Schädliche Kombinationen und Engstellen verwalten

Auf dieser Seite finden Sie Anleitungen zum Identifizieren und Reagieren auf toxische Kombinationen und Engstellen. Dazu werden die folgenden Seiten verwendet:

  • Probleme, die in den Dienststufen Premium und Enterprise verfügbar sind.
  • Vorgänge, die in der Enterprise-Dienststufe verfügbar sind.
  • Ergebnisse, die in den Dienststufen „Enterprise“ und „Premium“ verfügbar sind.

Hinweise

Damit toxische Kombinationen und Engstellen richtig erkannt werden, muss die Software der Security Operations-Komponente auf dem neuesten Stand sein, Ihr Set mit wichtigen Ressourcen muss richtig festgelegt sein und Sie müssen die richtigen IAM-Berechtigungen haben.

Optional: Daten aus anderen Clouds erfassen

Die Risk Engine unterstützt die Ausführung von Simulationen für Daten von Amazon Web Services (AWS) (Vorschau) und Microsoft Azure (Vorschau), um toxische Kombinationen und Engstellen zu identifizieren.

Konfigurieren Sie die Verbindung von Security Command Center zu diesen Cloud-Anbietern, um Ressourcen- und Konfigurationsdaten zu erfassen. Informationen zum Einrichten der Verbindungen finden Sie hier:

Eine Liste der unterstützten Ressourcen finden Sie unter Unterstützung von Risk Engine-Funktionen.

Erforderliche Berechtigungen erhalten

Wenn Sie mit toxischen Kombinationen und Engstellen arbeiten möchten, benötigen Sie Berechtigungen, die Zugriff auf Security Command Center- und Google SecOps-Funktionen gewähren.

Security Command Center-IAM-Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihre Organisation zuzuweisen, damit Sie die nötigen Berechtigungen für die Arbeit in Security Command Center haben:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Weitere Informationen zu Security Command Center-Rollen und -Berechtigungen finden Sie unter IAM für Aktivierungen auf Organisationsebene.

Google SecOps-IAM-Rollen

Um mit toxischen Kombinationen und Fällen zu arbeiten, benötigen Sie eine der folgenden Rollen:

  • Chronicle SOAR Vulnerability Manager (roles/chronicle.soarVulnerabilityManager)
  • Chronicle SOAR Threat Manager (roles/chronicle.soarThreatManager)
  • Chronicle SOAR-Administrator (roles/chronicle.soarAdmin)

Informationen zum Zuweisen der Rolle zu einem Nutzer finden Sie unter Nutzer mit IAM zuordnen und autorisieren.

Neuesten Anwendungsfall für Security Operations installieren

Für die Funktion „Schädliche Kombination“ ist die Version vom 25. Juni 2024 oder höher des Anwendungsfalls SCC Enterprise – Cloud Orchestration and Remediation erforderlich.

Informationen zur Installation des Anwendungsfalls finden Sie unter Enterprise-Anwendungsfall aktualisieren, Juni 2024.

Satz hochwertiger Ressourcen angeben

Sie müssen die Erkennung von toxischen Kombinationen und Engstellen nicht aktivieren. Sie ist immer aktiviert. Die Risk Engine erkennt automatisch toxische Kombinationen und Engstellen, die einen Standardsatz hochwertiger Ressourcen gefährden.

Ergebnisse zu schädlichen Kombinationen und Engstellen, die auf Grundlage des standardmäßigen Sets von Ressourcen mit hohem Wert generiert werden, spiegeln Ihre Sicherheitsprioritäten wahrscheinlich nicht genau wider. Um anzugeben, welche Ressourcen Teil Ihres Satzes hochwertiger Ressourcen sind, erstellen Sie Konfigurationen für den Wert von Ressourcen in der Google Cloud -Konsole. Eine Anleitung finden Sie unter Satz hochwertiger Ressourcen definieren und verwalten.

Schädliche Kombinationen und Engstellen beheben

Schädliche Kombinationen und Engstellen können viele hochwertige Ressourcen potenziellen Angreifern aussetzen. Sie sollten diese beheben, bevor Sie sich um andere Risiken in Ihren Cloud-Umgebungen kümmern.

Sie können die Reihenfolge, in der Sie schädliche Kombinationen und Engstellen beheben, anhand des Angriffsrisikowerts priorisieren. Die Vorgehensweise hängt davon ab, wo Sie sich toxische Kombinationen und Engstellen ansehen.

Probleme

Sie können auf den folgenden Seiten auf die toxischen Kombinationen und Engstellen mit dem höchsten Risiko (als Probleme angezeigt) zugreifen:

  • Security Command Center Enterprise-Dienststufe: Seite Risiko > Übersicht
  • Security Command Center Premium: Security Command Center > Risikoübersicht

Alle schädlichen Kombinationen und Engstellen können auf der Seite Risiko > Probleme eingesehen werden.

So beheben Sie ein Problem:

Premium

  1. Rufen Sie die Seite Probleme im Security Command Center auf, um alle Probleme zu sehen.

    Zu „Probleme“

  2. Standardmäßig werden gruppierte Probleme nach Schweregrad sortiert. Innerhalb der Gruppe werden die Probleme nach dem Risikowert für Angriffspfade sortiert. Wenn Sie alle Probleme stattdessen nach der Angriffsbewertung sortieren möchten, deaktivieren Sie Nach Erkennungen gruppieren.
  3. Wählen Sie ein Problem aus.
  4. Sehen Sie sich die Beschreibung des Problems und die Nachweise an.
  5. Wenn es ähnliche Ergebnisse gibt, rufen Sie die Details auf.
  6. Wenn bei einer primären Ressource in einer toxischen Kombination oder einem Engpass mehrere kritische Probleme gefunden werden, wird nach dem Evidence-Diagramm eine Meldung angezeigt. Um Ihre Bemühungen zur Fehlerbehebung zu optimieren, klicken Sie in dieser Meldung auf Probleme für diese primäre Ressource filtern, um sich auf die Behebung von Problemen für diese bestimmte Ressource zu konzentrieren. Klicken Sie auf den Rückwärtspfeil neben Filterleiste öffnen Filter hinzufügen, um den Filter zu entfernen.
  7. Klicken Sie im Diagramm Nachweise auf Vollständige Angriffspfade ansehen, um das Problem und die Art und Weise, wie die Angriffspfade hochwertige Ressourcen offenlegen, genauer zu untersuchen.
  8. Klicken Sie auf Beheben und folgen Sie der Anleitung, um das Risiko zu minimieren.

Unternehmen

  1. Rufen Sie die Seite Risiko > Probleme im Security Command Center auf, um alle Probleme zu sehen.

    Zu „Probleme“

  2. Standardmäßig werden gruppierte Probleme nach Schweregrad sortiert. Innerhalb der Gruppe werden die Probleme nach dem Risikowert für Angriffspfade sortiert. Wenn Sie alle Probleme stattdessen nach der Angriffsbewertung sortieren möchten, deaktivieren Sie Nach Erkennungen gruppieren.
  3. Wählen Sie ein Problem aus.
  4. Sehen Sie sich die Beschreibung des Problems und die Nachweise an.
  5. Wenn es ähnliche Ergebnisse gibt, rufen Sie die Details auf.
  6. Wenn bei einer primären Ressource in einer toxischen Kombination oder einem Engpass mehrere kritische Probleme gefunden werden, wird nach dem Evidence-Diagramm eine Meldung angezeigt. Um Ihre Bemühungen zur Fehlerbehebung zu optimieren, klicken Sie in dieser Meldung auf Probleme für diese primäre Ressource filtern, um sich auf die Behebung von Problemen für diese bestimmte Ressource zu konzentrieren. Klicken Sie auf den Rückwärtspfeil neben Filterleiste öffnen Filter hinzufügen, um den Filter zu entfernen.
  7. Klicken Sie im Diagramm Nachweise auf Vollständige Angriffspfade ansehen, um das Problem und die Art und Weise, wie die Angriffspfade hochwertige Ressourcen offenlegen, genauer zu untersuchen.
  8. Klicken Sie auf Beheben und folgen Sie der Anleitung, um das Risiko zu minimieren.

Fälle

Alle Fälle zu schädlichen Kombinationen finden Sie auf der Seite Fälle. Bei Engstellen wird nicht automatisch eine Supportanfrage erstellt. Sie sollten auf der Seite Probleme nachsehen.

So finden Sie toxische Kombinationen in Fällen:

  1. Wechseln Sie in der Google Cloud Console zu Risiko > Anfragen. Die Seite Fälle in der Security Operations-Konsole wird geöffnet.
  2. Klicken Sie in der Liste der Fälle auf Filterleiste öffnen Filter für Fälle, um den Filterbereich zu öffnen. Der Bereich Filter für Fallwarteschlange wird geöffnet.
  3. Geben Sie im Filter für die Fallwarteschlange Folgendes an: 1. Geben Sie im Feld Zeitrahmen den Zeitraum an, in dem der Fall aktiv ist. 1. Stellen Sie Logischer Operator auf AND ein. 1. Wählen Sie im Listenfeld für den Filterschlüssel Tags aus. 1. Legen Sie den Gleichheitsoperator auf is fest. 1. Wählen Sie im Listenfeld für Filterwerte die Option Toxische Kombination aus. 1. Klicken Sie auf Übernehmen. Die Anfragen in der Warteschlange werden aktualisiert und es werden nur noch die Anfragen angezeigt, die dem angegebenen Filter entsprechen.
  4. Klicken Sie neben Filter für Anfragen Filterleiste öffnen auf Sortieren und wählen Sie Nach Anfälligkeit für Angriffe sortieren (hoch bis niedrig) aus.
  5. Klicken Sie in der Fallwarteschlange auf den Fall, den Sie sich ansehen möchten. Wenn Sie sich die Anfragen in der Listenansicht ansehen, klicken Sie stattdessen auf die Anfrage-ID. Die Informationen zur Anfrage werden angezeigt.
  6. Klicken Sie auf Fall Fallübersicht.
  7. Folgen Sie im Abschnitt Zusammenfassung des Falls der Anleitung unter Nächste Schritte.

Eine schädliche Kombination umfasst in der Regel ein oder mehrere Ergebnisse zu einer Software-Sicherheitslücke oder einer fehlerhaften Konfiguration. Für jedes dieser Ergebnisse öffnet Security Command Center automatisch einen separaten Fall und führt die zugehörigen Playbooks aus. Sie können sich die Fälle für diese Ergebnisse ansehen und die Ticketinhaber bitten, die Maßnahmen zur Risikobeseitigung zu priorisieren, um die toxische Kombination zu beheben.

So rufen Sie die zugehörigen Ergebnisse in einer toxischen Kombination auf:

  1. Rufen Sie auf dem Tab Fall Fallübersicht eines Falls den Bereich Ergebnisse auf.

  2. Sehen Sie sich im Abschnitt Ergebnisse die aufgeführten Ergebnisse an.

    • Klicken Sie auf die Fall-ID des Ergebnisses, um den Fall zu öffnen und den Status, den zugewiesenen Inhaber und andere Fallinformationen aufzurufen.
    • Klicken Sie auf den Risikowert für Angriffspfade, um den Angriffspfad für das Ergebnis zu prüfen.
    • Wenn das Ergebnis eine Ticket-ID hat, klicken Sie darauf, um das Ticket zu öffnen.

Alternativ können Sie sich die zugehörigen Ergebnisse im Fall auf den jeweiligen Benachrichtigungstabs ansehen.

Ergebnisse

Ein Ergebnis für eine toxische Kombination oder einen Engpass ist der erste Datensatz, der von der Risk Engine generiert wird, wenn sie eine toxische Kombination oder einen Engpass in Ihrer Cloud-Umgebung erkennt.

  1. Rufen Sie die Seite Ergebnisse auf.

    Zu Ergebnissen

  2. Wählen Sie Ihre Google Cloud Organisation aus.

  3. Wählen Sie im Bereich Schnellfilter im Abschnitt Klasse der Ergebnisse die Option Toxische Kombination oder Engstelle aus. Im Bereich Ergebnisse der Ergebnisabfrage werden nur Ergebnisse für toxische Kombinationen oder Engstellen angezeigt.

  4. Klicken Sie auf die Spaltenüberschrift Angriffsrisikobewertung, bis die Werte in absteigender Reihenfolge angezeigt werden, um die Ergebnisse nach Schweregrad zu sortieren.

  5. Klicken Sie auf eine Kategorie, um den Detailbereich zu öffnen. Rufen Sie den Abschnitt Nächste Schritte auf und folgen Sie der Anleitung, um das Sicherheitsproblem zu beheben.

Fälle zu schädlichen Kombinationen schließen

Sie können einen Fall für eine toxische Kombination schließen, indem Sie entweder die zugrunde liegende toxische Kombination beheben oder den entsprechenden Befund in derGoogle Cloud -Konsole stummschalten.

Fall durch Beheben einer schädlichen Kombination schließen

Nachdem Sie die Sicherheitsprobleme behoben haben, die eine toxische Kombination bilden und keine Ressourcen in Ihrer Gruppe hochwertiger Ressourcen mehr gefährden, schließt Risk Engine den Fall automatisch bei der nächsten Angriffspfadsimulation, die etwa alle sechs Stunden ausgeführt wird.

Fall durch Stummschalten des Ergebnisses schließen

Wenn das Risiko, das von der schädlichen Kombination ausgeht, für Ihr Unternehmen akzeptabel ist oder Sie die schädliche Kombination nicht beheben können, können Sie den Fall schließen, indem Sie den entsprechenden Befund stummschalten.

So blenden Sie ein Ergebnis für eine toxische Kombination aus:

  1. Wechseln Sie in der Google Cloud Console zu Risiko > Anfragen.
  2. Suchen Sie den Fall zu schädlichen Kombinationen und öffnen Sie ihn.
  3. Klicken Sie auf den entsprechenden Tab für Benachrichtigungen.
  4. Klicken Sie im Widget Zusammenfassung der Ergebnisse auf Ergebnisse in SCC ansehen. Das zugehörige Ergebnis wird geöffnet.
  5. Verwenden Sie die Stummschaltungsoptionen auf der Seite mit den Ergebnisdetails, um das Ergebnis stummzuschalten.

Sie können Ergebnisse auch in der Google Cloud Console ausblenden. Weitere Informationen finden Sie unter Einzelne Ergebnisse ausblenden.

Abgeschlossene Fälle zu schädlichen Kombinationen ansehen

Wenn ein Fall geschlossen wird, wird er von Security Command Center von der Seite Fälle entfernt.

So rufen Sie einen geschlossenen Fall mit einer toxischen Kombination auf:

  1. Rufen Sie in der Google Cloud -Konsole Untersuchung > SOAR-Suche auf. Die Seite SOAR Search der Security Operations Console wird geöffnet.
  2. Maximieren Sie den Bereich Status und wählen Sie Geschlossen aus.
  3. Maximieren Sie den Bereich Tags und wählen Sie Giftige Kombination aus.
  4. Klicken Sie auf Übernehmen. Geschlossene Fälle zu schädlichen Kombinationen werden in den Suchergebnissen angezeigt.