Definir e gerenciar seu conjunto de recursos de alto valor

Nesta página, mostramos como criar, editar, excluir e visualizar configurações de valor de recurso.

Use as configurações de valor de recursos para criar seu conjunto de recursos de alto valor. O conjunto de recursos de alto valor determina quais instâncias de recursos (chamadas de recursos) as simulações de caminho de ataque consideram recursos de alto valor.

É possível definir configurações de valor de recursos para os recursos do Google Cloud ou, se você tiver o nível Enterprise do Security Command Center, para recursos dos outros provedores de serviços de nuvem a que o Security Command Center está conectado.

Quando as simulações de caminho de ataque são executadas, elas identificam caminhos de ataque e calculam as pontuações de exposição a ataques para recursos designados como recursos de alto valor e para descobertas de classes Vulnerability e Misconfiguration.

As simulações de caminho de ataque podem ser realizadas até quatro vezes por dia (a cada seis horas). À medida que sua organização cresce, as simulações levam mais tempo, mas elas são executadas pelo menos uma vez por dia. As simulações não são acionadas pela criação, modificação ou exclusão de recursos ou configurações de valores de recursos.

Para uma introdução aos conjuntos de recursos de alto valor e às configurações de valor de recurso, consulte este link.

Antes de começar

Para receber as permissões necessárias para visualizar e trabalhar com as configurações de valor de recurso, peça ao administrador para conceder a você os seguintes papéis do IAM na sua organização:

Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

Criar uma configuração de valor de recurso

Para criar configurações de valor de recurso, use a guia Simulação de caminho de ataque na página Configurações do Security Command Center no console do Google Cloud.

Para criar uma configuração de valor de recursos, clique na guia do seu provedor de serviços em nuvem e siga as etapas:

Google Cloud

  1. Acesse a página Simulação de caminho de ataque nas Configurações do Security Command Center:

    Acesse configurações

  2. Selecione a organização. A página Simulação de caminho de ataque é aberta.

  3. Clique em Criar nova configuração. O painel Criar configuração de valor de recurso é aberto.

  4. No campo Nome, especifique um nome para a configuração de valor de recurso.

  5. Opcional: insira uma descrição sobre a configuração.

  6. Em Provedor de nuvem, selecione Google Cloud.

  7. No campo Selecionar escopo, clique em Selecionar e use o navegador do projeto para selecionar um projeto, uma pasta ou a organização. Essa configuração só se aplica a instâncias de recursos no escopo especificado.

  8. No campo Selecionar tipo de recurso, clique no campo para exibir o menu suspenso e selecione um tipo de recurso ou Qualquer. A configuração se aplica a instâncias do tipo de recurso especificado ou, se você selecionar Qualquer, a instâncias de todos os tipos de recurso compatíveis. O padrão é Qualquer.

  9. Opcional: na seção Rótulo, clique em Adicionar rótulo para especificar um ou mais rótulos. Quando um rótulo é especificado, a configuração só se aplica aos recursos que contêm o rótulo nos respectivos metadados.

    Se você aplicar um novo rótulo a qualquer recurso, poderá levar várias horas até que ele esteja disponível para correspondência por uma configuração.

  10. Opcional: na seção Tag, clique em Adicionar tag para especificar uma ou mais tags. Quando uma tag é especificada, a configuração só se aplica aos recursos que contêm a tag nos respectivos metadados.

    Se você definir uma nova tag para qualquer recurso, poderá levar várias horas até que a tag esteja disponível para correspondência por uma configuração.

  11. Defina o valor de prioridade dos recursos correspondentes especificando uma das seguintes opções:

    • Opcional: se você usa a Proteção de Dados Sensíveis, ative o Security Command Center para definir automaticamente o valor de prioridade dos recursos de dados compatíveis com base nas classificações de sensibilidade de dados da Proteção de Dados Sensíveis seguindo estas etapas:

      1. Clique no controle deslizante ao lado de Incluir insights de descoberta da Proteção de Dados Sensíveis.
      2. No primeiro campo Atribuir valor do recurso, selecione o valor de prioridade que será atribuído aos recursos correspondentes que contêm dados sensíveis.
      3. No segundo campo Atribuir valor do recurso, selecione o valor de prioridade que será atribuído aos recursos correspondentes que contêm dados de sensibilidade média.

    • No campo Selecionar valor de recurso, selecione um valor para atribuir às instâncias de recursos. Esse valor é relativo às outras instâncias de recursos no seu conjunto de recursos de alto valor. O valor é usado durante o cálculo das pontuações de exposição a ataques.

  12. Clique em Salvar.

AWS

Para que o Security Command Center possa retornar pontuações de exposição a ataques e caminhos de ataque para os recursos especificados em uma configuração de valor de recursos, o Security Command Center precisa estar conectado à AWS. Para mais informações, consulte Suporte a várias nuvens.

  1. Acesse a página Simulação de caminho de ataque nas Configurações do Security Command Center:

    Acesse configurações

  2. Selecione a organização. A página Simulação de caminho de ataque é aberta.

  3. Clique em Criar nova configuração. O painel Criar configuração de valor de recurso é aberto.

  4. No campo Nome, especifique um nome para a configuração de valor de recurso.

  5. Opcional: insira uma descrição sobre a configuração.

  6. Em Provedor de nuvem, selecione AWS.

  7. Opcional: no campo ID da conta, insira o ID de 12 dígitos da conta da AWS. Se não for especificada, a configuração do valor do recurso se aplicará a todas as contas da AWS especificadas na configuração de conexão da AWS.

  8. Opcional: no campo Região, insira uma região da AWS. Por exemplo, us-east-1. Se não for especificada, a configuração do valor do recurso se aplicará a todas as regiões da AWS.

  9. No campo Selecionar tipo de recurso, clique no campo para exibir o menu suspenso e selecione um tipo de recurso ou Qualquer. A configuração se aplica a instâncias do tipo de recurso especificado ou, se você selecionar Qualquer, a instâncias de todos os tipos de recurso compatíveis. O padrão é Qualquer.

  10. Opcional: na seção Tag, clique em Adicionar tag para especificar uma ou mais tags. Quando uma tag é especificada, a configuração só se aplica aos recursos que contêm a tag nos respectivos metadados.

    Se você definir uma nova tag para qualquer recurso, poderá levar várias horas até que a tag esteja disponível para correspondência por uma configuração.

  11. No campo Selecionar valor do recurso, selecione um valor de prioridade para atribuir às instâncias do recurso. Esse valor é relativo às outras instâncias de recursos no conjunto de recursos de alto valor. O valor é usado durante o cálculo das pontuações de exposição a ataques.

  12. Clique em Salvar.

A nova configuração será refletida nas pontuações de exposição a ataques e nos caminhos de ataque somente após a execução da próxima simulação de caminho de ataque.

Editar uma configuração

Exceto pelo nome, é possível atualizar qualquer especificação em uma configuração de valor de recurso.

Para atualizar uma configuração de valor de recurso que já existe, siga estas etapas:

  1. Acesse a página Simulação de caminho de ataque nas Configurações do Security Command Center:

    Acesse configurações

  2. Selecione a organização. A página Simulação de caminho de ataque é aberta com as configurações que já existem.

  3. Na coluna Nome da configuração, clique no nome da configuração que você precisa atualizar. A página Editar configuração de valor de recurso é aberta.

  4. Atualize as especificações na configuração conforme necessário.

  5. Opcional: clique em Mostrar prévia de recursos correspondentes para ver quantos recursos coincidem com as correspondências de configuração atualizada e uma lista das instâncias de recursos correspondentes individuais.

  6. Clique em Salvar.

As alterações serão refletidas nas pontuações de exposição a ataques e nos caminhos de ataque somente após a execução da próxima simulação de caminho de ataque.

Excluir uma configuração

Para excluir uma configuração de valor de recurso, siga estas etapas:

  1. Acesse a página Simulação de caminho de ataque nas Configurações do Security Command Center:

    Acesse configurações

  2. Selecione a organização. A página Simulação de caminho de ataque é aberta.

  3. Em Configurações de valor de recurso, no lado direito da linha da configuração que você precisa excluir, clique nos pontos verticais para exibir o menu de ações. Caso você não veja os pontos verticais, role a página para a direita.

  4. No menu de ações exibido, clique em Excluir.

  5. Na caixa de diálogo de confirmação, clique em Confirmar.

    A configuração é excluída.

Ver uma configuração

É possível ver todas as configurações de valor de recurso que já existem na página Simulação de caminho de ataque nas Configurações do Security Command Center.

  1. Para ver uma configuração de valor de recurso específica, acesse a página Simulação de caminho de ataque.

    Acesse configurações

  2. Selecione sua organização. A página Simulação de caminho de ataque é aberta.

  3. Em Configurações de valor de recurso, na página Simulação de caminho de ataque, role a lista de configurações de valor de recurso até encontrar a configuração necessária.

  4. Para ver as respectivas properties, clique no nome da configuração. As properties são exibidas na página Editar configuração de valor de recurso.

Solução de problemas

Se você receber erros depois de criar, editar ou excluir configurações de valor de recurso, verifique se há descobertas da classe SCC Error no console do Google Cloud seguindo estas etapas:

  1. Acesse a página Descobertas no console do Google Cloud:

    Acesse Descobertas

  2. No painel Filtros rápidos, role a página até a seção Classe da descoberta e selecione Erro do SCC.

  3. No painel Resultados da consulta de descobertas, verifique as seguintes descobertas de SCC Error e clique no nome da categoria:

    • APS no resource value configs match any resources
    • APS resource value assignment limit exceeded

    O painel de detalhes da descoberta será aberto.

  4. No painel de detalhes da descoberta, revise as informações na seção Próximas etapas.

Para revisar as instruções de correção das descobertas de SCC Error da simulação de caminho de ataque na documentação, consulte:

A seguir

Para informações sobre como trabalhar com as descobertas do Security Command Center, consulte Trabalhar com descobertas no console do Google Cloud.