Cette page explique certaines des informations et méthodes que vous pouvez utiliser pour hiérarchiser les résultats de Security Command Center concernant les failles logicielles, les configurations incorrectes et, avec les niveaux de service Premium et Enterprise, les combinaisons toxiques et les goulets d'étranglement (problèmes, collectivement). Vous pouvez utiliser ces informations pour réduire les risques et améliorer votre niveau de sécurité par rapport à vos besoins de conformité.
Objectif de la hiérarchisation
Étant donné que votre temps est limité et que le volume de problèmes Security Command Center peut être accablant, en particulier dans les grandes organisations, vous devez identifier rapidement les failles qui présentent le plus grand risque pour votre organisation et y répondre.
Vous devez corriger les failles pour réduire le risque de cyberattaque sur votre organisation et pour maintenir la conformité de votre organisation aux normes de sécurité applicables.
Pour réduire efficacement le risque de cyberattaque, vous devez identifier et corriger les failles qui exposent le plus vos ressources, qui sont les plus exploitables ou qui entraîneraient les dommages les plus graves si elles étaient exploitées.
Pour améliorer efficacement votre niveau de sécurité par rapport à une norme de sécurité particulière, vous devez identifier et corriger les failles qui enfreignent les contrôles des normes de sécurité qui s'appliquent à votre organisation.
Dans les niveaux de service Premium et Enterprise, les problèmes vous aident à effectuer ces tâches en fournissant des informations détaillées sur les combinaisons toxiques et les goulets d'étranglement détectés dans votre organisation. Un problème peut également inclure la gravité, le score d'exposition aux attaques et les enregistrements CVE avec les évaluations CVE de Mandiant (aperçu).
Les sections suivantes expliquent comment hiérarchiser les problèmes Security Command Center pour atteindre ces objectifs.
Hiérarchiser par score d'exposition aux attaques
En règle générale, hiérarchisez la correction d'un problème présentant un score d'exposition aux attaques élevé par rapport à un résultat de problème présentant un score inférieur ou aucun score.
Pour en savoir plus, consultez les ressources suivantes :
- Utiliser des scores pour hiérarchiser la correction des résultats
- Scores d'exposition aux attaques sur les combinaisons toxiques et les goulets d'étranglement
Afficher les scores dans la console Security Command Center Google Cloud
Les scores s'affichent avec les résultats à plusieurs endroits, y compris les suivants :
- Sur la page Aperçu des risques.
- Dans une colonne de la page Résultats de Security Command Center, où vous pouvez interroger et trier les résultats par score.
Pour afficher les résultats présentant les scores d'exposition aux attaques les plus élevés, procédez comme suit :
Accédez à la page Aperçu des risques dans la Google Cloud console :
Utilisez le sélecteur de projet de la Google Cloud console pour choisir le projet, le dossier ou l'organisation pour lequel vous souhaitez hiérarchiser les failles.
La section Problèmes les plus à risque affiche les problèmes présentant les scores d'exposition aux attaques les plus élevés.
Sélectionnez un problème, puis cliquez sur Afficher les détails du problème pour ouvrir la page d'informations du chemin d'attaque et le score d'exposition aux attaques.
Cliquez sur Tout afficher pour afficher la liste de tous les problèmes avec le score d'exposition aux attaques pour chacun d'eux.
Pour en savoir plus sur la page Aperçu des risques, consultez Évaluer les risques en un coup d'œil.
Afficher les scores dans les demandes
Dans la console Security Operations, vous travaillez principalement avec des demandes, dans lesquelles les résultats sont documentés en tant qu'alertes.
Dans le niveau de service Enterprise, vous pouvez afficher les demandes de combinaison toxique avec les scores d'exposition aux attaques les plus élevés sur la page Risque > Demandes. Vous pouvez trier les demandes par score d'exposition aux attaques.
Pour savoir comment interroger spécifiquement les demandes de combinaison toxique, consultez Afficher les détails d'une demande de combinaison toxique.
Hiérarchiser par exploitabilité et impact des CVE
En règle générale, hiérarchisez la correction des résultats présentant une évaluation CVE d'exploitabilité et d'impact élevés par rapport aux résultats présentant une évaluation CVE d'exploitabilité et d'impact faibles.
Les informations CVE, y compris les évaluations de l'exploitabilité et de l'impact de la CVE fournies par Mandiant, sont basées sur la faille logicielle elle-même.
Sur la page Présentation, sous le tableau de bord Failles, la carte de densité Principales failles CVE courantes récapitule les résultats de failles en blocs par évaluations de l'exploitabilité et de l'impact fournies par Mandiant.
Lorsque vous affichez les détails d'un résultat de faille logicielle dans la Google Cloud console, vous pouvez trouver les informations CVE dans la section Faille de l'onglet Résumé. Outre l'impact et l'exploitabilité, la section Faille inclut le score CVSS, les liens de référence et d'autres informations sur la définition de la faille CVE.
Pour identifier rapidement les résultats ayant l'impact et l'exploitabilité les plus élevés, procédez comme suit :
Dans la Google Cloud console, accédez à la page Aperçu des risques.
Utilisez le sélecteur de projet de la Google Cloud console pour choisir le projet, le dossier ou l'organisation pour lequel vous souhaitez hiérarchiser les failles.
Sur la page Aperçu des risques, cliquez sur Failles.
Dans le panneau Principales failles CVE courantes, procédez comme suit :
Cliquez sur le bloc avec un nombre non nul qui présente l'exploitabilité et l'impact les plus élevés. Le panneau n'affiche que les résultats ayant l'impact et l'exploitabilité sélectionnés.
Cliquez sur le nombre dans la colonne Résultats. La page Résultats s'ouvre pour afficher la liste des résultats qui partagent cet ID CVE.
Dans la section Dernières failles Compute avec codes d'exploitation connus , cliquez sur un ID de ressource dans la colonne Machine virtuelle. Le volet d'informations sur l'actif s'ouvre pour afficher des informations sur cet actif.
Hiérarchiser les problèmes par gravité
En règle générale, hiérarchisez un problème ou un résultat de gravité CRITICAL par rapport à un problème ou un résultat de gravité HIGH, hiérarchisez la gravité HIGH par rapport à la gravité MEDIUM, et ainsi de suite.
Les niveaux de gravité sont basés sur le type de problème de sécurité et sont attribués aux catégories de résultats par Security Command Center. Tous les résultats d'une catégorie ou d'une sous-catégorie particulière sont générés avec le même niveau de gravité.
Sauf si vous utilisez le niveau de service Enterprise, les niveaux de gravité des résultats sont des valeurs statiques qui ne changent pas pendant la durée de vie du résultat.
Dans le niveau de service Enterprise, les niveaux de gravité des problèmes représentent plus précisément le risque en temps réel d'un résultat. Les résultats sont générés avec le niveau de gravité par défaut de la catégorie de résultats, mais, tant que le résultat reste actif, le niveau de gravité peut augmenter ou diminuer à mesure que le score d'exposition aux attaques du résultat augmente ou diminue.
La méthode la plus simple pour identifier les failles de gravité la plus élevée consiste peut-être à utiliser les filtres rapides sur la page Résultats de la Google Cloud console.
Pour afficher les résultats de gravité la plus élevée, procédez comme suit :
Accédez à la page Résultats dans la Google Cloud console :
Utilisez le sélecteur de projet de la Google Cloud console pour choisir le projet, le dossier ou l'organisation pour lequel vous souhaitez hiérarchiser les failles.
Dans le panneau Filtres rapides de la page Résultats, sélectionnez les propriétés suivantes :
- Sous Classe de résultat, sélectionnez Faille.
- Sous Gravité, sélectionnez Critique, Élevée ou les deux.
Le panneau Résultats de la requête est mis à jour pour n'afficher que les résultats ayant la gravité spécifiée.
Hiérarchiser pour améliorer la conformité
Lorsque vous hiérarchisez les résultats de niveau de sécurité pour la conformité, votre principale préoccupation concerne les résultats qui enfreignent les contrôles de la norme de conformité applicable.
Pour afficher les résultats qui enfreignent les contrôles d'un benchmark particulier, procédez comme suit :
Accédez à la page Conformité dans la Google Cloud console :
Utilisez le sélecteur de projet de la Google Cloud console pour choisir le projet, le dossier ou l'organisation pour lequel vous souhaitez hiérarchiser les failles.
À côté du nom de la norme de sécurité à laquelle vous devez vous conformer, cliquez sur Afficher les détails. La page Détails de conformité s'ouvre.
Si la norme de sécurité dont vous avez besoin ne s'affiche pas, spécifiez-la dans le champ Norme de conformité de la page Détails de conformité.
Triez les règles listées par Résultats en cliquant sur l'en-tête de la colonne.
Pour toute règle affichant un ou plusieurs résultats, cliquez sur le nom de la règle dans la colonne Règles. La page Résultats s'ouvre pour afficher les résultats de cette règle.
Corrigez les résultats jusqu'à ce qu'il n'y en ait plus. Après la prochaine analyse, si aucune nouvelle faille n'est détectée pour la règle, le pourcentage de contrôles réussis augmente.