本页介绍了一些信息和方法,可用于确定 Security Command Center 针对软件漏洞、配置错误以及(对于企业版层级)有害组合(统称为状况发现结果)的优先级,以便您更快速、更高效地降低风险并相应于适用的安全标准改善安全状况。
确定优先顺序的目的
由于时间有限,而且 Security Command Center 的状况发现结果可能非常多(尤其是在大型组织中),因此您需要快速识别并响应对贵组织构成最大风险的漏洞。
您需要修复漏洞,以降低组织遭受网络攻击的风险,并确保贵组织遵守适用的安全标准。
为了有效降低遭受网络攻击的风险,您需要查找并修复最易导致资源暴露、最易被利用或被利用后会造成最严重破坏的漏洞。
若要针对特定安全标准有效改善安全状况,您需要查找并修复违反适用于贵组织的安全标准控制措施的漏洞。
以下部分介绍了如何确定 Security Command Center 安全状况发现结果的优先级,以实现这些目的。
优先解决姿势问题以降低风险
态势发现结果包含以下信息,可用于确定解决潜在安全问题的优先顺序:
根据攻击风险得分确定优先级
通常,应优先修复攻击风险得分较高的态势发现结果,而不是得分较低或无得分的态势发现结果。
状态发现结果包括危险组合发现结果。如果恶意组合发现结果的得分与其他发现类别中的发现结果的攻击风险得分大致相同,您应优先修复恶意组合发现结果,因为它代表了潜在攻击者从公共互联网到达您的一个或多个高价值资源的完整路径。
如果其他发现类别中的发现结果的攻击风险得分明显高于恶意组合发现结果的得分,请优先处理得分明显更高的发现结果。
详情请参阅以下内容:
在 Security Operations 控制台中查看得分
在安全运营控制台中,您主要处理支持请求,其中发现的问题会记录为提醒。
您可以在状况 > 概览页面上查看攻击风险得分最高的恶意组合案例。
您可以在支持请求页面上查看所有支持请求的得分,并按攻击风险得分对支持请求进行排序。您还可以在状况 > 发现结果页面上按攻击风险得分对发现结果进行排序。
如需详细了解如何查询危险组合案例,请参阅查看危险组合案例的详细信息。
在 Google Cloud 控制台中查看得分
在 Google Cloud 控制台中,得分会与发现结果一起显示在多个位置,包括:
- 风险概览页面上,该页面会显示得分最高的 10 项发现。
- 在发现结果页面上的某个列中,您可以按得分查询和排序发现结果。
- 查看影响高价值资源的态势发现结果的详细信息时。
在 Google Cloud 控制台的发现结果页面上,有毒组合发现结果的攻击风险得分显示在有毒组合得分列中,与其他发现类别的攻击风险得分分开显示。
在 Google Cloud 控制台中,您可以按照以下步骤查看攻击风险得分最高的发现结果:
前往 Google Cloud 控制台中的风险概览页面:
使用 Google Cloud 控制台中的项目选择器来选择需要确定漏洞优先级的项目、文件夹或组织:
在风险最高的恶意组合支持请求部分,查看危险组合得分最高的发现结果。
- 点击查看支持请求链接,在安全运营控制台中打开相应支持请求。
在有效漏洞发现结果部分,查看攻击暴露分数最高的状况发现结果。本部分不包含危险组合发现结果。
点击“攻击暴露得分”列中的得分,即可打开相应发现结果的攻击路径详情页面。
点击某个发现结果名称,在发现结果页面上打开发现结果详情面板。
按 CVE 可利用性和影响确定优先级
一般来说,应优先修复 CVE 评估结果为可利用性高且影响高级别的发现结果,而不是 CVE 评估结果为可利用性低且影响低级别的发现结果。
CVE 信息(包括 Mandiant 提供的 CVE 的可利用性和影响评估)基于软件漏洞本身。
在概览页面的重要 CVE 发现结果部分,有一个图表或热点图,会根据 Mandiant 提供的可利用性和影响评估将漏洞发现结果分组为多个块。
在控制台中查看软件漏洞发现结果的详细信息时,您可以在摘要标签页的漏洞部分找到 CVE 信息。除了影响和可利用性之外,漏洞部分还包含 CVSS 评分、参考链接以及与 CVE 漏洞定义相关的其他信息。
如需快速确定影响和可利用性最高的发现结果,请按以下步骤操作:
前往 Google Cloud 控制台中的概览页面:
使用 Google Cloud 控制台中的项目选择器来选择需要确定漏洞优先级的项目、文件夹或组织:
在概览页面的主要 CVE 发现结果部分,点击可利用性和影响最高且数值不为零的代码块。系统随即会打开按 CVE 显示的发现结果页面,其中会列出影响和可利用性相同的 CVE ID。
在发现结果(按 CVE ID)部分中,点击相应的 CVE ID。系统随即会打开发现结果页面,显示共用该 CVE ID 的发现结果列表。
在发现结果页面上,点击相应发现结果的名称,即可查看该发现结果的详细信息和建议的补救措施步骤。
按严重程度排序
通常,应优先处理严重级别为 CRITICAL
的态势发现结果,其次是严重级别为 HIGH
的态势发现结果,严重级别为 HIGH
的态势发现结果优先于严重级别为 MEDIUM
的态势发现结果,以此类推。
发现结果的严重级别取决于安全问题的类型,由 Security Command Center 分配给发现结果类别。特定类别或子类别中的所有发现结果均具有相同的严重级别。
除非您使用的是 Security Command Center 的企业版,否则发现问题的严重程度级别是静态值,在发现问题的整个生命周期内不会发生变化。
在企业层级,态势发现结果的严重级别更准确地反映了发现结果的实时风险。发现结果会采用相应发现结果类别的默认严重程度级别发布,但在发现结果保持有效状态期间,随着发现结果的攻击暴露得分增加或减少,严重程度级别也可能会增加或减少。
若要识别严重程度最高的漏洞,最简单的方法可能是在 Google Cloud 控制台的发现结果页面上使用快捷过滤条件。
如需查看严重程度最高的发现结果,请按以下步骤操作:
进入 Google Cloud 控制台中的发现结果页面:
使用 Google Cloud 控制台中的项目选择器来选择需要确定漏洞优先级的项目、文件夹或组织:
在发现结果页面的快速过滤条件面板中,选择以下属性:
- 在发现类下,选择漏洞。
- 在严重程度下方,选择严重和/或高。
发现结果的查询结果面板会更新,仅显示具有指定严重级别的发现结果。
您还可以在概览页面的未解决的漏洞发现结果部分中查看状态发现结果的严重级别。
优先处理合规状况发现结果,以提高合规性
在确定合规性状况发现结果的优先级时,您主要关注的是违反适用合规性标准控制措施的发现结果。
您可以按照以下步骤查看违反特定基准测试控制项的发现结果:
进入 Google Cloud 控制台中的合规性页面:
使用 Google Cloud 控制台中的项目选择器来选择需要确定漏洞优先级的项目、文件夹或组织:
点击您需要遵守的安全标准名称旁边的查看详情。系统随即会打开合规性详情页面。
如果系统未显示您需要的安全标准,请在合规性详情页面的合规性标准字段中指定该标准。
点击列标题,按发现结果对列出的规则进行排序。
对于显示一个或多个发现结果的任何规则,请点击规则列中的规则名称。系统随即会打开发现结果页面,以显示该规则的发现结果。
解决发现的问题,直到没有剩余的问题为止。在下次扫描后,如果未针对该规则发现新漏洞,则通过的控件百分比会增加。