Satz hochwertiger Ressourcen definieren und verwalten

Auf dieser Seite wird beschrieben, wie Sie Konfigurationen für Ressourcenwerte erstellen, bearbeiten, löschen und aufrufen.

Verwenden Sie Konfigurationen für den Wert von Ressourcen, um Ihren Satz hochwertiger Ressourcen zu erstellen. Ihr Satz hochwertiger Ressourcen bestimmt, welche Ihrer Ressourceninstanzen (die als Ressourcen bezeichnet werden) die Angriffspfadsimulationen als hochwertige Ressourcen betrachten.

Sie können Ressourcenwertkonfigurationen für die Ressourcen in Google Cloud definieren. Wenn Sie die Enterprise-Stufe von Security Command Center verwenden, können Sie auch für Ressourcen der anderen Cloud-Dienstanbieter, mit denen Security Command Center verbunden ist, Ressourcenwertkonfigurationen definieren.

Wenn Angriffspfadsimulationen ausgeführt werden, identifizieren sie Angriffspfade und berechnen Angriffsrisikobewertungen für Ressourcen, die als hochwertige Ressourcen festgelegt sind, sowie für Ergebnisse der Klassen Vulnerability und Misconfiguration.

Angriffspfadsimulationen können bis zu viermal täglich (alle sechs Stunden) ausgeführt werden. Wenn Ihr Unternehmen wächst, dauern Simulationen länger, werden aber immer mindestens einmal pro Tag ausgeführt. Simulationsausführungen werden nicht durch das Erstellen, Ändern oder Löschen von Ressourcen oder Ressourcenwertkonfigurationen ausgelöst.

Eine Einführung in Gruppen hochwertiger Ressourcen und Konfigurationen von Ressourcenwert finden Sie unter Sets hochwertiger Ressourcen.

Hinweise

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen in Ihrer Organisation zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Aufrufen und Arbeiten mit Ressourcenwertkonfigurationen benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Möglicherweise können Sie die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Konfiguration für den Wert von Ressourcen erstellen

Konfigurationen für Ressourcenwerte werden in der Google Cloud Console auf der Seite Einstellungen von Security Command Center auf dem Tab Simulation des Angriffspfads erstellt.

Klicken Sie zum Erstellen einer Konfiguration für den Ressourcenwert auf den Tab für Ihren Cloud-Dienstanbieter und führen Sie die folgenden Schritte aus:

Google Cloud

  1. Rufen Sie in den Einstellungen von Security Command Center die Seite Simulation des Angriffspfads auf:

    Einstellungen aufrufen

  2. Wählen Sie Ihre Organisation aus. Die Seite Simulation des Angriffspfads wird geöffnet.

  3. Klicken Sie auf Neue Konfiguration erstellen. Der Bereich Konfiguration für Ressourcenwert erstellen wird geöffnet.

  4. Geben Sie im Feld Name einen Namen für diese Ressourcenwertkonfiguration an.

  5. Optional: Geben Sie eine Beschreibung der Konfiguration ein.

  6. Wählen Sie unter Cloud-Anbieter die Option Google Cloud aus.

  7. Klicken Sie im Feld Bereich auswählen auf Auswählen und wählen Sie im Projektbrowser ein Projekt, einen Ordner oder die Organisation aus. Diese Konfiguration gilt nur für Ressourceninstanzen im angegebenen Bereich.

  8. Klicken Sie im Feld Ressourcentyp auswählen auf das Feld, um das Drop-down-Menü aufzurufen, und wählen Sie einen Ressourcentyp oder Beliebig aus. Die Konfiguration gilt für Instanzen des angegebenen Ressourcentyps oder, wenn Sie Beliebig auswählen, für Instanzen aller unterstützten Ressourcentypen. Beliebig ist die Standardeinstellung.

  9. Optional: Klicken Sie im Bereich Label auf Label hinzufügen, um ein oder mehrere Labels anzugeben. Wenn ein Label angegeben ist, gilt die Konfiguration nur für Ressourcen, die dieses Label in ihren Metadaten enthalten.

    Wenn Sie ein neues Label auf Ressourcen anwenden, kann es mehrere Stunden dauern, bis das Label für den Abgleich durch eine Konfiguration verfügbar ist.

  10. Optional: Klicken Sie im Bereich Tag auf Tag hinzufügen, um ein oder mehrere Tags anzugeben. Wenn ein Tag angegeben ist, gilt die Konfiguration nur für Ressourcen, die das Tag in ihren Metadaten enthalten.

    Wenn Sie ein neues Tag für eine Ressource definieren, kann es mehrere Stunden dauern, bis das Tag für den Abgleich durch eine Konfiguration verfügbar ist.

  11. Legen Sie den Prioritätswert für die übereinstimmenden Ressourcen fest. Dazu verwenden Sie eine der folgenden Optionen:

    • Optional: Wenn Sie den Erkennungsdienst für den Schutz sensibler Daten verwenden, aktivieren Sie Security Command Center, um den Prioritätswert unterstützter Datenressourcen basierend auf den Klassifizierungen für sensible Daten aus Sensitive Data Protection mit den folgenden Schritten automatisch festzulegen:

      1. Klicken Sie auf den Schieberegler neben Erkennungsinformationen aus Sensitive Data Protection einschließen.
      2. Wählen Sie im ersten Feld Ressourcenwert zuweisen den Prioritätswert aus, der den übereinstimmenden Ressourcen mit hochsensiblen Daten zugewiesen werden soll.
      3. Wählen Sie im zweiten Feld Ressourcenwert zuweisen den Prioritätswert aus, der den übereinstimmenden Ressourcen mit Daten mit mittlerer Vertraulichkeit zugewiesen werden soll.
    • Wählen Sie im Feld Ressourcenwert auswählen einen Wert aus, der den Ressourceninstanzen zugewiesen werden soll. Dieser Wert bezieht sich auf die anderen Ressourceninstanzen in Ihrem Satz hochwertiger Ressourcen. Der Wert wird bei der Berechnung der Angriffsrisikobewertungen verwendet.

  12. Klicken Sie auf Speichern.

AWS

Bevor Security Command Center Angriffsrisikobewertungen und Angriffspfade für die Ressourcen zurückgeben kann, die Sie in einer Ressourcenwertkonfiguration angeben, muss Security Command Center mit AWS verbunden sein. Weitere Informationen finden Sie unter Multi-Cloud-Unterstützung.

  1. Rufen Sie in den Einstellungen von Security Command Center die Seite Simulation des Angriffspfads auf:

    Einstellungen aufrufen

  2. Wählen Sie Ihre Organisation aus. Die Seite Simulation des Angriffspfads wird geöffnet.

  3. Klicken Sie auf Neue Konfiguration erstellen. Der Bereich Konfiguration für Ressourcenwert erstellen wird geöffnet.

  4. Geben Sie im Feld Name einen Namen für diese Ressourcenwertkonfiguration an.

  5. Optional: Geben Sie eine Beschreibung der Konfiguration ein.

  6. Wählen Sie unter Cloud Provider die Option AWS aus.

  7. Optional: Geben Sie in das Feld Account ID (Konto-ID) eine 12-stellige AWS-Konto-ID ein. Wenn kein Wert angegeben ist, gilt die Konfiguration der Ressourcenwerte für alle AWS-Konten, die in der AWS-Verbindungskonfiguration angegeben sind.

  8. Optional: Geben Sie im Feld Region eine AWS-Region ein. Beispiel: us-east-1 Wenn kein Wert angegeben ist, gilt die Konfiguration des Ressourcenwerts für alle AWS-Regionen.

  9. Klicken Sie im Feld Ressourcentyp auswählen auf das Feld, um das Drop-down-Menü aufzurufen, und wählen Sie einen Ressourcentyp oder Beliebig aus. Die Konfiguration gilt für Instanzen des angegebenen Ressourcentyps oder, wenn Sie Beliebig auswählen, für Instanzen aller unterstützten Ressourcentypen. Beliebig ist die Standardeinstellung.

  10. Optional: Klicken Sie im Bereich Tag auf Tag hinzufügen, um ein oder mehrere Tags anzugeben. Wenn ein Tag angegeben ist, gilt die Konfiguration nur für Ressourcen, die das Tag in ihren Metadaten enthalten.

    Wenn Sie ein neues Tag für eine Ressource definieren, kann es mehrere Stunden dauern, bis das Tag für den Abgleich durch eine Konfiguration verfügbar ist.

  11. Wählen Sie im Feld Ressourcenwert auswählen einen Prioritätswert aus, der den Ressourceninstanzen zugewiesen werden soll. Dieser Wert richtet sich nach den anderen Ressourceninstanzen in Ihrem Satz hochwertiger Ressourcen. Der Wert wird bei der Berechnung der Angriffsrisikobewertungen verwendet.

  12. Klicken Sie auf Speichern.

Die neue Konfiguration wird erst nach Ausführung der nächsten Angriffspfadsimulation in den Angriffsrisikobewertungen und Angriffspfaden widergespiegelt.

Konfiguration bearbeiten

Mit Ausnahme des Namens können Sie jede Spezifikation in einer Ressourcenwertkonfiguration aktualisieren.

So aktualisieren Sie eine vorhandene Konfiguration für Ressourcenwerte:

  1. Rufen Sie in den Einstellungen von Security Command Center die Seite Simulation des Angriffspfads auf:

    Einstellungen aufrufen

  2. Wählen Sie Ihre Organisation aus. Die Seite Simulation des Angriffspfads wird mit den vorhandenen Konfigurationen geöffnet.

  3. Klicken Sie in der Spalte Konfigurationsname auf den Namen der Konfiguration, die Sie aktualisieren möchten. Die Seite Konfiguration des Ressourcenwerts bearbeiten wird geöffnet.

  4. Aktualisieren Sie die Spezifikationen in der Konfiguration nach Bedarf.

  5. Optional: Klicken Sie auf Vorschau übereinstimmender Ressourcen anzeigen, um zu sehen, wie viele Ressourcen mit den aktualisierten Konfigurationsübereinstimmungen übereinstimmen und eine Liste der einzelnen übereinstimmenden Ressourceninstanzen erhalten.

  6. Klicken Sie auf Speichern.

Die Änderungen werden erst nach Ausführung der nächsten Angriffspfadsimulation in den Angriffsrisikobewertungen und Angriffspfaden widergespiegelt.

Konfiguration löschen

So löschen Sie eine Konfiguration für den Ressourcenwert:

  1. Rufen Sie in den Einstellungen von Security Command Center die Seite Simulation des Angriffspfads auf:

    Einstellungen aufrufen

  2. Wählen Sie Ihre Organisation aus. Die Seite Simulation des Angriffspfads wird geöffnet.

  3. Klicken Sie rechts in der Zeile der zu löschenden Konfiguration unter Ressourcenwertkonfigurationen auf die vertikalen Punkte, um das Aktionsmenü aufzurufen. Wenn Sie die vertikalen Punkte nicht sehen, scrollen Sie nach rechts.

  4. Wählen Sie im angezeigten Aktionsmenü Löschen aus.

  5. Wählen Sie im Bestätigungsdialogfeld die Option Bestätigen aus.

    Die Konfiguration wird gelöscht.

Konfiguration ansehen

Sie können alle vorhandenen Konfigurationen für Ressourcenwerte auf der Seite Simulation des Angriffspfads in den Einstellungen von Security Command Center ansehen.

  1. Rufen Sie die Seite Simulation des Angriffspfads auf, um eine bestimmte Konfiguration für den Ressourcenwert anzusehen.

    Einstellungen aufrufen

  2. Wählen Sie Ihre Organisation aus. Die Seite Simulation des Angriffspfads wird geöffnet.

  3. Scrollen Sie unter Ressourcenwertkonfigurationen auf der Seite Simulation des Angriffspfads durch die Liste der Konfigurationen für Ressourcenwerte, bis Sie die benötigte Konfiguration gefunden haben.

  4. Klicken Sie auf den Namen der Konfiguration, um die Konfigurationsattribute aufzurufen. Die Attribute werden auf der Seite Konfiguration des Ressourcenwerts bearbeiten angezeigt.

Fehlerbehebung

Wenn nach dem Erstellen, Bearbeiten oder Löschen von Konfigurationen für Ressourcenwerte Fehler auftreten, prüfen Sie in der Google Cloud Console die Ergebnisse der SCC Error-Klasse so:

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse auf:

    Zu Ergebnissen

  2. Scrollen Sie im Bereich Schnellfilter zum Abschnitt Klasse suchen und wählen Sie SCC-Fehler aus.

  3. Durchsuchen Sie im Bereich Ergebnisse der Ergebnisabfrage die Ergebnisse nach den folgenden SCC Error-Ergebnissen und klicken Sie auf den Kategorienamen:

    • APS no resource value configs match any resources
    • APS resource value assignment limit exceeded

    Der Bereich mit den Ergebnisdetails wird geöffnet.

  4. Sehen Sie sich im Bereich mit den Ergebnisdetails die Informationen im Abschnitt Nächste Schritte an.

Die Anleitung zur Abhilfe für die Ergebnisse der Angriffspfadsimulation SCC Error in der Dokumentation finden Sie unter:

Nächste Schritte

Informationen zum Arbeiten mit Security Command Center-Ergebnissen finden Sie unter Mit Ergebnissen in der Google Cloud Console arbeiten.