Halaman ini menjelaskan layanan dan temuan yang didukung oleh fitur Security Command Center Risk Engine dan batas dukungan yang berlaku untuknya.
Mesin Risiko menghasilkan skor dan jalur eksposur serangan untuk hal berikut:
- Kategori penemuan yang didukung di class penemuan
VulnerabilitydanMisconfiguration. Untuk mengetahui informasi selengkapnya, lihat Kategori temuan yang didukung. - Temuan class
Toxic combination. - Instance resource dari jenis resource yang didukung yang Anda tetapkan sebagai nilai tinggi. Untuk mengetahui informasi selengkapnya, lihat Jenis resource yang didukung dalam set resource bernilai tinggi.
Bagian berikut mencantumkan layanan dan temuan Security Command Center yang didukung oleh Risk Engine.
Hanya dukungan tingkat organisasi
Simulasi jalur serangan yang digunakan Risk Engine untuk menghasilkan skor eksposur serangan dan jalur serangan memerlukan Security Command Center untuk diaktifkan di level organisasi. Simulasi jalur serangan tidak didukung dengan aktivasi level project Security Command Center.
Untuk melihat jalur serangan, tampilan konsol Google Cloud Anda harus ditetapkan ke organisasi Anda. Jika memilih tampilan project atau folder di konsol Google Cloud , Anda dapat melihat skor eksposur serangan, tetapi Anda tidak dapat melihat jalur serangan.
Selain itu, izin IAM yang diperlukan pengguna untuk melihat jalur serangan harus diberikan di tingkat organisasi. Setidaknya, pengguna
harus memiliki izin securitycenter.attackpaths.list dalam peran
yang diberikan di tingkat organisasi. Peran IAM bawaan yang paling sedikit permisif
dan berisi izin ini adalah
Security Center Attack Paths Reader (securitycenter.attackPathsViewer).
Untuk melihat peran lain yang berisi izin ini, lihat Referensi peran dasar dan bawaan IAM.
Batas ukuran untuk organisasi
Untuk simulasi jalur serangan, Mesin Risiko membatasi jumlah aset aktif dan temuan aktif yang dapat dimiliki organisasi.
Jika organisasi melampaui batas yang ditampilkan dalam tabel berikut, simulasi jalur serangan tidak akan berjalan.
| Jenis batas | Batas penggunaan |
|---|---|
| Jumlah maksimum temuan aktif | 250.000.000 |
| Jumlah maksimum aset aktif | 26.000.000 |
Jika aset, temuan, atau keduanya di organisasi Anda mendekati atau melebihi batas ini, hubungi Cloud Customer Care untuk meminta evaluasi organisasi Anda guna mengetahui kemungkinan peningkatan.
LayananGoogle Cloud disertakan dalam simulasi jalur serangan
Simulasi yang dijalankan Risk Engine dapat mencakup layanan Google Cloud berikut:
- Artifact Registry
- BigQuery
- Fungsi Cloud Run
- Cloud Key Management Service
- Cloud Load Balancing
- Cloud NAT
- Cloud Router
- Cloud SQL
- Cloud Storage
- Compute Engine
- Identity and Access Management
- Google Kubernetes Engine
- Virtual Private Cloud, termasuk subnet dan konfigurasi firewall
- Resource Manager
Batas set resource bernilai tinggi
Kumpulan resource bernilai tinggi hanya mendukung jenis resource tertentu dan hanya dapat berisi sejumlah instance resource tertentu.
Batas instance untuk set resource bernilai tinggi
Set resource bernilai tinggi untuk platform penyedia layanan cloud dapat berisi hingga 1.000 instance resource.
Jenis resource yang didukung dalam set resource bernilai tinggi
Anda hanya dapat menambahkan jenis resource Google Cloud berikut ke kumpulan resource bernilai tinggi:
aiplatform.googleapis.com/Datasetaiplatform.googleapis.com/Featurestoreaiplatform.googleapis.com/MetadataStoreaiplatform.googleapis.com/Modelaiplatform.googleapis.com/TrainingPipeline
bigquery.googleapis.com/Datasetcloudfunctions.googleapis.com/CloudFunctioncompute.googleapis.com/Instancecontainer.googleapis.com/Clustersqladmin.googleapis.com/Instancestorage.googleapis.com/Bucket
Untuk daftar jenis resource yang didukung untuk penyedia layanan cloud lainnya, lihat Dukungan penyedia layanan cloud.
Batas konfigurasi nilai resource
Anda dapat membuat hingga 100 konfigurasi nilai resource per organisasi di Google Cloud.
Google Cloud jenis resource yang didukung dengan klasifikasi sensitivitas data
Simulasi jalur serangan dapat otomatis menetapkan nilai prioritas berdasarkan klasifikasi sensitivitas data dari penemuan Perlindungan Data Sensitif hanya untuk jenis resource data berikut:
bigquery.googleapis.com/Datasetsqladmin.googleapis.com/Instancestorage.googleapis.com/Bucket
Kategori penemuan yang didukung
Simulasi jalur serangan menghasilkan skor eksposur serangan dan jalur serangan hanya untuk kategori temuan Security Command Center dari layanan deteksi Security Command Center yang tercantum di bagian ini.
Temuan Postur Keamanan GKE
Kategori temuan Postur Keamanan GKE berikut didukung oleh simulasi jalur serangan:
- Kerentanan OS runtime GKE
Temuan Mandiant Attack Surface Management
Kategori penemuan Mandiant Attack Surface Management berikut didukung oleh simulasi jalur serangan:
- Kerentanan software
Temuan Mesin Risiko
Kategori temuan Toxic combination yang dikeluarkan oleh
Mesin Risiko
mendukung skor eksposur serangan.
Temuan Security Health Analytics
Temuan Security Health Analytics berikut didukung oleh simulasi jalur serangan di Google Cloud:
- Akun layanan admin
- Perbaikan otomatis dinonaktifkan
- Upgrade otomatis dinonaktifkan
- Otorisasi biner dinonaktifkan
- Khusus kebijakan bucket dinonaktifkan
- Akses Google pribadi cluster dinonaktifkan
- Enkripsi secret cluster dinonaktifkan
- Node cluster yang dilindungi dinonaktifkan
- Kunci SSH di seluruh project Compute diizinkan
- Booting Aman Compute dinonaktifkan
- Port Serial Komputasi Diaktifkan
- COS tidak digunakan
- Akun layanan default yang digunakan
- Akses API penuh
- Jaringan yang diizinkan master dinonaktifkan
- MFA tidak diterapkan
- Kebijakan jaringan dinonaktifkan
- Booting aman nodepool dinonaktifkan
- Membuka port Cassandra
- Membuka port websm ciscosecure
- Membuka port layanan direktori
- Membuka port DNS
- Membuka port elasticsearch
- Membuka firewall
- Membuka port FTP
- Membuka port HTTP
- Membuka port LDAP
- Membuka port Memcached
- Membuka port MongoDB
- Membuka port MySQL
- Membuka port NetBIOS
- Membuka port OracleDB
- Membuka port pop3
- Membuka port PostgreSQL
- Membuka port RDP
- Membuka port Redis
- Membuka port SMTP
- Membuka port SSH
- Membuka port Telnet
- Akun dengan hak istimewa berlebih
- Cakupan hak istimewa berlebih
- Pengguna akun layanan yang memiliki hak istimewa berlebih
- Peran dasar yang digunakan
- Cluster pribadi dinonaktifkan
- ACL Bucket Publik
- Alamat IP publik
- Bucket Log Publik
- Saluran rilis dinonaktifkan
- Kunci akun layanan tidak dirotasi
- Kunci akun layanan yang dikelola pengguna
- Workload Identity dinonaktifkan
Temuan VM Manager
Kategori temuan OS Vulnerability yang dikeluarkan oleh
Pengelola VM
mendukung skor eksposur serangan.
Dukungan notifikasi Pub/Sub
Perubahan pada skor eksposur serangan tidak dapat digunakan sebagai pemicu untuk notifikasi ke Pub/Sub.
Selain itu, temuan yang dikirim ke Pub/Sub saat temuan dibuat tidak menyertakan skor eksposur serangan karena temuan dikirim sebelum skor dapat dihitung.
Dukungan multicloud
Security Command Center dapat memberikan skor eksposur serangan dan visualisasi jalur serangan untuk penyedia layanan cloud berikut:
Pendeteksi kerentanan dan kesalahan konfigurasi yang mendukung simulasi jalur serangan untuk platform penyedia layanan cloud lainnya bergantung pada deteksi yang didukung oleh layanan deteksi Security Command Center di platform tersebut.
Dukungan detektor berbeda untuk setiap penyedia layanan cloud.
Dukungan AWS
Security Command Center dapat menghitung skor eksposur serangan dan visualisasi jalur serangan untuk resource Anda di AWS.
Layanan AWS yang didukung oleh simulasi jalur serangan
Simulasi dapat mencakup layanan AWS berikut:
- Identity and Access Management (IAM)
- Layanan Token Keamanan (STS)
- Simple Storage Service (S3)
- Firewall Aplikasi Web (WAFv2)
- Elastic Compute Cloud (EC2)
- Elastic Load Balancing (ELB & ELBv2)
- Relational Database Service (RDS)
- Key Management Service (KMS)
- Elastic Container Registry (ECR)
- Elastic Container Service (ECS)
- ApiGateway & ApiGatewayv2
- Organisasi (Layanan Pengelolaan Akun)
- CloudFront
- AutoScaling
- Lambda
- DynamoDB
Jenis resource AWS yang didukung dalam set resource bernilai tinggi
Anda hanya dapat menambahkan jenis resource AWS berikut ke kumpulan resource bernilai tinggi:
- Tabel DynamoDB
- Instance EC2
- Fungsi Lambda
- RDS DBCluster
- RDS DBInstance
- Bucket S3
Jenis resource AWS yang didukung dengan klasifikasi sensitivitas data
Simulasi jalur serangan dapat otomatis menetapkan nilai prioritas berdasarkan klasifikasi sensitivitas data dari penemuan Perlindungan Data Sensitif hanya untuk jenis resource data AWS berikut:
- Bucket Amazon S3
Menemukan dukungan di Security Health Analytics untuk AWS
Simulasi jalur serangan memberikan skor dan visualisasi jalur serangan untuk kategori temuan Security Health Analytics berikut:
- Kunci akses dirotasi kurang dari 90 hari
- Kredensial yang tidak digunakan selama 45 hari atau lebih dinonaktifkan
- VPC grup keamanan default membatasi semua traffic
- Instance EC2 tanpa IP publik
- Kebijakan sandi IAM
- Kebijakan sandi IAM mencegah penggunaan ulang sandi
- Kebijakan sandi IAM mengharuskan panjang minimum 14 karakter atau lebih
- Pemeriksaan kredensial pengguna IAM yang tidak digunakan
- Pengguna IAM menerima grup izin
- CMK KMS tidak dijadwalkan untuk dihapus
- Bucket S3 yang mengaktifkan penghapusan MFA
- Akun pengguna root yang mengaktifkan MFA
- Autentikasi multi-faktor MFA diaktifkan untuk semua pengguna IAM di konsol
- Tidak ada kunci akses akun pengguna root
- Tidak ada grup keamanan yang mengizinkan ingress 0 administrasi server jarak jauh
- Tidak ada grup keamanan yang mengizinkan ingress 0 0 0 0 administrasi server jarak jauh
- Satu kunci akses aktif tersedia untuk pengguna IAM tunggal apa pun
- Akses publik diberikan ke instance RDS
- Port umum yang dibatasi
- SSH Terbatas
- Rotasi CMK yang dibuat pelanggan diaktifkan
- Rotasi CMK simetris yang dibuat pelanggan diaktifkan
- Bucket S3 yang dikonfigurasi untuk memblokir setelan bucket akses publik
- Kebijakan bucket S3 ditetapkan untuk menolak permintaan HTTP
- KMS enkripsi default S3
- Grup keamanan default VPC ditutup
Temuan Penilaian Kerentanan
Kategori temuan Software vulnerability yang dikeluarkan oleh
EC2 Vulnerability Assessment
mendukung skor eksposur serangan.
Dukungan antarmuka pengguna
Anda dapat menggunakan skor eksposur serangan di konsol Google Cloud , konsol Security Operations, atau Security Command Center API.
Anda dapat menggunakan skor eksposur serangan dan jalur serangan untuk kasus kombinasi toksik hanya di konsol Security Operations.
Anda dapat membuat konfigurasi nilai resource hanya di tab Simulasi jalur serangan di halaman Setelan Security Command Center di konsol Google Cloud .