Cette page décrit les services et les résultats compatibles avec la fonctionnalité d'exposition aux attaques, ainsi que les limites de compatibilité auxquelles elle est soumise.
Security Command Center génère des scores d'exposition aux attaques et des chemins d'accès pour les éléments suivants:
- Catégories de résultats compatibles dans les classes de recherche
VulnerabilityetMisconfiguration. Pour en savoir plus, consultez Catégories de résultats compatibles. - Instances de ressources des types de ressources compatibles que vous désignez comme étant à forte valeur. Pour en savoir plus, consultez la section Types de ressources compatibles avec les ensembles de ressources à forte valeur.
Les sections suivantes répertorient les services et les résultats de Security Command Center compatibles avec les scores d'exposition aux attaques.
Assistance au niveau de l'organisation uniquement
Les simulations de chemin d'attaque qui génèrent les scores d'exposition aux attaques et les chemins d'attaque nécessitent l'activation de Security Command Center au niveau de l'organisation. Les simulations de chemin d'attaque ne sont pas compatibles avec les activations au niveau du projet de Security Command Center.
Pour afficher les chemins d'attaque, la vue de la console Google Cloud doit être définie sur votre organisation. Si vous sélectionnez une vue de projet ou de dossier dans la console Google Cloud, vous pouvez voir les scores d'exposition aux attaques, mais vous ne pouvez pas voir les chemins d'attaque.
En outre, les autorisations IAM dont les utilisateurs ont besoin pour afficher les chemins d'attaque doivent être accordées au niveau de l'organisation. Au minimum, les utilisateurs doivent disposer de l'autorisation securitycenter.attackpaths.list dans un rôle attribué au niveau de l'organisation. Le rôle IAM prédéfini le moins permissif contenant cette autorisation est Lecteur de chemins d'attaque du centre de sécurité (securitycenter.attackPathsViewer).
Pour voir les autres rôles qui contiennent cette autorisation, consultez la documentation de référence sur les rôles de base et prédéfinis IAM.
Limites de taille pour les organisations
Pour les simulations de chemin d'attaque, Security Command Center limite le nombre d'éléments et de résultats actifs qu'une organisation peut contenir.
Si une organisation dépasse les limites indiquées dans le tableau suivant, les simulations de chemin d'attaque ne sont pas exécutées.
| Type de limite | Limite d'utilisation |
|---|---|
| Nombre maximal de résultats actifs | 250 000 000 |
| Nombre maximal de composants actifs | 26 000 000 |
Si les éléments ou les résultats de votre organisation, ou les deux, approchent de ces limites ou les dépassent, contactez le Cloud Customer Care pour demander une évaluation de votre organisation en vue d'une éventuelle augmentation.
Services Google Cloud inclus dans les simulations de chemin d'attaque
Les simulations peuvent inclure les services Google Cloud suivants:
- Artifact Registry
- BigQuery
- Cloud Functions
- Cloud Key Management Service
- Cloud Load Balancing
- Cloud NAT
- Cloud Router
- Cloud SQL
- Cloud Storage
- Compute Engine
- Identity and Access Management
- Google Kubernetes Engine
- Cloud privé virtuel, y compris les sous-réseaux et les configurations de pare-feu
- Resource Manager
Limites des ensembles de ressources à forte valeur
Un ensemble de ressources à forte valeur n'accepte que certains types de ressources et ne peut contenir qu'un certain nombre d'instances de ressources.
Limite d'instances pour les ensembles de ressources à forte valeur
Un ensemble de ressources à forte valeur ajoutée pour une plate-forme de fournisseur de services cloud peut contenir jusqu'à 1 000 instances de ressources.
Types de ressources acceptés dans les ensembles de ressources à forte valeur
Vous ne pouvez ajouter que les types de ressources Google Cloud suivants à un ensemble de ressources à forte valeur:
aiplatform.googleapis.com/Datasetaiplatform.googleapis.com/Featurestoreaiplatform.googleapis.com/MetadataStoreaiplatform.googleapis.com/Modelaiplatform.googleapis.com/TrainingPipeline
bigquery.googleapis.com/Datasetcloudfunctions.googleapis.com/CloudFunctioncompute.googleapis.com/Instancecontainer.googleapis.com/Clustersqladmin.googleapis.com/Instancestorage.googleapis.com/Bucket
Pour obtenir la liste des types de ressources acceptés par d'autres fournisseurs de services cloud, consultez la page Assistance pour les fournisseurs de services cloud.
Limite de configuration des valeurs de ressource
Vous pouvez créer jusqu'à 100 configurations de valeurs de ressources par organisation sur Google Cloud.
Types de ressources compatibles avec les classifications basées sur la sensibilité des données
Les simulations de chemin d'attaque peuvent définir automatiquement des valeurs de priorité en fonction des classifications de la sensibilité des données issues de la protection des données sensibles, mais uniquement pour les types de ressources de données suivants:
bigquery.googleapis.com/Datasetsqladmin.googleapis.com/Instance
Catégories de résultats compatibles
Les simulations de chemin d'attaque génèrent des scores d'exposition aux attaques et des chemins d'attaque uniquement pour les catégories de résultats Security Command Center issues des services de détection de Security Command Center répertoriés dans cette section.
Conclusions de Mandiant Attack Surface Management
Les catégories de résultats suivantes de Mandiant Attack Surface Management sont compatibles avec les simulations de chemin d’attaque:
- Faille logicielle
Résultats de l'analyse de l'état de la sécurité
Les résultats suivants de l'analyse de l'état de sécurité sont compatibles avec les simulations de chemin d'attaque sur Google Cloud:
- Compte de service administrateur
- Réparation automatique désactivée
- Mise à niveau automatique désactivée
- Autorisation binaire désactivée
- Stratégie du bucket seulement désactivée
- Accès privé à Google désactivé pour le cluster
- Chiffrement des secrets du cluster désactivé
- Nœuds de cluster protégés désactivés
- Clés SSH Compute autorisées à l'échelle du projet
- Démarrage sécurisé Compute désactivé
- Ports série Compute activés
- COS non utilisé
- Compte de service par défaut utilisé
- Accès complet aux API
- Réseaux autorisés maîtres désactivés
- Authentification multifacteur non appliquée
- Règle de réseau désactivée
- Démarrage sécurisé du pool de nœuds désactivé
- Port Cassandra ouvert
- Port CiscoSecure WebSM ouvert
- Port des services d'annuaire ouvert
- Port DNS ouvert
- Ouvrir le port elasticsearch
- Pare-feu ouvert
- Port FTP ouvert
- Port HTTP ouvert
- Port LDAP ouvert
- Port Memcached ouvert
- Port MongoDB ouvert
- Port MySQL ouvert
- Port NetBIOS ouvert
- Port OracleDB ouvert
- Ouvrir le port pop3
- Port PostgreSQL ouvert
- Port RDP ouvert
- Port Redis ouvert
- Port SMTP ouvert
- Port SSH ouvert
- Port Telnet ouvert
- Compte possédant trop de privilèges
- Niveaux d'accès possédant trop de privilèges
- Utilisateur du compte de service possédant trop de privilèges
- Rôles primitifs utilisés
- Cluster privé désactivé
- LCA de bucket publique
- Adresse IP publique
- Bucket de journaux publics
- Canal de publication désactivé
- Clé de compte de service non alternée
- Clé de compte de service gérée par l'utilisateur
- Workload Identity est désactivé
Résultats de la détection rapide des failles
Les résultats suivants de la détection rapide des failles sont compatibles avec les simulations de chemin d'attaque:
- Identifiants peu sécurisés
- API Elasticsearch exposée
- Point de terminaison Grafana exposé
- Métabase exposé
- Point de terminaison exposé de l'actionneur Spring Boot
- API Hadoop Yarn Unauthenticated Resource Manager
- Java Jmx Rmi exposé
- UI exposé du notebook Jupyter
- API Kubernetes exposée
- Installation WordPress inachevée
- Console des nouveaux éléments Jenkins non authentifiée
- Apache Httpd Rce
- Apache Httpd Ssrf
- Consul Rce
- Druid rce
- Drupal rce
- Divulgation de fichiers Flink
- Gitlab Rce
- Go cd rce
- Jenkins Rce
- Joomla Rce
- Log4j Rce
- Élévation des privilèges Mantisbt
- Ognl Rce
- Openam Rce
- Oracle Weblogic Rce
- Unité Php Rce
- Php Cgi Rce
- Portal Rce
- Redis RC
- Fichier Solr exposé
- Solr Rce
- Struts rce
- Divulgation de fichiers Tomcat
- Vbulletin Rce
- vCenter Rce
- Weblogic cer
Résultats de VM Manager
La catégorie de résultats OS Vulnerability émise par VM Manager est compatible avec les scores d'exposition aux attaques.
Compatibilité avec les notifications Pub/Sub
Les modifications apportées aux scores d'exposition aux attaques ne peuvent pas servir de déclencheur pour l'envoi de notifications à Pub/Sub.
De plus, les résultats envoyés à Pub/Sub lors de leur création n'incluent pas de score d'exposition aux attaques, car ils sont envoyés avant qu'un score puisse être calculé.
Compatibilité multicloud
Security Command Center peut fournir des scores d'exposition aux attaques et des visualisations des chemins d'attaque pour les fournisseurs de services cloud suivants:
- Amazon Web Services (AWS)
Compatibilité des détecteurs avec d'autres fournisseurs de services cloud
Les détecteurs de failles et de mauvaise configuration compatibles avec les simulations de chemin d'attaque pour d'autres plates-formes de fournisseurs de services cloud dépendent des détections compatibles avec les services de détection de Security Command Center sur la plate-forme.
La prise en charge des détecteurs varie selon le fournisseur de services cloud.
Compatibilité avec AWS
Security Command Center peut calculer les scores d'exposition aux attaques et les visualisations des chemins d'attaque pour vos ressources sur AWS.
Services AWS compatibles avec les simulations de chemin d'attaque
Les simulations peuvent inclure les services AWS suivants:
- Identity and Access Management (IAM)
- Service de jetons de sécurité (STS)
- Simple Storage Service (S3)
- Pare-feu d'application Web (WAFv2)
- Elastic Compute Cloud (EC2)
- Équilibrage de charge élastique (ELB et ELBv2)
- Service de base de données relationnelle (RDS)
- Service de gestion des clés (KMS)
- Elastic Container Registry (ECR)
- Elastic Container Service (ECS)
- ApiGateway et ApiGatewayv2
- Organisations (service de gestion de compte)
- CloudFront
- AutoScaling
- Lambda
- DynamoDB
Types de ressources AWS que vous pouvez spécifier en tant que ressources à forte valeur
Vous ne pouvez ajouter que les types de ressources AWS suivants à un ensemble de ressources à forte valeur:
- Table DynamoDB
- Instance EC2
- Fonction lambda
- DBCluster RDS
- Instance de base de données RDS
- Bucket S3
Obtenir de l'aide pour AWS
Les simulations de chemin d'attaque fournissent des scores et des visualisations du chemin d'attaque pour les catégories de résultats Security Health Analytics suivantes:
- Clés d'accès alternées de 90 jours en moins
- Identifiants inutilisés (après 45 jours ou plus) désactivés
- Le VPC du groupe de sécurité par défaut limite tout le trafic
- Instance EC2 sans adresse IP publique
- Stratégie IAM relative aux mots de passe
- Les règles IAM relatives aux mots de passe empêchent la réutilisation des mots de passe
- La règle de mot de passe IAM exige une longueur minimale de 14 caractères
- Vérification des identifiants non utilisés de l'utilisateur IAM
- Les utilisateurs IAM reçoivent des groupes d'autorisations
- La suppression du CMK KMS n'est pas planifiée
- Buckets S3 activés pour la suppression MFA
- Compte utilisateur racine MFA
- L'authentification multifacteur MFA a activé la console pour tous les utilisateurs IAM
- Aucune clé d'accès n'existe pour le compte utilisateur racine.
- Aucun groupe de sécurité n'autorise l'administration à distance du serveur d'entrée 0
- Aucun groupe de sécurité n'autorise l'administration du serveur distant d'entrée 0 0 0 0
- Une clé d'accès active disponible pour chaque utilisateur IAM
- Accès public avec une instance RDS donnée
- Ports communs restreints
- SSH restreint
- Rotation CMKS créée par le client activé
- Rotation CMKS créée par le client activée
- Les buckets S3 configurés bloquent les paramètres des buckets en accès public.
- Règle de bucket S3 définie pour les requêtes HTTP refusées
- KMS pour le chiffrement par défaut S3
- Groupe de sécurité du VPC par défaut fermé
Compatibilité avec l'interface utilisateur
Vous pouvez utiliser Security Command Center dans la console Google Cloud ou l'API Security Command Center pour gérer les scores d'exposition aux attaques.
Toutefois, vous ne pouvez créer des configurations de valeurs de ressources que dans l'onglet Simulations de chemin d'attaque de la page Paramètres de Security Command Center dans la console Google Cloud.