Auf dieser Seite werden die Dienste und Ergebnisse beschrieben, die von Security Command Center Die von Risk Engine unterstützten Funktionen und ihre Unterstützung unterliegen.
Risk Engine generiert Angriffsrisikobewertungen und -pfade für Folgendes:
- Unterstützte Ergebniskategorien in
VulnerabilityundMisconfigurationSuche nach Klassen. Weitere Informationen finden Sie unter Unterstützte Ergebniskategorien. Toxic combinationKlassenergebnisse.- Ressourceninstanzen unterstützter Ressourcentypen, die Sie als einen hohen Mehrwert bieten. Weitere Informationen finden Sie unter In wertvollen Ressourcensätzen unterstützte Ressourcen:
In den folgenden Abschnitten werden die Dienste und Ergebnisse von Security Command Center aufgeführt die von der Risk-Engine unterstützt werden.
Support nur auf Organisationsebene
Die Angriffspfadsimulationen, die Risk Engine für die die Angriffsrisikobewertungen generieren und Angriffspfade erfordern die Aktivierung von Security Command Center am Organisationsebene an. Angriffspfadsimulationen werden nicht unterstützt mit Aktivierungen auf Projektebene von Security Command Center.
Damit Sie Angriffspfade sehen können, muss Ihre Google Cloud Console-Ansicht auf Ihrer Organisation. Wenn Sie eine Projekt- oder Ordneransicht in der können Sie in der Google Cloud Console die Angriffsrisikobewertungen sehen, die Angriffspfade nicht sehen können.
Außerdem sind die IAM-Berechtigungen, die Nutzer zum Ansehen von Angriffen benötigen,
Pfade müssen auf Organisationsebene gewährt werden. Zumindest sollten Nutzer
muss die Berechtigung securitycenter.attackpaths.list in einer Rolle haben
auf Organisationsebene gewährt wird. Am wenigsten moderate vordefinierte
IAM-Rolle mit dieser Berechtigung ist
Leser von Angriffspfaden des Sicherheitscenters (securitycenter.attackPathsViewer).
Weitere Rollen mit dieser Berechtigung finden Sie unter Referenz zu einfachen und vordefinierten IAM-Rollen
Größenbeschränkungen für Organisationen
Bei Angriffspfadsimulationen beschränkt Risk Engine die Anzahl der aktive Assets und aktive Ergebnisse, die eine Organisation enthalten kann.
Wenn eine Organisation die in der folgenden Tabelle angegebenen Limits überschreitet, dass keine Angriffspfadsimulationen ausgeführt werden.
| Art des Limits | Nutzungsbeschränkung |
|---|---|
| Maximale Anzahl aktiver Ergebnisse | 250.000.000 |
| Maximale Anzahl aktiver Assets | 26.000.000 |
Wenn sich die Assets, Ergebnisse oder beides in Ihrer Organisation diese Limits überschreiten, wenden Sie sich bitte an Cloud Customer Care, Ihres Unternehmens bewerten, um eine Steigerung zu erzielen.
In Angriffspfadsimulationen enthaltene Google Cloud-Dienste
Die von Risk Engine ausgeführten Simulationen können die folgenden Google Cloud-Dienste:
- Artifact Registry
- BigQuery
- Cloud Functions
- Cloud Key Management Service
- Cloud Load Balancing
- Cloud NAT
- Cloud Router
- Cloud SQL
- Cloud Storage
- Compute Engine
- Identity and Access Management
- Google Kubernetes Engine
- Virtual Private Cloud, einschließlich Subnetzen und Firewallkonfigurationen
- Resource Manager
Limits für den Satz hochwertiger Ressourcen
Ein Satz hochwertiger Ressourcen unterstützt nur bestimmte Ressourcentypen und kann enthalten nur eine bestimmte Anzahl von Ressourceninstanzen.
Instanzlimit für Gruppen hochwertiger Ressourcen
Ein Satz hochwertiger Ressourcen für die Plattform eines Cloud-Dienstanbieters kann bis zu 1.000 Ressourceninstanzen enthalten.
Ressourcentypen, die in Satz hochwertiger Ressourcen unterstützt werden
Sie können nur die folgenden Typen von Google Cloud-Ressourcen hinzufügen einen Satz hochwertiger Ressourcen:
aiplatform.googleapis.com/Datasetaiplatform.googleapis.com/Featurestoreaiplatform.googleapis.com/MetadataStoreaiplatform.googleapis.com/Modelaiplatform.googleapis.com/TrainingPipeline
bigquery.googleapis.com/Datasetcloudfunctions.googleapis.com/CloudFunctioncompute.googleapis.com/Instancecontainer.googleapis.com/Clustersqladmin.googleapis.com/Instancestorage.googleapis.com/Bucket
Eine Liste der unterstützten Ressourcentypen für andere Cloud-Dienstanbieter finden Sie unter Support für Cloud-Dienstanbieter.
Konfigurationslimit für Ressourcenwerte
Sie können bis zu 100 Konfigurationen für den Ressourcenwert pro Organisation erstellen in Google Cloud.
Ressourcentypen, die mit datensensiblen Klassifizierungen unterstützt werden
Angriffspfadsimulationen können automatisch Prioritätswerte festlegen basierend auf den Datensensitivitätsklassifizierungen Schutz sensibler Daten nur für die folgenden Datenressourcentypen:
bigquery.googleapis.com/Datasetsqladmin.googleapis.com/Instance
Unterstützte Ergebniskategorien
Angriffspfadsimulationen generieren Angriffsrisikobewertungen und Angriffspfade nur für die Security Command Center-Ergebniskategorien aus dem Security Command Center-Erkennungsdienste, die in diesem Abschnitt aufgeführt sind.
Ergebnisse von Mandiant Attack Surface Management
Das folgende Mandiant Attack Surface Management Ergebniskategorien werden durch Angriffspfadsimulationen unterstützt:
- Sicherheitslücke in der Software
Ergebnisse von Security Health Analytics
Die folgenden Security Health Analytics-Analysen Die Ergebnisse werden durch Angriffspfadsimulationen in Google Cloud gestützt:
- Admin service account
- Auto repair disabled
- Auto upgrade disabled
- Binary authorization disabled
- Bucket policy only disabled
- Cluster private Google access disabled
- Cluster secrets encryption disabled
- Cluster shielded nodes disabled
- Compute project wide SSH keys allowed
- Compute Secure Boot disabled
- Serielle Compute-Ports aktiviert
- COS not used
- Default service account used
- Full API access
- Master authorized networks disabled
- MFA not enforced
- Netzwerkrichtlinie deaktiviert
- Nodepool secure boot disabled
- Open Cassandra port
- Open ciscosecure websm port
- Open directory services port
- Open DNS port
- Elasticsearch-Port öffnen
- Open firewall
- Open FTP port
- Open HTTP port
- Open LDAP port
- Open Memcached port
- Open MongoDB port
- Open MySQL port
- Open NetBIOS port
- Open OracleDB port
- Pop3-Port öffnen
- Open PostgreSQL port
- Open RDP port
- Open Redis port
- Open SMTP port
- Open SSH port
- Open Telnet port
- Over privileged account
- Over privileged scopes
- Over privileged service account user
- Primitive roles used
- Private cluster disabled
- ACL für öffentlichen Bucket
- Öffentliche IP-Adresse
- Öffentlicher Log-Bucket
- Release channel disabled
- Service account key not rotated
- User managed service account key
- Workload Identity disabled
Risk Engine-Ergebnisse
Die Ergebniskategorie Toxic combination, die von ausgegeben wird
Risk-Engine
unterstützt Angriffsrisikobewertungen.
VM Manager-Ergebnisse
Die Ergebniskategorie OS Vulnerability, die von ausgegeben wird
VM Manager
unterstützt Angriffsrisikobewertungen.
Unterstützung von Pub/Sub-Benachrichtigungen
Änderungen an Angriffsrisikobewertungen können nicht als Trigger für Benachrichtigungen an Pub/Sub senden.
Auch Ergebnisse, die beim Erstellen an Pub/Sub gesendet werden Keine Angriffsrisikobewertung enthalten, da sie vor einer Bewertung gesendet werden berechnet werden kann.
Multi-Cloud-Unterstützung
Security Command Center kann Angriffsrisikobewertungen und Angriffspfad bereitstellen Visualisierungen für die folgenden Cloud-Dienstanbieter:
- Amazon Web Services (AWS)
Detektorunterstützung für andere Cloud-Dienstanbieter
Detektoren für Sicherheitslücken und Fehlkonfigurationen, die Pfadsimulationen angreifen andere Plattformen von Cloud-Dienstanbietern Erkennungen, die von den Security Command Center-Erkennungsdiensten unterstützt werden auf der Plattform.
Die Detektorunterstützung variiert je nach Cloud-Dienstanbieter.
AWS-Unterstützung
Security Command Center kann Angriffsrisikobewertungen und Angriffe berechnen Pfadvisualisierungen für Ihre Ressourcen in AWS.
Von Angriffspfadsimulationen unterstützte AWS-Dienste
Die Simulationen können die folgenden AWS-Dienste umfassen:
- Identity and Access Management (IAM)
- Security Token Service (STS)
- Einfacher Speicherdienst (S3)
- Web Application Firewall (WAFv2)
- Elastic Compute Cloud (EC2)
- Elastisches Load-Balancing (ELB und ELBv2)
- Dienst für relationale Datenbanken (Relational Database Service, RDS)
- Key Management Service (KMS)
- Elastic Container Registry (ECR)
- Elastic Container Service (ECS)
- ApiGateway und ApiGatewayv2
- Organisationen (Kontoverwaltung)
- CloudFront
- AutoScaling
- Lambda
- DynamoDB
AWS-Ressourcentypen, die Sie als hochwertige Ressourcen angeben können
Sie können einem hochwertigen AWS-Ressourcen nur die folgenden Typen von AWS-Ressourcen hinzufügen. Ressourcensatz:
- DynamoDB-Tabelle
- EC2-Instanz
- Lambda-Funktion
- RDS-DBCluster
- RDS-Datenbankinstanz
- S3-Bucket
Unterstützung für AWS finden
Angriffspfadsimulationen liefern Punktzahlen und Visualisierungen von Angriffspfaden für folgenden Ergebniskategorien für Security Health Analytics:
- Die Zugriffsschlüssel wurden um 90 Tage rotiert
- Seit 45 Tagen nicht verwendete Anmeldedaten deaktiviert
- VPC der Standardsicherheitsgruppe schränkt den gesamten Traffic ein
- EC2-Instanz ohne öffentliche IP-Adresse
- IAM-Passwortrichtlinie
- Die IAM-Passwortrichtlinie verhindert die Wiederverwendung von Passwörtern
- Die IAM-Passwortrichtlinie erfordert eine Mindestlänge von 14 Zeichen
- Prüfung auf nicht verwendete Anmeldedaten von IAM-Nutzern
- IAM-Nutzer erhalten Berechtigungsgruppen
- KMS-cmk nicht zum Löschen vorgemerkt
- Aktivierte S3-Buckets zum Löschen von MFA
- Root-Nutzerkonto mit aktivierter MFA
- Multi-Faktor-Authentifizierung (MFA) für alle IAM-Nutzer in der Konsole aktiviert
- Kein Zugriffsschlüssel für Root-Nutzerkonto vorhanden
- Keine Sicherheitsgruppen lassen eingehenden Traffic von 0 Remote-Serververwaltung zu
- Keine Sicherheitsgruppen lassen eingehenden Traffic von 0 0 0 0 an Remote-Serververwaltung zu
- Ein aktiver Zugriffsschlüssel für jeden einzelnen IAM-Nutzer verfügbar
- Öffentlicher Zugriff gegebene RDS-Instanz
- Eingeschränkte allgemeine Ports
- Eingeschränktes SSH
- Rotation für vom Kunden erstelltes CMKS aktiviert
- Rotation für vom Kunden erstellte symmetrische CMKS aktiviert
- S3-Buckets mit konfiguriertem Blockieren des öffentlichen Zugriffs auf Bucket-Einstellungen
- S3-Bucket-Richtlinie zum Ablehnen von HTTP-Anfragen festgelegt
- S3-Standardverschlüsselung in KMS
- VPC-Standardsicherheitsgruppe geschlossen
Unterstützung der Benutzeroberfläche
Sie können Angriffsrisikobewertungen entweder in der Google Cloud Console, die Security Operations-Konsole oder die Security Command Center API.
Sie können mit Angriffsrisikowerten und Angriffspfaden für toxische Kombinationsfälle nur in der Security Operations-Konsole.
Konfigurationen für Ressourcenwerte können nur auf der Tab Angriffspfadsimulationen in den Einstellungen von Security Command Center in der Google Cloud Console.