En esta página, se muestra cómo crear, editar, borrar y ver configuraciones de valores de recursos.
Usa la configuración de valor de los recursos para crear tu conjunto de recursos de alto valor. Tu conjunto de recursos de alto valor determina cuáles de tus instancias de recursos (denominadas recursos) que las simulaciones de rutas de ataque consideran recursos de alto valor.
Puedes definir configuraciones de valores de recursos para los recursos en Google Cloud o, si tienes el nivel empresarial de Security Command Center, para los recursos en los otros proveedores de servicios en la nube a los que está conectado Security Command Center.
Cuando se ejecutan las simulaciones de rutas de ataque, identifican las rutas de ataque y
calculan las puntuaciones de exposición a ataques de los recursos designados como
recursos de alto valor y para los hallazgos de las clases Vulnerability, Misconfiguration
y Toxic combination.
Las simulaciones de rutas de ataque se pueden ejecutar hasta cuatro veces al día (cada seis horas). A medida que tu organización crece, las simulaciones tardan más tiempo, pero siempre se ejecutarán al menos una vez al día. Las ejecuciones de simulación no se activan mediante la creación, modificación o eliminación de recursos o configuraciones de valores de recursos.
Para obtener una introducción a los conjuntos de recursos de alto valor y las configuraciones de valores de recursos, consulta Conjuntos de recursos de alto valor.
Antes de comenzar
A fin de obtener los permisos que necesitas para ver y trabajar con las configuraciones de valores de recursos, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu organización:
-
Editor de configuración de valores de recursos (
roles/securitycenter.resourceValueConfigEditor) -
Visualizador de configuración del valor de recurso (
roles/securitycenter.resourceValueConfigsViewer) -
Editor de configuración del centro de seguridad (
roles/securitycenter.settingsEditor)
Si quieres obtener más información para otorgar roles, consulta Administra el acceso.
Es posible que también puedas obtener los permisos necesarios a través de funciones personalizadas o, también, otras funciones predefinidas.
Crear una configuración del valor de recurso
Puedes crear configuraciones de valores de recursos con la pestaña Simulación de ruta de ataque en la página Configuración de Security Command Center en la consola de Google Cloud.
Para crear una configuración de valor del recurso, haz clic en la pestaña de tu proveedor de servicios en la nube y sigue estos pasos:
Google Cloud
Ve a la página Simulación de ruta de ataque en la Configuración de Security Command Center:
Selecciona tu organización. Se abrirá la página Simulación de ruta de ataque.
Haz clic en Crear configuración nueva. Se abrirá el panel Crear la configuración del valor del recurso.
En el campo Nombre, especifica un nombre para esta configuración del valor del recurso.
Opcional: Ingresa una descripción de la configuración.
En Proveedor de servicios en la nube, selecciona Google Cloud.
En el campo Seleccionar alcance, haz clic en Seleccionar y usa el navegador del proyecto para seleccionar un proyecto, la organización o una carpeta. Esta configuración solo se aplica a las instancias de recursos en el permiso especificado.
En el campo Seleccionar tipo de recurso (Select resource type), haz clic en el campo para mostrar el menú desplegable y selecciona un tipo de recurso o Cualquiera (Any). La configuración se aplica a instancias del tipo de recurso especificado o, si seleccionas Cualquiera, a instancias de todos los tipos de recursos admitidos. Any es la opción predeterminada.
Opcional: En la sección Etiqueta, haz clic en Agregar etiqueta para especificar una o más etiquetas. Cuando se especifica una etiqueta, la configuración solo se aplica a los recursos que la incluyen en sus metadatos.
Si aplicas una etiqueta nueva a algún recurso, pueden pasar varias horas antes de que la etiqueta esté disponible para la coincidencia con una configuración.
Opcional: En la sección Etiqueta, haz clic en Agregar etiqueta para especificar una o más etiquetas. Cuando se especifica una etiqueta, la configuración solo se aplica a los recursos que la incluyen en sus metadatos.
Si defines una etiqueta nueva para cualquier recurso, pueden pasar varias horas antes de que la etiqueta esté disponible a fin de que coincida con una configuración.
Establece el valor de prioridad de los recursos coincidentes mediante la especificación de una de las siguientes opciones:
Opcional: Si usas el servicio de descubrimiento de Sensitive Data Protection, habilita Security Command Center para establecer automáticamente el valor de prioridad de los recursos de datos admitidos según las clasificaciones de sensibilidad de los datos de Sensitive Data Protection. Para ello, sigue estos pasos:
- Haz clic en el control deslizante junto a Incluir estadísticas de descubrimiento de Sensitive Data Protection.
- En el primer campo Asignar valor del recurso, selecciona el valor de prioridad para asignar a los recursos coincidentes que contengan datos de alta sensibilidad.
- En el segundo campo Asignar valor del recurso, selecciona el valor de prioridad para asignar a los recursos coincidentes que contengan datos de sensibilidad media.
En el campo Seleccionar el valor del recurso, selecciona un valor para asignarlo a las instancias de recursos. Este valor es relativo a las otras instancias de recursos en tu conjunto de recursos de alto valor. El valor se usa durante el cálculo de las puntuaciones de exposición a ataques.
Haz clic en Guardar.
AWS
Antes de que Security Command Center pueda mostrar puntuaciones de exposición a ataques y rutas de ataque para los recursos que especifiques en una configuración de valor de recurso, Security Command Center debe estar conectado a AWS. Para obtener más información, consulta Compatibilidad con múltiples nubes.
Ve a la página Simulación de ruta de ataque en la Configuración de Security Command Center:
Selecciona tu organización. Se abrirá la página Simulación de ruta de ataque.
Haz clic en Crear configuración nueva. Se abrirá el panel Crear la configuración del valor del recurso.
En el campo Nombre, especifica un nombre para esta configuración del valor del recurso.
Opcional: Ingresa una descripción de la configuración.
En Proveedor de servicios en la nube, selecciona AWS.
Opcional: En el campo ID de la cuenta, ingresa un ID de la cuenta de AWS de 12 dígitos. Si no se especifica, la configuración del valor del recurso se aplica a todas las cuentas de AWS especificadas en la configuración de conexión de AWS.
Opcional: En el campo Región, ingresa una región de AWS. Por ejemplo,
us-east-1Si no se especifica, la configuración del valor del recurso se aplica a todas las regiones de AWS.En el campo Seleccionar tipo de recurso (Select resource type), haz clic en el campo para mostrar el menú desplegable y selecciona un tipo de recurso o Cualquiera (Any). La configuración se aplica a instancias del tipo de recurso especificado o, si seleccionas Cualquiera, a instancias de todos los tipos de recursos admitidos. Any es la opción predeterminada.
Opcional: En la sección Etiqueta, haz clic en Agregar etiqueta para especificar una o más etiquetas. Cuando se especifica una etiqueta, la configuración solo se aplica a los recursos que la incluyen en sus metadatos.
Si defines una etiqueta nueva para cualquier recurso, pueden pasar varias horas antes de que la etiqueta esté disponible a fin de que coincida con una configuración.
En el campo Seleccionar el valor del recurso, elige un valor de prioridad para asignarlo a las instancias de recursos. Este valor es relativo a las otras instancias de recursos en el conjunto de recursos de alto valor. El valor se usa durante el cálculo de las puntuaciones de exposición a ataques.
Haz clic en Guardar.
La nueva configuración se refleja en las puntuaciones de exposición a ataques y las rutas de ataque solo después de que se ejecute la siguiente simulación de ruta de ataque.
Editar una configuración
Excepto por el nombre, puedes actualizar cualquier especificación en una configuración de valor de recurso.
Para actualizar la configuración de un valor de recurso existente, sigue estos pasos:
Ve a la página Simulación de ruta de ataque en la Configuración de Security Command Center:
Selecciona tu organización. Se abrirá la página Simulación de ruta de ataque y se mostrarán los parámetros de configuración existentes.
En la columna Nombre de configuración, haz clic en el nombre de la configuración que necesitas actualizar. Se abrirá la página Editar configuración del valor del recurso.
Actualiza las especificaciones en la configuración según sea necesario.
Opcional: Haz clic en Preview matching resources para ver cuántos recursos coinciden con la configuración actualizada y una lista de las instancias de recursos individuales coincidentes.
Haz clic en Guardar.
Los cambios se reflejan en las puntuaciones de exposición a ataques y las rutas de ataque solo después de que se ejecute la siguiente simulación de ruta de ataque.
Borrar una configuración
Para borrar una configuración de valor de recurso, sigue estos pasos:
Ve a la página Simulación de ruta de ataque en la Configuración de Security Command Center:
Selecciona tu organización. Se abrirá la página Simulación de ruta de ataque.
En Configuración de valores de recursos, en el lado derecho de la fila para la configuración que necesitas borrar, haz clic en los puntos verticales para mostrar el menú de acciones. Si no ves los puntos verticales, desplázate hacia la derecha.
En el menú de acciones que se muestra, selecciona Borrar.
En el diálogo de confirmación, selecciona Confirmar.
Se borró la configuración.
Visualiza una configuración
Puedes ver todas las configuraciones de valores de recursos existentes en la página Simulación de ruta de ataque en la Configuración de Security Command Center.
Para ver una configuración particular del valor de un recurso, ve a la página Simulación de ruta de ataque.
Selecciona tu organización. Se abrirá la página Simulación de ruta de ataque.
En Configuración de valores de recursos en la página Simulación de ruta de ataque, desplázate por la lista de configuraciones de valores de recursos hasta que encuentres la configuración que necesitas.
Para ver las propiedades de configuración, haz clic en el nombre de la configuración. Las propiedades se muestran en la página Editar configuración del valor del recurso.
Soluciona problemas
Si recibes errores después de crear, editar o borrar configuraciones de valores de recursos, sigue estos pasos para verificar los resultados de la clase SCC Error en la consola de Google Cloud:
Ve a la página Hallazgos en la consola de Google Cloud:
En el panel Filtros rápidos, desplázate hasta la sección Clase de resultado y selecciona Error de SCC.
En el panel Resultados de la búsqueda, analiza los hallazgos de los siguientes
SCC Errory haz clic en el nombre de la categoría:APS no resource value configs match any resourcesAPS resource value assignment limit exceeded
Se abrirá el panel de detalles de los hallazgos.
En el panel de detalles de los hallazgos, revisa la información de la sección Próximos pasos.
Si quieres revisar las instrucciones de solución de los hallazgos de SCC Error de la simulación de ruta de ataque en la documentación, consulta lo siguiente:
- APS no tiene parámetros de configuración de valores de recursos que coincidan con ningún recurso
- Se superó el límite de asignación de valores de recursos de APS
¿Qué sigue?
Para obtener información sobre cómo trabajar con los resultados de Security Command Center, consulta Trabaja con los resultados en la consola de Google Cloud.