Auf dieser Seite werden die Dienste und Ergebnisse beschrieben, die von der Funktion zur Angriffsgefahr unterstützt werden, sowie die Supporteinschränkungen, denen sie unterliegt.
Security Command Center generiert Angriffsrisikobewertungen und -pfade für Folgendes:
- Unterstützte Ergebniskategorien in den Ergebnisklassen
Vulnerability
undMisconfiguration
. Weitere Informationen finden Sie unter Unterstützte Ergebniskategorien. - Ressourceninstanzen unterstützter Ressourcentypen, die Sie als hochwertig festlegen. Weitere Informationen finden Sie unter In hochwertigen Ressourcensätzen unterstützte Ressourcen.
In den folgenden Abschnitten werden die Security Command Center-Dienste und -Ergebnisse aufgeführt, die durch Angriffsrisikobewertungen unterstützt werden.
Support nur auf Organisationsebene
Für die Angriffspfadsimulationen, die die Angriffsrisikobewertungen und Angriffspfade generieren, muss Security Command Center auf Organisationsebene aktiviert sein. Angriffspfadsimulationen werden bei Aktivierungen von Security Command Center auf Projektebene nicht unterstützt.
Wenn Sie Angriffspfade ansehen möchten, muss die Ansicht in der Google Cloud Console auf Ihre Organisation festgelegt sein. Wenn Sie in der Google Cloud Console eine Projekt- oder Ordneransicht auswählen, können Sie zwar Angriffsrisikobewertungen, aber keine Angriffspfade sehen.
Außerdem müssen die IAM-Berechtigungen, die Nutzer zum Ansehen von Angriffspfaden benötigen, auf Organisationsebene gewährt werden. Nutzer müssen mindestens die Berechtigung securitycenter.attackpaths.list
in einer Rolle haben, die auf Organisationsebene gewährt wird. Die vordefinierte IAM-Rolle mit der geringsten Berechtigung, die diese Berechtigung enthält, ist Security Center Attack Paths Reader (securitycenter.attackPathsViewer
).
Weitere Rollen, die diese Berechtigung enthalten, finden Sie in der Referenz zu einfachen und vordefinierten IAM-Rollen.
Größenbeschränkungen für Organisationen
Bei Angriffspfadsimulationen beschränkt Security Command Center die Anzahl der aktiven Assets und aktiven Ergebnisse, die eine Organisation enthalten kann.
Wenn eine Organisation die in der folgenden Tabelle aufgeführten Limits überschreitet, werden Angriffspfadsimulationen nicht ausgeführt.
Art des Limits | Nutzungsbeschränkung |
---|---|
Maximale Anzahl aktiver Ergebnisse | 250.000.000 |
Maximale Anzahl aktiver Assets | 26.000.000 |
Wenn die Assets, Ergebnisse oder beides in Ihrer Organisation diese Limits erreichen oder überschreiten, wenden Sie sich an Cloud Customer Care, um eine Bewertung Ihrer Organisation im Hinblick auf eine mögliche Erhöhung anzufordern.
In Angriffspfadsimulationen enthaltene Google Cloud-Dienste
Die Simulationen können die folgenden Google Cloud-Dienste umfassen:
- Artifact Registry
- BigQuery
- Cloud Functions
- Cloud Key Management Service
- Cloud Load Balancing
- Cloud NAT
- Cloud Router
- Cloud SQL
- Cloud Storage
- Compute Engine
- Identity and Access Management
- Google Kubernetes Engine
- Virtual Private Cloud, einschließlich Subnetzen und Firewallkonfigurationen
- Resource Manager
Limits für den Satz hochwertiger Ressourcen
Ein Satz hochwertiger Ressourcen unterstützt nur bestimmte Ressourcentypen und kann nur eine bestimmte Anzahl von Ressourceninstanzen enthalten.
Instanzlimit für Gruppen hochwertiger Ressourcen
Ein Satz hochwertiger Ressourcen für die Plattform eines Cloud-Dienstanbieters kann bis zu 1.000 Ressourceninstanzen enthalten.
Ressourcentypen, die in Satz hochwertiger Ressourcen unterstützt werden
Sie können einem Satz hochwertiger Ressourcen nur die folgenden Typen von Google Cloud-Ressourcen hinzufügen:
aiplatform.googleapis.com/Dataset
aiplatform.googleapis.com/Featurestore
aiplatform.googleapis.com/MetadataStore
aiplatform.googleapis.com/Model
aiplatform.googleapis.com/TrainingPipeline
bigquery.googleapis.com/Dataset
cloudfunctions.googleapis.com/CloudFunction
compute.googleapis.com/Instance
container.googleapis.com/Cluster
sqladmin.googleapis.com/Instance
storage.googleapis.com/Bucket
Eine Liste der unterstützten Ressourcentypen für andere Cloud-Dienstanbieter finden Sie unter Support für Cloud-Dienstanbieter.
Konfigurationslimit für Ressourcenwerte
Sie können in Google Cloud bis zu 100 Konfigurationen für den Ressourcenwert pro Organisation erstellen.
Ressourcentypen, die mit datensensiblen Klassifizierungen unterstützt werden
Angriffspfadsimulationen können nur für die folgenden Datenressourcentypen automatisch Prioritätswerte festlegen, die auf Klassifizierungen für datensensible Artikel aus dem Schutz sensibler Daten basieren:
bigquery.googleapis.com/Dataset
sqladmin.googleapis.com/Instance
Unterstützte Ergebniskategorien
Angriffspfadsimulationen generieren Angriffsrisikobewertungen und Angriffspfade nur für die Security Command Center-Ergebniskategorien der in diesem Abschnitt aufgeführten Erkennungsdienste.
Ergebnisse von Mandiant Attack Surface Management
Die folgenden Ergebniskategorien von Mandiant Attack Surface Management werden bei Simulationen von Angriffspfaden unterstützt:
- Sicherheitslücke in der Software
Ergebnisse von Security Health Analytics
Die folgenden Ergebnisse aus Security Health Analytics werden durch Angriffspfadsimulationen in Google Cloud unterstützt:
- Admin service account
- Auto repair disabled
- Auto upgrade disabled
- Binary authorization disabled
- Bucket policy only disabled
- Cluster private Google access disabled
- Cluster secrets encryption disabled
- Cluster shielded nodes disabled
- Compute project wide SSH keys allowed
- Compute Secure Boot disabled
- Serielle Compute-Ports aktiviert
- COS not used
- Default service account used
- Full API access
- Master authorized networks disabled
- MFA not enforced
- Netzwerkrichtlinie deaktiviert
- Nodepool secure boot disabled
- Open Cassandra port
- Open ciscosecure websm port
- Open directory services port
- Open DNS port
- Elasticsearch-Port öffnen
- Open firewall
- Open FTP port
- Open HTTP port
- Open LDAP port
- Open Memcached port
- Open MongoDB port
- Open MySQL port
- Open NetBIOS port
- Open OracleDB port
- Pop3-Port öffnen
- Open PostgreSQL port
- Open RDP port
- Open Redis port
- Open SMTP port
- Open SSH port
- Open Telnet port
- Over privileged account
- Over privileged scopes
- Over privileged service account user
- Primitive roles used
- Private cluster disabled
- ACL für öffentlichen Bucket
- Öffentliche IP-Adresse
- Öffentlicher Log-Bucket
- Release channel disabled
- Service account key not rotated
- User managed service account key
- Workload Identity disabled
Ergebnisse von Rapid Vulnerability Detection
Die folgenden Ergebnisse von Rapid Vulnerability Detection werden durch Angriffspfadsimulationen unterstützt:
- Schwache Anmeldedaten
- Elasticsearch API verfügbar
- Offengelegter Grafana-Endpunkt
- Gefährdete Metabasis
- Offengelegter Spring Boot-Aktorendpunkt
- Nicht authentifizierte Hadoop Yarn-API für Resource Manager
- Java JMX Rmi Exposed
- Sichtbare UI des Jupyter-Notebooks
- Kubernetes API verfügbar
- Nicht abgeschlossene WordPress-Installation
- Nicht authentifizierte Jenkins-Konsole für neue Artikel
- Apache HTTPd RPC
- Apache HTTPd SSRf
- Consul Rce
- Druid Rce
- Drupal-Rennen
- Offenlegung der Flink-Datei
- GitLab-Rce
- Go CD Rce
- Jenkins-Rce
- Joomla Rce
- Log4j-Rce
- Ausweitung der Mantisbt-Rechte
- Ognl Rce
- Openam-Rennen
- Oracle Weblogic Rce
- Php Einheit Rce
- Php Cgi Rce
- Portal-Rce
- Redis-Rce
- Solr-Datei offengelegt
- Solr-Rce
- Struts-Rennen
- Tomcat-Datei – Offenlegung
- Vbulletin-Rce
- vCenter Rce
- Weblogic-Rce
VM Manager-Ergebnisse
Die von VM Manager ausgegebene Ergebniskategorie OS Vulnerability
unterstützt Angriffsrisikobewertungen.
Unterstützung von Pub/Sub-Benachrichtigungen
Änderungen an Angriffsrisikobewertungen können nicht als Trigger für Benachrichtigungen an Pub/Sub verwendet werden.
Auch Ergebnisse, die beim Erstellen an Pub/Sub gesendet werden, enthalten keine Angriffsrisikobewertung, da sie gesendet werden, bevor eine Bewertung berechnet werden kann.
Multi-Cloud-Unterstützung
Security Command Center kann Angriffsrisikobewertungen und Visualisierungen von Angriffspfaden für die folgenden Cloud-Dienstanbieter bereitstellen:
- Amazon Web Services (AWS)
Detektorunterstützung für andere Cloud-Dienstanbieter
Die Detektoren für Sicherheitslücken und Fehlkonfigurationen, die Angriffspfadsimulationen für andere Plattformen von Cloud-Dienstanbietern unterstützen, hängen von den Erkennungen ab, die die Erkennungsdienste von Security Command Center auf der Plattform unterstützen.
Die Detektorunterstützung variiert je nach Cloud-Dienstanbieter.
AWS-Unterstützung
Security Command Center kann Angriffsrisikobewertungen und Visualisierungen von Angriffspfaden für Ihre Ressourcen in AWS berechnen.
Von Angriffspfadsimulationen unterstützte AWS-Dienste
Die Simulationen können die folgenden AWS-Dienste umfassen:
- Identity and Access Management (IAM)
- Security Token Service (STS)
- Einfacher Speicherdienst (S3)
- Web Application Firewall (WAFv2)
- Elastic Compute Cloud (EC2)
- Elastisches Load-Balancing (ELB und ELBv2)
- Dienst für relationale Datenbanken (Relational Database Service, RDS)
- Key Management Service (KMS)
- Elastic Container Registry (ECR)
- Elastic Container Service (ECS)
- ApiGateway und ApiGatewayv2
- Organisationen (Kontoverwaltung)
- CloudFront
- AutoScaling
- Lambda
- DynamoDB
AWS-Ressourcentypen, die Sie als hochwertige Ressourcen angeben können
Sie können einem Satz hochwertiger Ressourcen nur die folgenden Typen von AWS-Ressourcen hinzufügen:
- DynamoDB-Tabelle
- EC2-Instanz
- Lambda-Funktion
- RDS-DBCluster
- RDS-Datenbankinstanz
- S3-Bucket
Unterstützung für AWS finden
Angriffspfadsimulationen enthalten Punktzahlen und Visualisierungen von Angriffspfaden für die folgenden Ergebniskategorien von Security Health Analytics:
- Die Zugriffsschlüssel wurden um 90 Tage rotiert
- Seit 45 Tagen nicht verwendete Anmeldedaten deaktiviert
- VPC der Standardsicherheitsgruppe schränkt den gesamten Traffic ein
- EC2-Instanz ohne öffentliche IP-Adresse
- IAM-Passwortrichtlinie
- Die IAM-Passwortrichtlinie verhindert die Wiederverwendung von Passwörtern
- Die IAM-Passwortrichtlinie erfordert eine Mindestlänge von 14 Zeichen
- Prüfung auf nicht verwendete Anmeldedaten von IAM-Nutzern
- IAM-Nutzer erhalten Berechtigungsgruppen
- KMS-cmk nicht zum Löschen vorgemerkt
- Aktivierte S3-Buckets zum Löschen von MFA
- Root-Nutzerkonto mit aktivierter MFA
- Multi-Faktor-Authentifizierung (MFA) für alle IAM-Nutzer in der Konsole aktiviert
- Kein Zugriffsschlüssel für Root-Nutzerkonto vorhanden
- Keine Sicherheitsgruppen lassen eingehenden Traffic von 0 Remote-Serververwaltung zu
- Keine Sicherheitsgruppen lassen eingehenden Traffic von 0 0 0 0 an Remote-Serververwaltung zu
- Ein aktiver Zugriffsschlüssel für jeden einzelnen IAM-Nutzer verfügbar
- Öffentlicher Zugriff gegebene RDS-Instanz
- Eingeschränkte allgemeine Ports
- Eingeschränktes SSH
- Rotation für vom Kunden erstelltes CMKS aktiviert
- Rotation für vom Kunden erstellte symmetrische CMKS aktiviert
- S3-Buckets mit konfiguriertem Blockieren des öffentlichen Zugriffs auf Bucket-Einstellungen
- S3-Bucket-Richtlinie zum Ablehnen von HTTP-Anfragen festgelegt
- S3-Standardverschlüsselung in KMS
- VPC-Standardsicherheitsgruppe geschlossen
Unterstützung der Benutzeroberfläche
Sie können entweder Security Command Center in der Google Cloud Console oder die Security Command Center API verwenden, um mit Angriffsbewertungen zu arbeiten.
Konfigurationen für Ressourcenwerte können Sie jedoch nur auf dem Tab Simulationen des Angriffspfads auf der Seite Einstellungen von Security Command Center in der Google Cloud Console erstellen.