Auf dieser Seite werden einige der Informationen und Methoden erläutert, mit denen Sie die Ergebnisse von Security Command Center zu Softwarelücken, Fehlkonfigurationen und, bei der Enterprise-Stufe, schädlichen Kombinationen (zusammen Sicherheitsstatus-Ergebnisse) priorisieren können, um das Risiko zu senken und die Sicherheit im Vergleich zu den anwendbaren Sicherheitsstandards schneller und effizienter zu verbessern.
Der Zweck der Priorisierung
Da Ihre Zeit begrenzt ist und die Anzahl der Ergebnisse der Security Command Center-Analyse vor allem in größeren Organisationen überwältigend sein kann, müssen Sie die Sicherheitslücken, die das größte Risiko für Ihr Unternehmen darstellen, schnell erkennen und darauf reagieren.
Sie müssen Sicherheitslücken schließen, um das Risiko eines Cyberangriffs auf Ihre Organisation zu verringern und die Einhaltung der anwendbaren Sicherheitsstandards durch Ihre Organisation aufrechtzuerhalten.
Um das Risiko eines Cyberangriffs effektiv zu reduzieren, müssen Sie die Sicherheitslücken enthalten, durch die Ihre Ressourcen am stärksten gefährdet sind, ausnutzbar sind oder den schwerwiegendsten Schaden zur Folge haben würden, wenn sie ausgenutzt werden sollten.
Wenn Sie Ihren Sicherheitsstatus im Hinblick auf einen bestimmten Sicherheitsstandard effektiv verbessern möchten, müssen Sie die Sicherheitslücken finden und beheben, die gegen die Kontrollen der Sicherheitsstandards verstoßen, die für Ihr Unternehmen gelten.
In den folgenden Abschnitten wird erläutert, wie Sie Security Command Center priorisieren können für diese Zwecke gewappnet sind.
Ergebnisse zur Haltung priorisieren, um das Risiko zu senken
Die Ergebnisse zum Sicherheitsstatus umfassen die folgenden Informationen, die Sie verwenden können , um die Behebung des zugrunde liegenden Sicherheitsproblems zu priorisieren:
- Angriffsbewertung oder Wert für schädliche Kombination
- CVE-Einträge mit CVE Bewertungen durch MandiantVorschau
- Schweregrad
Nach Angriffsrisikobewertungen priorisieren
Im Allgemeinen priorisieren Sie die Behebung eines Statusergebnisses, das eine hohe Angriffsrisikobewertung gegenüber einem Sicherheitsstatus, hat eine niedrigere oder keine Punktzahl.
Zum Sicherheitsstatus gehören die Ergebnisse zu toxischen Kombinationen. Wenn die Bewertung für ein Ergebnis vom Typ „Schädliche Kombination“ ungefähr der Bewertung für ein Ergebnis in einer anderen Ergebnisklasse entspricht, sollten Sie die Behebung des Ergebnisses vom Typ „Schädliche Kombination“ priorisieren, da es einen vollständigen Pfad darstellt, dem ein potenzieller Angreifer vom öffentlichen Internet zu einer oder mehreren Ihrer wertvollen Ressourcen folgen könnte.
Wenn die Angriffsrisikobewertung eines Ergebnisses in einer anderen Ergebnisklasse erheblich höher als der Wert für das Ergebnis einer unangemessenen Kombination, priorisieren Ergebnis mit der deutlich höheren Punktzahl.
Hier finden Sie weitere Informationen:
- Bewertungen zur Priorisierung von Maßnahmen verwenden
- Angriffsrisikobewertungen für schädliche Kombinationen
Punktzahlen in der Security Operations Console ansehen
In der Security Operations-Konsole arbeiten Sie hauptsächlich mit Fällen, bei denen Ergebnisse werden als Benachrichtigungen dokumentiert.
Diese Fälle werden oben angezeigt. Angriffsrisikobewertungen unter Status > Übersicht angezeigt.
Die Bewertungen für alle Anfragen finden Sie auf der Seite Anfragen. Dort können Sie die Anfragen nach dem Angriffsrisiko sortieren. Auf der Seite Bedrohungslage > Ergebnisse können Sie die Ergebnisse auch nach dem Angriffsrisikowert sortieren.
Informationen zur Abfrage von Fällen mit unangemessenen Kombinationen finden Sie unter Details zu Fällen von unangemessenen Kombinationen ansehen
Punktzahlen in der Google Cloud Console ansehen
In der Google Cloud Console werden die Bewertungen zusammen mit den Ergebnissen an mehreren Stellen angezeigt, darunter:
- Auf der Seite Risikoübersicht, wobei die zehn Ergebnisse mit den höchsten Bewertungen angezeigt.
- In einer Spalte auf der Seite Ergebnisse, in der Sie Ergebnisse abfragen und nach Bewertung sortieren können.
- Wenn Sie die Details eines Statusergebnisses ansehen, das sich auf ein wertvolle Ressource.
Auf der Seite Ergebnisse in der Google Cloud Console werden die Bewertungen der Angriffsrisiken von Ergebnissen mit schädlichen Kombinationen in der Spalte Bewertung der schädlichen Kombination getrennt von den Bewertungen der Angriffsrisiken anderer Ergebnisklassen angezeigt.
In der Google Cloud Console können Sie die Ergebnisse die die höchsten Angriffsrisikobewertungen haben. Gehen Sie dazu so vor:
Rufen Sie in der Google Cloud Console die Seite Risikoübersicht auf:
Verwenden Sie die Projektauswahl in der Google Cloud Console, um das Projekt, den Ordner oder die Organisation auszuwählen, für die Sie Sicherheitslücken priorisieren möchten:
Sehen Sie sich im Abschnitt Top-Fälle zu schädlichen Kombinationen die Ergebnisse mit den höchsten Werten für schädliche Kombinationen an.
- Klicken Sie auf den Link Fall ansehen, um den entsprechenden Fall in der Security Operations Console zu öffnen.
Prüfen Sie im Abschnitt Ergebnisse zu aktiven Sicherheitslücken den Sicherheitsstatus. Ergebnisse mit den höchsten Angriffsrisikobewertungen. Giftige Kombination Ergebnisse sind in diesem Abschnitt nicht enthalten.
Klicken Sie auf einen Wert in der Spalte Angriffsrisikobewertung, um den Detailseite des Angriffspfads für das Ergebnis.
Klicken Sie auf den Namen eines Ergebnisses, um den Bereich mit den Ergebnisdetails auf der Seite Ergebnisse zu öffnen.
Nach CVE-Ausnutzbarkeit und Auswirkungen priorisieren
Priorisieren Sie in der Regel die Behebung von Ergebnissen mit einer CVE-Bewertung mit hoher Ausnutzbarkeit und hoher Auswirkung vor Ergebnissen mit einer CVE-Bewertung mit geringer Ausnutzbarkeit und geringer Auswirkung.
CVE-Informationen, einschließlich der von Mandiant bereitgestellten Bewertungen der Ausnutzbarkeit und Auswirkungen der CVE, basieren auf der Softwarelücke selbst.
Auf der Seite Übersicht im Abschnitt Top-CVE-Ergebnisse wird ein Diagramm angezeigt. oder Heatmap, gruppiert Schwachstellen in Blöcke nach der Ausnutzbarkeit. und Folgenabschätzungen, die von Mandiant zur Verfügung gestellt werden.
Wenn Sie sich die Details zu den Ergebnissen der Software-Sicherheitslücken in der Console ansehen, finden Sie die CVE-Informationen auf dem Tab Zusammenfassung im Bereich Sicherheitslücke. Der Abschnitt Sicherheitslücke enthält neben den Auswirkungen und der Ausnutzbarkeit auch die CVSS-Bewertung, Links zu Referenzen und weitere Informationen zur Definition der CVE-Sicherheitslücke.
So können Sie schnell die Ergebnisse mit der größten Auswirkung und Nutzbarkeit ermitteln:
Rufen Sie in der Google Cloud Console die Seite Übersicht auf:
Verwenden Sie die Projektauswahl in der Google Cloud Console, um Wählen Sie das Projekt, den Ordner oder die Organisation aus, für die Sie Schwachstellen priorisieren:
Klicken Sie auf der Seite Übersicht im Bereich Top CVE-Ergebnisse auf den Block mit einer nicht nullwertigen Zahl, der die höchste Ausnutzbarkeit und Auswirkung hat. Die Seite Ergebnisse nach CVE wird geöffnet und Sie sehen eine Liste der CVE-IDs, die Auswirkungen und Ausnutzbarkeit.
Klicken Sie im Bereich Ergebnisse nach CVE-ID auf eine CVE-ID. Die Seite Ergebnisse wird geöffnet und zeigt eine Liste der Ergebnisse mit derselben CVE-ID an.
Klicken Sie auf der Seite Ergebnisse auf den Namen eines Ergebnisses, um die Details des Ergebnisses und die empfohlenen Maßnahmen zur Behebung zu sehen.
Nach Schweregrad priorisieren
Priorisieren Sie im Allgemeinen ein Ergebnis mit dem Schweregrad CRITICAL vor einem Ergebnis mit dem Schweregrad HIGH, einen Schweregrad HIGH vor einem Schweregrad MEDIUM usw.
Die Schweregrade der Ergebnisse basieren auf der Art des Sicherheitsproblems und werden den Ergebniskategorien im Security Command Center zugewiesen. Alle Ergebnisse in einer bestimmten Kategorie oder Unterkategorie haben dieselbe Schwere.
Wenn Sie nicht die Enterprise-Stufe von Security Command Center verwenden, Schweregrade sind statische Werte, die sich im Laufe der Lebensdauer zu finden.
Bei der Enterprise-Stufe werden Ergebnisse das Echtzeitrisiko genauer abbilden, eines Ergebnisses. Die Ergebnisse werden mit der Standardstufe der Schwere der Ergebniskategorie ausgegeben. Solange das Ergebnis aktiv bleibt, kann die Schwerestufe jedoch steigen oder sinken, wenn der Wert für die Angriffsexposition des Ergebnisses steigt oder sinkt.
Am einfachsten lassen sich die Sicherheitslücken mit der höchsten Schwere mithilfe der Schnellfilter auf der Seite Ergebnisse in der Google Cloud Console ermitteln.
So rufen Sie die Ergebnisse mit der höchsten Schwere auf:
Rufen Sie in der Google Cloud Console die Seite Ergebnisse auf:
Verwenden Sie die Projektauswahl in der Google Cloud Console, um das Projekt, den Ordner oder die Organisation auszuwählen, für die Sie Sicherheitslücken priorisieren möchten:
Wählen Sie auf der Seite Ergebnisse im Bereich Schnellfilter folgenden Properties:
- Wählen Sie unter Finding class (Suchklasse) die Option Vulnerability (Sicherheitslücke) aus.
- Wählen Sie unter Schweregrad die Option Kritisch, Hoch oder beides aus.
Der Bereich Abfrageergebnisse wird aktualisiert und zeigt jetzt nur Ergebnisse an mit dem angegebenen Schweregrad.
Sie können die Schweregrade der Statusergebnisse auch in der Übersicht sehen. im Abschnitt Ergebnisse zu aktiven Sicherheitslücken.
Ergebnisse zur Compliance-Position priorisieren
Bei der Priorisierung von Ergebnissen zur Compliance sollten Sie sich vor allem auf die Ergebnisse konzentrieren, die gegen die Kontrollen des anwendbaren Compliance-Standards verstoßen.
So rufen Sie die Ergebnisse auf, die gegen die Vorgaben eines bestimmten Benchmarks verstoßen:
Rufen Sie in der Google Cloud Console die Seite Compliance auf:
Verwenden Sie die Projektauswahl in der Google Cloud Console, um das Projekt, den Ordner oder die Organisation auszuwählen, für die Sie Sicherheitslücken priorisieren möchten:
Klicken Sie neben dem Namen des Sicherheitsstandards, den Sie einhalten müssen, auf Details ansehen. Die Seite Compliance-Details wird geöffnet.
Wenn der von Ihnen benötigte Sicherheitsstandard nicht angezeigt wird, geben Sie den Standard an. im Feld Compliance-Standard auf der Seite Compliance-Details.
Sie können die aufgeführten Regeln nach Ergebnissen sortieren, indem Sie auf die Spaltenüberschrift klicken.
Klicken Sie für eine Regel, die ein oder mehrere Ergebnisse enthält, auf den Regelnamen in der Spalte Regeln. Die Seite Ergebnisse wird geöffnet und die Ergebnisse für diese Regel werden angezeigt.
Beheben Sie die Ergebnisse, bis keine Ergebnisse mehr sind. Nach der nächsten Scan: Wenn für die Regel keine neuen Sicherheitslücken gefunden werden, den Prozentsatz der übergebenen Kontrollen erhöht.