Cette page explique comment créer, modifier, supprimer et afficher des configurations de valeurs de ressources.
Utilisez des configurations de valeurs de ressources pour créer votre ensemble de ressources à forte valeur. Votre ensemble de ressources à forte valeur détermine les instances de ressources (appelées ressources) que les simulations de chemin d'attaque considèrent comme des ressources à forte valeur.
Vous pouvez définir des configurations de valeurs de ressources pour les ressources sur Google Cloud ou, si vous disposez du niveau Entreprise de Security Command Center, pour les ressources d'autres fournisseurs de services cloud auxquels Security Command Center est connecté.
Lorsque des simulations de chemin d'attaque sont exécutées, elles identifient les chemins d'attaque et calculent les scores d'exposition aux attaques pour les ressources à forte valeur ajoutée, ainsi que pour les résultats des classes Vulnerability et Misconfiguration.
Les simulations de chemin d’attaque peuvent être exécutées jusqu’à quatre fois par jour (toutes les six heures). À mesure que votre organisation se développe, les simulations prennent plus de temps, mais elles s'exécutent toujours au moins une fois par jour. Les exécutions de simulation ne sont pas déclenchées par la création, la modification ou la suppression de ressources ou de configurations de valeurs de ressources.
Pour obtenir une présentation des ensembles de ressources à forte valeur et des configurations de valeurs de ressources, consultez la page Ensembles de ressources à forte valeur.
Avant de commencer
Pour obtenir les autorisations dont vous avez besoin pour afficher et utiliser les configurations de valeurs de ressources, demandez à votre administrateur de vous attribuer les rôles IAM suivants pour votre organisation:
-
Éditeur de configuration des valeurs de ressource (
roles/securitycenter.resourceValueConfigEditor) -
Lecteur de configuration des valeurs de ressource (
roles/securitycenter.resourceValueConfigsViewer) -
Éditeur des paramètres du centre de sécurité (
roles/securitycenter.settingsEditor)
Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.
Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.
Créer une configuration des valeurs de ressource
Pour créer des configurations de valeurs de ressources, utilisez l'onglet Simulation du chemin d'attaque sur la page Paramètres de Security Command Center dans la console Google Cloud.
Pour créer une configuration de valeur de ressource, cliquez sur l'onglet correspondant à votre fournisseur de services cloud, puis procédez comme suit:
Accès IAP
Accédez à la page Simulation du chemin d'attaque dans les paramètres de Security Command Center:
Sélectionnez votre organisation. La page Simulation du chemin d'attaque s'ouvre.
Cliquez sur Créer une configuration. Le panneau Créer une configuration de valeur de ressource s'ouvre.
Dans le champ Nom, indiquez un nom pour cette configuration de valeur de ressource.
Facultatif: saisissez une description de la configuration.
Sous Fournisseur cloud, sélectionnez Google Cloud.
Dans le champ Sélectionner un champ d'application, cliquez sur Sélectionner et utilisez le navigateur de projet pour sélectionner un projet, un dossier ou une organisation. Cette configuration ne s'applique qu'aux instances de ressources correspondant au champ d'application spécifié.
Cliquez sur le champ Sélectionner un type de ressource pour afficher le menu déroulant, puis sélectionnez un type de ressource ou N'importe lequel. La configuration s'applique aux instances du type de ressource spécifié ou, si vous sélectionnez Toutes, aux instances de tous les types de ressources compatibles. Any est la valeur par défaut.
Facultatif: dans la section Libellé, cliquez sur Ajouter une étiquette pour spécifier un ou plusieurs libellés. Lorsqu'un libellé est spécifié, la configuration ne s'applique qu'aux ressources qui incluent le libellé dans leurs métadonnées.
Si vous appliquez un nouveau libellé à des ressources, plusieurs heures peuvent s'écouler avant qu'il ne soit disponible pour être mis en correspondance par une configuration.
Facultatif: dans la section Tag, cliquez sur Ajouter une balise pour spécifier une ou plusieurs balises. Lorsqu'une balise est spécifiée, la configuration ne s'applique qu'aux ressources qui incluent la balise dans leurs métadonnées.
Si vous définissez un nouveau tag pour une ressource, plusieurs heures peuvent s'écouler avant qu'il ne soit disponible pour la mise en correspondance avec une configuration.
Définissez la valeur de priorité des ressources correspondantes en spécifiant l'une des options suivantes:
Facultatif: Si vous utilisez le service de détection de la protection des données sensibles, vous pouvez autoriser Security Command Center à définir automatiquement la valeur de priorité des ressources de données compatibles en fonction des classifications de sensibilité des données issues de la protection des données sensibles en procédant comme suit:
- Cliquez sur le curseur à côté de l'option Inclure les insights de découverte de la protection des données sensibles.
- Dans le premier champ Attribuer une valeur de ressource, sélectionnez la valeur de priorité à attribuer aux ressources correspondantes qui contiennent des données de haute sensibilité.
- Dans le deuxième champ Attribuer une valeur de ressource, sélectionnez la valeur de priorité à attribuer aux ressources correspondantes qui contiennent des données de sensibilité moyenne.
Dans le champ Sélectionner la valeur de la ressource, sélectionnez une valeur à attribuer aux instances de ressources. Cette valeur est relative aux autres instances de ressources de votre ensemble de ressources à forte valeur. Cette valeur est utilisée lors du calcul des scores d'exposition aux attaques.
Cliquez sur Enregistrer.
AWS
Avant que Security Command Center puisse renvoyer des scores d'exposition aux attaques et des chemins d'attaque pour les ressources que vous spécifiez dans une configuration de valeur de ressource, Security Command Center doit être connecté à AWS. Pour en savoir plus, consultez la section Compatibilité avec le multicloud.
Accédez à la page Simulation du chemin d'attaque dans les paramètres de Security Command Center:
Sélectionnez votre organisation. La page Simulation du chemin d'attaque s'ouvre.
Cliquez sur Créer une configuration. Le panneau Créer une configuration de valeur de ressource s'ouvre.
Dans le champ Nom, indiquez un nom pour cette configuration de valeur de ressource.
Facultatif: saisissez une description de la configuration.
Sous Fournisseur cloud, sélectionnez AWS.
Facultatif: dans le champ Account ID (ID de compte), saisissez un ID de compte AWS à 12 chiffres. Si elle n'est pas spécifiée, la configuration de la valeur de ressource s'applique à tous les comptes AWS spécifiés dans la configuration de la connexion AWS.
Facultatif: Dans le champ Région, indiquez une région AWS. Exemple :
us-east-1. Si elle n'est pas spécifiée, la configuration de la valeur de ressource s'applique à toutes les régions AWS.Cliquez sur le champ Sélectionner un type de ressource pour afficher le menu déroulant, puis sélectionnez un type de ressource ou N'importe lequel. La configuration s'applique aux instances du type de ressource spécifié ou, si vous sélectionnez Toutes, aux instances de tous les types de ressources compatibles. Any est la valeur par défaut.
Facultatif: dans la section Tag, cliquez sur Ajouter une balise pour spécifier une ou plusieurs balises. Lorsqu'une balise est spécifiée, la configuration ne s'applique qu'aux ressources qui incluent la balise dans leurs métadonnées.
Si vous définissez un nouveau tag pour une ressource, plusieurs heures peuvent s'écouler avant qu'il ne soit disponible pour la mise en correspondance avec une configuration.
Dans le champ Sélectionner la valeur de la ressource, sélectionnez une valeur de priorité à attribuer aux instances de ressource. Cette valeur est relative aux autres instances de ressources de votre ensemble de ressources à forte valeur. Cette valeur est utilisée pour calculer les scores d'exposition aux attaques.
Cliquez sur Enregistrer.
La nouvelle configuration n'est reflétée dans les scores d'exposition aux attaques et les chemins d'attaque qu'après l'exécution de la prochaine simulation de chemin d'attaque.
Modifier une configuration
À l'exception du nom, vous pouvez mettre à jour n'importe quelle spécification dans une configuration de valeur de ressource.
Pour mettre à jour une configuration de valeur de ressource existante, procédez comme suit:
Accédez à la page Simulation du chemin d'attaque dans les paramètres de Security Command Center:
Sélectionnez votre organisation. La page Simulation du chemin d'attaque s'ouvre avec les configurations existantes affichées.
Dans la colonne Nom de la configuration, cliquez sur le nom de la configuration à mettre à jour. La page Modifier la configuration des valeurs de ressource s'ouvre.
Mettez à jour les spécifications dans la configuration si nécessaire.
(Facultatif) Cliquez sur Prévisualiser les ressources correspondantes pour afficher le nombre de ressources qui correspondent aux correspondances de la configuration mise à jour et afficher la liste des instances de ressources correspondantes.
Cliquez sur Enregistrer.
Les modifications ne sont reflétées dans les scores d'exposition aux attaques et les chemins d'attaque qu'après l'exécution de la prochaine simulation de chemin d'attaque.
Supprimer une configuration
Pour supprimer une configuration de valeurs de ressource, procédez comme suit:
Accédez à la page Simulation du chemin d'attaque dans les paramètres de Security Command Center:
Sélectionnez votre organisation. La page Simulation du chemin d'attaque s'ouvre.
Sous Configurations de valeurs de ressources, à droite de la ligne correspondant à la configuration à supprimer, affichez le menu d'actions en cliquant sur les points verticaux. Si vous ne voyez pas de points verticaux, faites défiler l'écran vers la droite.
Dans le menu d'actions affiché, sélectionnez Supprimer.
Dans la boîte de dialogue de confirmation, sélectionnez Confirmer.
La configuration est supprimée.
Afficher une configuration
Vous pouvez afficher toutes les configurations de valeurs de ressources existantes sur la page Simulation du chemin d'attaque dans les paramètres de Security Command Center.
Pour afficher la configuration d'une valeur de ressource spécifique, accédez à la page Simulation du chemin d'attaque.
Sélectionnez votre organisation. La page Simulation du chemin d'attaque s'ouvre.
Dans la section Configurations des valeurs de ressource de la page Simulation du chemin d'attaque, faites défiler la liste des configurations de valeurs de ressources jusqu'à ce que vous trouviez la configuration dont vous avez besoin.
Pour afficher les propriétés de la configuration, cliquez sur son nom. Les propriétés sont affichées sur la page Modifier la configuration des valeurs de ressource.
Dépannage
Si vous recevez des erreurs après avoir créé, modifié ou supprimé des configurations de valeurs de ressource, recherchez les résultats de la classe SCC Error dans la console Google Cloud en procédant comme suit:
Accédez à la page Résultats de la console Google Cloud:
Dans le panneau QuickFilters (Filtres rapides), faites défiler la page jusqu'à la section Finding class (Classe de recherche), puis sélectionnez SCC Error (Erreur SCC).
Dans le panneau Findings query results (Résultats de la requête de résultats), analysez les résultats
SCC Errorsuivants, puis cliquez sur le nom de la catégorie:APS no resource value configs match any resourcesAPS resource value assignment limit exceeded
Le panneau des détails du résultat s'ouvre.
Dans le panneau des détails du résultat, examinez les informations de la section Étapes suivantes.
Pour consulter les instructions de résolution pour les résultats de la simulation de chemin d'attaque SCC Error dans la documentation, consultez les pages suivantes:
- Les configurations de valeur de ressource APS ne correspondent à aucune ressource
- La limite d'attribution de valeurs de ressources APS a été dépassée
Étapes suivantes
Pour en savoir plus sur l'utilisation des résultats de Security Command Center, consultez la page Utiliser les résultats dans la console Google Cloud.