Cette page a été traduite par l'API Cloud Translation.

Définissez et gérez votre ensemble de ressources à forte valeur

Cette page explique comment créer, modifier, supprimer et afficher des configurations de valeurs de ressources.

Utilisez des configurations de valeurs de ressources votre ensemble de ressources à forte valeur. Votre ensemble de ressources à forte valeur détermine quelles instances de ressources (appelées ressources) les simulations de chemins d'attaque considèrent comme des ressources à forte valeur.

Vous pouvez définir des configurations de valeur de ressource pour les ressources sur Google Cloud ou, si vous disposez du niveau Enterprise de Security Command Center, pour les ressources sur les autres fournisseurs de services cloud auxquels Security Command Center est connecté.

Lorsque les simulations de chemin d'attaque sont exécutées, elles identifient les chemins d'attaque calculer les scores d'exposition aux attaques des ressources désignées comme des ressources de forte valeur et, pour la classe Vulnerability, Misconfiguration et des résultats de classe Toxic combination.

Les simulations de chemin d'attaque peuvent s'exécuter jusqu'à quatre fois par jour (toutes les six heures). En tant que l'entreprise se développe, les simulations prennent plus de temps, mais elles sont exécutées une fois par jour. Les exécutions de simulation ne sont pas déclenchées par la création, la modification des ressources ou des configurations de valeurs de ressources.

Pour en savoir plus sur les ensembles de ressources à forte valeur et les configurations de valeur des ressources, consultez la section Ensembles de ressources à forte valeur.

Avant de commencer

Pour obtenir les autorisations nécessaires pour afficher et utiliser les configurations de valeur de ressource, demandez à votre administrateur de vous accorder les rôles IAM suivants dans votre organisation :

Éditeur de configuration des valeurs de ressources (roles/securitycenter.resourceValueConfigEditor)
Lecteur de configuration des valeurs de ressource (roles/securitycenter.resourceValueConfigsViewer)
Éditeur de paramètres du centre de sécurité (roles/securitycenter.settingsEditor)

Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Créer une configuration des valeurs de ressource

Vous pouvez créer des configurations de valeurs de ressources à l'aide de la simulation du chemin d'attaque. de la page Paramètres de Security Command Center dans la console Google Cloud.

Pour créer une configuration de valeur de ressource, cliquez sur l'onglet de votre et suivez la procédure ci-dessous:

Google Cloud

Accédez à la page Simulation du chemin d'attaque dans Security Command Center. Paramètres:

Accéder aux paramètres
Sélectionnez votre organisation. La page Simulation du chemin d'attaque s'ouvre.
Cliquez sur Créer une configuration. Le panneau Créer une configuration de valeur de ressource s'ouvre.
Dans le champ Nom, indiquez un nom pour cette configuration de valeur de ressource.
Facultatif: Saisissez une description de la configuration.
Sous Fournisseur cloud, sélectionnez Google Cloud.
Dans le champ Sélectionner le champ d'application, cliquez sur Sélectionner, puis utilisez le navigateur de projets pour sélectionner un projet, un dossier ou l'organisation. Cette configuration ne s'applique qu'aux instances de ressources du champ d'application spécifié.
Dans le champ Sélectionner un type de ressource, cliquez dans le champ pour afficher le et sélectionnez un type de ressource ou Toutes. La configuration s'applique aux instances du type de ressource spécifié ou, si vous sélectionnez Tout, aux instances de tous les types de ressources compatibles. Toutes est la valeur par défaut.

Remarque : Si vous sélectionnez Tout et activez l'option Inclure les insights de détection de la protection des données sensibles, le système définit automatiquement les valeurs des ressources en fonction des classifications de sensibilité des données de la protection des données sensibles pour toutes les ressources compatibles.
(Facultatif) Dans la section Libellé, cliquez sur Ajouter une étiquette pour en spécifier un ou d'autres libellés. Lorsqu'un libellé est spécifié, la configuration ne s'applique qu'aux ressources qui incluent le libellé dans leurs métadonnées.

Si vous appliquez un nouveau libellé à une ressource, l'opération peut prendre plusieurs heures avant que le libellé ne puisse être mis en correspondance par une configuration.
Facultatif : Dans la section Tag (Balise), cliquez sur Ajouter un tag pour spécifier une ou plusieurs balises. Lorsqu'une balise est spécifiée, la configuration ne s'applique aux ressources qui incluent le tag dans leurs métadonnées.

Si vous définissez une nouvelle balise pour des ressources, il peut s'écouler plusieurs heures avant qu'elle ne soit disponible pour la mise en correspondance par une configuration.
Définissez la valeur de priorité pour les ressources correspondantes en spécifiant l'une des options suivantes :
- Facultatif : Si vous utilisez le service de détection de la protection des données sensibles, autorisez Security Command Center à définir automatiquement la valeur de priorité des ressources de données compatibles en fonction des classifications de sensibilité des données de la protection des données sensibles :
  1. Cliquez sur le curseur à côté de Inclure les insights de découverte de Sensitive Data Protection.
  2. Dans le premier champ Attribuer une valeur à la ressource, sélectionnez valeur de priorité à attribuer aux ressources correspondantes contenant les données sensibles.
  3. Dans le deuxième champ Attribuer une valeur à la ressource, sélectionnez valeur de priorité à attribuer aux ressources correspondantes contenant les données de sensibilité moyenne.
- Dans le champ Sélectionner la valeur de la ressource, sélectionnez une valeur à attribuer aux instances de ressources. Cette valeur est relative aux autres instances ressources dans votre ensemble de ressources à forte valeur. La valeur est utilisée lors du calcul des scores d'exposition aux attaques.
Cliquez sur Enregistrer.

AWS

Avant que Security Command Center puisse renvoyer les scores d'exposition aux attaques et les attaques vers les ressources que vous spécifiez dans une configuration de valeur de ressource, Security Command Center doit être connecté à AWS. Pour en savoir plus, consultez Compatibilité multicloud :

Accédez à la page Simulation du chemin d'attaque dans les Paramètres de Security Command Center :

Accéder aux paramètres
Sélectionnez votre organisation. La page Simulation du chemin d'attaque s'ouvre.
Cliquez sur Créer une configuration. Le panneau Créer une configuration de valeur de ressource s'ouvre.
Dans le champ Nom, indiquez un nom pour cette configuration de valeur de ressource.
Facultatif: Saisissez une description de la configuration.
Sous Fournisseur cloud, sélectionnez Amazon Web Services.
Facultatif : Dans le champ Account ID (ID de compte), saisissez un ID de compte AWS à 12 chiffres. Si aucune valeur n'est spécifiée, la configuration de la valeur de ressource s'applique à toutes des comptes AWS spécifiés dans Configuration de la connexion AWS.
Facultatif : Dans le champ Région, saisissez une région AWS. Exemple : us-east-1. Si aucune valeur n'est spécifiée, la configuration de la valeur de ressource s'applique dans toutes les régions AWS.
Dans le champ Sélectionner un type de ressource, cliquez dans le champ pour afficher le et sélectionnez un type de ressource ou Toutes. La configuration s'applique aux instances du type de ressource spécifié ou, si vous sélectionnez Tout, aux instances de tous les types de ressources AWS compatibles. Toutes est la valeur par défaut.

Remarque :Si vous sélectionnez Toutes et que vous activez l'option Inclure les insights de découverte depuis l'option Sensitive Data Protection, puis pour tous les services AWS compatibles des ressources, le système définit automatiquement les valeurs des ressources en fonction de la sensibilité des données de Sensitive Data Protection.
Facultatif : Dans la section Tag (Balise), cliquez sur Ajouter un tag pour spécifier une ou plusieurs balises. Lorsqu'un tag est spécifié, la configuration ne s'applique qu'aux ressources qui incluent le tag dans leurs métadonnées.

Si vous définissez un nouveau tag pour une ressource, cela peut prendre plusieurs heures avant que la balise ne soit disponible pour la mise en correspondance via une configuration.
Définissez le paramètre valeur de priorité pour les ressources correspondantes en spécifiant l'une des options suivantes:
- Facultatif: Si vous utilisez la classe Service de découverte de la protection des données sensibles à Security Command Center de définir automatiquement la valeur de priorité ressources de données AWS compatibles sur la base des classifications de la sensibilité des données issues Sensitive Data Protection:
  1. Cliquez sur le curseur à côté de Inclure les insights de découverte de Sensitive Data Protection.
  2. Dans le premier champ Attribuer une valeur à la ressource, sélectionnez valeur de priorité à attribuer aux ressources correspondantes contenant les données sensibles.
  3. Dans le deuxième champ Attribuer une valeur à la ressource, sélectionnez valeur de priorité à attribuer aux ressources correspondantes contenant les données de sensibilité moyenne.
- Dans le champ Sélectionner la valeur de la ressource, sélectionnez une valeur à attribuer aux instances de ressources. Cette valeur est relative aux autres instances ressources dans votre ensemble de ressources à forte valeur. La valeur est utilisée lors du calcul des scores d'exposition aux attaques.
Cliquez sur Enregistrer.

La nouvelle configuration est reflétée dans les scores d'exposition aux attaques les chemins d'attaque qu'après l'exécution de la prochaine simulation de chemin d'attaque.

Modifier une configuration

À l'exception du nom, vous pouvez modifier n'importe quelle spécification dans une configuration de valeur de ressource.

Pour mettre à jour une configuration de valeur de ressource existante, procédez comme suit:

Accédez à la page Simulation du chemin d'attaque dans Security Command Center. Paramètres:

Accéder aux paramètres
Sélectionnez votre organisation. L'attaque la page "Simulation de chemin d'accès" s'ouvre et affiche les configurations existantes.
Dans la colonne Nom de la configuration, cliquez sur le nom de la configuration. que vous devez mettre à jour. Modifier la configuration des valeurs de ressources s'ouvre.
Mettez à jour les spécifications de la configuration si nécessaire.
Facultatif : cliquez sur Afficher les ressources correspondantes pour voir le nombre de ressources correspondant à la configuration mise à jour et une liste des instances de ressources correspondantes.
Cliquez sur Enregistrer.

Les changements se reflètent dans les scores d'exposition aux attaques et les chemins d'attaque qu'après l'exécution de la prochaine simulation du chemin d'attaque.

Supprimer une configuration

Pour supprimer une configuration de valeur de ressource, procédez comme suit :

Accédez à la page Simulation du chemin d'attaque dans Security Command Center. Paramètres:

Accéder aux paramètres
Sélectionnez votre organisation. La page Simulation du chemin d'attaque s'ouvre.
Sous Configurations de valeurs de ressources à droite de la ligne, configuration à supprimer, affichez le menu d'actions en cliquant sur points verticaux. Si les points verticaux ne s'affichent pas, faites défiler la page vers la droite.
Dans le menu d'actions qui s'affiche, sélectionnez Supprimer.
Dans la boîte de dialogue de confirmation, sélectionnez Confirmer.

La configuration est supprimée.

Afficher une configuration

Vous pouvez afficher toutes les configurations de valeurs de ressources existantes sur la page Simulation du chemin d'attaque dans les Paramètres de Security Command Center.

Pour afficher une configuration de valeur de ressource particulière, accédez à la Page Simulation du chemin d'attaque

Accéder aux paramètres
Sélectionnez votre organisation. La page Simulation du chemin d'attaque s'ouvre.
Dans la section Configuration des valeurs de ressource de l'onglet Simulation du chemin d'attaque, faites défiler la liste des configurations de valeurs de ressources la configuration dont vous avez besoin.
Pour afficher les propriétés de la configuration, cliquez sur son nom. Les propriétés s'affichent sur la page Modifier la configuration des valeurs de ressource.

Dépannage

Si vous recevez des erreurs après la création, la modification ou la suppression d'une ressource de valeurs, recherchez les résultats de la classe SCC Error dans le à la console Google Cloud en procédant comme suit:

Accédez à la page Résultats de la console Google Cloud:

Accéder
Dans le panneau Filtres rapides, faites défiler la section Classe de résultats, puis sélectionnez Erreur SCC.
Dans le panneau Résultats de la requête de résultat, analysez les résultats à la recherche du SCC Error résultats suivants et cliquez sur le nom de la catégorie:
- APS no resource value configs match any resources
- APS resource value assignment limit exceeded
Le panneau des détails du résultat s'ouvre.
Dans le panneau "Détails de la recherche", consultez les informations de la section Étapes suivantes.

Pour consulter les instructions de correction des résultats SCC Error de la simulation du chemin d'attaque dans la documentation, consultez les pages suivantes :

Étape suivante

Pour en savoir plus sur l'utilisation des résultats de Security Command Center, consultez la section Examiner et gérer les résultats.