本頁說明如何使用下列頁面,找出有害組合和瓶頸並採取因應措施:
- 問題,適用於 Premium 和 Enterprise 服務層級。
- 案件 (適用於 Enterprise 服務層級)。
- 調查結果 (適用於 Enterprise 和 Premium 服務層級)。
事前準備
為確保系統能準確偵測有害組合和瓶頸,請檢查安全作業元件軟體是否為最新版本、高價值資源集是否指定正確,以及您是否具備適當的 IAM 權限。
選用:從其他雲端收集資料
風險引擎支援對來自 Amazon Web Services (AWS) (預覽版) 和 Microsoft Azure (預覽版) 的資料執行模擬,以找出有害組合和瓶頸。
設定 Security Command Center 與這些雲端供應商的連線,即可收集資源和設定資料。如要瞭解如何設定連線,請參閱下列文章:
如需支援的資源清單,請參閱「風險引擎功能支援」。
取得必要權限
如要處理有害組合和瓶頸,您需要有權存取 Security Command Center 和 Google SecOps 功能。
Security Command Center IAM 角色
如要取得在 Security Command Center 中工作所需的權限,請要求管理員在貴機構中授予下列 IAM 角色:
-
查看攻擊路徑:
-
安全中心管理員檢視者 (
roles/securitycenter.adminViewer) -
安全中心攻擊路徑讀取者 (
roles/securitycenter.attackPathsViewer) -
安全中心發現項目檢視者 (
roles/securitycenter.findingsViewer)
-
安全中心管理員檢視者 (
-
查看攻擊路徑發現項目:
-
安全中心管理員檢視者 (
roles/securitycenter.adminViewer) -
安全中心攻擊路徑讀取者 (
roles/securitycenter.attackPathsViewer) -
安全中心發現項目檢視者 (
roles/securitycenter.findingsViewer)
-
安全中心管理員檢視者 (
-
查看調查結果:
-
安全中心管理員檢視者 (
roles/securitycenter.adminViewer) -
安全中心發現項目檢視者 (
roles/securitycenter.findingsViewer)
-
安全中心管理員檢視者 (
-
忽略發現項目:
-
安全中心管理員檢視者 (
roles/securitycenter.adminViewer) -
安全中心發現項目編輯者 (
roles/securitycenter.findingsEditor) -
安全中心發現項目忽略設定者 (
roles/securitycenter.findingsMuteSetter)
-
安全中心管理員檢視者 (
-
查看資源:
-
安全中心管理員檢視者 (
roles/securitycenter.adminViewer) -
安全中心發現項目忽略設定者 (
roles/securitycenter.findingsMuteSetter)
-
安全中心管理員檢視者 (
-
編輯調查結果:
-
安全中心管理員檢視者 (
roles/securitycenter.adminViewer) -
安全中心發現項目編輯者 (
roles/securitycenter.findingsEditor) -
安全中心發現項目檢視者 (
roles/securitycenter.findingsViewer)
-
安全中心管理員檢視者 (
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。
如要進一步瞭解 Security Command Center 角色和權限,請參閱在機構層級啟用時的身分與存取權管理。
Google SecOps IAM 角色
如要處理有害組合和案件,您需要具備下列任一角色:
- Chronicle SOAR 安全漏洞管理員
(
roles/chronicle.soarVulnerabilityManager) - Chronicle SOAR 威脅管理者 (
roles/chronicle.soarThreatManager) - Chronicle SOAR 管理員 (
roles/chronicle.soarAdmin)
如要瞭解如何將角色授予使用者,請參閱「使用 IAM 對應及授權使用者」。
安裝最新的安全營運應用情境
如要使用有害組合功能,必須發布 2024 年 6 月 25 日或之後的 SCC Enterprise - Cloud Orchestration and Remediation 用例。
如要瞭解如何安裝用途,請參閱「更新 Enterprise 用途 (2024 年 6 月)」。
指定高價值資源集
有害組合和瓶頸偵測功能會自動啟用,風險引擎會自動偵測有害組合和瓶頸,找出預設高價值資源集可能遭受的威脅。
根據預設高價值資源集產生的有害組合和瓶頸結果,不太可能準確反映您的安全優先事項。如要指定哪些資源屬於高價值資源集,請在 Google Cloud 控制台中建立資源值設定。如需操作說明,請參閱定義及管理高價值資源集。
修正有害組合和瓶頸
有害組合和瓶頸可能會讓許多高價值資源暴露在潛在攻擊者面前。建議您先修正這些問題,再處理雲端環境中的其他風險。
您可以根據遭受攻擊的風險分數,決定優先修正有害組合和瓶頸的順序。視您查看有害組合和瓶頸的位置而定,操作方式會有所不同。
問題
您可以在下列頁面存取最高風險的毒性組合和瓶頸 (顯示為問題):
- Security Command Center Enterprise 服務層級:「風險」>「總覽」頁面
- Security Command Center Premium 服務層級:依序選取「Security Command Center」>「風險總覽」
您可以在「風險」> 問題」頁面查看所有有害組合和瓶頸。
如要修正問題,請完成下列操作說明:
Premium
- 如要查看所有問題,請前往 Security Command Center 的「問題」頁面。
- 根據預設,系統會依嚴重程度排序分組問題。在群組中,問題會依受攻擊風險分數排序。如要改為依受攻擊風險分數排序所有問題,請停用「按照偵測項目分組」。
- 選取問題。
- 查看問題說明和證據。
- 如有相關發現項目,請查看詳細資料。
- 如果主要資源在有害組合或瓶頸中發現多個重大問題,系統會在「證據」圖表後顯示訊息。如要提高修正效率,請按一下這則訊息中的「篩選這項主要資源的問題」,專注於解決該特定資源的問題。如要移除篩選器,請按一下「新增篩選器」附近的返回箭頭
。 - 按一下「證據」圖表中的「瞭解完整攻擊路徑」,深入瞭解問題,以及攻擊路徑如何暴露高價值資源。
- 按一下「如何修正」,然後按照指南說明降低風險。
企業版
- 如要查看所有問題,請前往 Security Command Center 的「風險」> 問題」頁面。
- 根據預設,系統會依嚴重程度排序分組問題。在群組中,問題會依受攻擊風險分數排序。如要改為依受攻擊風險分數排序所有問題,請停用「按照偵測項目分組」。
- 選取問題。
- 查看問題說明和證據。
- 如有相關發現項目,請查看詳細資料。
- 如果主要資源在有害組合或瓶頸中發現多個重大問題,系統會在「證據」圖表後顯示訊息。如要提高修正效率,請按一下這則訊息中的「篩選這項主要資源的問題」,專注於解決該特定資源的問題。如要移除篩選器,請按一下「新增篩選器」附近的返回箭頭 。
- 按一下「證據」圖表中的「瞭解完整攻擊路徑」,深入瞭解問題,以及攻擊路徑如何暴露高價值資源。
- 按一下「如何修正」,然後按照指南說明降低風險。
案件
如要查看所有有害組合案件,請前往「案件」頁面。系統不會自動為瓶頸產生案件,請在「問題」頁面查看。如要在案件中找出有害組合,請完成下列操作:
- 在 Google Cloud 控制台,依序前往「風險」>「案件」。「案件」Security Operations 控制台頁面隨即開啟。
- 在案件清單中,按一下 「案件篩選器」,開啟篩選器面板。系統會開啟「案件佇列篩選器」面板。
- 在「案件佇列篩選器」中,指定下列項目: 1. 在「時間範圍」欄位中,指定案件的有效時間範圍。 1. 將「邏輯運算子」設為「AND」。 1. 在篩選鍵清單方塊中,選取「標記」。 1. 將等號運算子設為 is。 1. 在篩選器值清單方塊中,選取「有害組合」。 1. 按一下「套用」。案件佇列中的案件會更新,只顯示符合指定篩選條件的案件。
- 按一下「案件篩選器」旁邊的「排序」,然後選取「依攻擊暴露程度排序 (從高到低)」。
- 在案件佇列中,按一下要查看的案件。如果您是以清單檢視模式查看案件,請改為點選案件 ID。系統會顯示案件資訊。
- 按一下「案件總覽」
。 - 在「案件摘要」部分,按照「後續步驟」的指引操作。
查看有害組合案件中的相關發現項目
通常有害組合會包含一或多個軟體安全漏洞或錯誤設定發現項目。針對每項發現,Security Command Center 會自動開啟個別案件並執行相關應對手冊。您可以查看這些發現的案件,並要求案件擁有者優先處理修復作業,協助解決有害組合。
如要查看有毒組合的相關發現,請按照下列步驟操作:
- 在案件的「案件總覽」分頁中,前往「調查結果」部分。
在「發現項目」部分,查看列出的發現項目。
- 按一下調查結果的案件 ID,開啟案件並查看案件狀態、指派的擁有者和其他案件資訊。
- 按一下受攻擊風險分數,即可查看發現項目的攻擊路徑。
- 如果發現結果有單號,請按一下開啟單號。
或者,您也可以在案件的專屬警示分頁中查看相關發現項目。
發現項目
當風險引擎在雲端環境中偵測到有害組合或瓶頸時,會產生初始記錄,即有害組合或瓶頸發現項目。
前往「發現項目」頁面。
選取 Google Cloud 機構。
在「快速篩選器」面板的「發現項目類別」部分,選取「有毒組合」或「瓶頸」。「發現項目查詢結果」面板會更新,只顯示有害組合或瓶頸發現項目。
如要依嚴重程度排序發現項目,請按一下「受攻擊風險分數」欄標題,直到分數遞減排序為止。
按一下發現項目類別,開啟發現項目詳細資料面板。請前往「後續步驟」一節,按照相關指引修正安全性問題。
關閉有害組合案件
如要關閉有害組合案件,您可以修正基礎有害組合,或在Google Cloud 控制台中將相關發現事項設為靜音。
修正有害組合來結案
修正構成有害組合的安全問題,且這些問題不再導致高價值資源集中的任何資源暴露風險後,風險引擎會在下次攻擊路徑模擬期間自動結案 (模擬作業大約每六小時執行一次)。
忽略發現項目來關閉案件
如果有害組合造成的風險可為貴商家接受,或您無法補救有害組合,可以將相關發現項目設為靜音,藉此結案。
如要將有害組合調查結果設為靜音,請按照下列步驟操作:
- 在 Google Cloud 控制台,依序前往「風險」>「案件」。
- 找出並開啟有害組合案件。
- 按一下相關的快訊分頁標籤。
- 在「發現項目摘要」小工具中,按一下「在 SCC 中探索發現項目」。系統會開啟相關發現項目。
- 在發現項目詳細資料頁面中,使用「忽略選項」忽略發現項目。
您也可以在 Google Cloud 控制台中將調查結果設為靜音。詳情請參閱「將個別發現項目設為靜音」。
查看已結案的有害組合案件
案件結案後,Security Command Center 會將案件從「案件」頁面中移除。
如要查看已結案的有害組合案件,請按照下列步驟操作:
- 在 Google Cloud 控制台,依序前往「調查」> SOAR 搜尋。 系統會開啟 SOAR Search Security Operations 控制台頁面。
- 展開「狀態」部分,然後選取「已結案」。
- 展開「標記」部分,然後選取「有毒組合」。
- 按一下 [套用]。搜尋結果會顯示已結案的有害組合案件。