Compatibilidad con la función Risk Engine

En esta página, se describen los servicios y los resultados que admite la función del motor de riesgos de Security Command Center, así como los límites de compatibilidad a los que está sujeta.

Risk Engine genera puntuaciones de exposición a ataques y rutas para el lo siguiente:

• Categorías de resultados compatibles en las clases de resultados Vulnerability y Misconfiguration Para obtener más información, consulta Categorías de hallazgos compatibles.
• Toxic combination resultados de la clase.
• Instancias de recursos de los tipos de recursos compatibles que designes como de alto valor. Para obtener más información, consulta Tipos de recursos admitidos en conjuntos de recursos de alto valor.

En las siguientes secciones, se enumeran los servicios y hallazgos de Security Command Center compatibles con Risk Engine.

Solo asistencia a nivel de la organización

Las simulaciones de rutas de ataque que usa Risk Engine para generar las puntuaciones de exposición a ataques y las rutas de ataque requieren que Security Command Center se active en el a nivel de la organización. Las simulaciones de rutas de ataque no son compatibles con activaciones a nivel de proyecto de Security Command Center.

Para ver las trayectorias de ataque, la vista de la consola de Google Cloud debe estar configurada para tu organización. Si seleccionas una vista de proyecto o carpeta la consola de Google Cloud, puedes ver las puntuaciones de exposición a ataques, pero no puede ver las rutas de ataque.

Además, los permisos de IAM que los usuarios necesitan para ver las rutas de ataque deben otorgarse a nivel de la organización. Como mínimo, los usuarios deben tener el permiso securitycenter.attackpaths.list en un rol otorgado a nivel de la organización. Los parámetros predefinidos menos permisivos el rol de IAM que contiene este permiso Lector de rutas de ataque del centro de seguridad (securitycenter.attackPathsViewer).

Para ver otros roles que contienen este permiso, consulta Referencia de roles básicos y predefinidos de IAM.

Límites de tamaño para las organizaciones

Para las simulaciones de rutas de ataque, Risk Engine limita la cantidad de como activos y hallazgos activos que una organización puede contener.

Si una organización supera los límites que se muestran en la siguiente tabla, no se ejecutarán las simulaciones de las rutas de ataque.

Tipo de límite	Límite de uso
Cantidad máxima de resultados activos	250 000 000
Cantidad máxima de activos activos	26,000,000

Si los recursos, los hallazgos o ambos en tu organización se están acercando estos límites o los superes, comunícate con Atención al cliente de Cloud para solicitar una de tu organización en busca de un posible aumento.

Servicios de Google Cloud incluidos en las simulaciones de rutas de ataque

Las simulaciones que ejecuta Risk Engine pueden incluir los siguientes servicios de Google Cloud:

• Artifact Registry
• BigQuery
• Funciones de Cloud Run
• Cloud Key Management Service
• Cloud Load Balancing
• Cloud NAT
• Cloud Router
• Cloud SQL
• Cloud Storage
• Compute Engine
• Administración de identidades y accesos
• Google Kubernetes Engine
• Nube privada virtual, incluidas las subredes y la configuración de firewall
• Resource Manager

Límites de los conjuntos de recursos de alto valor

Un conjunto de recursos de alto valor solo admite ciertos tipos de recursos contienen solo una cierta cantidad de instancias de recursos.

Límite de instancias para conjuntos de recursos de alto valor

Un conjunto de recursos de alto valor para una plataforma de proveedor de servicios en la nube puede contener hasta 1,000 instancias de recursos.

Tipos de recursos admitidos en conjuntos de recursos de alto valor

Solo puedes agregar los siguientes tipos de recursos de Google Cloud en un conjunto de recursos de alto valor:

• aiplatform.googleapis.com/Dataset
• aiplatform.googleapis.com/Featurestore
• aiplatform.googleapis.com/MetadataStore
• aiplatform.googleapis.com/Model
• aiplatform.googleapis.com/TrainingPipeline

• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance
• container.googleapis.com/Cluster
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Para obtener una lista de los tipos de recursos admitidos para otros proveedores de servicios en la nube, consulta Asistencia del proveedor de servicios en la nube.

Límite de configuración del valor del recurso

Puedes crear hasta 100 configuraciones de valores de recursos por organización en Google Cloud.

Tipos de recursos de Google Cloud compatibles con las clasificaciones de sensibilidad de los datos

Las simulaciones de las rutas de ataque pueden establecer automáticamente valores de prioridad basados en las clasificaciones de sensibilidad de los datos del descubrimiento de Sensitive Data Protection solo para los siguientes tipos de recursos de datos:

• bigquery.googleapis.com/Dataset
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Categorías de hallazgos compatibles

Las simulaciones de rutas de ataque generan puntuaciones de exposición a ataques y rutas de ataque solo para las categorías de resultados de Security Command Center de los servicios de detección de Security Command Center que se enumeran en esta sección.

Hallazgos de la postura de seguridad de GKE

Las siguientes categorías de resultados de la postura de seguridad de GKE son compatibles con las simulaciones de las rutas de ataque:

• Vulnerabilidad del SO del entorno de ejecución de GKE

Hallazgos de Mandiant Attack Surface Management

Las siguientes categorías de resultados de Mandiant Attack Surface Management son compatibles con las simulaciones de ruta de ataque:

• Vulnerabilidad de software

Hallazgos del motor de riesgo

La categoría de hallazgo Toxic combination emitida por Risk Engine admite puntuaciones de exposición a ataques.

Resultados de las estadísticas de estado de seguridad

Los siguientes resultados de las estadísticas del estado de seguridad son compatibles con las simulaciones de las rutas de ataque en Google Cloud:

• Cuenta de servicio de administrador
• Reparación automática inhabilitada
• Actualización automática inhabilitada
• Autorización binaria inhabilitada
• Solo política del bucket inhabilitada
• Clúster con Acceso privado a Google inhabilitado
• Encriptación de secretos de clúster inhabilitada
• Nodos protegidos del clúster inhabilitados
• Claves SSH de todo el proyecto de Compute permitidas
• Inicio seguro de Compute inhabilitado
• Puertos en serie de Compute habilitados
• COS sin usar
• Cuenta de servicio predeterminada usada
• Acceso total a la API
• Redes autorizadas de la instancia principal inhabilitadas
• MFA no aplicada
• Política de red inhabilitada
• Inicio seguro del grupo de nodos inhabilitado
• Puerto Cassandra abierto
• Puerto CiscoSecure WebSM abierto
• Puerto abierto de servicios del directorio
• Puerto DNS abierto
• Abre el puerto de Elasticsearch
• Firewall abierto
• Puerto FTP abierto
• Puerto HTTP abierto
• Puerto LDAP abierto
• Puerto Memcached abierto
• Puerto MongoDB abierto
• Puerto MySQL abierto
• Puerto NetBIOS abierto
• Puerto OracleDB abierto
• Abrir puerto pop3
• Puerto PostgreSQL abierto
• Puerto RDP abierto
• Puerto Redis abierto
• Puerto SMTP abierto
• Puerto SSH abierto
• Puerto Telnet abierto
• Cuenta con privilegios excesivos
• Permisos con privilegios excesivos
• Usuario de cuenta de servicio con privilegios excesivos
• Roles básicos usados
• Clúster privado inhabilitado
• LCA de bucket público
• Dirección IP pública
• Bucket de registro público
• Canal de versiones inhabilitado
• No se rotó la clave de la cuenta de servicio
• Clave de cuenta de servicio administrada por el usuario
• Workload Identity inhabilitada

Resultados de VM Manager

La categoría de hallazgo OS Vulnerability emitida por VM Manager admite puntuaciones de exposición a ataques.

Compatibilidad con notificaciones de Pub/Sub

Los cambios en las puntuaciones de exposición a ataques no se pueden usar como activador para las notificaciones a Pub/Sub.

Además, los resultados que se envían a Pub/Sub cuando se crean no incluyen una puntuación de exposición al ataque porque se envían antes de que se pueda calcular una puntuación.

Compatibilidad con múltiples nubes

Security Command Center puede proporcionar puntuaciones de exposición a ataques y visualizaciones de rutas de ataque para los siguientes proveedores de servicios en la nube:

• Amazon Web Services (AWS)

Los detectores de vulnerabilidades y parámetros de configuración incorrectos que atacan las simulaciones de rutas la compatibilidad con otras plataformas de proveedores de servicios en la nube depende detecciones que los servicios de detección de Security Command Center admiten en la plataforma.

La compatibilidad con los detectores difiere para cada proveedor de servicios en la nube.

Asistencia de AWS

Security Command Center puede calcular las puntuaciones de exposición a ataques y las visualizaciones de rutas de ataque para tus recursos en AWS.

Servicios de AWS compatibles con simulaciones de rutas de ataque

Las simulaciones pueden incluir los siguientes servicios de AWS:

• Identity and Access Management (IAM)
• Servicio de tokens de seguridad (STS)
• Simple Storage Service (S3)
• Firewall de aplicaciones web (WAFv2)
• Elastic Compute Cloud (EC2)
• Elastic Load Balancing (ELB y ELBv2)
• Servicio de base de datos relacional (RDS)
• Servicio de administración de claves (KMS)
• Elastic Container Registry (ECR)
• Elastic Container Service (ECS)
• ApiGateway y ApiGatewayv2
• Organizaciones (servicio de administración de cuentas)
• CloudFront
• AutoScaling
• Lambda
• DynamoDB

Tipos de recursos de AWS admitidos en conjuntos de recursos de alto valor

Solo puedes agregar los siguientes tipos de recursos de AWS a un conjunto de recursos de alto valor:

• Tabla de DynamoDB
• Instancia de EC2
• Función Lambda
• DBCluster de RDS
• RDS DBInstance
• Bucket de S3

Tipos de recursos de AWS compatibles con las clasificaciones de sensibilidad de los datos

Las simulaciones de rutas de ataque pueden establecer valores de prioridad automáticamente basadas en clasificaciones de sensibilidad de los datos desde Descubrimiento de Sensitive Data Protection solo para los siguientes tipos de recursos de datos de AWS:

• Bucket de Amazon S3

Obtén asistencia en Security Health Analytics para AWS

Las simulaciones de rutas de ataque proporcionan puntuaciones y visualizaciones de rutas de ataque para las siguientes categorías de hallazgos de Security Health Analytics:

• Claves de acceso rotadas con 90 días de menos
• Credenciales sin usar durante más de 45 días inhabilitadas
• La VPC del grupo de seguridad predeterminado restringe todo el tráfico
• Instancia de EC2 sin IP pública
• Política de contraseñas de IAM
• La política de contraseñas de IAM evita la reutilización de contraseñas
• La política de contraseñas de IAM requiere una longitud mínima de 14 caracteres
• Verificación de credenciales sin utilizar de usuarios de IAM
• Los usuarios de IAM reciben grupos de permisos
• No se programó la eliminación del CMK de KMS
• Eliminación de MFA habilitada en los buckets de S3
• Cuenta de usuario raíz con MFA habilitada
• La MFA de autenticación de varios factores habilitó la consola de todos los usuarios de IAM
• No existe una clave de acceso a una cuenta de usuario raíz
• Ningún grupo de seguridad permite la entrada de 0 administradores del servidor remoto
• Ausencia de un grupo de seguridad que permita entradas de 0 0 0 0 para la administración del servidor remoto
• Una clave de acceso activa disponible para cada usuario de IAM
• Acceso público a una instancia de RDS determinada
• Puertos comunes restringidos
• SSH restringido
• CMKS creado por el cliente para la rotación habilitado
• Rotación habilitada para los CMK simétricos creados por el cliente
• Buckets de S3 configurados con el bloqueo de acceso público
• La política de bucket de S3 estableció el rechazo de solicitudes HTTP
• KMS de encriptación predeterminada de S3
• Grupo de seguridad predeterminado de la VPC cerrado

Hallazgos de la evaluación de vulnerabilidades de EC2

La categoría de resultados Software vulnerability que emite la Evaluación de vulnerabilidades de EC2 admite puntuaciones de exposición a ataques.

Compatibilidad con la interfaz de usuario

Puedes trabajar con las puntuaciones de exposición a ataques en la consola de Google Cloud, la consola de Security Operations o la API de Security Command Center.

Puedes trabajar con las puntuaciones de exposición a ataques y las trayectorias de ataque para casos de combinaciones tóxicas solo en la consola de Security Operations.

Puedes crear configuraciones de valores de recursos solo en la pestaña Simulación de rutas de ataque de la página Configuración de Security Command Center en la consola de Google Cloud.