Nesta página, explicamos algumas das informações e métodos que você pode usar para priorizar as descobertas do Security Command Center sobre vulnerabilidades de software, erros de configuração e, com os níveis de serviço Premium e Enterprise, combinações tóxicas e gargalos (problemas, coletivamente). Você pode usar essas informações para reduzir riscos e melhorar sua postura de segurança em relação às necessidades de compliance.
A finalidade da priorização
Como seu tempo é limitado e o volume de problemas do Security Command Center pode ser grande, especialmente em organizações maiores, você precisa identificar e responder rapidamente às vulnerabilidades que representam o maior risco para sua organização.
É necessário corrigir as vulnerabilidades para reduzir o risco de um ataque cibernético à sua organização e manter a conformidade dela com os padrões de segurança aplicáveis.
Para reduzir o risco de um ataque cibernético, é necessário encontrar e corrigir as vulnerabilidades que mais expõem seus recursos, que são mais fáceis de explorar ou que resultariam em danos mais graves se fossem exploradas.
Para melhorar sua postura de segurança em relação a um padrão específico, é necessário encontrar e corrigir as vulnerabilidades que violam os controles dos padrões de segurança aplicáveis à sua organização.
Nos níveis de serviço Premium e Enterprise, os problemas ajudam você a concluir essas tarefas fornecendo informações detalhadas sobre as combinações tóxicas e os pontos de estrangulamento detectados na sua organização. Um problema também pode incluir a gravidade, a pontuação de exposição ao ataque e registros de CVE com avaliações de CVE da Mandiant (Prévia).
As seções a seguir explicam como priorizar problemas do Security Command Center para atender a essas finalidades.
Priorizar por pontuações de exposição a ataques
Em geral, priorize a correção de um problema com uma alta pontuação de exposição a ataques em vez de uma descoberta com uma pontuação menor ou sem pontuação.
Para ver mais informações, consulte os seguintes tópicos:
- Usar pontuações para priorizar a busca de correções
- Pontuações de exposição a ataques em combinações tóxicas e pontos de estrangulamento
Conferir pontuações no console do Security Command Center Google Cloud
As pontuações aparecem com as descobertas em vários lugares, incluindo:
- Na página Visão geral de riscos.
- Em uma coluna na página Descobertas do Security Command Center, onde é possível consultar e classificar descobertas por pontuação.
Para conferir as descobertas com as maiores pontuações de exposição a ataques, siga estas etapas:
Acesse a página Visão geral de risco no console do Google Cloud :
Use o seletor de projetos no console Google Cloud para selecionar o projeto, a pasta ou a organização em que você precisa priorizar vulnerabilidades.
A seção Problemas mais arriscados mostra os problemas com as maiores pontuações de exposição a ataques.
Selecione um problema e clique em Ver detalhes do problema para abrir a página de detalhes do caminho de ataque e a Pontuação de exposição a ataques.
Clique em Ver tudo para conferir uma lista de todos os problemas com a pontuação de exposição a ataques de cada um.
Para mais informações sobre a página Visão geral de risco, consulte Avaliar o risco rapidamente.
Ver pontuações em casos
No console do Security Operations, você trabalha principalmente com casos, em que descobertas são documentadas como alertas.
No nível de serviço Enterprise, é possível conferir os casos de combinação tóxica com as principais pontuações de exposição a ataques na página Risco > Casos. É possível classificar os casos por pontuação de exposição a ataques.
Para informações sobre como consultar casos de combinação tóxica especificamente, consulte Ver os detalhes de um caso de combinação tóxica.
Priorizar por vulnerabilidade a explorações e impacto da CVE
Em geral, priorize a correção de descobertas com uma avaliação de CVE de alta capacidade de exploração e alto impacto em vez de descobertas com uma avaliação de CVE de baixa capacidade de exploração e baixo impacto.
As informações de CVE, incluindo avaliações de vulnerabilidade a explorações e de impacto do CVE fornecidas pela Mandiant, são baseadas na própria vulnerabilidade do software.
Na página Visão geral, no painel Vulnerabilidades, o mapa de calor Principais vulnerabilidades e exploits comuns resume as descobertas de vulnerabilidade em blocos de acordo com as avaliações de capacidade de exploração e impacto fornecidas pela Mandiant.
Ao acessar os detalhes de uma descoberta de vulnerabilidade de software no console Google Cloud , você encontra as informações do CVE na seção Vulnerabilidade da guia Resumo. Além do impacto e da capacidade de exploração, a seção Vulnerabilidade inclui a pontuação do CVSS, links de referência e outras informações sobre a definição de vulnerabilidade do CVE.
Para identificar rapidamente as descobertas com maior impacto e capacidade de exploração, siga estas etapas:
No console Google Cloud , acesse a página Visão geral de risco.
Use o seletor de projetos no console Google Cloud para selecionar o projeto, a pasta ou a organização em que você precisa priorizar vulnerabilidades.
Na página Visão geral de riscos, clique em Vulnerabilidades.
No painel Vulnerabilidades e exploits mais comuns, faça o seguinte:
Clique no bloco com um número diferente de zero que tenha a maior capacidade de exploração e o maior impacto. O painel mostra apenas as descobertas que têm o impacto e a capacidade de exploração selecionados.
Clique na contagem na coluna Descobertas. A página Descobertas é aberta para mostrar a lista de descobertas que compartilham esse ID de CVE.
Na seção Vulnerabilidades recentes do Compute com exploits conhecidos, clique em um ID de recurso na coluna Máquina virtual. O painel de detalhes do recurso é aberto para mostrar informações sobre ele.
Priorizar problemas por gravidade
Em geral, priorize um problema ou uma descoberta com gravidade CRITICAL em vez de um problema ou uma descoberta com gravidade HIGH, priorize a gravidade HIGH em vez de MEDIUM e assim por diante.
As gravidades são baseadas no tipo de problema de segurança e são atribuídas às categorias de descobertas pelo Security Command Center. Todas as descobertas em uma determinada categoria ou subcategoria são geradas com o mesmo nível de gravidade.
A menos que você esteja usando o nível de serviço Enterprise, os níveis de gravidade das descobertas são valores estáticos que não mudam durante o ciclo de vida da descoberta.
No nível de serviço Enterprise, os níveis de gravidade dos problemas representam com mais precisão o risco em tempo real de uma descoberta. As descobertas são geradas com o nível de gravidade padrão da categoria, mas, enquanto a descoberta permanece ativa, o nível de gravidade pode aumentar ou diminuir conforme a pontuação de exposição ao ataque da descoberta aumenta ou diminui.
Talvez a maneira mais fácil de identificar as vulnerabilidades de maior gravidade seja usar os Filtros rápidos na página Descobertas do console do Google Cloud .
Para conferir as descobertas de maior gravidade, siga estas etapas:
Acesse a página Descobertas no console do Google Cloud :
Use o seletor de projetos no console Google Cloud para selecionar o projeto, a pasta ou a organização em que você precisa priorizar vulnerabilidades.
No painel Filtros rápidos da página Descobertas, selecione as seguintes propriedades:
- Em Classe de descoberta, selecione Vulnerabilidade.
- Em Gravidade, selecione Crítica, Alta ou ambas.
O painel Resultados da consulta de descobertas é atualizado para mostrar apenas as descobertas com a gravidade especificada.
Priorizar para melhorar a conformidade
Ao priorizar descobertas de postura para compliance, sua principal preocupação são as descobertas que violam os controles do padrão de compliance aplicável.
Para conferir os resultados que violam os controles de um comparativo de mercado específico, siga estas etapas:
Acesse a página Compliance no console do Google Cloud :
Use o seletor de projetos no console Google Cloud para selecionar o projeto, a pasta ou a organização em que você precisa priorizar vulnerabilidades.
Ao lado do nome do padrão de segurança que você precisa obedecer, clique em Ver detalhes. A página Detalhes da conformidade é aberta.
Se o padrão de segurança necessário não aparecer, especifique-o no campo Padrão de compliance da página Detalhes de compliance.
Para classificar as regras listadas por Descobertas, clique no cabeçalho da coluna.
Para qualquer regra que mostre uma ou mais descobertas, clique no nome dela na coluna Regras. A página Descobertas é aberta para mostrar as descobertas dessa regra.
Corrija as descobertas até que não haja mais nenhuma. Após a próxima verificação, se nenhuma nova vulnerabilidade for encontrada para a regra, a porcentagem de controles aprovados vai aumentar.