Auf dieser Seite werden die Dienste und Ergebnisse beschrieben, die das Angriffsfeature unterstützt, sowie die Supportgrenzen, denen es unterliegt.
Security Command Center generiert Angriffsrisikobewertungen und Pfade für Folgendes:
- Unterstützte Ergebniskategorien in den Ergebnisklassen
Vulnerability
undMisconfiguration
. Weitere Informationen finden Sie unter Unterstützte Ergebniskategorien. - Ressourceninstanzen unterstützter Ressourcentypen, die Sie als hohen Wert festlegen. Weitere Informationen finden Sie unter In Gruppen hochwertiger Ressourcen unterstützte Ressourcentypen.
In den folgenden Abschnitten werden die Security Command Center-Dienste und die Ergebnisse aufgeführt, die von Angriffsbewertungen unterstützt werden.
Nur Support auf Organisationsebene
Für die Angriffspfadsimulationen, die Angriffsrisikobewertungen und Angriffspfade generieren, muss Security Command Center auf Organisationsebene aktiviert sein. Angriffspfadsimulationen werden bei Aktivierungen auf Projektebene von Security Command Center nicht unterstützt.
Damit Sie Angriffspfade ansehen können, muss die Ansicht in der Google Cloud Console auf Ihre Organisation festgelegt sein. Wenn Sie in der Google Cloud Console eine Projekt- oder Ordneransicht auswählen, können Sie zwar Angriffsrisikobewertungen, aber keine Angriffspfade sehen.
Außerdem müssen die IAM-Berechtigungen, die Nutzer zum Ansehen von Angriffspfaden benötigen, auf Organisationsebene gewährt werden. Nutzer müssen mindestens die Berechtigung securitycenter.attackpaths.list
in einer Rolle haben, die auf Organisationsebene gewährt wurde. Die vordefinierte IAM-Rolle mit der geringsten Berechtigung, die diese Berechtigung enthält, ist Security Center Attack Paths Reader (securitycenter.attackPathsViewer
).
Informationen zu weiteren Rollen mit dieser Berechtigung finden Sie in der Referenz zu einfachen und vordefinierten IAM-Rollen.
Größenbeschränkungen für Organisationen
Für Angriffspfadsimulationen beschränkt Security Command Center die Anzahl der aktiven Assets und aktiven Ergebnisse, die eine Organisation enthalten kann.
Überschreitet eine Organisation die in der folgenden Tabelle aufgeführten Limits, werden keine Angriffspfadsimulationen ausgeführt.
Art des Limits | Nutzungsbeschränkung |
---|---|
Maximale Anzahl aktiver Ergebnisse | 250.000.000 |
Maximale Anzahl aktiver Assets | 26.000.000 |
Wenn die Assets, Ergebnisse oder beides in Ihrer Organisation diesen Limits nähern oder überschreiten, wenden Sie sich an Cloud Customer Care, um eine Bewertung Ihrer Organisation für eine mögliche Erhöhung anzufordern.
In Angriffspfadsimulationen enthaltene Google Cloud-Dienste
Die Simulationen können die folgenden Google Cloud-Dienste umfassen:
- Artifact Registry
- BigQuery
- Cloud Functions
- Cloud Key Management Service
- Cloud Load Balancing
- Cloud NAT
- Cloud Router
- Cloud SQL
- Cloud Storage
- Compute Engine
- Identity and Access Management
- Google Kubernetes Engine
- Virtual Private Cloud, einschließlich Subnetzen und Firewallkonfigurationen
- Resource Manager
Limits für hochwertige Ressourcen
Ein Satz hochwertiger Ressourcen unterstützt nur bestimmte Ressourcentypen und kann nur eine bestimmte Anzahl von Ressourceninstanzen enthalten.
Instanzlimit für Gruppen hochwertiger Ressourcen
Ein Satz hochwertiger Ressourcen für eine Plattform eines Cloud-Dienstanbieters kann bis zu 1.000 Ressourceninstanzen enthalten.
Ressourcentypen, die in Gruppen hochwertiger Ressourcen unterstützt werden
Sie können einem Satz hochwertiger Ressourcen nur die folgenden Typen von Google Cloud-Ressourcen hinzufügen:
aiplatform.googleapis.com/Dataset
aiplatform.googleapis.com/Featurestore
aiplatform.googleapis.com/MetadataStore
aiplatform.googleapis.com/Model
aiplatform.googleapis.com/TrainingPipeline
bigquery.googleapis.com/Dataset
cloudfunctions.googleapis.com/CloudFunction
compute.googleapis.com/Instance
container.googleapis.com/Cluster
sqladmin.googleapis.com/Instance
storage.googleapis.com/Bucket
Eine Liste der unterstützten Ressourcentypen für andere Cloud-Dienstanbieter finden Sie unter Support für Cloud-Dienstanbieter.
Limit für die Konfiguration von Ressourcenwerten
Sie können bis zu 100 Ressourcenwertkonfigurationen pro Organisation in Google Cloud erstellen.
Ressourcentypen, die mit Datensensitivitätsklassifizierungen unterstützt werden
Angriffspfadsimulationen können anhand der Datensensitivitätsklassifizierungen aus dem Schutz sensibler Daten automatisch nur für die folgenden Datenressourcentypen automatisch Prioritätswerte festlegen:
bigquery.googleapis.com/Dataset
sqladmin.googleapis.com/Instance
Unterstützte Ergebniskategorien
Angriffspfadsimulationen generieren Angriffsrisikobewertungen und Angriffspfade nur für die Ergebniskategorien von Security Command Center aus den in diesem Abschnitt aufgeführten Erkennungsdiensten.
Ergebnisse von Mandiant Attack Surface Management
Die folgenden Ergebniskategorien von Mandiant Attack Surface Management werden von Angriffspfadsimulationen unterstützt:
- Sicherheitslücke in der Software
Ergebnisse von Security Health Analytics
Die folgenden Ergebnisse von Security Health Analytics werden von Angriffspfadsimulationen in Google Cloud unterstützt:
- Admin service account
- Auto repair disabled
- Auto upgrade disabled
- Binary authorization disabled
- Bucket policy only disabled
- Cluster private Google access disabled
- Cluster secrets encryption disabled
- Cluster shielded nodes disabled
- Compute project wide SSH keys allowed
- Compute Secure Boot disabled
- Serielle Compute-Ports aktiviert
- COS not used
- Default service account used
- Full API access
- Master authorized networks disabled
- MFA not enforced
- Netzwerkrichtlinie deaktiviert
- Nodepool secure boot disabled
- Open Cassandra port
- Open ciscosecure websm port
- Open directory services port
- Open DNS port
- Elasticsearch-Port öffnen
- Open firewall
- Open FTP port
- Open HTTP port
- Open LDAP port
- Open Memcached port
- Open MongoDB port
- Open MySQL port
- Open NetBIOS port
- Open OracleDB port
- Pop3-Port öffnen
- Open PostgreSQL port
- Open RDP port
- Open Redis port
- Open SMTP port
- Open SSH port
- Open Telnet port
- Over privileged account
- Over privileged scopes
- Over privileged service account user
- Primitive roles used
- Private cluster disabled
- ACL für öffentlichen Bucket
- Öffentliche IP-Adresse
- Öffentlicher Log-Bucket
- Release channel disabled
- Service account key not rotated
- User managed service account key
- Workload Identity disabled
Ergebnisse von Rapid Vulnerability Detection
Die folgenden Ergebnisse von Rapid Vulnerability Detection werden von Angriffspfadsimulationen unterstützt:
- Schwache Anmeldedaten
- Elasticsearch-API gefährdet
- Gefährdeter Grafana-Endpunkt
- Gefährdete Metabase
- Offengelegter Spring Boot-Aktuatorendpunkt
- Nicht authentifizierte Resource Manager-API von Hadoop Yarn
- Java Jmx Rmi, sichtbar
- Sichtbare UI für Jupyter-Notebook
- Kubernetes-API zugänglich
- Unvollständige WordPress-Installation
- Nicht authentifizierte Jenkins-Konsole für neue Elemente
- Apache HTTPD RCE
- Apache HttpD Ssrf
- Consul RCE
- Druid RCE
- Drupal RCE
- Offenlegung über Flink-Datei
- GitLab-RCE
- Go CD RCE
- Jenkins-RCE
- Joomla RCE
- Log4j RCE
- Ausweitung der Mantisbt-Rechteausweitung
- Ognl RCE
- OpenAM-Server
- Oracle Weblogic RCE
- PHP-Einheit Empfang
- PhP CGI RCE
- Portal-RCE
- Redis-RCE
- Solr-Datei offengelegt
- Solr-Rce
- Struts Rce
- Offenlegung von Tomcat-Dateien
- Vbulletin RCE
- vCenter-RCE
- Weblogic RCE
VM Manager-Ergebnisse
Die von VM Manager ausgegebene Ergebniskategorie OS Vulnerability
unterstützt Angriffsrisikobewertungen.
Unterstützung für Pub/Sub-Benachrichtigungen
Änderungen an Angriffsrisikowerten können nicht als Auslöser für Benachrichtigungen an Pub/Sub verwendet werden.
Ergebnisse, die beim Erstellen der Ergebnisse an Pub/Sub gesendet werden, enthalten auch keine Angriffsbewertung, da sie gesendet werden, bevor eine Punktzahl berechnet werden kann.
Multi-Cloud-Unterstützung
Security Command Center kann Angriffsrisikobewertungen und Visualisierungen von Angriffspfaden für die folgenden Cloud-Dienstanbieter bereitstellen:
- Amazon Web Services (AWS)
Detektor-Unterstützung für andere Cloud-Dienstanbieter
Die Detektoren für Sicherheitslücken und Fehlkonfigurationen, die Angriffspfadsimulationen für andere Plattformen von Cloud-Dienstanbietern unterstützen, hängt davon ab, welche Erkennungsdienste die Security Command Center-Erkennungsdienste auf der Plattform unterstützen.
Die Detektorunterstützung variiert je nach Cloud-Dienstanbieter.
AWS-Support
Security Command Center kann Angriffsrisikobewertungen und Visualisierung von Angriffspfaden für Ihre Ressourcen in AWS berechnen.
AWS-Dienste, die von Angriffspfadsimulationen unterstützt werden
Die Simulationen können die folgenden AWS-Dienste enthalten:
- Identity and Access Management (IAM)
- Security Token Service (STS)
- Einfacher Speicherdienst (S3)
- Web Application Firewall (WAFv2)
- Elastic Compute Cloud (EC2)
- Elastisches Load-Balancing (ELB und ELBv2)
- Relationaler Datenbankdienst (RDS)
- Key Management Service (KMS)
- Elastic Container Registry (ECR)
- Elastic Container Service (ECS)
- ApiGateway und ApiGatewayv2
- Organisationen (Kontoverwaltungsdienst)
- CloudFront
- AutoScaling
- Lambda
- DynamoDB
AWS-Ressourcentypen, die Sie als hochwertige Ressourcen angeben können
Sie können einem Satz hochwertiger Ressourcen nur die folgenden Typen von AWS-Ressourcen hinzufügen:
- DynamoDB-Tabelle
- EC2-Instanz
- Lambda-Funktion
- RDS-DBCluster
- RDS-DB-Instanz
- S3-Bucket
Unterstützung für AWS finden
Angriffspfadsimulationen bieten Punktzahlen und Visualisierungen von Angriffspfaden für die folgenden Ergebniskategorien in Security Health Analytics:
- Zugriffsschlüssel wurden um 90 Tage weniger rotiert
- Seit 45 Tagen nicht verwendete Anmeldedaten deaktiviert
- VPC der Standardsicherheitsgruppe schränkt den gesamten Traffic ein
- EC2-Instanz ohne öffentliche IP-Adresse
- IAM-Passwortrichtlinie
- Die IAM-Passwortrichtlinie verhindert die Wiederverwendung von Passwörtern
- Die IAM-Passwortrichtlinie erfordert eine Mindestlänge von 14 Zeichen
- Prüfung auf nicht verwendete IAM-Anmeldedaten
- IAM-Nutzer erhalten Berechtigungsgruppen
- KMS-CMK ist nicht zum Löschen geplant
- MFA-Löschvorgänge für aktivierte S3-Buckets
- MFA-aktiviertes Root-Nutzerkonto
- Multi-Faktor-Authentifizierung durch MFA für alle IAM-Nutzerkonsolen aktiviert
- Kein Zugriffsschlüssel für das Root-Nutzerkonto vorhanden
- Keine Sicherheitsgruppen lassen Remote-Serververwaltung für eingehenden Traffic 0 zu
- Keine Sicherheitsgruppen lassen eingehenden Traffic per Remote-Serververwaltung zu 0 0 0 0 zu.
- 1 aktiver Zugriffsschlüssel für jeden einzelnen IAM-Nutzer verfügbar
- Öffentlicher Zugriff auf RDS-Instanz
- Eingeschränkte gemeinsame Ports
- Eingeschränktes SSH
- Rotation – Kunde hat CMKS erstellt – aktiviert
- Rotation – Kunde hat symmetrische CMKS aktiviert
- Für S3-Buckets wurden Einstellungen zum Blockieren des öffentlichen Zugriffs konfiguriert
- S3-Bucket-Richtlinie zum Ablehnen von HTTP-Anfragen
- KMS für S3-Standardverschlüsselung
- VPC-Standardsicherheitsgruppe geschlossen
Unterstützung der Benutzeroberfläche
Sie können entweder Security Command Center in der Google Cloud Console oder die Security Command Center API verwenden, um mit Angriffsrisikobewertungen zu arbeiten.
Sie können Ressourcenwertkonfigurationen jedoch nur auf dem Tab Angriffspfadsimulationen der Seite Einstellungen von Security Command Center in der Google Cloud Console erstellen.