危险组合和瓶颈概览

使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

有害组合是指一组安全问题，如果这些问题以特定模式同时出现，就会形成通往您的一个或多个高价值资源的路径，而有决心的攻击者可能会利用这些路径来破坏这些资源。

Security Command Center Enterprise 的风险引擎会在运行攻击路径模拟期间检测有害组合。对于风险信号引擎检测到的每个有毒组合，它都会生成一条发现结果。每个危险组合都包含一个唯一的攻击风险得分（称为危险组合得分），用于衡量危险组合对云环境中高价值资源集的风险。风险引擎还会生成一个可视化图表，显示有害组合对高价值资源集中的资源造成的攻击路径。

瓶颈（预览版）与恶意组合类似，但侧重于多个攻击路径汇聚的常用资源或资源组。因此，解决瓶颈问题可以同时解决多种有害组合。

您可以找到 Google Cloud、Microsoft Azure 和 Amazon Web Services (AWS) 的毒性组合。可以找到 Google Cloud的瓶颈。

查看危险组合和关卡

风险最高的恶意组合和关卡会在安全运营控制台的风险 > 概览页面上显示为问题（预览）。

您可以在风险 > 问题页面上详细查看所有恶意组合和关卡。您还可以在支持请求页面上查看危险组合。

如需在Google Cloud 控制台中查看与恶意组合和关卡相关的发现结果，请前往发现结果页面，然后按恶意组合或关卡发现结果类别进行过滤。

恶意组合和关卡的攻击风险得分

风险引擎会为每个有毒组合和瓶颈计算攻击风险得分。此得分衡量的是恶意组合或关卡将高价值资源集中的一个或多个资源暴露在潜在攻击下的程度。得分越高，风险越高。

恶意组合和关卡的攻击风险得分是根据以下因素得出的：

• 高价值资源集中存在攻击风险的资源数量，以及这些资源的优先级值和攻击风险得分。
• 有决心的攻击者利用恶意组合或瓶颈成功访问高价值资源的可能性。

根据攻击风险得分，系统可能会为危险组合分配以下严重性级别之一：

• 严重：攻击风险得分至少为 10 的危险组合。
• 高：攻击风险得分低于 10 的危险组合。

瓶颈点的攻击暴露得分始终大于等于 10，因此严重程度评分始终为严重。

如需了解详情，请参阅攻击风险得分。

恶意组合和关卡的攻击路径可视化

风险引擎会以直观的方式描绘导致高价值资源集的恶意组合和关卡攻击路径。攻击路径是指潜在攻击者可以用于获取您的资源的一系列攻击步骤，其中包括相关的安全问题和资源。

攻击路径有助于您了解恶意组合或关卡中各个安全问题之间的关系，以及这些问题如何形成通往高价值资源集中资源的路径。路径可视化图还会显示有多少重要资源处于公开状态，以及这些资源对您的云环境的相对重要性。

在 Security Operations 控制台中，攻击路径上的资源会按如下方式进行颜色编码：

• 存在会导致有害组合的安全问题的资源会带有黄色边框。
• 被标识为瓶颈的资源会带有红色边框。

您可以在安全运营控制台中的多个位置查看攻击路径。攻击路径的简化版本如下所示：

• 风险> 概览页面，适用于风险最高的问题微件中的项目。
• 选择某个问题后，风险> 问题页面。您可以在问题的概览标签页中访问简化的攻击路径。
• 选择某个支持请求后的支持请求页面。您可以在 Case overview（支持请求概览）标签页中访问简化的攻击路径。

如需查看攻击路径的完整版本，请先查看简化版本，然后点击探索完整攻击路径。

以下屏幕截图展示了恶意组合的简化攻击路径示例：

以下屏幕截图是瓶颈的简化攻击路径示例：

在 Google Cloud 控制台中，系统始终会显示完整的攻击路径。

如需了解详情，请参阅攻击路径。

相关发现结果

构成有害组合和瓶颈的许多个别风险也由其他 Security Command Center 检测服务检测到。这些其他检测服务会针对这些风险生成单独的发现结果，并将其作为相关发现结果列在问题（预览版）和支持请求中。攻击路径中也会标识出相关发现。

对于有害组合，系统会为相关发现单独打开支持请求，运行不同的手册，并且您团队的其他成员可能会独立于有害组合发现的修复工作来处理其修复工作。检查这些相关发现的支持请求的状态，并在必要时要求支持请求的所有者优先解决这些问题，以帮助解决有害组合。

支持请求

Security Command Center Enterprise 会针对生成的每项有毒组合发现结果在 Security Operations 控制台中打开一个支持请求。瓶颈不会生成用例。

在案例视图中，您可以找到与有毒组合相关的以下信息：

• 危险组合的说明
• 恶意组合的攻击风险得分
• 恶意组合创建的攻击路径的可视化图表
• 受影响资源的相关信息
• 有关您可以采取哪些措施来解决有害组合问题的信息
• 其他 Security Command Center 检测服务的任何相关发现结果的相关信息，包括指向其关联支持请求的链接
• 适用的 Playbook
• 关联的工单

在安全运营控制台的案例页面上，您可以使用有害组合标记查询或过滤有害组合案例。您还可以通过以下图标在支持请求列表中直观地识别危险组合支持请求：。

如需详细了解如何查看危险组合支持请求，请参阅查看危险组合支持请求。

支持请求优先级

默认情况下，危险组合案例的优先级设置为与相关案例中危险组合发现结果及其关联提醒的严重程度相同的值。这意味着，所有危险组合案例的优先级最初均为 Critical 或 High。

支持请求打开后，您可以更改支持请求或提醒的优先级。更改支持请求或提醒的优先级不会更改相应发现的严重程度。

关闭支持请求

首次针对有毒组合生成发现结果时，其状态为 Active。

如果您对恶意组合进行了修复，风险引擎会在下一次攻击路径模拟期间自动检测修复操作，并关闭相应支持请求。模拟大约每 6 小时运行一次。

或者，如果您确定恶意组合所带来的风险可接受或不可避免，则可以通过忽略相应发现结果来关闭支持请求。

您忽略某项发现结果后，该发现结果仍会保持有效状态，但 Security Command Center 会关闭相应支持请求，并从默认查询和视图中省略该发现结果。

如需了解详情，请参阅以下信息：

• 如何关闭危险组合支持请求
• 支持请求概览
• 在 Security Command Center 中忽略发现结果