En esta página, se muestra cómo crear, editar, borrar y ver configuraciones de valores de recursos.
Usa configuraciones de valores de recursos para crear tu conjunto de recursos de alto valor. El conjunto de recursos de alto valor determina cuál de tus instancias de recursos (denominadas recursos) las simulaciones de rutas de ataque consideran recursos de alto valor.
Puedes definir configuraciones de valores de recursos para los recursos de Google Cloud o, si tienes el nivel empresarial de Security Command Center, para los recursos de los otros proveedores de servicios en la nube a los que está conectado Security Command Center.
Cuando se ejecutan las simulaciones de rutas de ataque, identifican rutas de ataque y calculan las puntuaciones de exposición a ataques de los recursos designados como recursos de alto valor y para los hallazgos de las clases Vulnerability y Misconfiguration.
Las simulaciones de rutas de ataque se pueden ejecutar hasta cuatro veces al día (cada seis horas). A medida que tu organización crece, las simulaciones tardan más tiempo, pero siempre se ejecutan al menos una vez al día. Las ejecuciones de simulación no se activan mediante la creación, modificación o eliminación de recursos o configuraciones de valores de recursos.
Para obtener una introducción a los conjuntos de recursos de alto valor y a la configuración de los valores de los recursos, consulta Conjuntos de recursos de alto valor.
Antes de comenzar
Si quieres obtener los permisos que necesitas para ver la configuración de valores de los recursos y trabajar con ella, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu organización:
-
Editor de configuración de valores de recursos (
roles/securitycenter.resourceValueConfigEditor) -
Visualizador de configuración del valor del recurso (
roles/securitycenter.resourceValueConfigsViewer) -
Editor de configuración del centro de seguridad (
roles/securitycenter.settingsEditor)
Si quieres obtener más información para otorgar funciones, consulta Administra el acceso.
Es posible que también puedas obtener los permisos necesarios a través de los roles personalizados o de otros roles predefinidos.
Crear una configuración del valor de recurso
Puedes crear configuraciones de valores de recursos mediante la pestaña Simulación de ruta de ataque en la página Configuración de Security Command Center en la consola de Google Cloud.
Para crear una configuración de valor de recurso, haz clic en la pestaña de tu proveedor de servicios en la nube y sigue estos pasos:
Google Cloud
Ve a la página Simulación de ruta de ataque en la Configuración de Security Command Center:
Selecciona tu organización. Se abrirá la página Simulación de ruta de ataque.
Haz clic en Crear nueva configuración. Se abrirá el panel Crear configuración de valor de recurso.
En el campo Nombre, especifica un nombre para esta configuración de valor de recurso.
Opcional: Ingresa una descripción de la configuración.
En Proveedor de servicios en la nube, selecciona Google Cloud.
En el campo Select scope, haz clic en Select y usa el navegador del proyecto para seleccionar un proyecto, una carpeta o la organización. Esta configuración se aplica solo a las instancias de recursos en el permiso especificado.
En el campo Seleccionar tipo de recurso, haz clic en el campo para mostrar el menú desplegable y selecciona un tipo de recurso o Cualquiera. La configuración se aplica a las instancias del tipo de recurso especificado o, si seleccionas Cualquiera, a las instancias de todos los tipos de recursos compatibles. La opción predeterminada es Cualquiera.
Opcional: En la sección Etiqueta, haz clic en Agregar etiqueta para especificar una o más etiquetas. Cuando se especifica una etiqueta, la configuración solo se aplica a los recursos que la incluyen en sus metadatos.
Si aplicas una etiqueta nueva a algún recurso, pueden pasar varias horas hasta que la etiqueta esté disponible para que coincida con una configuración.
Opcional: En la sección Etiqueta, haz clic en Agregar etiqueta para especificar una o más etiquetas. Cuando se especifica una etiqueta, la configuración solo se aplica a los recursos que la incluyen en sus metadatos.
Si defines una etiqueta nueva para algún recurso, pueden pasar varias horas hasta que la etiqueta esté disponible y pueda coincidir con una configuración.
Especifica una de las siguientes opciones a fin de establecer el valor de prioridad para los recursos coincidentes:
Opcional: Si usas la Protección de datos sensibles, sigue estos pasos para permitir que Security Command Center establezca automáticamente el valor de prioridad de los recursos de datos admitidos en función de las clasificaciones de sensibilidad de los datos de la protección de datos sensibles:
- Haz clic en el control deslizante junto a Incluir estadísticas de descubrimiento de la protección de datos sensibles.
- En el primer campo Asignar valor del recurso (Assign resource value), selecciona el valor de prioridad que se asignará a los recursos coincidentes que contengan datos de alta sensibilidad.
- En el segundo campo Asignar valor de recurso (Assign resource value), selecciona el valor de prioridad que se asignará a los recursos coincidentes que contengan datos de sensibilidad media.
En el campo Selecciona el valor del recurso, selecciona un valor para asignarlo a las instancias de recursos. Este valor es relativo a las otras instancias de recursos en tu conjunto de recursos de alto valor. El valor se usa durante el cálculo de las puntuaciones de exposición a ataques.
Haz clic en Guardar.
AWS
Antes de que Security Command Center pueda mostrar las puntuaciones de exposición a ataques y rutas de ataque para los recursos que especificas en una configuración de valor de recurso, Security Command Center debe estar conectado a AWS. Para obtener más información, consulta Compatibilidad con múltiples nubes.
Ve a la página Simulación de ruta de ataque en la Configuración de Security Command Center:
Selecciona tu organización. Se abrirá la página Simulación de ruta de ataque.
Haz clic en Crear nueva configuración. Se abrirá el panel Crear configuración de valor de recurso.
En el campo Nombre, especifica un nombre para esta configuración de valor de recurso.
Opcional: Ingresa una descripción de la configuración.
En Proveedor de servicios en la nube, selecciona AWS.
Opcional: En el campo ID de cuenta, ingresa un ID de cuenta de AWS de 12 dígitos. Si no se especifica, la configuración del valor del recurso se aplica a todas las cuentas de AWS especificadas en la configuración de conexión de AWS.
Opcional: En el campo Región, ingresa una región de AWS. Por ejemplo,
us-east-1Si no se especifica, la configuración del valor del recurso se aplica a todas las regiones de AWS.En el campo Seleccionar tipo de recurso, haz clic en el campo para mostrar el menú desplegable y selecciona un tipo de recurso o Cualquiera. La configuración se aplica a las instancias del tipo de recurso especificado o, si seleccionas Cualquiera, a las instancias de todos los tipos de recursos compatibles. La opción predeterminada es Cualquiera.
Opcional: En la sección Etiqueta, haz clic en Agregar etiqueta para especificar una o más etiquetas. Cuando se especifica una etiqueta, la configuración solo se aplica a los recursos que la incluyen en sus metadatos.
Si defines una etiqueta nueva para algún recurso, pueden pasar varias horas hasta que la etiqueta esté disponible y pueda coincidir con una configuración.
En el campo Seleccionar valor del recurso, selecciona un valor de prioridad para asignar a las instancias de recursos. Este valor está relacionado con las otras instancias de recursos en tu conjunto de recursos de alto valor. El valor se usa durante el cálculo de las puntuaciones de exposición a ataques.
Haz clic en Guardar.
La nueva configuración se refleja en las puntuaciones de exposición a ataques y en las rutas de ataque solo después de que se ejecuta la siguiente simulación de ruta de ataque.
Cómo editar una configuración
Excepto por el nombre, puedes actualizar cualquier especificación en una configuración de valor de recurso.
Para actualizar una configuración de valor de recurso existente, sigue estos pasos:
Ve a la página Simulación de ruta de ataque en la Configuración de Security Command Center:
Selecciona tu organización. Se abrirá la página Simulación de ruta de ataque, que mostrará la configuración existente.
En la columna Nombre de configuración, haz clic en el nombre de la configuración que necesitas actualizar. Se abrirá la página Editar configuración de valor del recurso.
Actualiza las especificaciones en la configuración según sea necesario.
Opcional: Haz clic en Obtener vista previa de recursos coincidentes para ver cuántos recursos coinciden con las coincidencias de la configuración actualizada y una lista de las instancias de recursos coincidentes individuales.
Haz clic en Guardar.
Los cambios se reflejan en las puntuaciones de exposición a ataques y en las rutas de ataque solo después de que se ejecuta la siguiente simulación de ruta de ataque.
Cómo borrar una configuración
Para borrar una configuración de valor de recurso, sigue estos pasos:
Ve a la página Simulación de ruta de ataque en la Configuración de Security Command Center:
Selecciona tu organización. Se abrirá la página Simulación de ruta de ataque.
En Configuración de valores de recursos, en el lado derecho de la fila de la configuración que necesitas borrar, haz clic en los puntos verticales para mostrar el menú de acciones. Si no ves los puntos verticales, desplázate hacia la derecha.
En el menú de acciones que se muestra, selecciona Borrar.
En el diálogo de confirmación, selecciona Confirmar.
Se borró la configuración.
Visualiza una configuración
Puedes ver todas las configuraciones existentes de valores de recursos en la página Simulación de ruta de ataque en la Configuración de Security Command Center.
Para ver la configuración de un valor de recurso en particular, ve a la página Simulación de ruta de ataque.
Selecciona tu organización. Se abrirá la página Simulación de ruta de ataque.
En Configuración de valores de recursos, en la página Simulación de ruta de ataque, desplázate por la lista de configuraciones de valores de recursos hasta que encuentres la configuración que necesitas.
Para ver las propiedades de configuración, haz clic en el nombre de la configuración. Las propiedades se muestran en la página Editar la configuración del valor del recurso.
Soluciona problemas
Si recibes errores después de crear, editar o borrar configuraciones de valores de recursos, verifica los resultados de la clase SCC Error en la consola de Google Cloud mediante estos pasos:
Ve a la página Resultados en la consola de Google Cloud:
En el panel Filtros rápidos, desplázate hasta la sección Finding class y selecciona SCC Error.
En el panel Resultados de la consulta, analiza los resultados en busca de los siguientes resultados de
SCC Errory haz clic en el nombre de la categoría:APS no resource value configs match any resourcesAPS resource value assignment limit exceeded
Se abrirá el panel de detalles del hallazgo.
En el panel de detalles del resultado, revisa la información de la sección Próximos pasos.
Si deseas revisar las instrucciones para solucionar los resultados de SCC Error de la simulación de rutas de ataque en la documentación, consulta lo siguiente:
- Los parámetros de configuración de ningún valor de recurso de APS coinciden con ningún recurso
- Se superó el límite de asignación de valores de recursos de APS
¿Qué sigue?
Para obtener información sobre cómo trabajar con los resultados de Security Command Center, consulta Trabaja con los resultados en la consola de Google Cloud.