您可以在摘要标签页的漏洞部分找到 CVE 信息。除了影响和可利用性之外,漏洞部分还包含 CVSS 得分、参考链接以及有关 CVE 漏洞定义的其他信息。
如需快速找出影响最大且可利用性最高的发现结果,请按以下步骤操作:
在 Google Cloud 控制台中,前往风险概览页面。
使用 Google Cloud 控制台中的项目选择器,选择需要对其漏洞进行优先级排序的项目、文件夹或组织。
在风险概览页面上,点击漏洞。
在最常见的漏洞及漏洞利用威胁面板中,执行以下操作:
点击具有最高可利用性和影响力的非零数字块。该面板仅显示具有所选影响和可利用性的发现结果。
点击发现结果列中的数量。发现结果页面随即会打开,其中显示了共用该 CVE ID 的发现结果列表。
在最新的计算漏洞(含已知漏洞)部分中,点击虚拟机列中的资源 ID。系统会打开资产详细信息窗格,显示有关相应资产的信息。
按严重程度排序
一般来说,CRITICAL 严重性的问题或发现结果的优先级高于 HIGH 严重性的问题或发现结果,HIGH 严重性高于 MEDIUM 严重性,以此类推。
严重程度取决于安全问题的类型,并由 Security Command Center 分配给发现结果类别。特定类别或子类别中的所有发现结果均以相同的严重级别生成。
除非您使用的是 Security Command Center 的 Enterprise 方案或高级方案,否则发现结果的严重级别是静态值,在发现结果的整个生命周期内不会发生变化。
在 Enterprise 方案中,问题的严重级别更准确地代表了发现结果的实时风险。生成的发现结果会具有发现结果类别的默认严重级别,但在发现结果保持有效状态期间,随着发现结果的攻击风险得分的增加或减少,严重级别可能会增加或降低。
要确定最严重的漏洞,最简单的方法可能是在 Google Cloud 控制台的发现结果页面上使用快速过滤条件。
如需查看最高严重级别的发现结果,请按以下步骤操作:
前往 Google Cloud 控制台中的发现结果页面:
使用 Google Cloud 控制台中的项目选择器,选择需要对其漏洞进行优先级排序的项目、文件夹或组织。
在发现结果页面的快速过滤条件面板中,选择以下属性:
- 在发现结果类别下,选择漏洞。
- 在严重程度下方,选择严重、高或两者。
发现结果的查询结果面板会更新,仅显示严重级别为指定值的发现结果。
优先处理安全状况发现结果,以提高合规性
在确定合规性安全状况发现结果的优先级时,您主要需要关注的是那些违反适用合规标准控制措施的发现结果。
您可以按照以下步骤查看违反特定基准控制的发现结果:
前往 Google Cloud 控制台中的合规性页面:
使用 Google Cloud 控制台中的项目选择器,选择需要对其漏洞进行优先级排序的项目、文件夹或组织。
在您需要遵守的安全标准的名称旁边,点击查看详细信息。系统会打开合规详情页面。
如果未显示您需要的安全标准,请在合规性详情页面上的合规性标准字段中指定该标准。
点击列标题,按发现结果对列出的规则进行排序。
对于显示一个或多个发现结果的任何规则,请点击规则列中的规则名称。系统会打开发现结果页面,以显示该规则的发现结果。
修复发现结果,直到没有发现结果为止。在下一次扫描后,如果未针对该规则发现任何新的漏洞,则通过的控件百分比会增加。