定义和管理高价值资源集

本页面介绍了如何创建、修改、删除和查看资源值配置。

您可以使用资源值配置来创建高价值资源集。高价值资源集决定了攻击路径模拟将哪些资源实例(称为资源)视为“高价值资源”

您可以为 Google Cloud 上的资源定义资源值配置;如果您有 Security Command Center 的企业层级,则可以为 Security Command Center 所连接的其他云服务提供商上的资源定义资源值配置。

攻击路径模拟运行时,可针对被指定为高价值资源的资源以及 Vulnerability 类和 Misconfiguration 类发现结果,识别攻击路径并计算攻击风险得分。

攻击路径模拟每天最多可运行四次(每六小时一次)。随着组织的发展,模拟需要更长的时间,但每天始终至少运行一次。创建、修改或删除资源或资源值配置不会触发模拟运行。

如需了解高价值资源集和资源值配置,请参阅高价值资源集

准备工作

如需获得查看和使用资源值配置所需的权限,请让管理员向您授予组织的以下 IAM 角色:

如需详细了解如何授予角色,请参阅管理访问权限

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

创建资源值配置

您可以使用 Google Cloud 控制台中 Security Command Center 设置页面上的攻击路径模拟标签页来创建资源值配置。

如需创建资源值配置,请点击云服务提供商对应的标签页,然后按照以下步骤操作:

Google Cloud

  1. 转到 Security Command Center 设置中的攻击路径模拟页面:

    转到“设置”

  2. 选择您的组织。攻击路径模拟页面会随即打开。

  3. 点击创建新配置。此时会打开创建资源值配置面板。

  4. 名称字段中,指定此资源值配置的名称。

  5. 可选:输入配置的说明。

  6. Cloud 提供方下,选择 Google Cloud

  7. 选择范围字段中,点击选择,然后使用项目浏览器选择项目、文件夹或组织。此配置仅应用于指定范围内的资源实例。

  8. 选择资源类型字段中,点击该字段以显示下拉菜单,然后选择一个资源类型或任意。该配置应用于指定资源类型的实例,如果您选择任意,则配置将应用于所有受支持的资源类型的实例。默认为任意

  9. 可选:在标签部分中,点击添加标签以指定一个或多个标签。指定标签后,配置仅应用于其元数据中包含该标签的资源。

    如果您对任何资源应用新标签,则标签可能需要几个小时才会提供给配置进行匹配。

  10. 可选:在标记部分中,点击添加标记以指定一个或多个标记。指定标记时,配置仅应用于其元数据中包含该标记的资源。

    如果您为任何资源定义了新标记,则标记可能需要几个小时才会提供给配置进行匹配。

  11. 通过指定以下选项之一,设置匹配资源的优先级值

    • 可选:如果您使用敏感数据保护,请按照以下步骤,让 Security Command Center 根据敏感数据保护的数据敏感度分类自动设置受支持的数据资源的优先级值:

      1. 点击包括来自敏感数据保护的发现数据分析旁边的滑块。
      2. 在第一个分配资源值字段中,选择要分配给包含高敏感度数据的匹配资源的优先级值。
      3. 在第二个分配资源值字段中,选择要分配给包含中等敏感度数据的匹配资源的优先级值。

    • 选择资源值字段中,选择要分配给资源实例的值。此值是相对于高价值资源集中的其他资源实例而言的。该值在计算攻击风险得分时使用。

  12. 点击保存

AWS

您必须先将 Security Command Center 连接到 AWS,然后 Security Command Center 才能返回您在资源值配置中指定的资源的攻击风险得分和攻击路径。如需了解详情,请参阅多云支持

  1. 转到 Security Command Center 设置中的攻击路径模拟页面:

    转到“设置”

  2. 选择您的组织。攻击路径模拟页面会随即打开。

  3. 点击创建新配置。此时会打开创建资源值配置面板。

  4. 名称字段中,指定此资源值配置的名称。

  5. 可选:输入配置的说明。

  6. 云提供商下,选择 AWS

  7. 可选:在 Account ID(帐号 ID)字段中,输入一个 12 位数的 AWS 帐号 ID。 如果未指定,资源值配置将应用于 AWS 连接配置中指定的所有 AWS 帐号。

  8. 可选:在区域字段中,输入一个 AWS 区域。例如 us-east-1。如果未指定,资源值配置将应用于所有 AWS 区域。

  9. 选择资源类型字段中,点击该字段以显示下拉菜单,然后选择一个资源类型或任意。该配置应用于指定资源类型的实例,如果您选择任意,则配置将应用于所有受支持的资源类型的实例。默认为任意

  10. 可选:在标记部分中,点击添加标记以指定一个或多个标记。指定标记时,配置仅应用于其元数据中包含该标记的资源。

    如果您为任何资源定义了新标记,则标记可能需要几个小时才会提供给配置进行匹配。

  11. 选择资源值字段中,选择要分配给资源实例的优先级值。此值相对于高价值资源集中的其他资源实例而言。该值用于计算攻击风险得分。

  12. 点击保存

只有在下一次攻击路径模拟运行后,新配置才会反映在攻击风险得分和攻击路径中。

修改配置

除了名称之外,您还可以更新资源值配置中的任何规范。

如需更新现有资源值配置,请按以下步骤操作:

  1. 转到 Security Command Center 设置中的攻击路径模拟页面:

    转到“设置”

  2. 选择您的组织。攻击路径模拟页面随即打开,并显示现有配置。

  3. 配置名称列中,点击需要更新的配置的名称。此时会打开修改资源值配置页面。

  4. 根据需要更新配置中的规范。

  5. 可选:点击预览匹配的资源,查看与更新后的配置匹配的资源数量以及各个匹配资源实例的列表。

  6. 点击保存

只有在下一次攻击路径模拟运行时,这些更改才会反映在攻击风险得分和攻击路径中。

删除配置

如需删除资源值配置,请按照以下步骤操作:

  1. 转到 Security Command Center 设置中的攻击路径模拟页面:

    转到“设置”

  2. 选择您的组织。攻击路径模拟页面会随即打开。

  3. 在要删除的配置所在行右侧的资源值配置下,点击竖点以显示操作菜单。如果您没有看到竖点,请滚动到右侧。

  4. 在显示的操作菜单中,选择删除

  5. 在确认对话框中,选择确认

    配置将被删除。

查看配置

您可以在 Security Command Center 设置攻击路径模拟页面上查看所有现有资源值配置。

  1. 如需查看特定资源值配置,请转到攻击路径模拟页面

    转到“设置”

  2. 选择您的组织。攻击路径模拟页面会随即打开。

  3. 攻击路径模拟页面的资源值配置下,滚动资源值配置列表,直到找到所需配置。

  4. 如需查看配置属性,请点击配置的名称。这些属性显示在修改资源值配置页面上。

问题排查

如果您在创建、修改或删除资源值配置后收到错误,请在 Google Cloud 控制台中按照以下步骤查看 SCC Error 类发现结果:

  1. 进入 Google Cloud 控制台中的发现结果页面:

    转至“发现结果”

  2. 快速过滤条件面板中,滚动到发现结果类部分,然后选择 SCC 错误

  3. 发现结果的查询结果面板中,快速浏览发现结果中是否有以下 SCC Error 发现结果,然后点击类别名称:

    • APS no resource value configs match any resources
    • APS resource value assignment limit exceeded

    系统随即会打开发现结果详情面板。

  4. 在发现结果详细信息面板中,查看后续步骤部分中的信息。

如需查看文档中攻击路径模拟 SCC Error 发现结果的修复说明,请参阅:

后续步骤

如需了解如何使用 Security Command Center 发现结果,请参阅在 Google Cloud 控制台中使用发现结果