Schädliche Kombinationen und Engstellen verwalten

Auf dieser Seite finden Sie eine Anleitung zum Identifizieren und Beheben von schädlichen Kombinationen und Engstellen mit den folgenden Seiten:

  • Probleme, verfügbar für die Dienststufen Premium und Enterprise
  • Fälle, verfügbar für die Dienststufe Enterprise
  • Ergebnisse, verfügbar für die Dienststufen Premium und Enterprise

Hinweis

Damit schädliche Kombinationen und Engstellen genau erkannt werden, prüfen Sie, ob die Software der Sicherheitsvorgangskomponente auf dem neuesten Stand ist, Ihr Satz hochwertiger Ressourcen korrekt festgelegt ist und Sie die richtigen IAM-Berechtigungen haben.

Optional: Daten aus anderen Clouds erfassen

Risk Engine unterstützt die Ausführung von Simulationen auf Daten von Amazon Web Services (AWS) (Vorschau) und Microsoft Azure (Vorschau), um schädliche Kombinationen und Engstellen zu identifizieren.

Konfigurieren Sie die Verbindung von Security Command Center zu diesen Cloud-Anbietern, um Ressourcen- und Konfigurationsdaten zu erfassen. Informationen zum Einrichten der Verbindungen finden Sie unter:

Eine Liste der unterstützten Ressourcen finden Sie unter Unterstützung für Risk Engine-Funktionen.

Erforderliche Berechtigungen erhalten

Wenn Sie mit schädlichen Kombinationen und Engpässen arbeiten möchten, benötigen Sie Berechtigungen, die Zugriff auf Security Command Center- und Google SecOps-Funktionen gewähren.

Security Command Center-IAM-Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihre Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie für die Arbeit mit schädlichen Kombinationen und Engstellen benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Weitere Informationen zu Rollen und Berechtigungen im Security Command Center finden Sie unter IAM für Aktivierungen auf Organisationsebene.

Google SecOps-IAM-Rollen

Für die Dienststufe Enterprise benötigen Sie eine der folgenden Rollen, um mit schädlichen Kombinationen und Fällen zu arbeiten:

  • Chronicle SOAR Vulnerability Manager (roles/chronicle.soarVulnerabilityManager)
  • Chronicle SOAR Threat Manager (roles/chronicle.soarThreatManager)
  • Chronicle SOAR Admin (roles/chronicle.soarAdmin)

Informationen zum Zuweisen der Rolle zu einem Nutzer finden Sie unter Nutzer mit IAM zuordnen und autorisieren.

Neuesten Anwendungsfall für Sicherheitsvorgänge installieren

Für die Funktion für schädliche Kombinationen ist die Version vom 25. Juni 2024 oder höher des Anwendungsfalls SCC Enterprise – Cloud Orchestration and Remediation erforderlich.

Informationen zum Installieren des Anwendungsfalls finden Sie unter Anwendungsfall für Unternehmen aktualisieren, Juni 2024.

Satz hochwertiger Ressourcen angeben

Sie müssen die Erkennung von schädlichen Kombinationen und Engstellen nicht aktivieren. Sie ist immer aktiviert. Risk Engine erkennt automatisch schädliche Kombinationen und Engstellen, die einen Standardsatz hochwertiger Ressourcen gefährden.

Ergebnisse zu schädlichen Kombinationen und Engstellen, die auf dem Standardsatz hochwertiger Ressourcen basieren, spiegeln Ihre Sicherheitsprioritäten wahrscheinlich nicht genau wider. Wenn Sie angeben möchten, welche Ressourcen zu Ihrem Satz hochwertiger Ressourcen gehören, erstellen Sie in der Google Cloud console Konfigurationen für Ressourcenwerte. Eine Anleitung finden Sie unter Satz hochwertiger Ressourcen definieren und verwalten.

Schädliche Kombinationen und Engstellen beheben

Schädliche Kombinationen und Engstellen können viele hochwertige Ressourcen potenziellen Angreifern aussetzen. Sie sollten sie vor anderen Risiken in Ihren Cloud-Umgebungen beheben.

Sie können die Reihenfolge, in der Sie schädliche Kombinationen und Engpässe beheben, anhand ihrer Angriffsbewertung priorisieren. Wie Sie das tun, hängt davon ab, wo Sie schädliche Kombinationen und Engstellen ansehen.

Probleme

Für die Dienststufen Premium und Enterprise können Sie auf den folgenden Seiten auf die schädlichen Kombinationen und Engstellen mit dem höchsten Risiko zugreifen (als Problemeangezeigt):

  • Dienststufe Enterprise: Risiko > Übersicht Seite
  • Dienststufe Premium: Security Command Center > Risikoübersicht

Alle schädlichen Kombinationen und Engstellen können auf der Seite Risiko> Probleme angesehen werden.

Führen Sie die folgenden Schritte aus, um ein Problem zu beheben:

Premium

Alle Probleme ansehen

  1. Wenn Sie alle Probleme ansehen möchten, rufen Sie die Seite Probleme im Security Command Center auf.

    Zu Problemen

  2. Wählen Sie Ihre Google Cloud Organisation aus.

Nach Angriffsbewertung sortieren

  1. Standardmäßig werden gruppierte Probleme nach Schweregrad sortiert. Innerhalb der Gruppe werden die Probleme nach Angriffsbewertung sortiert. Wenn Sie stattdessen alle Probleme nach Angriffsbewertung sortieren möchten, deaktivieren Sie Nach Erkennungen gruppieren.
  2. Wählen Sie ein Problem aus.
  3. Sehen Sie sich die Beschreibung und die Beweise für das Problem an.

Weitere Informationen aufrufen

  1. Wenn es zugehörige Ergebnisse gibt, sehen Sie sich die Details an.
  2. Wenn bei einer primären Ressource in einer schädlichen Kombination oder Engstelle mehrere kritische Probleme gefunden werden, wird nach dem Diagramm Beweise eine Meldung angezeigt. Wenn Sie Ihre Behebungsbemühungen optimieren möchten, klicken Sie in dieser Meldung auf Probleme für diese primäre Ressource filtern , um sich auf die Behebung von Problemen für diese bestimmte Ressource zu konzentrieren. Klicken Sie auf den Zurück pfeil neben Filterleiste öffnen Filter hinzufügen , wenn Sie den Filter entfernen möchten.
  3. Klicken Sie im Diagramm Beweise auf Vollständige Angriffspfade untersuchen , um das Problem genau zu verstehen und zu erfahren, wie die Angriffspfade hochwertige Ressourcen gefährden.
  4. Klicken Sie auf Anleitung zur Behebung und folgen Sie der Anleitung, um das Risiko zu minimieren.

Unternehmen

Alle Probleme ansehen

  1. Wenn Sie alle Probleme ansehen möchten, rufen Sie im Security Command Center die Seite Risiko > Probleme auf.

    Zu Problemen

  2. Wählen Sie Ihre Google Cloud Organisation aus.

Nach Angriffsbewertung sortieren

  1. Standardmäßig werden gruppierte Probleme nach Schweregrad sortiert. Innerhalb der Gruppe werden die Probleme nach Angriffsbewertung sortiert. Wenn Sie stattdessen alle Probleme nach Angriffsbewertung sortieren möchten, deaktivieren Sie Nach Erkennungen gruppieren.
  2. Wählen Sie ein Problem aus.
  3. Sehen Sie sich die Beschreibung und die Beweise für das Problem an.

Weitere Informationen aufrufen

  1. Wenn es zugehörige Ergebnisse gibt, sehen Sie sich die Details an.
  2. Wenn bei einer primären Ressource in einer schädlichen Kombination oder Engstelle mehrere kritische Probleme gefunden werden, wird nach dem Diagramm Beweise eine Meldung angezeigt. Wenn Sie Ihre Behebungsbemühungen optimieren möchten, klicken Sie in dieser Meldung auf Probleme für diese primäre Ressource filtern , um sich auf die Behebung von Problemen für diese bestimmte Ressource zu konzentrieren. Klicken Sie auf den Zurück pfeil neben Filterleiste öffnen Filter hinzufügen , wenn Sie den Filter entfernen möchten.
  3. Klicken Sie im Diagramm Beweise auf Vollständige Angriffspfade untersuchen , um das Problem genau zu verstehen und zu erfahren, wie die Angriffspfade hochwertige Ressourcen gefährden.
  4. Klicken Sie auf Anleitung zur Behebung und folgen Sie der Anleitung, um das Risiko zu minimieren.

Fälle

Für die Dienststufe Enterprise können Sie alle Fälle zu schädlichen Kombinationen auf der Seite Fälle ansehen. Für Engstellen wird nicht automatisch ein Fall erstellt. Sie sollten auf der Seite Probleme angesehen werden.

Führen Sie die folgenden Schritte aus, um schädliche Kombinationen in Fällen zu finden:

  1. Rufen Sie in der Google Cloud console Risiko > Fälle auf. Die Security Operations-Konsolenseite Fälle wird geöffnet.
  2. Klicken Sie in der Liste der Fälle auf Filterleiste öffnen Fälle filtern, um den Filterbereich zu öffnen. Der Bereich Filter für Fallwarteschlange wird geöffnet.
  3. Geben Sie im Bereich Filter für Fallwarteschlange Folgendes an: 1. Geben Sie im Feld Zeitraum den Zeitraum an, in dem der Fall aktiv ist. 1. Setzen Sie Logischer Operator auf AND. 1. Wählen Sie im Listenfeld für den Filterschlüssel Tags aus. 1. Setzen Sie den Gleichheitsoperator auf ist. 1. Wählen Sie im Listenfeld für den Filterwert Schädliche Kombination aus. 1. Klicken Sie auf Übernehmen. Die Fälle in der Fallwarteschlange werden aktualisiert und es werden nur die Fälle angezeigt, die dem von Ihnen angegebenen Filter entsprechen.
  4. Klicken Sie neben Filterleiste öffnen Fälle filtern auf Sortieren und wählen Sie Nach Angriffsbewertung sortieren (absteigend) aus.
  5. Klicken Sie in der Fallwarteschlange auf den Fall, den Sie sehen möchten. Wenn Sie Fälle in der Listenansicht ansehen, klicken Sie stattdessen auf die Fall-ID. Die Fallinformationen werden angezeigt.
  6. Klicken Sie auf Fall Fallübersicht.
  7. Folgen Sie im Bereich Fallzusammenfassung der Anleitung unter Nächste Schritte.

In der Regel enthält eine schädliche Kombination ein oder mehrere Ergebnisse zu einer Software-Sicherheitslücke oder einer fehlerhaften Konfiguration. Für jedes dieser Ergebnisse öffnet Security Command Center automatisch einen separaten Fall und führt die zugehörigen Playbooks aus. Sie können die Fälle für diese Ergebnisse ansehen und die Ticketinhaber bitten, die Behebung zu priorisieren, um die schädliche Kombination zu beheben.

So sehen Sie sich die zugehörigen Ergebnisse in einer schädlichen Kombination an:

  1. Rufen Sie auf dem Tab Fall Fallübersicht eines Falls den Bereich Ergebnisse auf.

  2. Sehen Sie sich im Bereich Ergebnisse die aufgeführten Ergebnisse an.

    • Klicken Sie auf die Fall-ID des Ergebnisses, um den Fall zu öffnen und den Status, den zugewiesenen Inhaber und andere Fallinformationen zu sehen.
    • Klicken Sie auf die Angriffsbewertung, um den Angriffspfad für das Ergebnis zu sehen.
    • Wenn das Ergebnis eine Ticket-ID hat, klicken Sie darauf, um das Ticket zu öffnen.

Alternativ können Sie zugehörige Ergebnisse in eigenen Benachrichtigungstabs im Fall ansehen.

Ergebnisse

Ein Ergebnis zu einer schädlichen Kombination oder Engstelle ist der erste Eintrag, den Risk Engine generiert, wenn eine schädliche Kombination oder Engstelle in Ihrer Cloud-Umgebung erkannt wird.

  1. Rufen Sie die Seite Ergebnisse auf.

    Zu Ergebnissen

  2. Wählen Sie Ihre Google Cloud Organisation aus.

  3. Wählen Sie im Bereich Ergebnisklasse des Bereichs Schnellfilter die Option Schädliche Kombination oder Engstelle aus. Der Bereich Ergebnisse der Ergebnisabfrage wird aktualisiert und es werden nur Ergebnisse zu schädlichen Kombinationen oder Engstellen angezeigt.

  4. Klicken Sie auf die Spaltenüberschrift Angriffsbewertung , bis die Bewertungen in absteigender Reihenfolge angezeigt werden, um die Ergebnisse nach Schweregrad zu sortieren.

  5. Klicken Sie auf eine Ergebniskategorie, um den Bereich mit den Ergebnisdetails zu öffnen. Rufen Sie den Bereich Nächste Schritte auf und folgen Sie der Anleitung, um das Sicherheitsproblem zu beheben.

Fälle zu schädlichen Kombinationen schließen

Sie können einen Fall für eine schädliche Kombination schließen, indem Sie entweder die zugrunde liegende schädliche Kombination beheben oder das zugehörige Ergebnis in der Google Cloud Konsole ausblenden.

Fall schließen, indem eine schädliche Kombination behoben wird

Nachdem Sie die Sicherheitsprobleme behoben haben, aus denen eine schädliche Kombination besteht, und sie keine Ressourcen mehr in Ihrem Satz hochwertiger Ressourcen gefährden, schließt Risk Engine den Fall automatisch bei der nächsten Angriffspfadsimulation, die etwa alle sechs Stunden ausgeführt wird.

Fall schließen, indem das Ergebnis ausgeblendet wird

Wenn das Risiko, das von der schädlichen Kombination ausgeht, für Ihr Unternehmen akzeptabel ist oder Sie die schädliche Kombination nicht beheben können, können Sie den Fall schließen, indem Sie das zugehörige Ergebnis ausblenden.

So blenden Sie ein Ergebnis zu einer schädlichen Kombination aus:

  1. Rufen Sie in der Google Cloud console Risiko > Fälle auf.
  2. Suchen und öffnen Sie den Fall zu schädlichen Kombinationen.
  3. Klicken Sie auf den zugehörigen Benachrichtigungstab.
  4. Klicken Sie im Widget Ergebnisübersicht auf Ergebnisse im SCC untersuchen. Das zugehörige Ergebnis wird geöffnet.
  5. Verwenden Sie die Ausblendungsoptionen auf der Ergebnisdetailseite, um das Ergebnis auszublenden.

Sie können Ergebnisse auch in der Google Cloud console ausblenden. Weitere Informationen finden Sie unter Einzelnes Ergebnis ausblenden.

Geschlossene Fälle zu schädlichen Kombinationen ansehen

Wenn ein Fall geschlossen wird, entfernt Security Command Center ihn von der Seite Fälle.

So sehen Sie sich einen geschlossenen Fall zu schädlichen Kombinationen an:

  1. Rufen Sie in der Google Cloud console die Seite Fälle auf. Die Security Operations-Konsole wird geöffnet.
  2. Maximieren Sie den Bereich Status und wählen Sie dann Geschlossen aus.
  3. Maximieren Sie den Bereich Tags und wählen Sie dann Schädliche Kombination aus.
  4. Klicken Sie auf Übernehmen. Geschlossene Fälle zu schädlichen Kombinationen werden in den Suchergebnissen angezeigt.