Definir y gestionar tu conjunto de recursos de alto valor

En esta página se explica cómo crear, editar, eliminar y ver configuraciones de valores de recursos.

Usa configuraciones de valor de recurso para crear tu conjunto de recursos de gran valor. Tu conjunto de recursos de alto valor determina cuáles de tus instancias de recursos (denominadas recursos) se consideran recursos de alto valor en las simulaciones de rutas de ataque.

Puede definir configuraciones de valor de recursos para los recursos deGoogle Cloud o, si tiene el nivel Enterprise de Security Command Center, para los recursos de los otros proveedores de servicios en la nube a los que esté conectado Security Command Center.

Cuando se ejecutan simulaciones de rutas de ataque, se identifican las rutas de ataque y se calculan las puntuaciones de exposición a ataques de los recursos designados como recursos de alto valor y de los hallazgos de clase Vulnerability, Misconfiguration y Toxic combination.

Las simulaciones de rutas de ataque se ejecutan aproximadamente cada seis horas. A medida que tu organización crezca, las simulaciones tardarán más, pero siempre se ejecutarán al menos una vez al día. Las simulaciones no se activan al crear, modificar o eliminar recursos ni configuraciones de valores de recursos.

Para obtener una introducción a los conjuntos de recursos de alto valor y a las configuraciones de valores de recursos, consulta Conjuntos de recursos de alto valor.

Antes de empezar

Para obtener los permisos que necesitas para ver y usar las configuraciones de valores de recursos, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en tu organización:

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Crear una configuración de valor de recurso

Para crear configuraciones de valores de recursos, vaya a la pestaña Simulación de ruta de ataque de la página Configuración de Security Command Center en la consola de Google Cloud .

Para crear una configuración de valor de recurso, haz clic en la pestaña de tu proveedor de servicios en la nube y sigue estos pasos:

Google Cloud

  1. Ve a la página Simulación de ruta de ataque en Security Command Center Configuración:

    Ir a Simulaciones de rutas de ataque

  2. Selecciona tu organización. Se abrirá la página Simulación de ruta de ataque.

  3. Haz clic en Crear configuración. Se abrirá el panel Crear valor de recurso configuración.

  4. En el campo Nombre, especifica un nombre para esta configuración de valor de recurso.

  5. Opcional: Escribe una descripción de la configuración.

  6. En Proveedor de nube, selecciona Google Cloud.

  7. En el campo Seleccionar ámbito, haz clic en Seleccionar y usa el navegador de proyectos para seleccionar un proyecto, una carpeta o la organización. Esta configuración solo se aplica a las instancias de recursos del ámbito especificado.

  8. Haga clic en el campo Seleccionar tipo de recurso y, a continuación, seleccione un tipo de recurso o Cualquiera. La configuración se aplica a las instancias del tipo de recurso seleccionado o, si seleccionas Cualquiera, a las instancias de todos los tipos de recursos admitidos. El valor predeterminado es Cualquiera.

  9. Opcional: En la sección Etiqueta, haga clic en Añadir etiqueta para especificar una o varias etiquetas. Cuando se especifica una etiqueta, la configuración solo se aplica a los recursos que incluyen la etiqueta en sus metadatos.

    Si aplica una etiqueta nueva a algún recurso, pueden pasar varias horas antes de que la etiqueta esté disponible para que una configuración la utilice.

  10. Opcional: En la sección Etiqueta, haga clic en Añadir etiqueta para especificar una o varias etiquetas. Cuando se especifica una etiqueta, la configuración solo se aplica a los recursos que incluyen la etiqueta en sus metadatos.

    Si define una etiqueta nueva para un recurso, pueden pasar varias horas antes de que una configuración pueda usarla para buscar coincidencias.

  11. Define el valor de prioridad de los recursos coincidentes especificando una de las siguientes opciones:

    • Opcional: Si usas el servicio de descubrimiento de Protección de Datos Sensibles, habilita Security Command Center para que defina automáticamente el valor de prioridad de los recursos de datos admitidos en función de las clasificaciones de sensibilidad de los datos de Protección de Datos Sensibles:

      1. Haz clic en el control deslizante situado junto a Incluir estadísticas de descubrimiento de Protección de Datos Sensibles.
      2. En el primer campo Asignar valor de recurso, seleccione el valor de prioridad que quiera asignar a los recursos coincidentes que contengan datos de alta sensibilidad.
      3. En el segundo campo Asignar valor de recurso, selecciona el valor de prioridad que quieras asignar a los recursos coincidentes que contengan datos de sensibilidad media.

    • En el campo Asignar valor de recurso, seleccione un valor para asignar a las instancias de recurso. Este valor es relativo a las demás instancias de recursos de tu conjunto de recursos de alto valor. El valor se usa durante el cálculo de las puntuaciones de exposición a ataques.

  12. Haz clic en Guardar.

AWS

Para que Security Command Center pueda generar puntuaciones de exposición a ataques y rutas de ataque de los recursos que especifiques en una configuración de valor de recurso, debe estar conectado a AWS. Para obtener más información, consulta Compatibilidad multicloud.

  1. Ve a la página Simulación de ruta de ataque en Security Command Center Configuración:

    Ir a Simulaciones de rutas de ataque

  2. Selecciona tu organización. Se abrirá la página Simulación de ruta de ataque.

  3. Haz clic en Crear configuración. Se abrirá el panel Crear valor de recurso configuración.

  4. En el campo Nombre, especifica un nombre para esta configuración de valor de recurso.

  5. Opcional: Escribe una descripción de la configuración.

  6. En Proveedor de nube, selecciona Amazon Web Services.

  7. Opcional: En el campo ID de cuenta, introduce un ID de cuenta de AWS de 12 dígitos. Si no se especifica, la configuración del valor del recurso se aplica a todas las cuentas de AWS que se hayan especificado en la configuración de conexión de AWS.

  8. Opcional: En el campo Región, introduce una región de AWS. Por ejemplo, us-east-1. Si no se especifica, la configuración del valor del recurso se aplica a todas las regiones de AWS.

  9. Haga clic en el campo Seleccionar tipo de recurso y, a continuación, seleccione un tipo de recurso o Cualquiera. La configuración se aplica a las instancias del tipo de recurso seleccionado o, si seleccionas Cualquiera, a todos los tipos de recursos admitidos. El valor predeterminado es Cualquiera.

  10. Opcional: En la sección Etiqueta, haga clic en Añadir etiqueta para especificar una o varias etiquetas. Cuando defines una etiqueta, el conector solo analiza los recursos que incluyen la etiqueta en sus metadatos.

    Si define una etiqueta nueva para un recurso, pueden pasar varias horas antes de que una configuración pueda usarla para buscar coincidencias.

  11. En el campo Asignar valor de recurso, seleccione un valor de prioridad para los recursos coincidentes especificando una de las siguientes opciones:

    • Opcional: Si usas el servicio de descubrimiento de Protección de Datos Sensibles, habilita Security Command Center para que asigne automáticamente el valor de prioridad de los recursos de datos de AWS admitidos en función de las clasificaciones de sensibilidad de los datos de Protección de Datos Sensibles:

      1. Haz clic en el control deslizante situado junto a Incluir estadísticas de descubrimiento de Protección de Datos Sensibles.
      2. En el primer campo Asignar valor de recurso, seleccione el valor de prioridad que quiera asignar a los recursos coincidentes que contengan datos de alta sensibilidad.
      3. En el segundo campo Asignar valor de recurso, selecciona el valor de prioridad que quieras asignar a los recursos coincidentes que contengan datos de sensibilidad media.

    • En el campo Asignar valor de recurso, seleccione un valor para asignar a las instancias de recurso. Este valor es relativo a otras instancias de recursos de tu conjunto de recursos de alto valor. El valor se usa durante el cálculo de las puntuaciones de exposición a ataques.

  12. Haz clic en Guardar.

Azure

Para que Security Command Center pueda generar puntuaciones de exposición a ataques y rutas de ataque para los recursos de Azure que especifiques en una configuración de valor de recurso, debe estar conectado a Azure. Para obtener más información, consulta Compatibilidad multicloud.

  1. Ve a la página Simulación de ruta de ataque en Security Command Center Configuración:

    Ir a Simulaciones de rutas de ataque

  2. Selecciona tu organización. Se abrirá la página Simulación de ruta de ataque.

  3. Haz clic en Crear configuración. Se abrirá el panel Crear valor de recurso configuración.

  4. En el campo Nombre, especifica un nombre para esta configuración de valor de recurso.

  5. Opcional: En Descripción, escribe una descripción de la configuración.

  6. En Proveedor de nube, selecciona Microsoft Azure.

  7. Opcional: En ID de suscripción, introduce un ID de suscripción de Azure de 36 dígitos. Si no se especifica, la configuración del valor del recurso se aplica a todas las suscripciones que se especifican en la configuración del conector de Azure.

  8. Opcional: En el campo Seleccionar ubicación, elija una ubicación de Azure (por ejemplo,) East US 2. Si no define ninguna ubicación, la configuración del valor del recurso se aplicará a todas las ubicaciones especificadas en la configuración del conector de Azure.

  9. Haga clic en Seleccionar tipo de recurso y, a continuación, seleccione un tipo de recurso o Cualquiera. La configuración se aplica a las instancias del tipo de recurso seleccionado o, si seleccionas Cualquiera, a todos los tipos de recursos admitidos. El valor predeterminado es Cualquiera.

  10. Opcional: En la sección Etiqueta, haga clic en Añadir etiqueta para especificar una o varias etiquetas. Cuando se especifica una etiqueta, la configuración solo se aplica a los recursos que incluyen la etiqueta en sus metadatos.

    Si define una etiqueta nueva para un recurso, pueden pasar varias horas antes de que una configuración pueda usarla para buscar coincidencias.

  11. En el campo Asignar valor de recurso, selecciona un valor de prioridad.

  12. Haz clic en Guardar.

La nueva configuración se refleja en las puntuaciones de exposición a ataques y en las rutas de ataque solo después de que se ejecute la siguiente simulación de ruta de ataque.

Cuando veas el conjunto de recursos de alto valor, podrás ver las configuraciones de valor de los recursos que coincidan con los recursos del conjunto. Para obtener más información, consulta Ver las configuraciones que coinciden con un recurso de alto valor.

Para obtener información sobre cómo configurar Protección de Datos Sensibles para enviar clasificaciones de sensibilidad de datos a Security Command Center, consulta el artículo Publicar perfiles de datos en Security Command Center de la documentación de Protección de Datos Sensibles.

Editar una configuración

A excepción del nombre, puedes actualizar cualquier especificación de una configuración de valor de recurso.

En estos pasos se presupone que conoces el nombre de la configuración del valor del recurso que quieres editar. Si solo conoces el nombre del recurso en cuestión, consulta el artículo Ver las configuraciones que coinciden con un recurso de alto valor.

Para actualizar una configuración de valor de recurso, sigue estos pasos:

  1. Ve a la página Simulación de ruta de ataque en Security Command Center Configuración:

    Ir a Simulaciones de rutas de ataque

  2. Selecciona tu organización. Se abrirá la página Simulación de ruta de ataque con las configuraciones que ya haya.

  3. En la columna Nombre de la configuración, haga clic en el nombre de la configuración que quiera actualizar. Se abrirá la página Editar configuración del valor del recurso.

  4. Actualiza las especificaciones de la configuración según sea necesario.

  5. Haz clic en Guardar.

Los cambios se reflejan en las puntuaciones de exposición a ataques y en las rutas de ataque solo después de que se ejecute la siguiente simulación de ruta de ataque.

Eliminar una configuración

Para eliminar una configuración de valor de recurso, sigue estos pasos:

  1. Ve a la página Simulación de ruta de ataque en Security Command Center Configuración:

    Ir a Simulaciones de rutas de ataque

  2. Selecciona tu organización. Se abrirá la página Simulación de ruta de ataque.

  3. En Configuraciones de valores de recursos, en el lado derecho de la fila de la configuración que quieras eliminar, haz clic en los puntos verticales para que se muestre el menú de acciones. Si no ves los puntos verticales, desplázate hacia la derecha.

  4. En el menú de acciones que se muestra, selecciona Eliminar.

  5. En el cuadro de diálogo de confirmación, selecciona Confirmar.

    Se elimina la configuración.

Ver una configuración

Puede ver todas las configuraciones de valores de recursos en la página Simulación de ruta de ataque de Configuración en Security Command Center.

  1. Para ver la configuración de un valor de recurso concreto, vaya a la página Simulación de ruta de ataque:

    Ir a Simulaciones de rutas de ataque

  2. Selecciona tu organización. Se abrirá la página Simulación de ruta de ataque.

  3. En Configuraciones de valor de recursos de la página Simulación de ruta de ataque, desplázate por la lista de configuraciones de valor de recursos hasta que encuentres la que necesites.

  4. Para ver las propiedades de configuración, haga clic en el nombre de la configuración. Las propiedades se muestran en la página Editar configuración de valor de recurso.

Ver las configuraciones que coinciden con un recurso de alto valor

Puede ver todas las configuraciones que coincidan con los recursos que se encuentren en el conjunto de recursos de alto valor. Esta función es útil si quiere revisar las reglas que determinaron los valores de los recursos de su conjunto de recursos de alto valor.

Para ver las configuraciones que coinciden con un recurso de alto valor, siga estos pasos:

  1. Consulta el conjunto de recursos de alto valor.
  2. Busca el recurso cuyas configuraciones quieras ver. Las configuraciones coincidentes de ese recurso se muestran en la columna Configuraciones coincidentes. Las configuraciones se muestran en orden descendente según el valor de recurso que asignan al recurso: High, Medium o Low.

  3. Para ver las propiedades de una configuración, haz clic en su nombre. Las propiedades se muestran en la página Editar configuración de valor de recurso.

    Una configuración que se haya eliminado recientemente seguirá visible (pero no se podrá hacer clic en ella) hasta que se ejecute la siguiente simulación de ruta de ataque.

  4. Opcional: Edita la configuración y haz clic en Guardar.

Solución de problemas

Si recibes errores después de crear, editar o eliminar configuraciones de valores de recursos, comprueba si hay SCC Errorclases en la consolaGoogle Cloud siguiendo estos pasos:

  1. Ve a la página Resultados de la consola de Google Cloud :

    Ir a Resultados

  2. En el panel Filtros rápidos, ve a la sección Búsqueda de clase y selecciona Error de SCC.

  3. En el panel Resultados de la consulta de detecciones, busca las siguientes detecciones SCC Error y haz clic en el nombre de la categoría:

    • APS no resource value configs match any resources
    • APS resource value assignment limit exceeded

    Se abrirá el panel de detalles de la detección.

  4. En el panel de detalles de la detección, consulta la información de la sección Pasos siguientes.

Para consultar las instrucciones de corrección de los resultados de la simulación de ruta de ataque SCC Error en la documentación, consulta lo siguiente:

Siguientes pasos

Para obtener información sobre cómo trabajar con los resultados de Security Command Center, consulta Revisar y gestionar resultados.