Niveaux de gravité des résultats

Cette page décrit la propriété severity des résultats Security Command Center et ses valeurs possibles.

La propriété severity fournit une indication générale de l'importance de corriger les résultats d'une catégorie ou, dans certains cas, d'une sous-catégorie de résultats spécifique.

En règle générale, vous devez corriger les problèmes de gravité HIGH avant ceux de gravité LOW. Toutefois, selon la ressource concernée ou d'autres aspects à considérer, il est possible qu'il soit plus important de corriger un problème de gravité LOW particulier qu'un problème de gravité HIGH.

Gravité comparée au niveau d'exposition aux attaques

Vous pouvez utiliser à la fois le niveau de gravité des résultats et les niveaux d'exposition aux attaques pour hiérarchiser la correction des problèmes révélés par les résultats. Toutefois, il est important de comprendre les différences entre ces deux aspects.

La gravité est un indicateur général prédéterminé basé sur la catégorie du problème identifié. Le même niveau de gravité par défaut est attribué à tous les résultats relevant d'une catégorie ou sous-catégorie donnée.

Le niveau d'exposition aux attaques est un indicateur dynamique, calculé pour un résultat après sa génération. Le niveau est spécifique à l'instance de résultat et est basé sur un certain nombre de facteurs, y compris les instances de ressources concernées par le résultat et la difficulté qu'un éventuel pirate informatique pourrait rencontrer pour parcourir le chemin entre un point d'accès potentiel et la ressource de forte valeur concernée.

Tous les résultats peuvent avoir un niveau de gravité. Seuls les résultats de recherche de failles et d'erreurs de configuration pris en charge par les simulations de chemins d'attaque peuvent avoir un niveau d'exposition aux attaques.

Lorsque vous hiérarchisez les résultats concernant les failles et les erreurs de configuration, privilégiez les niveaux d'exposition aux attaques avant de tenir compte de la gravité.

Classification par niveau de gravité

Security Command Center utilise les classifications de gravité suivantes, qui sont présentées dans la colonne Gravité lorsque les résultats sont affichés dans la console Google Cloud  :

  • Critical
  • High
  • Medium
  • Low
  • Unspecified

Gravité Critical

Une faille critique est facilement détectable et peut être exploitée pour exécuter directement du code arbitraire, exfiltrer des données et obtenir des accès et des droits supplémentaires sur les ressources et les workflows cloud. Il peut s'agir, par exemple, d'informations sur l'utilisateur accessibles publiquement et d'un accès SSH public avec des mots de passe peu sécurisés ou aucun mot de passe.

Une menace critique parvient à accéder aux données, à les modifier ou à les supprimer, ou encore à exécuter du code non autorisé dans vos ressources existantes.

Un résultat de classe SCC error critique signifie l'une des choses suivantes :

  • Une erreur de configuration empêche Security Command Center de générer de nouveaux résultats, quelle que soit leur gravité.
  • Une erreur de configuration vous empêche de voir tous les résultats d'un service.
  • Une erreur de configuration empêche la génération de niveaux d'exposition aux attaques et de chemins d'attaque à partir des simulations de chemin d'attaque.

Gravité High

Une faille de gravité élevée est facilement détectable. Un pirate informatique pourrait l'exploiter conjointement à d'autres failles pour obtenir un accès direct permettant d'exécuter du code arbitraire ou d'exfiltrer des données, ou encore pour obtenir des accès et des droits supplémentaires sur les ressources et les charges de travail. Par exemple, une base de données accessible uniquement en interne qui utilise des mots de passe peu sécurisés ou aucun mot de passe peut être compromise par une personne ayant accès au réseau interne.

Une menace de gravité élevée fournit la possibilité de créer des ressources de calcul dans un environnement, mais pas celle d'accéder aux données ni d'exécuter de code dans des ressources existantes.

Un résultat de classe SCC error à risque élevé indique qu'une erreur de configuration est à l'origine de l'un des problèmes suivants :

  • Vous ne pouvez pas voir ni exporter certains résultats d'un service.
  • Pour les simulations de chemins d'attaque, les niveaux d'exposition aux attaques et les chemins d'attaque peuvent être incomplets ou inexacts.

Gravité Medium

Une faille de gravité moyenne pourrait être utilisée par une personne mal intentionnée pour accéder aux ressources ou acquérir des droits lui permettant d'obtenir à terme un accès et la possibilité d'exfiltrer des données ou d'exécuter du code arbitraire. Par exemple, si un compte de service dispose d'un accès non nécessaire aux projets et qu'un acteur malveillant accède à ce compte, il pourrait l'utiliser pour manipuler un projet.

Une menace de risque moyen peut entraîner un problème plus grave. Toutefois, cela n'indique pas nécessairement qu'un accès aux données se produit ou que du code non autorisé est exécuté.

Gravité Low

Une faille présentant un risque faible entrave la capacité d'une équipe de sécurité à détecter des failles ou des menaces actives dans son déploiement, ou empêche l'investigation sur l'origine des problèmes de sécurité. Par exemple, on peut imaginer un scénario dans lequel la surveillance et les journaux sont désactivés pour les configurations et l'accès aux ressources.

Une menace présentant un faible risque a obtenu un accès minimal à un environnement, mais ne peut pas accéder aux données, exécuter du code ni créer de ressources.

Gravité Unspecified

Une classification de gravité Unspecified indique que le service qui a généré le résultat n'a pas défini de valeur de gravité pour celui-ci.

Si un résultat de gravité Unspecified vous est renvoyé, vous devez en évaluer vous-même la gravité en examinant le résultat et en consultant toute documentation associée au produit ou service qui l'a généré.

Gravité variable

La gravité des résultats relevant d'une catégorie peut varier dans certaines circonstances.

Niveaux de gravité qui varient en fonction du niveau d'exposition aux attaques

Si vous utilisez le niveau Security Command Center Enterprise, les niveaux de gravité des résultats de détection de failles et d'erreurs de configuration reflètent plus précisément le risque associé à chaque résultat, car la gravité d'un résultat peut changer pour refléter le niveau d'exposition aux attaques dudit résultat.

Avec le niveau Enterprise, les résultats de détection de failles et d'erreurs de configuration sont générés avec un niveau de gravité par défaut (ou de référence) qui est commun à tous les résultats d'une catégorie donnée. Une fois un résultat généré, si les simulations de chemins d'attaque de Security Command Center déterminent que le résultat expose une ou plusieurs ressources que vous avez désignées comme étant des ressources de forte valeur, les simulations attribuent un niveau d'exposition aux attaques au résultat et augmentent le niveau de gravité en conséquence. Si le résultat reste actif, mais que les simulations réduisent ensuite le niveau d'exposition aux attaques, le niveau de gravité du résultat peut également diminuer, mais pas en-deçà du niveau par défaut d'origine.

Si vous utilisez le niveau Premium ou Standard de Security Command Center, les niveaux de gravité de tous les résultats restent statiques.

Niveaux de gravité qui varient en fonction du problème détecté

Pour certaines catégories de résultats, Security Command Center peut attribuer un niveau de gravité par défaut différent à un résultat en fonction des spécificités du problème de sécurité détecté.

Par exemple, la classification de gravité du résultat IAM anomalous grant généré par Event Threat Detection est généralement HIGH. Toutefois, si le résultat est généré pour l'attribution d'autorisations sensibles à un rôle IAM personnalisé, la gravité est définie sur MEDIUM.

Afficher le niveau de gravité des résultats dans la console Google Cloud

Dans la consoleGoogle Cloud , vous pouvez afficher les résultats de Security Command Center par niveau de gravité de plusieurs façons :

Standard

  • Sur la page Présentation, vous pouvez voir le nombre de résultats actifs pour chaque niveau de gravité concernant vos ressources, dans la section Failles par type de ressource.

  • Sur la page Résultats, vous pouvez ajouter à vos requêtes de résultats des filtres pour des niveaux de gravité spécifiques depuis le panneau Filtres rapides.

  • Sur la page Failles, vous pouvez filtrer les modules de détection de failles par niveau de gravité, afin de n'afficher que les modules qui présentent des résultats actifs à ce niveau de gravité.

Premium

  • Sur le tableau de bord Aperçu des risques > Menaces, vous pouvez voir le nombre de menaces identifiées pour chaque niveau de gravité.

  • Sur la page Résultats, vous pouvez ajouter à vos requêtes de résultats des filtres pour des niveaux de gravité spécifiques depuis le panneau Filtres rapides.

  • Sur la page Problèmes, vous pouvez sélectionner un problème, puis afficher les résultats, y compris la gravité, dans le panneau Résultats.

  • Sur la page Failles, vous pouvez filtrer les modules de détection de failles par niveau de gravité, afin de n'afficher que les modules qui présentent des résultats actifs à ce niveau de gravité.

Enterprise

  • Sur le tableau de bord Aperçu des risques > Menaces, vous pouvez voir le nombre de menaces identifiées pour chaque niveau de gravité.

  • Sur la page Résultats, vous pouvez ajouter à vos requêtes de résultats des filtres pour des niveaux de gravité spécifiques depuis le panneau Filtres rapides.

  • Sur la page Failles, vous pouvez filtrer les modules de détection de failles par niveau de gravité, afin de n'afficher que les modules qui présentent des résultats actifs à ce niveau de gravité.

  • Sur la page Problèmes, vous pouvez sélectionner un problème, puis afficher les résultats, y compris la gravité, dans le panneau Résultats.