Diese Seite wurde von der Cloud Translation API übersetzt.

Ressourcensatz mit hohem Wert definieren und verwalten

Auf dieser Seite wird beschrieben, wie Sie Konfigurationen für Ressourcenwerte erstellen, bearbeiten, löschen und ansehen.

Verwenden Sie Konfigurationen für den Wert von Ressourcen, um Ihren Satz hochwertiger Ressourcen zu erstellen. Mit der Gruppe Ihrer hochwertigen Ressourcen wird festgelegt, welche Ihrer Ressourceninstanzen (als Ressourcen bezeichnet) bei den Angriffspfadsimulationen als hochwertige Ressourcen berücksichtigt werden.

Sie können Konfigurationen für den Ressourcenwert für die Ressourcen inGoogle Cloud definieren oder, wenn Sie die Enterprise-Version von Security Command Center haben, für Ressourcen der anderen Cloud-Dienstanbieter, mit denen Security Command Center verbunden ist.

Bei der Ausführung von Angriffspfadsimulationen werden Angriffspfade identifiziert und Angriffsrisikobewertungen für Ressourcen berechnet, die als hochwertige Ressourcen ausgewiesen sind, sowie für Ergebnisse der Klassen Vulnerability, Misconfiguration und Toxic combination.

Angriffspfadsimulationen werden etwa alle sechs Stunden ausgeführt. Wenn Ihre Organisation wächst, dauern Simulationen länger, sie werden aber immer mindestens einmal täglich ausgeführt. Simulationsläufe werden nicht durch das Erstellen, Ändern oder Löschen von Ressourcen oder Konfigurationen für den Wert von Ressourcen ausgelöst.

Eine Einführung in Gruppen hochwertiger Ressourcen und Konfigurationen von Ressourcenwerten finden Sie unter Gruppen hochwertiger Ressourcen.

Hinweise

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihre Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Aufrufen und Bearbeiten von Konfigurationen für Ressourcenwerte benötigen:

Bearbeiter der Konfiguration von Ressourcenwerten (roles/securitycenter.resourceValueConfigEditor)
Betrachter für die Konfiguration von Ressourcenwerten (roles/securitycenter.resourceValueConfigsViewer)
Bearbeiter von Sicherheitscenter-Einstellungen (roles/securitycenter.settingsEditor)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Konfiguration für den Wert von Ressourcen erstellen

Sie erstellen Konfigurationen für den Wert von Ressourcen auf dem Tab Angriffspfadsimulation auf der Seite Einstellungen von Security Command Center in der Google Cloud Console.

Klicken Sie zum Erstellen einer Konfiguration für Ressourcenwerte auf den Tab für Ihren Cloud-Anbieter und folgen Sie der Anleitung:

Google Cloud

Rufen Sie im Security Command Center die Seite Einstellungen für Angriffspfadsimulation auf:

Zu Angriffspfadsimulationen
Wählen Sie Ihre Organisation aus. Die Seite Angriffspfadsimulation wird geöffnet.
Klicken Sie auf Neue Konfiguration erstellen. Der Bereich Konfiguration für Ressourcenwert erstellen wird geöffnet.
Geben Sie im Feld Name einen Namen für diese Konfiguration des Ressourcenwerts an.
Optional: Geben Sie eine Beschreibung der Konfiguration ein.
Wählen Sie unter Cloud-Anbieter die Option Google Cloud aus.
Klicken Sie im Feld Bereich auswählen auf Auswählen und wählen Sie im Projektbrowser ein Projekt, einen Ordner oder die Organisation aus. Diese Konfiguration gilt nur für Ressourceninstanzen im angegebenen Bereich.
Klicken Sie auf das Feld Ressourcentyp auswählen und wählen Sie dann einen Ressourcentyp oder Beliebig aus. Die Konfiguration gilt für Instanzen des ausgewählten Ressourcentyps oder, wenn Sie Beliebig auswählen, für Instanzen aller unterstützten Ressourcentypen. Standardmäßig ist Beliebig ausgewählt.

Hinweis :Wenn Sie Beliebig auswählen und die Option Erkennungsdaten aus Sensitive Data Protection einbeziehen aktivieren, legt das System für alle unterstützten Ressourcen
automatisch Ressourcenwerte basierend auf den Klassifizierungen der Datenvertraulichkeit aus Sensitive Data Protection fest.
Optional: Klicken Sie im Bereich Label auf Label hinzufügen, um ein oder mehrere Labels anzugeben. Wenn ein Label angegeben ist, wird die Konfiguration nur auf Ressourcen angewendet, die das Label in ihren Metadaten enthalten.

Wenn Sie ein neues Label auf Ressourcen anwenden, kann es mehrere Stunden dauern, bis das Label für den Abgleich durch eine Konfiguration verfügbar ist.
Optional: Klicken Sie im Bereich Tag auf Tag hinzufügen, um ein oder mehrere Tags anzugeben. Wenn ein Tag angegeben ist, gilt die Konfiguration nur für Ressourcen, die das Tag in ihren Metadaten enthalten.

Wenn Sie ein neues Tag für eine Ressource definieren, kann es mehrere Stunden dauern, bis das Tag für den Abgleich durch eine Konfiguration verfügbar ist.
Legen Sie den Prioritätswert für die übereinstimmenden Ressourcen fest, indem Sie eine der folgenden Optionen angeben:
- Optional: Wenn Sie den Sensitive Data Protection-Erkennungsdienst verwenden, können Sie Security Command Center so konfigurieren, dass der Prioritätswert von unterstützten Datenressourcen automatisch auf Grundlage von Klassifizierungen der Datenvertraulichkeit aus Sensitive Data Protection festgelegt wird:
  1. Klicken Sie auf den Schieberegler neben Erkennungsdaten aus Sensitive Data Protection einschließen.
  2. Wählen Sie im ersten Feld Ressourcenwert zuweisen den Prioritätswert aus, der entsprechenden Ressourcen zugewiesen werden soll, die Daten mit hoher Vertraulichkeit enthalten.
  3. Wählen Sie im zweiten Feld Ressourcenwert zuweisen den Prioritätswert aus, der entsprechenden Ressourcen zugewiesen werden soll, die Daten mit mittlerer Vertraulichkeit enthalten.
- Wählen Sie im Feld Ressourcenwert zuweisen einen Wert aus, der den Ressourceninstanzen zugewiesen werden soll. Dieser Wert ist relativ zu den anderen Ressourceninstanzen in der Gruppe Ihrer hochwertigen Ressourcen. Der Wert wird bei der Berechnung von Angriffsrisikobewertungen verwendet.
Klicken Sie auf Speichern.

AWS

Bevor Security Command Center Angriffsrisikobewertungen und Angriffspfade für die Ressourcen generieren kann, die Sie in einer Ressourcenwertkonfiguration angeben, muss Security Command Center mit AWS verbunden sein. Weitere Informationen finden Sie unter Multicloud-Support.

Rufen Sie im Security Command Center die Seite Einstellungen für Angriffspfadsimulation auf:

Zu Angriffspfadsimulationen
Wählen Sie Ihre Organisation aus. Die Seite Angriffspfadsimulation wird geöffnet.
Klicken Sie auf Neue Konfiguration erstellen. Der Bereich Konfiguration für Ressourcenwert erstellen wird geöffnet.
Geben Sie im Feld Name einen Namen für diese Konfiguration des Ressourcenwerts an.
Optional: Geben Sie eine Beschreibung der Konfiguration ein.
Wählen Sie unter Cloud-Anbieter die Option Amazon Web Services aus.
Optional: Geben Sie im Feld Konto-ID eine 12‑stellige AWS-Konto-ID ein. Wenn keine Angabe erfolgt, gilt die Konfiguration des Ressourcenwerts für alle AWS-Konten, die in der AWS-Verbindungskonfiguration angegeben sind.
Optional: Geben Sie im Feld Region eine AWS-Region ein. Beispiel: us-east-1 Wenn nichts angegeben ist, gilt die Konfiguration des Ressourcenwerts für alle AWS-Regionen.
Klicken Sie auf das Feld Ressourcentyp auswählen und wählen Sie einen Ressourcentyp oder Beliebig aus. Die Konfiguration gilt für Instanzen des ausgewählten Ressourcentyps oder, wenn Sie Beliebig auswählen, für alle unterstützten Ressourcentypen. Standardmäßig ist Beliebig ausgewählt.

Hinweis :Wenn Sie Beliebig auswählen und die Option Erkennungsdaten aus Sensitive Data Protection einbeziehen aktivieren, werden für alle unterstützten AWS-Ressourcen>
automatisch Ressourcenwerte basierend auf den Vertraulichkeitseinstufungen von Daten aus Sensitive Data Protection festgelegt.
Optional: Klicken Sie im Bereich Tag auf Tag hinzufügen, um ein oder mehrere Tags anzugeben. Wenn Sie ein Tag definieren, werden vom Connector nur Ressourcen gescannt, die das Tag in ihren Metadaten enthalten.

Wenn Sie ein neues Tag für eine Ressource definieren, kann es mehrere Stunden dauern, bis das Tag für den Abgleich durch eine Konfiguration verfügbar ist.
Wählen Sie im Feld Ressourcenwert zuweisen einen Prioritätswert für die übereinstimmenden Ressourcen aus, indem Sie eine der folgenden Optionen angeben:
- Optional: Wenn Sie den Dienst zur Erkennung sensibler Daten verwenden, aktivieren Sie Security Command Center, um den Prioritätswert von unterstützten AWS-Datenressourcen automatisch auf Grundlage von Klassifizierungen der Datenvertraulichkeit aus dem Dienst zum Schutz sensibler Daten festzulegen:
  1. Klicken Sie auf den Schieberegler neben Erkennungsdaten aus Sensitive Data Protection einschließen.
  2. Wählen Sie im ersten Feld Ressourcenwert zuweisen den Prioritätswert aus, der entsprechenden Ressourcen zugewiesen werden soll, die Daten mit hoher Vertraulichkeit enthalten.
  3. Wählen Sie im zweiten Feld Ressourcenwert zuweisen den Prioritätswert aus, der entsprechenden Ressourcen zugewiesen werden soll, die Daten mit mittlerer Vertraulichkeit enthalten.
- Wählen Sie im Feld Ressourcenwert zuweisen einen Wert aus, der den Ressourceninstanzen zugewiesen werden soll. Dieser Wert ist relativ zu anderen Ressourceninstanzen in der Gruppe Ihrer hochwertigen Ressourcen. Der Wert wird bei der Berechnung von Angriffsrisikobewertungen verwendet.
Klicken Sie auf Speichern.

Azure

Bevor Security Command Center Angriffsrisikobewertungen und Angriffspfade für die Azure-Ressourcen generieren kann, die Sie in einer Ressourcenwertkonfiguration angeben, muss Security Command Center mit Azure verbunden sein. Weitere Informationen finden Sie unter Multicloud-Support.

Rufen Sie im Security Command Center die Seite Einstellungen für Angriffspfadsimulation auf:

Zu Angriffspfadsimulationen
Wählen Sie Ihre Organisation aus. Die Seite Angriffspfadsimulation wird geöffnet.
Klicken Sie auf Neue Konfiguration erstellen. Der Bereich Konfiguration für Ressourcenwert erstellen wird geöffnet.
Geben Sie im Feld Name einen Namen für diese Konfiguration des Ressourcenwerts an.
Optional: Geben Sie unter Beschreibung eine Beschreibung der Konfiguration ein.
Wählen Sie unter Cloud-Anbieter die Option Microsoft Azure aus.
Optional: Geben Sie unter Abo-ID eine 36-stellige Azure-Abo-ID ein. Wenn nicht angegeben, gilt die Ressourcenwertkonfiguration für alle Abos, die in der Azure-Connector-Konfiguration angegeben sind.
Optional: Wählen Sie im Feld Standort auswählen einen Azure-Standort aus, z. B. East US 2. Wenn Sie keinen Standort festlegen, gilt die Ressourcenwertkonfiguration für alle Standorte, die in der Azure-Connector-Konfiguration angegeben sind.
Klicken Sie auf Ressourcentyp auswählen und wählen Sie dann einen Ressourcentyp oder Beliebig aus. Die Konfiguration gilt für Instanzen des ausgewählten Ressourcentyps oder, wenn Sie Beliebig auswählen, für alle unterstützten Ressourcentypen. Standardmäßig ist Beliebig ausgewählt.
Optional: Klicken Sie im Bereich Tag auf Tag hinzufügen, um ein oder mehrere Tags anzugeben. Wenn ein Tag angegeben ist, gilt die Konfiguration nur für Ressourcen, die das Tag in ihren Metadaten enthalten.

Wenn Sie ein neues Tag für eine Ressource definieren, kann es mehrere Stunden dauern, bis das Tag für den Abgleich durch eine Konfiguration verfügbar ist.
Wählen Sie im Feld Ressourcenwert zuweisen einen Prioritätswert aus.
Klicken Sie auf Speichern.

Die neue Konfiguration wird erst nach der nächsten Simulation von Angriffspfaden in den Werten für die Gefährdung durch Angriffe und in den Angriffspfaden berücksichtigt.

Wenn Sie sich den Satz hochwertiger Ressourcen ansehen, sehen Sie die Konfigurationen für den Wert von Ressourcen, die den Ressourcen im Satz entsprechen. Weitere Informationen finden Sie unter Konfigurationen ansehen, die einer wertvollen Ressource entsprechen.

Informationen zum Konfigurieren des Schutzes sensibler Daten zum Senden von Datenvertraulichkeitsklassifizierungen an Security Command Center finden Sie in der Dokumentation zum Schutz sensibler Daten unter Datenprofile in Security Command Center veröffentlichen.

Konfiguration bearbeiten

Mit Ausnahme des Namens können Sie jede Spezifikation in einer Konfiguration für Ressourcenwerte aktualisieren.

Bei diesen Schritten wird davon ausgegangen, dass Sie den Namen der Ressourcenwertkonfiguration kennen, die Sie bearbeiten möchten. Wenn Sie nur den Namen der relevanten Ressource kennen, lesen Sie stattdessen Konfigurationen ansehen, die einer Ressource mit hohem Wert entsprechen.

So aktualisieren Sie eine vorhandene Konfiguration für Ressourcenwerte:

Rufen Sie im Security Command Center die Seite Einstellungen für Angriffspfadsimulation auf:

Zu Angriffspfadsimulationen
Wählen Sie Ihre Organisation aus. Die Seite Angriffspfadsimulation wird geöffnet und die vorhandenen Konfigurationen werden angezeigt.
Klicken Sie in der Spalte Konfigurationsname auf den Namen der Konfiguration, die Sie aktualisieren möchten. Die Seite Konfiguration für Ressourcenwert bearbeiten wird geöffnet.
Aktualisieren Sie die Spezifikationen in der Konfiguration nach Bedarf.
Optional: Klicken Sie auf Vorschau übereinstimmender Ressourcen, um zu sehen, wie viele Ressourcen mit der aktualisierten Konfiguration übereinstimmen, und eine Liste der einzelnen übereinstimmenden Ressourceninstanzen aufzurufen.
Klicken Sie auf Speichern.

Die Änderungen werden erst nach der nächsten Simulation des Angriffspfads in den Angriffsrisikobewertungen und Angriffspfaden berücksichtigt.

Konfiguration löschen

So löschen Sie eine Konfiguration für Ressourcenwerte:

Rufen Sie im Security Command Center die Seite Einstellungen für Angriffspfadsimulation auf:

Zu Angriffspfadsimulationen
Wählen Sie Ihre Organisation aus. Die Seite Angriffspfadsimulation wird geöffnet.
Klicken Sie rechts in der Zeile für die Konfiguration, die Sie löschen möchten, unter Konfigurationen für Ressourcenwerte auf die vertikalen Punkte, um das Aktionsmenü aufzurufen. Wenn Sie die vertikalen Punkte nicht sehen, scrollen Sie nach rechts.
Wählen Sie im angezeigten Aktionsmenü die Option Löschen aus.
Wählen Sie im Bestätigungsdialogfeld Bestätigen aus.

Die Konfiguration wird gelöscht.

Konfiguration ansehen

Sie können alle vorhandenen Konfigurationen für den Wert von Ressourcen auf der Seite Angriffspfadsimulation in den Einstellungen von Security Command Center ansehen.

So rufen Sie eine bestimmte Konfiguration für den Wert von Ressourcen auf:

Zu Angriffspfadsimulationen
Wählen Sie Ihre Organisation aus. Die Seite Angriffspfadsimulation wird geöffnet.
Suchen Sie auf der Seite Angriffspfadsimulation unter Konfigurationen für den Wert von Ressourcen in der Liste der Konfigurationen für den Wert von Ressourcen nach der gewünschten Konfiguration.
Klicken Sie auf den Namen der Konfiguration, um die Konfigurationseigenschaften aufzurufen. Die Attribute werden auf der Seite Konfiguration für Ressourcenwert bearbeiten angezeigt.

Konfigurationen ansehen, die einer hochwertigen Ressource entsprechen

Sie können alle Konfigurationen ansehen, die den Ressourcen in der Gruppe mit Ressourcen mit hohem Wert entsprechen. Diese Funktion ist nützlich, wenn Sie die Regeln überprüfen möchten, die die Ressourcenwerte Ihrer Gruppe hochwertiger Ressourcen bestimmt haben.

So rufen Sie die Konfigurationen auf, die einer wichtigen Ressource entsprechen:

Hochwertige Ressourcen ansehen
Suchen Sie die Ressource, deren Konfigurationen Sie aufrufen möchten. Die übereinstimmenden Konfigurationen für diese Ressource werden in der Spalte Übereinstimmende Konfigurationen aufgeführt. Die Konfigurationen werden in absteigender Reihenfolge nach dem Ressourcenwert aufgeführt, der der Ressource zugewiesen ist: High, Medium oder Low.
Klicken Sie auf den Namen einer Konfiguration, um ihre Eigenschaften aufzurufen. Die Attribute werden auf der Seite Konfiguration für Ressourcenwert bearbeiten angezeigt.

Eine Konfiguration, die vor Kurzem gelöscht wurde, bleibt bis zur nächsten Simulation von Angriffspfaden sichtbar, ist aber nicht anklickbar.
Optional: Bearbeiten Sie die Konfiguration und klicken Sie auf Speichern.

Fehlerbehebung

Wenn nach dem Erstellen, Bearbeiten oder Löschen von Konfigurationen für Ressourcenwerte Fehler auftreten, suchen Sie in derGoogle Cloud -Konsole nach Ergebnissen der Klasse SCC Error. Gehen Sie dazu so vor:

Rufen Sie in der Google Cloud Console die Seite Ergebnisse auf:

Zu Ergebnissen
Rufen Sie im Bereich Schnellfilter den Abschnitt Klasse der Ergebnisse auf und wählen Sie SCC-Fehler aus.
Sehen Sie sich im Bereich Ergebnisse der Ergebnisabfrage die Ergebnisse an und klicken Sie auf den Kategorienamen der folgenden SCC Error-Ergebnisse:
- APS no resource value configs match any resources
- APS resource value assignment limit exceeded
Der Detailbereich des Ergebnisses wird geöffnet.
Sehen Sie sich im Bereich „Ergebnisdetails“ die Informationen im Abschnitt Nächste Schritte an.

Anleitung zur Behebung der Probleme, die bei der Angriffspfadsimulation für SCC Error-Ergebnisse gefunden wurden, finden Sie in der Dokumentation:

Nächste Schritte

Informationen zum Arbeiten mit Security Command Center-Ergebnissen finden Sie unter Ergebnisse prüfen und verwalten.