Unterstützung von Risiko-Engine-Funktionen

Auf dieser Seite werden die Dienste und Ergebnisse beschrieben, die von der Risiko-Engine-Funktion von Security Command Center unterstützt werden, sowie die Einschränkungen, die für den Support gelten.

Risk Engine generiert Angriffsrisikobewertungen und -pfade für Folgendes:

• Unterstützte Ergebniskategorien in den Vulnerability- und Misconfiguration-Ergebnisklassen Weitere Informationen finden Sie unter Unterstützte Kategorien von Ergebnissen.
• Toxic combination Kursergebnisse.
• Ressourceninstanzen von unterstützten Ressourcentypen, die Sie als „hohe Priorität“ kennzeichnen. Weitere Informationen finden Sie unter Ressourcentypen, die in Sets mit wertvollen Ressourcen unterstützt werden.

In den folgenden Abschnitten werden die Dienste und Ergebnisse von Security Command Center aufgeführt die von der Risk-Engine unterstützt werden.

Nur Support auf Organisationsebene

Die Angriffspfadsimulationen, die Risk Engine für die die Angriffsrisikobewertungen generieren und Angriffspfade erfordern die Aktivierung von Security Command Center am Organisationsebene an. Simulationen von Angriffspfaden werden bei Aktivierungen auf Projektebene von Security Command Center nicht unterstützt.

Damit Sie Angriffspfade sehen können, muss die Google Cloud Console-Ansicht auf Ihre Organisation festgelegt sein. Wenn Sie eine Projekt- oder Ordneransicht in der können Sie in der Google Cloud Console die Angriffsrisikobewertungen sehen, die Angriffspfade nicht sehen können.

Außerdem sind die IAM-Berechtigungen, die Nutzer zum Ansehen von Angriffen benötigen, Pfade müssen auf Organisationsebene gewährt werden. Nutzer benötigen mindestens die Berechtigung securitycenter.attackpaths.list in einer Rolle, die auf Organisationsebene gewährt wurde. Die vordefinierte IAM-Rolle mit den geringsten Berechtigungen, die diese Berechtigung enthält, ist Security Center Attack Paths Reader (securitycenter.attackPathsViewer).

Weitere Rollen mit dieser Berechtigung finden Sie in der Referenz zu einfachen und vordefinierten IAM-Rollen.

Größenbeschränkungen für Organisationen

Bei Angriffspfadsimulationen beschränkt Risk Engine die Anzahl der aktive Assets und aktive Ergebnisse, die eine Organisation enthalten kann.

Wenn eine Organisation die in der folgenden Tabelle angegebenen Limits überschreitet, dass keine Angriffspfadsimulationen ausgeführt werden.

Art des Limits	Nutzungsbeschränkung
Maximale Anzahl aktiver Ergebnisse	250.000.000
Maximale Anzahl aktiver Assets	26.000.000

Wenn die Assets, Ergebnisse oder beides in Ihrem Unternehmen diese Limits erreichen oder überschreiten, wenden Sie sich an den Cloud-Kundensupport, um eine Prüfung Ihres Unternehmens für eine mögliche Erhöhung anzufordern.

In Simulationen von Angriffspfaden enthaltene Google Cloud-Dienste

Die von Risk Engine ausgeführten Simulationen können die folgenden Google Cloud-Dienste:

• Artifact Registry
• BigQuery
• Cloud Run-Funktionen
• Cloud Key Management Service
• Cloud Load Balancing
• Cloud NAT
• Cloud Router
• Cloud SQL
• Cloud Storage
• Compute Engine
• Identity and Access Management
• Google Kubernetes Engine
• Virtual Private Cloud, einschließlich Subnetzen und Firewallkonfigurationen
• Resource Manager

Limits für Sets hochwertiger Ressourcen

Ein Satz hochwertiger Ressourcen unterstützt nur bestimmte Ressourcentypen und kann enthalten nur eine bestimmte Anzahl von Ressourceninstanzen.

Instanzlimit für Gruppen hochwertiger Ressourcen

Ein Satz hochwertiger Ressourcen für die Plattform eines Cloud-Dienstanbieters kann bis zu 1.000 Ressourceninstanzen enthalten.

In Sets mit hochwertigen Ressourcen unterstützte Ressourcentypen

Sie können einem Satz hochwertiger Ressourcen nur die folgenden Arten von Google Cloud-Ressourcen hinzufügen:

• aiplatform.googleapis.com/Dataset
• aiplatform.googleapis.com/Featurestore
• aiplatform.googleapis.com/MetadataStore
• aiplatform.googleapis.com/Model
• aiplatform.googleapis.com/TrainingPipeline

• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance
• container.googleapis.com/Cluster
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Eine Liste der unterstützten Ressourcentypen für andere Cloud-Dienstanbieter finden Sie unter Support für Cloud-Dienstanbieter.

Konfigurationslimit für Ressourcenwerte

Sie können in Google Cloud bis zu 100 Ressourcenwertkonfigurationen pro Organisation erstellen.

Google Cloud-Ressourcentypen, die mit Klassifizierungen der Datensensibilität unterstützt werden

Angriffspfadsimulationen können automatisch Prioritätswerte festlegen basierend auf den Datensensitivitätsklassifizierungen Erkennung sensibler Daten nur für die folgenden Datenressourcentypen:

• bigquery.googleapis.com/Dataset
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Unterstützte Ergebniskategorien

Angriffspfadsimulationen generieren Angriffsrisikobewertungen und Angriffspfade nur für die Security Command Center-Ergebniskategorien aus dem Security Command Center-Erkennungsdienste, die in diesem Abschnitt aufgeführt sind.

Ergebnisse des GKE-Sicherheitsstatus

Die folgenden GKE-Sicherheit Sicherheitsstatus Ergebniskategorien werden durch Angriffspfadsimulationen unterstützt:

• Sicherheitslücke im GKE-Laufzeitbetriebssystem

Ergebnisse von Mandiant Attack Surface Management

Die folgenden Mandiant Attack Surface Management Ergebniskategorien werden durch Angriffspfadsimulationen unterstützt:

• Softwarelücke

Ergebnisse der Risiko-Engine

Die Ergebniskategorie Toxic combination, die von ausgegeben wird Risk-Engine unterstützt Angriffsrisikobewertungen.

Ergebnisse von Security Health Analytics

Die folgenden Ergebnisse von Security Health Analytics werden durch Angriffspfadsimulationen in Google Cloud unterstützt:

• Admin service account
• Auto repair disabled
• Auto upgrade disabled
• Binary authorization disabled
• Bucket policy only disabled
• Cluster private Google access disabled
• Cluster secrets encryption disabled
• Cluster shielded nodes disabled
• Compute project wide SSH keys allowed
• Compute Secure Boot disabled
• Serielle Compute-Ports aktiviert
• COS not used
• Default service account used
• Full API access
• Master authorized networks disabled
• MFA not enforced
• Netzwerkrichtlinie deaktiviert
• Nodepool secure boot disabled
• Open Cassandra port
• Open ciscosecure websm port
• Open directory services port
• Open DNS port
• Elasticsearch-Port öffnen
• Open firewall
• Open FTP port
• Open HTTP port
• Open LDAP port
• Open Memcached port
• Open MongoDB port
• Open MySQL port
• Open NetBIOS port
• Open OracleDB port
• Offener POP3-Port
• Open PostgreSQL port
• Open RDP port
• Open Redis port
• Open SMTP port
• Open SSH port
• Open Telnet port
• Over privileged account
• Over privileged scopes
• Over privileged service account user
• Primitive roles used
• Private cluster disabled
• ACL für öffentlichen Bucket
• Öffentliche IP-Adresse
• Öffentlicher Log-Bucket
• Release channel disabled
• Service account key not rotated
• User managed service account key
• Workload Identity disabled

VM Manager-Ergebnisse

Die Ergebniskategorie OS Vulnerability, die von ausgegeben wird VM Manager unterstützt Angriffsrisikobewertungen.

Unterstützung für Pub/Sub-Benachrichtigungen

Änderungen an den Werten für die Angriffsexposition können nicht als Trigger für Benachrichtigungen an Pub/Sub verwendet werden.

Auch Ergebnisse, die beim Erstellen an Pub/Sub gesendet werden Keine Angriffsrisikobewertung enthalten, da sie vor einer Bewertung gesendet werden berechnet werden kann.

Multi-Cloud-Unterstützung

Security Command Center kann Bewertungen der Angriffsrisiken und Visualisierungen des Angriffspfads für die folgenden Cloud-Dienstanbieter bereitstellen:

• Amazon Web Services (AWS)

Die Sicherheitslücken- und Fehlkonfigurations-Detektoren, die für die Simulation von Angriffspfaden auf anderen Plattformen von Cloud-Dienstanbietern unterstützt werden, hängen von den Erkennungen ab, die die Security Command Center-Erkennungsdienste auf der Plattform unterstützen.

Die Detektorunterstützung variiert je nach Cloud-Dienstanbieter.

AWS-Support

Security Command Center kann Angriffsrisikobewertungen und Angriffspfadvisualisierungen für Ihre Ressourcen in AWS berechnen.

Von Angriffspfadsimulationen unterstützte AWS-Dienste

Die Simulationen können die folgenden AWS-Dienste umfassen:

• Identity and Access Management (IAM)
• Security Token Service (STS)
• Einfacher Speicherdienst (S3)
• Web Application Firewall (WAFv2)
• Elastic Compute Cloud (EC2)
• Elastic Load Balancing (ELB und ELBv2)
• Dienst für relationale Datenbanken (Relational Database Service, RDS)
• Key Management Service (KMS)
• Elastic Container Registry (ECR)
• Elastic Container Service (ECS)
• ApiGateway und ApiGatewayv2
• Organisationen (Kontoverwaltung)
• CloudFront
• AutoScaling
• Lambda
• DynamoDB

AWS-Ressourcentypen, die in Sets mit wertvollen Ressourcen unterstützt werden

Sie können einem hochwertigen AWS-Ressourcen nur die folgenden Typen von AWS-Ressourcen hinzufügen. Ressourcensatz:

• DynamoDB-Tabelle
• EC2-Instanz
• Lambda-Funktion
• RDS-DBCluster
• RDS-Datenbankinstanz
• S3-Bucket

AWS-Ressourcentypen, die mit Klassifizierungen der Datensensibilität unterstützt werden

Bei Simulationen von Angriffspfaden können Prioritätswerte nur für die folgenden AWS-Datenressourcentypen automatisch anhand der Klassifizierungen der Datenvertraulichkeit aus der Erfassung von sensiblen Daten festgelegt werden:

• Amazon S3-Bucket

Unterstützung in Security Health Analytics für AWS finden

Angriffspfadsimulationen bieten Bewertungen und Visualisierungen von Angriffspfaden für die folgenden Kategorien von Security Health Analytics-Ergebnissen:

• Die Zugriffsschlüssel wurden um 90 Tage rotiert
• Seit 45 Tagen nicht verwendete Anmeldedaten deaktiviert
• Standard-Sicherheitsgruppe der VPC schränkt gesamten Traffic ein
• EC2-Instanz ohne öffentliche IP-Adresse
• IAM-Passwortrichtlinie
• Die IAM-Passwortrichtlinie verhindert die Wiederverwendung von Passwörtern
• IAM-Passwortrichtlinie verlangt eine Mindestlänge von 14 Zeichen
• Prüfung auf nicht verwendete Anmeldedaten von IAM-Nutzern
• IAM-Nutzer erhalten Berechtigungsgruppen
• KMS-CMK nicht zum Löschen geplant
• Aktivierte S3-Buckets zum Löschen von MFA
• Root-Nutzerkonto mit aktivierter MFA
• Multi-Faktor-Authentifizierung (MFA) für alle IAM-Nutzer in der Konsole aktiviert
• Kein Zugriffsschlüssel für das Root-Nutzerkonto vorhanden
• Keine Sicherheitsgruppen lassen eingehenden Traffic von 0 Remote-Serververwaltung zu
• Keine Sicherheitsgruppen lassen eingehenden Traffic von 0 0 0 0 an Remote-Serververwaltung zu
• Ein aktiver Zugriffsschlüssel pro IAM-Nutzer verfügbar
• Öffentlicher Zugriff gegebene RDS-Instanz
• Eingeschränkte allgemeine Ports
• Eingeschränktes SSH
• Rotation für vom Kunden erstelltes CMKS aktiviert
• Rotation für vom Kunden erstellte symmetrische CMKs aktiviert
• S3-Buckets mit konfiguriertem „Öffentlichen Zugriff blockieren (Bucket-Einstellungen)“
• S3-Bucket-Richtlinie zum Ablehnen von HTTP-Anfragen festgelegt
• S3-Standardverschlüsselung in KMS
• VPC-Standardsicherheitsgruppe geschlossen

Ergebnisse der EC2-Sicherheitslückenbewertung

Die Ergebniskategorie Software vulnerability, die von der EC2-Sicherheitsrisikobewertung ausgegeben wird, unterstützt Angriffsbewertungen.

Unterstützung der Benutzeroberfläche

Sie können Angriffsrisikobewertungen entweder in der Google Cloud Console, die Security Operations-Konsole oder die Security Command Center API.

Sie können Angriffsrisikowerte und Angriffspfade für Fälle mit schädlichen Kombinationen nur in der Security Operations Console verwenden.

Konfigurationen für Ressourcenwerte können nur auf der Tab Angriffspfadsimulationen in den Einstellungen von Security Command Center in der Google Cloud Console.