Compatibilité des fonctionnalités du moteur de gestion des risques

Cette page décrit les services et les résultats compatibles avec la fonctionnalité du moteur de risque de Security Command Center, ainsi que les limites de compatibilité auxquelles elle est soumise.

Le moteur de risque génère des scores et des chemins d'exposition aux attaques pour les éléments suivants:

Les sections suivantes répertorient les services et les résultats de Security Command Center compatibles avec Risk Engine.

Assistance au niveau de l'organisation uniquement

Les simulations de chemins d'attaque que Risk Engine utilise pour générer les scores d'exposition aux attaques et les chemins d'attaque nécessitent que Security Command Center soit activé au niveau de l'organisation. Les simulations de chemin d'attaque ne sont pas compatibles avec les activations au niveau du projet de Security Command Center.

Pour afficher les chemins d'attaque, votre vue de la console Google Cloud doit être définie sur votre organisation. Si vous sélectionnez une vue de projet ou de dossier dans la console Google Cloud, vous pouvez voir les scores d'exposition aux attaques, mais pas les chemins d'attaque.

De plus, les autorisations IAM dont les utilisateurs ont besoin pour afficher les chemins d'attaque doivent être accordées au niveau de l'organisation. Les utilisateurs doivent au minimum disposer de l'autorisation securitycenter.attackpaths.list dans un rôle accordé au niveau de l'organisation. Le rôle IAM prédéfini le moins permissif qui contient cette autorisation est Lecteur des chemins d'attaque du centre de sécurité (securitycenter.attackPathsViewer).

Pour afficher les autres rôles qui contiennent cette autorisation, consultez la documentation de référence sur les rôles IAM de base et prédéfinis.

Limites de taille pour les organisations

Pour les simulations de chemin d'attaque, le moteur de risque limite le nombre d'éléments actifs et de résultats actifs qu'une organisation peut contenir.

Si une organisation dépasse les limites indiquées dans le tableau suivant, les simulations de chemin d'attaque ne s'exécutent pas.

Type de limite Limite d'utilisation
Nombre maximal de résultats actifs 250 000 000
Nombre maximal d'éléments actifs 26 000 000

Si les composants ou les résultats de votre organisation approchent de ces limites ou les dépassent, contactez l'Cloud Customer Care pour demander une évaluation de votre organisation afin d'augmenter éventuellement votre quota.

Services Google Cloud inclus dans les simulations de chemin d'attaque

Les simulations exécutées par Risk Engine peuvent inclure les services Google Cloud suivants:

  • Artifact Registry
  • BigQuery
  • Fonctions Cloud Run
  • Cloud Key Management Service
  • Cloud Load Balancing
  • Cloud NAT
  • Cloud Router
  • Cloud SQL
  • Cloud Storage
  • Compute Engine
  • Identity and Access Management
  • Google Kubernetes Engine
  • Cloud privé virtuel, y compris les sous-réseaux et les configurations de pare-feu
  • Resource Manager

Limites des ensembles de ressources de forte valeur

Un ensemble de ressources à forte valeur n'est compatible qu'avec certains types de ressources et ne peut contenir qu'un certain nombre d'instances de ressources.

Limite d'instances pour les ensembles de ressources à forte valeur

Un ensemble de ressources à forte valeur pour une plate-forme de fournisseur de services cloud peut contenir jusqu'à 1 000 instances de ressources.

Types de ressources acceptés dans les ensembles de ressources à forte valeur

Vous ne pouvez ajouter que les types de ressources Google Cloud suivants à un ensemble de ressources à forte valeur:

  • aiplatform.googleapis.com/Dataset
  • aiplatform.googleapis.com/Featurestore
  • aiplatform.googleapis.com/MetadataStore
  • aiplatform.googleapis.com/Model
  • aiplatform.googleapis.com/TrainingPipeline
  • bigquery.googleapis.com/Dataset
  • cloudfunctions.googleapis.com/CloudFunction
  • compute.googleapis.com/Instance
  • container.googleapis.com/Cluster
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

Pour obtenir la liste des types de ressources compatibles avec d'autres fournisseurs de services cloud, consultez la section Assistance pour les fournisseurs de services cloud.

Limite de la configuration des valeurs de ressource

Vous pouvez créer jusqu'à 100 configurations de valeurs de ressources par organisation sur Google Cloud.

Types de ressources Google Cloud compatibles avec les classifications de sensibilité des données

Les simulations de chemin d'attaque peuvent définir automatiquement des valeurs de priorité en fonction des classifications de sensibilité des données issues de la découverte de la protection des données sensibles, mais uniquement pour les types de ressources de données suivants:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

Catégories de résultats compatibles

Les simulations de chemins d'attaque génèrent des scores d'exposition aux attaques et des chemins d'attaque uniquement pour les catégories de résultats de Security Command Center provenant des services de détection de Security Command Center listés dans cette section.

Résultats de la stratégie de sécurité GKE

Les catégories de résultats de posture de sécurité GKE suivantes sont compatibles avec les simulations de chemin d'attaque:

  • Faille du système d'exploitation d'exécution de GKE

Résultats de Mandiant Attack Surface Management

Les catégories de résultats Mandiant Attack Surface Management suivantes sont compatibles avec les simulations de chemin d'attaque:

  • Vulnérabilité logicielle

Résultats du moteur de gestion des risques

La catégorie de résultats Toxic combination émise par le moteur de gestion des risques est compatible avec les scores d'exposition aux attaques.

Résultats de l'analyse de l'état de la sécurité

Les résultats suivants de l'analyse de l'état de sécurité sont compatibles avec les simulations de chemins d'attaque sur Google Cloud:

  • Compte de service administrateur
  • Réparation automatique désactivée
  • Mise à niveau automatique désactivée
  • Autorisation binaire désactivée
  • Stratégie du bucket seulement désactivée
  • Accès privé à Google désactivé pour le cluster
  • Chiffrement des secrets du cluster désactivé
  • Nœuds de cluster protégés désactivés
  • Clés SSH Compute autorisées à l'échelle du projet
  • Démarrage sécurisé Compute désactivé
  • Ports série Compute activés
  • COS non utilisé
  • Compte de service par défaut utilisé
  • Accès complet aux API
  • Réseaux autorisés maîtres désactivés
  • Authentification multifacteur non appliquée
  • Règle de réseau désactivée
  • Démarrage sécurisé du pool de nœuds désactivé
  • Port Cassandra ouvert
  • Port CiscoSecure WebSM ouvert
  • Port des services d'annuaire ouvert
  • Port DNS ouvert
  • Port Elasticsearch ouvert
  • Pare-feu ouvert
  • Port FTP ouvert
  • Port HTTP ouvert
  • Port LDAP ouvert
  • Port Memcached ouvert
  • Port MongoDB ouvert
  • Port MySQL ouvert
  • Port NetBIOS ouvert
  • Port OracleDB ouvert
  • Port POP3 ouvert
  • Port PostgreSQL ouvert
  • Port RDP ouvert
  • Port Redis ouvert
  • Port SMTP ouvert
  • Port SSH ouvert
  • Port Telnet ouvert
  • Compte possédant trop de privilèges
  • Niveaux d'accès possédant trop de privilèges
  • Utilisateur du compte de service possédant trop de privilèges
  • Rôles primitifs utilisés
  • Cluster privé désactivé
  • LCA de bucket public
  • Adresse IP publique
  • Bucket de journaux publics
  • Canal de publication désactivé
  • Clé de compte de service non alternée
  • Clé de compte de service gérée par l'utilisateur
  • Workload Identity est désactivé

Résultats de VM Manager

La catégorie de résultats OS Vulnerability émise par VM Manager est compatible avec les scores d'exposition aux attaques.

Prise en charge des notifications Pub/Sub

Les modifications des scores d'exposition aux attaques ne peuvent pas être utilisées comme déclencheur de notifications sur Pub/Sub.

De plus, les résultats envoyés à Pub/Sub lors de leur création n'incluent pas de score d'exposition aux attaques, car ils sont envoyés avant qu'un score ne puisse être calculé.

Prise en charge du multicloud

Security Command Center peut fournir des scores d'exposition aux attaques et des visualisations des vecteurs d'attaque pour les fournisseurs de services cloud suivants:

Les détecteurs de failles et de mauvaise configuration compatibles avec les simulations de chemin d'attaque pour d'autres plates-formes de fournisseurs de services cloud dépendent des détections compatibles avec les services de détection de Security Command Center sur la plate-forme.

La compatibilité du détecteur varie selon le fournisseur de services cloud.

Assistance AWS

Security Command Center peut calculer des scores d'exposition aux attaques et des visualisations de chemins d'attaque pour vos ressources sur AWS.

Services AWS compatibles avec les simulations de chemin d'attaque

Les simulations peuvent inclure les services AWS suivants:

  • Identity and Access Management (IAM)
  • Security Token Service (STS)
  • Simple Storage Service (S3)
  • Pare-feu d'application Web (WAFv2)
  • Elastic Compute Cloud (EC2)
  • Elastic Load Balancer (ELB et ELBv2)
  • Relational Database Service (RDS)
  • Service de gestion des clés (KMS)
  • Elastic Container Registry (ECR)
  • Elastic Container Service (ECS)
  • ApiGateway et ApiGatewayv2
  • Organisations (service de gestion de compte)
  • CloudFront
  • Autoscaling
  • Lambda
  • DynamoDB

Types de ressources AWS compatibles avec les ensembles de ressources à forte valeur

Vous ne pouvez ajouter que les types de ressources AWS suivants à un ensemble de ressources à forte valeur ajoutée:

  • Table DynamoDB
  • Instance EC2
  • Fonction Lambda
  • RDS DBCluster
  • Instance de base de données RDS
  • Bucket S3

Types de ressources AWS compatibles avec les classifications de sensibilité des données

Les simulations de chemin d'attaque peuvent définir automatiquement des valeurs de priorité en fonction des classifications de sensibilité des données de la découverte de la protection des données sensibles, mais uniquement pour les types de ressources de données AWS suivants:

  • Bucket Amazon S3

Obtenir de l'aide dans Security Health Analytics pour AWS

Les simulations de chemin d'attaque fournissent des scores et des visualisations de chemin d'attaque pour les catégories de résultats de Security Health Analytics suivantes:

  • Clés d'accès alternées moins de 90 jours
  • Identifiants inutilisés pendant au moins 45 jours désactivés
  • Le VPC du groupe de sécurité par défaut limite tout le trafic
  • Instance EC2 sans adresse IP publique
  • Stratégie de mots de passe IAM
  • La stratégie de mots de passe IAM empêche de réutiliser des mots de passe
  • La stratégie de mots de passe IAM exige au moins 14 caractères
  • Vérification des identifiants inutilisés des utilisateurs IAM
  • Les utilisateurs IAM reçoivent des groupes d'autorisations
  • Suppression des CMK KMS non planifiée
  • Buckets S3 avec suppression MFA activée
  • Compte utilisateur racine avec MFA activé
  • Authentification multifacteur (MFA) activée pour tous les utilisateurs de console IAM
  • Aucune clé d'accès n'existe pour le compte utilisateur racine
  • Aucun groupe de sécurité n'autorise l'entrée de 0 vers l'administration du serveur distant
  • Aucun groupe de sécurité n'autorise l'entrée de 0 0 0 0 vers l'administration du serveur distant
  • Une seule clé d'accès active est disponible par utilisateur IAM
  • Accès public accordé pour l'instance RDS
  • Ports communs restreints
  • SSH restreint
  • Rotation des CMK créées par le client activée
  • Rotation des CMK symétriques créées par le client activée
  • Buckets S3 configurés avec le paramètre de bucket "Bloquer l'accès public"
  • Stratégie de bucket S3 définie pour refuser les requêtes HTTP
  • Clé KMS de chiffrement par défaut pour S3
  • Groupe de sécurité VPC par défaut fermé

Résultats de l'évaluation des failles EC2

La catégorie de résultats Software vulnerability émise par l'évaluation des failles EC2 est compatible avec les scores d'exposition aux attaques.

Prise en charge de l'interface utilisateur

Vous pouvez utiliser les scores d'exposition aux attaques dans la console Google Cloud, la console Security Operations ou l'API Security Command Center.

Vous ne pouvez utiliser les scores d'exposition aux attaques et les chemins d'attaque pour les cas de combinaisons toxiques que dans la console Security Operations.

Vous ne pouvez créer des configurations de valeur de ressource que dans l'onglet Simulations de chemin d'attaque de la page Paramètres de Security Command Center dans la console Google Cloud.