Diese Seite bietet einen Überblick über das Konzept einer unangemessenen Kombination und die Ergebnisse und Fälle, mit denen Sicherheitslückenanalysten die unangemessenen Kombinationen in Security Command Center Enterprise identifizieren, priorisieren und beheben können.
Ergebnisse und Fälle von schädlichen Kombinationen helfen Ihnen, Risiken effektiver zu identifizieren und die Sicherheit in Ihren Cloud-Umgebungen zu verbessern.
Definition einer unangemessenen Kombination
Eine toxische Kombination ist eine Gruppe von Sicherheitsproblemen, die, wenn sie in einem bestimmten Muster auftreten, einen Pfad zu einer oder mehreren Ihrer hochwertigen Ressourcen erstellen, über die ein ermittelter Angreifer diese Ressourcen erreichen und kompromittieren könnte.
Ein Sicherheitsproblem ist alles, was zur Gefährdung Ihrer Cloud-Ressourcen beiträgt, z. B. eine bestimmte Konfiguration von Ressourcen, eine Fehlkonfiguration oder eine Sicherheitslücke in der Software.
Die Risk Engine von Security Command Center Enterprise erkennt unangemessene Kombinationen während der ausgeführten Angriffspfadsimulationen. Für jede toxische Kombination, die Risk Engine erkennt, gibt es ein Ergebnis aus. Jedes Ergebnis enthält eine Angriffsrisikobewertung, die das Risiko der schädlichen Kombination für die hochwertigen Ressourcen in Ihrer Cloud-Umgebung misst. Risk Engine generiert auch eine Visualisierung des Angriffspfads, den die schädliche Kombination für die hochwertigen Ressourcen erzeugt.
Angriffsbewertung für schädliche Kombinationen
Risk Engine berechnet für jedes Ergebnis einer unangemessenen Kombination eine Angriffsrisikobewertung. Der Score ist eine Schätzung des Risikos, das die giftige Kombination für Ihre hochwertigen Ressourcen darstellt.
Ein Wert für ein Ergebnis einer toxischen Kombination ähnelt dem Angriffsrisikowert für andere Arten von Ergebnissen, kann jedoch als auf einen Pfad angewendet und nicht als das Ergebnis einer einzelnen Software-Sicherheitslücke oder -Fehlkonfiguration angesehen werden.
Im Allgemeinen stellt eine schädliche Kombination ein größeres Risiko für Ihre Cloud-Bereitstellung dar als ein einzelnes Sicherheitsproblem. Vergleichen Sie jedoch die Punktzahl einer toxischen Kombination mit dem Ergebnis anderer toxischer Kombinationen und der Ergebnisse zum Halt, um zu entscheiden, worauf Sie zuerst reagieren sollten.
Wenn die Bewertung eines Ergebnisses zu einem einzelnen Sicherheitsproblem deutlich höher ist als die Bewertung einer unangemessenen Kombination, sollten Sie das Ergebnis mit der höheren Bewertung priorisieren.
Wie die Angriffsrisikobewertungen für andere Ergebnisse werden auch Angriffsrisikobewertungen für schädliche Kombinationen aus Folgendem abgeleitet:
- Die Anzahl der gefährdeten hochwertigen Ressourcen sowie die Prioritätswerte und Angriffsrisikobewertungen dieser Ressourcen
- Die Wahrscheinlichkeit, dass ein Angreifer mithilfe der toxischen Kombination eine hochwertige Ressource erreichen könnte
Weitere Informationen finden Sie unter Angriffsrisikobewertungen.
Visualisierung des Angriffspfads für schädliche Kombinationen
Risk Engine bietet eine visuelle Darstellung der Angriffspfade, die eine schädliche Kombination für Ihre hochwertigen Ressourcen erzeugt. Ein Angriffspfad stellt eine Reihe von Sicherheitsproblemen und Ressourcen dar, mit denen ein potenzieller Angreifer eine hochwertige Ressource erreichen könnte.
Der Angriffspfad hilft Ihnen, die Beziehungen zwischen den Problemen in einer unangemessenen Kombination zu verstehen und zu erkennen, wie sie zusammen einen Pfad zu Ihren hochwertigen Ressourcen bilden. Die Pfadvisualisierung zeigt auch, wie viele hochwertige Ressourcen verfügbar gemacht werden und welche relativen Prioritäten sie haben.
In der Security Operations-Konsole werden die Sicherheitsprobleme, aus denen die schädliche Kombination besteht, durch eine gelb rautenförmige Umrandung im Angriffspfad hervorgehoben.
In der Security Operations-Konsole bietet Security Command Center zwei Versionen eines Angriffspfads mit schädlichen Kombinationen. Das erste ist eine vereinfachte Version, die auf dem Tab mit der Fallübersicht in einem Fall mit unangemessenen Kombinationen angezeigt wird. Die zweite Version zeigt den vollständigen Angriffspfad. Sie können den vollständigen Angriffspfad öffnen, indem Sie im vereinfachten Angriffspfad auf Vollständige Angriffspfade untersuchen oder oben rechts in der Fallansicht auf Angriffspfad für schädliche Kombinationen ansehen klicken.
Der folgende Screenshot ist ein Beispiel für einen vereinfachten Angriffspfad.
Weitere Informationen finden Sie unter Angriffspfade.
Fälle von giftigen Kombinationen
Security Command Center Enterprise öffnet in der Security Operations-Konsole einen Fall für jede toxische Kombination, die von Risk Engine ausgegeben wird.
Mithilfe des darin enthaltenen TOXIC_COMBINATION-Tags können Sie Fälle mit unangemessenen Kombinationen abfragen oder filtern. Sie können Fälle von unangemessenen Kombinationen auch in der Security Operations-Konsole an dem folgenden Symbol erkennen:
Ein Fall mit unangemessenen Kombinationen enthält niemals mehr als ein Ergebnis oder eine Warnung.
Der Fall ist die primäre Methode, um die Behebung einer unangemessenen Kombination zu untersuchen und nachzuverfolgen. In der Fallansicht finden Sie die folgenden Informationen:
- Eine Beschreibung der unangemessenen Kombination
- Der Angriffsbewertungswert der toxischen Kombination
- Eine Visualisierung des Angriffspfads, den die Kombination aus giftigen Schadstoffen erzeugt
- Informationen zur betroffenen Ressource
- Informationen über die Maßnahmen, die du ergreifen kannst, um die giftige Kombination zu beseitigen
- Informationen zu ähnlichen Ergebnissen von anderen Security Command Center-Erkennungsdiensten, einschließlich Links zu den zugehörigen Fällen
- Alle anwendbaren Playbooks
- Alle zugehörigen Tickets
Sie können die Fälle von schädlichen Kombinationen in Ihrer Umgebung auf einen Blick in der Security Operations-Konsole auf der Seite Statusübersicht des Security Command Center ansehen. Die Seite Statusübersicht enthält Widgets, die Fälle von unangemessenen Kombinationen nach Priorität, Angriffsbewertung und nach der verbleibenden Zeit im Service Level Agreement (SLA) zeigen.
Weitere Informationen zum Anzeigen von Fällen mit unangemessenen Kombinationen finden Sie unter Fälle mit unangemessenen Kombinationen ansehen.
Fallpriorität
Fälle von unangemessenen Kombinationen haben standardmäßig die Priorität Critical, um dem Schweregrad des Ergebnisses mit unangemessenen Kombinationen und der zugehörigen Warnung in diesem Fall zu entsprechen.
Nachdem ein Fall geöffnet wurde, können Sie die Priorität des Falls oder der Benachrichtigung ändern.
Wenn Sie die Priorität eines Falls oder einer Benachrichtigung ändern, ändert sich der Schweregrad des Ergebnisses nicht.
Fälle abschließen
Die Anordnung toxischer Kombinationen hängt vom Zustand des zugrunde liegenden Ergebnisses ab. Wenn ein Ergebnis erstmals ausgegeben wird, lautet der Status Active.
Wenn Sie die toxische Kombination beheben, erkennt Risk Engine automatisch die Abhilfe bei der nächsten Angriffspfadsimulation und schließt den Fall. Simulationen werden ungefähr alle sechs Stunden ausgeführt.
Wenn Sie der Meinung sind, dass das Risiko, das sich aus der schädlichen Kombination ergibt, akzeptabel oder unvermeidbar ist, können Sie einen Fall schließen, indem Sie das Ergebnis der unangemessenen Kombination ausblenden.
Wenn Sie ein Ergebnis einer unangemessenen Kombination ausblenden, bleibt das Ergebnis aktiv, aber Security Command Center schließt den Fall und entfernt es aus den Standardabfragen und -ansichten.
Weitere Informationen finden Sie hier:
- Fälle mit toxischen Kombinationen schließen
- Supportanfragen
- Ergebnisse in Security Command Center ausblenden
Ähnliche Ergebnisse
Viele der einzelnen Sicherheitsprobleme, die eine von Risk Engine erkannte schädliche Kombination ausmachen, werden auch von anderen Security Command Center-Erkennungsdiensten erkannt. Diese anderen Erkennungsdienste liefern separate Ergebnisse für diese Probleme. Diese Ergebnisse werden in einer unangemessenen Kombination als verwandte Ergebnisse aufgelistet.
Da verwandte Ergebnisse getrennt von der Befundung mit unangemessenen Kombinationen ausgegeben werden, werden separate Fälle für sie geöffnet, verschiedene Playbooks werden für sie ausgeführt und andere Mitglieder Ihres Teams arbeiten möglicherweise unabhängig von der Behebung der Befunde mit der unangemessenen Kombination an der Behebung.
Prüfen Sie den Status der Anfragen für diese zugehörigen Ergebnisse und bitten Sie gegebenenfalls die Verantwortlichen, ihre Behebung zu priorisieren, um die toxische Kombination zu beheben.
In Fällen von unangemessenen Kombinationen werden alle damit verbundenen Ergebnisse im Widget Ergebnisse auf dem Tab „Übersicht“ eines Falles mit unangemessenen Kombinationen aufgeführt. Für jedes zugehörige Ergebnis enthält das Widget einen Link zum entsprechenden Fall.
Ähnliche Ergebnisse werden auch im Angriffspfad für toxische Kombinationen identifiziert.
So erkennt Risk Engine toxische Kombinationen
Risk Engine führt ungefähr alle sechs Stunden Angriffspfadsimulationen für alle Ihre Cloud-Ressourcen aus.
Während der Simulationen identifiziert Risk Engine potenzielle Angriffspfade zu den hochwertigen Ressourcen in Ihrer Cloud-Umgebung und berechnet Angriffsrisikobewertungen für Ergebnisse und hochwertige Ressourcen. Wenn Risk Engine während der Simulationen eine toxische Kombination feststellt, wird ein Ergebnis ausgegeben.
Weitere Informationen zu Angriffspfadsimulationen finden Sie unter Angriffspfadsimulationen.