Auf dieser Seite werden einige Informationen und Methoden erläutert, mit denen Sie Security Command Center-Ergebnisse zu Software-Sicherheitslücken, Fehlkonfigurationen und – bei den Dienststufen „Premium“ und „Enterprise“ – zu schädlichen Kombinationen und Engpässen (Probleme, zusammenfassend) priorisieren können. Anhand dieser Informationen können Sie Risiken reduzieren und Ihre Sicherheitslage im Hinblick auf Ihre Compliance-Anforderungen verbessern.
Zweck der Priorisierung
Da Ihre Zeit begrenzt ist und die Anzahl der Security Command Center-Probleme überwältigend sein kann, insbesondere in größeren Organisationen, müssen Sie die Sicherheitslücken, die das größte Risiko für Ihre Organisation darstellen, schnell erkennen und darauf reagieren.
Sie müssen Sicherheitslücken beheben, um das Risiko eines Cyberangriffs auf Ihre Organisation zu verringern und die Compliance Ihrer Organisation mit den geltenden Sicherheitsstandards aufrechtzuerhalten.
Um das Risiko eines Cyberangriffs effektiv zu verringern, müssen Sie die Sicherheitslücken finden und beheben, die Ihre Ressourcen am stärksten gefährden, am einfachsten auszunutzen sind oder die bei Ausnutzung den größten Schaden verursachen würden.
Um Ihre Sicherheitslage im Hinblick auf einen bestimmten Sicherheitsstandard effektiv zu verbessern, müssen Sie die Sicherheitslücken finden und beheben, die gegen die Kontrollen der Sicherheitsstandards verstoßen, die für Ihre Organisation gelten.
Bei den Dienststufen „Premium“ und „Enterprise“ helfen Ihnen Probleme dabei, diese Aufgaben zu erledigen, indem sie detaillierte Informationen zu den schädlichen Kombinationen und Engpässen liefern, die in Ihrer Organisation erkannt wurden. Ein Problem kann auch den Schweregrad, den Wert für das Risiko durch Angriffe und CVE-Einträge mit CVE Bewertungen von Mandiant (Vorabversion) enthalten.
In den folgenden Abschnitten wird erläutert, wie Sie Security Command Center-Probleme priorisieren können, um diese Ziele zu erreichen.
Nach Werten für das Risiko durch Angriffe priorisieren
Im Allgemeinen sollten Sie die Behebung eines Problems mit einem hohen Wert für das Risiko durch Angriffe gegenüber einem Problem mit einem niedrigeren Wert oder ohne Wert priorisieren.
Hier finden Sie weitere Informationen:
- Ergebnisse mithilfe von Werten priorisieren
- Werte für das Risiko durch Angriffe bei schädlichen Kombinationen und Engpässen
Werte in der Security Command Center Google Cloud Console ansehen
Die Werte werden an mehreren Stellen mit den Ergebnissen angezeigt, darunter:
- Auf der Seite Risikoübersicht.
- In einer Spalte auf der Seite Ergebnisse in Security Command Center, wo Sie Ergebnisse nach Wert abfragen und sortieren können.
So rufen Sie die Ergebnisse mit den höchsten Werten für das Risiko durch Angriffe auf:
Rufen Sie in der Google Cloud Console die Seite Risikoübersicht auf:
Wählen Sie in der Google Cloud Console mit der Projektauswahl das Projekt, den Ordner oder die Organisation aus, für die Sie Sicherheitslücken priorisieren möchten.
Im Abschnitt Risikoreichste Probleme werden Probleme mit den höchsten Werten für das Risiko durch Angriffe angezeigt.
Wählen Sie ein Problem aus und klicken Sie dann auf Details zum Problem ansehen, um die Seite mit den Details zum Angriffspfad und den Wert für das Risiko durch Angriffe zu öffnen.
Klicken Sie auf Alle ansehen , um eine Liste aller Probleme mit dem Wert für das Risiko durch Angriffe für jedes Problem aufzurufen.
Weitere Informationen zur Seite Risikoübersicht finden Sie unter Risiko auf einen Blick bewerten.
Werte in Fällen ansehen
In der Security Operations Console arbeiten Sie hauptsächlich mit Fällen, in denen Ergebnisse als Benachrichtigungen dokumentiert werden.
Bei der Dienststufe „Enterprise“ können Sie die Fälle zu schädlichen Kombinationen mit den höchsten Werten für das Risiko durch Angriffe auf der Seite Risiko > Fälle ansehen. Sie können die Fälle nach ihren Werten für das Risiko durch Angriffe sortieren.
Informationen zum Abfragen von Fällen zu schädlichen Kombinationen finden Sie unter Details zu einem Fall zu schädlichen Kombinationen ansehen.
Nach Ausnutzbarkeit und Auswirkungen von CVEs priorisieren
Im Allgemeinen sollten Sie die Behebung von Ergebnissen mit einer CVE-Bewertung mit hoher Ausnutzbarkeit und hohen Auswirkungen gegenüber Ergebnissen mit einer CVE-Bewertung mit niedriger Ausnutzbarkeit und geringen Auswirkungen priorisieren.
CVE-Informationen, einschließlich der von Mandiant bereitgestellten Bewertungen der Ausnutzbarkeit und der Auswirkungen des CVE, basieren auf der Software-Sicherheitslücke selbst.
Auf der Seite Übersicht fasst die Heatmap Häufigste Sicherheitslücken und Exploits unter dem Dashboard Sicherheitslücken die Ergebnisse zu Sicherheitslücken in Blöcken nach den von Mandiant bereitgestellten Bewertungen der Ausnutzbarkeit und der Auswirkungen zusammen.
Wenn Sie sich in der Google Cloud Console die Details eines Ergebnisses zu einer Software-Sicherheitslücke ansehen, finden Sie die CVE-Informationen im Abschnitt Sicherheitslücke auf dem Tab Zusammenfassung. Neben den Auswirkungen und der Ausnutzbarkeit enthält der Abschnitt Sicherheitslücke auch den CVSS-Wert, Referenzlinks und andere Informationen zur CVE-Definition der Sicherheitslücke.
So finden Sie schnell die Ergebnisse mit den höchsten Auswirkungen und der höchsten Ausnutzbarkeit:
Rufen Sie in der Google Cloud Console die Risikoübersicht Seite auf.
Wählen Sie in der Google Cloud Console mit der Projektauswahl das Projekt, den Ordner oder die Organisation aus, für die Sie Sicherheitslücken priorisieren möchten.
Klicken Sie auf der Seite Risikoübersicht auf Sicherheitslücken.
Gehen Sie im Bereich Häufigste Sicherheitslücken und Exploits so vor:
Klicken Sie auf den Block mit einer Zahl ungleich null, der die höchste Ausnutzbarkeit und die größten Auswirkungen hat. Im Bereich werden nur die Ergebnisse mit der ausgewählten Ausnutzbarkeit und den ausgewählten Auswirkungen angezeigt.
Klicken Sie in der Spalte Ergebnisse auf die Anzahl. Die Seite Ergebnisse wird geöffnet und zeigt die Liste der Ergebnisse mit dieser CVE-ID an.
Klicken Sie im Abschnitt Neueste Compute-Sicherheitslücken mit bekannten Exploits in der Spalte Virtuelle Maschine auf eine Ressourcen-ID. Der Bereich mit den Assetdetails wird geöffnet und zeigt Informationen zu diesem Asset an.
Probleme nach Schweregrad priorisieren
Im Allgemeinen sollten Sie ein Problem oder Ergebnis mit dem Schweregrad CRITICAL gegenüber einem
Problem oder Ergebnis mit dem Schweregrad HIGH priorisieren, HIGH gegenüber einem
MEDIUM Schweregrad usw.
Die Schweregrade basieren auf der Art des Sicherheitsproblems und werden von Security Command Center den Ergebniskategorien zugewiesen. Alle Ergebnisse in einer bestimmten Kategorie oder Unterkategorie werden mit demselben Schweregrad generiert.
Sofern Sie nicht die Dienststufe „Enterprise“ verwenden, sind die Schweregrade von Ergebnissen statische Werte, die sich während der Lebensdauer des Ergebnisses nicht ändern.
Bei der Dienststufe „Enterprise“ stellen die Schweregrade von Problemen das Echtzeitrisiko eines Ergebnisses genauer dar. Die Ergebnisse werden mit dem Standardschweregrad der Ergebniskategorie generiert. Solange das Ergebnis jedoch aktiv bleibt, kann der Schweregrad steigen oder sinken, je nachdem, ob der Wert für das Risiko durch Angriffe des Ergebnisses steigt oder sinkt.
Die einfachste Möglichkeit, Sicherheitslücken mit dem höchsten Schweregrad zu identifizieren, ist die Verwendung von Schnellfiltern auf der Seite Ergebnisse in der Google Cloud Console.
So rufen Sie die Ergebnisse mit dem höchsten Schweregrad auf:
Rufen Sie in der Google Cloud Console die Seite Ergebnisse auf:
Wählen Sie in der Google Cloud Console mit der Projektauswahl das Projekt, den Ordner oder die Organisation aus, für die Sie Sicherheitslücken priorisieren möchten.
Wählen Sie im Bereich Schnellfilter auf der Seite Ergebnisse die folgenden Eigenschaften aus:
- Wählen Sie unter Ergebnisklasse die Option Sicherheitslücke aus.
- Wählen Sie unter Schweregrad die Option Kritisch, Hoch oder beide aus.
Im Bereich Ergebnisse der Ergebnisabfrage werden nur Ergebnisse mit dem angegebenen Schweregrad angezeigt.
Priorisieren, um die Compliance zu verbessern
Bei der Priorisierung von Ergebnissen zur Sicherheitslage für die Compliance liegt Ihr Hauptaugenmerk auf den Ergebnissen, die gegen die Kontrollen des geltenden Compliance-Standards verstoßen.
So rufen Sie die Ergebnisse auf, die gegen die Kontrollen eines bestimmten Benchmarks verstoßen:
Rufen Sie in der Google Cloud Console die Seite Compliance auf:
Wählen Sie in der Google Cloud Console mit der Projektauswahl das Projekt, den Ordner oder die Organisation aus, für die Sie Sicherheitslücken priorisieren möchten.
Klicken Sie neben dem Namen des Sicherheitsstandards, den Sie einhalten müssen, auf Details ansehen. Die Seite Compliance-Details wird geöffnet.
Wenn der benötigte Sicherheitsstandard nicht angezeigt wird, geben Sie ihn auf der Seite Compliance-Details im Feld Compliance-Standard an.
Sortieren Sie die aufgeführten Regeln nach Ergebnisse , indem Sie auf die Spaltenüberschrift klicken.
Klicken Sie für jede Regel, für die ein oder mehrere Ergebnisse angezeigt werden, in der Spalte Regeln auf den Namen der Regel. Die Seite Ergebnisse wird geöffnet und zeigt die Ergebnisse für diese Regel an.
Beheben Sie die Ergebnisse, bis keine mehr vorhanden sind. Wenn nach dem nächsten Scan keine neuen Sicherheitslücken für die Regel gefunden werden, steigt der Prozentsatz der bestandenen Kontrollen.