Schädliche Kombinationen sind eine Gruppe von Sicherheitsproblemen, die erst im Zusammenspiel in einem bestimmten Muster einen Pfad zu einer oder mehreren Ihrer hochwertigen Ressourcen eröffnen. Ein entschlossener Angreifer könnte diesen ausnutzen, um auf diese Ressourcen zuzugreifen und sie zu gefährden.
Die Risk Engine erkennt schädliche Kombinationen während der Angriffspfadsimulationen, die sie ausführt. Für jede schädliche Kombination, die von Risk Engine erkannt wird, wird ein Ergebnis generiert. Jede schädliche Kombination enthält einen eindeutigen Wert für die Anfälligkeit für Angriffe, den Wert für schädliche Kombination. Er gibt das Risiko der schädlichen Kombination für die wertvollen Ressourcen in Ihrer Cloud-Umgebung an. Die Risk Engine generiert auch eine Visualisierung des Angriffspfads, den die schädliche Kombination für die Ressourcen in Ihrem Satz hochwertiger Ressourcen erstellt.
Engpässe ähneln schädlichen Kombinationen, konzentrieren sich aber auf gemeinsame Ressourcen oder Ressourcengruppen, in denen mehrere Angriffspfade zusammenlaufen. Wenn Sie einen Engpass beheben, können Sie damit also mehrere schädliche Kombinationen beseitigen.
Toxische Kombinationen und Engstellen werden für die folgenden Cloud-Dienstanbieterplattformen erkannt:
- Google Cloud. Verfügbar für Premium- und Enterprise-Dienststufen.
- Amazon Web Services (AWS) (Vorabversion) Verfügbar für die Enterprise-Dienststufe.
- Microsoft Azure (Vorschau) Verfügbar für die Enterprise-Dienststufe.
Eine Liste der unterstützten Ressourcen finden Sie unter Unterstützung von Risk Engine-Funktionen.
Schädliche Kombinationen und Engstellen ansehen
Die toxischen Kombinationen und Engstellen mit dem höchsten Risiko werden auf der Seite Risikoübersicht (Premium-Dienststufe) oder Übersicht (Enterprise-Dienststufe) als Probleme angezeigt. Alle toxischen Kombinationen und Engstellen können Sie je nach Security Command Center-Stufe auf den folgenden Seiten genauer ansehen:
- Seite Probleme in der Premium-Dienststufe
- Seite Risiko > Probleme in der Enterprise-Service-Stufe
Schädliche Kombinationen können auch in der Enterprise-Servicestufe auf der Seite Fälle aufgerufen werden.
Wenn Sie Ergebnisse zu schädlichen Kombinationen und Engpässen in derGoogle Cloud Console aufrufen möchten, rufen Sie die Seite Ergebnisse auf und filtern Sie nach der Ergebnisklasse Schädliche Kombination oder Engpass.
Ergebnisse zu schädlichen Kombinationen und Engpässen werden in Risikoberichten erfasst. Weitere Informationen finden Sie unter Risikoberichte – Übersicht.
Angriffsrisikobewertungen für schädliche Kombinationen und Engstellen
Die Risk Engine berechnet für jede toxische Kombination und jeden Chokepoint einen Wert für das Angriffsrisiko. Diese Punktzahl gibt an, inwieweit eine schädliche Kombination oder ein Engpass eine oder mehrere Ressourcen in Ihrem Set hochwertiger Ressourcen potenziellen Angriffen aussetzt. Je höher der Wert, desto höher das Risiko.
Berechnung der Angriffsbewertung
Die Werte für die Gefährdung durch Angriffe für schädliche Kombinationen und Engstellen werden aus Folgendem abgeleitet:
- Die Anzahl der Ressourcen in Ihrem Satz hochwertiger Ressourcen, die gefährdet sind, sowie die Prioritätswerte und Angriffsrisikobewertungen dieser Ressourcen.
- Die Wahrscheinlichkeit, dass ein entschlossener Angreifer eine hochwertige Ressource über die schädliche Kombination oder den Engpass erreichen kann.
Basierend auf dem Wert für die Anfälligkeit für Angriffe kann schädlichen Kombinationen einer der folgenden Schweregrade zugewiesen werden:
- Kritisch: Schädliche Kombinationen mit einem Wert für das Angriffsrisiko von mindestens 10.
- Hoch: Schädliche Kombinationen mit einem Angriffsrisikowert unter 10.
Chokepoints haben immer einen Wert für die Anfälligkeit für Angriffe von mindestens 10 und damit immer eine kritische Schweregradeinstufung.
Weitere Informationen finden Sie unter Scores für das Risiko von Angriffen.
Visualisierungen von Angriffspfaden für schädliche Kombinationen und Engstellen
Die Risk Engine bietet eine visuelle Darstellung der schädlichen Kombinationen und Chokepoint-Angriffspfade, die zu Ihren hochwertigen Ressourcen führen. Ein Angriffspfad stellt eine Reihe von Angriffsschritten dar, die zugehörige Sicherheitsprobleme und Ressourcen umfassen, die ein potenzieller Angreifer nutzen könnte, um auf Ihre Ressourcen zuzugreifen.
Anhand von Angriffspfaden können Sie die Beziehungen zwischen einzelnen Sicherheitsproblemen in einer schädlichen Kombination oder einem Engpass nachvollziehen und sehen, wie sie Pfade zu Ressourcen in Ihrem Satz hochwertiger Ressourcen bilden. Die Pfadvisualisierung zeigt auch, wie viele wertvolle Ressourcen verfügbar sind und welche relative Bedeutung sie für Ihre Cloud-Umgebung haben.
Ressourcen auf einem Angriffspfad sind farblich so gekennzeichnet:
- Ressourcen mit Sicherheitsproblemen, die zu einer toxischen Kombination beitragen, werden mit einem gelben Rahmen hervorgehoben.
- Ressourcen, die als Engpass identifiziert werden, sind mit einem roten Rahmen hervorgehoben.
Es gibt mehrere Stellen, an denen Sie Angriffspfade aufrufen können.
In der Premium-Dienststufe können Sie den vollständigen Angriffspfad auf der Seite Angriffspfade ansehen. Weitere Informationen finden Sie unter Angriffspfade. Eine vereinfachte Version des Angriffspfads finden Sie auch an den folgenden Stellen:
- Die Seite Risikoübersicht für Elemente im Widget Risikoreichste Probleme.
- Die Seite Probleme, wenn ein Problem ausgewählt ist. Sie können auf dem Tab Übersicht des Problems auf den vereinfachten Angriffspfad zugreifen.
In der Enterprise-Dienststufe können Sie eine vereinfachte Version des Angriffspfads an den folgenden Stellen aufrufen:
- Die Seite Risiko > Übersicht für Elemente im Widget Risikoreichste Probleme.
- Die Seite Risiko > Probleme, wenn ein Problem ausgewählt ist. Sie können auf dem Tab Übersicht des Problems auf den vereinfachten Angriffspfad zugreifen.
- Die Seite Risiko > Fälle, wenn ein Fall ausgewählt ist. Sie können auf den vereinfachten Angriffspfad auf dem Tab
Fallübersicht zugreifen.
Wenn Sie die vollständige Version eines Angriffspfads aufrufen möchten, rufen Sie die vereinfachte Version auf und klicken Sie dann auf Vollständige Angriffspfade ansehen.
Der folgende Screenshot zeigt ein Beispiel für einen vereinfachten Angriffspfad für eine toxische Kombination:

Der folgende Screenshot ist ein Beispiel für einen vereinfachten Angriffspfad für einen Engpass:

Ähnliche Ergebnisse
Viele der einzelnen Risiken, aus denen sich toxische Kombinationen und Engstellen zusammensetzen, werden auch von anderen Security Command Center-Erkennungsdiensten erkannt. Diese anderen Erkennungsdienste generieren separate Ergebnisse für diese Risiken, die in Problemen und Fällen als zugehörige Ergebnisse aufgeführt sind. Zugehörige Ergebnisse werden auch in Angriffspfaden identifiziert.
Bei schädlichen Kombinationen werden separate Fälle für die entsprechenden Ergebnisse geöffnet, es werden verschiedene Playbooks ausgeführt und andere Mitglieder Ihres Teams arbeiten möglicherweise unabhängig von der Behebung des Ergebnisses zur schädlichen Kombination an der Behebung. Prüfen Sie den Status der Anfragen für diese zusammenhängenden Ergebnisse und bitten Sie die Inhaber der Anfragen gegebenenfalls, die Behebung zu priorisieren, um die toxische Kombination zu beheben.
Fälle
In der Enterprise-Dienststufe wird in Security Command Center für jedes Ergebnis einer toxischen Kombination ein Fall erstellt. Durch Engstellen werden keine Anfragen generiert.
In der Detailansicht für den Fall finden Sie die folgenden Informationen zu toxischen Kombinationen:
- Eine Beschreibung der schädlichen Kombination
- Die Angriffsbewertung der schädlichen Kombination
- Eine Visualisierung des Angriffspfads, der durch die schädliche Kombination entsteht
- Informationen zu den betroffenen Ressourcen
- Informationen zu den Schritten, die Sie ergreifen können, um die schädliche Kombination zu beheben
- Informationen zu allen zugehörigen Ergebnissen aus anderen Security Command Center-Erkennungsdiensten, einschließlich Links zu den zugehörigen Fällen
- Zutreffende Playbooks
- Zugehörige Tickets
Auf der Seite Risk> Cases (Risiko > Fälle) in der Security Operations Console können Sie Fälle zu schädlichen Kombinationen mit dem Tag Toxic Combination (Schädliche Kombination) abfragen oder filtern. Fälle zu schädlichen Kombinationen sind in der Fallliste auch am folgenden Symbol zu erkennen: .
Weitere Informationen zum Ansehen von Fällen zu schädlichen Kombinationen finden Sie unter Fälle zu schädlichen Kombinationen ansehen.
Fallpriorität
Standardmäßig wird die Priorität von Fällen zu schädlichen Kombinationen auf denselben Wert wie die Schwere des Ergebnisses zu schädlichen Kombinationen und der zugehörigen Benachrichtigung im zugehörigen Fall festgelegt. Das bedeutet, dass alle Fälle zu schädlichen Kombinationen anfangs die Priorität Critical oder High haben.
Nachdem ein Fall geöffnet wurde, können Sie die Priorität des Falls oder der Benachrichtigung ändern. Wenn Sie die Priorität eines Falls oder einer Benachrichtigung ändern, ändert sich dadurch nicht der Schweregrad des Problems.
Fälle schließen
Wenn ein Ergebnis zum ersten Mal für eine toxische Kombination generiert wird, lautet der Status Active.
Wenn Sie die schädliche Kombination beheben, erkennt Risk Engine die Behebung automatisch bei der nächsten Angriffspfadsimulation und schließt den Fall. Die Simulationen werden ungefähr alle sechs Stunden ausgeführt.
Wenn Sie feststellen, dass das Risiko einer schädlichen Kombination akzeptabel oder unvermeidlich ist, können Sie einen Fall schließen, indem Sie den Befund stummschalten.
Wenn Sie ein Ergebnis ausblenden, bleibt es aktiv, aber Security Command Center schließt den Fall und lässt das Ergebnis in Standardabfragen und ‑ansichten aus.
Weitere Informationen finden Sie hier:
- Fälle zu schädlichen Kombinationen schließen
- Übersicht über Supportanfragen
- Ergebnisse in Security Command Center ausblenden
Nächste Schritte
Weitere Informationen zu Angriffsrisikobewertungen und Angriffspfaden
Weitere Informationen zum Verwalten von toxischen Kombinationen und Engstellen
Weitere Informationen zur Unterstützung von Risk Engine-Funktionen
Informationen zum Definieren und Verwalten Ihres Satzes hochwertiger Ressourcen