Nesta página, mostramos como criar, editar, excluir e visualizar configurações de valor de recurso.
Use as configurações de valor de recursos para criar seu conjunto de recursos de alto valor. Seu conjunto de recursos de alto valor determina quais instâncias de recurso (chamadas de recursos) a que as simulações de caminho de ataque consideram recursos de alto valor.
É possível definir configurações de valor de recursos para os recursos Google Cloud ou, se você tiver o nível Enterprise do Security Command Center, para recursos em outros provedores de serviços de nuvem ao qual o Security Command Center está conectado.
Quando as simulações de caminho de ataque são executadas, elas identificam caminhos de ataque e
calculam pontuações de exposição a ataques para recursos designados como
de alto valor e para descobertas da classe Vulnerability
, Misconfiguration
e Toxic combination
.
As simulações de caminho de ataque podem ser realizadas até quatro vezes por dia (a cada seis horas). À medida que sua organização cresce, as simulações levam mais tempo, mas elas são executadas pelo menos uma vez por dia. As simulações não são acionadas pela criação, modificação ou exclusão de recursos ou configurações de valores de recursos.
Para uma introdução a conjuntos de recursos de alto valor e valor de recursos do Terraform, consulte Conjuntos de recursos de alto valor.
Antes de começar
Para ter as permissões necessárias para visualizar e trabalhar com configurações de valores de recursos, peça ao administrador para conceder a você os seguintes papéis do IAM na sua organização:
-
Editor de configuração de valor de recurso (
roles/securitycenter.resourceValueConfigEditor
) -
Leitor de configuração de valor de recurso (
roles/securitycenter.resourceValueConfigsViewer
) -
Editor de configurações da Central de segurança (
roles/securitycenter.settingsEditor
)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
Criar uma configuração de valor de recurso
Para criar configurações de valor de recurso, use a guia Simulação de caminho de ataque na página Configurações do Security Command Center no console do Google Cloud.
Para criar uma configuração de valor de recurso, clique na guia do seu provedor de serviços em nuvem e siga estas etapas:
Google Cloud
Acesse a página Simulação de caminho de ataque nas Configurações do Security Command Center:
Selecione a organização. A página Simulação de caminho de ataque é aberta.
Clique em Criar nova configuração. O painel Criar configuração de valor de recurso é aberto.
No campo Nome, especifique um nome para a configuração de valor de recurso.
Opcional: insira uma descrição sobre a configuração.
Em Provedor de nuvem, selecione Google Cloud.
No campo Selecionar escopo, clique em Selecionar e use o navegador do projeto para selecionar um projeto, uma pasta ou a organização. Essa configuração só se aplica a instâncias de recursos no escopo especificado.
No campo Selecionar tipo de recurso, clique no campo para exibir o menu suspenso e selecione um tipo de recurso ou Qualquer. A configuração se aplica a instâncias do tipo de recurso especificado ou, se você selecionar Qualquer, a instâncias de todos os tipos de recurso compatíveis. O padrão é Qualquer.
Opcional: na seção Rótulo, clique em Adicionar rótulo para especificar um ou mais rótulos. Quando um rótulo é especificado, a configuração só se aplica aos recursos que contêm o rótulo nos respectivos metadados.
Se você aplicar um novo rótulo a qualquer recurso, poderá levar várias horas até que ele esteja disponível para correspondência por uma configuração.
Opcional: na seção Tag, clique em Adicionar tag para especificar uma ou mais tags. Quando uma tag é especificada, a configuração só se aplica aos recursos que contêm a tag nos respectivos metadados.
Se você definir uma nova tag para qualquer recurso, poderá levar várias horas até que a tag esteja disponível para correspondência por uma configuração.
Defina o valor de prioridade para os recursos correspondentes especificando uma das seguintes opções:
Opcional: se você usar o Serviço de descoberta da proteção de dados sensíveis, permitem que o Security Command Center defina automaticamente o valor de prioridade de recursos de dados com suporte com base nas classificações de sensibilidade de dados Proteção de Dados Sensíveis:
- Clique no controle deslizante ao lado de Incluir insights de descobertas da Proteção de Dados Sensíveis.
- No primeiro campo Atribuir valor de recurso, selecione o valor de prioridade a ser atribuído aos recursos correspondentes que contêm dados de alta sensibilidade.
- No segundo campo Atribuir valor de recurso, selecione o valor de prioridade a ser atribuído aos recursos correspondentes que contêm dados de sensibilidade média.
No campo Selecionar valor de recurso, selecione um valor para atribuir às instâncias de recursos. Esse valor é relativo às outras instâncias de recursos no seu conjunto de recursos de alto valor. O valor é usado durante o cálculo das pontuações de exposição a ataques.
Clique em Salvar.
AWS
Antes que o Security Command Center retorne pontuações de exposição e ataques caminhos para os recursos especificados em uma configuração de valor de recurso; O Security Command Center precisa estar conectado à AWS. Para mais informações, consulte Suporte a várias nuvens.
Acesse a página Simulação de caminho de ataque nas Configurações do Security Command Center:
Selecione a organização. A página Simulação de caminho de ataque é aberta.
Clique em Criar nova configuração. O painel Criar configuração de valor de recurso é aberto.
No campo Nome, especifique um nome para a configuração de valor de recurso.
Opcional: insira uma descrição sobre a configuração.
Em Provedor de nuvem, selecione Amazon Web Services.
Opcional: no campo ID da conta, insira um ID da conta da AWS de 12 dígitos. Se não for especificado, a configuração do valor do recurso será aplicada a todas as contas da AWS especificadas na configuração de conexão da AWS.
Opcional: no campo Região, insira uma região da AWS. Por exemplo,
us-east-1
. Se não for especificado, a configuração do valor do recurso será aplicada a todas as regiões da AWS.No campo Selecionar tipo de recurso, clique no campo para exibir o menu suspenso e selecione um tipo de recurso ou Qualquer. A configuração se aplica a instâncias do tipo de recurso especificado ou, se você selecionar Qualquer, a instâncias de todos os tipos de recursos da AWS com suporte. O padrão é Qualquer.
Opcional: na seção Tag, clique em Adicionar tag para especificar uma ou mais tags. Quando uma tag é especificada, a configuração só se aplica aos recursos que contêm a tag nos respectivos metadados.
Se você definir uma nova tag para qualquer recurso, poderá levar várias horas até que a tag esteja disponível para correspondência por uma configuração.
Defina o valor de prioridade para os recursos correspondentes especificando uma das seguintes opções:
Opcional: se você usar o Serviço de descoberta da proteção de dados sensíveis, permitem que o Security Command Center defina automaticamente o valor de prioridade de recursos de dados da AWS com suporte com base nas classificações de sensibilidade de dados Proteção de Dados Sensíveis:
- Clique no controle deslizante ao lado de Incluir insights de descobertas da Proteção de Dados Sensíveis.
- No primeiro campo Atribuir valor de recurso, selecione o valor de prioridade a ser atribuído aos recursos correspondentes que contêm dados de alta sensibilidade.
- No segundo campo Atribuir valor de recurso, selecione o valor de prioridade a ser atribuído aos recursos correspondentes que contêm dados de sensibilidade média.
No campo Selecionar valor de recurso, selecione um valor para atribuir às instâncias de recursos. Esse valor é relativo às outras instâncias de recursos no seu conjunto de recursos de alto valor. O valor é usado durante o cálculo das pontuações de exposição a ataques.
Clique em Salvar.
A nova configuração será refletida nas pontuações de exposição a ataques e nos caminhos de ataque somente após a execução da próxima simulação de caminho de ataque.
Editar uma configuração
Exceto pelo nome, é possível atualizar qualquer especificação em uma configuração de valor de recurso.
Para atualizar uma configuração de valor de recurso que já existe, siga estas etapas:
Acesse a página Simulação de caminho de ataque nas Configurações do Security Command Center:
Selecione a organização. A página Simulação de caminho de ataque é aberta com as configurações que já existem.
Na coluna Nome da configuração, clique no nome da configuração que você precisa atualizar. A página Editar configuração de valor de recurso é aberta.
Atualize as especificações na configuração conforme necessário.
Opcional: clique em Mostrar prévia de recursos correspondentes para ver quantos recursos coincidem com as correspondências de configuração atualizada e uma lista das instâncias de recursos correspondentes individuais.
Clique em Save.
As alterações serão refletidas nas pontuações de exposição a ataques e nos caminhos de ataque somente após a execução da próxima simulação de caminho de ataque.
Excluir uma configuração
Para excluir uma configuração de valor de recurso, siga estas etapas:
Acesse a página Simulação de caminho de ataque nas Configurações do Security Command Center:
Selecione a organização. A página Simulação de caminho de ataque é aberta.
Em Configurações de valor de recurso, no lado direito da linha da configuração que você precisa excluir, clique nos pontos verticais para exibir o menu de ações. Caso você não veja os pontos verticais, role a página para a direita.
No menu de ações exibido, clique em Excluir.
Na caixa de diálogo de confirmação, clique em Confirmar.
A configuração é excluída.
Ver uma configuração
É possível ver todas as configurações de valor de recurso que já existem na página Simulação de caminho de ataque nas Configurações do Security Command Center.
Para ver uma configuração de valor de recurso específica, acesse a página Simulação de caminho de ataque.
Selecione sua organização. A página Simulação de caminho de ataque é aberta.
Em Configurações de valor de recurso, na página Simulação de caminho de ataque, role a lista de configurações de valor de recurso até encontrar a configuração necessária.
Para ver as respectivas properties, clique no nome da configuração. As properties são exibidas na página Editar configuração de valor de recurso.
Solução de problemas
Se você receber erros depois de criar, editar ou excluir configurações de valor de recurso, verifique se há descobertas da classe SCC Error
no console do Google Cloud seguindo estas etapas:
Acesse a página Descobertas no console do Google Cloud:
No painel Filtros rápidos, role a página até a seção Classe da descoberta e selecione Erro do SCC.
No painel Resultados da consulta de descobertas, verifique as seguintes descobertas de
SCC Error
e clique no nome da categoria:APS no resource value configs match any resources
APS resource value assignment limit exceeded
O painel de detalhes da descoberta será aberto.
No painel de detalhes da descoberta, revise as informações na seção Próximas etapas.
Para revisar as instruções de correção das descobertas de SCC Error
da simulação de caminho de ataque na documentação, consulte:
- Nenhuma correspondência de configuração de valor de recurso APS com qualquer recurso
- Limite de atribuição de valor de recurso APS excedido
A seguir
Para informações sobre como trabalhar com as descobertas do Security Command Center, consulte Analisar e gerenciar as descobertas.