Cette page décrit la propriété severity des résultats de Security Command Center et ses valeurs possibles.
La propriété severity fournit un indicateur général
il est important de corriger les résultats d’une catégorie de résultats particulière
ou, dans certains cas, une sous-catégorie.
En règle générale, vous devez corriger les résultats de gravité HIGH avant les résultats de gravité LOW. Toutefois, en fonction de la ressource affectée ou d'autres considérations, il est possible que la correction d'un résultat de gravité LOW particulier soit plus importante que celle d'un résultat de gravité HIGH.
Gravité par rapport au score d'exposition au piratage
Vous pouvez utiliser à la fois la sévérité des résultats et les scores d'exposition aux attaques pour hiérarchiser la résolution des problèmes, mais il est important de comprendre les différences entre les deux.
La gravité est un indicateur général prédéterminé en fonction de la catégorie de l'anomalie. Le même niveau de gravité par défaut est attribué à tous les résultats d'une catégorie ou d'une sous-catégorie donnée.
Le score d'exposition aux attaques est un indicateur dynamique calculé pour un résultat après sa publication. Le score est spécifique à l'instance de résultat et repose sur un certain nombre de facteurs, y compris les instances de ressources concernées par le résultat et la difficulté qu'un pirate informatique hypothétique rencontrerait pour parcourir le chemin d'accès à la ressource à forte valeur concernée à partir d'un point d'accès potentiel.
Tous les résultats peuvent avoir une gravité. Seuls les failles et les erreurs de configuration des résultats qui sont compatibles avec les simulations de chemin d'attaque peut avoir une score d'exposition aux attaques.
Lorsque vous hiérarchisez les résultats de failles et de mauvaise configuration, priorisez les scores d'exposition aux attaques avant de les classer par gravité.
Classifications de gravité
Security Command Center utilise les classifications de gravité suivantes, qui s'affichent dans la colonne Sévérité lorsque les résultats s'affichent dans la console Google Cloud :
CriticalHighMediumLowUnspecified
Critical de gravité
Une faille critique est facilement détectable et peut être exploitée pour exécuter directement du code arbitraire, exfiltrer des données et obtenir des accès et des droits supplémentaires dans les ressources et les workflows cloud. Il peut s'agir, par exemple, d'informations sur l'utilisateur accessibles publiquement et d'un accès SSH public avec des mots de passe peu sécurisés ou aucun mot de passe.
Une menace critique parvient à accéder aux données, à les modifier ou à les supprimer, ou encore à exécuter du code non autorisé dans vos ressources existantes.
Une découverte de classe SCC error critique signifie l'un des éléments suivants :
- Une erreur de configuration empêche Security Command Center de générer de nouveaux résultats, quelle que soit leur gravité.
- Une erreur de configuration vous empêche de voir tous les résultats d'un service.
- Une erreur de configuration empêche les simulations de chemin d'attaque de générer des scores d'exposition aux attaques et des chemins d'attaque.
Gravité de High
Une faille élevée est facile à trouver et pourrait être exploitée conjointement à d'autres failles pour avoir un accès direct permettant d'exécuter du code arbitraire ou d'exfiltrer des données, et pour obtenir des accès et des droits supplémentaires sur les ressources et les charges de travail. Par exemple, une base de données qui présente des mots de passe peu sécurisés ou aucun mot de passe, et qui n'est accessible qu'en interne peut être compromise par un individu ayant accès au réseau interne.
Une menace à haut risque est capable de créer des ressources de calcul mais ne peut pas accéder aux données ni exécuter du code dans ressources.
Un résultat de classe SCC error à haut risque indique qu'une configuration
provoque l'un des problèmes suivants:
- Vous ne pouvez pas afficher ni exporter certains résultats d'un service.
- Pour les simulations de chemin d'attaque, les scores d'exposition aux attaques les chemins d'attaque peuvent être incomplets ou inexacts.
Medium de gravité
Une vulnérabilité à risque moyen pourrait permettre à un acteur d’accéder à des ressources ou des privilèges qui leur permettent d'obtenir l'accès la capacité d’exfiltrer des données ou d’exécuter du code arbitraire. Par exemple, si un compte de service dispose d'un accès inutile aux projets et qu'un individu y accède, celui-ci pourrait utiliser ce compte de service pour manipuler un projet.
Une menace à risque moyen peut entraîner un problème plus grave, mais n’indique pas nécessairement l'accès actuel aux données ou l'exécution de code non autorisé.
Gravité de Low
Une vulnérabilité à faible risque empêche une équipe de sécurité de détecter des failles ou des menaces actives dans leur déploiement ; empêche l’investigation des problèmes de sécurité. Par exemple, un scénario dans lequel la surveillance et les journaux sont désactivés pour les configurations et l'accès aux ressources.
Une menace à faible risque a obtenu un accès minimal à un environnement, mais n'est pas en mesure d'accéder aux données, d'exécuter du code ou de créer des ressources.
Unspecified de gravité
Une classification de gravité de Unspecified indique que le service qui a généré le résultat n'a pas défini de valeur de gravité pour celui-ci.
Si vous recevez une anomalie de gravité Unspecified, vous devez évaluer vous-même la gravité en examinant l'anomalie et la documentation fournie par le produit ou le service qui l'a générée.
Gravité variable
La gravité des résultats d'une catégorie peut varier dans certaines circonstances.
Gravités qui varient en fonction du score d'exposition au piratage
Si vous utilisez le niveau Enterprise de Security Command Center, les niveaux de gravité des résultats de faille et de configuration incorrecte reflètent plus précisément le risque de chaque résultat individuel, car la gravité d'un résultat peut changer pour refléter son score d'exposition aux attaques.
Avec le niveau Entreprise, les résultats de détection de failles et d'erreurs avec un niveau de gravité de référence ou par défaut commun des résultats dans une catégorie de résultats donnée. Après l’émission d’un résultat, si les simulations de chemin d'attaque de Security Command Center déterminent le résultat expose une ou plusieurs ressources que vous avez désignées comme ressource à forte valeur ajoutée, les simulations attribuent un score d'exposition aux attaques au résultat augmentez le niveau de gravité en conséquence. Si l'anomalie reste active, mais que les simulations réduisent ensuite le score d'exposition aux attaques, le niveau de gravité de l'anomalie peut également diminuer, mais pas en dessous du niveau par défaut d'origine.
Si vous utilisez le niveau Premium ou Standard de Security Command Center, les niveaux de gravité de tous les résultats restent statiques.
Gravité variable en fonction du problème détecté
Pour certaines catégories de résultats, Security Command Center peut attribuer un autre niveau de gravité par défaut à un résultat, en fonction des caractéristiques le problème de sécurité détecté.
Par exemple, la classification de la gravité
IAM anomalous grant résultat
généré par Event Threat Detection est généralement HIGH, mais si
le résultat est généré pour l'attribution d'autorisations sensibles
rôle IAM personnalisé,
la gravité est MEDIUM.
Afficher les niveaux de gravité des résultats dans la console Google Cloud
Vous pouvez afficher les résultats de Security Command Center par gravité de plusieurs manières dans la Console Google Cloud:
- Sur la page Vue d'ensemble, vous pouvez voir le nombre de résultats pour chaque niveau de gravité. sont actifs dans vos ressources dans la section Failles par type de ressource. .
- Sur la page Menaces, vous pouvez voir le nombre de résultats de menace à chaque niveau de gravité.
- Sur la page Failles de sécurité, vous pouvez filtrer les modules de détection des failles affichés par niveau de gravité afin de n'afficher que les modules qui présentent des résultats actifs à ce niveau de gravité.
- Sur la page Résultats, vous pouvez ajouter des filtres pour des niveaux de gravité spécifiques à vos requêtes de résultats à partir du panneau Filtres rapides.