Cette page décrit certaines des informations et méthodes que vous pouvez utiliser pour hiérarchiser les résultats de Security Command Center concernant les failles logicielles, les erreurs de configuration et, avec le niveau Enterprise, les combinaisons toxiques (failles collectivement). Vous pouvez ainsi réduire les risques et améliorer plus rapidement et plus efficacement votre stratégie de sécurité par rapport aux normes de sécurité applicables.
L'objectif de la hiérarchisation
Comme vous disposez d'un temps limité et que le volume de failles détectées par Security Command Center peut être intimidant, en particulier dans les grandes organisations, vous devez identifier et corriger rapidement les failles qui présentent le plus grand risque pour votre organisation.
Vous devez corriger les failles afin de réduire le risque de cyberattaque contre votre organisation et de maintenir la conformité de celle-ci avec les normes de sécurité applicables.
Pour réduire efficacement le risque d'une cyberattaque, vous devez identifier et corriger les failles qui exposent le plus vos ressources, qui sont les plus exploitables ou qui entraîneraient les dommages les plus graves en cas d'exploitation.
Pour améliorer efficacement votre stratégie de sécurité par rapport à une norme de sécurité particulière, vous devez identifier et corriger les failles qui ne respectent pas les contrôles des normes de sécurité qui s'appliquent à votre organisation.
Les sections suivantes expliquent comment hiérarchiser les résultats de failles de Security Command Center afin d'atteindre ces objectifs.
Hiérarchiser les détections de failles pour réduire les risques
Un résultat est un enregistrement d'un problème de sécurité. Une détection de faille inclut les informations suivantes que vous pouvez utiliser pour hiérarchiser la correction de la faille:
- Score d'exposition au piratage ou score de combinaison toxique
- Enregistrements CVE avec les évaluations CVE par MandiantPreview
- Gravité
Bien que les scores d'exposition aux attaques soient attribués aux résultats de failles, ils sont principalement basés sur l'identification des chemins d'attaque potentiels allant du réseau Internet public à vos ressources de forte valeur, sur la valeur de priorité attribuée aux ressources et sur le nombre de ressources affectées par le résultat.
Un score de combinaison toxique s'applique aux résultats de combinaisons toxiques, qui sont une fonctionnalité du niveau Enterprise de Security Command Center. Un score de combinaison toxique est semblable au score d'exposition aux attaques sur d'autres types de résultats, mais il peut être considéré comme une application à un chemin plutôt qu'à la découverte d'une faille ou d'une configuration logicielle individuelle. Pour en savoir plus, consultez la page Scores d'exposition aux attaques par combinaison toxique.
Les informations CVE, y compris les évaluations d'impact et d'exploitabilité de la CVE fournies par Mandiant, sont basées sur la vulnérabilité elle-même.
De même, le niveau de gravité des résultats est basé sur le type de faille et est affecté à des catégories de résultats par Security Command Center. Tous les résultats d'une catégorie ou d'une sous-catégorie particulière sont émis avec le même niveau de gravité.
À moins que vous n'utilisiez le niveau Enterprise de Security Command Center, les niveaux de gravité des résultats sont des valeurs statiques qui ne changent pas au cours du cycle de vie du résultat.
Avec le niveau Enterprise, les niveaux de gravité des failles et des résultats de configuration représentent plus précisément le risque en temps réel d'un résultat. Les résultats sont émis avec le niveau de gravité par défaut de la catégorie de résultats, mais ils peuvent passer au-dessus ou en dessous du niveau par défaut lorsque le score d'exposition au piratage du résultat augmente ou diminue tandis que le résultat reste actif.
Prioriser les scores d'exposition au piratage
En règle générale, privilégiez la correction des résultats présentant une exposition aux attaques élevée ou un score de combinaison toxique élevé par rapport aux résultats dont le score est inférieur ou inexistant.
Seuls les résultats de failles qui affectent les ressources désignées comme à forte valeur reçoivent des scores. Pour que les scores reflètent les priorités de votre entreprise, vous devez d'abord définir les ressources à forte valeur. Pour en savoir plus, consultez la section Valeurs de ressources.
Dans la console Google Cloud et la console Security Operations, les scores apparaissent avec les résultats à plusieurs endroits, y compris:
- La page Présentation contient les 10 résultats ayant les scores les plus élevés.
- Dans une colonne de la page Résultats, où vous pouvez interroger et trier les résultats par score.
- Lorsque vous affichez les détails d'un résultat de faille qui affecte une ressource de forte valeur.
Affichez les résultats de combinaisons toxiques avec les meilleurs scores dans la console Opérations de sécurité
Dans la console Opérations de sécurité, vous travaillez avec des combinaisons toxiques principalement à travers des cas. Vous pouvez afficher les cas des résultats avec les meilleurs scores sur la page Posture > Overview (Stratégie > Vue d'ensemble).
Afficher les résultats avec les meilleurs scores dans la console Google Cloud
Dans la console Google Cloud, vous pouvez afficher les 10 résultats de failles présentant les scores d'exposition aux attaques les plus élevés en procédant comme suit:
Accédez à la page Présentation de la console Google Cloud:
À l'aide du sélecteur de projet de la console Google Cloud, sélectionnez le projet, le dossier ou l'organisation pour lesquels vous devez hiérarchiser les failles:
Dans la section Principales failles constatées, passez en revue les 10 résultats.
Cliquez sur un score dans la colonne Score d'exposition au piratage pour ouvrir la page d'informations sur le chemin d'attaque du résultat.
Cliquez sur le nom d'un résultat pour ouvrir le panneau des détails du résultat sur la page Résultats.
Pour en savoir plus, consultez la section Scores d'exposition au piratage et chemins d'attaque.
Priorisation par niveau d'exploitabilité et d'impact de la CVE
En règle générale, privilégiez la correction des résultats présentant une évaluation CVE de haut niveau d'exploitabilité et d'impact par rapport aux résultats avec une évaluation CVE de faible exploitabilité et de faible impact.
Dans la section Principaux résultats CVE de la page Présentation, un graphique ou une carte de densité regroupe les résultats des failles dans des blocs en fonction des évaluations d'exploitabilité et d'impact fournies par Mandiant.
Lorsque vous affichez les détails de certaines failles détectées dans la console, vous pouvez trouver des informations sur la faille CVE dans la section Vulnérabilité de l'onglet Résumé. En plus de l'impact et de l'exploitabilité, la section Vulnérabilité inclut le score CVSS, des liens de référence et d'autres informations sur la définition des failles CVE.
Pour identifier rapidement les résultats qui ont le plus d'impact et d'exploitabilité, procédez comme suit:
Accédez à la page Présentation de la console Google Cloud:
À l'aide du sélecteur de projet de la console Google Cloud, sélectionnez le projet, le dossier ou l'organisation pour lesquels vous devez hiérarchiser les failles:
Dans la section Principaux résultats CVE de la page Présentation, cliquez sur le bloc dont la valeur est supérieure à zéro et présente le niveau d'exploitabilité et d'impact le plus élevé. La page Findings by CVE (Résultats par CVE) s'ouvre pour afficher la liste des ID CVE ayant le même impact et le même niveau d'exploitabilité.
Dans la section Findings by CVE ID (Résultats par ID de CVE), cliquez sur un ID de CVE. La page Résultats s'ouvre pour afficher la liste des résultats partageant cet ID de CVE.
Sur la page Résultats, cliquez sur le nom d'un résultat pour afficher les détails du résultat et les étapes de résolution recommandées.
Hiérarchiser par gravité
En règle générale, donnez la priorité à un résultat de faille avec un niveau de gravité CRITICAL plutôt qu'à un résultat de faille avec un niveau de gravité HIGH, donnez la priorité à la gravité HIGH plutôt qu'au niveau de gravité MEDIUM, etc.
Le moyen le plus simple d'identifier les failles les plus graves consiste à utiliser les filtres rapides sur la page Résultats de la console Google Cloud.
Pour afficher les résultats présentant le niveau de gravité le plus élevé, procédez comme suit:
Accédez à la page Résultats de la console Google Cloud:
À l'aide du sélecteur de projet de la console Google Cloud, sélectionnez le projet, le dossier ou l'organisation pour lesquels vous devez hiérarchiser les failles:
Dans le panneau Filtres rapides de la page Résultats, sélectionnez les propriétés suivantes:
- Sous Classe de résultat, sélectionnez Vulnérabilité.
- Sous Gravité, sélectionnez Critique, Élevée ou les deux.
Le panneau Résultats de la requête de résultat est mis à jour pour n'afficher que les résultats présentant le niveau de gravité spécifié.
Vous pouvez également consulter le niveau de gravité des failles détectées sur la page Présentation, dans la section Résultats de failles actives.
Hiérarchiser les détections de failles pour améliorer la conformité
Lorsque vous identifiez des failles de conformité en priorité, votre principale préoccupation concerne les éléments qui ne respectent pas les contrôles de la norme de conformité applicable.
Vous pouvez afficher les résultats qui ne respectent pas les contrôles d'une analyse comparative particulière en procédant comme suit:
Accédez à la page Conformité dans la console Google Cloud:
À l'aide du sélecteur de projet de la console Google Cloud, sélectionnez le projet, le dossier ou l'organisation pour lesquels vous devez hiérarchiser les failles:
À côté du nom de la norme de sécurité que vous devez respecter, cliquez sur Afficher les détails. La page Détails de la conformité s'ouvre.
Si la norme de sécurité dont vous avez besoin ne s'affiche pas, spécifiez-la dans le champ Norme de conformité de la page Détails de la conformité.
Triez les règles listées par Résultats en cliquant sur l'en-tête de colonne.
Pour chaque règle qui affiche un ou plusieurs résultats, cliquez sur le nom de la règle dans la colonne Rules (Règles). La page Résultats s'ouvre et affiche les résultats pour cette règle.
Corrigez les résultats jusqu'à ce qu'il n'en reste plus. Après l'analyse suivante, si aucune nouvelle faille n'est détectée pour la règle, le pourcentage de contrôles réussis augmente.