本页介绍了如何识别和应对恶意评论 来对模型进行组合。
准备工作
为确保准确检测有毒组合,请确保 安全运维组件软件为最新版本,您的高价值 准确指定资源,并确保您拥有适当的 IAM 权限。
获取所需的权限
处理两个平台上的有害组合发现结果和案例 Google Cloud 控制台和 Security Operations 控制台需要相关权限 。
Google Cloud 控制台 IAM 角色
Make sure that you have the following role or roles on the organization:
- Security Center Admin Viewer (
roles/securitycenter.adminViewer
), to view assets, findings, and attack paths in Security Command Center. - Security Center Assets Viewer (
roles/securitycenter.assetsViewer
), to view only resources. - Security Center Attack Paths Reader
(
roles/securitycenter.attackPathsViewer
), to view only attack paths. - Security Center Findings Editor
(
roles/securitycenter.findingsEditor
), to view, mute, and edit findings. - Security Center Findings Mute Setter
(
roles/securitycenter.findingsMuteSetter
), to mute findings only. - Security Center Findings Viewer (
roles/securitycenter.findingsViewer
), to view only findings.
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
前往 IAM - 选择组织。
- 点击 授予访问权限。
-
在新的主账号字段中,输入您的用户标识符。 这通常是 Google 账号的电子邮件地址。
- 在选择角色列表中,选择一个角色。
- 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
- 点击保存。
- Chronicle SOAR 漏洞管理器
- Chronicle SOAR Threat Manager
- Chronicle SOAR 管理员
- 未解决的恶意组合案例:未解决的恶意组合的数量 每个优先级的支持请求点击与指定优先级对应的栏即可打开 支持请求的列表视图
- 热门恶意组合案例:排名靠前的恶意组合案例名胜 攻击风险得分。点击支持请求 ID 以打开支持请求。
- 超过 SLA 的恶意组合案例数:恶意组合案例数 按服务等级协议 (SLA) 的剩余时间排序。 点击支持请求 ID 以打开支持请求。
在 Security Operations 控制台中,前往案例。
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
将
CUSTOMER_SUBDOMAIN
替换为您的 客户特定标识符。系统随即会打开支持请求页面,其中并排视图处于选中状态。
在支持请求列表顶部,点击过滤条件图标 。 打开过滤条件面板。系统会打开案例队列过滤条件面板。
在案例队列过滤条件中,指定以下内容:
- 在 Time Frame(时间范围)字段中,指定出现这种情况的时间段 有效。
- 将逻辑运算符设置为 AND。
- 对于逻辑运算符下的第一个值,从以下位置选择标记: 菜单。
- 对于第二个值,请选择恶意组合。
- 根据需要指定其他值对,以查找 各种实用功能
- 点击应用。案例队列中的案例已更新为仅显示 符合您指定的过滤条件的案例。
从支持请求队列中,选择要查看的支持请求。支持请求信息 显示的视图,包括以下标签式视图:
- Case Overview(案例概览)标签页 () 提供了恶意案例的相关信息 组合案例,包括简化攻击路径图、列表 相关发现结果列表、类似案例列表、警报、实体图表 等等。
- 案例墙标签页 () 包含操作、状态更改、任务 评论等。
- 查找提醒标签页提供更详细的信息
包括以下内容:
- 概览下方显示了恶意组合和 您可以采取哪些后续措施来修复该恶意组合。
- 事件下方显示发现结果属性列表。
- Playbook 下方会列出关联的 playbook。
转到 Security Operations 控制台中的案例页面。
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
将
CUSTOMER_SUBDOMAIN
替换为您的 客户特定标识符。针对您需要修复的恶意组合创建支持请求。
点击案例标签或提醒标签。
查看以下某个微件中的后续步骤部分:
- 如果您点击了案例标签页,则会看到案例摘要微件。
- 如果您点击了 Alert 标签页,则会看到 Finding summary 微件。
如有必要,请滚动到发现结果说明部分,以查看 后续步骤。
在 Security Operations 控制台中,转到 Posture >发现结果。
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
将
CUSTOMER_SUBDOMAIN
替换为您的 客户特定标识符。选择快速过滤器可查找恶意组合结果 或修改发现结果查询。
点击发现结果类别名称,以打开发现结果详情。发现 详细信息页面打开。
在发现结果详情页面的后续步骤部分中,具体方法为: 摘要标签页中,查看修复指南。
在 Security Operations 控制台中,前往案例。
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
将
CUSTOMER_SUBDOMAIN
替换为您的 客户特定标识符。找到并打开有毒组合案例。
选择支持请求“概览”标签页 ()。
在支持请求概览标签页的发现结果部分,查看列出的 结果。
点击发现结果,以显示有关发现结果的摘要信息。 包括支持请求 ID、攻击风险得分和 找到该发现结果。
- 点击发现结果的支持请求 ID,即可打开相应支持请求并查看其状态。 分配的所有者和其他支持请求信息。
- 点击攻击风险得分以查看发现结果的攻击路径。
- 点击工单 ID 以打开发现结果的工单。
在 Security Operations 控制台中,前往案例。
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
将
CUSTOMER_SUBDOMAIN
替换为您的 客户特定标识符。找到并打开有毒组合案例。
选择发现结果提醒标签页。
在发现结果摘要微件的右下角,点击 探索。系统随即会打开恶意组合发现结果。
使用发现结果右上角的忽略选项 以忽略发现结果。
在 Security Operations 控制台中,转到 SOAR 搜索页面。
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/sp-search
将
CUSTOMER_SUBDOMAIN
替换为您的 客户特定标识符。在页面左侧的状态下,指定已关闭。
在标记下,指定恶意组合。
点击应用。所有封闭的恶意组合案例都会显示在 搜索结果。
在 Google Cloud 控制台中,转到 Security Command Center 发现结果页面。
如有必要,请选择您的 Google Cloud 组织。
在快速过滤器面板的发现结果类部分, 选择恶意组合。发现结果查询结果面板 更新以仅显示有毒组合的发现结果。
如需对有害组合发现结果进行优先排序,请将发现结果排序: 方法是点击恶意组合得分,按得分降序排列 列标题。
如需详细了解 Security Command Center 角色和权限,请参阅 用于组织级激活的 IAM。
Security Operations 控制台角色
处理有毒组合发现结果和案例 Security Operations 控制台,您需要以下任一角色:
如需了解如何向用户授予角色,请参阅 使用 IAM 映射用户并向其授权。
安装最新的安全运维用例
必须为 2024 年 6 月 25 日或更新的版本使用恶意组合功能 SCC Enterprise - 云编排和修复用例中介绍。
如需了解如何安装用例,请参阅 更新 Enterprise 用例,2024 年 6 月。
指定您的哪些资源是高价值资源
您无需启用有毒组合的检测功能,该功能始终可用 但您需要指定要将哪些云资源 高价值资源。
您必须先指定哪些资源是高价值资源 Risk Engine 会检测导致 默认高价值资源集。
根据默认值生成的恶意组合发现结果 高价值资源集可能无法准确反映您的 安全优先级
要指定哪些资源是高价值资源,您可以创建 资源值 Google Cloud 控制台。 有关说明,请参阅 定义和管理高价值资源集。
查看恶意组合案例
您可以查看所有恶意组合案例的概述,并查看 Security Operations 控制台中每个支持请求的详细信息。
查看所有恶意组合案例概览
Posture Overview(状况概览)页面上提供了几个微件,可为您提供快速 云环境中的恶意组合案例概览。您可以 找到以下信息:
您可以在以下网址找到 Posture 概览页面:
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/overview
将 CUSTOMER_SUBDOMAIN
替换为您的
客户特定标识符。
查看恶意组合案例的详细信息
在恶意组合支持请求的任何列表视图中,您可以打开支持请求详情 支持请求的 ID
优先处理恶意组合案例
确定有毒组合案例的优先级,而不是 比较其攻击风险得分。
一般来说,应优先修复有毒组合,而非 修复其他状况发现结果类别案例的情况,除非相应攻击 另一个发现结果类别的案例的曝光率得分显著 高于有毒组合案例的分数。
应将恶意组合案例放在优先地位,因为有毒 组合代表了一条完整路径,如果确定的攻击者 因此攻击者可以合理地 从公共互联网访问您的一项或多项高价值资源。
在 Security Operations 控制台中,您可以查看 具有最高攻击风险得分的组合案例 概览页面上的常见恶意组合案例微件 安全状况。
您可以按攻击风险对所有恶意组合案例进行排序 得分。如需详细了解如何查看 请参阅 查看不良组合案例。
修复有毒组合
如需有关如何修复有毒组合结果的指南,请参阅 在 Security Operations 控制台中针对发现结果打开的支持请求,或者 查找记录本身。
查看支持请求中的补救指南
如需查看有毒组合案例中的补救指南,请按照 具体步骤:
查看有毒组合发现结果中的补救指南
如需查看发现结果记录中的补救指南,请按以下步骤操作:
查看有毒组合案例中的发现结果
通常,恶意组合包括软件的一个或多个发现结果 出现漏洞或配置错误对于每项发现结果 Security Command Center 会自动创建一个单独的案例并运行 关联的 playbook。您可以查看这些发现结果的案例, 并要求工单所有者优先进行补救 这一点非常重要
如需以恶意组合查看发现结果,请按以下步骤操作:
了结恶意组合案例
若要关闭有毒组合的支持请求,您可以采取 或将有毒组合的发现结果设为静音 Google Cloud 控制台中。
通过修复有毒组合来关闭案例
在您修复一个或多个构成 使其不再暴露任何高价值资源 Risk Engine 会自动关闭恶意组合案例 在下一次攻击路径模拟(每六小时运行一次)期间, 。
要修复有毒组合,请遵循指南 请参阅后续步骤下的恶意组合用例。
如需了解详情,请参阅如何修复恶意组合。
通过忽略发现结果关闭案例
如果毒性组合造成的风险可接受 或者您无从下手解决这一有毒组合, 可以通过忽略有毒组合发现结果来关闭案例。
如需忽略恶意组合发现结果,请按以下步骤操作:
您还可以在 Google Cloud 控制台中忽略发现结果。有关 相关信息,请参阅忽略单个发现结果。
查看封闭的恶意组合案例
当 Security Operations 控制台中的支持请求关闭时,Security Command Center 将其从支持请求页面移除。
如需查看封闭的恶意组合案例,请按以下步骤操作:
查看恶意组合发现结果
有害组合发现是指 检测到有毒组合时出现风险引擎问题 部署您的应用Security Command Center 自动创建支持请求 找出 Risk Engine 问题的每个恶意组合。
您可以直接在 Google Cloud 控制台中的风险概览页面或 发现结果页面。
在风险概览页面上,存在以下风险的恶意组合发现结果: 并显示最高的攻击风险得分。每个 每个发现结果都列在 Security Operations 控制台。
如需查看不良组合发现结果,请按以下步骤操作: