本页面介绍了一些信息和方法,您可以使用这些信息和方法来确定 Security Command Center 对软件漏洞、错误配置以及企业层级的恶意组合(漏洞的统称)发现结果的优先级,以便您可以更快、更高效地降低风险并改善安全状况(相对于适用的安全标准)。
确定优先次序的目的
由于您的时间有限,并且 Security Command Center 漏洞发现结果的数量可能非常庞大,尤其是在大型组织中,因此您需要快速识别并应对会给您的组织带来最大风险的漏洞。
您需要修复漏洞,以降低组织遭受网络攻击的风险,并保持组织对适用安全标准的合规性。
为了有效降低网络攻击的风险,您需要找出并修复会暴露您的资源、最容易被利用或如果被利用后造成最严重损害的漏洞。
为了根据特定安全标准有效地改善安全状况,您需要查找并修复违反适用于您组织安全标准控制措施的漏洞。
以下部分介绍了如何确定 Security Command Center 漏洞发现结果的优先级,以满足这些目的。
确定漏洞发现结果的优先级,以降低风险
发现结果是安全问题的记录。漏洞发现结果包含以下信息,您可以根据这些信息确定漏洞修复优先级:
虽然攻击风险得分会分配给漏洞发现结果,但分数主要取决于从公共互联网到高价值资源的潜在攻击路径、资源分配的优先级值以及发现结果影响的资源数量。
恶意组合得分适用于恶意组合的发现结果,这是 Security Command Center 企业层级的一项功能。恶意组合得分类似于其他类型的发现结果的攻击风险得分,但可以视为应用于路径,而不是单个软件漏洞或错误配置的发现结果。如需了解详情,请参阅恶意组合攻击暴露风险得分。
CVE 信息(包括 Mandiant 提供的 CVE 的可利用性和影响评估)基于漏洞本身。
同样,发现结果严重性基于漏洞类型,并由 Security Command Center 分配给发现结果类别。特定类别或子类别中的所有发现结果都会具有相同的严重级别。
除非您使用的是 Security Command Center 的企业版层级,否则发现结果严重级别是在发现结果的生命周期内不会改变的静态值。
使用企业版层级时,漏洞和错误配置发现结果的严重级别可更准确地反映发现结果的实时风险。系统将使用发现结果类别的默认严重级别来发布发现结果,但随着发现结果的攻击风险得分的上升或下降,在发现结果保持活跃状态期间,其严重级别可能会高于或低于默认级别。
按攻击风险得分确定优先级
通常,相对于得分较低或无得分的发现结果,应优先修复攻击风险较高或恶意组合得分较高的发现结果。
只有影响被指定为高价值资源的漏洞发现结果才会获得得分。为使得分能够反映您的业务优先级,您必须先定义哪些资源具有高价值。如需了解详情,请参阅资源值。
在 Google Cloud 控制台和 Security Operations 控制台中,分数会与发现结果一起显示在多个位置,包括:
- 概览页面显示得分最高的 10 个发现结果。
- 在发现结果页面的列中,您可以在此列中按分数查询发现结果并对其进行排序。
- 当您查看影响高价值资源的漏洞发现结果的详细信息时。
在 Security Operations 控制台中查看高分恶意组合发现结果
在 Security Operations 控制台中,您主要通过案例处理恶意组合。您可以在状况 > 概览页面中查看得分最高的发现结果案例。
在 Google Cloud 控制台中查看发现结果(得分最高)
在 Google Cloud 控制台中,您可以按照以下步骤查看攻击风险得分最高的 10 个漏洞发现结果:
前往 Google Cloud 控制台中的概览页面:
使用 Google Cloud 控制台中的项目选择器来选择您需要优先处理漏洞的项目、文件夹或组织:
在主要漏洞发现结果部分,查看 10 项发现结果。
点击攻击风险得分列中的得分,打开发现结果的攻击路径详情页面。
点击发现结果名称,以打开发现结果页面上的发现结果详情面板。
如需了解详情,请参阅攻击风险得分和攻击路径。
按 CVE 可利用性和影响确定优先级
通常,相较于 CVE 评估为低可利用性和低影响的发现结果,应优先修复 CVE 评估为高利用性和高影响的发现结果。
在概览页面的重要 CVE 发现结果部分,系统会以图表或热图的形式,按 Mandiant 提供的可利用性和影响评估将漏洞发现结果分组为多个块。
在控制台中查看某些漏洞发现结果的详细信息时,您可以在摘要标签页的漏洞部分找到 CVE 信息。除了影响和可利用性之外,漏洞部分还包含 CVSS 评分、参考链接以及有关 CVE 漏洞定义的其他信息。
如需快速识别影响最大和可利用性最高的发现结果,请按照以下步骤操作:
前往 Google Cloud 控制台中的概览页面:
使用 Google Cloud 控制台中的项目选择器来选择您需要优先处理漏洞的项目、文件夹或组织:
在概览页面的主要 CVE 发现结果部分中,点击具有最高可利用性和影响的非零数字代码块。 发现结果(按 CVE)页面会显示具有相同影响和可利用性的 CVE ID 列表。
在发现结果(按 CVE ID)部分,点击 CVE ID。系统随即会打开发现结果页面,以显示共享该 CVE ID 的发现结果列表。
在发现结果页面上,点击发现结果的名称以查看发现结果的详细信息以及建议的补救步骤。
按严重程度确定优先级
通常情况下,应优先处理严重级别为 CRITICAL 的漏洞发现结果,而非严重级别为 HIGH 的漏洞发现结果,优先处理 HIGH 严重级别高于 MEDIUM 严重级别,依此类推。
要找出最严重的漏洞,也许最简单的方法是使用 Google Cloud 控制台中发现结果页面上的快速过滤器。
如需查看最严重的发现结果,请按以下步骤操作:
进入 Google Cloud 控制台中的发现结果页面:
使用 Google Cloud 控制台中的项目选择器来选择您需要优先处理漏洞的项目、文件夹或组织:
在发现结果页面的快速过滤条件面板中,选择以下属性:
- 在发现结果类下,选择漏洞。
- 在严重级别下,选择严重和/或高。
发现结果查询结果面板会更新,以仅显示具有指定严重级别的发现结果。
您还可以在概览页面的活跃漏洞发现结果部分中查看漏洞发现结果的严重程度。
确定漏洞发现结果的优先级,以提升合规性
在确定漏洞发现结果的优先顺序以保证合规性时,您的主要顾虑是发现违反适用合规性标准控制措施的发现结果。
您可以按照以下步骤查看违反特定基准测试控制措施的发现结果:
进入 Google Cloud 控制台中的合规性页面:
使用 Google Cloud 控制台中的项目选择器来选择您需要优先处理漏洞的项目、文件夹或组织:
在您需要遵循的安全标准的名称旁边,点击查看详情。系统会打开合规性详情页面。
如果未显示您需要的安全标准,请在合规性详情页面的合规性标准字段中指定标准。
点击列标题,按发现结果对列出的规则进行排序。
对于显示一个或多个发现结果的任何规则,请点击规则列中的规则名称。系统会打开发现结果页面,以显示该规则的发现结果。
对发现结果进行修复,直到没有任何发现结果。下次扫描后,如果未找到规则的新漏洞,则通过的控制措施百分比会增加。