Schädliche Kombinationen sind eine Gruppe von Sicherheitsproblemen, die in einem bestimmten Muster auftreten und einen Pfad zu einer oder mehreren Ihrer hochwertigen Ressourcen eröffnen. Ein entschlossener Angreifer könnte diesen ausnutzen, um auf diese Ressourcen zuzugreifen und sie zu gefährden.
Die Risk Engine erkennt schädliche Kombinationen während der Angriffspfadsimulationen die sie ausführt. Für jede schädliche Kombination, die von der Risk Engine erkannt wird, wird ein Ergebnis generiert. Jede schädliche Kombination enthält eine eindeutige Angriffs risikobewertung, die als Wert für schädliche Kombination bezeichnet wird. Sie misst das Risiko der schädlichen Kombination für die Gruppe hochwertiger Ressourcen in Ihrer Cloud-Umgebung. Die Risk Engine generiert auch eine Visualisierung des Angriffs pfads, den die schädliche Kombination zu den Ressourcen in Ihrer Gruppe hochwertiger Ressourcen erstellt.
Engpässe ähneln schädlichen Kombinationen, konzentrieren sich aber auf gemeinsame Ressourcen oder Ressourcengruppen, bei denen mehrere Angriffspfade zusammenlaufen. Daher kann die Behebung eines Engpasses mehrere schädliche Kombinationen beheben.
Schädliche Kombinationen und Engpässe werden für die folgenden Cloud-Dienstanbieterplattformen erkannt:
- Google Cloud. Verfügbar für die Dienststufen „Premium“ und „Enterprise“.
- Amazon Web Services (AWS) (Vorschau). Verfügbar für die Dienststufe „Enterprise“.
- Microsoft Azure (Vorschau). Verfügbar für die Dienststufe „Enterprise“.
Eine Liste der unterstützten Ressourcen finden Sie unter Unterstützung für Risk Engine-Funktionen.
Schädliche Kombinationen und Engpässe ansehen
Die schädlichen Kombinationen und Engpässe mit dem höchsten Risiko werden auf der Risikoübersicht (Dienststufe „Premium“) oder Übersicht (Dienststufe „Enterprise“) Seite als Probleme angezeigt. Auf den folgenden Seiten können Sie alle schädlichen Kombinationen und Engpässe detaillierter ansehen, je nach Ihrer Security Command Center-Stufe:
- Seite Probleme in der Dienststufe „Premium“
- Seite Risiko > Probleme in der Dienststufe „Enterprise“
Schädliche Kombinationen können auch auf der Seite Fälle in der Dienststufe „Enterprise“ angesehen werden.
Wenn Sie Ergebnisse zu schädlichen Kombinationen und Engpässen in der Google Cloud Console ansehen möchten, rufen Sie die Ergebnisse Seite auf und filtern Sie nach der Ergebnisklasse Schädliche Kombination oder Engpass.
Ergebnisse zu schädlichen Kombinationen und Engpässen werden in Risikoberichten erfasst. Weitere Informationen finden Sie unter Übersicht über Risikoberichte.
Angriffsrisikobewertungen für schädliche Kombinationen und Engpässe
Die Risk Engine berechnet eine Angriffsrisikobewertung für jede schädliche Kombination und jeden Engpass. Diese Bewertung gibt an, in welchem Maße eine schädliche Kombination oder ein Engpass eine oder mehrere Ressourcen in Ihrer Gruppe hochwertiger Ressourcen potenziellen Angriffen aussetzt. Je höher die Bewertung, desto höher das Risiko.
Berechnung der Angriffsrisikobewertung
Angriffsrisikobewertungen für schädliche Kombinationen und Engpässe werden aus den folgenden Faktoren abgeleitet:
- Die Anzahl der gefährdeten Ressourcen in Ihrer Gruppe hochwertiger Ressourcen sowie die Prioritätswerte und Angriffsrisikobewertungen dieser Ressourcen.
- Die Wahrscheinlichkeit, dass ein entschlossener Angreifer eine hochwertige Ressource erreichen kann, indem er die schädliche Kombination oder den Engpass ausnutzt.
Basierend auf der Angriffsrisikobewertung können schädlichen Kombinationen die folgenden Schweregrade zugewiesen werden:
- Kritisch: Schädliche Kombinationen mit einer Angriffsrisikobewertung von ≥ 10.
- Hoch: Schädliche Kombinationen mit einer Angriffsrisikobewertung von < 10.
Engpässe haben immer eine Angriffsrisikobewertung von ≥ 10 und daher immer den Schweregrad „Kritisch“.
Weitere Informationen finden Sie unter Angriffsrisiko bewertungen.
Visualisierungen von Angriffspfaden für schädliche Kombinationen und Engpässe
Die Risk Engine bietet eine visuelle Darstellung der Angriffspfade für schädliche Kombinationen und Engpässe, die zu Ihrer Gruppe hochwertiger Ressourcen führen. Ein Angriffspfad stellt eine Reihe von Angriffsschritten dar, einschließlich der zugehörigen Sicherheitsprobleme und Ressourcen, die ein potenzieller Angreifer nutzen könnte, um auf Ihre Ressourcen zuzugreifen.
Angriffspfade helfen Ihnen, die Beziehungen zwischen einzelnen Sicherheitsproblemen in einer schädlichen Kombination oder einem Engpass zu verstehen und zu sehen, wie sie Pfade zu Ressourcen in Ihrer Gruppe hochwertiger Ressourcen bilden. Die Pfadvisualisierung zeigt auch, wie viele wertvolle Ressourcen gefährdet sind und wie wichtig sie für Ihre Cloud-Umgebung sind.
Ressourcen auf einem Angriffspfad sind farblich gekennzeichnet:
- Ressourcen mit Sicherheitsproblemen, die zu einer schädlichen Kombination beitragen, sind mit einem gelben Rahmen hervorgehoben.
- Ressourcen, die als Engpass identifiziert wurden, sind mit einem roten Rahmen hervorgehoben.
Es gibt mehrere Stellen, an denen Sie Angriffspfade ansehen können.
In der Dienststufe „Premium“ können Sie den vollständigen Angriffspfad auf der Seite Angriffspfade ansehen. Weitere Informationen finden Sie unter Angriffspfade. Außerdem können Sie eine vereinfachte Version des Angriffspfads an den folgenden Stellen ansehen:
- Auf der Seite Risikoübersicht für Elemente im Widget Probleme mit dem höchsten Risiko.
- Auf der Seite Probleme, wenn ein Problem ausgewählt ist. Sie können auf den vereinfachten Angriffspfad auf dem Tab Übersicht des Problems zugreifen.
In der Dienststufe „Enterprise“ können Sie eine vereinfachte Version des Angriffspfads an den folgenden Stellen ansehen:
- Auf der Seite Risiko > Übersicht für Elemente im Widget Probleme mit dem höchsten Risiko.
- Auf der Seite Risiko > Probleme, wenn ein Problem ausgewählt ist. Sie können auf den vereinfachten Angriffspfad auf dem Tab Übersicht des Problems zugreifen.
- Auf der Seite Risiko > Fälle, wenn ein Fall ausgewählt ist. Sie können
auf den vereinfachten Angriffspfad auf dem
Fallübersicht Tab zugreifen.
Wenn Sie die vollständige Version eines Angriffspfads ansehen möchten, rufen Sie die vereinfachte Version auf und klicken Sie dann auf Vollständige Angriffspfade ansehen.
Der folgende Screenshot ist ein Beispiel für einen vereinfachten Angriffspfad für eine schädliche Kombination:
Der folgende Screenshot ist ein Beispiel für einen vereinfachten Angriffspfad für einen Engpass:
Ähnliche Ergebnisse
Viele der einzelnen Risiken, aus denen sich schädliche Kombinationen und Engpässe zusammensetzen, werden auch von anderen Security Command Center-Erkennungsdiensten erkannt. Diese anderen Erkennungsdienste generieren separate Ergebnisse für diese Risiken, die in Problemen und Fällen als ähnliche Ergebnisse aufgeführt sind. Ähnliche Ergebnisse werden auch in Angriffspfaden identifiziert.
Bei schädlichen Kombinationen werden separate Fälle für die ähnlichen Ergebnisse geöffnet, verschiedene Playbooks ausgeführt und andere Mitglieder Ihres Teams arbeiten möglicherweise unabhängig von der Behebung des Ergebnisses für die schädliche Kombination an der Behebung der ähnlichen Ergebnisse. Prüfen Sie den Status der Fälle für diese ähnlichen Ergebnisse und bitten Sie die Inhaber der Fälle gegebenenfalls, die Behebung zu priorisieren, um die schädliche Kombination zu beheben.
Fälle
In der Dienststufe „Enterprise“ öffnet Security Command Center einen Fall für jedes generierte Ergebnis für eine schädliche Kombination. Für Engpässe werden keine Fälle generiert.
In der Falldetailansicht finden Sie die folgenden Informationen zu schädlichen Kombinationen:
- Eine Beschreibung der schädlichen Kombination
- Die Angriffsrisikobewertung der schädlichen Kombination
- Eine Visualisierung des Angriffspfads, den die schädliche Kombination erstellt
- Informationen zu den betroffenen Ressourcen
- Informationen zu den Schritten, die Sie zur Behebung der schädlichen Kombination ausführen können
- Informationen zu ähnlichen Ergebnissen von anderen Security Command Center-Erkennungsdiensten, einschließlich Links zu den zugehörigen Fällen
- Anwendbare Playbooks
- Zugehörige Tickets
Auf der Seite Risiko > Fälle der Security Operations-Konsole können Sie Fälle zu schädlichen Kombinationen mit dem Tag Schädliche Kombination abfragen
oder filtern. Sie
können Fälle zu schädlichen Kombinationen auch visuell in der Fallliste anhand des
folgenden Symbols erkennen: 
.
Weitere Informationen zum Ansehen von Fällen zu schädlichen Kombinationen finden Sie unter Fälle zu schädlichen Kombinationen ansehen.
Fallpriorität
Standardmäßig ist die Priorität von Fällen zu schädlichen Kombinationen auf denselben Wert wie der Schweregrad des Ergebnisses für die schädliche Kombination und die zugehörige Benachrichtigung im entsprechenden Fall festgelegt. Das bedeutet, dass alle Fälle zu schädlichen Kombinationen anfänglich die
Priorität Critical oder High haben.
Nachdem ein Fall geöffnet wurde, können Sie die Priorität des Falls oder der Benachrichtigung ändern. Wenn Sie die Priorität eines Falls oder einer Benachrichtigung ändern, ändert sich der Schweregrad des Ergebnisses nicht.
Fälle schließen
Wenn ein Ergebnis zum ersten Mal für eine schädliche Kombination generiert wird, ist der Status
Active.
Wenn Sie die schädliche Kombination beheben, erkennt die Risk Engine die Behebung automatisch bei der nächsten Angriffspfadsimulation und schließt den Fall. Simulationen werden etwa alle sechs Stunden ausgeführt.
Alternativ können Sie einen Fall schließen, indem Sie das Ergebnis ausblenden, wenn Sie feststellen, dass das Risiko, das von einer schädlichen Kombination ausgeht, akzeptabel oder unvermeidlich ist.
Wenn Sie ein Ergebnis ausblenden, bleibt es aktiv, aber Security Command Center schließt den Fall und lässt das Ergebnis in Standardabfragen und -ansichten weg.
Weitere Informationen finden Sie unter:
- Fälle zu schädlichen Kombinationen schließen
- Supportanfragen – Übersicht
- Ergebnisse in Security Command Center ausblenden