En esta página, se muestra cómo crear, editar, borrar y ver configuraciones de valor de recurso.
Usa los parámetros de configuración de valor de recursos para crear tu conjunto de recursos de alto valor. Tu conjunto de recursos de alto valor determina cuáles de tus instancias de recursos (denominadas recursos) las simulaciones de rutas de ataque consideran recursos de alto valor.
Puedes definir configuraciones de valores de recursos para los recursos de Google Cloud o, si tienes el nivel empresarial de Security Command Center, para los recursos de los otros proveedores de servicios en la nube a los que está conectado Security Command Center.
Cuando se ejecutan las simulaciones de rutas de ataque, estas identifican las rutas de ataque y
calculan las puntuaciones de exposición a ataques para los recursos designados como
recursos de alto valor y para los hallazgos de clase Vulnerability
, clase Misconfiguration
y clase Toxic combination
.
Las simulaciones de las rutas de ataque se pueden ejecutar hasta cuatro veces al día (cada seis horas). A medida que tu organización crece, las simulaciones tardan más, pero siempre se ejecutarán al menos una vez al día. La creación, modificación o borradura de recursos o configuraciones de valor de recursos no activa las ejecuciones de simulación.
Para obtener una introducción a los conjuntos de recursos de alto valor y las configuraciones de valor de los recursos, consulta Conjuntos de recursos de alto valor.
Antes de comenzar
Para obtener los permisos que necesitas para ver y trabajar con las configuraciones de valores de recursos, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu organización:
-
Editor de configuración de valores de recursos (
roles/securitycenter.resourceValueConfigEditor
) -
Visualizador de configuración de valores de recursos (
roles/securitycenter.resourceValueConfigsViewer
) -
Editor de configuración del centro de seguridad (
roles/securitycenter.settingsEditor
)
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
Crear una configuración del valor de recurso
Para crear configuraciones de valores de recursos, usa la pestaña Simulación de ruta de ataque en la página Configuración de Security Command Center en la consola de Google Cloud.
Para crear una configuración de valor de recurso, haz clic en la pestaña de tu proveedor de servicios en la nube y sigue los pasos:
Google Cloud
Ve a la página Simulación de rutas de ataque en la Configuración de Security Command Center:
Selecciona tu organización. Se abrirá la página Simulación de ruta de ataque.
Haz clic en Crear configuración nueva. Se abrirá el panel Crear configuración de valor del recurso.
En el campo Nombre, especifica un nombre para esta configuración de valor de recurso.
Opcional: Ingresa una descripción de la configuración.
En Proveedor de nube, selecciona Google Cloud.
En el campo Seleccionar alcance, haz clic en Seleccionar y usa el navegador de proyectos para seleccionar un proyecto, una carpeta o la organización. Esta configuración solo se aplica a las instancias de recursos en el alcance especificado.
En el campo Seleccionar tipo de recurso, haz clic en el campo para mostrar el menú desplegable y selecciona un tipo de recurso o Cualquier. La configuración se aplica a las instancias del tipo de recurso especificado o, si seleccionas Cualquier, a las instancias de todos los tipos de recursos admitidos. Any es el valor predeterminado.
Opcional: En la sección Etiqueta, haz clic en Agregar etiqueta para especificar una o más etiquetas. Cuando se especifica una etiqueta, la configuración solo se aplica a los recursos que incluyen la etiqueta en sus metadatos.
Si aplicas una etiqueta nueva a cualquier recurso, puede tardar varias horas antes de que esté disponible para que una configuración la coincida.
Opcional: En la sección Etiqueta, haz clic en Agregar etiqueta para especificar una o más etiquetas. Cuando se especifica una etiqueta, la configuración solo se aplica a los recursos que incluyen la etiqueta en sus metadatos.
Si defines una etiqueta nueva para algún recurso, puede tardar varias horas antes de que esté disponible para que una configuración la coincida.
Para establecer el valor de prioridad de los recursos que coincidan, especifica una de las siguientes opciones:
Opcional: Si usas el servicio de descubrimiento de Sensitive Data Protection, habilita Security Command Center para que establezca automáticamente el valor de prioridad de los recursos de datos compatibles según las clasificaciones de sensibilidad de los datos de Sensitive Data Protection:
- Haz clic en el control deslizante junto a Incluir estadísticas de descubrimiento de Sensitive Data Protection.
- En el primer campo Assign resource value, selecciona el valor de prioridad que se asignará a los recursos coincidentes que contengan datos de alta sensibilidad.
- En el segundo campo Assign resource value, selecciona el valor de prioridad que se asignará a los recursos coincidentes que contengan datos de sensibilidad intermedia.
En el campo Seleccionar valor de recurso, selecciona un valor para asignar a las instancias de recursos. Este valor es relativo a las otras instancias de recursos de tu conjunto de recursos de alto valor. El valor se usa durante el cálculo de las puntuaciones de exposición a ataques.
Haz clic en Guardar.
AWS
Para que Security Command Center pueda mostrar puntuaciones de exposición a ataques y rutas de ataque para los recursos que especifiques en una configuración de valor de recurso, Security Command Center debe estar conectado a AWS. Para obtener más información, consulta Compatibilidad con varias nubes.
Ve a la página Simulación de rutas de ataque en la Configuración de Security Command Center:
Selecciona tu organización. Se abrirá la página Simulación de ruta de ataque.
Haz clic en Crear configuración nueva. Se abrirá el panel Crear configuración de valor del recurso.
En el campo Nombre, especifica un nombre para esta configuración de valor de recurso.
Opcional: Ingresa una descripción de la configuración.
En Proveedor de servicios en la nube, selecciona Amazon Web Services.
Opcional: En el campo Account ID, ingresa un ID de cuenta de AWS de 12 dígitos. Si no se especifica, la configuración del valor del recurso se aplica a todas las cuentas de AWS que se especifican en la configuración de conexión de AWS.
Opcional: En el campo Región, ingresa una región de AWS. Por ejemplo,
us-east-1
Si no se especifica, la configuración del valor del recurso se aplica a todas las regiones de AWS.En el campo Seleccionar tipo de recurso, haz clic en el campo para mostrar el menú desplegable y selecciona un tipo de recurso o Cualquier. La configuración se aplica a las instancias del tipo de recurso especificado o, si seleccionas Cualquier, a las instancias de todos los tipos de recursos de AWS admitidos. Any es el valor predeterminado.
Opcional: En la sección Etiqueta, haz clic en Agregar etiqueta para especificar una o más etiquetas. Cuando se especifica una etiqueta, la configuración solo se aplica a los recursos que incluyen la etiqueta en sus metadatos.
Si defines una etiqueta nueva para algún recurso, puede tardar varias horas antes de que esté disponible para que una configuración la coincida.
Para establecer el valor de prioridad de los recursos que coinciden, especifica una de las siguientes opciones:
Opcional: Si usas el servicio de descubrimiento de Sensitive Data Protection, habilita Security Command Center para que establezca automáticamente el valor de prioridad de los recursos de datos de AWS compatibles según las clasificaciones de sensibilidad de los datos de Sensitive Data Protection:
- Haz clic en el control deslizante junto a Incluir estadísticas de descubrimiento de Sensitive Data Protection.
- En el primer campo Assign resource value, selecciona el valor de prioridad que se asignará a los recursos coincidentes que contengan datos de alta sensibilidad.
- En el segundo campo Assign resource value, selecciona el valor de prioridad que se asignará a los recursos coincidentes que contengan datos de sensibilidad intermedia.
En el campo Seleccionar valor de recurso, selecciona un valor para asignar a las instancias de recursos. Este valor es relativo a las otras instancias de recursos de tu conjunto de recursos de alto valor. El valor se usa durante el cálculo de las puntuaciones de exposición a ataques.
Haz clic en Guardar.
La configuración nueva se refleja en las puntuaciones de exposición a los ataques y las rutas de ataque solo después de que se ejecuta la siguiente simulación de ruta de ataque.
Cuando veas el conjunto de recursos de alto valor, podrás ver las configuraciones de valor de los recursos que coinciden con los recursos del conjunto. Para obtener más información, consulta Cómo ver las configuraciones que coinciden con un recurso de alto valor.
Cómo editar una configuración
Excepto por el nombre, puedes actualizar cualquier especificación en una configuración de valor de recurso.
En estos pasos, se supone que conoces el nombre de la configuración del valor del recurso que deseas editar. Si solo conoces el nombre del recurso relevante, consulta Cómo ver las configuraciones que coinciden con un recurso de alto valor.
Para actualizar una configuración de valor de recurso existente, sigue estos pasos:
Ve a la página Simulación de rutas de ataque en la Configuración de Security Command Center:
Selecciona tu organización. Se abrirá la página Simulación de ruta de ataque con las configuraciones existentes.
En la columna Nombre de configuración, haz clic en el nombre de la configuración que necesitas actualizar. Se abrirá la página Edita la configuración de valor del recurso.
Actualiza las especificaciones en la configuración según sea necesario.
Opcional: Haz clic en Obtener vista previa de los recursos coincidentes para ver cuántos recursos coinciden con la configuración actualizada y una lista de las instancias de recursos coincidentes individuales.
Haz clic en Guardar.
Los cambios se reflejan en las puntuaciones de exposición a los ataques y las rutas de ataque solo después de que se ejecuta la siguiente simulación de ruta de ataque.
Cómo borrar una configuración
Para borrar la configuración de un valor de recurso, sigue estos pasos:
Ve a la página Simulación de rutas de ataque en la Configuración de Security Command Center:
Selecciona tu organización. Se abrirá la página Simulación de ruta de ataque.
En Parámetros de configuración de valores de recursos, en el lado derecho de la fila de la configuración que necesitas borrar, haz clic en los puntos verticales para mostrar el menú de acciones. Si no ves los puntos verticales, desplázate hacia la derecha.
En el menú de acciones que se muestra, selecciona Borrar.
En el cuadro de diálogo de confirmación, selecciona Confirmar.
Se borrará la configuración.
Cómo ver una configuración
Puedes ver todas las configuraciones de valor de recursos existentes en la página Simulación de rutas de ataque en la Configuración de Security Command Center.
Para ver la configuración de un valor de recurso en particular, ve a la página Simulación de ruta de ataque.
Selecciona tu organización. Se abrirá la página Simulación de ruta de ataque.
En Parámetros de configuración de valor de recursos, en la página Simulación de ruta de ataque, scorr la lista de parámetros de configuración de valor de recursos hasta encontrar la configuración que necesitas.
Para ver las propiedades de configuración, haz clic en el nombre de la configuración. Las propiedades se muestran en la página Edita la configuración de valor del recurso.
Cómo ver las configuraciones que coinciden con un recurso de alto valor
Puedes ver todas las configuraciones que coinciden con los recursos que están en el conjunto de recursos de alto valor. Esta función es útil si deseas revisar las reglas que determinaron los valores de los recursos de tu conjunto de recursos de alto valor.
Para ver las configuraciones que coinciden con un recurso de alto valor, sigue estos pasos:
- Consulta el conjunto de recursos de alto valor.
- Busca el recurso cuyas configuraciones deseas ver. Las configuraciones que coinciden con ese recurso se enumeran en la columna Parámetros de configuración que coinciden. Las configuraciones se enumeran en orden descendente
según el valor del recurso que se le asigna al recurso:
High
,Medium
oLow
. Para ver las propiedades de una configuración, haz clic en su nombre. Las propiedades se muestran en la página Edita la configuración de valor del recurso.
Una configuración que se borró recientemente permanece visible, pero no se puede hacer clic en ella, hasta que se ejecuta la siguiente simulación de ruta de ataque.
Opcional: Edita la configuración y haz clic en Guardar.
Soluciona problemas
Si recibes errores después de crear, editar o borrar configuraciones de valor de recurso, sigue estos pasos para verificar los resultados de la clase SCC Error
en la consola de Google Cloud:
Ve a la página Resultados en la consola de Google Cloud:
En el panel Filtros rápidos, desplázate hasta la sección Finding class y selecciona SCC Error.
En el panel Resultados de la búsqueda de resultados, busca los siguientes resultados
SCC Error
y haz clic en el nombre de la categoría:APS no resource value configs match any resources
APS resource value assignment limit exceeded
Se abrirá el panel de detalles del resultado.
En el panel de detalles de los resultados, revisa la información de la sección Próximos pasos.
Para revisar las instrucciones de solución de los resultados de SCC Error
de la simulación de ruta de ataque en la documentación, consulta lo siguiente:
- APS no tiene parámetros de configuración de valores de recursos que coincidan con ningún recurso
- Se superó el límite de asignación de valores de recursos de APS
¿Qué sigue?
Para obtener información sobre cómo trabajar con los resultados de Security Command Center, consulta Cómo revisar y administrar los resultados.