Esta página foi traduzida pela API Cloud Translation.

Definir e gerenciar seu conjunto de recursos de alto valor

Nesta página, mostramos como criar, editar, excluir e visualizar configurações de valor de recurso.

Use as configurações de valor de recursos para criar seu conjunto de recursos de alto valor. O conjunto de recursos de alto valor determina quais instâncias de recursos (chamadas de recursos) as simulações de caminho de ataque consideram recursos de alto valor.

É possível definir configurações de valor de recursos para os recursos no Google Cloud ou, se você tiver o nível Enterprise do Security Command Center, para recursos em outros provedores de serviços de nuvem a que o Security Command Center está conectado.

Quando as simulações de caminho de ataque são executadas, elas identificam caminhos de ataque e calculam pontuações de exposição a ataques para recursos designados como recursos de alto valor e para descobertas de classes Vulnerability, Misconfiguration e Toxic combination.

As simulações de caminho de ataque podem ser realizadas até quatro vezes por dia (a cada seis horas). À medida que sua organização cresce, as simulações levam mais tempo, mas elas são executadas pelo menos uma vez por dia. As simulações não são acionadas pela criação, modificação ou exclusão de recursos ou configurações de valores de recursos.

Para uma introdução aos conjuntos de recursos de alto valor e às configurações de valor de recurso, consulte este link.

Antes de começar

Para receber as permissões necessárias para visualizar e trabalhar com configurações de valores de recursos, peça ao administrador para conceder a você os seguintes papéis do IAM na organização:

Editor de configuração de valor de recurso (roles/securitycenter.resourceValueConfigEditor)
Leitor de configuração de valor de recurso (roles/securitycenter.resourceValueConfigsViewer)
Editor de configurações da Central de segurança (roles/securitycenter.settingsEditor)

Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Também é possível receber as permissões necessárias com papéis personalizados ou outros papéis predefinidos.

Criar uma configuração de valor de recurso

Para criar configurações de valor de recurso, use a guia Simulação de caminho de ataque na página Configurações do Security Command Center no console do Google Cloud.

Para criar uma configuração de valor de recursos, clique na guia do seu provedor de serviços em nuvem e siga as etapas:

Google Cloud

Acesse a página Simulação de caminho de ataque nas Configurações do Security Command Center:

Acesse configurações
Selecione a organização. A página Simulação de caminho de ataque é aberta.
Clique em Criar nova configuração. O painel Criar configuração de valor de recurso é aberto.
No campo Nome, especifique um nome para a configuração de valor de recurso.
Opcional: insira uma descrição sobre a configuração.
Em Provedor de nuvem, selecione Google Cloud.
No campo Selecionar escopo, clique em Selecionar e use o navegador do projeto para selecionar um projeto, uma pasta ou a organização. Essa configuração só se aplica a instâncias de recursos no escopo especificado.
No campo Selecionar tipo de recurso, clique no campo para exibir o menu suspenso e selecione um tipo de recurso ou Qualquer. A configuração se aplica a instâncias do tipo de recurso especificado ou, se você selecionar Qualquer, a instâncias de todos os tipos de recurso compatíveis. O padrão é Qualquer.

Observação: se você selecionar Qualquer e ativar a opção Incluir insights de descoberta da proteção de dados sensíveis, o sistema definirá automaticamente os valores de recursos com base nas classificações de sensibilidade de dados da proteção de dados sensíveis para todos os recursos compatíveis.
Opcional: na seção Rótulo, clique em Adicionar rótulo para especificar um ou mais rótulos. Quando um rótulo é especificado, a configuração só se aplica aos recursos que contêm o rótulo nos respectivos metadados.

Se você aplicar um novo rótulo a qualquer recurso, poderá levar várias horas até que ele esteja disponível para correspondência por uma configuração.
Opcional: na seção Tag, clique em Adicionar tag para especificar uma ou mais tags. Quando uma tag é especificada, a configuração só se aplica aos recursos que contêm a tag nos respectivos metadados.

Se você definir uma nova tag para qualquer recurso, poderá levar várias horas até que a tag esteja disponível para correspondência por uma configuração.
Defina o valor de prioridade dos recursos correspondentes especificando uma das seguintes opções:
- Opcional: se você usar o serviço de descoberta de proteção de dados sensíveis, ative o Security Command Center para definir automaticamente o valor de prioridade dos recursos de dados compatíveis com base nas classificações de sensibilidade de dados da proteção de dados sensíveis seguindo estas etapas:
  1. Clique no controle deslizante ao lado de Incluir insights de descobertas da Proteção de Dados Sensíveis.
  2. No primeiro campo Atribuir valor do recurso, selecione o valor de prioridade a ser atribuído aos recursos correspondentes que contêm dados de alta sensibilidade.
  3. No segundo campo Atribuir valor do recurso, selecione o valor de prioridade para atribuir aos recursos correspondentes que contêm dados de sensibilidade média.
- No campo Selecionar valor de recurso, selecione um valor para atribuir às instâncias de recursos. Esse valor é relativo às outras instâncias de recursos no seu conjunto de recursos de alto valor. O valor é usado durante o cálculo das pontuações de exposição a ataques.
Clique em Salvar.

AWS

Antes que o Security Command Center possa retornar pontuações de exposição a ataques e caminhos de ataque para os recursos especificados em uma configuração de valor de recurso, o Security Command Center precisa estar conectado à AWS. Para mais informações, consulte Suporte a várias nuvens.

Acesse a página Simulação de caminho de ataque nas Configurações do Security Command Center:

Acesse configurações
Selecione a organização. A página Simulação de caminho de ataque é aberta.
Clique em Criar nova configuração. O painel Criar configuração de valor de recurso é aberto.
No campo Nome, especifique um nome para a configuração de valor de recurso.
Opcional: insira uma descrição sobre a configuração.
Em Provedor de nuvem, selecione AWS.
Opcional: no campo ID da conta, insira um ID de conta da AWS de 12 dígitos. Se não for especificada, a configuração do valor do recurso será aplicada a todas as contas da AWS especificadas na configuração de conexão da AWS.
Opcional: no campo Região, insira uma região da AWS. Por exemplo, us-east-1. Se não for especificada, a configuração do valor do recurso será aplicada a todas as regiões da AWS.
No campo Selecionar tipo de recurso, clique no campo para exibir o menu suspenso e selecione um tipo de recurso ou Qualquer. A configuração se aplica a instâncias do tipo de recurso especificado ou, se você selecionar Qualquer, a instâncias de todos os tipos de recurso compatíveis. O padrão é Qualquer.
Opcional: na seção Tag, clique em Adicionar tag para especificar uma ou mais tags. Quando uma tag é especificada, a configuração só se aplica aos recursos que contêm a tag nos respectivos metadados.

Se você definir uma nova tag para qualquer recurso, poderá levar várias horas até que a tag esteja disponível para correspondência por uma configuração.
No campo Selecionar valor do recurso, selecione um valor de prioridade para atribuir às instâncias de recursos. Esse valor é relativo às outras instâncias de recursos no conjunto de recursos de alto valor. O valor é usado durante o cálculo das pontuações de exposição a ataques.
Clique em Salvar.

A nova configuração será refletida nas pontuações de exposição a ataques e nos caminhos de ataque somente após a execução da próxima simulação de caminho de ataque.

Editar uma configuração

Exceto pelo nome, é possível atualizar qualquer especificação em uma configuração de valor de recurso.

Para atualizar uma configuração de valor de recurso que já existe, siga estas etapas:

Acesse a página Simulação de caminho de ataque nas Configurações do Security Command Center:

Acesse configurações
Selecione a organização. A página Simulação de caminho de ataque é aberta com as configurações que já existem.
Na coluna Nome da configuração, clique no nome da configuração que você precisa atualizar. A página Editar configuração de valor de recurso é aberta.
Atualize as especificações na configuração conforme necessário.
Opcional: clique em Mostrar prévia de recursos correspondentes para ver quantos recursos coincidem com as correspondências de configuração atualizada e uma lista das instâncias de recursos correspondentes individuais.
Clique em Salvar.

As alterações serão refletidas nas pontuações de exposição a ataques e nos caminhos de ataque somente após a execução da próxima simulação de caminho de ataque.

Excluir uma configuração

Para excluir uma configuração de valor de recurso, siga estas etapas:

Acesse a página Simulação de caminho de ataque nas Configurações do Security Command Center:

Acesse configurações
Selecione a organização. A página Simulação de caminho de ataque é aberta.
Em Configurações de valor de recurso, no lado direito da linha da configuração que você precisa excluir, clique nos pontos verticais para exibir o menu de ações. Caso você não veja os pontos verticais, role a página para a direita.
No menu de ações exibido, clique em Excluir.
Na caixa de diálogo de confirmação, clique em Confirmar.

A configuração é excluída.

Ver uma configuração

É possível ver todas as configurações de valor de recurso que já existem na página Simulação de caminho de ataque nas Configurações do Security Command Center.

Para ver uma configuração de valor de recurso específica, acesse a página Simulação de caminho de ataque.

Acesse configurações
Selecione sua organização. A página Simulação de caminho de ataque é aberta.
Em Configurações de valor de recurso, na página Simulação de caminho de ataque, role a lista de configurações de valor de recurso até encontrar a configuração necessária.
Para ver as respectivas properties, clique no nome da configuração. As properties são exibidas na página Editar configuração de valor de recurso.

Solução de problemas

Se você receber erros depois de criar, editar ou excluir configurações de valor de recurso, verifique se há descobertas da classe SCC Error no console do Google Cloud seguindo estas etapas:

Acesse a página Descobertas no console do Google Cloud:

Acesse Descobertas
No painel Filtros rápidos, role a página até a seção Classe da descoberta e selecione Erro do SCC.
No painel Resultados da consulta de descobertas, verifique as seguintes descobertas de SCC Error e clique no nome da categoria:
- APS no resource value configs match any resources
- APS resource value assignment limit exceeded
O painel de detalhes da descoberta será aberto.
No painel de detalhes da descoberta, revise as informações na seção Próximas etapas.

Para revisar as instruções de correção das descobertas de SCC Error da simulação de caminho de ataque na documentação, consulte:

A seguir

Para informações sobre como trabalhar com as descobertas do Security Command Center, consulte Trabalhar com descobertas no console do Google Cloud.