Cette page vous explique comment créer, modifier, supprimer et afficher des configurations de valeur de ressource.
Utilisez les configurations de valeurs de ressources pour créer votre ensemble de ressources à forte valeur. Votre ensemble de ressources à forte valeur détermine quelles instances de ressources (appelées ressources) sont considérées comme des ressources à forte valeur par les simulations de chemin d'attaque.
Vous pouvez définir des configurations de valeur de ressource pour les ressources sur Google Cloud ou, si vous disposez du niveau Entreprise de Security Command Center, pour les ressources des autres fournisseurs de services cloud auxquels Security Command Center est connecté.
Lorsque les simulations de chemin d'attaque sont exécutées, elles identifient les chemins d'attaque et calculent les scores d'exposition aux attaques pour les ressources désignées comme étant de forte valeur, et pour les résultats des classes Vulnerability et Misconfiguration.
Les simulations de chemin d'attaque peuvent s'exécuter jusqu'à quatre fois par jour (toutes les six heures). À mesure que votre organisation se développe, les simulations prennent plus de temps, mais elles s'exécutent toujours au moins une fois par jour. Les exécutions de simulation ne sont pas déclenchées par la création, la modification ou la suppression de ressources ou de configurations de valeurs de ressources.
Pour en savoir plus sur les ensembles de ressources à forte valeur et les configurations de valeurs de ressources, consultez la section Ensembles de ressources à forte valeur.
Avant de commencer
Pour obtenir les autorisations nécessaires pour afficher et utiliser les configurations des valeurs de ressources, demandez à votre administrateur de vous attribuer les rôles IAM suivants pour votre organisation:
-
Éditeur de configuration des valeurs de ressource (
roles/securitycenter.resourceValueConfigEditor) -
Lecteur de configuration des valeurs de ressource (
roles/securitycenter.resourceValueConfigsViewer) -
Éditeur des paramètres du centre de sécurité (
roles/securitycenter.settingsEditor)
Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.
Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.
Créer une configuration des valeurs de ressource
Pour créer des configurations de valeurs de ressources, accédez à l'onglet Simulation du chemin d'attaque de la page Paramètres de Security Command Center dans la console Google Cloud.
Pour créer une configuration de valeur de ressource, cliquez sur l'onglet correspondant à votre fournisseur de services cloud, puis procédez comme suit:
Accès IAP
Accédez à la page Simulation du chemin d'attaque dans les paramètres de Security Command Center:
Sélectionnez votre organisation. La page Simulation du chemin d'attaque s'ouvre.
Cliquez sur Créer une configuration. Le panneau Créer une configuration de valeur de ressource s'ouvre.
Dans le champ Nom, indiquez un nom pour cette configuration de valeur de ressource.
Facultatif: Saisissez une description de la configuration.
Sous Fournisseur cloud, sélectionnez Google Cloud.
Dans le champ Sélectionner un champ d'application, cliquez sur Sélectionner et utilisez le navigateur de projet pour sélectionner un projet, un dossier ou l'organisation. Cette configuration ne s'applique qu'aux instances de ressources comprises dans le champ d'application spécifié.
Dans le champ Sélectionner un type de ressource, cliquez dans le champ pour afficher le menu déroulant, puis sélectionnez un type de ressource ou Toutes. La configuration s'applique aux instances du type de ressource spécifié ou, si vous sélectionnez Toutes, aux instances de tous les types de ressources compatibles. Toutes est la valeur par défaut.
Facultatif: dans la section Libellé, cliquez sur Ajouter une étiquette pour spécifier une ou plusieurs étiquettes. Lorsqu'un libellé est spécifié, la configuration ne s'applique qu'aux ressources qui incluent le libellé dans leurs métadonnées.
Si vous appliquez un nouveau libellé à une ressource, plusieurs heures peuvent s'écouler avant qu'il ne soit disponible pour être mis en correspondance par une configuration.
(Facultatif) Dans la section Tag, cliquez sur Ajouter une balise pour spécifier une ou plusieurs balises. Lorsqu'un tag est spécifié, la configuration ne s'applique qu'aux ressources qui incluent la balise dans leurs métadonnées.
Si vous définissez un nouveau tag pour une ressource, plusieurs heures peuvent s'écouler avant qu'il ne soit disponible pour la mise en correspondance via une configuration.
Définissez la valeur de priorité des ressources correspondantes en spécifiant l'une des options suivantes:
Facultatif: Si vous utilisez le service de découverte de la protection des données sensibles, activez Security Command Center pour définir automatiquement la valeur de priorité des ressources de données compatibles en fonction des classifications de la sensibilité des données issues de la protection des données sensibles en procédant comme suit:
- Cliquez sur le curseur à côté de l'option Inclure les insights de découverte de Sensitive Data Protection.
- Dans le premier champ Attribuer une valeur de ressource, sélectionnez la valeur de priorité à attribuer aux ressources correspondantes contenant des données de sensibilité élevée.
- Dans le deuxième champ Attribuer une valeur de ressource, sélectionnez la valeur de priorité à attribuer aux ressources correspondantes qui contiennent des données de sensibilité moyenne.
Dans le champ Sélectionner la valeur de la ressource, sélectionnez une valeur à attribuer aux instances de ressources. Cette valeur est relative aux autres instances de ressources de votre ensemble de ressources à forte valeur. Cette valeur est utilisée lors du calcul des scores d'exposition aux attaques.
Cliquez sur Enregistrer.
AWS
Avant que Security Command Center puisse renvoyer des scores d'exposition aux attaques et des chemins d'attaque pour les ressources que vous spécifiez dans une configuration de valeur de ressource, Security Command Center doit être connecté à AWS. Pour en savoir plus, consultez la section Compatibilité multicloud.
Accédez à la page Simulation du chemin d'attaque dans les paramètres de Security Command Center:
Sélectionnez votre organisation. La page Simulation du chemin d'attaque s'ouvre.
Cliquez sur Créer une configuration. Le panneau Créer une configuration de valeur de ressource s'ouvre.
Dans le champ Nom, indiquez un nom pour cette configuration de valeur de ressource.
Facultatif: Saisissez une description de la configuration.
Sous Fournisseur cloud, sélectionnez AWS.
Facultatif: dans le champ Account ID (ID de compte), saisissez un ID de compte AWS à 12 chiffres. Si elle n'est pas spécifiée, la configuration de la valeur de ressource s'applique à tous les comptes AWS spécifiés dans la configuration de la connexion AWS.
Facultatif: dans le champ Région, saisissez une région AWS. Exemple :
us-east-1. Si elle n'est pas spécifiée, la configuration de la valeur de ressource s'applique à toutes les régions AWS.Dans le champ Sélectionner un type de ressource, cliquez dans le champ pour afficher le menu déroulant, puis sélectionnez un type de ressource ou Toutes. La configuration s'applique aux instances du type de ressource spécifié ou, si vous sélectionnez Toutes, aux instances de tous les types de ressources compatibles. Toutes est la valeur par défaut.
(Facultatif) Dans la section Tag, cliquez sur Ajouter une balise pour spécifier une ou plusieurs balises. Lorsqu'un tag est spécifié, la configuration ne s'applique qu'aux ressources qui incluent la balise dans leurs métadonnées.
Si vous définissez un nouveau tag pour une ressource, plusieurs heures peuvent s'écouler avant qu'il ne soit disponible pour la mise en correspondance via une configuration.
Dans le champ Sélectionner la valeur de la ressource, sélectionnez une valeur de priorité à attribuer aux instances de ressources. Cette valeur est relative aux autres instances de ressources de votre ensemble de ressources à forte valeur. Cette valeur est utilisée lors du calcul des scores d'exposition aux attaques.
Cliquez sur Enregistrer.
La nouvelle configuration n'est reflétée dans les scores d'exposition aux attaques et les chemins d'attaque qu'après l'exécution de la simulation suivante.
Modifier une configuration
À l'exception du nom, vous pouvez mettre à jour n'importe quelle spécification dans une configuration de valeur de ressource.
Pour mettre à jour une configuration de valeur de ressource existante, procédez comme suit:
Accédez à la page Simulation du chemin d'attaque dans les paramètres de Security Command Center:
Sélectionnez votre organisation. La page Attack path simulation (Simulation du chemin d'attaque) s'ouvre avec les configurations existantes.
Dans la colonne Nom de la configuration, cliquez sur le nom de la configuration que vous devez mettre à jour. La page Modifier la configuration des valeurs de ressources s'ouvre.
Mettez à jour les spécifications dans la configuration si nécessaire.
Facultatif: Cliquez sur Prévisualiser les ressources correspondantes pour afficher le nombre de ressources correspondant aux correspondances de configuration mises à jour et la liste des instances de ressources individuelles.
Cliquez sur Enregistrer.
Les modifications ne sont reflétées dans les scores d'exposition au piratage et dans les chemins d'attaque qu'après l'exécution de la simulation suivante.
Supprimer une configuration
Pour supprimer une configuration de valeur de ressource, procédez comme suit:
Accédez à la page Simulation du chemin d'attaque dans les paramètres de Security Command Center:
Sélectionnez votre organisation. La page Simulation du chemin d'attaque s'ouvre.
Sous Configurations de valeurs de ressource à droite de la ligne de la configuration que vous devez supprimer, affichez le menu d'actions en cliquant sur les points verticaux. Si vous ne voyez pas les points verticaux, faites défiler l'écran vers la droite.
Dans le menu d'actions qui s'affiche, sélectionnez Supprimer.
Dans la boîte de dialogue de confirmation, sélectionnez Confirmer.
La configuration est supprimée.
Afficher une configuration
Vous pouvez afficher toutes les configurations de valeurs de ressources existantes sur la page Simulation du chemin d'attaque dans les paramètres de Security Command Center.
Pour afficher la configuration de valeur de ressource spécifique, accédez à la page Simulation du chemin d'attaque.
Sélectionnez votre organisation. La page Simulation du chemin d'attaque s'ouvre.
Dans la section Configurations des valeurs de ressource de la page Simulation du chemin d'attaque, faites défiler la liste des configurations de valeurs de ressources jusqu'à ce que vous trouviez la configuration dont vous avez besoin.
Pour afficher les propriétés de la configuration, cliquez sur son nom. Les propriétés s'affichent sur la page Modifier la configuration des valeurs de ressource.
Dépannage
Si vous recevez des erreurs après avoir créé, modifié ou supprimé des configurations de valeur de ressource, vérifiez les résultats de la classe SCC Error dans la console Google Cloud en procédant comme suit:
Accédez à la page Résultats de la console Google Cloud:
Dans le panneau Quick filters (Filtres rapides), faites défiler la page jusqu'à la section Finding class (Classe de recherche), puis sélectionnez SCC Error (Erreur SCC).
Dans le panneau Résultats de la requête de résultat, analysez les résultats à la recherche des résultats
SCC Errorsuivants, puis cliquez sur le nom de la catégorie:APS no resource value configs match any resourcesAPS resource value assignment limit exceeded
Le panneau des détails du résultat s'ouvre.
Dans le panneau des détails du résultat, consultez les informations de la section Étapes suivantes.
Pour consulter les instructions de correction pour les résultats de simulation de chemin d'attaque SCC Error dans la documentation, consultez les pages suivantes:
- APS : aucune configuration de valeur de ressource ne correspond à aucune ressource
- Limite d'attribution de valeurs de ressources APS dépassée
Étapes suivantes
Pour en savoir plus sur l'utilisation des résultats de Security Command Center, consultez la page Utiliser les résultats dans la console Google Cloud.