Cette page explique comment créer, modifier, supprimer et afficher des configurations de valeur de ressource.
Utilisez des configurations de valeurs de ressources pour créer votre ensemble de ressources à forte valeur. Votre ensemble de ressources à forte valeur détermine quelles instances de ressources (appelées ressources) les simulations de chemins d'attaque considèrent comme des ressources à forte valeur.
Vous pouvez définir des configurations de valeur de ressource pour les ressources sur Google Cloud ou, si vous disposez du niveau Enterprise de Security Command Center, pour les ressources sur les autres fournisseurs de services cloud auxquels Security Command Center est connecté.
Lorsque les simulations de chemins d'attaque s'exécutent, elles identifient les chemins d'attaque et calculent les scores d'exposition aux attaques pour les ressources désignées comme ressources à forte valeur et pour les résultats de classe Vulnerability
, Misconfiguration
et Toxic combination
.
Les simulations de chemins d'attaque peuvent s'exécuter jusqu'à quatre fois par jour (toutes les six heures). À mesure que votre organisation se développe, les simulations prennent plus de temps, mais elles s'exécutent toujours au moins une fois par jour. Les exécutions de simulation ne sont pas déclenchées par la création, la modification ou la suppression de ressources ou de configurations de valeurs de ressources.
Pour en savoir plus sur les ensembles de ressources à forte valeur et les configurations de valeur des ressources, consultez la section Ensembles de ressources à forte valeur.
Avant de commencer
Pour obtenir les autorisations nécessaires pour afficher et utiliser les configurations de valeur de ressource, demandez à votre administrateur de vous accorder les rôles IAM suivants dans votre organisation:
-
Éditeur de configuration des valeurs de ressources (
roles/securitycenter.resourceValueConfigEditor
) -
Lecteur de configuration des valeurs de ressources (
roles/securitycenter.resourceValueConfigsViewer
) -
Éditeur de paramètres du centre de sécurité (
roles/securitycenter.settingsEditor
)
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.
Créer une configuration des valeurs de ressource
Pour créer des configurations de valeur de ressource, utilisez l'onglet Simulation de chemin d'attaque sur la page Paramètres de Security Command Center dans la console Google Cloud.
Pour créer une configuration de valeur de ressource, cliquez sur l'onglet correspondant à votre fournisseur de services cloud, puis procédez comme suit:
Google Cloud
Accédez à la page Simulation du chemin d'attaque dans les Paramètres de Security Command Center:
Sélectionnez votre organisation. La page Simulation du chemin d'attaque s'ouvre.
Cliquez sur Créer une configuration. Le panneau Créer une configuration de valeur de ressource s'ouvre.
Dans le champ Nom, spécifiez un nom pour cette configuration de valeur de ressource.
Facultatif: saisissez une description de la configuration.
Sous Fournisseur de services cloud, sélectionnez Google Cloud.
Dans le champ Sélectionner le champ d'application, cliquez sur Sélectionner, puis utilisez le navigateur de projets pour sélectionner un projet, un dossier ou l'organisation. Cette configuration ne s'applique qu'aux instances de ressources du champ d'application spécifié.
Dans le champ Select resource type (Sélectionner un type de ressource), cliquez dans le champ pour afficher le menu déroulant, puis sélectionnez un type de ressource ou Any (Tout). La configuration s'applique aux instances du type de ressource spécifié ou, si vous sélectionnez Tout, aux instances de tous les types de ressources compatibles. Any (Tout) est la valeur par défaut.
Facultatif: Dans la section Libellé, cliquez sur Ajouter un libellé pour spécifier un ou plusieurs libellés. Lorsqu'un libellé est spécifié, la configuration ne s'applique qu'aux ressources qui incluent le libellé dans leurs métadonnées.
Si vous appliquez un nouveau libellé à des ressources, il peut s'écouler plusieurs heures avant que le libellé ne soit disponible pour la mise en correspondance par une configuration.
Facultatif: Dans la section Tag (Balise), cliquez sur Ajouter un tag pour spécifier une ou plusieurs balises. Lorsqu'un tag est spécifié, la configuration ne s'applique qu'aux ressources qui incluent le tag dans leurs métadonnées.
Si vous définissez une nouvelle balise pour des ressources, il peut s'écouler plusieurs heures avant qu'elle ne soit disponible pour la mise en correspondance par une configuration.
Définissez la valeur de priorité pour les ressources correspondantes en spécifiant l'une des options suivantes:
Facultatif: Si vous utilisez le service de détection de la protection des données sensibles, autorisez Security Command Center à définir automatiquement la valeur de priorité des ressources de données compatibles en fonction des classifications de sensibilité des données de la protection des données sensibles:
- Cliquez sur le curseur à côté de Inclure les insights de découverte de Sensitive Data Protection.
- Dans le premier champ Attribuer une valeur de ressource, sélectionnez la valeur de priorité à attribuer aux ressources correspondantes qui contiennent des données de sensibilité élevée.
- Dans le deuxième champ Attribuer une valeur de ressource, sélectionnez la valeur de priorité à attribuer aux ressources correspondantes qui contiennent des données de sensibilité moyenne.
Dans le champ Sélectionner la valeur de la ressource, sélectionnez une valeur à attribuer aux instances de ressources. Cette valeur est relative aux autres instances de ressources de votre ensemble de ressources à forte valeur. Cette valeur est utilisée lors du calcul des scores d'exposition aux attaques.
Cliquez sur Enregistrer.
AWS
Avant que Security Command Center puisse renvoyer des scores d'exposition aux attaques et des chemins d'attaque pour les ressources que vous spécifiez dans une configuration de valeur de ressource, Security Command Center doit être connecté à AWS. Pour en savoir plus, consultez la section Compatibilité avec le multicloud.
Accédez à la page Simulation du chemin d'attaque dans les Paramètres de Security Command Center:
Sélectionnez votre organisation. La page Simulation du chemin d'attaque s'ouvre.
Cliquez sur Créer une configuration. Le panneau Créer une configuration de valeur de ressource s'ouvre.
Dans le champ Nom, spécifiez un nom pour cette configuration de valeur de ressource.
Facultatif: saisissez une description de la configuration.
Sous Fournisseur cloud, sélectionnez Amazon Web Services.
Facultatif: Dans le champ Account ID (ID de compte), saisissez un ID de compte AWS à 12 chiffres. Si elle n'est pas spécifiée, la configuration de la valeur de la ressource s'applique à tous les comptes AWS spécifiés dans la configuration de la connexion AWS.
Facultatif: Dans le champ Région, saisissez une région AWS. Exemple :
us-east-1
. Si elle n'est pas spécifiée, la configuration de la valeur de la ressource s'applique à toutes les régions AWS.Dans le champ Select resource type (Sélectionner un type de ressource), cliquez dans le champ pour afficher le menu déroulant, puis sélectionnez un type de ressource ou Any (Tout). La configuration s'applique aux instances du type de ressource spécifié ou, si vous sélectionnez Tout, aux instances de tous les types de ressources AWS compatibles. Any (Tout) est la valeur par défaut.
Facultatif: Dans la section Tag (Balise), cliquez sur Ajouter un tag pour spécifier une ou plusieurs balises. Lorsqu'un tag est spécifié, la configuration ne s'applique qu'aux ressources qui incluent le tag dans leurs métadonnées.
Si vous définissez une nouvelle balise pour des ressources, il peut s'écouler plusieurs heures avant qu'elle ne soit disponible pour la mise en correspondance par une configuration.
Définissez la valeur de priorité pour les ressources correspondantes en spécifiant l'une des options suivantes:
Facultatif: si vous utilisez le service de détection de la protection des données sensibles, autorisez Security Command Center à définir automatiquement la valeur de priorité des ressources de données AWS compatibles en fonction des classifications de sensibilité des données de la protection des données sensibles:
- Cliquez sur le curseur à côté de Inclure les insights de découverte de Sensitive Data Protection.
- Dans le premier champ Attribuer une valeur de ressource, sélectionnez la valeur de priorité à attribuer aux ressources correspondantes qui contiennent des données de sensibilité élevée.
- Dans le deuxième champ Attribuer une valeur de ressource, sélectionnez la valeur de priorité à attribuer aux ressources correspondantes qui contiennent des données de sensibilité moyenne.
Dans le champ Sélectionner la valeur de la ressource, sélectionnez une valeur à attribuer aux instances de ressources. Cette valeur est relative aux autres instances de ressources de votre ensemble de ressources à forte valeur. Cette valeur est utilisée lors du calcul des scores d'exposition aux attaques.
Cliquez sur Enregistrer.
La nouvelle configuration ne s'affiche dans les scores d'exposition aux attaques et les chemins d'attaque qu'après l'exécution de la prochaine simulation de chemin d'attaque.
Lorsque vous consultez l'ensemble de ressources à forte valeur, vous pouvez voir les configurations de valeur de ressource correspondant aux ressources de l'ensemble. Pour en savoir plus, consultez la section Afficher les configurations correspondant à une ressource à forte valeur ajoutée.
Modifier une configuration
À l'exception du nom, vous pouvez modifier n'importe quelle spécification dans une configuration de valeur de ressource.
Ces étapes supposent que vous connaissez le nom de la configuration de la valeur de la ressource que vous souhaitez modifier. Si vous ne connaissez que le nom de la ressource concernée, consultez plutôt Afficher les configurations correspondant à une ressource à forte valeur.
Pour mettre à jour une configuration de valeur de ressource existante, procédez comme suit:
Accédez à la page Simulation du chemin d'attaque dans les Paramètres de Security Command Center:
Sélectionnez votre organisation. La page Simulation du chemin d'attaque s'ouvre et affiche les configurations existantes.
Dans la colonne Configuration name (Nom de la configuration), cliquez sur le nom de la configuration à mettre à jour. La page Modifier une configuration de valeur de ressource s'ouvre.
Mettez à jour les spécifications de la configuration si nécessaire.
Facultatif: cliquez sur Afficher un aperçu des ressources correspondantes pour voir le nombre de ressources correspondant à la configuration mise à jour et une liste des instances de ressources correspondantes.
Cliquez sur Enregistrer.
Les modifications ne sont répercutées dans les scores d'exposition aux attaques et les chemins d'attaque qu'après l'exécution de la prochaine simulation du chemin d'attaque.
Supprimer une configuration
Pour supprimer une configuration de valeur de ressource, procédez comme suit:
Accédez à la page Simulation du chemin d'attaque dans les Paramètres de Security Command Center:
Sélectionnez votre organisation. La page Simulation du chemin d'attaque s'ouvre.
Sous Configurations de valeur de la ressource, à droite de la ligne de la configuration que vous devez supprimer, affichez le menu d'actions en cliquant sur les points verticaux. Si les points verticaux ne s'affichent pas, faites défiler la page vers la droite.
Dans le menu d'actions qui s'affiche, sélectionnez Supprimer.
Dans la boîte de dialogue de confirmation, sélectionnez Confirmer.
La configuration est supprimée.
Afficher une configuration
Vous pouvez afficher toutes les configurations de valeurs de ressources existantes sur la page Simulation du chemin d'attaque dans les Paramètres de Security Command Center.
Pour afficher une configuration de valeur de ressource spécifique, accédez à la page Simulation du chemin d'attaque.
Sélectionnez votre organisation. La page Simulation du chemin d'attaque s'ouvre.
Sous Configurations de valeurs de ressources sur la page Simulation de chemin d'attaque, faites défiler la liste des configurations de valeurs de ressources jusqu'à trouver la configuration dont vous avez besoin.
Pour afficher les propriétés de configuration, cliquez sur le nom de la configuration. Les propriétés s'affichent sur la page Modifier une configuration de valeur de ressource.
Afficher les configurations correspondant à une ressource à forte valeur
Vous pouvez afficher toutes les configurations correspondant aux ressources de l'ensemble de ressources à forte valeur. Cette fonctionnalité est utile si vous souhaitez examiner les règles qui ont déterminé les valeurs de ressources de votre ensemble de ressources à forte valeur.
Pour afficher les configurations correspondant à une ressource à forte valeur ajoutée, procédez comme suit:
- Affichez l'ensemble de ressources à forte valeur.
- Recherchez la ressource dont vous souhaitez afficher les configurations. Les configurations correspondantes pour cette ressource sont listées dans la colonne Configurations correspondantes. Les configurations sont listées par ordre décroissant en fonction de la valeur de la ressource qu'elles lui attribuent :
High
,Medium
ouLow
. Pour afficher les propriétés d'une configuration, cliquez sur son nom. Les propriétés s'affichent sur la page Modifier une configuration de valeur de ressource.
Une configuration récemment supprimée reste visible, mais n'est plus cliquable jusqu'à l'exécution de la prochaine simulation de chemin d'attaque.
Facultatif: Modifiez la configuration, puis cliquez sur Enregistrer.
Dépannage
Si vous recevez des erreurs après avoir créé, modifié ou supprimé des configurations de valeurs de ressources, recherchez les résultats de la classe SCC Error
dans la console Google Cloud en procédant comme suit:
Accédez à la page Résultats de la console Google Cloud:
Dans le panneau Filtres rapides, faites défiler la section Classe de résultat et sélectionnez Erreur SCC.
Dans le panneau Résultats de la requête de résultats, recherchez les résultats
SCC Error
suivants et cliquez sur le nom de la catégorie:APS no resource value configs match any resources
APS resource value assignment limit exceeded
Le panneau des détails du résultat s'ouvre.
Dans le panneau "Détails de la recherche", consultez les informations de la section Étapes suivantes.
Pour consulter les instructions de correction des résultats SCC Error
de la simulation du chemin d'attaque dans la documentation, consultez les pages suivantes:
- Aucune configuration de valeur de ressource APS ne correspond à une ressource
- Limite d'attribution de valeurs de ressources APS dépassée
Étape suivante
Pour en savoir plus sur l'utilisation des résultats de Security Command Center, consultez la section Examiner et gérer les résultats.