Questa pagina spiega come creare, modificare, eliminare e visualizzare le configurazioni dei valori delle risorse.
Utilizza le configurazioni dei valori delle risorse per creare il tuo insieme di risorse di alto valore. Il set di risorse di alto valore determina quale delle tue istanze di risorse (indicate come resources) le simulazioni del percorso di attacco prendono in considerazione risorse di alto valore.
Puoi definire le configurazioni dei valori delle risorse Google Cloud o, se hai il livello Enterprise Security Command Center, per le risorse degli altri provider di servizi cloud a cui è connesso Security Command Center.
Quando vengono eseguite, le simulazioni del percorso di attacco identificano i percorsi di attacco e calcolano i punteggi di esposizione agli attacchi per le risorse designate come di alto valore e per i risultati di classe Vulnerability, Misconfiguration e Toxic combination.
Le simulazioni dei percorsi di attacco possono essere eseguite fino a quattro volte al giorno (ogni sei ore). Man mano che la tua organizzazione cresce, le simulazioni richiedono più tempo, ma verranno sempre eseguite almeno una volta al giorno. Le esecuzioni della simulazione non vengono attivate dalla creazione, dalla modifica o dall'eliminazione di risorse o configurazioni dei valori delle risorse.
Per un'introduzione a set di risorse e valore delle risorse di alto valore configurazioni, consulta Set di risorse di alto valore.
Prima di iniziare
Per ottenere le autorizzazioni necessarie per visualizzare e utilizzare le configurazioni dei valori delle risorse, chiedi all'amministratore di concederti i seguenti ruoli IAM nella tua organizzazione:
-
Editor configurazione valori risorsa (
roles/securitycenter.resourceValueConfigEditor) -
Visualizzatore configurazione valori risorsa (
roles/securitycenter.resourceValueConfigsViewer) -
Editor impostazioni del Centro sicurezza (
roles/securitycenter.settingsEditor)
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite la ruoli o altri ruoli predefiniti ruoli.
Crea una configurazione per il valore delle risorse
Puoi creare configurazioni dei valori delle risorse utilizzando la simulazione del percorso di attacco nella pagina Impostazioni di Security Command Center nella console Google Cloud.
Per creare una configurazione del valore della risorsa, fai clic sulla scheda del tuo fornitore di servizi cloud e segui questi passaggi:
Google Cloud
Vai alla pagina Simulazione del percorso di attacco in Impostazioni di Security Command Center:
Seleziona la tua organizzazione. Si apre la pagina Simulazione del percorso di attacco.
Fai clic su Crea nuova configurazione. La sezione Crea valore risorsa configurazione.
Nel campo Nome, specifica un nome per questa configurazione del valore della risorsa.
(Facoltativo) Inserisci una descrizione della configurazione.
In Cloud provider, seleziona Google Cloud.
Nel campo Seleziona ambito, fai clic su Seleziona e utilizza il progetto browser per selezionare un progetto, una cartella o l'organizzazione. Questa configurazione si applica solo alle istanze di risorse nell'ambito specificato.
Nel campo Seleziona il tipo di risorsa, fai clic nel campo per visualizzare il menu a discesa e seleziona un tipo di risorsa o Qualsiasi. La configurazione si applica alle istanze del tipo di risorsa specificato o, se selezioni Qualsiasi, alle istanze di tutti i tipi di risorse supportati. Qualsiasi è l'impostazione predefinita.
(Facoltativo) Nella sezione Etichetta, fai clic su Aggiungi etichetta per specificare una o più etichette. Quando viene specificata un'etichetta, la configurazione si applica solo alle risorse che includono l'etichetta nei metadati.
Se applichi una nuova etichetta a qualsiasi risorsa, possono trascorrere diverse ore prima che l'etichetta sia disponibile per la corrispondenza in base a una configurazione.
(Facoltativo) Nella sezione Tag, fai clic su Aggiungi tag per specificare uno o più tag. Quando viene specificato un tag, la configurazione si applica solo alle risorse che includono il tag nei metadati.
Se definisci un nuovo tag per qualsiasi risorsa, possono trascorrere diverse ore prima che il tag sia disponibile per la corrispondenza da parte di una configurazione.
Imposta il parametro valore di priorità delle risorse corrispondenti specificando una delle seguenti opzioni:
(Facoltativo) Se utilizzi il servizio di rilevamento di Sensitive Data Protection, consenti a Security Command Center di impostare automaticamente il valore di priorità delle risorse di dati supportate in base alle classificazioni della sensibilità dei dati di Sensitive Data Protection:
- Fai clic sul cursore accanto a Includi gli insight sulla scoperta di Sensitive Data Protection.
- Nel primo campo Assegna valore della risorsa, seleziona il valore di priorità da assegnare alle risorse corrispondenti che contengono dati con sensibilità elevata.
- Nel secondo campo Assegna valore della risorsa, seleziona il valore di priorità da assegnare alle risorse corrispondenti che contengono dati con sensibilità media.
Nel campo Seleziona valore risorsa, scegli un valore da assegnare al di risorse. Questo valore è relativo alle altre istanze di risorsa nel set di risorse di alto valore. Il valore viene utilizzato per il calcolo dei punteggi di esposizione agli attacchi.
Fai clic su Salva.
AWS
Prima che Security Command Center possa restituire punteggi e attacchi di esposizione agli attacchi per le risorse specificate in una configurazione dei valori delle risorse, Security Command Center deve essere connesso ad AWS. Per ulteriori informazioni, consulta Supporto multicloud.
Vai alla pagina Simulazione del percorso di attacco in Impostazioni di Security Command Center:
Seleziona la tua organizzazione. Si apre la pagina Simulazione del percorso di attacco.
Fai clic su Crea nuova configurazione. La sezione Crea valore risorsa configurazione.
Nel campo Nome, specifica un nome per questa configurazione del valore della risorsa.
(Facoltativo) Inserisci una descrizione della configurazione.
In Provider cloud, seleziona Amazon Web Services.
(Facoltativo) Nel campo Account ID (ID account), inserisci un ID account AWS di 12 cifre. Se non specificato, la configurazione dei valori delle risorse si applica a tutti Gli account AWS specificati Configurazione della connessione AWS.
(Facoltativo) Nel campo Regione, inserisci una regione AWS. Ad esempio:
us-east-1. Se non specificato, si applica la configurazione del valore delle risorse in tutte le regioni AWS.Nel campo Seleziona il tipo di risorsa, fai clic nel campo per visualizzare il menu a discesa e seleziona un tipo di risorsa o Qualsiasi. La configurazione si applica alle istanze del tipo di risorsa specificato o, se selezioni Qualsiasi, alle istanze di tutti i tipi di risorse AWS supportati. Qualsiasi è il valore predefinito.
(Facoltativo) Nella sezione Tag, fai clic su Aggiungi tag per specificare uno o più tag. Quando viene specificato un tag, la configurazione si applica solo alle risorse che includono il tag nei metadati.
Se definisci un nuovo tag per qualsiasi risorsa, possono trascorrere diverse ore prima che il tag sia disponibile per la corrispondenza da parte di una configurazione.
Imposta il valore di priorità per le risorse corrispondenti specificando una delle seguenti opzioni:
(Facoltativo) Se utilizzi Servizio di rilevamento di Sensitive Data Protection, abilitare Security Command Center in modo che imposti automaticamente il valore di priorità risorse dati AWS supportate in base alle classificazioni della sensibilità ai dati Sensitive Data Protection:
- Fai clic sul cursore accanto a Includi gli insight sulla scoperta di Sensitive Data Protection.
- Nel primo campo Assegna valore della risorsa, seleziona il valore di priorità da assegnare alle risorse corrispondenti che contengono dati con sensibilità elevata.
- Nel secondo campo Assegna valore della risorsa, seleziona il valore di priorità da assegnare alle risorse corrispondenti che contengono dati con sensibilità media.
Nel campo Seleziona valore risorsa, scegli un valore da assegnare al di risorse. Questo valore è relativo alle altre istanze di risorsa nel set di risorse di alto valore. Il valore viene utilizzato per il calcolo dei punteggi di esposizione agli attacchi.
Fai clic su Salva.
La nuova configurazione si riflette nei punteggi di esposizione agli attacchi e solo dopo l'esecuzione della successiva simulazione del percorso di attacco.
Modificare una configurazione
Ad eccezione del nome, puoi aggiornare qualsiasi specifica in una risorsa la configurazione del valore.
Per aggiornare una configurazione del valore della risorsa esistente:
Vai alla pagina Simulazione del percorso di attacco in Impostazioni di Security Command Center:
Seleziona la tua organizzazione. Viene visualizzata la pagina Simulazione del percorso di attacco con le configurazioni esistenti.
Nella colonna Nome configurazione, fai clic sul nome della configurazione da aggiornare. Viene visualizzata la pagina Modifica la configurazione dei valori delle risorse.
Aggiorna le specifiche nella configurazione in base alle esigenze.
(Facoltativo) Fai clic su Visualizza l'anteprima delle risorse corrispondenti per vedere quante risorse. corrispondono alle corrispondenze aggiornate della configurazione e a un elenco con istanze di risorse corrispondenti.
Fai clic su Salva.
Le variazioni si riflettono sui punteggi di esposizione agli attacchi e sui percorsi di attacco solo dopo l'esecuzione della successiva simulazione del percorso di attacco.
Elimina una configurazione
Per eliminare una configurazione del valore della risorsa:
Vai alla pagina Simulazione del percorso di attacco in Impostazioni di Security Command Center:
Seleziona la tua organizzazione. Si apre la pagina Simulazione del percorso di attacco.
In Configurazioni dei valori delle risorse a destra della riga per configurazione da eliminare, per visualizzare il menu delle azioni fai clic punti verticali. Se non vedi i puntini verticali, scorri verso destra.
Dal menu azione visualizzato, seleziona Elimina.
Nella finestra di dialogo di conferma, seleziona Conferma.
La configurazione viene eliminata.
Visualizza una configurazione
Puoi visualizzare tutte le configurazioni esistenti dei valori delle risorse nella Pagina Simulazione del percorso di attacco nelle Impostazioni di Security Command Center.
Per visualizzare una determinata configurazione del valore della risorsa, vai alla pagina Simulazione del percorso di attacco
Seleziona la tua organizzazione. L'attacco si apre la pagina della simulazione del percorso.
In Configurazioni dei valori delle risorse nella simulazione del percorso di attacco scorri l'elenco delle configurazioni dei valori delle risorse finché la configurazione di cui hai bisogno.
Per visualizzare le proprietà di configurazione, fai clic sul nome della configurazione. Le proprietà vengono visualizzate nella pagina Modifica configurazione valori risorse.
Risoluzione dei problemi
Se ricevi errori dopo aver creato, modificato o eliminato configurazioni dei valori delle risorse, controlla la presenza di risultati della classe SCC Error nella console Google Cloud seguendo questi passaggi:
Vai alla pagina Risultati nella console Google Cloud:
Nel riquadro Filtri rapidi, scorri fino alla sezione Classe di risultati e seleziona Errore SCC.
Nel riquadro Risultati query dei risultati, analizza i risultati per seguenti
SCC Errorrisultati e fai clic sul nome della categoria:APS no resource value configs match any resourcesAPS resource value assignment limit exceeded
Viene visualizzato il riquadro dei dettagli del rilevamento.
Nel riquadro dei dettagli del risultato, esamina le informazioni riportate in Passaggi successivi. .
a rivedere le istruzioni di correzione per la simulazione del percorso di attacco
SCC Error risultati nella documentazione, consulta:
- Nessuna configurazione del valore della risorsa APS corrisponde a nessuna risorsa
- Limite di assegnazioni dei valori delle risorse APS superato
Passaggi successivi
Per informazioni sull'utilizzo dei risultati di Security Command Center, consulta Esaminare e gestire i risultati.