Schädliche Kombinationen und Engstellen verwalten

Auf dieser Seite finden Sie eine Anleitung zum Identifizieren und Beheben von schädlichen Kombinationen und Engstellen mithilfe der folgenden Seiten:

  • Probleme, verfügbar für die Dienststufen „Premium“ und „Enterprise“
  • Fälle, verfügbar für die Dienststufe „Enterprise“
  • Ergebnisse, verfügbar für die Dienststufen „Premium“ und „Enterprise“

Hinweis

Damit schädliche Kombinationen und Engstellen genau erkannt werden, prüfen Sie, ob die Software der Sicherheitskomponente auf dem neuesten Stand ist, Ihr Satz hochwertiger Ressourcen korrekt festgelegt ist und Sie die richtigen IAM-Berechtigungen haben.

Optional: Daten aus anderen Clouds erfassen

Mit der Risk Engine können Simulationen für Daten aus Amazon Web Services (AWS) (Vorschau) und Microsoft Azure (Vorschau) ausgeführt werden, um schädliche Kombinationen und Engstellen zu identifizieren.

Konfigurieren Sie die Verbindung von Security Command Center zu diesen Cloud-Anbietern, um Ressourcen- und Konfigurationsdaten zu erfassen. Informationen zum Einrichten der Verbindungen finden Sie hier:

Eine Liste der unterstützten Ressourcen finden Sie unter Unterstützung für Risk Engine-Funktionen.

Erforderliche Berechtigungen abrufen

Wenn Sie mit schädlichen Kombinationen und Engstellen arbeiten möchten, benötigen Sie Berechtigungen, die Zugriff auf Security Command Center- und Google SecOps-Funktionen gewähren.

IAM-Rollen für Security Command Center

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihre Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie für die Arbeit mit schädlichen Kombinationen und Engstellen benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Weitere Informationen zu Rollen und Berechtigungen im Security Command Center finden Sie unter IAM für Aktivierungen auf Organisationsebene.

IAM-Rollen für Google SecOps

Für die Dienststufe „Enterprise“ benötigen Sie eine der folgenden Rollen, um mit schädlichen Kombinationen und Fällen zu arbeiten:

  • Chronicle SOAR Vulnerability Manager (roles/chronicle.soarVulnerabilityManager)
  • Chronicle SOAR Threat Manager (roles/chronicle.soarThreatManager)
  • Chronicle SOAR Admin (roles/chronicle.soarAdmin)

Informationen zum Zuweisen der Rolle zu einem Nutzer finden Sie unter Nutzer mit IAM zuordnen und autorisieren.

Neuesten Anwendungsfall für Sicherheitsvorgänge installieren

Für die Funktion „Schädliche Kombination“ ist die Version vom 25. Juni 2024 oder höher des Anwendungsfalls SCC Enterprise – Cloud-Orchestrierung und -Behebung erforderlich.

Informationen zum Installieren des Anwendungsfalls finden Sie unter Anwendungsfall für Unternehmen aktualisieren, Juni 2024.

Satz hochwertiger Ressourcen angeben

Sie müssen die Erkennung von schädlichen Kombinationen und Engstellen nicht aktivieren. Sie ist immer aktiviert. Die Risk Engine erkennt automatisch schädliche Kombinationen und Engstellen, die einen Standardsatz hochwertiger Ressourcen gefährden.

Ergebnisse zu schädlichen Kombinationen und Engstellen, die auf dem Standardsatz hochwertiger Ressourcen basieren, spiegeln Ihre Sicherheitsprioritäten wahrscheinlich nicht genau wider. Wenn Sie angeben möchten, welche Ressourcen Teil Ihres Satzes hochwertiger Ressourcen sind, erstellen Sie Konfigurationen für Ressourcenwerte in der Google Cloud console. Eine Anleitung finden Sie unter Satz hochwertiger Ressourcen definieren und verwalten.

Schädliche Kombinationen und Engstellen beheben

Schädliche Kombinationen und Engstellen können viele hochwertige Ressourcen potenziellen Angreifern zugänglich machen. Sie sollten sie vor anderen Risiken in Ihren Cloud-Umgebungen beheben.

Sie können die Reihenfolge, in der Sie schädliche Kombinationen und Engstellen beheben, anhand ihrer Angriffsbewertung priorisieren. Wie Sie das tun, hängt davon ab, wo Sie schädliche Kombinationen und Engstellen ansehen.

Probleme

Für die Dienststufen „Premium“ und „Enterprise“ können Sie auf den folgenden Seiten auf die schädlichen Kombinationen und Engstellen mit dem höchsten Risiko zugreifen (als Problemeangezeigt):

  • Dienststufe „Enterprise“: Seite Risiko > Übersicht
  • Dienststufe „Premium“: Security Command Center > Risikoübersicht

Alle schädlichen Kombinationen und Engstellen können auf der Seite Risiko> Probleme angesehen werden.

So beheben Sie ein Problem:

Premium

Alle Probleme ansehen

  1. Rufen Sie die Seite Probleme im Security Command Center auf, um alle Probleme anzusehen.

    Zu Problemen

  2. Wählen Sie Ihre Google Cloud Organisation aus.

Nach Angriffsbewertung sortieren

  1. Standardmäßig werden gruppierte Probleme nach Schweregrad sortiert. Innerhalb der Gruppe werden die Probleme nach Angriffsbewertung sortiert. Wenn Sie stattdessen alle Probleme nach Angriffsbewertung sortieren möchten, deaktivieren Sie Nach Erkennungen gruppieren.
  2. Wählen Sie ein Problem aus.
  3. Prüfen Sie die Beschreibung und die Beweise für das Problem.

Weitere Informationen aufrufen

  1. Wenn es zugehörige Ergebnisse gibt, rufen Sie die Details dazu auf.
  2. Wenn bei einer primären Ressource in einer schädlichen Kombination oder Engstelle mehrere kritische Probleme gefunden werden, wird nach dem Diagramm Beweise eine Meldung angezeigt. Um Ihre Behebungsbemühungen zu optimieren, klicken Sie in dieser Meldung aufProbleme für diese primäre Ressource filtern , um sich auf die Behebung von Problemen für diese bestimmte Ressource zu konzentrieren. Klicken Sie auf den Zurück Pfeil neben Filterleiste öffnen Filter hinzufügen , wenn Sie den Filter entfernen möchten.
  3. Klicken Sie im Diagramm Beweise auf Vollständige Angriffspfade untersuchen , um das Problem genau zu verstehen und zu erfahren, wie die Angriffspfade hochwertige Ressourcen gefährden.
  4. Klicken Sie auf Anleitung zur Behebung und folgen Sie der Anleitung, um das Risiko zu minimieren.

Unternehmen

Alle Probleme ansehen

  1. Rufen Sie die Seite Risiko > Probleme im Security Command Center auf, um alle Probleme anzusehen.

    Zu Problemen

  2. Wählen Sie Ihre Google Cloud Organisation aus.

Nach Angriffsbewertung sortieren

  1. Standardmäßig werden gruppierte Probleme nach Schweregrad sortiert. Innerhalb der Gruppe werden die Probleme nach Angriffsbewertung sortiert. Wenn Sie stattdessen alle Probleme nach Angriffsbewertung sortieren möchten, deaktivieren Sie Nach Erkennungen gruppieren.
  2. Wählen Sie ein Problem aus.
  3. Prüfen Sie die Beschreibung und die Beweise für das Problem.

Weitere Informationen aufrufen

  1. Wenn es zugehörige Ergebnisse gibt, rufen Sie die Details dazu auf.
  2. Wenn bei einer primären Ressource in einer schädlichen Kombination oder Engstelle mehrere kritische Probleme gefunden werden, wird nach dem Diagramm Beweise eine Meldung angezeigt. Um Ihre Behebungsbemühungen zu optimieren, klicken Sie in dieser Meldung aufProbleme für diese primäre Ressource filtern , um sich auf die Behebung von Problemen für diese bestimmte Ressource zu konzentrieren. Klicken Sie auf den Zurück Pfeil neben Filterleiste öffnen Filter hinzufügen , wenn Sie den Filter entfernen möchten.
  3. Klicken Sie im Diagramm Beweise auf Vollständige Angriffspfade untersuchen , um das Problem genau zu verstehen und zu erfahren, wie die Angriffspfade hochwertige Ressourcen gefährden.
  4. Klicken Sie auf Anleitung zur Behebung und folgen Sie der Anleitung, um das Risiko zu minimieren.

Fälle

Für die Dienststufe „Enterprise“ können Sie alle Fälle zu schädlichen Kombinationen auf der Seite Fälle ansehen. Für Engstellen wird nicht automatisch ein Fall erstellt. Sie sollten auf der Seite Probleme angesehen werden.

So finden Sie schädliche Kombinationen in Fällen:

  1. Rufen Sie in der Google Cloud console Risiko > Fälle auf. Die Seite Fälle der Security Operations-Konsole wird geöffnet.
  2. Klicken Sie in der Liste der Fälle auf Filterleiste öffnen Fälle filtern, um den Filterbereich zu öffnen. Der Bereich Filter für Fallwarteschlange wird geöffnet.
  3. Geben Sie im Bereich Filter für Fallwarteschlange Folgendes an: 1. Geben Sie im Feld Zeitraum den Zeitraum an, in dem der Fall aktiv ist. 1. Setzen Sie Logischer Operator auf AND. 1. Wählen Sie im Listenfeld für den Filterschlüssel Tags aus. 1. Setzen Sie den Gleichheitsoperator auf ist. 1. Wählen Sie im Listenfeld für den Filterwert Schädliche Kombination aus. 1. Klicken Sie auf Übernehmen. Die Fälle in der Fallwarteschlange werden aktualisiert und es werden nur die Fälle angezeigt, die dem angegebenen Filter entsprechen.
  4. Klicken Sie neben Filterleiste öffnen Fälle filtern auf Sortieren und wählen Sie Nach Angriffsbewertung sortieren (absteigend) aus.
  5. Klicken Sie in der Fallwarteschlange auf den Fall, den Sie aufrufen möchten. Wenn Sie Fälle in der Listenansicht ansehen, klicken Sie stattdessen auf die Fall-ID. Die Fallinformationen werden angezeigt.
  6. Klicken Sie auf Fall Fallübersicht.
  7. Folgen Sie im Bereich Fallzusammenfassung der Anleitung unter Nächste Schritte.

In der Regel enthält eine schädliche Kombination ein oder mehrere Ergebnisse zu einer Software-Sicherheitslücke oder einer fehlerhaften Konfiguration. Für jedes dieser Ergebnisse öffnet Security Command Center automatisch einen separaten Fall und führt die zugehörigen Playbooks aus. Sie können die Fälle für diese Ergebnisse prüfen und die Ticketinhaber bitten, die Behebung zu priorisieren, um die schädliche Kombination zu beheben.

So prüfen Sie die zugehörigen Ergebnisse in einer schädlichen Kombination:

  1. Rufen Sie auf dem Tab Fall Fallübersicht eines Falls den Bereich Ergebnisse auf.

  2. Prüfen Sie im Bereich Ergebnisse die aufgeführten Ergebnisse.

    • Klicken Sie auf die Fall-ID des Ergebnisses, um den Fall zu öffnen und den Status, den zugewiesenen Inhaber und andere Fallinformationen aufzurufen.
    • Klicken Sie auf die Angriffsbewertung, um den Angriffspfad für das Ergebnis zu prüfen.
    • Wenn das Ergebnis eine Ticket-ID hat, klicken Sie darauf, um das Ticket zu öffnen.

Alternativ können Sie zugehörige Ergebnisse in eigenen Benachrichtigungstabs im Fall ansehen.

Ergebnisse

Ein Ergebnis zu einer schädlichen Kombination oder Engstelle ist der erste Eintrag, den die Risk Engine generiert, wenn sie eine schädliche Kombination oder Engstelle in Ihrer Cloud-Umgebung erkennt.

  1. Rufen Sie die Seite Ergebnisse auf.

    Zu Ergebnissen

  2. Wählen Sie Ihre Google Cloud Organisation aus.

  3. Wählen Sie im Bereich Ergebnisklasse des Bereichs Schnellfilter die Option Schädliche Kombination oder Engstelle aus. Der Bereich Ergebnisse der Ergebnisabfrage wird aktualisiert und es werden nur Ergebnisse zu schädlichen Kombinationen oder Engstellen angezeigt.

  4. Klicken Sie auf die Spaltenüberschrift Angriffsbewertung , bis die Bewertungen in absteigender Reihenfolge angezeigt werden, um die Ergebnisse nach Schweregrad zu sortieren.

  5. Klicken Sie auf eine Ergebniskategorie, um den Bereich mit den Ergebnisdetails zu öffnen. Rufen Sie den Bereich Nächste Schritte auf und folgen Sie der Anleitung, um das Sicherheitsproblem zu beheben.

Fälle zu schädlichen Kombinationen schließen

Sie können einen Fall für eine schädliche Kombination schließen, indem Sie entweder die zugrunde liegende schädliche Kombination beheben oder das zugehörige Ergebnis in der Google Cloud Konsole ausblenden.

Fall schließen, indem eine schädliche Kombination behoben wird

Nachdem Sie die Sicherheitsprobleme behoben haben, die eine schädliche Kombination ausmachen, und sie keine Ressourcen mehr in Ihrem Satz hochwertiger Ressourcen gefährden, schließt die Risk Engine den Fall automatisch bei der nächsten Angriffspfadsimulation, die etwa alle sechs Stunden ausgeführt wird.

Fall schließen, indem das Ergebnis ausgeblendet wird

Wenn das Risiko, das von der schädlichen Kombination ausgeht, für Ihr Unternehmen akzeptabel ist oder Sie die schädliche Kombination nicht beheben können, können Sie den Fall schließen, indem Sie das zugehörige Ergebnis ausblenden.

So blenden Sie ein Ergebnis zu einer schädlichen Kombination aus:

  1. Rufen Sie in der Google Cloud console Risiko > Fälle auf.
  2. Suchen und öffnen Sie den Fall zu der schädlichen Kombination.
  3. Klicken Sie auf den Tab mit der zugehörigen Benachrichtigung.
  4. Klicken Sie im Widget Ergebnisübersicht auf Ergebnisse in SCC untersuchen. Das zugehörige Ergebnis wird geöffnet.
  5. Blenden Sie das Ergebnis auf der Seite mit den Ergebnisdetails mit den Ausblendungsoptionen aus.

Sie können Ergebnisse auch in der Google Cloud console ausblenden. Weitere Informationen finden Sie unter Einzelnes Ergebnis ausblenden.

Geschlossene Fälle zu schädlichen Kombinationen ansehen

Wenn ein Fall geschlossen wird, entfernt Security Command Center ihn von der Seite Fälle.

So rufen Sie einen geschlossenen Fall zu einer schädlichen Kombination auf:

  1. Rufen Sie in der Google Cloud console die Seite Fälle auf. Die Security Operations-Konsole wird geöffnet.
  2. Maximieren Sie den Bereich Status und wählen Sie dann Geschlossen aus.
  3. Maximieren Sie den Bereich Tags und wählen Sie dann Schädliche Kombination aus.
  4. Klicken Sie auf Übernehmen. Geschlossene Fälle zu schädlichen Kombinationen werden in den Suchergebnissen angezeigt.