Supporto delle funzionalità di Risk Engine

Questa pagina descrive i servizi e i risultati supportati dalla funzionalità Risk Engine di Security Command Center, nonché i limiti di supportabilità a cui è soggetta.

Risk Engine genera punteggi e percorsi di esposizione agli attacchi per quanto segue:

• Categorie di risultati supportate nelle classi di rilevamento Vulnerability e Misconfiguration. Per ulteriori informazioni, consulta Categorie di risultati supportate.
• Toxic combination risultati del corso.
• Istanze di risorse dei tipi di risorse supportati che contrassegni come di alto valore. Per ulteriori informazioni, consulta Tipi di risorse supportati nei set di risorse di alto valore.

Le seguenti sezioni elencano i servizi e i risultati di Security Command Center supportati da Risk Engine.

Assistenza solo a livello di organizzazione

Le simulazioni dei percorsi di attacco utilizzate da Risk Engine per generare i punteggi di esposizione agli attacchi e i percorsi di attacco richiedono l'attivazione di Security Command Center a livello di organizzazione. Le simulazioni del percorso di attacco non sono supportate con le attivazioni a livello di progetto di Security Command Center.

Per visualizzare i percorsi di attacco, la visualizzazione della console Google Cloud deve essere impostata sulla tua organizzazione. Se selezioni una visualizzazione di progetto o cartella nella console Google Cloud, puoi vedere i punteggi di esposizione agli attacchi, ma non puoi vedere i percorsi di attacco.

Inoltre, le autorizzazioni IAM necessarie agli utenti per visualizzare i percorsi di attacco devono essere concesse a livello di organizzazione. Gli utenti devono disporre almeno dell'autorizzazione securitycenter.attackpaths.list in un ruolo assegnato a livello di organizzazione. Il ruolo IAM predefinito meno permissivo che contiene questa autorizzazione è Security Center Attack Paths Reader (securitycenter.attackPathsViewer).

Per visualizzare gli altri ruoli che contengono questa autorizzazione, consulta Riferimento ai ruoli IAM di base e predefiniti.

Limiti di dimensioni per le organizzazioni

Per le simulazioni dei percorsi di attacco, Risk Engine limita il numero di asset attivi e di risultati attivi che un'organizzazione può contenere.

Se un'organizzazione supera i limiti mostrati nella seguente tabella, le simulazioni del percorso di attacco non vengono eseguite.

Tipo di limite	Limite di utilizzo
Numero massimo di risultati attivi	250.000.000
Numero massimo di asset attivi	26.000.000

Se gli asset, i risultati o entrambi nella tua organizzazione si avvicinano o superano questi limiti, contatta l'assistenza clienti Google Cloud per richiedere una valutazione della tua organizzazione per un possibile aumento.

Servizi Google Cloud inclusi nelle simulazioni del percorso di attacco

Le simulazioni eseguite da Risk Engine possono includere i seguenti servizi Google Cloud:

• Artifact Registry
• BigQuery
• Cloud Functions
• Cloud Key Management Service
• Cloud Load Balancing
• Cloud NAT
• Router Cloud
• Cloud SQL
• Cloud Storage
• Compute Engine
• Identity and Access Management
• Google Kubernetes Engine
• Virtual Private Cloud, incluse le subnet e le configurazioni firewall
• Resource Manager

Limiti dei set di risorse di valore elevato

Un set di risorse di alto valore supporta solo alcuni tipi di risorse e può contenere solo un certo numero di istanze di risorse.

Limite di istanze per set di risorse di alto valore

Un set di risorse di alto valore per una piattaforma di provider di servizi cloud può contenere fino a 1000 istanze di risorse.

Tipi di risorse supportati in set di risorse di alto valore

Puoi aggiungere solo i seguenti tipi di risorse Google Cloud a un set di risorse di alto valore:

• aiplatform.googleapis.com/Dataset
• aiplatform.googleapis.com/Featurestore
• aiplatform.googleapis.com/MetadataStore
• aiplatform.googleapis.com/Model
• aiplatform.googleapis.com/TrainingPipeline

• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance
• container.googleapis.com/Cluster
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Per un elenco dei tipi di risorse supportati per altri provider di servizi cloud, vedi Assistenza per i provider di servizi cloud.

Limite di configurazione dei valori delle risorse

Puoi creare fino a 100 configurazioni dei valori delle risorse per organizzazione su Google Cloud.

Tipi di risorse supportati con classificazioni della sensibilità dei dati

Le simulazioni del percorso di attacco possono impostare automaticamente i valori di priorità in base alle classificazioni della sensibilità dei dati da Sensitive Data Protection solo per i seguenti tipi di risorse dati:

• bigquery.googleapis.com/Dataset
• sqladmin.googleapis.com/Instance

Categorie di risultati supportate

Le simulazioni del percorso di attacco generano punteggi di esposizione agli attacchi e percorsi di attacco solo per le categorie di risultati di Security Command Center dei servizi di rilevamento di Security Command Center elencati in questa sezione.

Risultati di Mandiant Attack Surface Management

Le seguenti categorie di rilevamento di Mandiant Attack Surface Management sono supportate da simulazioni dei percorsi di attacco:

• Vulnerabilità software

Risultati di Security Health Analytics

I seguenti risultati di Security Health Analytics sono supportati dalle simulazioni dei percorsi di attacco su Google Cloud:

• Account di servizio amministratore
• Riparazione automatica disattivata
• Upgrade automatico disattivato
• Autorizzazione binaria disabilitata
• Solo criterio bucket disabilitato
• Accesso privato Google al cluster disabilitato
• Crittografia dei secret del cluster disabilitata
• Nodi schermati del cluster disabilitati
• Chiavi SSH a livello di progetto di computing consentite
• Avvio protetto di Compute disabilitato
• Porte seriali Compute abilitate
• COS non utilizzato
• Account di servizio predefinito utilizzato
• Accesso API completo
• Reti autorizzate master disabilitate
• MFA non applicata
• Criterio di rete disabilitato
• Avvio protetto del pool di nodi disabilitato
• Porta Cassandra aperta
• Apri porta websm ciscosecure
• Apri porta dei servizi di directory
• Porta DNS aperta
• Apri porta ElasticSearch
• Apri firewall
• Porta FTP aperta
• Porta HTTP aperta
• Porta LDAP aperta
• Porta Memcached aperta
• Porta MongoDB aperta
• Porta MySQL aperta
• Porta NetBIOS aperta
• Porta OracleDB aperta
• Apri porta pop3
• Porta PostgreSQL aperta
• Porta RDP aperta
• Porta Redis aperta
• Porta SMTP aperta
• Porta SSH aperta
• Porta Telnet aperta
• Account con privilegi in eccesso
• In ambiti con privilegi
• Utente account di servizio con privilegi in eccesso
• Ruoli originari utilizzati
• Cluster privato disabilitato
• ACL bucket pubblico
• Indirizzo IP pubblico
• Bucket di log pubblico
• Canale di rilascio disattivato
• Chiave account di servizio non ruotata
• Chiave account di servizio gestita dall'utente
• Workload Identity disabilitato

Risultati di Rapid Vulnerability Detection

I seguenti risultati di Rapid Vulnerability Detection sono supportati dalle simulazioni del percorso di attacco:

• Credenziali inefficaci
• API Elasticsearch esposta
• Endpoint Grafana esposto
• Metabase esposta
• Endpoint attuatore con avvio a molla esposto
• API Hadoop Yarn non autenticata Resource Manager
• Rmi Java Jmx esposto
• UI esposta blocco note Jupyter
• API Kubernetes esposta
• Installazione WordPress non completata
• Console Jenkins nuovo elemento non autenticata
• Rce Httpd Apache
• Ssrf Httpd Apache
• Consul Rce
• Druid Rce
• Drupal Rce
• Divulgazione file Flink
• Rce Gitlab
• Go Cd Rce
• Rce Jenkins
• RCE Joomla
• Rce Log4j
• Escalation dei privilegi di Mantisbt
• Rce di Ognl
• Openam Rce
• Rce Oracle Weblogic
• Unità FP
• Php Cgi Rce
• Portal Rce
• Rce Redis
• File Solr esposto
• Solr Rce
• Struts - Rce
• Divulgazione file Tomcat
• Rce vbulletin
• Rce vCenter
• Rce Weblogic

Risultati del motore di rischio

La categoria dei risultati Toxic combination emessa da Risk Engine supporta i punteggi di esposizione agli attacchi.

Risultati di VM Manager

La categoria di risultati OS Vulnerability emessa da VM Manager supporta i punteggi di esposizione agli attacchi.

Supporto per le notifiche Pub/Sub

Le modifiche ai punteggi di esposizione agli attacchi non possono essere utilizzate come trigger per le notifiche a Pub/Sub.

Anche i risultati inviati a Pub/Sub quando vengono creati non includono il punteggio di esposizione agli attacchi perché vengono inviati prima di poter essere calcolato.

Supporto multi-cloud

Security Command Center può fornire punteggi di esposizione agli attacchi e visualizzazioni dei percorsi di attacco per i seguenti provider di servizi cloud:

• Amazon Web Services (AWS)

Supporto dei rilevatori per altri provider di servizi cloud

I rilevatori di vulnerabilità ed errori di configurazione supportati dalle simulazioni dei percorsi di attacco per altre piattaforme dei provider di servizi cloud dipendono dai rilevamenti supportati dai servizi di rilevamento di Security Command Center sulla piattaforma.

Il supporto dei rilevatori varia a seconda del provider di servizi cloud.

Supporto AWS

Security Command Center può calcolare i punteggi di esposizione agli attacchi e le visualizzazioni dei percorsi di attacco per le tue risorse su AWS.

Servizi AWS supportati da simulazioni del percorso di attacco

Le simulazioni possono includere i seguenti servizi AWS:

• Identity and Access Management (IAM)
• Servizio token di sicurezza (STS)
• Servizio di archiviazione semplice (S3)
• Web application firewall (WAFv2)
• Elastic Compute Cloud (EC2)
• Bilanciamento del carico Elastic (ELB ed ELBv2)
• Relational Database Service (RDS)
• Key Management Service (KMS)
• Elastic Container Registry (ECR)
• Elastic Container Service (ECS)
• ApiGateway e ApiGatewayv2
• Organizzazioni (servizio di gestione account)
• CloudFront
• AutoScaling
• Lambda
• DynamoDB

Tipi di risorse AWS che puoi specificare come risorse di alto valore

Puoi aggiungere solo i seguenti tipi di risorse AWS a un set di risorse di alto valore:

• Tabella DynamoDB
• Istanza EC2
• Funzione Lambda
• DBCluster RDS
• Istanza DB RDS
• Bucket S3

Trovare assistenza per AWS

Le simulazioni del percorso di attacco forniscono punteggi e visualizzazioni dei percorsi di attacco per le seguenti categorie di risultati di Security Health Analytics:

• Chiavi di accesso ruotate di 90 giorni in meno
• Credenziali non utilizzate per un periodo più lungo di 45 giorni disattivate
• Il VPC del gruppo di sicurezza predefinito limita tutto il traffico
• Istanza EC2 senza IP pubblico
• Criterio della password IAM
• Il criterio della password IAM impedisce il riutilizzo della password
• Il criterio della password IAM richiede una lunghezza minima di 14 caratteri
• Controllo delle credenziali non utilizzate dell'utente IAM
• Gli utenti IAM ricevono gruppi di autorizzazioni
• CMK KMS non pianificato per l'eliminazione
• Eliminazione con MFA abilitata sui bucket S3
• Account utente root abilitato per MFA
• Autenticazione a più fattori (MFA) abilitata per tutti gli utenti IAM della console
• Non esiste alcuna chiave di accesso all'account utente root
• Nessun gruppo di sicurezza consente l'amministrazione del server remoto in entrata 0
• Nessun gruppo di sicurezza consente l'amministrazione del server remoto in entrata 0 0 0 0
• Una chiave di accesso attiva disponibile per ogni singolo utente IAM
• Accesso pubblico concesso all'istanza RDS
• Porte comuni limitate
• SSH limitato
• Rotazione per le chiavi CMKS create dal cliente abilitata
• Rotazione con chiavi CMKS simmetriche create dal cliente abilitata
• Impostazioni dei bucket di accesso pubblico con blocco configurato per i bucket S3
• Impostazione di criteri del bucket S3 che rifiuta le richieste HTTP
• KMS di crittografia S3 predefinita
• Gruppo di sicurezza predefinito VPC chiuso

Supporto dell'interfaccia utente

Puoi utilizzare i punteggi di esposizione agli attacchi nella console Google Cloud, in Security Operations Console o nell'API Security Command Center.

Puoi lavorare con i punteggi di esposizione agli attacchi e i percorsi di attacco per i casi di combinazione tossica solo in Security Operations Console.

Puoi creare configurazioni dei valori delle risorse solo nella scheda Simulazioni del percorso di attacco della pagina Impostazioni di Security Command Center nella console Google Cloud.