Esta página explica algumas das informações e métodos que você pode usar para priorizar as descobertas do Security Command Center de vulnerabilidades de software, configurações incorretas e, com os níveis de serviço Premium e Enterprise, combinações tóxicas e pontos de estrangulamento (problemas, coletivamente). Você pode usar essas informações para ajudar a reduzir o risco e melhorar sua postura de segurança em relação às necessidades de conformidade.
Objetivo da priorização
Como seu tempo é limitado e o volume de problemas do Security Command Center pode ser muito grande, especialmente em organizações maiores, é necessário identificar e responder rapidamente às vulnerabilidades que representam o maior risco para sua organização.
É necessário corrigir vulnerabilidades para reduzir o risco de um ataque cibernético à sua organização e manter a conformidade da organização com os padrões de segurança aplicáveis.
Para reduzir o risco de um ataque cibernético, é necessário encontrar e corrigir as vulnerabilidades que mais expõem seus recursos, que são mais exploráveis ou que resultariam no dano mais grave se fossem exploradas.
Para melhorar sua postura de segurança em relação a um padrão de segurança específico, é necessário encontrar e corrigir as vulnerabilidades que violam os controles dos padrões de segurança aplicáveis à sua organização.
Nos níveis de serviço Premium e Enterprise, os problemas ajudam você a concluir essas tarefas fornecendo informações detalhadas sobre as combinações tóxicas e os pontos de estrangulamento detectados na sua organização. Um problema também pode incluir a gravidade, a pontuação de exposição ao ataque e registros de CVE com avaliações de CVE da Mandiant (prévia).
As seções a seguir explicam como priorizar os problemas do Security Command Center para atender a esses objetivos.
Priorizar por pontuações de exposição a ataques
Geralmente, priorize a correção de um problema que tenha uma pontuação de exposição a ataques alta em relação a uma descoberta de problema que tenha uma pontuação menor ou nenhuma pontuação.
Para ver mais informações, consulte os seguintes tópicos:
- Como usar pontuações para priorizar correções de descobertas
- Pontuações de exposição a ataques em combinações tóxicas e pontos de estrangulamento
Ver pontuações no console do Security Command Center Google Cloud
As pontuações aparecem com as descobertas em vários lugares, incluindo:
- Na página Visão geral de riscos.
- Em uma coluna na página Descobertas no Security Command Center, em que é possível consultar e classificar as descobertas por pontuação.
Para ver as descobertas que têm as maiores pontuações de exposição a ataques, siga estas etapas:
Acesse a página Visão geral de riscos no Google Cloud console:
Use o seletor de projetos no Google Cloud console para selecionar o projeto, a pasta ou a organização que precisa priorizar as vulnerabilidades.
A seção Problemas mais arriscados mostra problemas que têm as maiores pontuações de exposição a ataques.
Selecione um problema e clique em Ver detalhes do problema para abrir a página de detalhes do caminho de ataque e a Pontuação de exposição ao ataque.
Clique em Ver tudo para conferir uma lista de todos os problemas com a pontuação de exposição ao ataque de cada um.
Para mais informações sobre a página Visão geral de riscos, consulte Avaliar o risco rapidamente.
Ver pontuações em casos
No console de operações de segurança, você trabalha principalmente com casos, em que as descobertas são documentadas como alertas.
No nível de serviço Enterprise, é possível conferir os casos de combinação tóxica com as maiores pontuações de exposição a ataques na página Risco > Casos. É possível classificar os casos pelas pontuações de exposição a ataques.
Para informações sobre como consultar casos de combinação tóxica especificamente, consulte Ver os detalhes de uma combinação tóxica caso.
Priorizar por vulnerabilidade e impacto de CVE
Geralmente, priorize a correção de descobertas que tenham uma avaliação de CVE de alta vulnerabilidade e alto impacto em relação a descobertas com uma avaliação de CVE de baixa vulnerabilidade e baixo impacto.
As informações de CVE, incluindo avaliações de vulnerabilidade e impacto da CVE fornecidas pela Mandiant, são baseadas na própria vulnerabilidade do software.
Na página Visão geral, no painel Vulnerabilidades, o mapa de calor Vulnerabilidades e exploits mais comuns resume as descobertas de vulnerabilidade em blocos pelas avaliações de vulnerabilidade e impacto fornecidas pela Mandiant.
Ao conferir os detalhes de uma descoberta de vulnerabilidade de software no Google Cloud console, você pode encontrar as informações de CVE na seção Vulnerabilidade da guia Resumo. Além do impacto e da vulnerabilidade, a seção Vulnerabilidade inclui a pontuação do CVSS, links de referências e outras informações sobre a definição de vulnerabilidade de CVE.
Para identificar rapidamente as descobertas que têm o maior impacto e vulnerabilidade, siga estas etapas:
No Google Cloud console, acesse a página Visão geral de riscos.
Use o seletor de projetos no Google Cloud console para selecionar o projeto, a pasta ou a organização que precisa priorizar as vulnerabilidades.
Na página Visão geral de riscos, clique em Vulnerabilidades.
No painel Vulnerabilidades e exploits mais comuns, faça o seguinte:
Clique no bloco com um número diferente de zero que tenha a maior vulnerabilidade e impacto. O painel mostra apenas as descobertas que têm o impacto e a vulnerabilidade selecionados.
Clique na contagem na coluna Descobertas. A página Descobertas é aberta para mostrar a lista de descobertas que compartilham esse ID de CVE.
Na seção Vulnerabilidades recentes do Compute com exploits conhecidos , clique em um ID de recurso na coluna Máquina virtual. O painel de detalhes do recurso é aberto para mostrar informações sobre esse recurso.
Priorizar problemas por gravidade
Geralmente, priorize um problema ou descoberta com uma gravidade CRITICAL em relação a um problema ou descoberta com uma gravidade HIGH, priorize a gravidade HIGH em relação a uma gravidade MEDIUM e assim por diante.
As gravidades são baseadas no tipo de problema de segurança e são atribuídas a categorias de descobertas pelo Security Command Center. Todas as descobertas em uma categoria ou subcategoria específica são geradas com o mesmo nível de gravidade.
A menos que você esteja usando o nível de serviço Enterprise, os níveis de gravidade da descoberta são valores estáticos que não mudam durante a vida útil da descoberta.
No nível de serviço Enterprise, os níveis de gravidade dos problemas representam com mais precisão o risco em tempo real de uma descoberta. As descobertas são geradas com o nível de gravidade padrão da categoria de descoberta, mas, enquanto a descoberta permanece ativa, o nível de gravidade pode aumentar ou diminuir à medida que a pontuação de exposição ao ataque da descoberta aumenta ou diminui.
Talvez a maneira mais fácil de identificar as vulnerabilidades de maior gravidade seja usar os Filtros rápidos na página Descobertas no Google Cloud console.
Para ver as descobertas de maior gravidade, siga estas etapas:
Acesse a página Descobertas no Google Cloud console:
Use o seletor de projetos no Google Cloud console para selecionar o projeto, a pasta ou a organização que precisa priorizar as vulnerabilidades.
No painel Filtros rápidos na página Descobertas, selecione as seguintes propriedades:
- Em Classe de descoberta, selecione Vulnerabilidade.
- Em Gravidade, selecione Crítica, Alta ou ambas.
O painel Resultados da consulta de descobertas é atualizado para mostrar apenas as descobertas que têm a gravidade especificada.
Priorizar para melhorar a conformidade
Ao priorizar as descobertas de postura para conformidade, sua principal preocupação são as descobertas que violam os controles do padrão de conformidade aplicável.
Para conferir as descobertas que violam os controles de um benchmark específico, siga estas etapas:
Acesse a página Compliance no Google Cloud console:
Use o seletor de projetos no Google Cloud console para selecionar o projeto, a pasta ou a organização que precisa priorizar as vulnerabilidades.
Ao lado do nome do padrão de segurança que você precisa obedecer, clique em Ver detalhes. A página Detalhes de compliance é aberta.
Se o padrão de segurança necessário não for exibido, especifique o padrão no campo Padrão de compliance na página Detalhes de compliance.
Classifique as regras listadas por Descobertas clicando no cabeçalho da coluna.
Para qualquer regra que mostre uma ou mais descobertas, clique no nome da regra na coluna Regras. A página Descobertas é aberta para mostrar as descobertas dessa regra.
Corrija as descobertas até que não haja mais descobertas. Após a próxima verificação, se nenhuma nova vulnerabilidade for encontrada para a regra, a porcentagem de controles aprovados aumentará.