Auf dieser Seite werden einige Informationen und Methoden erläutert, mit denen Sie Security Command Center-Ergebnisse zu Software-Sicherheitslücken, Fehlkonfigurationen und (mit den Dienststufen „Premium“ und „Enterprise“) zu schädlichen Kombinationen und Engpässen (Probleme, zusammenfassend) priorisieren können. Anhand dieser Informationen können Sie Risiken reduzieren und Ihre Sicherheitslage im Hinblick auf Ihre Compliance-Anforderungen verbessern.
Zweck der Priorisierung
Da Ihre Zeit begrenzt ist und die Anzahl der Security Command Center-Probleme überwältigend sein kann, insbesondere in größeren Unternehmen, müssen Sie die Sicherheitslücken, die das größte Risiko für Ihr Unternehmen darstellen, schnell erkennen und darauf reagieren.
Sie müssen Sicherheitslücken beheben, um das Risiko eines Cyberangriffs auf Ihr Unternehmen zu verringern und die Einhaltung der geltenden Sicherheitsstandards durch Ihr Unternehmen zu gewährleisten.
Um das Risiko eines Cyberangriffs effektiv zu verringern, müssen Sie die Sicherheitslücken finden und beheben, die Ihre Ressourcen am stärksten gefährden, am einfachsten auszunutzen sind oder die bei Ausnutzung den größten Schaden verursachen würden.
Um Ihre Sicherheitslage im Hinblick auf einen bestimmten Sicherheitsstandard effektiv zu verbessern, müssen Sie die Sicherheitslücken finden und beheben, die gegen die Kontrollen der Sicherheitsstandards verstoßen, die für Ihr Unternehmen gelten.
In den Dienststufen „Premium“ und „Enterprise“ helfen Ihnen Probleme dabei, diese Aufgaben zu erledigen, indem sie detaillierte Informationen zu den schädlichen Kombinationen und Engpässen liefern, die in Ihrem Unternehmen erkannt wurden. Ein Problem kann auch den Schweregrad, den Wert für das Risiko durch Angriffe und CVE-Einträge mit CVE Bewertungen von Mandiant (Vorabversion) enthalten.
In den folgenden Abschnitten wird erläutert, wie Sie Security Command Center-Probleme priorisieren können, um diese Ziele zu erreichen.
Nach Werten für das Risiko durch Angriffe priorisieren
Priorisieren Sie im Allgemeinen die Behebung eines Problems mit einem hohen Wert für das Risiko durch Angriffe gegenüber einem Ergebnis mit einem niedrigeren Wert oder ohne Wert.
Hier finden Sie weitere Informationen:
- Ergebnisse mithilfe von Werten priorisieren
- Werte für das Risiko durch Angriffe für schädliche Kombinationen und Engpässe
Werte in der Security Command Center Google Cloud Console ansehen
Die Werte werden an mehreren Stellen mit den Ergebnissen angezeigt, darunter:
- Auf der Seite Risikoübersicht.
- In einer Spalte auf der Seite Ergebnisse in Security Command Center, wo Sie Ergebnisse nach Wert abfragen und sortieren können.
So rufen Sie die Ergebnisse mit den höchsten Werten für das Risiko durch Angriffe auf:
Rufen Sie in der Google Cloud Console die Seite Risikoübersicht auf:
Wählen Sie mit der Projektauswahl in der Google Cloud Console das Projekt, den Ordner oder die Organisation aus, für die Sie Sicherheitslücken priorisieren möchten.
Im Abschnitt Risikoreichste Probleme werden Probleme mit den höchsten Werten für das Risiko durch Angriffe angezeigt.
Wählen Sie ein Problem aus und klicken Sie dann auf Details zum Problem ansehen, um die Seite mit den Details zum Angriffspfad und den Wert für das Risiko durch Angriffe zu öffnen.
Klicken Sie auf Alle ansehen , um eine Liste aller Probleme mit dem Wert für das Risiko durch Angriffe für jedes Problem aufzurufen.
Weitere Informationen zur Seite Risikoübersicht finden Sie unter Risiko auf einen Blick bewerten.
Werte in Fällen ansehen
In der Security Operations-Console arbeiten Sie hauptsächlich mit Fällen, in denen Ergebnisse als Benachrichtigungen dokumentiert werden.
In der Dienststufe „Enterprise“ können Sie die Fälle zu schädlichen Kombinationen mit den höchsten Werten für das Risiko durch Angriffe auf der Seite Risiko > Fälle ansehen. Sie können die Fälle nach ihren Werten für das Risiko durch Angriffe sortieren.
Informationen zum Abfragen von Fällen zu schädlichen Kombinationen finden Sie unter Details zu einem Fall zu schädlichen Kombinationen ansehen.
Nach Ausnutzbarkeit und Auswirkungen von CVEs priorisieren
Priorisieren Sie im Allgemeinen die Behebung von Ergebnissen mit einer CVE-Bewertung von „Hohe Ausnutzbarkeit“ und „Hohe Auswirkungen“ gegenüber Ergebnissen mit einer CVE-Bewertung von „Geringe Ausnutzbarkeit“ und „Geringe Auswirkungen“.
CVE-Informationen, einschließlich Bewertungen der Ausnutzbarkeit und Auswirkungen des CVE, die von Mandiant bereitgestellt werden, basieren auf der Software-Sicherheitslücke selbst.
Auf der Seite Übersicht fasst die Heatmap Häufigste Sicherheitslücken und Exploits unter dem Dashboard Sicherheitslücken die Ergebnisse zu Sicherheitslücken in Blöcken nach den von Mandiant bereitgestellten Bewertungen der Ausnutzbarkeit und Auswirkungen zusammen.
Wenn Sie sich in der Google Cloud Console die Details eines Ergebnisses zu einer Software-Sicherheitslücke ansehen, finden Sie die CVE-Informationen im Abschnitt Sicherheitslücke auf dem Tab Zusammenfassung. Neben den Auswirkungen und der Ausnutzbarkeit enthält der Abschnitt Sicherheitslücke den CVSS-Wert, Referenzlinks und andere Informationen zur CVE-Definition der Sicherheitslücke.
So ermitteln Sie schnell die Ergebnisse mit den höchsten Auswirkungen und der höchsten Ausnutzbarkeit:
Rufen Sie in der Google Cloud Console die Seite Risikoübersicht auf.
Wählen Sie mit der Projektauswahl in der Google Cloud Console das Projekt, den Ordner oder die Organisation aus, für die Sie Sicherheitslücken priorisieren möchten.
Klicken Sie auf der Seite Risikoübersicht auf Sicherheitslücken.
Führen Sie im Bereich Häufigste Sicherheitslücken und Exploits folgende Schritte aus:
Klicken Sie auf den Block mit einer Zahl ungleich null, der die höchste Ausnutzbarkeit und die größten Auswirkungen hat. Im Bereich werden nur die Ergebnisse mit den ausgewählten Auswirkungen und der ausgewählten Ausnutzbarkeit angezeigt.
Klicken Sie in der Spalte Ergebnisse auf die Anzahl. Die Seite Ergebnisse wird geöffnet und zeigt die Liste der Ergebnisse mit dieser CVE-ID an.
Klicken Sie im Abschnitt Neueste Compute-Sicherheitslücken mit bekannten Exploits in der Spalte Virtuelle Maschine auf eine Ressourcen-ID. Der Bereich mit den Asset-Details wird geöffnet und zeigt Informationen zu diesem Asset an.
Probleme nach Schweregrad priorisieren
Priorisieren Sie im Allgemeinen ein Problem oder Ergebnis mit dem Schweregrad CRITICAL gegenüber einem Problem oder Ergebnis mit dem Schweregrad HIGH, HIGH gegenüber MEDIUM usw.
Die Schweregrade basieren auf der Art des Sicherheitsproblems und werden den Ergebniskategorien von Security Command Center zugewiesen. Alle Ergebnisse in einer bestimmten Kategorie oder Unterkategorie werden mit demselben Schweregrad generiert.
Sofern Sie nicht die Dienststufe „Enterprise“ verwenden, sind die Schweregrade von Ergebnissen statische Werte, die sich während der Lebensdauer des Ergebnisses nicht ändern.
In der Dienststufe „Enterprise“ stellen die Schweregrade von Problemen das Echtzeitrisiko eines Ergebnisses genauer dar. Die Ergebnisse werden mit dem Standardschweregrad der Ergebniskategorie generiert. Solange das Ergebnis jedoch aktiv bleibt, kann der Schweregrad steigen oder sinken, je nachdem, ob der Wert für das Risiko durch Angriffe des Ergebnisses steigt oder sinkt.
Die einfachste Möglichkeit, die Sicherheitslücken mit dem höchsten Schweregrad zu ermitteln, ist die Verwendung von Schnellfiltern auf der Seite Ergebnisse in der Google Cloud Console.
So rufen Sie die Ergebnisse mit dem höchsten Schweregrad auf:
Rufen Sie in der Google Cloud Console die Seite Ergebnisse auf:
Wählen Sie mit der Projektauswahl in der Google Cloud Console das Projekt, den Ordner oder die Organisation aus, für die Sie Sicherheitslücken priorisieren möchten.
Wählen Sie im Bereich Schnellfilter auf der Seite Ergebnisse die folgenden Eigenschaften aus:
- Wählen Sie unter Ergebnisklasse die Option Sicherheitslücke aus.
- Wählen Sie unter Schweregrad die Option Kritisch, Hoch oder beide aus.
Im Bereich Ergebnisse der Ergebnisabfrage werden nur Ergebnisse mit dem angegebenen Schweregrad angezeigt.
Priorisieren, um die Compliance zu verbessern
Bei der Priorisierung von Ergebnissen zur Sicherheitslage für die Compliance sind die Ergebnisse am wichtigsten, die gegen die Kontrollen des geltenden Compliance-Standards verstoßen.
So rufen Sie die Ergebnisse auf, die gegen die Kontrollen eines bestimmten Benchmarks verstoßen:
Rufen Sie in der Google Cloud Console die Seite Compliance auf:
Wählen Sie mit der Projektauswahl in der Google Cloud Console das Projekt, den Ordner oder die Organisation aus, für die Sie Sicherheitslücken priorisieren möchten.
Klicken Sie neben dem Namen des Sicherheitsstandards, den Sie einhalten müssen, auf Details ansehen. Die Seite Compliance-Details wird geöffnet.
Wenn der benötigte Sicherheitsstandard nicht angezeigt wird, geben Sie ihn auf der Seite Compliance-Details im Feld Compliance-Standard an.
Sortieren Sie die aufgeführten Regeln nach Ergebnisse , indem Sie auf die Spaltenüberschrift klicken.
Klicken Sie für jede Regel, für die ein oder mehrere Ergebnisse angezeigt werden, in der Spalte Regeln auf den Namen der Regel. Die Seite Ergebnisse wird geöffnet und zeigt die Ergebnisse für diese Regel an.
Beheben Sie die Ergebnisse, bis keine mehr vorhanden sind. Wenn nach dem nächsten Scan keine neuen Sicherheitslücken für die Regel gefunden werden, steigt der Prozentsatz der bestandenen Kontrollen.