攻击风险功能支持

本页面介绍攻击风险功能支持的服务和发现结果以及它受到的可支持性限制。

Security Command Center 会针对以下情况生成攻击风险得分和路径:

以下部分列出了攻击风险得分支持的 Security Command Center 服务和发现结果。

仅提供组织级支持

生成攻击风险得分和攻击路径的攻击路径模拟需要在组织级层激活 Security Command Center。Security Command Center 的项目级激活不支持攻击路径模拟。

如需查看攻击路径,必须将 Google Cloud 控制台视图设置为您的组织。如果您在 Google Cloud 控制台中选择项目或文件夹视图,则可以看到攻击风险得分,但无法查看攻击路径。

此外,必须在组织级层授予用户查看攻击路径所需的 IAM 权限。用户必须至少拥有在组织级层授予的角色中的 securitycenter.attackpaths.list 权限。包含此权限的最小预定义 IAM 角色是 Security Center Attack Paths Reader (securitycenter.attackPathsViewer)。

如需查看包含此权限的其他角色,请参阅 IAM 基本角色和预定义角色参考文档

组织的大小限制

对于攻击路径模拟,Security Command Center 会限制组织可以包含的有效资源和有效发现结果的数量。

如果组织超出下表中显示的限制,攻击路径模拟就不会运行。

限制类型 用量限额
有效发现结果数上限 250,000,000
有效资产数量上限 26,000,000

如果组织中的资产和/或发现结果接近或超过这些限制,请与 Cloud Customer Care 联系,请求他们对组织进行评估,以尽可能增加限额。

攻击路径模拟中包含的 Google Cloud 服务

模拟可能包括以下 Google Cloud 服务:

  • Artifact Registry
  • BigQuery
  • Cloud Functions
  • Cloud Key Management Service
  • Cloud Load Balancing
  • Cloud NAT
  • Cloud Router
  • Cloud SQL
  • Cloud Storage
  • Compute Engine
  • Identity and Access Management
  • Google Kubernetes Engine
  • Virtual Private Cloud,包括子网和防火墙配置
  • Resource Manager

高价值资源集限制

高价值资源集仅支持特定的资源类型,并且只能包含特定数量的资源实例。

高价值资源集的实例限制

一个云服务提供商平台的高价值资源集最多可包含 1000 个资源实例。

高价值资源集中支持的资源类型

您只能将以下类型的 Google Cloud 资源添加到高价值资源集中:

  • aiplatform.googleapis.com/Dataset
  • aiplatform.googleapis.com/Featurestore
  • aiplatform.googleapis.com/MetadataStore
  • aiplatform.googleapis.com/Model
  • aiplatform.googleapis.com/TrainingPipeline
  • bigquery.googleapis.com/Dataset
  • cloudfunctions.googleapis.com/CloudFunction
  • compute.googleapis.com/Instance
  • container.googleapis.com/Cluster
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

如需查看其他云服务提供商支持的资源类型列表,请参阅云服务提供商支持

资源值配置限制

在 Google Cloud 上,您最多可以为每个组织创建 100 个资源值配置。

支持数据敏感度分类的资源类型

攻击路径模拟可以根据敏感数据保护的数据敏感度分类自动为以下数据资源类型设置优先级值:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance

支持的发现结果类别

攻击路径模拟仅针对本部分列出的 Security Command Center 检测服务中的 Security Command Center 发现结果类别生成攻击风险得分和攻击路径。

Mandiant Attack Surface Management 发现结果

攻击路径模拟支持以下 Mandiant Attack Surface Management 发现类别:

  • 软件漏洞

发现的 Security Health Analytics 问题

Google Cloud 上的攻击路径模拟支持以下 Security Health Analytics 发现结果:

  • 管理员服务账号
  • 自动修复已停用
  • 自动升级已停用
  • Binary Authorization 已停用
  • 仅限存储桶政策已停用
  • 集群专用 Google 访问通道已停用
  • 集群 Secret 加密已停用
  • 集群安全强化型节点已停用
  • 计算项目范围内允许的 SSH 密钥
  • 计算安全启动已停用
  • 计算串行端口已启用
  • COS 未使用
  • 默认服务账号已使用
  • 完整 API 访问权限
  • 主节点授权网络已停用
  • MFA 未强制实施
  • 网络政策已停用
  • 节点池安全启动已停用
  • 开放的 Cassandra 端口
  • 开放的 CiscoSecure WebSM 端口
  • 开放的目录服务端口
  • 开放的 DNS 端口
  • 开放的 elasticsearch 端口
  • 开放的防火墙
  • 开放的 FTP 端口
  • 开放的 HTTP 端口
  • 开放的 LDAP 端口
  • 开放的 Memcached 端口
  • 开放的 MongoDB 端口
  • 开放的 MySQL 端口
  • 开放的 NetBIOS 端口
  • 开放的 OracleDB 端口
  • 开放的 POP3 端口
  • 开放的 PostgreSQL 端口
  • 开放的 RDP 端口
  • 开放的 Redis 端口
  • 开放的 SMTP 端口
  • 开放的 SSH 端口
  • 开放的 Telnet 端口
  • 权限过高的账号
  • 权限过高的范围
  • 权限过高的服务账号用户
  • 原初角色已使用
  • 专用集群停用
  • 公共存储桶 ACL
  • 公共 IP 地址
  • 公共日志存储桶
  • 发布渠道已停用
  • 服务账号密钥未轮替
  • 用户管理的服务账号密钥
  • Workload Identity 已停用

快速漏洞检测发现结果

攻击路径模拟支持以下快速漏洞检测发现结果:

  • 弱凭据
  • Elasticsearch API 存在攻击风险
  • Grafana 端点存在攻击风险
  • Metabase 存在攻击风险
  • Spring Boot Actuator 端点存在攻击风险
  • Hadoop Yarn Resource Manager API 未经身份验证
  • Java Jmx Rmi 存在攻击风险
  • Jupyter 笔记本界面存在攻击风险
  • Kubernetes API 存在攻击风险
  • Wordpress 安装未完成
  • Jenkins“新建内容”控制台未经身份验证
  • Apache Httpd Rce
  • Apache Httpd Ssrf
  • Consul Rce
  • Druid Rce
  • Drupal Rce
  • Flink 文件披露
  • Gitlab Rce
  • Go Cd Rce
  • Jenkins Rce
  • Joomla Rce
  • Log4j Rce
  • Mantisbt 权限提升
  • Ognl Rce
  • Openam Rce
  • Oracle Weblogic Rce
  • Php Unit Rce
  • Php Cgi Rce
  • Portal Rce
  • Redis Rce
  • Solr 文件存在攻击风险
  • Solr Rce
  • Struts Rce
  • Tomcat 文件披露
  • Vbulletin Rce
  • Vcenter Rce
  • Weblogic Rce

虚拟机管理器发现结果

虚拟机管理器发出的 OS Vulnerability 发现结果类别支持攻击风险得分。

Pub/Sub 通知支持

攻击风险得分更改不能作为 Pub/Sub 通知的触发器。

此外,在创建发现结果时发送到 Pub/Sub 的发现结果不包含攻击风险得分,因为它们是在计算得分之前发送的。

多云支持

Security Command Center 可以为以下云服务提供商提供攻击风险得分和攻击路径可视化:

  • Amazon Web Services (AWS)

针对其他云服务提供商的检测器支持

对于其他云服务提供商平台,攻击路径模拟支持的漏洞和错误配置检测器取决于 Security Command Center 检测服务在该平台上支持的检测结果。

检测器支持因云服务提供商而异。

AWS 支持

Security Command Center 可以计算 AWS 上的资源的攻击风险得分和攻击路径可视化。

攻击路径模拟支持的 AWS 服务

模拟可能包括以下 AWS 服务:

  • Identity and Access Management (IAM)
  • 安全令牌服务 (STS)
  • 简单的存储服务 (S3)
  • Web 应用防火墙 (WAFv2)
  • Elastic Compute Cloud (EC2)
  • Elastic Load Balancing(ELB 和 ELBv2)
  • 关系型数据库服务 (RDS)
  • 密钥管理服务 (KMS)
  • Elastic Container Registry (ECR)
  • Elastic Container Service (ECS)
  • ApiGateway 和 ApiGatewayv2
  • 组织(帐号管理服务)
  • CloudFront
  • AutoScaling
  • 拉姆达
  • DynamoDB

可指定为高价值资源的 AWS 资源类型

您只能将以下类型的 AWS 资源添加到高价值资源集中:

  • DynamoDB 表
  • EC2 实例
  • Lambda 函数
  • RDS 数据库集群
  • RDS 数据库实例
  • S3 存储桶

寻找对 AWS 的支持

攻击路径模拟可为以下 Security Health Analytics 发现结果类别提供得分和攻击路径可视化内容:

  • 访问密钥轮替周期减少 90 天
  • 已停用 45 天内未使用的凭据
  • 默认安全群组 VPC 对所有流量设有限制
  • EC2 实例没有公共 IP
  • IAM 密码政策
  • IAM 密码政策阻止密码重复使用
  • IAM 密码政策要求长度下限大于 14
  • IAM 用户未使用的凭据检查
  • IAM 用户接收权限组
  • 未安排删除 KMS Cmk
  • 已启用 MFA 删除功能的 S3 存储分区
  • 已启用 MFA 的根用户账号
  • 为所有 IAM 用户控制台启用多重身份验证 MFA
  • 不存在根用户账号访问权限密钥
  • 任何安全群组都不允许管理 Ingress 0 远程服务器
  • 任何安全群组均不允许入站流量 0 0 0 0 远程服务器管理
  • 一个 IAM 用户可用的有效访问密钥
  • 指定 RDS 实例的公共访问权限
  • 受限的常见端口
  • 受限的 SSH
  • 已启用轮替客户创建的 CMKS
  • 已启用轮替客户创建的对称 CMKS
  • 配置的 S3 存储桶会阻止公开访问存储桶设置
  • S3 存储桶政策集拒绝 HTTP 请求
  • S3 默认加密 KMS
  • VPC 默认安全群组已关闭

界面支持

您可以使用 Google Cloud 控制台中的 Security Command Center 或 Security Command Center API 来处理攻击风险得分。

但是,您只能在 Google Cloud 控制台中 Security Command Center 设置页面的攻击路径模拟标签页上创建资源值配置。