本頁說明如何運用一些資訊和方法,優先處理 Security Command Center 發現的軟體安全漏洞、設定錯誤,以及 (使用 Premium 和 Enterprise 服務層級時) 毒性組合和瓶頸 (統稱為「問題」)。您可以運用這些資訊降低風險,並根據法規遵循需求,改善安全狀態。
優先順序的用途
由於時間有限,且 Security Command Center 問題量可能十分龐大 (尤其是在大型機構中),您需要快速找出並因應對機構造成最大風險的安全漏洞。
您必須修正弱點,才能降低貴機構遭受網路攻擊的風險,並確保貴機構符合適用的安全標準。
如要有效降低網路攻擊風險,您需要找出並修正最容易暴露資源、最容易遭到攻擊,或遭攻擊後會造成最嚴重損害的安全漏洞。
如要有效改善特定安全標準的安全防護機制,您必須找出並修正違反適用於貴機構安全標準控管措施的安全漏洞。
在 Premium 和 Enterprise 服務層級中,問題會提供貴機構偵測到的有害組合和瓶頸詳細資訊,協助您完成這些工作。問題也可以包括嚴重程度、攻擊風險分數,以及 Mandiant 評估的 CVE 記錄 (搶先版)。
下列各節說明如何優先處理 Security Command Center 問題,以達成這些目標。
依據遭受攻擊的風險分數決定優先順序
一般來說,您應優先修正受攻擊風險分數較高的問題,而非分數較低或沒有分數的問題。
如要瞭解詳情,請參考下列資源:
在 Security Command Center Google Cloud 控制台中查看分數
分數會與發現事項一起顯示在多個位置,包括:
- 在「風險總覽」頁面。
- 在 Security Command Center 的「發現項目」頁面中,您可以在欄中依分數查詢及排序發現項目。
如要查看攻擊風險分數最高的發現項目,請按照下列步驟操作:
前往 Google Cloud 控制台的「風險總覽」頁面:
在 Google Cloud 控制台使用專案選取器,選取需要優先處理安全漏洞的專案、資料夾或機構。
「風險最高的問題」部分會顯示受攻擊風險分數最高的問題。
選取問題,然後按一下「查看問題詳細資料」,開啟攻擊路徑詳細資料頁面和「攻擊暴露程度分數」。
按一下「查看全部」,即可查看所有問題的清單,以及每個問題的受攻擊風險分數。
如要進一步瞭解「風險總覽」頁面,請參閱「一目瞭然地評估風險」。
查看案件中的分數
在 Security Operations 控制台中,您主要會處理案件,並將調查結果記錄為快訊。
在 Enterprise 服務層級中,您可以在「風險」>「案件」頁面,查看受攻擊風險分數最高的有害組合案件。您可以依受攻擊風險分數排序案件。
如要瞭解如何查詢特定有害組合案件,請參閱「查看有害組合案件的詳細資料」。
依據 CVE 漏洞攻擊可能性和影響程度排定優先順序
一般來說,如果發現 CVE 評估結果為「高漏洞攻擊可能性」和「高影響程度」,請優先修復,而非「低漏洞攻擊可能性」和「低影響程度」。
CVE 資訊 (包括 Mandiant 提供的 CVE 漏洞攻擊可能性和影響評估) 是根據軟體漏洞本身而定。
在「總覽」頁面的「安全漏洞」資訊主頁下方,「最常見的安全漏洞和漏洞攻擊」熱視圖會根據 Mandiant 提供的漏洞攻擊可能性和影響評估,將安全漏洞發現項目歸類到不同區塊。
在 Google Cloud 控制台中查看軟體安全漏洞的詳細資料時,您可以在「摘要」分頁的「安全漏洞」部分找到 CVE 資訊。除了影響和可利用性之外,「安全漏洞」部分還包括 CVSS 分數、參考連結,以及其他有關 CVE 安全漏洞定義的資訊。
如要快速找出影響最大且最容易遭到利用的發現,請按照下列步驟操作:
前往 Google Cloud 控制台的「風險總覽」頁面。
在 Google Cloud 控制台使用專案選取器,選取需要優先處理安全漏洞的專案、資料夾或機構。
在「風險總覽」頁面上,按一下「安全漏洞」。
在「Top Common Vulnerabilities and Exploits」(最常見的安全漏洞和漏洞攻擊) 面板中,執行下列操作:
按一下具有最高可利用性和影響程度的非零數字方塊。面板只會顯示具有所選影響和可利用性的發現項目。
按一下「發現」欄中的計數。「發現項目」頁面隨即會開啟,並顯示共用該 CVE ID 的發現項目清單。
在「最新的 Compute 安全漏洞 (有已知攻擊)」部分,按一下「虛擬機器」欄中的資源 ID。系統會開啟資產詳細資料窗格,顯示該資產的相關資訊。
依嚴重程度排定問題優先順序
一般而言,您應優先處理嚴重程度為 CRITICAL 的問題或發現項目,再處理嚴重程度為 HIGH 的問題或發現項目,依此類推。HIGHMEDIUM
嚴重程度會依據安全性問題類型而定,並由 Security Command Center 指派給發現項目類別。特定類別或子類別中的所有發現項目,都會以相同嚴重程度產生。
除非您使用 Enterprise 服務層級,否則嚴重程度等級是靜態值,不會在探索結果的生命週期內變更。
在 Enterprise 服務層級中,問題的嚴重程度更能準確反映發現項目的即時風險。系統會根據發現項目類別的預設嚴重性等級產生發現項目,但如果發現項目仍處於有效狀態,嚴重性等級可能會隨著發現項目的攻擊暴露分數增加或減少。
如要找出最嚴重的安全漏洞,最簡單的方法就是在 Google Cloud 控制台的「發現項目」頁面使用快速篩選器。
如要查看最高嚴重程度的發現項目,請按照下列步驟操作:
前往 Google Cloud 控制台的「發現項目」頁面:
在 Google Cloud 控制台使用專案選取器,選取需要優先處理安全漏洞的專案、資料夾或機構。
在「發現項目」頁面的「快速篩選器」面板中,選取下列屬性:
- 在「Finding class」(發現類別) 下方,選取「Vulnerability」(安全漏洞)。
- 在「嚴重程度」下方,選取「重大」、「高」或兩者皆選。
「發現項目查詢結果」面板會更新,只顯示具有指定嚴重性的發現項目。
優先處理以提升合規程度
優先處理法規遵循狀態的發現項目時,主要考量是違反適用法規遵循標準控管機制的發現項目。
如要查看違反特定基準控制項的結果,請按照下列步驟操作:
前往 Google Cloud 控制台的「Compliance」(法規遵循) 頁面:
在 Google Cloud 控制台使用專案選取器,選取需要優先處理安全漏洞的專案、資料夾或機構。
找出您必須遵守的安全性標準,然後按一下旁邊的「查看詳細資料」。「法規遵循詳細資料」頁面隨即開啟。
如果未顯示您需要的安全性標準,請在「法規遵循詳細資料」頁面的「法規遵循標準」欄位中指定標準。
按一下欄標題,即可依「發現項目」排序列出的規則。
如果規則顯示一或多個結果,請按一下「規則」欄中的規則名稱。「發現項目」頁面隨即開啟,顯示該規則的發現項目。
修正發現項目,直到沒有任何發現項目為止。下次掃描後,如果系統未發現規則有新的安全漏洞,通過的控管措施百分比就會增加。