Cette page explique certaines des informations et méthodes que vous pouvez utiliser pour hiérarchiser les résultats de Security Command Center concernant les failles logicielles, les mauvaises configurations et, avec le niveau Enterprise, les combinaisons toxiques (résultats de l'état de sécurité, collectivement), afin de réduire les risques et d'améliorer votre état de sécurité par rapport aux normes de sécurité applicables plus rapidement et plus efficacement.
Pourquoi hiérarchiser les problèmes ?
Votre temps est limité et le volume de résultats de la posture de Security Command Center peut être écrasant, en particulier dans les grandes entreprises. Vous devez donc identifier et traiter rapidement les failles qui présentent le plus de risques pour votre organisation.
Vous devez corriger les failles pour réduire le risque de cyberattaque sur votre organisation et de maintenir la conformité de votre organisation avec les normes de sécurité applicables.
Pour réduire efficacement le risque de cyberattaque, vous devez identifier et corriger les failles qui exposent le plus vos ressources, qui sont les plus exploitables ou qui entraîneraient les dommages les plus graves si elles étaient exploitées.
Pour améliorer efficacement votre stratégie de sécurité vis-à-vis d'une de sécurité standard, vous devez trouver et corriger les vulnérabilités qui vont à l’encontre des contrôles des normes de sécurité qui s'appliquer à votre organisation.
Les sections suivantes expliquent comment hiérarchiser Security Command Center les résultats de la stratégie d'enchères pour atteindre ces objectifs.
Prioriser les résultats de la posture pour réduire les risques
Les résultats de la stratégie incluent les informations suivantes que vous pouvez utiliser pour prioriser la résolution du problème de sécurité sous-jacent:
- Score d'exposition au piratage ou score de combinaison toxique
- Enregistrements CVE avec CVE évaluations par MandiantPreview
- Gravité
Prioriser les problèmes en fonction des scores d'exposition aux attaques
En règle générale, priorisez la correction d'une stratégie en identifiant présente un score d'exposition aux attaques élevé par rapport à une posture, a un score inférieur ou n'en a pas.
Les résultats de la posture incluent les résultats des combinaisons toxiques. Si le score d'une combinaison toxique est à peu près égal au score d'exposition aux attaques d'une autre classe de résultats, vous devez donner la priorité à la correction de la combinaison toxique, car elle représente un chemin complet qu'un pirate informatique potentiel pourrait suivre depuis l'Internet public vers une ou plusieurs de vos ressources à forte valeur.
Si le score d'exposition au piratage d'un résultat d'une autre classe de résultat est nettement supérieur au score obtenu pour la recherche d'une combinaison toxique, privilégiez le résultat avec le score nettement plus élevé.
Pour en savoir plus, consultez les ressources suivantes :
- Utiliser des scores pour hiérarchiser les mesures correctives
- Scores d'exposition au piratage pour des combinaisons toxiques
Afficher les scores dans la console Security Operations
Dans la console Security Operations, vous travaillez principalement sur des demandes, dans lesquelles les résultats sont documentés sous forme d'alertes.
Vous pouvez consulter les cas de combinaison toxique avec les scores d'exposition aux attaques les plus élevés sur la page Posture > Overview (Posture > Vue d'ensemble).
Vous pouvez consulter les scores de toutes les demandes sur la page Demandes, où vous pouvez par score d'exposition aux attaques. Vous pouvez également trier les résultats par score d'exposition aux attaques sur la page Posture > Résultats.
Pour savoir comment rechercher des cas de combinaison toxique en particulier, consultez Affichez les détails d'un cas de combinaison toxique.
Afficher les scores dans la console Google Cloud
Dans la console Google Cloud, les scores apparaissent avec les résultats à plusieurs endroits, y compris le suivantes:
- Sur la page Aperçu des risques, où les 10 résultats présentant le taux le plus élevé les scores.
- Dans une colonne de la page Résultats, où vous pouvez effectuer une requête et trier les résultats par score.
- Lorsque vous affichez les détails d'un résultat de stratégie qui affecte une ressource de grande valeur.
Sur la page Findings (Résultats) de la console Google Cloud, les scores d'exposition aux attaques des résultats de combinaison toxique sont présentés dans la colonne Toxic combination score (Score de combinaison toxique), séparément des scores d'exposition aux attaques des autres classes de résultats.
Dans la console Google Cloud, vous pouvez voir les résultats présentant le score d'exposition au piratage le plus élevé, procédez comme suit:
Accédez à la page Vue d'ensemble des risques dans la console Google Cloud:
Utilisez le sélecteur de projet de la console Google Cloud pour : sélectionnez le projet, le dossier ou l'organisation prioriser les failles:
Dans la section Principals cas de combinaison toxique, examinez les résultats associés aux scores de combinaison toxique les plus élevés.
- Cliquez sur le lien Afficher la demande pour ouvrir la demande correspondante dans la console Security Operations.
Dans la section Résultats des failles actives, examinez les résultats de l'état de la sécurité qui présentent les scores d'exposition aux attaques les plus élevés. Les résultats des combinaisons toxiques ne sont pas inclus dans cette section.
Cliquez sur un score dans la colonne Score d'exposition à l'attaque pour ouvrir la page d'informations sur le chemin d'attaque de l'anomalie.
Cliquez sur le nom d'un résultat pour ouvrir le panneau d'informations sur le résultat sur la page Résultats.
Prioriser en fonction de l'exploitabilité et de l'impact de la CVE
En règle générale, priorisez la correction des résultats présentant une faille CVE une évaluation de l'exploitabilité et de l'impact élevés par rapport aux résultats Évaluation CVE de faible exploitabilité et de faible impact.
des informations CVE, y compris des évaluations de l’exploitabilité et de l’impact les CVE fournies par Mandiant sont en fonction de la vulnérabilité logicielle elle-même.
Sur la page Vue d'ensemble, dans la section Principales failles CVE détectées, un graphique ou une carte thermique regroupe les résultats des failles en blocs en fonction des évaluations d'exploitabilité et d'impact fournies par Mandiant.
Lorsque vous affichez les détails des résultats de failles logicielles dans la console, Vous trouverez des informations sur cette faille dans la section Vulnérabilité de dans l'onglet Résumé. Outre l'impact et l'exploitabilité, La section Failles comprend le score CVSS, des liens de références et d'autres informations sur la définition de la faille CVE.
Pour identifier rapidement les résultats les plus importants et les plus exploitables, procédez comme suit :
Accédez à la page Vue d'ensemble dans la console Google Cloud :
Utilisez le sélecteur de projet de la console Google Cloud pour : sélectionnez le projet, le dossier ou l'organisation prioriser les failles:
Dans la section Principales failles CVE de la page Vue d'ensemble, cliquez sur le bloc associé au nombre non nul présentant le niveau d'exploitabilité et d'impact le plus élevé. La page Findings by CVE (Résultats par CVE) s'ouvre pour afficher une liste des ID CVE comportant des l'impact et l'exploitabilité.
Dans la section Findings by CVE ID (Résultats par ID de CVE), cliquez sur un ID de CVE. Les résultats s'ouvre et affiche la liste des résultats partageant cet ID de CVE.
Sur la page Résultats, cliquez sur le nom d'un résultat pour afficher ses détails et les étapes de correction recommandées.
Prioriser par gravité
En règle générale, priorisez un résultat d'évaluation de la posture avec un niveau de gravité CRITICAL par rapport à un résultat d'évaluation de la posture avec un niveau de gravité HIGH, priorisez le niveau de gravité HIGH par rapport à un niveau de gravité MEDIUM, etc.
Les niveaux de gravité des résultats sont basés sur le type de problème de sécurité et sont attribués à des catégories de résultats par Security Command Center. Tous les résultats dans d'une catégorie ou sous-catégorie particulière sont associés au même niveau de gravité à l'échelle du projet.
À moins que vous n'utilisiez le niveau Entreprise de Security Command Center, les niveaux de gravité sont des valeurs statiques qui ne changent pas trouver.
Au niveau Entreprise, les niveaux de gravité de la stratégie les résultats représentent plus précisément le risque en temps réel d'un résultat. Les résultats sont émis avec le niveau de gravité par défaut de la catégorie de résultats, mais tant que le résultat reste actif, le niveau de gravité peut augmenter ou diminuer à mesure que le score d'exposition aux attaques du résultat augmente ou diminue.
Le moyen le plus simple d'identifier les failles les plus graves consiste à utiliser les filtres rapides sur la page Résultats console Google Cloud.
Pour afficher les résultats de la plus haute gravité, procédez comme suit :
Accédez à la page Résultats de la console Google Cloud:
Utilisez le sélecteur de projet dans la console Google Cloud pour choisir le projet, le dossier ou l'organisation pour lequel vous souhaitez hiérarchiser les failles :
Dans le panneau Filtres rapides de la page Résultats, sélectionnez les propriétés suivantes :
- Sous Classe de recherche, sélectionnez Faille.
- Sous Gravité, sélectionnez Critique, Élevée ou les deux.
Le panneau Résultats de la requête "Résultats" est mis à jour pour n'afficher que les résultats dont la gravité est spécifiée.
Vous pouvez également consulter les niveaux de gravité des résultats sur la page Vue d'ensemble. de la section Résultats de failles actives.
Hiérarchiser les résultats des stratégies pour améliorer la conformité
Lorsque vous hiérarchisez les résultats de l'évaluation de la conformité, votre principale préoccupation concerne les résultats qui ne respectent pas les contrôles de la norme de conformité applicable.
Vous pouvez consulter les résultats qui enfreignent les contrôles d'une du benchmark en procédant comme suit:
Accédez à la page Conformité dans la console Google Cloud :
Utilisez le sélecteur de projet dans la console Google Cloud pour choisir le projet, le dossier ou l'organisation pour lequel vous souhaitez hiérarchiser les failles :
À côté du nom de la norme de sécurité que vous devez respecter, cliquez sur Afficher les détails. La page Détails de la conformité s'ouvre.
Si la norme de sécurité dont vous avez besoin ne s'affiche pas, indiquez la norme dans le champ Norme de conformité de la page Détails de la conformité.
Triez les règles listées par Résultats en cliquant sur l'en-tête de la colonne.
Pour chaque règle qui affiche un ou plusieurs résultats, cliquez sur son nom dans la colonne Règles. La page Résultats s'affiche les résultats pour cette règle.
Corrigez les problèmes jusqu'à ce qu'il n'en reste plus. Après si aucune nouvelle faille n'est détectée pour la règle, le pourcentage de contrôles réussis augmente.