Halaman ini menjelaskan layanan dan temuan yang didukung fitur eksposur serangan dan batas dukungan yang berlaku untuknya.
Security Command Center menghasilkan skor eksposur serangan dan jalur untuk hal-hal berikut:
- Kategori pencarian yang didukung dalam class penemuan
VulnerabilitydanMisconfiguration. Untuk informasi selengkapnya, lihat Kategori temuan yang didukung. - Instance resource dari jenis resource yang didukung yang Anda tetapkan sebagai bernilai tinggi. Untuk mengetahui informasi selengkapnya, lihat Jenis resource yang didukung dalam set resource bernilai tinggi.
Bagian berikut mencantumkan layanan dan temuan Security Command Center yang didukung oleh skor eksposur serangan.
Hanya dukungan tingkat organisasi
Simulasi jalur serangan yang menghasilkan skor eksposur serangan dan jalur serangan mengharuskan Security Command Center diaktifkan di tingkat organisasi. Simulasi jalur serangan tidak didukung dengan aktivasi level project Security Command Center.
Untuk melihat jalur serangan, tampilan konsol Google Cloud harus disetel ke organisasi Anda. Jika memilih tampilan project atau folder di Google Cloud Console, Anda dapat melihat skor eksposur serangan, tetapi tidak dapat melihat jalur serangan.
Selain itu, izin IAM yang diperlukan pengguna untuk melihat jalur serangan harus diberikan di tingkat organisasi. Setidaknya, pengguna harus memiliki izin securitycenter.attackpaths.list dalam peran yang diberikan di level organisasi. Peran IAM bawaan yang paling tidak permisif dan berisi izin ini adalah Security Center Attack Path Reader (securitycenter.attackPathsViewer).
Untuk melihat peran lain yang berisi izin ini, lihat Referensi peran dasar dan bawaan IAM.
Batas ukuran untuk organisasi
Untuk simulasi jalur serangan, Security Command Center membatasi jumlah aset aktif dan temuan aktif yang dapat dimuat organisasi.
Jika organisasi melebihi batas yang ditampilkan dalam tabel berikut, simulasi jalur serangan tidak akan dijalankan.
| Jenis batas | Batas penggunaan |
|---|---|
| Jumlah maksimum temuan aktif | 250.000.000 |
| Jumlah maksimum aset aktif | 26.000.000 |
Jika aset, temuan, atau keduanya di organisasi Anda mendekati batas ini atau melampauinya, hubungi Cloud Customer Care untuk meminta evaluasi organisasi Anda guna mengetahui kemungkinan peningkatan.
Layanan Google Cloud yang disertakan dalam simulasi jalur serangan
Simulasi dapat mencakup layanan Google Cloud berikut:
- BigQuery
- Cloud Functions
- Cloud Key Management Service
- Cloud Load Balancing
- Cloud NAT
- Cloud Router
- Cloud SQL
- Cloud Storage
- Compute Engine
- Identity and Access Management
- Google Kubernetes Engine
- Virtual Private Cloud, termasuk konfigurasi subnet dan firewall
- Resource Manager
Batas set resource bernilai tinggi
Set resource bernilai tinggi hanya mendukung jenis resource tertentu dan hanya dapat berisi sejumlah instance resource tertentu.
Batas instance untuk set resource bernilai tinggi
Set resource bernilai tinggi untuk platform penyedia layanan cloud dapat berisi hingga 1.000 instance resource.
Jenis resource yang didukung dalam set resource bernilai tinggi
Anda hanya dapat menambahkan jenis resource Google Cloud berikut ke set resource bernilai tinggi:
aiplatform.googleapis.com/Datasetaiplatform.googleapis.com/Featurestoreaiplatform.googleapis.com/MetadataStoreaiplatform.googleapis.com/Modelaiplatform.googleapis.com/TrainingPipelinebigquery.googleapis.com/Datasetcloudfunctions.googleapis.com/CloudFunctioncompute.googleapis.com/Instancecontainer.googleapis.com/Clustersqladmin.googleapis.com/Instancestorage.googleapis.com/Bucket
Untuk mengetahui daftar jenis resource yang didukung untuk penyedia layanan cloud lainnya, lihat Dukungan penyedia layanan Cloud.
Batas konfigurasi nilai resource
Anda dapat membuat hingga 100 konfigurasi nilai resource per organisasi di Google Cloud.
Jenis resource yang didukung dengan klasifikasi sensitivitas data
Simulasi jalur serangan dapat otomatis menetapkan nilai prioritas berdasarkan klasifikasi sensitivitas data dari Perlindungan Data Sensitif hanya untuk jenis resource data bigquery.googleapis.com/Dataset.
Kategori temuan yang didukung
Simulasi jalur serangan menghasilkan skor eksposur serangan dan jalur serangan hanya untuk kategori temuan Security Command Center dari layanan deteksi Security Command Center yang tercantum di bagian ini.
Temuan Mandiant Attack Surface Management
Kategori temuan Mandiant Attack Surface Management berikut didukung oleh simulasi jalur serangan:
- Kerentanan software
Temuan Security Health Analytics
Temuan Security Health Analytics berikut didukung oleh simulasi jalur serangan di Google Cloud:
- Akun layanan admin
- Perbaikan otomatis dinonaktifkan
- Upgrade otomatis dinonaktifkan
- Otorisasi biner dinonaktifkan
- Khusus kebijakan bucket dinonaktifkan
- Akses Google pribadi cluster dinonaktifkan
- Enkripsi rahasia cluster dinonaktifkan
- Node terlindung cluster dinonaktifkan
- Kunci SSH di seluruh project komputasi diizinkan
- Booting Aman Compute dinonaktifkan
- Port Serial Compute Diaktifkan
- COS tidak digunakan
- Akun layanan default yang digunakan
- Akses API penuh
- Jaringan yang diizinkan master dinonaktifkan
- MFA tidak diterapkan
- Kebijakan jaringan dinonaktifkan
- Booting aman Nodepool dinonaktifkan
- Buka port Cassandra
- Buka port websm ciscosecure
- Buka port layanan direktori
- Buka port DNS
- Buka port elasticsearch
- Buka firewall
- Buka port FTP
- Buka port HTTP
- Buka port LDAP
- Buka port Memcached
- Buka port MongoDB
- Buka port MySQL
- Buka port NetBIOS
- Buka port OracleDB
- Buka port pop3
- Buka port PostgreSQL
- Buka port RDP
- Buka port Redis
- Buka port SMTP
- Buka port SSH
- Buka port Telnet
- Akun dengan hak istimewa berlebih
- Cakupan yang diberi hak istimewa berlebih
- Pengguna akun layanan dengan hak istimewa berlebih
- Peran dasar yang digunakan
- Cluster pribadi dinonaktifkan
- Bucket Publik ACL
- Alamat IP publik
- Bucket Log Publik
- Saluran rilis dinonaktifkan
- Kunci akun layanan tidak dirotasi
- Kunci akun layanan terkelola pengguna
- Workload Identity dinonaktifkan
Temuan Deteksi Kerentanan Cepat
Temuan Deteksi Kerentanan Cepat berikut didukung oleh simulasi jalur serangan:
- Kredensial Lemah
- Elasticsearch API Terekspos
- Endpoint Grafana Terekspos
- Metabase Terekspos
- Endpoint Aktuator Spring Boot Terekspos
- Hadoop Yarn API Resource Manager yang Tidak Diautentikasi
- Java Jmx Rmi Terekspos
- UI Terekspos Notebook Jupyter
- Kubernetes API Terekspos
- Penginstalan Wordpress Belum Selesai
- Konsol Item Baru Jenkins yang Tidak Diautentikasi
- Apache Httpd Rce
- Apache Httpd Ssrf
- Konsul Rce
- Druid Rce
- Drupal Rce
- Pengungkapan File Flink
- Gitlab Rce
- Go Cd Rce
- Jenkins Rce
- Rce Joomla
- Log4j Rce
- Eskalasi Hak Istimewa Mantisbt
- Ognl Rce
- Openam Rce
- Rce Weblogik Oracle
- Unit Php Rce
- Rce Php Cgi
- Rce Portal
- Redis Rce
- File Solr Terekspos
- Solr Rce
- Struts Rce
- Pengungkapan File Tomcat
- Rce Vbulletin
- Rce Vcenter
- Rce Weblog
Temuan Pengelola VM
Kategori penemuan OS Vulnerability yang dikeluarkan oleh
VM Manager
mendukung skor eksposur serangan.
Dukungan notifikasi Pub/Sub
Perubahan pada skor eksposur serangan tidak dapat digunakan sebagai pemicu untuk notifikasi Pub/Sub.
Selain itu, temuan yang dikirim ke Pub/Sub saat temuan tersebut dibuat tidak menyertakan skor eksposur serangan karena dikirim sebelum skor dapat dihitung.
Dukungan multicloud
Security Command Center dapat memberikan skor eksposur serangan dan visualisasi jalur serangan untuk penyedia layanan cloud berikut:
- Amazon Web Services (AWS)
Dukungan pendeteksi untuk penyedia layanan cloud lainnya
Pendeteksi kerentanan dan kesalahan konfigurasi yang mendukung simulasi jalur serangan untuk platform penyedia layanan cloud lainnya bergantung pada deteksi yang didukung layanan deteksi Security Command Center di platform tersebut.
Dukungan pendeteksi berbeda untuk setiap penyedia layanan cloud.
Dukungan AWS
Security Command Center dapat menghitung skor eksposur serangan dan visualisasi jalur serangan untuk resource Anda di AWS.
Layanan AWS yang didukung oleh simulasi jalur serangan
Simulasi dapat mencakup layanan AWS berikut:
- Identity and Access Management (IAM)
- Layanan Token Keamanan (STS)
- Layanan Penyimpanan Sederhana (S3)
- Firewall Aplikasi Web (WAFv2)
- Elastic Compute Cloud (EC2)
- Load Balancing Elastis (ELB & ELBv2)
- Layanan Database Relasional (RDS)
- Key Management Service (KMS)
- Elastic Container Registry (ECR)
- Layanan Kontainer Elastis (ECS)
- ApiGateway & ApiGatewayv2
- Organisasi (Layanan Pengelolaan Akun)
- CloudFront
- AutoScaling
- Lambda
- DynamoDB
Jenis resource AWS yang dapat Anda tentukan sebagai resource bernilai tinggi
Anda hanya dapat menambahkan jenis resource AWS berikut ke set resource bernilai tinggi:
- Tabel DynamoDB
- Instance EC2
- Fungsi lambda
- DBCluster RDS
- DBInstance RDS
- Bucket S3
Mencari dukungan untuk AWS
Simulasi jalur serangan memberikan visualisasi skor dan jalur serangan untuk kategori temuan Security Health Analytics berikut:
- Kunci akses dirotasi 90 hari lebih sedikit
- Kredensial yang tidak digunakan 45 hari lebih besar dinonaktifkan
- VPC grup keamanan default membatasi semua traffic
- Instance EC2 tidak memiliki IP publik
- Kebijakan sandi IAM
- Kebijakan sandi IAM mencegah penggunaan ulang sandi
- Kebijakan sandi IAM memerlukan panjang minimum 14 lebih panjang
- Pemeriksaan kredensial yang tidak digunakan pengguna IAM
- Pengguna IAM menerima grup izin
- CMK KMS tidak dijadwalkan untuk dihapus
- MFA menghapus bucket S3 yang diaktifkan
- Akun pengguna root yang mengaktifkan MFA
- MFA autentikasi multi-faktor mengaktifkan semua konsol pengguna IAM
- Tidak ada kunci akses akun pengguna root
- Tidak ada grup keamanan yang mengizinkan masuknya 0 administrasi server jarak jauh
- Tidak ada kelompok keamanan yang mengizinkan masuk 0 0 0 0 administrasi server jarak jauh
- Satu kunci akses aktif tersedia untuk setiap pengguna IAM
- Akses publik yang diberikan instance RDS
- Port umum yang dibatasi
- SSH Terbatas
- Rotasi pelanggan yang membuat CMKS diaktifkan
- Rotasi pelanggan membuat CMKS simetris diaktifkan
- Bucket S3 yang dikonfigurasi untuk memblokir setelan bucket akses publik
- Kebijakan bucket S3 disetel menolak permintaan HTTP
- KMS enkripsi default S3
- Grup keamanan default VPC ditutup
Dukungan antarmuka pengguna
Anda dapat menggunakan Security Command Center di Konsol Google Cloud atau Security Command Center API untuk menangani skor eksposur serangan.
Namun, Anda hanya dapat membuat konfigurasi nilai resource di tab Simulasi jalur serangan pada halaman Setelan Security Command Center di Konsol Google Cloud.