Cette page explique certaines des informations et méthodes que vous pouvez utiliser pour hiérarchiser les résultats Security Command Center concernant les failles logicielles, les erreurs de configuration et, avec les niveaux de service Premium et Enterprise, les combinaisons toxiques et les goulets d'étranglement (problèmes, collectivement). Vous pouvez utiliser ces informations pour réduire les risques et améliorer votre stratégie de sécurité en fonction de vos besoins de conformité.
Objectif de la priorisation
Comme votre temps est limité et que le volume de problèmes Security Command Center peut être accablant, en particulier dans les grandes organisations, vous devez identifier rapidement les failles qui présentent le plus grand risque pour votre organisation et y répondre.
Vous devez corriger les failles pour réduire le risque de cyberattaque sur votre organisation et pour maintenir la conformité de votre organisation avec les normes de sécurité applicables.
Pour réduire efficacement le risque de cyberattaque, vous devez identifier et corriger les failles qui exposent le plus vos ressources, qui sont les plus exploitables ou qui entraîneraient les dommages les plus graves si elles étaient exploitées.
Pour améliorer efficacement votre posture de sécurité par rapport à une norme de sécurité spécifique, vous devez identifier et corriger les failles qui enfreignent les contrôles des normes de sécurité applicables à votre organisation.
Dans les niveaux de service Premium et Enterprise, les problèmes vous aident à effectuer ces tâches en fournissant des informations détaillées sur les combinaisons toxiques et les points d'étranglement détectés dans votre organisation. Un problème peut également inclure le niveau de gravité, le score d'exposition aux attaques et les enregistrements CVE avec les évaluations CVE de Mandiant (Aperçu).
Les sections suivantes expliquent comment hiérarchiser les problèmes Security Command Center pour atteindre ces objectifs.
Prioriser les tâches en fonction des scores d'exposition aux attaques
En règle générale, privilégiez la correction d'un problème dont le score d'exposition aux attaques est élevé par rapport à un problème dont le score est plus faible ou inexistant.
Pour en savoir plus, consultez les ressources suivantes :
- Utiliser les scores pour hiérarchiser la recherche de solutions
- Scores d'exposition aux attaques sur les combinaisons toxiques et les goulets d'étranglement
Afficher les scores dans la console Security Command Center Google Cloud
Les scores s'affichent avec les résultats à plusieurs endroits, y compris les suivants :
- Sur la page Aperçu des risques.
- Dans une colonne de la page Résultats de Security Command Center, où vous pouvez interroger et trier les résultats par score.
Pour afficher les résultats qui présentent les scores d'exposition aux attaques les plus élevés, procédez comme suit :
Accédez à la page Présentation des risques dans la console Google Cloud :
Utilisez le sélecteur de projet dans la console Google Cloud pour sélectionner le projet, le dossier ou l'organisation pour lesquels vous devez hiérarchiser les failles.
La section Problèmes les plus risqués affiche les problèmes présentant les scores d'exposition aux attaques les plus élevés.
Sélectionnez un problème, puis cliquez sur Afficher les détails du problème pour ouvrir la page des détails du chemin d'attaque et le score d'exposition aux attaques.
Cliquez sur Tout afficher pour afficher la liste de tous les problèmes liés au score d'exposition aux attaques.
Pour en savoir plus sur la page Présentation des risques, consultez Évaluer les risques en un coup d'œil.
Afficher les scores dans les demandes
Dans la console Security Operations, vous travaillez principalement avec des demandes, dans lesquelles les résultats sont documentés sous forme d'alertes.
Dans le niveau de service Enterprise, vous pouvez afficher les cas de combinaisons toxiques avec les scores d'exposition aux attaques les plus élevés sur la page Risque > Demandes. Vous pouvez trier les cas par score d'exposition aux attaques.
Pour savoir comment interroger spécifiquement les demandes concernant une combinaison toxique, consultez Afficher les détails d'une demande concernant une combinaison toxique.
Prioriser par exploitabilité et impact des CVE
En règle générale, privilégiez la correction des résultats présentant une évaluation CVE à fort impact et à forte exploitabilité par rapport à ceux présentant une évaluation CVE à faible impact et à faible exploitabilité.
Les informations CVE, y compris les évaluations de l'exploitabilité et de l'impact de la CVE fournies par Mandiant, sont basées sur la vulnérabilité logicielle elle-même.
Sur la page Présentation, sous le tableau de bord Failles, la carte de densité Principales failles et codes d'exploitation courants résume les failles constatées en blocs, en fonction des évaluations de l'exploitabilité et de l'impact fournies par Mandiant.
Lorsque vous affichez les détails d'un résultat de faille logicielle dans la console Google Cloud , vous pouvez trouver les informations CVE dans la section Faille de l'onglet Résumé. En plus de l'impact et de l'exploitabilité, la section Vulnérabilité inclut le score CVSS, des liens de référence et d'autres informations sur la définition de la vulnérabilité CVE.
Pour identifier rapidement les résultats ayant le plus d'impact et de facilité d'exploitation, procédez comme suit :
Dans la console Google Cloud , accédez à la page Présentation des risques.
Utilisez le sélecteur de projet dans la console Google Cloud pour sélectionner le projet, le dossier ou l'organisation pour lesquels vous devez hiérarchiser les failles.
Sur la page Aperçu des risques, cliquez sur Failles.
Dans le panneau Principales failles CVE courantes, procédez comme suit :
Cliquez sur le bloc avec un nombre non nul qui présente la plus grande exploitabilité et le plus grand impact. Le panneau n'affiche que les résultats ayant l'impact et l'exploitabilité sélectionnés.
Cliquez sur le nombre dans la colonne Résultats. La page Résultats s'ouvre et affiche la liste des résultats qui partagent cet ID CVE.
Dans la section Dernières failles Compute comportant des codes d'exploitation connus, cliquez sur un ID de ressource dans la colonne Machine virtuelle. Le volet "Détails de l'élément" s'ouvre et affiche des informations sur l'élément.
Hiérarchiser les problèmes par niveau de gravité
En règle générale, hiérarchisez un problème ou un résultat de gravité CRITICAL par rapport à un problème ou un résultat de gravité HIGH, hiérarchisez la gravité HIGH par rapport à la gravité MEDIUM, et ainsi de suite.
Les niveaux de gravité sont basés sur le type de problème de sécurité et sont attribués aux catégories de résultats par Security Command Center. Tous les résultats d'une catégorie ou sous-catégorie donnée sont générés avec le même niveau de gravité.
Sauf si vous utilisez le niveau de service Enterprise, les niveaux de gravité des résultats sont des valeurs statiques qui ne changent pas pendant la durée de vie du résultat.
Dans le niveau de service Enterprise, les niveaux de gravité des problèmes représentent plus précisément le risque en temps réel d'un résultat. Les résultats sont générés avec le niveau de gravité par défaut de la catégorie de résultats. Toutefois, tant que le résultat reste actif, le niveau de gravité peut augmenter ou diminuer à mesure que le niveau d'exposition aux attaques du résultat augmente ou diminue.
Le moyen le plus simple d'identifier les failles de sécurité les plus graves consiste peut-être à utiliser les filtres rapides sur la page Résultats de la console Google Cloud .
Pour afficher les résultats les plus graves, procédez comme suit :
Accédez à la page Résultats dans la console Google Cloud :
Utilisez le sélecteur de projet dans la console Google Cloud pour sélectionner le projet, le dossier ou l'organisation pour lesquels vous devez hiérarchiser les failles.
Dans le panneau Filtres rapides de la page Résultats, sélectionnez les propriétés suivantes :
- Sous Classe de découverte, sélectionnez Vulnérabilité.
- Sous Gravité, sélectionnez Critique, Élevée ou les deux.
Le panneau Résultats de la requête est mis à jour pour n'afficher que les résultats ayant le niveau de gravité spécifié.
Prioriser pour améliorer la conformité
Lorsque vous hiérarchisez les résultats de posture pour la conformité, votre principale préoccupation concerne les résultats qui enfreignent les contrôles de la norme de conformité applicable.
Pour afficher les résultats qui enfreignent les contrôles d'un benchmark spécifique, procédez comme suit :
Accédez à la page Conformité dans la console Google Cloud :
Utilisez le sélecteur de projet dans la console Google Cloud pour sélectionner le projet, le dossier ou l'organisation pour lesquels vous devez hiérarchiser les failles.
À côté du nom de la norme de sécurité que vous devez respecter, cliquez sur Afficher les détails. La page Informations sur la conformité s'ouvre.
Si la norme de sécurité dont vous avez besoin ne s'affiche pas, spécifiez-la dans le champ Norme de conformité de la page Détails de la conformité.
Triez les règles listées par Résultats en cliquant sur l'en-tête de colonne.
Pour toute règle affichant un ou plusieurs résultats, cliquez sur son nom dans la colonne Règles. La page Résultats s'ouvre et affiche les résultats de cette règle.
Corrigez les problèmes jusqu'à ce qu'il n'y en ait plus. Lors de la prochaine analyse, si aucune nouvelle faille n'est détectée pour la règle, le pourcentage de contrôles réussis augmente.