Cette page décrit les services et les résultats de Security Command Center Risk Engine prend en charge et limite la compatibilité est soumis.
Le moteur de gestion des risques génère des scores et des chemins d'exposition aux attaques suivantes:
- Catégories de résultats acceptées dans
Vulnerability
etMisconfiguration
la recherche de classes. Pour en savoir plus, consultez Catégories de résultats compatibles. - Résultats de la classe
Toxic combination
. - Instances de ressource des types de ressources compatibles que vous désignez comme à forte valeur ajoutée. Pour en savoir plus, consultez Types de ressources compatibles avec les ensembles de ressources à forte valeur
Les sections suivantes répertorient les services et les résultats de Security Command Center compatibles avec Risk Engine.
Assistance au niveau de l'organisation uniquement
Les simulations de chemin d'attaque utilisées par Risk Engine pour générer les scores d'exposition aux attaques les chemins d'attaque nécessitent que Security Command Center soit activé au niveau au niveau de l'organisation. Les simulations de chemin d'attaque ne sont pas compatibles avec les activations au niveau du projet de Security Command Center.
Pour afficher les chemins d'attaque, votre vue de la console Google Cloud doit être définie sur votre organisation. Si vous sélectionnez la vue d'un projet ou d'un dossier dans la console Google Cloud, vous pouvez consulter les scores d'exposition aux attaques, ne peuvent pas voir les chemins d'attaque.
De plus, les autorisations IAM dont les utilisateurs ont besoin pour afficher les chemins d'attaque doivent être accordées au niveau de l'organisation. Au minimum, les utilisateurs
doit disposer de l'autorisation securitycenter.attackpaths.list
dans un rôle
accordées au niveau de l'organisation. Le modèle prédéfini le moins permissif
Le rôle IAM contenant cette autorisation est
Lecteur des chemins d'attaque du centre de sécurité (securitycenter.attackPathsViewer
).
Pour voir les autres rôles qui contiennent cette autorisation, consultez Documentation de référence sur les rôles de base et prédéfinis IAM
Limites de taille pour les organisations
Pour les simulations de chemin d'attaque, le moteur de risque limite le nombre et les résultats actifs qu'une organisation peut contenir.
Si une organisation dépasse les limites indiquées dans le tableau suivant, les simulations de chemin d'attaque ne s'exécutent pas.
Type de limite | Limite d'utilisation |
---|---|
Nombre maximal de résultats actifs | 250 000 000 |
Nombre maximal d'éléments actifs | 26 000 000 |
Si les éléments et/ou les résultats de votre organisation approchent ou de les dépasser, contactez Cloud Customer Care pour demander un une évaluation de votre organisation pour une éventuelle augmentation.
Services Google Cloud inclus dans les simulations de chemin d'attaque
Les simulations exécutées par Risk Engine peuvent inclure les services Google Cloud suivants:
- Artifact Registry
- BigQuery
- Fonctions Cloud Run
- Cloud Key Management Service
- Cloud Load Balancing
- Cloud NAT
- Cloud Router
- Cloud SQL
- Cloud Storage
- Compute Engine
- Identity and Access Management
- Google Kubernetes Engine
- Cloud privé virtuel, y compris les sous-réseaux et les configurations de pare-feu
- Resource Manager
Limites des ensembles de ressources à forte valeur
Un ensemble de ressources à forte valeur n'accepte que certains types de ressources ne contiennent qu'un certain nombre d'instances de ressources.
Limite d'instances pour les ensembles de ressources à forte valeur
Un ensemble de ressources à forte valeur pour une plate-forme de fournisseur de services cloud peut contenir jusqu'à 1 000 instances de ressources.
Types de ressources acceptés dans les ensembles de ressources à forte valeur
Vous ne pouvez ajouter que les types de ressources Google Cloud suivants à un ensemble de ressources à forte valeur:
aiplatform.googleapis.com/Dataset
aiplatform.googleapis.com/Featurestore
aiplatform.googleapis.com/MetadataStore
aiplatform.googleapis.com/Model
aiplatform.googleapis.com/TrainingPipeline
bigquery.googleapis.com/Dataset
cloudfunctions.googleapis.com/CloudFunction
compute.googleapis.com/Instance
container.googleapis.com/Cluster
sqladmin.googleapis.com/Instance
storage.googleapis.com/Bucket
Pour obtenir la liste des types de ressources compatibles avec d'autres fournisseurs de services cloud, consultez la page Assistance du fournisseur de services cloud.
Limite de configuration des valeurs de ressource
Vous pouvez créer jusqu'à 100 configurations de valeurs de ressources par organisation sur Google Cloud.
Types de ressources compatibles avec les classifications de sensibilité des données
Les simulations de chemin d'attaque peuvent définir automatiquement des valeurs de priorité sur la base des classifications de la sensibilité des données issues Protection des données sensibles uniquement pour les types de ressources de données suivants:
bigquery.googleapis.com/Dataset
sqladmin.googleapis.com/Instance
storage.googleapis.com/Bucket
Catégories de résultats compatibles
Les simulations de chemin d'attaque génèrent des scores d'exposition aux attaques et des chemins d'attaque uniquement pour les catégories de résultats Security Command Center Services de détection Security Command Center répertoriés dans cette section.
Résultats de Mandiant Attack Surface Management
Les éléments suivants : Mandiant Attack Surface Management Les catégories de résultats sont compatibles avec les simulations de chemin d'attaque:
- Failles logicielles
Résultats de l'analyse de l'état de la sécurité
Les éléments suivants : Security Health Analytics sont étayés par des simulations de chemin d'attaque sur Google Cloud:
- Compte de service administrateur
- Réparation automatique désactivée
- Mise à niveau automatique désactivée
- Autorisation binaire désactivée
- Stratégie du bucket seulement désactivée
- Accès privé à Google désactivé pour le cluster
- Chiffrement des secrets du cluster désactivé
- Nœuds de cluster protégés désactivés
- Clés SSH Compute autorisées à l'échelle du projet
- Démarrage sécurisé Compute désactivé
- Ports série Compute activés
- COS non utilisé
- Compte de service par défaut utilisé
- Accès complet aux API
- Réseaux autorisés maîtres désactivés
- Authentification multifacteur non appliquée
- Règle de réseau désactivée
- Démarrage sécurisé du pool de nœuds désactivé
- Port Cassandra ouvert
- Port CiscoSecure WebSM ouvert
- Port des services d'annuaire ouvert
- Port DNS ouvert
- Ouvrir le port Elasticsearch
- Pare-feu ouvert
- Port FTP ouvert
- Port HTTP ouvert
- Port LDAP ouvert
- Port Memcached ouvert
- Port MongoDB ouvert
- Port MySQL ouvert
- Port NetBIOS ouvert
- Port OracleDB ouvert
- Ouvrir le port pop3
- Port PostgreSQL ouvert
- Port RDP ouvert
- Port Redis ouvert
- Port SMTP ouvert
- Port SSH ouvert
- Port Telnet ouvert
- Compte possédant trop de privilèges
- Niveaux d'accès possédant trop de privilèges
- Utilisateur du compte de service possédant trop de privilèges
- Rôles primitifs utilisés
- Cluster privé désactivé
- LCA de bucket public
- Adresse IP publique
- Bucket de journaux publics
- Canal de publication désactivé
- Clé de compte de service non alternée
- Clé de compte de service gérée par l'utilisateur
- Workload Identity est désactivé
Résultats du moteur de risque
Catégorie de résultats Toxic combination
émise par
Moteur de gestion des risques
est compatible avec les scores d'exposition aux attaques.
Résultats de VM Manager
Catégorie de résultats OS Vulnerability
émise par
VM Manager
est compatible avec les scores d'exposition aux attaques.
Prise en charge des notifications Pub/Sub
Les modifications apportées aux scores d'exposition aux attaques ne peuvent pas servir de déclencheurs pour envoyer des notifications à Pub/Sub.
Les résultats envoyés à Pub/Sub lors de leur création n'incluent pas de score d'exposition aux attaques, car ils sont envoyés avant un score peut être calculé.
Compatibilité multicloud
Security Command Center peut fournir des scores d'exposition aux attaques et un chemin d'attaque pour les fournisseurs de services cloud suivants:
- Amazon Web Services (AWS)
Compatibilité du détecteur avec d'autres fournisseurs de services cloud
Les détecteurs de vulnérabilités et de mauvaises configurations qui attaquent les simulations de chemin d'accès la compatibilité des plates-formes d'autres fournisseurs de services cloud que les services de détection de Security Command Center acceptent sur la plate-forme.
La compatibilité du détecteur varie selon le fournisseur de services cloud.
Compatibilité avec AWS
Security Command Center peut calculer les scores d'exposition aux attaques pour vos ressources sur AWS.
Services AWS compatibles avec les simulations de chemin d'attaque
Les simulations peuvent inclure les services AWS suivants:
- Identity and Access Management (IAM)
- Service de jetons de sécurité (STS)
- Simple Storage Service (S3)
- Pare-feu d'application Web (WAFv2)
- Elastic Compute Cloud (EC2)
- Équilibrage de charge Elastic (ELB et ELBv2)
- Relational Database Service (RDS)
- Key Management Service (KMS)
- Elastic Container Registry (ECR)
- Elastic Container Service (ECS)
- ApiGateway & ApiGatewayv2
- Organisations (service de gestion de comptes)
- CloudFront
- Autoscaling
- Lambda
- DynamoDB
Types de ressources AWS que vous pouvez spécifier comme ressources de forte valeur
Vous ne pouvez ajouter que les types de ressources AWS suivants à une ressource à forte valeur ensemble de ressources:
- Table DynamoDB
- Instance EC2
- Fonction lambda
- DBCluster RDS
- Instance de base de données RDS
- Bucket S3
Obtenir de l'aide dans Security Health Analytics pour AWS
Les simulations de chemin d'attaque fournissent des scores et des visualisations des chemins d'attaque pour les catégories de résultats suivantes pour l'analyse de l'état de la sécurité:
- Clés d'accès alternées de 90 jours moins
- Identifiants inutilisés pendant 45 jours ou plus
- Le VPC du groupe de sécurité par défaut limite tout le trafic
- Instance EC2 sans adresse IP publique
- Stratégie de mots de passe IAM
- La stratégie de mots de passe IAM empêche la réutilisation des mots de passe
- La stratégie de mot de passe IAM nécessite au moins 14 caractères
- Vérification des identifiants inutilisés des utilisateurs IAM
- Les utilisateurs IAM reçoivent des groupes d'autorisations
- La suppression du client KMS n'est pas planifiée
- Suppression MFA activée dans les buckets S3
- Compte utilisateur racine activé pour la MFA
- Authentification multifacteur (MFA) activée pour tous les utilisateurs IAM dans la console
- Aucune clé d'accès n'existe pour le compte utilisateur racine
- Aucun groupe de sécurité n'autorise l'entrée de 0 vers l'administration du serveur distant
- Aucun groupe de sécurité n'autorise l'entrée de 0 0 0 0 vers l'administration du serveur distant
- Une seule clé d'accès active est disponible pour chaque utilisateur IAM
- Accès public accordé à l'instance RDS
- Ports communs restreints
- SSH restreint
- Rotation des CMKS créée par le client activée
- Rotation des CMK symétriques créées par le client activée
- Buckets S3 configurés avec le paramètre de bucket "Bloquer l'accès public"
- La règle de bucket S3 refuse les requêtes HTTP
- Clé KMS de chiffrement par défaut pour S3
- Groupe de sécurité du VPC par défaut fermé
Résultats de l'évaluation des failles EC2
La catégorie de résultats Software vulnerability
émise par l'évaluation des failles EC2 est compatible avec les scores d'exposition aux attaques.
Compatibilité avec l'interface utilisateur
Vous pouvez utiliser les scores d'exposition aux attaques dans la console Google Cloud, la console Security Operations ou l'API Security Command Center.
Vous pouvez travailler avec des scores d'exposition aux attaques et des chemins d'attaque dans la console Opérations de sécurité uniquement.
Vous ne pouvez créer des configurations de valeurs de ressources que sur le Onglet Simulations de chemin d'attaque des Paramètres de Security Command Center de la console Google Cloud.