Cette page décrit la propriété severity des résultats de Security Command Center et ses valeurs possibles.
La propriété severity fournit un indicateur général de l'importance de corriger les résultats d'une catégorie de résultats particulière ou, dans certains cas, d'une sous-catégorie.
En règle générale, vous devez corriger les résultats de gravité HIGH avant les résultats de gravité LOW. Toutefois, selon la ressource concernée ou d'autres considérations, il est possible que la correction d'un résultat de gravité LOW particulier soit plus importante qu'un résultat de gravité HIGH.
Gravité par rapport au score d'exposition au piratage
Vous pouvez utiliser à la fois les niveaux de gravité et les scores d'exposition aux attaques pour hiérarchiser la correction des résultats, mais il est important de comprendre les différences entre les deux.
La gravité est un indicateur général prédéterminé en fonction de la catégorie du résultat. Le même niveau de gravité par défaut est attribué à tous les résultats d'une catégorie ou d'une sous-catégorie donnée.
Un score d'exposition aux attaques est un indicateur dynamique calculé pour un résultat après sa publication. Le score est spécifique à l'instance de résultat et repose sur un certain nombre de facteurs, y compris les instances de ressources affectées par le résultat et la difficulté qu'un pirate informatique pourrait rencontrer pour traverser le chemin depuis un point d'accès potentiel à la ressource de forte valeur concernée.
Tous les résultats peuvent avoir un niveau de gravité. Seuls les résultats de failles et d'erreurs de configuration soutenus par des simulations de chemin d'attaque peuvent présenter un score d'exposition aux attaques.
Lorsque vous priorisez les résultats de failles et d'erreurs de configuration, priorisez les résultats en fonction des scores d'exposition aux attaques avant de les prioriser en fonction de leur gravité.
Classifications du niveau de gravité
Security Command Center utilise les classifications de gravité suivantes, qui s'affichent dans la colonne Gravité lorsque les résultats sont affichés dans la console Google Cloud:
CriticalHighMediumLowUnspecified
Niveau de gravité : Critical
Une faille critique est facilement détectable et peut être exploitée pour exécuter directement du code arbitraire, exfiltrer des données et obtenir des accès et des droits supplémentaires dans les ressources et les workflows cloud. Il peut s'agir, par exemple, d'informations sur l'utilisateur accessibles publiquement et d'un accès SSH public avec des mots de passe peu sécurisés ou aucun mot de passe.
Une menace critique parvient à accéder aux données, à les modifier ou à les supprimer, ou encore à exécuter du code non autorisé dans vos ressources existantes.
Un résultat de classe SCC error critique implique l'un des éléments suivants:
- Une erreur de configuration empêche Security Command Center de générer de nouveaux résultats, quel que soit leur niveau de gravité.
- Une erreur de configuration vous empêche d'afficher tous les résultats d'un service.
- Une erreur de configuration empêche les simulations de chemin d'attaque de générer des scores d'exposition aux attaques et des chemins d'attaque.
Niveau de gravité : High
Une faille à haut risque est facile à détecter et pourrait être exploitée avec d'autres failles pour obtenir un accès direct afin d'exécuter du code arbitraire ou d'exfiltrer des données, et d'obtenir des droits d'accès et des privilèges supplémentaires pour les ressources et les charges de travail. Par exemple, une base de données qui présente des mots de passe peu sécurisés ou aucun mot de passe, et qui n'est accessible qu'en interne peut être compromise par un individu ayant accès au réseau interne.
Une menace à haut risque est capable de créer des ressources de calcul dans un environnement, mais ne peut pas accéder aux données ni exécuter du code dans les ressources existantes.
Un résultat de classe SCC error à haut risque indique qu'une erreur de configuration est à l'origine de l'un des problèmes suivants:
- Vous ne pouvez pas afficher ou exporter certains résultats d'un service.
- Pour les simulations de chemin d'attaque, les scores d'exposition aux attaques et les chemins d'attaque peuvent être incomplets ou inexacts.
Niveau de gravité : Medium
Une faille à risque moyen peut permettre à un acteur d'accéder à des ressources ou à des privilèges qui lui permettent à terme d'obtenir un accès et d'exfiltrer des données ou d'exécuter du code arbitraire. Par exemple, si un compte de service dispose d'un accès inutile aux projets et qu'un individu y accède, celui-ci pourrait utiliser ce compte de service pour manipuler un projet.
Une menace à risque moyen peut entraîner un problème plus grave, mais peut ne pas indiquer un accès aux données en cours ou une exécution de code non autorisée.
Niveau de gravité : Low
Une faille à faible risque entrave la capacité d'une équipe de sécurité à détecter les failles ou les menaces actives dans son déploiement, ou empêche l'investigation des causes fondamentales de problèmes de sécurité. Par exemple, un scénario dans lequel la surveillance et les journaux sont désactivés pour les configurations et l'accès aux ressources.
Une menace à faible risque a obtenu un accès minimal à un environnement, mais ne peut pas accéder aux données, exécuter du code ni créer des ressources.
Niveau de gravité : Unspecified
Une classification du niveau de gravité Unspecified indique que le service qui a généré le résultat n'a pas défini de valeur de niveau de gravité pour le résultat.
Si vous obtenez un résultat avec un niveau de gravité Unspecified, vous devez évaluer le niveau de gravité vous-même. Pour ce faire, examinez le résultat et examinez la documentation fournie par le produit ou le service qui a généré ce résultat.
Gravité variable
La gravité des résultats dans une catégorie de résultats peut varier en fonction des circonstances.
Gravité qui varie en fonction du score d'exposition au piratage
Si vous utilisez le niveau Entreprise de Security Command Center, les niveaux de gravité des résultats de failles et d'erreurs de configuration reflètent plus précisément le risque associé à chaque résultat, car la gravité d'un résultat peut changer pour refléter le score d'exposition aux attaques du résultat.
Avec le niveau Entreprise, les résultats concernant les failles et les erreurs de configuration sont générés avec un niveau de gravité par défaut ou de référence commun à tous les résultats d'une catégorie de résultats donnée. Après la publication d'un résultat, si les simulations de chemin d'attaque de Security Command Center déterminent qu'il expose une ou plusieurs ressources que vous avez désignées comme ressources à forte valeur ajoutée, les simulations attribuent un score d'exposition aux attaques au résultat et augmentent le niveau de gravité en conséquence. Si le résultat reste actif, mais que les simulations réduisent par la suite le score d'exposition aux attaques, le niveau de gravité du résultat peut également diminuer, mais pas moins que le niveau par défaut d'origine.
Si vous utilisez le niveau Premium ou Standard de Security Command Center, les niveaux de gravité de tous les résultats restent statiques.
Gravité qui varie en fonction du problème détecté
Pour quelques catégories de résultats, Security Command Center peut attribuer un niveau de gravité par défaut différent à un résultat en fonction des spécificités du problème de sécurité détecté.
Par exemple, la classification du niveau de gravité du résultat IAM anomalous grant généré par Event Threat Detection est généralement HIGH, mais si le résultat est généré pour l'attribution d'autorisations sensibles à un rôle IAM personnalisé, la gravité est MEDIUM.
Afficher le niveau de gravité des résultats dans la console Google Cloud
Vous pouvez afficher les résultats de Security Command Center par niveau de gravité dans la console Google Cloud:
- Sur la page Présentation, vous pouvez voir le nombre de résultats actifs dans vos ressources pour chaque niveau de gravité dans la section Failles par type de ressource.
- Sur la page Menaces, vous pouvez voir le nombre de résultats de menaces détectés pour chaque niveau de gravité.
- Sur la page Failles, vous pouvez filtrer les modules de détection des failles affichés par niveau de gravité pour n'afficher que les modules dont les résultats sont actifs pour ce niveau de gravité.
- Sur la page Résultats, vous pouvez ajouter des filtres pour des niveaux de gravité spécifiques à vos requêtes de résultats à partir du panneau Filtres rapides.