Questa pagina illustra alcune informazioni e metodi che puoi utilizzare per dare la priorità ai risultati di Security Command Center relativi a vulnerabilità del software, configurazioni errate e, con il livello Enterprise, combinazioni dannose (collettivamente risultati relativi alla postura), in modo da ridurre il rischio e migliorare la tua postura di sicurezza rispetto agli standard di sicurezza applicabili in modo più rapido ed efficiente.
Lo scopo dell'assegnazione delle priorità
Poiché il tempo è limitato e il volume dei risultati relativi alla postura di Security Command Center può essere ingombrante, soprattutto nelle organizzazioni più grandi, è necessario identificare e rispondere rapidamente alle vulnerabilità che rappresentano il rischio maggiore per la tua organizzazione.
È necessario correggere le vulnerabilità per ridurre il rischio di un attacco informatico della tua organizzazione e di mantenere la conformità dell'organizzazione agli standard di sicurezza applicabili.
Per ridurre efficacemente il rischio di un attacco informatico, è necessario individuare e risolvere le vulnerabilità che espongono maggiormente le tue risorse e che sono sfruttabili o che comporterebbero i danni più gravi se sfruttati.
Per migliorare efficacemente la condizione di sicurezza in relazione a un standard di sicurezza, devi trovare e le vulnerabilità che violano i controlli degli standard di sicurezza fare domanda per la tua organizzazione.
Le sezioni seguenti spiegano come assegnare la priorità ai risultati relativi alla situazione di Security Command Center per soddisfare questi scopi.
Assegna la priorità ai risultati relativi alla posizione per ridurre il rischio
I risultati della postura includono le seguenti informazioni che puoi utilizzare per dare la priorità alla risoluzione del problema di sicurezza sottostante:
- Punteggio di esposizione agli attacchi o punteggio di combinazione tossica
- Record CVE con CVE valutazioni di Mandiantanteprima
- Gravità
Dare la priorità in base ai punteggi di esposizione agli attacchi
In generale, dare la priorità alla correzione di un rilevamento di postura che ha un alto punteggio di esposizione agli attacchi rispetto a una condizione di rilevamento che ha un punteggio più basso o nessun punteggio.
I risultati della postura includono quelli relativi a combinazioni tossiche. Se il punteggio di un risultato relativo a una combinazione tossica è approssimativamente uguale al punteggio di esposizione agli attacchi di un risultato in una classe di risultati diversa, devi dare la priorità alla correzione del risultato relativo alla combinazione tossica, in quanto rappresenta un percorso completo che un potenziale malintenzionato potrebbe seguire dalla rete internet pubblica a una o più delle tue risorse di alto valore.
Se il punteggio di esposizione agli attacchi di un risultato in un'altra classe di risultati è molto più alto del punteggio di una combinazione tossica, dai la priorità il risultato con il punteggio significativamente più alto.
Per ulteriori informazioni, consulta le seguenti risorse:
- Utilizzare i punteggi per dare la priorità alla ricerca di soluzioni
- Punteggi di esposizione agli attacchi per le combinazioni dannose
Visualizza i punteggi nella Security Operations Console
Nella console Security Operations, lavori principalmente con le richieste, in cui i risultati sono documentati come avvisi.
Puoi visualizzare i casi di combinazione tossica con le i punteggi di esposizione agli attacchi nella pagina Posture > Panoramica.
Puoi visualizzare i punteggi di tutte le richieste nella pagina Richieste, dove puoi anche ordinarle in base al punteggio di esposizione agli attacchi. Puoi anche ordinare i risultati in base al punteggio di esposizione agli attacchi nella pagina Postura > Risultati.
Per informazioni su come eseguire query specifiche per casi di combinazione tossica, consulta Visualizza i dettagli di un caso di combinazione tossica.
Visualizza i punteggi nella console Google Cloud
Nella console Google Cloud, i punteggi vengono visualizzati con i risultati in più posizioni, tra cui:
- Nella pagina Panoramica dei rischi, dove vengono visualizzati i 10 risultati con i punteggi più elevati.
- In una colonna della pagina Risultati, in cui puoi eseguire query e ordinare i risultati per punteggio.
- Quando visualizzi i dettagli di un risultato di postura che interessa una di una risorsa di alto valore.
Nella pagina Risultati della console Google Cloud, punteggi di esposizione della combinazione tossica i risultati sono presentati separatamente nella colonna Combinazione tossica dai punteggi di esposizione agli attacchi di altre classi di risultati.
Nella console Google Cloud, puoi visualizzare i risultati con i punteggi di esposizione agli attacchi più elevati seguendo questi passaggi:
Vai alla pagina Panoramica dei rischi nella console Google Cloud:
Utilizza il selettore di progetti nella console Google Cloud per selezionare il progetto, la cartella o l'organizzazione per cui devi dare la priorità alle vulnerabilità:
Nella sezione Prime richieste di combinazione tossica, esamina i risultati con i punteggi delle combinazioni tossiche più elevati.
- Fai clic sul link Visualizza richiesta per aprire la richiesta corrispondente nella console Security Operations.
Nella sezione Risultati di vulnerabilità attivi, esamina la postura risultati con i punteggi più alti per l'esposizione agli attacchi. I risultati relativi alle combinazioni dannose non sono inclusi in questa sezione.
Fai clic su un punteggio nella colonna Punteggio esposizione all'attacco per aprire la pagina dei dettagli del percorso di attacco per la segnalazione.
Fai clic sul nome di un risultato per aprire il riquadro dei dettagli del risultato in Risultati .
Assegna la priorità in base a sfruttabilità e impatto delle CVE
In generale, dare la priorità alla correzione dei risultati che hanno un CVE di elevata sfruttabilità e di impatto elevato sui risultati con un Valutazione CVE di basso sfruttabilità e basso impatto.
Le informazioni sulle CVE, incluse le valutazioni di sfruttabilità e impatto delle CVE fornite da Mandiant, si basano sulla vulnerabilità del software stessa.
Nella pagina Panoramica, nella sezione Principali risultati con CVE, un grafico o una mappa termica raggruppa i risultati relativi alle vulnerabilità in blocchi in base alle valutazioni di exploitabilità e impatto fornite da Mandiant.
Quando visualizzi i dettagli dei risultati delle vulnerabilità del software nella console, puoi trovare le informazioni sulle CVE nella sezione Vulnerabilità di la scheda Riepilogo. Oltre all'impatto e alla sfruttabilità, La sezione Vulnerabilità include il punteggio CVSS, i link di riferimento e e altre informazioni sulla definizione di vulnerabilità CVE.
Per identificare rapidamente i risultati con l'impatto e la possibilità di sfruttamento maggiori:
Nella console Google Cloud, vai alla pagina Panoramica:
Utilizza il selettore di progetti nella console Google Cloud per selezionare il progetto, la cartella o l'organizzazione per cui devi dare la priorità alle vulnerabilità:
Nella sezione Principali risultati CVE della pagina Panoramica, fai clic sul blocco con un numero diverso da zero con la maggiore sfruttabilità e impatto. Viene visualizzata la pagina Risultati per CVE, che mostra un elenco di ID CVE con lo stesso impatto e la stessa sfruttabilità.
Nella sezione Risultati per ID CVE, fai clic su un ID CVE. Viene visualizzata la pagina Risultati, che mostra l'elenco dei risultati che condividono l'ID CVE.
Nella pagina Risultati, fai clic sul nome di un risultato per visualizzarne i dettagli. del risultato e dei passaggi correttivi consigliati.
Assegna la priorità in base alla gravità
In genere, assegna la priorità a un risultato relativo alla postura con gravità CRITICAL rispetto a un risultato relativo alla postura con gravità HIGH, alla gravità HIGH rispetto a una gravità MEDIUM e così via.
L’individuazione delle gravità si basa sul tipo di problema di sicurezza assegnate alle categorie di risultati da Security Command Center. Tutti i risultati in una particolare categoria o sottocategoria viene emessa con la stessa gravità livello.
A meno che non utilizzi il livello Enterprise di Security Command Center, i livelli di gravità della segnalazione sono valori statici che non cambiano nel corso della vita della segnalazione.
Con il livello Enterprise, i livelli di gravità dei risultati relativi alla posizione rappresentano in modo più accurato il rischio in tempo reale di un risultato. I risultati vengono emessi con il livello di gravità predefinito della categoria del risultato, ma, mentre il risultato rimane attivo, il livello di gravità può aumentare o diminuire con l'aumento o la diminuzione del punteggio di esposizione agli attacchi del risultato.
Forse il modo più semplice per identificare le vulnerabilità con la gravità più elevata è utilizzare i filtri rapidi nella pagina Risultati della console Google Cloud.
Per visualizzare i risultati con la gravità più alta, segui questi passaggi:
Vai alla pagina Risultati nella console Google Cloud:
Usa il selettore progetti nella console Google Cloud per seleziona il progetto, la cartella o l'organizzazione per cui devi dai priorità alle vulnerabilità:
Nel riquadro Filtri rapidi della pagina Risultati, seleziona le seguenti proprietà:
- In Finding class (Ricerca della classe), seleziona Vulnerability (Vulnerabilità).
- In Gravità, seleziona Critica, Alta o entrambe le opzioni.
Il riquadro Risultati della query sui risultati si aggiorna per mostrare solo i risultati con la gravità specificata.
Puoi anche visualizzare le severità dei risultati relativi alla conformità nella pagina Panoramica nella sezione Risultati di vulnerabilità attivi.
Assegna la priorità ai risultati della postura per migliorare la conformità
Quando assegni la priorità ai risultati relativi alla conformità, la tua preoccupazione principale sono i risultati che violano i controlli dello standard di conformità applicabile.
Puoi vedere i risultati che violano i controlli di un del benchmark procedendo nel seguente modo:
Vai alla pagina Conformità nella console Google Cloud:
Utilizza il selettore di progetti nella console Google Cloud per selezionare il progetto, la cartella o l'organizzazione per cui devi dare la priorità alle vulnerabilità:
Accanto al nome dello standard di sicurezza a cui devi conformarti, fai clic su Visualizza dettagli. Viene visualizzata la pagina Dettagli sulla conformità.
Se lo standard di sicurezza di cui hai bisogno non viene visualizzato, specificalo nel campo Standard di conformità della pagina Dettagli sulla conformità.
Ordina le regole elencate per Risultati facendo clic sull'intestazione della colonna.
Per qualsiasi regola che mostra uno o più risultati, fai clic sul nome della regola nella colonna Regole. La pagina Risultati si apre per i risultati per tale regola.
Correggi i risultati finché non ne rimangono. Dopo la scansione successiva, se non vengono rilevate nuove vulnerabilità per la regola, la percentuale di controlli superati aumenta.