Unterstützung für Angriffsrisiko

Auf dieser Seite werden die Dienste und Ergebnisse beschrieben, die von der Funktion zur Angriffsgefahr unterstützt werden, sowie die Supporteinschränkungen, denen sie unterliegt.

Security Command Center generiert Angriffsrisikobewertungen und -pfade für Folgendes:

In den folgenden Abschnitten werden die Security Command Center-Dienste und -Ergebnisse aufgeführt, die durch Angriffsrisikobewertungen unterstützt werden.

Support nur auf Organisationsebene

Für die Angriffspfadsimulationen, die die Angriffsrisikobewertungen und Angriffspfade generieren, muss Security Command Center auf Organisationsebene aktiviert sein. Angriffspfadsimulationen werden bei Aktivierungen von Security Command Center auf Projektebene nicht unterstützt.

Wenn Sie Angriffspfade ansehen möchten, muss die Ansicht in der Google Cloud Console auf Ihre Organisation festgelegt sein. Wenn Sie in der Google Cloud Console eine Projekt- oder Ordneransicht auswählen, können Sie zwar Angriffsrisikobewertungen, aber keine Angriffspfade sehen.

Außerdem müssen die IAM-Berechtigungen, die Nutzer zum Ansehen von Angriffspfaden benötigen, auf Organisationsebene gewährt werden. Nutzer müssen mindestens die Berechtigung securitycenter.attackpaths.list in einer Rolle haben, die auf Organisationsebene gewährt wird. Die vordefinierte IAM-Rolle mit der geringsten Berechtigung, die diese Berechtigung enthält, ist Security Center Attack Paths Reader (securitycenter.attackPathsViewer).

Weitere Rollen, die diese Berechtigung enthalten, finden Sie in der Referenz zu einfachen und vordefinierten IAM-Rollen.

Größenbeschränkungen für Organisationen

Bei Angriffspfadsimulationen beschränkt Security Command Center die Anzahl der aktiven Assets und aktiven Ergebnisse, die eine Organisation enthalten kann.

Wenn eine Organisation die in der folgenden Tabelle aufgeführten Limits überschreitet, werden Angriffspfadsimulationen nicht ausgeführt.

Art des Limits Nutzungsbeschränkung
Maximale Anzahl aktiver Ergebnisse 250.000.000
Maximale Anzahl aktiver Assets 26.000.000

Wenn die Assets, Ergebnisse oder beides in Ihrer Organisation diese Limits erreichen oder überschreiten, wenden Sie sich an Cloud Customer Care, um eine Bewertung Ihrer Organisation im Hinblick auf eine mögliche Erhöhung anzufordern.

In Angriffspfadsimulationen enthaltene Google Cloud-Dienste

Die Simulationen können die folgenden Google Cloud-Dienste umfassen:

  • Artifact Registry
  • BigQuery
  • Cloud Functions
  • Cloud Key Management Service
  • Cloud Load Balancing
  • Cloud NAT
  • Cloud Router
  • Cloud SQL
  • Cloud Storage
  • Compute Engine
  • Identity and Access Management
  • Google Kubernetes Engine
  • Virtual Private Cloud, einschließlich Subnetzen und Firewallkonfigurationen
  • Resource Manager

Limits für den Satz hochwertiger Ressourcen

Ein Satz hochwertiger Ressourcen unterstützt nur bestimmte Ressourcentypen und kann nur eine bestimmte Anzahl von Ressourceninstanzen enthalten.

Instanzlimit für Gruppen hochwertiger Ressourcen

Ein Satz hochwertiger Ressourcen für die Plattform eines Cloud-Dienstanbieters kann bis zu 1.000 Ressourceninstanzen enthalten.

Ressourcentypen, die in Satz hochwertiger Ressourcen unterstützt werden

Sie können einem Satz hochwertiger Ressourcen nur die folgenden Typen von Google Cloud-Ressourcen hinzufügen:

  • aiplatform.googleapis.com/Dataset
  • aiplatform.googleapis.com/Featurestore
  • aiplatform.googleapis.com/MetadataStore
  • aiplatform.googleapis.com/Model
  • aiplatform.googleapis.com/TrainingPipeline
  • bigquery.googleapis.com/Dataset
  • cloudfunctions.googleapis.com/CloudFunction
  • compute.googleapis.com/Instance
  • container.googleapis.com/Cluster
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

Eine Liste der unterstützten Ressourcentypen für andere Cloud-Dienstanbieter finden Sie unter Support für Cloud-Dienstanbieter.

Konfigurationslimit für Ressourcenwerte

Sie können in Google Cloud bis zu 100 Konfigurationen für den Ressourcenwert pro Organisation erstellen.

Ressourcentypen, die mit datensensiblen Klassifizierungen unterstützt werden

Angriffspfadsimulationen können nur für die folgenden Datenressourcentypen automatisch Prioritätswerte festlegen, die auf Klassifizierungen für datensensible Artikel aus dem Schutz sensibler Daten basieren:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance

Unterstützte Ergebniskategorien

Angriffspfadsimulationen generieren Angriffsrisikobewertungen und Angriffspfade nur für die Security Command Center-Ergebniskategorien der in diesem Abschnitt aufgeführten Erkennungsdienste.

Ergebnisse von Mandiant Attack Surface Management

Die folgenden Ergebniskategorien von Mandiant Attack Surface Management werden bei Simulationen von Angriffspfaden unterstützt:

  • Sicherheitslücke in der Software

Ergebnisse von Security Health Analytics

Die folgenden Ergebnisse aus Security Health Analytics werden durch Angriffspfadsimulationen in Google Cloud unterstützt:

  • Admin service account
  • Auto repair disabled
  • Auto upgrade disabled
  • Binary authorization disabled
  • Bucket policy only disabled
  • Cluster private Google access disabled
  • Cluster secrets encryption disabled
  • Cluster shielded nodes disabled
  • Compute project wide SSH keys allowed
  • Compute Secure Boot disabled
  • Serielle Compute-Ports aktiviert
  • COS not used
  • Default service account used
  • Full API access
  • Master authorized networks disabled
  • MFA not enforced
  • Netzwerkrichtlinie deaktiviert
  • Nodepool secure boot disabled
  • Open Cassandra port
  • Open ciscosecure websm port
  • Open directory services port
  • Open DNS port
  • Elasticsearch-Port öffnen
  • Open firewall
  • Open FTP port
  • Open HTTP port
  • Open LDAP port
  • Open Memcached port
  • Open MongoDB port
  • Open MySQL port
  • Open NetBIOS port
  • Open OracleDB port
  • Pop3-Port öffnen
  • Open PostgreSQL port
  • Open RDP port
  • Open Redis port
  • Open SMTP port
  • Open SSH port
  • Open Telnet port
  • Over privileged account
  • Over privileged scopes
  • Over privileged service account user
  • Primitive roles used
  • Private cluster disabled
  • ACL für öffentlichen Bucket
  • Öffentliche IP-Adresse
  • Öffentlicher Log-Bucket
  • Release channel disabled
  • Service account key not rotated
  • User managed service account key
  • Workload Identity disabled

Ergebnisse von Rapid Vulnerability Detection

Die folgenden Ergebnisse von Rapid Vulnerability Detection werden durch Angriffspfadsimulationen unterstützt:

  • Schwache Anmeldedaten
  • Elasticsearch API verfügbar
  • Offengelegter Grafana-Endpunkt
  • Gefährdete Metabasis
  • Offengelegter Spring Boot-Aktorendpunkt
  • Nicht authentifizierte Hadoop Yarn-API für Resource Manager
  • Java JMX Rmi Exposed
  • Sichtbare UI des Jupyter-Notebooks
  • Kubernetes API verfügbar
  • Nicht abgeschlossene WordPress-Installation
  • Nicht authentifizierte Jenkins-Konsole für neue Artikel
  • Apache HTTPd RPC
  • Apache HTTPd SSRf
  • Consul Rce
  • Druid Rce
  • Drupal-Rennen
  • Offenlegung der Flink-Datei
  • GitLab-Rce
  • Go CD Rce
  • Jenkins-Rce
  • Joomla Rce
  • Log4j-Rce
  • Ausweitung der Mantisbt-Rechte
  • Ognl Rce
  • Openam-Rennen
  • Oracle Weblogic Rce
  • Php Einheit Rce
  • Php Cgi Rce
  • Portal-Rce
  • Redis-Rce
  • Solr-Datei offengelegt
  • Solr-Rce
  • Struts-Rennen
  • Tomcat-Datei – Offenlegung
  • Vbulletin-Rce
  • vCenter Rce
  • Weblogic-Rce

VM Manager-Ergebnisse

Die von VM Manager ausgegebene Ergebniskategorie OS Vulnerability unterstützt Angriffsrisikobewertungen.

Unterstützung von Pub/Sub-Benachrichtigungen

Änderungen an Angriffsrisikobewertungen können nicht als Trigger für Benachrichtigungen an Pub/Sub verwendet werden.

Auch Ergebnisse, die beim Erstellen an Pub/Sub gesendet werden, enthalten keine Angriffsrisikobewertung, da sie gesendet werden, bevor eine Bewertung berechnet werden kann.

Multi-Cloud-Unterstützung

Security Command Center kann Angriffsrisikobewertungen und Visualisierungen von Angriffspfaden für die folgenden Cloud-Dienstanbieter bereitstellen:

  • Amazon Web Services (AWS)

Detektorunterstützung für andere Cloud-Dienstanbieter

Die Detektoren für Sicherheitslücken und Fehlkonfigurationen, die Angriffspfadsimulationen für andere Plattformen von Cloud-Dienstanbietern unterstützen, hängen von den Erkennungen ab, die die Erkennungsdienste von Security Command Center auf der Plattform unterstützen.

Die Detektorunterstützung variiert je nach Cloud-Dienstanbieter.

AWS-Unterstützung

Security Command Center kann Angriffsrisikobewertungen und Visualisierungen von Angriffspfaden für Ihre Ressourcen in AWS berechnen.

Von Angriffspfadsimulationen unterstützte AWS-Dienste

Die Simulationen können die folgenden AWS-Dienste umfassen:

  • Identity and Access Management (IAM)
  • Security Token Service (STS)
  • Einfacher Speicherdienst (S3)
  • Web Application Firewall (WAFv2)
  • Elastic Compute Cloud (EC2)
  • Elastisches Load-Balancing (ELB und ELBv2)
  • Dienst für relationale Datenbanken (Relational Database Service, RDS)
  • Key Management Service (KMS)
  • Elastic Container Registry (ECR)
  • Elastic Container Service (ECS)
  • ApiGateway und ApiGatewayv2
  • Organisationen (Kontoverwaltung)
  • CloudFront
  • AutoScaling
  • Lambda
  • DynamoDB

AWS-Ressourcentypen, die Sie als hochwertige Ressourcen angeben können

Sie können einem Satz hochwertiger Ressourcen nur die folgenden Typen von AWS-Ressourcen hinzufügen:

  • DynamoDB-Tabelle
  • EC2-Instanz
  • Lambda-Funktion
  • RDS-DBCluster
  • RDS-Datenbankinstanz
  • S3-Bucket

Unterstützung für AWS finden

Angriffspfadsimulationen enthalten Punktzahlen und Visualisierungen von Angriffspfaden für die folgenden Ergebniskategorien von Security Health Analytics:

  • Die Zugriffsschlüssel wurden um 90 Tage rotiert
  • Seit 45 Tagen nicht verwendete Anmeldedaten deaktiviert
  • VPC der Standardsicherheitsgruppe schränkt den gesamten Traffic ein
  • EC2-Instanz ohne öffentliche IP-Adresse
  • IAM-Passwortrichtlinie
  • Die IAM-Passwortrichtlinie verhindert die Wiederverwendung von Passwörtern
  • Die IAM-Passwortrichtlinie erfordert eine Mindestlänge von 14 Zeichen
  • Prüfung auf nicht verwendete Anmeldedaten von IAM-Nutzern
  • IAM-Nutzer erhalten Berechtigungsgruppen
  • KMS-cmk nicht zum Löschen vorgemerkt
  • Aktivierte S3-Buckets zum Löschen von MFA
  • Root-Nutzerkonto mit aktivierter MFA
  • Multi-Faktor-Authentifizierung (MFA) für alle IAM-Nutzer in der Konsole aktiviert
  • Kein Zugriffsschlüssel für Root-Nutzerkonto vorhanden
  • Keine Sicherheitsgruppen lassen eingehenden Traffic von 0 Remote-Serververwaltung zu
  • Keine Sicherheitsgruppen lassen eingehenden Traffic von 0 0 0 0 an Remote-Serververwaltung zu
  • Ein aktiver Zugriffsschlüssel für jeden einzelnen IAM-Nutzer verfügbar
  • Öffentlicher Zugriff gegebene RDS-Instanz
  • Eingeschränkte allgemeine Ports
  • Eingeschränktes SSH
  • Rotation für vom Kunden erstelltes CMKS aktiviert
  • Rotation für vom Kunden erstellte symmetrische CMKS aktiviert
  • S3-Buckets mit konfiguriertem Blockieren des öffentlichen Zugriffs auf Bucket-Einstellungen
  • S3-Bucket-Richtlinie zum Ablehnen von HTTP-Anfragen festgelegt
  • S3-Standardverschlüsselung in KMS
  • VPC-Standardsicherheitsgruppe geschlossen

Unterstützung der Benutzeroberfläche

Sie können entweder Security Command Center in der Google Cloud Console oder die Security Command Center API verwenden, um mit Angriffsbewertungen zu arbeiten.

Konfigurationen für Ressourcenwerte können Sie jedoch nur auf dem Tab Simulationen des Angriffspfads auf der Seite Einstellungen von Security Command Center in der Google Cloud Console erstellen.