En esta página, se muestra cómo crear, editar, borrar y ver el valor de los recursos parámetros de configuración.
Usar configuraciones de valores de recursos para crear tu conjunto de recursos de alto valor. Tu conjunto de recursos de alto valor determina cuáles de tus instancias de recursos (denominadas recursos) las simulaciones de rutas de ataque consideran recursos de alto valor.
Puedes definir configuraciones de valor de recursos para los recursos en Google Cloud o, si tienes el nivel Enterprise de Security Command Center para recursos en los otros proveedores de servicios en la nube al que está conectado Security Command Center.
Cuando se ejecutan las simulaciones de rutas de ataque, estas identifican las rutas de ataque y
calculan las puntuaciones de exposición a ataques para los recursos designados como
recursos de alto valor y para los hallazgos de clase Vulnerability
, clase Misconfiguration
y clase Toxic combination
.
Las simulaciones de las rutas de ataque se pueden ejecutar hasta cuatro veces al día (cada seis horas). Como organización crece, las simulaciones demoran más, pero siempre se ejecutarán al menos una vez al día. La creación, modificación o borradura de recursos o configuraciones de valor de recursos no activa las ejecuciones de simulación.
Para obtener una introducción a los conjuntos de recursos de alto valor y las configuraciones de valor de recursos, consulta Conjuntos de recursos de alto valor.
Antes de comenzar
Para obtener los permisos que necesitas para ver y trabajar con las configuraciones de valores de recursos, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu organización:
-
Editor de configuración de valores de recursos (
roles/securitycenter.resourceValueConfigEditor
) -
Visualizador de configuración del valor de recurso (
roles/securitycenter.resourceValueConfigsViewer
) -
Editor de configuración del centro de seguridad (
roles/securitycenter.settingsEditor
)
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
Crear una configuración del valor de recurso
Puedes crear configuraciones de valores de recursos con la simulación de ruta de ataque. en la página Configuración de Security Command Center en la consola de Google Cloud.
Para crear una configuración del valor del recurso, haz clic en la pestaña de tu proveedor de servicios en la nube y sigue estos pasos:
Google Cloud
Ve a la página Simulación de rutas de ataque en la Configuración de Security Command Center:
Selecciona tu organización. Se abrirá la página Simulación de ruta de ataque.
Haz clic en Crear configuración nueva. Se abrirá el panel Crear configuración del valor del recurso.
En el campo Nombre, especifica un nombre para esta configuración de valor de recurso.
Opcional: Ingresa una descripción de la configuración.
En Proveedor de servicios en la nube, selecciona Google Cloud.
En el campo Seleccionar alcance, haz clic en Seleccionar y usa el navegador de proyectos para seleccionar un proyecto, una carpeta o la organización. Esta solo se aplica a las instancias de recursos en el permiso especificado.
En el campo Seleccionar tipo de recurso, haz clic en el campo para mostrar la y selecciona un tipo de recurso o Cualquiera. La configuración se aplica a instancias del tipo de recurso especificado o, si seleccionas Any, a instancias de todos los tipos de recursos admitidos. Any es el valor predeterminado.
Opcional: En la sección Etiqueta, haz clic en Agregar etiqueta para especificar una o más etiquetas. Cuando se especifica una etiqueta, solo se aplica la configuración a los recursos que incluyen la etiqueta en sus metadatos.
Si aplicas una etiqueta nueva a algún recurso, esto puede tardar varias horas. antes de que la etiqueta esté disponible para coincidir con una configuración.
Opcional: En la sección Etiqueta, haz clic en Agregar etiqueta para especificar una o más etiquetas. Cuando se especifica una etiqueta, la configuración solo se aplica a los recursos que incluyen la etiqueta en sus metadatos.
Si defines una etiqueta nueva para cualquier recurso, esto puede tardar varias horas. antes de que la etiqueta esté disponible para coincidir con una configuración.
Para establecer el valor de prioridad de los recursos que coincidan, especifica una de las siguientes opciones:
Opcional: Si usas el servicio de descubrimiento de Sensitive Data Protection, habilita Security Command Center para que establezca automáticamente el valor de prioridad de los recursos de datos compatibles según las clasificaciones de sensibilidad de los datos de Sensitive Data Protection:
- Haz clic en el control deslizante junto a Incluir estadísticas de descubrimiento de Sensitive Data Protection.
- En el primer campo Asignar valor del recurso, selecciona la valor de prioridad para asignar a los recursos coincidentes que contienen datos de alta sensibilidad.
- En el segundo campo Asignar valor del recurso, selecciona la valor de prioridad para asignar a los recursos coincidentes que contienen datos de sensibilidad media.
En el campo Seleccionar valor de recurso, selecciona un valor para asignar a las instancias de recursos. Este valor está relacionado con las otras instancias de recursos en tu conjunto de recursos de alto valor. El valor se usa durante el cálculo de las puntuaciones de exposición a ataques.
Haz clic en Guardar.
AWS
Para que Security Command Center pueda mostrar las puntuaciones de exposición a ataques y las rutas de ataque de los recursos que especifiques en una configuración de valor de recursos, Security Command Center debe estar conectado a AWS. Para obtener más información, consulta Compatibilidad con múltiples nubes.
Ve a la página Simulación de rutas de ataque en la Configuración de Security Command Center:
Selecciona tu organización. Se abrirá la página Simulación de rutas de ataque.
Haz clic en Crear configuración nueva. Se abrirá el panel Crear configuración del valor del recurso.
En el campo Nombre, especifica un nombre para esta configuración de valor de recurso.
Opcional: Ingresa una descripción de la configuración.
En Proveedor de servicios en la nube, selecciona Amazon Web Services.
Opcional: En el campo ID de la cuenta, ingresa un ID de la cuenta de AWS de 12 dígitos. Si no se especifica, la configuración del valor del recurso se aplica a todas las cuentas de AWS que se especifican en la configuración de conexión de AWS.
Opcional: En el campo Región, ingresa una región de AWS. Por ejemplo,
us-east-1
Si no se especifica, la configuración del valor del recurso se aplica a todas las regiones de AWS.En el campo Seleccionar tipo de recurso, haz clic en el campo para mostrar la y selecciona un tipo de recurso o Cualquiera. La configuración se aplica a instancias del tipo de recurso especificado o, si seleccionas Any, a instancias de todos los tipos de recursos de AWS admitidos. Any es el valor predeterminado.
Opcional: En la sección Etiqueta, haz clic en Agregar etiqueta para especificar una o más etiquetas. Cuando se especifica una etiqueta, la configuración solo se aplica a los recursos que incluyen la etiqueta en sus metadatos.
Si defines una etiqueta nueva para algún recurso, puede tardar varias horas antes de que esté disponible para que una configuración la coincida.
Establece el valor de prioridad para los recursos coincidentes especificando una de las siguientes opciones:
Opcional: Si usas el Servicio de descubrimiento de protección de datos sensibles, habilitar Security Command Center para establecer automáticamente el valor de prioridad de recursos de datos de AWS compatibles basadas en clasificaciones de sensibilidad de los datos desde Protección de datos sensibles:
- Haz clic en el control deslizante junto a Incluir estadísticas de descubrimiento de Protección de datos sensibles.
- En el primer campo Asignar valor del recurso, selecciona la valor de prioridad para asignar a los recursos coincidentes que contienen datos de alta sensibilidad.
- En el segundo campo Asignar valor del recurso, selecciona la valor de prioridad para asignar a los recursos coincidentes que contienen datos de sensibilidad media.
En el campo Seleccionar valor de recurso, selecciona un valor para asignar a las instancias de recursos. Este valor está relacionado con las otras instancias de recursos en tu conjunto de recursos de alto valor. El valor se usa durante el cálculo de las puntuaciones de exposición a ataques.
Haz clic en Guardar.
La nueva configuración se refleja en las puntuaciones de exposición a ataques y las rutas de ataque solo después de que se ejecute la siguiente simulación de ruta de ataque.
Edita una configuración
Excepto por el nombre, puedes actualizar cualquier especificación en un recurso la configuración del valor.
Para actualizar la configuración de un valor de recurso existente, sigue estos pasos:
Ve a la página Simulación de rutas de ataque en la Configuración de Security Command Center:
Selecciona tu organización. El ataque Se abrirá la página de simulación de rutas y se mostrarán los parámetros de configuración existentes.
En la columna Nombre de configuración, haz clic en el nombre de la configuración. que debes actualizar. Se abrirá la página Edita la configuración de valor del recurso.
Actualiza las especificaciones en la configuración según sea necesario.
Opcional: Haz clic en Obtener vista previa de los recursos coincidentes para ver cuántos recursos coinciden con la configuración actualizada y una lista de las instancias de recursos coincidentes individuales.
Haz clic en Guardar.
Los cambios se reflejan en las puntuaciones de exposición a ataques y las rutas de ataque solo después de que se ejecute la siguiente simulación de ruta de ataque.
Cómo borrar una configuración
Para borrar la configuración de un valor de recurso, sigue estos pasos:
Ve a la página Simulación de rutas de ataque en la Configuración de Security Command Center:
Selecciona tu organización. Se abrirá la página Simulación de ruta de ataque.
En Parámetros de configuración de valores de recursos, en el lado derecho de la fila de la configuración que necesitas borrar, haz clic en los puntos verticales para mostrar el menú de acciones. Si no ves los puntos verticales, desplázate hacia la derecha.
En el menú de acciones que se muestra, selecciona Borrar.
En el diálogo de confirmación, selecciona Confirmar.
Se borró la configuración.
Cómo ver una configuración
Puedes ver todas las configuraciones de valor de recursos existentes en la página Simulación de ruta de ataque en la Configuración de Security Command Center.
Para ver la configuración de un valor de recurso en particular, ve a la página Simulación de ruta de ataque.
Selecciona tu organización. El ataque de ruta de acceso.
En Configuraciones de valores de recursos en Simulación de ruta de ataque , te desplazas por la lista de configuraciones de valores de recursos hasta que encuentres la configuración que necesitas.
Para ver las propiedades de configuración, haz clic en el nombre de la configuración. Las propiedades se muestran en la página Edita la configuración del valor del recurso.
Soluciona problemas
Si recibes errores después de crear, editar o borrar un recurso
parámetros de configuración de valores, comprueba si hay SCC Error
hallazgos de clase en el
En la consola de Google Cloud, sigue estos pasos:
Ve a la página Hallazgos en la consola de Google Cloud:
En el panel Filtros rápidos, desplázate hasta la sección Finding class y selecciona SCC Error.
En el panel Resultados de la búsqueda de resultados, busca los siguientes resultados
SCC Error
y haz clic en el nombre de la categoría:APS no resource value configs match any resources
APS resource value assignment limit exceeded
Se abrirá el panel de detalles de los hallazgos.
En el panel de detalles de los resultados, revisa la información de la sección Próximos pasos.
Revisar las instrucciones de corrección para la simulación de la ruta de ataque
Resultados de SCC Error
en la documentación, consulta lo siguiente:
- APS no tiene parámetros de configuración de valores de recursos que coincidan con ningún recurso
- Se superó el límite de asignación de valores de recursos de APS
¿Qué sigue?
Para obtener información sobre cómo trabajar con los resultados de Security Command Center, consulta Revisa y administra los resultados.