Questa pagina spiega alcune delle informazioni e dei metodi che puoi utilizzare per dare la priorità ai risultati di Security Command Center relativi a vulnerabilità del software, errori di configurazione e, con i livelli di servizio Premium ed Enterprise, combinazioni tossiche e chokepoint (problemi, collettivamente). Puoi utilizzare queste informazioni per ridurre il rischio e migliorare la tua postura di sicurezza in base alle tue esigenze di conformità.
Scopo della definizione delle priorità
Poiché il tempo a tua disposizione è limitato e il volume di problemi di Security Command Center può essere eccessivo, soprattutto nelle organizzazioni più grandi, devi identificare e risolvere rapidamente le vulnerabilità che rappresentano il rischio maggiore per la tua organizzazione.
Devi correggere le vulnerabilità per ridurre il rischio di un attacco informatico alla tua organizzazione e per mantenerne la conformità agli standard di sicurezza applicabili.
Per ridurre efficacemente il rischio di un attacco informatico, devi trovare e correggere le vulnerabilità che espongono maggiormente le tue risorse, che sono più sfruttabili o che causerebbero i danni più gravi se venissero sfruttate.
Per migliorare efficacemente la tua postura di sicurezza rispetto a un determinato standard di sicurezza, devi trovare e correggere le vulnerabilità che violano i controlli degli standard di sicurezza applicabili alla tua organizzazione.
Nei livelli di servizio Premium ed Enterprise, i problemi ti aiutano a completare queste attività fornendo informazioni dettagliate sulle combinazioni tossiche e sui chokepoint rilevati nella tua organizzazione. Un problema può includere anche la gravità, il punteggio di esposizione agli attacchi e i record CVE con valutazioni CVE di Mandiant (anteprima).
Le sezioni seguenti spiegano come dare la priorità ai problemi di Security Command Center per raggiungere questi scopi.
Dare la priorità in base ai punteggi di esposizione agli attacchi
In genere, dai la priorità alla correzione di un problema con un punteggio di esposizione agli attacchi elevato rispetto a un risultato di un problema con un punteggio inferiore o senza punteggio.
Per ulteriori informazioni, consulta le seguenti risorse:
- Utilizzare i punteggi per dare la priorità alle correzioni dei risultati
- Punteggi di esposizione agli attacchi su combinazioni tossiche e chokepoint
Visualizzare i punteggi nella console di Security Command Center Google Cloud
I punteggi vengono visualizzati con i risultati in più posizioni, tra cui:
- Nella pagina Panoramica dei rischi.
- In una colonna della pagina Risultati di Security Command Center, dove puoi eseguire query e ordinare i risultati in base al punteggio.
Per visualizzare i risultati con i punteggi di esposizione agli attacchi più elevati:
Vai alla pagina Panoramica dei rischi nella Google Cloud console:
Utilizza il selettore di progetti nella Google Cloud console per selezionare il progetto, la cartella o l'organizzazione per cui devi dare la priorità alle vulnerabilità.
La sezione Problemi più rischiosi mostra i problemi con i punteggi di esposizione agli attacchi più elevati.
Seleziona un problema, quindi fai clic su Visualizza dettagli problema per aprire la pagina dei dettagli del percorso di attacco e il Punteggio di esposizione agli attacchi.
Fai clic su Visualizza tutto per visualizzare un elenco di tutti i problemi con il punteggio di esposizione agli attacchi per ciascuno.
Per ulteriori informazioni sulla pagina Panoramica dei rischi, consulta Valutare il rischio a colpo d'occhio.
Visualizzare i punteggi nelle richieste
Nella console Security Operations, lavori principalmente con le richieste, in cui i risultati vengono documentati come avvisi.
Nel livello di servizio Enterprise, puoi visualizzare le richieste relative alle combinazioni tossiche con i punteggi di esposizione agli attacchi più elevati nella pagina Rischio > Richieste. Puoi ordinare le richieste in base ai punteggi di esposizione agli attacchi.
Per informazioni su come eseguire query per i casi di combinazione tossica in modo specifico, consulta Visualizzare i dettagli di un caso di combinazione tossica.
Dare la priorità in base alla sfruttabilità e all'impatto delle CVE
In genere, dai la priorità alla correzione dei risultati con una valutazione CVE di elevata sfruttabilità e impatto rispetto ai risultati con una valutazione CVE di bassa sfruttabilità e impatto.
Le informazioni sulle CVE, incluse le valutazioni di sfruttabilità e impatto delle CVE fornite da Mandiant, si basano sulla vulnerabilità del software stesso.
Nella pagina Panoramica, sotto la dashboard Vulnerabilità, la mappa termica Principali vulnerabilità ed exploit comuni riepiloga i risultati delle vulnerabilità in blocchi in base alle valutazioni di sfruttabilità e impatto fornite da Mandiant.
Quando visualizzi i dettagli di un risultato di vulnerabilità del software nella Google Cloud console, puoi trovare le informazioni sulle CVE nella sezione Vulnerabilità della scheda Riepilogo. Oltre all'impatto e alla sfruttabilità, la sezione Vulnerabilità include il punteggio CVSS, i link di riferimento e altre informazioni sulla definizione della vulnerabilità CVE.
Per identificare rapidamente i risultati con l'impatto e la sfruttabilità più elevati:
Nella Google Cloud console, vai alla pagina Panoramica dei rischi.
Utilizza il selettore di progetti nella Google Cloud console per selezionare il progetto, la cartella o l'organizzazione per cui devi dare la priorità alle vulnerabilità.
Nella pagina Panoramica dei rischi, fai clic su Vulnerabilità.
Nel riquadro Principali vulnerabilità ed exploit comuni, procedi nel seguente modo:
Fai clic sul blocco con un numero diverso da zero che ha la sfruttabilità e l'impatto più elevati. Il riquadro mostra solo i risultati con l'impatto e la sfruttabilità selezionati.
Fai clic sul conteggio nella colonna Risultati. Si apre la pagina Risultati per visualizzare l'elenco dei risultati che condividono l'ID CVE.
Nella sezione Ultime vulnerabilità di calcolo con exploit noti , fai clic su un ID risorsa nella colonna Macchina virtuale. Si apre il riquadro dei dettagli della risorsa per visualizzare le informazioni relative a questa risorsa.
Dare la priorità ai problemi in base alla gravità
In genere, dai la priorità a un problema o a un risultato con gravità CRITICAL rispetto a un problema o a un risultato con gravità HIGH, dai la priorità alla gravità HIGH rispetto a una gravità MEDIUM e così via.
Le gravità si basano sul tipo di problema di sicurezza e vengono assegnate alle categorie di risultati da Security Command Center. Tutti i risultati in una determinata categoria o sottocategoria vengono generati con lo stesso livello di gravità.
A meno che tu non stia utilizzando il livello di servizio Enterprise, i livelli di gravità dei risultati sono valori statici che non cambiano durante la vita del risultato.
Nel livello di servizio Enterprise, i livelli di gravità dei problemi rappresentano in modo più accurato il rischio in tempo reale di un risultato. I risultati vengono generati con il livello di gravità predefinito della categoria di risultati, ma, mentre il risultato rimane attivo, il livello di gravità può aumentare o diminuire man mano che il punteggio di esposizione agli attacchi del risultato aumenta o diminuisce.
Forse il modo più semplice per identificare le vulnerabilità con la gravità più elevata è utilizzare i Filtri rapidi nella pagina Risultati della Google Cloud console.
Per visualizzare i risultati con la gravità più elevata:
Vai alla pagina Risultati nella Google Cloud console:
Utilizza il selettore di progetti nella Google Cloud console per selezionare il progetto, la cartella o l'organizzazione per cui devi dare la priorità alle vulnerabilità.
Nel riquadro Filtri rapidi della pagina Risultati, seleziona le seguenti proprietà:
- In Classe di risultati, seleziona Vulnerabilità.
- In Gravità, seleziona Critica, Alta o entrambe.
Il riquadro Risultati della query sui risultati viene aggiornato per mostrare solo i risultati con la gravità specificata.
Dare la priorità per migliorare la conformità
Quando dai la priorità ai risultati della postura per la conformità, la tua preoccupazione principale sono i risultati che violano i controlli dello standard di conformità applicabile.
Puoi visualizzare i risultati che violano i controlli di un determinato benchmark procedendo nel seguente modo:
Vai alla pagina Conformità nella Google Cloud console:
Utilizza il selettore di progetti nella Google Cloud console per selezionare il progetto, la cartella o l'organizzazione per cui devi dare la priorità alle vulnerabilità.
Accanto al nome dello standard di sicurezza a cui devi rispettare, fai clic su Visualizza dettagli. Si apre la pagina Dettagli conformità.
Se lo standard di sicurezza di cui hai bisogno non viene visualizzato, specificalo nel campo Standard di conformità nella pagina Dettagli conformità.
Ordina le regole elencate in base ai Risultati facendo clic sull'intestazione della colonna.
Per qualsiasi regola che mostri uno o più risultati, fai clic sul nome della regola nella colonna Regole. Si apre la pagina Risultati per visualizzare i risultati per quella regola.
Correggi i risultati finché non ne rimangono. Dopo la scansione successiva, se non vengono trovate nuove vulnerabilità per la regola, la percentuale di controlli superati aumenta.