本页面介绍了如何创建、修改、删除和查看资源值配置。
您可以使用资源值配置来创建高价值资源集。高价值资源集决定了攻击路径模拟将哪些资源实例(称为资源)视为“高价值资源”。
您可以为 Google Cloud 上的资源定义资源值配置;如果您有 Security Command Center 的企业层级,则可以为 Security Command Center 所连接的其他云服务提供商上的资源定义资源值配置。
攻击路径模拟运行时,可针对被指定为高价值资源的资源以及 Vulnerability
类和 Misconfiguration
类发现结果,识别攻击路径并计算攻击风险得分。
攻击路径模拟每天最多可运行四次(每六小时一次)。随着组织的发展,模拟需要更长的时间,但每天始终至少运行一次。创建、修改或删除资源或资源值配置不会触发模拟运行。
如需了解高价值资源集和资源值配置,请参阅高价值资源集。
准备工作
如需获得查看和使用资源值配置所需的权限,请让管理员向您授予组织的以下 IAM 角色:
-
Resource value config editor (
roles/securitycenter.resourceValueConfigEditor
) -
Resource value config viewer (
roles/securitycenter.resourceValueConfigsViewer
) -
安全中心设置编辑器 (
roles/securitycenter.settingsEditor
)
如需详细了解如何授予角色,请参阅管理访问权限。
创建资源值配置
您可以使用 Google Cloud 控制台中 Security Command Center 设置页面上的攻击路径模拟标签页来创建资源值配置。
如需创建资源值配置,请点击云服务提供商对应的标签页,然后按照以下步骤操作:
Google Cloud
转到 Security Command Center 设置中的攻击路径模拟页面:
选择您的组织。攻击路径模拟页面会随即打开。
点击创建新配置。此时会打开创建资源值配置面板。
在名称字段中,指定此资源值配置的名称。
可选:输入配置的说明。
在 Cloud 提供方下,选择 Google Cloud。
在选择范围字段中,点击选择,然后使用项目浏览器选择项目、文件夹或组织。此配置仅应用于指定范围内的资源实例。
在选择资源类型字段中,点击该字段以显示下拉菜单,然后选择一个资源类型或任意。该配置应用于指定资源类型的实例,如果您选择任意,则配置将应用于所有受支持的资源类型的实例。默认为任意。
可选:在标签部分中,点击添加标签以指定一个或多个标签。指定标签后,配置仅应用于其元数据中包含该标签的资源。
如果您对任何资源应用新标签,则标签可能需要几个小时才会提供给配置进行匹配。
可选:在标记部分中,点击添加标记以指定一个或多个标记。指定标记时,配置仅应用于其元数据中包含该标记的资源。
如果您为任何资源定义了新标记,则标记可能需要几个小时才会提供给配置进行匹配。
通过指定以下选项之一,设置匹配资源的优先级值:
点击保存。
AWS
您必须先将 Security Command Center 连接到 AWS,然后 Security Command Center 才能返回您在资源值配置中指定的资源的攻击风险得分和攻击路径。如需了解详情,请参阅多云支持。
转到 Security Command Center 设置中的攻击路径模拟页面:
选择您的组织。攻击路径模拟页面会随即打开。
点击创建新配置。此时会打开创建资源值配置面板。
在名称字段中,指定此资源值配置的名称。
可选:输入配置的说明。
在云提供商下,选择 AWS。
可选:在 Account ID(帐号 ID)字段中,输入一个 12 位数的 AWS 帐号 ID。 如果未指定,资源值配置将应用于 AWS 连接配置中指定的所有 AWS 帐号。
可选:在区域字段中,输入一个 AWS 区域。例如
us-east-1
。如果未指定,资源值配置将应用于所有 AWS 区域。在选择资源类型字段中,点击该字段以显示下拉菜单,然后选择一个资源类型或任意。该配置应用于指定资源类型的实例,如果您选择任意,则配置将应用于所有受支持的资源类型的实例。默认为任意。
可选:在标记部分中,点击添加标记以指定一个或多个标记。指定标记时,配置仅应用于其元数据中包含该标记的资源。
如果您为任何资源定义了新标记,则标记可能需要几个小时才会提供给配置进行匹配。
在选择资源值字段中,选择要分配给资源实例的优先级值。此值相对于高价值资源集中的其他资源实例而言。该值用于计算攻击风险得分。
点击保存。
只有在下一次攻击路径模拟运行后,新配置才会反映在攻击风险得分和攻击路径中。
修改配置
除了名称之外,您还可以更新资源值配置中的任何规范。
如需更新现有资源值配置,请按以下步骤操作:
转到 Security Command Center 设置中的攻击路径模拟页面:
选择您的组织。攻击路径模拟页面随即打开,并显示现有配置。
在配置名称列中,点击需要更新的配置的名称。此时会打开修改资源值配置页面。
根据需要更新配置中的规范。
可选:点击预览匹配的资源,查看与更新后的配置匹配的资源数量以及各个匹配资源实例的列表。
点击保存。
只有在下一次攻击路径模拟运行时,这些更改才会反映在攻击风险得分和攻击路径中。
删除配置
如需删除资源值配置,请按照以下步骤操作:
转到 Security Command Center 设置中的攻击路径模拟页面:
选择您的组织。攻击路径模拟页面会随即打开。
在要删除的配置所在行右侧的资源值配置下,点击竖点以显示操作菜单。如果您没有看到竖点,请滚动到右侧。
在显示的操作菜单中,选择删除。
在确认对话框中,选择确认。
配置将被删除。
查看配置
您可以在 Security Command Center 设置的攻击路径模拟页面上查看所有现有资源值配置。
如需查看特定资源值配置,请转到攻击路径模拟页面
选择您的组织。攻击路径模拟页面会随即打开。
在攻击路径模拟页面的资源值配置下,滚动资源值配置列表,直到找到所需配置。
如需查看配置属性,请点击配置的名称。这些属性显示在修改资源值配置页面上。
问题排查
如果您在创建、修改或删除资源值配置后收到错误,请在 Google Cloud 控制台中按照以下步骤查看 SCC Error
类发现结果:
进入 Google Cloud 控制台中的发现结果页面:
在快速过滤条件面板中,滚动到发现结果类部分,然后选择 SCC 错误。
在发现结果的查询结果面板中,快速浏览发现结果中是否有以下
SCC Error
发现结果,然后点击类别名称:APS no resource value configs match any resources
APS resource value assignment limit exceeded
系统随即会打开发现结果详情面板。
在发现结果详细信息面板中,查看后续步骤部分中的信息。
如需查看文档中攻击路径模拟 SCC Error
发现结果的修复说明,请参阅:
后续步骤
如需了解如何使用 Security Command Center 发现结果,请参阅在 Google Cloud 控制台中使用发现结果。