Unterstützung für Angriffsrisikofunktionen

Auf dieser Seite werden die Dienste und Ergebnisse beschrieben, die das Angriffsfeature unterstützt, sowie die Supportgrenzen, denen es unterliegt.

Security Command Center generiert Angriffsrisikobewertungen und Pfade für Folgendes:

In den folgenden Abschnitten werden die Security Command Center-Dienste und die Ergebnisse aufgeführt, die von Angriffsbewertungen unterstützt werden.

Nur Support auf Organisationsebene

Für die Angriffspfadsimulationen, die Angriffsrisikobewertungen und Angriffspfade generieren, muss Security Command Center auf Organisationsebene aktiviert sein. Angriffspfadsimulationen werden bei Aktivierungen auf Projektebene von Security Command Center nicht unterstützt.

Damit Sie Angriffspfade ansehen können, muss die Ansicht in der Google Cloud Console auf Ihre Organisation festgelegt sein. Wenn Sie in der Google Cloud Console eine Projekt- oder Ordneransicht auswählen, können Sie zwar Angriffsrisikobewertungen, aber keine Angriffspfade sehen.

Außerdem müssen die IAM-Berechtigungen, die Nutzer zum Ansehen von Angriffspfaden benötigen, auf Organisationsebene gewährt werden. Nutzer müssen mindestens die Berechtigung securitycenter.attackpaths.list in einer Rolle haben, die auf Organisationsebene gewährt wurde. Die vordefinierte IAM-Rolle mit der geringsten Berechtigung, die diese Berechtigung enthält, ist Security Center Attack Paths Reader (securitycenter.attackPathsViewer).

Informationen zu weiteren Rollen mit dieser Berechtigung finden Sie in der Referenz zu einfachen und vordefinierten IAM-Rollen.

Größenbeschränkungen für Organisationen

Für Angriffspfadsimulationen beschränkt Security Command Center die Anzahl der aktiven Assets und aktiven Ergebnisse, die eine Organisation enthalten kann.

Überschreitet eine Organisation die in der folgenden Tabelle aufgeführten Limits, werden keine Angriffspfadsimulationen ausgeführt.

Art des Limits Nutzungsbeschränkung
Maximale Anzahl aktiver Ergebnisse 250.000.000
Maximale Anzahl aktiver Assets 26.000.000

Wenn die Assets, Ergebnisse oder beides in Ihrer Organisation diesen Limits nähern oder überschreiten, wenden Sie sich an Cloud Customer Care, um eine Bewertung Ihrer Organisation für eine mögliche Erhöhung anzufordern.

In Angriffspfadsimulationen enthaltene Google Cloud-Dienste

Die Simulationen können die folgenden Google Cloud-Dienste umfassen:

  • Artifact Registry
  • BigQuery
  • Cloud Functions
  • Cloud Key Management Service
  • Cloud Load Balancing
  • Cloud NAT
  • Cloud Router
  • Cloud SQL
  • Cloud Storage
  • Compute Engine
  • Identity and Access Management
  • Google Kubernetes Engine
  • Virtual Private Cloud, einschließlich Subnetzen und Firewallkonfigurationen
  • Resource Manager

Limits für hochwertige Ressourcen

Ein Satz hochwertiger Ressourcen unterstützt nur bestimmte Ressourcentypen und kann nur eine bestimmte Anzahl von Ressourceninstanzen enthalten.

Instanzlimit für Gruppen hochwertiger Ressourcen

Ein Satz hochwertiger Ressourcen für eine Plattform eines Cloud-Dienstanbieters kann bis zu 1.000 Ressourceninstanzen enthalten.

Ressourcentypen, die in Gruppen hochwertiger Ressourcen unterstützt werden

Sie können einem Satz hochwertiger Ressourcen nur die folgenden Typen von Google Cloud-Ressourcen hinzufügen:

  • aiplatform.googleapis.com/Dataset
  • aiplatform.googleapis.com/Featurestore
  • aiplatform.googleapis.com/MetadataStore
  • aiplatform.googleapis.com/Model
  • aiplatform.googleapis.com/TrainingPipeline
  • bigquery.googleapis.com/Dataset
  • cloudfunctions.googleapis.com/CloudFunction
  • compute.googleapis.com/Instance
  • container.googleapis.com/Cluster
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

Eine Liste der unterstützten Ressourcentypen für andere Cloud-Dienstanbieter finden Sie unter Support für Cloud-Dienstanbieter.

Limit für die Konfiguration von Ressourcenwerten

Sie können bis zu 100 Ressourcenwertkonfigurationen pro Organisation in Google Cloud erstellen.

Ressourcentypen, die mit Datensensitivitätsklassifizierungen unterstützt werden

Angriffspfadsimulationen können anhand der Datensensitivitätsklassifizierungen aus dem Schutz sensibler Daten automatisch nur für die folgenden Datenressourcentypen automatisch Prioritätswerte festlegen:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance

Unterstützte Ergebniskategorien

Angriffspfadsimulationen generieren Angriffsrisikobewertungen und Angriffspfade nur für die Ergebniskategorien von Security Command Center aus den in diesem Abschnitt aufgeführten Erkennungsdiensten.

Ergebnisse von Mandiant Attack Surface Management

Die folgenden Ergebniskategorien von Mandiant Attack Surface Management werden von Angriffspfadsimulationen unterstützt:

  • Sicherheitslücke in der Software

Ergebnisse von Security Health Analytics

Die folgenden Ergebnisse von Security Health Analytics werden von Angriffspfadsimulationen in Google Cloud unterstützt:

  • Admin service account
  • Auto repair disabled
  • Auto upgrade disabled
  • Binary authorization disabled
  • Bucket policy only disabled
  • Cluster private Google access disabled
  • Cluster secrets encryption disabled
  • Cluster shielded nodes disabled
  • Compute project wide SSH keys allowed
  • Compute Secure Boot disabled
  • Serielle Compute-Ports aktiviert
  • COS not used
  • Default service account used
  • Full API access
  • Master authorized networks disabled
  • MFA not enforced
  • Netzwerkrichtlinie deaktiviert
  • Nodepool secure boot disabled
  • Open Cassandra port
  • Open ciscosecure websm port
  • Open directory services port
  • Open DNS port
  • Elasticsearch-Port öffnen
  • Open firewall
  • Open FTP port
  • Open HTTP port
  • Open LDAP port
  • Open Memcached port
  • Open MongoDB port
  • Open MySQL port
  • Open NetBIOS port
  • Open OracleDB port
  • Pop3-Port öffnen
  • Open PostgreSQL port
  • Open RDP port
  • Open Redis port
  • Open SMTP port
  • Open SSH port
  • Open Telnet port
  • Over privileged account
  • Over privileged scopes
  • Over privileged service account user
  • Primitive roles used
  • Private cluster disabled
  • ACL für öffentlichen Bucket
  • Öffentliche IP-Adresse
  • Öffentlicher Log-Bucket
  • Release channel disabled
  • Service account key not rotated
  • User managed service account key
  • Workload Identity disabled

Ergebnisse von Rapid Vulnerability Detection

Die folgenden Ergebnisse von Rapid Vulnerability Detection werden von Angriffspfadsimulationen unterstützt:

  • Schwache Anmeldedaten
  • Elasticsearch-API gefährdet
  • Gefährdeter Grafana-Endpunkt
  • Gefährdete Metabase
  • Offengelegter Spring Boot-Aktuatorendpunkt
  • Nicht authentifizierte Resource Manager-API von Hadoop Yarn
  • Java Jmx Rmi, sichtbar
  • Sichtbare UI für Jupyter-Notebook
  • Kubernetes-API zugänglich
  • Unvollständige WordPress-Installation
  • Nicht authentifizierte Jenkins-Konsole für neue Elemente
  • Apache HTTPD RCE
  • Apache HttpD Ssrf
  • Consul RCE
  • Druid RCE
  • Drupal RCE
  • Offenlegung über Flink-Datei
  • GitLab-RCE
  • Go CD RCE
  • Jenkins-RCE
  • Joomla RCE
  • Log4j RCE
  • Ausweitung der Mantisbt-Rechteausweitung
  • Ognl RCE
  • OpenAM-Server
  • Oracle Weblogic RCE
  • PHP-Einheit Empfang
  • PhP CGI RCE
  • Portal-RCE
  • Redis-RCE
  • Solr-Datei offengelegt
  • Solr-Rce
  • Struts Rce
  • Offenlegung von Tomcat-Dateien
  • Vbulletin RCE
  • vCenter-RCE
  • Weblogic RCE

VM Manager-Ergebnisse

Die von VM Manager ausgegebene Ergebniskategorie OS Vulnerability unterstützt Angriffsrisikobewertungen.

Unterstützung für Pub/Sub-Benachrichtigungen

Änderungen an Angriffsrisikowerten können nicht als Auslöser für Benachrichtigungen an Pub/Sub verwendet werden.

Ergebnisse, die beim Erstellen der Ergebnisse an Pub/Sub gesendet werden, enthalten auch keine Angriffsbewertung, da sie gesendet werden, bevor eine Punktzahl berechnet werden kann.

Multi-Cloud-Unterstützung

Security Command Center kann Angriffsrisikobewertungen und Visualisierungen von Angriffspfaden für die folgenden Cloud-Dienstanbieter bereitstellen:

  • Amazon Web Services (AWS)

Detektor-Unterstützung für andere Cloud-Dienstanbieter

Die Detektoren für Sicherheitslücken und Fehlkonfigurationen, die Angriffspfadsimulationen für andere Plattformen von Cloud-Dienstanbietern unterstützen, hängt davon ab, welche Erkennungsdienste die Security Command Center-Erkennungsdienste auf der Plattform unterstützen.

Die Detektorunterstützung variiert je nach Cloud-Dienstanbieter.

AWS-Support

Security Command Center kann Angriffsrisikobewertungen und Visualisierung von Angriffspfaden für Ihre Ressourcen in AWS berechnen.

AWS-Dienste, die von Angriffspfadsimulationen unterstützt werden

Die Simulationen können die folgenden AWS-Dienste enthalten:

  • Identity and Access Management (IAM)
  • Security Token Service (STS)
  • Einfacher Speicherdienst (S3)
  • Web Application Firewall (WAFv2)
  • Elastic Compute Cloud (EC2)
  • Elastisches Load-Balancing (ELB und ELBv2)
  • Relationaler Datenbankdienst (RDS)
  • Key Management Service (KMS)
  • Elastic Container Registry (ECR)
  • Elastic Container Service (ECS)
  • ApiGateway und ApiGatewayv2
  • Organisationen (Kontoverwaltungsdienst)
  • CloudFront
  • AutoScaling
  • Lambda
  • DynamoDB

AWS-Ressourcentypen, die Sie als hochwertige Ressourcen angeben können

Sie können einem Satz hochwertiger Ressourcen nur die folgenden Typen von AWS-Ressourcen hinzufügen:

  • DynamoDB-Tabelle
  • EC2-Instanz
  • Lambda-Funktion
  • RDS-DBCluster
  • RDS-DB-Instanz
  • S3-Bucket

Unterstützung für AWS finden

Angriffspfadsimulationen bieten Punktzahlen und Visualisierungen von Angriffspfaden für die folgenden Ergebniskategorien in Security Health Analytics:

  • Zugriffsschlüssel wurden um 90 Tage weniger rotiert
  • Seit 45 Tagen nicht verwendete Anmeldedaten deaktiviert
  • VPC der Standardsicherheitsgruppe schränkt den gesamten Traffic ein
  • EC2-Instanz ohne öffentliche IP-Adresse
  • IAM-Passwortrichtlinie
  • Die IAM-Passwortrichtlinie verhindert die Wiederverwendung von Passwörtern
  • Die IAM-Passwortrichtlinie erfordert eine Mindestlänge von 14 Zeichen
  • Prüfung auf nicht verwendete IAM-Anmeldedaten
  • IAM-Nutzer erhalten Berechtigungsgruppen
  • KMS-CMK ist nicht zum Löschen geplant
  • MFA-Löschvorgänge für aktivierte S3-Buckets
  • MFA-aktiviertes Root-Nutzerkonto
  • Multi-Faktor-Authentifizierung durch MFA für alle IAM-Nutzerkonsolen aktiviert
  • Kein Zugriffsschlüssel für das Root-Nutzerkonto vorhanden
  • Keine Sicherheitsgruppen lassen Remote-Serververwaltung für eingehenden Traffic 0 zu
  • Keine Sicherheitsgruppen lassen eingehenden Traffic per Remote-Serververwaltung zu 0 0 0 0 zu.
  • 1 aktiver Zugriffsschlüssel für jeden einzelnen IAM-Nutzer verfügbar
  • Öffentlicher Zugriff auf RDS-Instanz
  • Eingeschränkte gemeinsame Ports
  • Eingeschränktes SSH
  • Rotation – Kunde hat CMKS erstellt – aktiviert
  • Rotation – Kunde hat symmetrische CMKS aktiviert
  • Für S3-Buckets wurden Einstellungen zum Blockieren des öffentlichen Zugriffs konfiguriert
  • S3-Bucket-Richtlinie zum Ablehnen von HTTP-Anfragen
  • KMS für S3-Standardverschlüsselung
  • VPC-Standardsicherheitsgruppe geschlossen

Unterstützung der Benutzeroberfläche

Sie können entweder Security Command Center in der Google Cloud Console oder die Security Command Center API verwenden, um mit Angriffsrisikobewertungen zu arbeiten.

Sie können Ressourcenwertkonfigurationen jedoch nur auf dem Tab Angriffspfadsimulationen der Seite Einstellungen von Security Command Center in der Google Cloud Console erstellen.