Nesta página, mostramos como criar, editar, excluir e visualizar configurações de valor de recurso.
Use as configurações de valor de recursos para criar seu conjunto de recursos de alto valor. O conjunto de recursos de alto valor determina quais das instâncias de recursos (chamadas de recursos) as simulações de caminho de ataque consideram recursos de alto valor.
É possível definir configurações de valor de recurso para os recursos no Google Cloud ou, se você tiver o nível Enterprise do Security Command Center, para recursos nos outros provedores de serviços em nuvem com que o Security Command Center está conectado.
Quando as simulações de caminho de ataque são executadas, elas identificam caminhos de ataque e
calculam pontuações de exposição a ataques para recursos designados como
de alto valor e para descobertas da classe Vulnerability
, Misconfiguration
e Toxic combination
.
As simulações de caminho de ataque podem ser realizadas até quatro vezes por dia (a cada seis horas). À medida que sua organização cresce, as simulações levam mais tempo, mas elas são executadas pelo menos uma vez por dia. As simulações não são acionadas pela criação, modificação ou exclusão de recursos ou configurações de valores de recursos.
Para uma introdução aos conjuntos de recursos de alto valor e às configurações de valor de recurso, consulte Conjuntos de recursos de alto valor.
Antes de começar
Para receber as permissões necessárias para visualizar e trabalhar com as configurações de valor de recurso, peça ao administrador para conceder a você os seguintes papéis do IAM na sua organização:
-
Editor de configuração de valor de recurso (
roles/securitycenter.resourceValueConfigEditor
) -
Leitor de configuração de valor de recurso (
roles/securitycenter.resourceValueConfigsViewer
) -
Editor de configurações da Central de segurança (
roles/securitycenter.settingsEditor
)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
Criar uma configuração de valor de recurso
Para criar configurações de valor de recurso, use a guia Simulação de caminho de ataque na página Configurações do Security Command Center no console do Google Cloud.
Para criar uma configuração de valor de recurso, clique na guia do seu provedor de serviços em nuvem e siga estas etapas:
Google Cloud
Acesse a página Simulação de caminho de ataque nas Configurações do Security Command Center:
Selecione a organização. A página Simulação de caminho de ataque é aberta.
Clique em Criar nova configuração. O painel Criar configuração de valor de recurso é aberto.
No campo Nome, especifique um nome para a configuração de valor de recurso.
Opcional: insira uma descrição sobre a configuração.
Em Provedor de nuvem, selecione Google Cloud.
No campo Selecionar escopo, clique em Selecionar e use o navegador do projeto para selecionar um projeto, uma pasta ou a organização. Essa configuração só se aplica a instâncias de recursos no escopo especificado.
No campo Selecionar tipo de recurso, clique no campo para exibir o menu suspenso e selecione um tipo de recurso ou Qualquer. A configuração se aplica a instâncias do tipo de recurso especificado ou, se você selecionar Qualquer, a instâncias de todos os tipos de recurso compatíveis. O padrão é Qualquer.
Opcional: na seção Rótulo, clique em Adicionar rótulo para especificar um ou mais rótulos. Quando um rótulo é especificado, a configuração só se aplica aos recursos que contêm o rótulo nos respectivos metadados.
Se você aplicar um novo rótulo a qualquer recurso, poderá levar várias horas até que ele esteja disponível para correspondência por uma configuração.
Opcional: na seção Tag, clique em Adicionar tag para especificar uma ou mais tags. Quando uma tag é especificada, a configuração só se aplica aos recursos que contêm a tag nos respectivos metadados.
Se você definir uma nova tag para qualquer recurso, poderá levar várias horas até que a tag esteja disponível para correspondência por uma configuração.
Defina o valor de prioridade para os recursos correspondentes especificando uma das seguintes opções:
Opcional: se você usa o serviço de descoberta da Proteção de dados sensíveis, ative o Security Command Center para definir automaticamente o valor de prioridade dos recursos de dados com suporte com base nas classificações de confidencialidade de dados da Proteção de dados sensíveis:
- Clique no controle deslizante ao lado de Incluir insights de descobertas da Proteção de Dados Sensíveis.
- No primeiro campo Atribuir valor de recurso, selecione o valor de prioridade a ser atribuído aos recursos correspondentes que contêm dados de alta sensibilidade.
- No segundo campo Atribuir valor de recurso, selecione o valor de prioridade a ser atribuído aos recursos correspondentes que contêm dados de sensibilidade média.
No campo Selecionar valor de recurso, selecione um valor para atribuir às instâncias de recursos. Esse valor é relativo às outras instâncias de recursos no seu conjunto de recursos de alto valor. O valor é usado durante o cálculo das pontuações de exposição a ataques.
Clique em Salvar.
AWS
Antes que o Security Command Center possa retornar pontuações de exposição a ataques e caminhos de ataque para os recursos especificados em uma configuração de valor de recurso, ele precisa estar conectado à AWS. Para mais informações, consulte Suporte a vários serviços em nuvem.
Acesse a página Simulação de caminho de ataque nas Configurações do Security Command Center:
Selecione a organização. A página Simulação de caminho de ataque é aberta.
Clique em Criar nova configuração. O painel Criar configuração de valor de recurso é aberto.
No campo Nome, especifique um nome para a configuração de valor de recurso.
Opcional: insira uma descrição sobre a configuração.
Em Provedor de nuvem, selecione Amazon Web Services.
Opcional: no campo ID da conta, insira um ID da conta da AWS de 12 dígitos. Se não for especificado, a configuração do valor do recurso será aplicada a todas as contas da AWS especificadas na configuração de conexão da AWS.
Opcional: no campo Região, insira uma região da AWS. Por exemplo,
us-east-1
. Se não for especificado, a configuração do valor do recurso será aplicada a todas as regiões da AWS.No campo Selecionar tipo de recurso, clique no campo para exibir o menu suspenso e selecione um tipo de recurso ou Qualquer. A configuração se aplica a instâncias do tipo de recurso especificado ou, se você selecionar Qualquer, a instâncias de todos os tipos de recurso da AWS com suporte. O padrão é Qualquer.
Opcional: na seção Tag, clique em Adicionar tag para especificar uma ou mais tags. Quando uma tag é especificada, a configuração só se aplica aos recursos que contêm a tag nos respectivos metadados.
Se você definir uma nova tag para qualquer recurso, poderá levar várias horas até que a tag esteja disponível para correspondência por uma configuração.
Defina o valor de prioridade para os recursos correspondentes especificando uma das seguintes opções:
Opcional: se você usa o serviço de descoberta de proteção de dados sensíveis, ative o Security Command Center para definir automaticamente o valor de prioridade dos recursos de dados da AWS com suporte com base nas classificações de sensibilidade de dados da proteção de dados sensíveis:
- Clique no controle deslizante ao lado de Incluir insights de descobertas da Proteção de Dados Sensíveis.
- No primeiro campo Atribuir valor de recurso, selecione o valor de prioridade a ser atribuído aos recursos correspondentes que contêm dados de alta sensibilidade.
- No segundo campo Atribuir valor de recurso, selecione o valor de prioridade a ser atribuído aos recursos correspondentes que contêm dados de sensibilidade média.
No campo Selecionar valor de recurso, selecione um valor para atribuir às instâncias de recursos. Esse valor é relativo às outras instâncias de recursos no seu conjunto de recursos de alto valor. O valor é usado durante o cálculo das pontuações de exposição a ataques.
Clique em Salvar.
A nova configuração será refletida nas pontuações de exposição a ataques e nos caminhos de ataque somente após a execução da próxima simulação de caminho de ataque.
Ao acessar o conjunto de recursos de alto valor, você pode conferir as configurações de valor de recurso que correspondem aos recursos no conjunto. Para mais informações, consulte Conferir as configurações que correspondem a um recurso de alto valor.
Editar uma configuração
Exceto pelo nome, é possível atualizar qualquer especificação em uma configuração de valor de recurso.
Estas etapas pressupõem que você sabe o nome da configuração de valor de recurso que quer editar. Se você souber apenas o nome do recurso relevante, consulte Conferir as configurações que correspondem a um recurso de alto valor.
Para atualizar uma configuração de valor de recurso que já existe, siga estas etapas:
Acesse a página Simulação de caminho de ataque nas Configurações do Security Command Center:
Selecione a organização. A página Simulação de caminho de ataque é aberta com as configurações que já existem.
Na coluna Nome da configuração, clique no nome da configuração que você precisa atualizar. A página Editar configuração de valor de recurso é aberta.
Atualize as especificações na configuração conforme necessário.
Opcional: clique em Mostrar prévia de recursos correspondentes para ver quantos recursos coincidem com as correspondências de configuração atualizada e uma lista das instâncias de recursos correspondentes individuais.
Clique em Save.
As alterações serão refletidas nas pontuações de exposição a ataques e nos caminhos de ataque somente após a execução da próxima simulação de caminho de ataque.
Excluir uma configuração
Para excluir uma configuração de valor de recurso, siga estas etapas:
Acesse a página Simulação de caminho de ataque nas Configurações do Security Command Center:
Selecione a organização. A página Simulação de caminho de ataque é aberta.
Em Configurações de valor de recurso, no lado direito da linha da configuração que você precisa excluir, clique nos pontos verticais para exibir o menu de ações. Caso você não veja os pontos verticais, role a página para a direita.
No menu de ações exibido, clique em Excluir.
Na caixa de diálogo de confirmação, clique em Confirmar.
A configuração é excluída.
Ver uma configuração
É possível ver todas as configurações de valor de recurso que já existem na página Simulação de caminho de ataque nas Configurações do Security Command Center.
Para ver uma configuração de valor de recurso específica, acesse a página Simulação de caminho de ataque.
Selecione sua organização. A página Simulação de caminho de ataque é aberta.
Em Configurações de valor de recurso, na página Simulação de caminho de ataque, role a lista de configurações de valor de recurso até encontrar a configuração necessária.
Para ver as respectivas properties, clique no nome da configuração. As propriedades são exibidas na página Editar configuração de valor de recurso.
Conferir as configurações que correspondem a um recurso de alto valor
É possível conferir todas as configurações que correspondem aos recursos no conjunto de recursos de alto valor. Esse recurso é útil se você quiser analisar as regras que determinaram os valores de recursos do conjunto de recursos de alto valor.
Para conferir as configurações que correspondem a um recurso de alto valor, siga estas etapas:
- Acesse o conjunto de recursos de alto valor.
- Encontre o recurso com as configurações que você quer consultar. As configurações correspondentes
para esse recurso são listadas na coluna Configurações
correspondentes. As configurações são listadas em ordem decrescente
com base no valor do recurso atribuído a elas:
High
,Medium
ouLow
. Para conferir as propriedades de uma configuração, clique no nome dela. As propriedades são mostradas na página Editar configuração de valor de recurso.
Uma configuração excluída recentemente permanece visível, mas não pode ser clicada, até que a próxima simulação de caminho de ataque seja executada.
Opcional: edite a configuração e clique em Salvar.
Solução de problemas
Se você receber erros depois de criar, editar ou excluir configurações de valor de recurso, verifique se há descobertas da classe SCC Error
no console do Google Cloud seguindo estas etapas:
Acesse a página Descobertas no console do Google Cloud:
No painel Filtros rápidos, role a página até a seção Classe da descoberta e selecione Erro do SCC.
No painel Resultados da consulta de descobertas, verifique as seguintes descobertas de
SCC Error
e clique no nome da categoria:APS no resource value configs match any resources
APS resource value assignment limit exceeded
O painel de detalhes da descoberta será aberto.
No painel de detalhes da descoberta, revise as informações na seção Próximas etapas.
Para revisar as instruções de correção das descobertas de SCC Error
da simulação de caminho de ataque na documentação, consulte:
- Nenhuma correspondência de configuração de valor de recurso APS com qualquer recurso
- Limite de atribuição de valor de recurso APS excedido
A seguir
Para informações sobre como trabalhar com as descobertas do Security Command Center, consulte Analisar e gerenciar descobertas.