En esta página se describen los servicios y los resultados que admite la función Risk Engine de Security Command Center, así como los límites de compatibilidad a los que está sujeta.
Risk Engine genera puntuaciones de exposición a ataques y simulaciones de rutas de ataque para lo siguiente:
- Categorías de resultados admitidas en
VulnerabilityyMisconfigurationclases de resultados. Toxic combinationavisos sobre clases.Chokepointavisos sobre clases.- Instancias de recursos de tipos de recursos admitidos que designes como de alto valor. Para obtener más información, consulta Tipos de recursos admitidos en conjuntos de recursos de alto valor.
Security Command Center puede proporcionar puntuaciones de exposición a ataques y visualizaciones de rutas de ataque para varias plataformas de proveedores de servicios en la nube. La compatibilidad con los detectores varía en función del proveedor de servicios en la nube. Risk Engine depende de detectores de vulnerabilidades y errores de configuración específicos de cada proveedor de servicios en la nube. En las siguientes secciones se describen los recursos admitidos para cada proveedor de servicios en la nube.
Solo asistencia a nivel de organización
Las simulaciones de rutas de ataque que usa Risk Engine para generar las puntuaciones de exposición a ataques y las rutas de ataque requieren que Security Command Center esté activado a nivel de organización. Las simulaciones de rutas de ataque no se admiten con las activaciones a nivel de proyecto de Security Command Center.
Para ver las rutas de ataque, la vista de la consola de Google Cloud debe estar configurada en tu organización. Si selecciona una vista de proyecto o de carpeta en la consola, puede ver las puntuaciones de exposición a ataques, pero no las rutas de ataque.Google Cloud
Además, los permisos de gestión de identidades y accesos que necesitan los usuarios para ver las rutas de ataque deben concederse a nivel de organización. Como mínimo, los usuarios deben tener el permiso securitycenter.attackpaths.list en un rol concedido a nivel de organización. El rol de gestión de identidades y accesos predefinido con menos permisos que contiene este permiso es Lector de rutas de ataque de Security Center (securitycenter.attackPathsViewer).
Para ver otros roles que contienen este permiso, consulta la referencia de roles básicos y predefinidos de gestión de identidades y accesos.
Límites de tamaño para organizaciones
En las simulaciones de rutas de ataque, Risk Engine limita el número de recursos y resultados activos que puede contener una organización.
Si una organización supera los límites que se muestran en la siguiente tabla, no se ejecutarán simulaciones de ruta de ataque.
| Tipo de límite | Límite de uso |
|---|---|
| Número máximo de resultados activos | 250.000.000 |
| Número máximo de recursos activos | 26.000.000 |
Si los recursos, las detecciones o ambos de tu organización se acercan a estos límites o los superan, ponte en contacto con el equipo de Atención al Cliente de Cloud para solicitar una evaluación de tu organización y determinar si se pueden aumentar.
Límites de conjuntos de recursos de alto valor
Un conjunto de recursos de alto valor solo admite determinados tipos de recursos y solo puede contener un número concreto de instancias de recursos.
Un conjunto de recursos de alto valor para una plataforma de proveedor de servicios en la nube puede contener hasta 1000 instancias de recursos.
Puede crear hasta 100 configuraciones de valores de recurso por organización en Google Cloud.
Asistencia para la interfaz de usuario
Puedes trabajar con las puntuaciones de exposición a ataques en la Google Cloud consola, la consola de operaciones de seguridad o la API de Security Command Center.
Solo puedes trabajar con las puntuaciones de exposición a ataques y las rutas de ataque de casos de combinación tóxica en la consola de Security Operations.
Solo puedes crear configuraciones de valores de recursos en la pestaña Simulaciones de rutas de ataque de la página Configuración de Security Command Center en la consola de Google Cloud .
Asistencia deGoogle Cloud
En las siguientes secciones se describe la compatibilidad de Risk Engine con Google Cloud.
Servicios deGoogle Cloud compatibles con el motor de riesgos
Las simulaciones que ejecuta Risk Engine pueden incluir los siguientes servicios: Google Cloud
- Artifact Registry
- BigQuery
- Cloud Run Functions
- Cloud Key Management Service
- Cloud Load Balancing
- Cloud NAT
- Cloud Router
- Cloud SQL
- Cloud Storage
- Compute Engine
- Gestión de Identidades y Accesos
- Google Kubernetes Engine
- Nube privada virtual, incluidas las subredes y las configuraciones de cortafuegos
- Resource Manager
Google Cloud Tipos de recursos admitidos en conjuntos de recursos de alto valor
Solo puede añadir los siguientes tipos de Google Cloud recursos a un conjunto de recursos de alto valor:
aiplatform.googleapis.com/Datasetaiplatform.googleapis.com/Featurestoreaiplatform.googleapis.com/MetadataStoreaiplatform.googleapis.com/TrainingPipeline
aiplatform.googleapis.com/Modelartifactregistry.googleapis.com/Repositorybigquery.googleapis.com/Datasetcloudfunctions.googleapis.com/CloudFunctioncompute.googleapis.com/Instance
container.googleapis.com/Cluster
spanner.googleapis.com/Instancesqladmin.googleapis.com/Instancestorage.googleapis.com/Bucket
Google Cloud Tipos de recursos admitidos con clasificaciones de sensibilidad de datos
Las simulaciones de rutas de ataque pueden asignar automáticamente valores de prioridad en función de las clasificaciones de sensibilidad de los datos de Detección de Protección de Datos Sensibles solo para los siguientes tipos de recursos de datos:
aiplatform.googleapis.com/Datasetbigquery.googleapis.com/Datasetsqladmin.googleapis.com/Instancestorage.googleapis.com/Bucket
Categorías de resultados admitidas
Las simulaciones de rutas de ataque generan puntuaciones de exposición a ataques y rutas de ataque solo para las categorías de hallazgos de Security Command Center de los servicios de detección de Security Command Center que se indican en esta sección.
Resultados de la postura de seguridad de GKE
Las simulaciones de rutas de ataque admiten las siguientes categorías de GKE Security Posture findings:
- Vulnerabilidad del SO de tiempo de ejecución de GKE
Resultados de Mandiant Attack Surface Management
Las simulaciones de rutas de ataque admiten las siguientes categorías de resultados de Mandiant Attack Surface Management:
- Vulnerabilidad de software
Resultados del motor de riesgos
La categoría de hallazgo Toxic combination generada por Risk Engine admite puntuaciones de exposición a ataques.
Resultados de VM Manager
La categoría de hallazgos OS Vulnerability que genera Gestor de VMs admite puntuaciones de exposición a ataques.
Compatibilidad con notificaciones de Pub/Sub
Los cambios en las puntuaciones de exposición a ataques no se pueden usar como activador de notificaciones a Pub/Sub.
Además, las detecciones que se envían a Pub/Sub cuando se crean no incluyen una puntuación de exposición a ataques porque se envían antes de que se pueda calcular una puntuación.
Asistencia de AWS
Security Command Center puede calcular las puntuaciones de exposición a ataques y las visualizaciones de rutas de ataque de tus recursos en AWS.
Servicios de AWS compatibles con Risk Engine
Las simulaciones pueden incluir los siguientes servicios de AWS:
- Gestión de identidades y accesos (IAM)
- Servicio de tokens de seguridad (STS)
- Simple Storage Service (S3)
- Cortafuegos de aplicaciones web (WAFv2)
- Elastic Compute Cloud (EC2)
- Elastic Load Balancing (ELB y ELBv2)
- Relational Database Service (RDS)
- Key Management Service (KMS)
- Elastic Container Registry (ECR)
- Elastic Container Service (ECS)
- ApiGateway y ApiGatewayv2
- Organizaciones (servicio de gestión de cuentas)
- CloudFront
- AutoScaling
- Lambda
- DynamoDB
Tipos de recursos de AWS admitidos en conjuntos de recursos de alto valor
Solo puedes añadir los siguientes tipos de recursos de AWS a un conjunto de recursos de alto valor:
- Tabla de DynamoDB
- Instancia de EC2
- Función Lambda
- RDS DBCluster
- RDS DBInstance
- Segmento de S3
Tipos de recursos de AWS admitidos con clasificaciones de confidencialidad de los datos
Las simulaciones de rutas de ataque pueden asignar automáticamente valores de prioridad en función de las clasificaciones de sensibilidad de los datos de Detección de Protección de Datos Sensibles solo para los siguientes tipos de recursos de datos de AWS:
- Segmento de Amazon S3
Buscar asistencia en Security Health Analytics para AWS
Risk Engine proporciona puntuaciones y visualizaciones de rutas de ataque para las siguientes categorías de resultados de Security Health Analytics:
- Claves de acceso rotadas hace 90 días o menos
- Credenciales que no se hayan usado durante 45 días o más inhabilitadas
- El grupo de seguridad predeterminado de la VPC restringe todo el tráfico
- Instancia de EC2 sin IP pública
- Política de contraseñas de gestión de identidades y accesos
- La política de contraseñas de gestión de identidades y accesos impide que se reutilicen las contraseñas
- La política de contraseñas de IAM requiere una longitud mínima de 14 caracteres
- Comprobación de credenciales de usuario de gestión de identidades y accesos sin usar
- Los usuarios de IAM reciben grupos de permisos
- KMS cmk not scheduled for deletion
- Buckets de S3 con la eliminación de MFA habilitada
- Cuenta de usuario raíz con MFA habilitada
- Autenticación multifactor (MFA) habilitada para todos los usuarios de IAM en la consola
- No hay ninguna clave de acceso de la cuenta de usuario raíz
- Ningún grupo de seguridad permite la entrada 0 de administración de servidores remotos
- Ningún grupo de seguridad permite la entrada 0 0 0 0 a la administración de servidores remotos
- Una clave de acceso activa disponible para cada usuario de IAM
- Se ha dado acceso público a la instancia de RDS
- Puertos comunes restringidos
- SSH restringido
- Rotación de CMKs creadas por el cliente habilitada
- Rotación de CMKs simétricas creadas por el cliente habilitada
- Buckets de S3 configurados con la opción de bloqueo de acceso público
- La política de buckets de S3 está configurada para denegar las solicitudes HTTP
- KMS de cifrado predeterminado de S3
- Grupo de seguridad predeterminado de VPC cerrado
Resultados de la evaluación de vulnerabilidades de Amazon Web Services
La categoría de hallazgo Software vulnerability generada por Evaluación de vulnerabilidades de EC2 admite puntuaciones de exposición a ataques.
Soporte de Azure
Risk Engine puede generar puntuaciones de exposición a ataques y visualizaciones de rutas de ataque para tus recursos en Microsoft Azure.
Una vez que haya establecido una conexión con Azure, puede designar recursos de alto valor de Azure creando configuraciones de valor de recursos, como haría con los recursos de Google Cloud y AWS. Para obtener instrucciones, consulta la sección Definir y gestionar tu conjunto de recursos de alto valor.
Antes de crear tu primera configuración de valor de recurso para Azure, Security Command Center usa un conjunto de recursos de alto valor predeterminado que es específico del proveedor de servicios en la nube.
Security Command Center ejecuta simulaciones para una plataforma en la nube que son independientes de las simulaciones que se ejecutan para otras plataformas en la nube.
Servicios de Azure compatibles con el motor de riesgos
Las simulaciones de ruta de ataque pueden incluir los siguientes servicios de Azure:
- App Service
- Servicio Azure Kubernetes (AKS)
- Red virtual
- Container Registry
- Cosmos DB
- Functions
- Key Vault
- Base de datos MySQL
- Grupos de seguridad de red
- Base de datos PostgreSQL
- Control de acceso basado en roles (RBAC)
- Autobús de servicio
- Base de datos SQL
- Cuenta de almacenamiento
- Conjuntos de escalado de máquinas virtuales
- Máquinas virtuales
Tipos de recursos de Azure que puede especificar en conjuntos de recursos de alto valor
Solo puede añadir los siguientes tipos de recursos de Azure a un conjunto de recursos de alto valor:
- Microsoft.Compute/virtualMachines
- VM de Linux
- VM de Windows
- Microsoft.ContainerService/managedClusters
- Clúster de Kubernetes
- Microsoft.DBforMySQL/flexibleServers/databases
- Base de datos MySQL
- Microsoft.DBforPostgreSQL/flexibleServers/databases
- Base de datos PostgreSQL
- Microsoft.DocumentDB/databaseAccounts
- Cuenta de Cosmos DB
- Microsoft.Sql/servers/databases
- Base de datos SQL
- Microsoft.Storage/storageAccounts
- Cuenta de almacenamiento
- Microsoft.Web/sites
- App Service
- Aplicación de funciones
Recursos de Azure incluidos en el conjunto de recursos de alto valor predeterminado
Estos son los recursos incluidos en el conjunto de recursos de alto valor predeterminado:
- Microsoft.Compute/virtualMachines
- VM de Linux
- VM de Windows
- Microsoft.DBforPostgreSQL/flexibleServers/databases
- Base de datos PostgreSQL
- Microsoft.DBforMySQL/flexibleServers/databases
- Base de datos MySQL
- Microsoft.DocumentDB/databaseAccounts
- Cuenta de Cosmos DB
- Microsoft.Sql/servers/databases
- Base de datos SQL
- Microsoft.Storage/storageAccounts
- Cuenta de almacenamiento
- Microsoft.Web/sites
- App Service
- Aplicación de funciones