בדף הזה מוסבר איך לזהות צווארי בקבוק ושילובים רעילים ולהגיב להם באמצעות הדפים הבאים:
- בעיות, זמין ברמות השירות Premium ו-Enterprise.
- פניות לתמיכה, שזמינות במסלול השירות Enterprise.
- ממצאים, שזמינים ברמות השירות Premium ו-Enterprise.
לפני שמתחילים
כדי לוודא שהזיהוי של שילובים רעילים ונקודות חולשה מדויק, צריך לוודא שתוכנת רכיב פעולות האבטחה מעודכנת, שקבוצת המשאבים בעלי הערך הגבוה מוגדרת בצורה מדויקת ושיש לכם את הרשאות ה-IAM המתאימות.
אופציונלי: איסוף נתונים מעננים אחרים
מנוע הסיכון תומך בהרצת סימולציות על נתונים מ-Amazon Web Services (AWS) (גרסת Preview) ומ-Microsoft Azure (גרסת Preview) כדי לזהות שילובים רעילים ונקודות חנק.
כדי לאסוף נתונים על משאבים ועל הגדרות, צריך להגדיר את החיבור מ-Security Command Center לספקי הענן האלה. מידע על הגדרת החיבורים זמין במאמרים הבאים:
- התחברות ל-AWS לצורך הגדרה ואיסוף נתוני משאבים
- התחברות ל-Microsoft Azure לצורך הגדרה ואיסוף נתוני משאבים
רשימת המשאבים הנתמכים מופיעה במאמר תמיכה בתכונות של מנוע הסיכונים.
קבלת ההרשאות הנדרשות
כדי לעבוד עם שילובים רעילים ונקודות חנק, אתם צריכים הרשאות שמעניקות גישה ל-Security Command Center ולתכונות של Google SecOps.
תפקידים ב-IAM ב-Security Command Center
כדי לקבל את ההרשאות שדרושות לעבודה עם שילובים רעילים ונקודות חנק, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בארגון:
-
הצגת נתיבי תקיפה:
-
צפייה באדמין ב-Security Center (
roles/securitycenter.adminViewer) -
קריאת נתיבי תקיפה במרכז האבטחה (
roles/securitycenter.attackPathsViewer) -
צפייה בתוצאות של מרכז האבטחה (
roles/securitycenter.findingsViewer)
-
צפייה באדמין ב-Security Center (
-
הצגת הממצאים של נתיב התקיפה:
-
צפייה באדמין ב-Security Center (
roles/securitycenter.adminViewer) -
קריאת נתיבי תקיפה במרכז האבטחה (
roles/securitycenter.attackPathsViewer) -
צפייה בתוצאות של מרכז האבטחה (
roles/securitycenter.findingsViewer)
-
צפייה באדמין ב-Security Center (
-
צפייה בממצאים:
-
צפייה באדמין ב-Security Center (
roles/securitycenter.adminViewer) -
צפייה בתוצאות של מרכז האבטחה (
roles/securitycenter.findingsViewer)
-
צפייה באדמין ב-Security Center (
-
השתקת ממצאים:
-
צפייה באדמין ב-Security Center (
roles/securitycenter.adminViewer) -
עריכת ממצאים במרכז האבטחה (
roles/securitycenter.findingsEditor) -
כלי להשתקת ממצאים במרכז האבטחה (
roles/securitycenter.findingsMuteSetter)
-
צפייה באדמין ב-Security Center (
-
הצגת משאבים:
-
צפייה באדמין ב-Security Center (
roles/securitycenter.adminViewer) -
כלי להשתקת ממצאים במרכז האבטחה (
roles/securitycenter.findingsMuteSetter)
-
צפייה באדמין ב-Security Center (
-
עריכת הממצאים:
-
צפייה באדמין ב-Security Center (
roles/securitycenter.adminViewer) -
עריכת ממצאים במרכז האבטחה (
roles/securitycenter.findingsEditor) -
צפייה בתוצאות של מרכז האבטחה (
roles/securitycenter.findingsViewer)
-
צפייה באדמין ב-Security Center (
להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.
מידע נוסף על תפקידים והרשאות ב-Security Command Center זמין במאמר IAM להפעלות ברמת הארגון.
תפקידי IAM ב-Google SecOps
כדי לעבוד עם שילובים ומקרים רעילים ברמת השירות Enterprise, צריך להיות לכם אחד מהתפקידים הבאים:
- Chronicle SOAR Vulnerability Manager
(
roles/chronicle.soarVulnerabilityManager) - Chronicle SOAR Threat Manager (
roles/chronicle.soarThreatManager) - אדמין ב-Chronicle SOAR (
roles/chronicle.soarAdmin)
במאמר מיפוי משתמשים והרשאתם באמצעות IAM מוסבר איך מקצים את התפקיד למשתמש.
התקנה של תרחיש השימוש העדכני ביותר של פעולות אבטחה
כדי להשתמש בתכונה 'שילוב רעיל', צריך להשתמש בתרחיש לדוגמה SCC Enterprise – Cloud Orchestration and Remediation מגרסה 25 ביוני 2024 ואילך.
מידע על התקנת התרחיש לדוגמה זמין במאמר עדכון התרחיש לדוגמה Enterprise, יוני 2024.
הגדרת קבוצת משאבים בעלי ערך גבוה
אין צורך להפעיל את הזיהוי של שילובים רעילים ונקודות חנק – הוא תמיד פועל. מנוע הסיכון מזהה באופן אוטומטי שילובים רעילים ונקודות חולשה שחושפות קבוצה של משאבים בעלי ערך גבוה כברירת מחדל.
סביר להניח שהממצאים לגבי שילובים רעילים ונקודות חנק שנוצרו על סמך קבוצת ברירת המחדל של משאבים בעלי ערך גבוה לא ישקפו בצורה מדויקת את סדרי העדיפויות שלכם בנושא אבטחה. כדי לציין אילו משאבים נכללים בקבוצת המשאבים בעלי הערך הגבוה, יוצרים הגדרות של ערכי משאבים במסוף Google Cloud . הוראות מפורטות מופיעות במאמר הגדרה וניהול של קבוצת משאבים בעלי ערך גבוה.
תיקון שילובים רעילים ונקודות צוואר בקבוק
שילובים רעילים ונקודות צוואר בקבוק יכולים לחשוף משאבים רבים בעלי ערך גבוה לתוקפים פוטנציאליים. מומלץ לטפל בהם לפני סיכונים אחרים בסביבות הענן.
אתם יכולים לתעדף את הסדר שבו אתם מטפלים בשילובים רעילים ובנקודות חולשה על סמך ציון החשיפה להתקפה. הדרך לעשות את זה משתנה בהתאם למקום שבו אתם צופים בשילובים רעילים ובנקודות צוואר בקבוק.
בעיות
בתוכניות Premium ו-Enterprise, אפשר לגשת לשילובי רעילות ולנקודות חולשה בסיכון הגבוה ביותר (מוצגים כבעיות) בדפים הבאים:
- רמת השירות Enterprise: הדף Risk > Overview
- מסלול שירות פרימיום: Security Command Center > סקירת סיכונים
אפשר לראות את כל השילובים הרעילים ונקודות החולשה בדף Risk > Issues.
כדי לפתור בעיה, מבצעים את ההוראות הבאות:
פרימיום
הצגת כל הבעיות
- כדי לראות את כל הבעיות, עוברים לדף Issues ב-Security Command Center.
- בוחרים את Google Cloud הארגון.
מיון לפי ציון החשיפה להתקפות
- כברירת מחדל, הבעיות המקובצות מדורגות לפי חומרה. בתוך הקבוצה, הבעיות מדורגות לפי ציון החשיפה להתקפות. כדי למיין את כל הבעיות לפי ציון החשיפה להתקפות, משביתים את האפשרות קיבוץ לפי זיהויים.
- בוחרים בעיה.
- קוראים את תיאור הבעיה ואת ההוכחות.
גישה למידע נוסף
- אם יש ממצאים קשורים, אפשר לראות את הפרטים שלהם.
- אם נמצאות כמה בעיות קריטיות במקור מידע ראשי בשילוב רעיל או בנקודת חנק, מוצגת הודעה אחרי דיאגרמת ההוכחות. כדי לייעל את מאמצי התיקון, לוחצים על סינון בעיות עבור המשאב הראשי הזה בהודעה הזו כדי להתמקד בפתרון בעיות שקשורות למשאב הספציפי הזה. כדי להסיר את המסנן, לוחצים על החץ 'חזרה' ליד
הוספת מסנן. - כדי להבין את הבעיה לעומק ולראות איך נתיבי התקיפה חושפים משאבים בעלי ערך גבוה, לוחצים על Explore full attack paths (עיון בנתיבי תקיפה מלאים) בתרשים Evidence (הוכחות).
- לוחצים על איך לפתור את הבעיה ופועלים לפי ההנחיות כדי לצמצם את הסיכון.
Enterprise
הצגת כל הבעיות
- כדי לראות את כל הבעיות, עוברים לדף 'בעיות' ב-Security Command Center Risk > Issues.
- בוחרים את Google Cloud הארגון.
מיון לפי ציון החשיפה להתקפות
- כברירת מחדל, הבעיות המקובצות מדורגות לפי חומרה. בתוך הקבוצה, הבעיות מדורגות לפי ציון החשיפה להתקפות. כדי למיין את כל הבעיות לפי ציון החשיפה להתקפות, משביתים את האפשרות קיבוץ לפי זיהויים.
- בוחרים בעיה.
- קוראים את תיאור הבעיה ואת ההוכחות.
גישה למידע נוסף
- אם יש ממצאים קשורים, אפשר לראות את הפרטים שלהם.
- אם נמצאות כמה בעיות קריטיות במקור מידע ראשי בשילוב רעיל או בנקודת חנק, מוצגת הודעה אחרי דיאגרמת ההוכחות. כדי לייעל את מאמצי התיקון, לוחצים על סינון בעיות עבור המשאב הראשי הזה בהודעה הזו כדי להתמקד בפתרון בעיות שקשורות למשאב הספציפי הזה. כדי להסיר את המסנן, לוחצים על החץ 'חזרה' ליד
הוספת מסנן.
- כדי להבין את הבעיה לעומק ולראות איך נתיבי התקיפה חושפים משאבים בעלי ערך גבוה, לוחצים על Explore full attack paths (עיון בנתיבי תקיפה מלאים) בתרשים Evidence (הוכחות).
- לוחצים על איך לפתור את הבעיה ופועלים לפי ההנחיות כדי לצמצם את הסיכון.
בקשות תמיכה
במהדורת Enterprise של שירות, אפשר לראות את כל המקרים של שילובים רעילים בדף מקרים. נקודות צוואר בקבוק לא יוצרות פנייה באופן אוטומטי, והן מוצגות בדף בעיות.
כדי למצוא שילובים רעילים במקרים, פועלים לפי ההוראות הבאות:
- במסוף Google Cloud , עוברים אל Risk > Cases (סיכונים > אירועים). ייפתח הדף Cases במסוף Security Operations.
- ברשימת הבקשות, לוחצים על
Cases filter כדי לפתוח את חלונית הסינון. נפתחת החלונית Case queue filter.
- בקטע Case queue filter, מציינים את הפרטים הבאים: 1. בשדה Time frame, מציינים את התקופה שבה הפנייה פעילה. 1. מגדירים את האופרטור הלוגי לערך AND. 1. בתיבת הרשימה של מפתח המסנן, בוחרים באפשרות Tags (תגים). 1. מגדירים את אופרטור השוויון ל-is. 1. בתיבת הרשימה של ערכי המסנן, בוחרים באפשרות Toxic combination (שילוב רעיל). 1. לוחצים על אישור. תור הפניות יתעדכן ויוצגו בו רק הפניות שתואמות למסנן שהגדרתם.
- לוחצים על מיון לצד
מסנן אירועים ובוחרים באפשרות מיון לפי חשיפה להתקפה (מהגבוה לנמוך).
- בתור של בקשות התמיכה, לוחצים על הבקשה שרוצים לראות. אם אתם צופים בבקשות התמיכה בתצוגת רשימה, לוחצים על מזהה בקשת התמיכה. פרטי הפנייה מוצגים.
- לוחצים על
Case overview. - בקטע סיכום הפנייה, פועלים לפי ההנחיות שבקטע השלבים הבאים.
בדיקת ממצאים קשורים במקרים של שילוב רעיל
בדרך כלל, שילוב רעיל כולל ממצא אחד או יותר של פגיעות בתוכנה או הגדרה שגויה. לכל אחד מהממצאים האלה, Security Command Center פותח באופן אוטומטי כרטיס נפרד ומריץ את תוכניות הפעולה המשויכות. אתם יכולים לבדוק את המקרים שבהם נמצאו הממצאים האלה ולבקש מבעלי הכרטיסים לתת עדיפות לתיקון שלהם כדי לפתור את השילוב הרעיל.
כדי לבדוק את הממצאים שקשורים לשילוב רעיל:
- בכרטיסייה
Case overview (סקירה כללית של בקשת התמיכה), עוברים לקטע Findings (ממצאים).
בקטע ממצאים, בודקים את הממצאים שמופיעים ברשימה.
- לוחצים על מזהה הפנייה של הממצא כדי לפתוח את הפנייה ולראות את הסטטוס שלה, הבעלים שהוקצה לה ומידע נוסף על הפנייה.
- כדי לבדוק את נתיב המתקפה של הממצא, לוחצים על ציון החשיפה למתקפה.
- אם לתוצאת החיפוש יש מזהה טיקט, לוחצים עליו כדי לפתוח את הטיקט.
אפשר גם לראות את הממצאים שקשורים למקרה בכרטיסיות ההתראות שלו.
ממצאים
ממצא של שילוב רעיל או נקודת חנק הוא הרשומה הראשונית שמנוע הסיכונים יוצר כשהוא מזהה שילוב רעיל או נקודת חנק בסביבת הענן שלכם.
עוברים לדף ממצאים.
בוחרים את Google Cloud הארגון.
בקטע Finding class בחלונית Quick filters, בוחרים באפשרות Toxic combination או Chokepoint. החלונית Findings query results מתעדכנת כך שיוצגו בה רק ממצאים של שילובים רעילים או נקודות חנק.
כדי למיין את הממצאים לפי חומרה, לוחצים על כותרת העמודה Attack Exposure Score עד שהציונים מופיעים בסדר יורד.
כדי לפתוח את חלונית פרטי הממצא, לוחצים על קטגוריית ממצא. עוברים לקטע השלבים הבאים ופועלים לפי ההנחיות כדי לפתור את בעיית האבטחה.
סגירת בקשות תמיכה בנושא שילובים רעילים
כדי לסגור בקשת תמיכה שקשורה לשילוב רעיל, אפשר לתקן את השילוב הרעיל הבסיסי או להשתיק את הממצא שקשור אליו במסוףGoogle Cloud .
סגירת פנייה אחרי תיקון שילוב רעיל
אחרי שתטפלו בבעיות האבטחה שיוצרות שילוב רעיל, ולאחר שהן לא יחשפו יותר משאבים בקבוצת המשאבים בעלי הערך הגבוה, מנוע הסיכון יסגור את המקרה באופן אוטומטי במהלך הסימולציה הבאה של נתיב התקיפה, שמתבצעת בערך כל שש שעות.
סגירת פנייה על ידי השתקת הממצא
אם הסיכון שנובע מהשילוב הרעיל מקובל על העסק שלכם או שאין לכם אפשרות לטפל בשילוב הרעיל, אתם יכולים לסגור את הפנייה על ידי השתקת הממצא שקשור אליה.
כדי להשתיק תוצאה של שילוב רעיל:
- במסוף Google Cloud , עוברים אל Risk > Cases (סיכונים > אירועים).
- מאתרים את הפנייה בנושא שילוב רעיל ופותחים אותה.
- לוחצים על הכרטיסייה של ההתראה שקשורה לנושא.
- בווידג'ט סיכום הממצאים, לוחצים על הצגת הממצאים ב-SCC. הממצא הקשור ייפתח.
- כדי להשתיק את הממצא, משתמשים באפשרויות ההשתקה בדף הפרטים של הממצא.
אפשר גם להשתיק את הממצאים ב Google Cloud מסוף. מידע נוסף זמין במאמר בנושא השתקת ממצא ספציפי.
צפייה בפניות שנסגרו בנושא שילובים רעילים
כשבקשת תמיכה נסגרת, היא מוסרת מ-Security Command Center מהדף Cases.
כדי לראות בקשה שנסגרה בנושא שילוב רעיל:
- במסוף Google Cloud , עוברים אל Investigation > SOAR Search. ייפתח הדף SOAR Search במסוף Security Operations.
- מרחיבים את הקטע סטטוס ובוחרים באפשרות סגור.
- מרחיבים את הקטע Tags (תגים) ובוחרים באפשרות Toxic combination (שילוב רעיל).
- לוחצים על אישור. מקרים של שילובים רעילים שנסגרו מוצגים בתוצאות החיפוש.