Questa pagina illustra alcune delle informazioni e dei metodi che puoi utilizzare per dare la priorità ai risultati di Security Command Center relativi a vulnerabilità del software, errori di configurazione e, con i livelli di servizio Premium ed Enterprise, combinazioni tossiche e colli di bottiglia (problemi, collettivamente). Puoi utilizzare queste informazioni per ridurre i rischi e migliorare la tua postura di sicurezza in relazione alle tue esigenze di conformità.
Scopo della definizione delle priorità
Poiché il tuo tempo è limitato e il volume dei problemi di Security Command Center può essere eccessivo, soprattutto nelle organizzazioni più grandi, devi identificare e rispondere rapidamente alle vulnerabilità che rappresentano il rischio maggiore per la tua organizzazione.
Devi correggere le vulnerabilità per ridurre il rischio di un attacco informatico alla tua organizzazione e per mantenere la conformità della tua organizzazione agli standard di sicurezza applicabili.
Per ridurre efficacemente il rischio di un attacco informatico, devi trovare e correggere le vulnerabilità che espongono maggiormente le tue risorse, che sono più sfruttabili o che causerebbero i danni più gravi se venissero sfruttate.
Per migliorare in modo efficace la tua security posture rispetto a un particolare standard di sicurezza, devi trovare e correggere le vulnerabilità che violano i controlli degli standard di sicurezza applicabili alla tua organizzazione.
Nei livelli di servizio Premium ed Enterprise, i problemi ti aiutano a completare queste attività fornendo informazioni dettagliate sulle combinazioni tossiche e sui colli di bottiglia rilevati nella tua organizzazione. Un problema può includere anche la gravità, il punteggio di esposizione agli attacchi e record CVE con valutazioni CVE di Mandiant (anteprima).
Le sezioni seguenti spiegano come puoi dare la priorità ai problemi di Security Command Center per raggiungere questi scopi.
Dare la priorità in base ai punteggi di esposizione all'attacco
In genere, dai la priorità alla correzione di un problema con un punteggio di esposizione agli attacchi elevato rispetto a un problema con un punteggio inferiore o senza punteggio.
Per ulteriori informazioni, consulta le seguenti risorse:
- Utilizzare i punteggi per dare la priorità alla ricerca di soluzioni
- Punteggi di esposizione agli attacchi su combinazioni dannose e chokepoint
Visualizza i punteggi nella console Security Command Center Google Cloud
I punteggi vengono visualizzati insieme ai risultati in più posizioni, tra cui:
- Nella pagina Panoramica dei rischi.
- In una colonna della pagina Risultati di Security Command Center, dove puoi interrogare e ordinare i risultati in base al punteggio.
Per visualizzare i risultati con i punteggi di esposizione agli attacchi più elevati, segui questi passaggi:
Vai alla pagina Panoramica dei rischi nella console Google Cloud :
Utilizza il selettore di progetti nella console Google Cloud per selezionare il progetto, la cartella o l'organizzazione per cui devi dare la priorità alle vulnerabilità.
La sezione Problemi più rischiosi mostra i problemi con i punteggi di esposizione agli attacchi più elevati.
Seleziona un problema, quindi fai clic su Visualizza dettagli problema per aprire la pagina dei dettagli del percorso di attacco e il Punteggio di esposizione agli attacchi.
Fai clic su Visualizza tutto per visualizzare un elenco di tutti i problemi con il punteggio di esposizione agli attacchi per ciascuno.
Per ulteriori informazioni sulla pagina Panoramica dei rischi, consulta Valutare il rischio a colpo d'occhio.
Visualizzare i punteggi nelle richieste
Nella console Security Operations, lavori principalmente con i casi, in cui i risultati vengono documentati come avvisi.
Nel livello di servizio Enterprise, puoi visualizzare i casi di combinazioni tossiche con i punteggi di esposizione agli attacchi più elevati nella pagina Rischi > Casi. Puoi ordinare le richieste in base ai punteggi di esposizione agli attacchi.
Per informazioni su come eseguire query specifiche per le richieste relative alla combinazione tossica, vedi Visualizzare i dettagli di una richiesta relativa alla combinazione tossica.
Prioritizzare in base alla sfruttabilità e all'impatto delle CVE
In generale, dai la priorità alla correzione dei risultati con una valutazione CVE di sfruttabilità e impatto elevati rispetto a quelli con una valutazione CVE di sfruttabilità e impatto bassi.
Le informazioni CVE, incluse le valutazioni di sfruttabilità e impatto della CVE fornite da Mandiant, si basano sulla vulnerabilità del software stesso.
Nella pagina Panoramica, nella dashboard Vulnerabilità, la mappa termica delle principali vulnerabilità ed exploit comuni riassume i risultati relativi alle vulnerabilità in blocchi in base alle valutazioni di sfruttabilità e impatto fornite da Mandiant.
Quando visualizzi i dettagli di un risultato di vulnerabilità del software nella console Google Cloud , puoi trovare le informazioni CVE nella sezione Vulnerabilità della scheda Riepilogo. Oltre a impatto e sfruttabilità, la sezione Vulnerabilità include il punteggio CVSS, i link di riferimento e altre informazioni sulla definizione della vulnerabilità CVE.
Per identificare rapidamente i risultati con il maggiore impatto e livello di sfruttamento, segui questi passaggi:
Nella console Google Cloud , vai alla pagina Panoramica dei rischi.
Utilizza il selettore di progetti nella console Google Cloud per selezionare il progetto, la cartella o l'organizzazione per cui devi dare la priorità alle vulnerabilità.
Nella pagina Panoramica dei rischi, fai clic su Vulnerabilità.
Nel riquadro Principali vulnerabilità ed exploit comuni, procedi nel seguente modo:
Fai clic sul blocco con un numero diverso da zero che presenta la massima sfruttabilità e il massimo impatto. Il riquadro mostra solo i risultati che hanno l'impatto e l'exploitability selezionati.
Fai clic sul conteggio nella colonna Risultati. Si apre la pagina Risultati per visualizzare l'elenco dei risultati che condividono l'ID CVE.
Nella sezione Ultime vulnerabilità di calcolo con exploit noti, fai clic su un ID risorsa nella colonna Macchina virtuale. Si apre il riquadro dei dettagli dell'asset per visualizzare le informazioni relative.
Assegnare la priorità ai problemi in base alla gravità
In genere, dai la priorità a un problema o a un risultato con gravità CRITICAL rispetto a un problema o a un risultato con gravità HIGH, dai la priorità alla gravità HIGH rispetto a una gravità MEDIUM e così via.
Le gravità si basano sul tipo di problema di sicurezza e vengono assegnate alle categorie di risultati da Security Command Center. Tutti i risultati in una determinata categoria o sottocategoria vengono generati con lo stesso livello di gravità.
A meno che tu non utilizzi il livello di servizio Enterprise, i livelli di gravità dei risultati sono valori statici che non cambiano durante il ciclo di vita del risultato.
Nel livello di servizio Enterprise, i livelli di gravità dei problemi rappresentano in modo più accurato il rischio in tempo reale di un risultato. I risultati vengono generati con il livello di gravità predefinito della categoria di risultati, ma, mentre il risultato rimane attivo, il livello di gravità può aumentare o diminuire in base all'aumento o alla diminuzione del punteggio di esposizione all'attacco del risultato.
Forse il modo più semplice per identificare le vulnerabilità con la gravità più elevata è utilizzare i filtri rapidi nella pagina Risultati della console Google Cloud .
Per visualizzare i risultati con la gravità più elevata:
Vai alla pagina Risultati nella console Google Cloud :
Utilizza il selettore di progetti nella console Google Cloud per selezionare il progetto, la cartella o l'organizzazione per cui devi dare la priorità alle vulnerabilità.
Nel riquadro Filtri rapidi della pagina Risultati, seleziona le seguenti proprietà:
- In Finding class (Classe di risultati), seleziona Vulnerability (Vulnerabilità).
- In Gravità, seleziona Critica, Alta o entrambe le opzioni.
Il riquadro Risultati della query sui risultati viene aggiornato per mostrare solo i risultati con la gravità specificata.
Dare la priorità per migliorare la conformità
Quando dai la priorità ai risultati della postura per la conformità, la tua preoccupazione principale sono i risultati che violano i controlli dello standard di conformità applicabile.
Per visualizzare i risultati che violano i controlli di un determinato benchmark, segui questi passaggi:
Vai alla pagina Conformità nella console Google Cloud :
Utilizza il selettore di progetti nella console Google Cloud per selezionare il progetto, la cartella o l'organizzazione per cui devi dare la priorità alle vulnerabilità.
Accanto al nome dello standard di sicurezza che devi rispettare, fai clic su Visualizza dettagli. Viene visualizzata la pagina Dettagli conformità.
Se lo standard di sicurezza che ti serve non viene visualizzato, specifica lo standard nel campo Standard di conformità della pagina Dettagli conformità.
Ordina le regole elencate per Risultati facendo clic sull'intestazione della colonna.
Per qualsiasi regola che mostri uno o più risultati, fai clic sul nome della regola nella colonna Regole. Si apre la pagina Risultati per visualizzare i risultati relativi a questa regola.
Correggi i risultati finché non ne rimangono. Dopo la scansione successiva, se non vengono trovate nuove vulnerabilità per la regola, la percentuale di controlli superati aumenta.