Se usó la API de Cloud Translation para traducir esta página.

Define y administra tu conjunto de recursos de alto valor

En esta página, se muestra cómo crear, editar, borrar y ver configuraciones de valores de recursos.

Usa parámetros de configuración de valor de recursos para crear tu conjunto de recursos de alto valor. Tu conjunto de recursos de alto valor determina cuáles de tus instancias de recursos (denominadas recursos) se consideran recursos de alto valor en las simulaciones de rutas de ataque.

Puedes definir parámetros de configuración de valores de recursos para los recursos enGoogle Cloud o, si tienes el nivel Enterprise de Security Command Center, para los recursos en los otros proveedores de servicios en la nube a los que se conecta Security Command Center.

Cuando se ejecutan las simulaciones de rutas de ataque, se identifican las rutas de ataque y se calculan las puntuaciones de exposición a ataques para los recursos designados como recursos de alto valor y para los hallazgos de las clases Vulnerability, Misconfiguration y Toxic combination.

Las simulaciones de rutas de ataque se ejecutan aproximadamente cada seis horas. A medida que tu organización crezca, las simulaciones tardarán más, pero siempre se ejecutarán al menos una vez al día. Las ejecuciones de simulación no se activan con la creación, modificación o eliminación de recursos o configuraciones de valor de recursos.

Para obtener una introducción a los conjuntos de recursos de alto valor y a la configuración de valor de los recursos, consulta Conjuntos de recursos de alto valor.

Antes de comenzar

Para obtener los permisos que necesitas para ver y trabajar con las configuraciones de valores de recursos, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu organización:

Editor de configuración de valores de recursos (roles/securitycenter.resourceValueConfigEditor)
Visualizador de configuración de valores de recursos (roles/securitycenter.resourceValueConfigsViewer)
Editor de configuración del centro de seguridad (roles/securitycenter.settingsEditor)

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.

Crear una configuración del valor de recurso

Para crear parámetros de configuración de valor de recursos, usa la pestaña Simulación de ruta de ataque en la página Configuración de Security Command Center en la consola de Google Cloud .

Para crear una configuración de valor de recurso, haz clic en la pestaña de tu proveedor de servicios en la nube y sigue estos pasos:

Google Cloud

Ve a la página Simulación de rutas de ataque en la Configuración de Security Command Center:

Ir a Simulaciones de rutas de ataque
Selecciona tu organización. Se abrirá la página Simulación de ruta de ataque.
Haz clic en Crear configuración nueva. Se abrirá el panel Crear configuración del valor del recurso.
En el campo Nombre, especifica un nombre para esta configuración del valor del recurso.
Opcional: Ingresa una descripción de la configuración.
En Proveedor de la nube, selecciona Google Cloud.
En el campo Seleccionar alcance, haz clic en Seleccionar y usa el navegador de proyectos para seleccionar un proyecto, una carpeta o la organización. Esta configuración solo se aplica a las instancias de recursos en el alcance especificado.
Haz clic en el campo Seleccionar tipo de recurso y, luego, selecciona un tipo de recurso o Cualquiera. La configuración se aplica a las instancias del tipo de recurso seleccionado o, si seleccionas Cualquiera, a las instancias de todos los tipos de recursos admitidos. Cualquier es el valor predeterminado.

Nota: Si seleccionas Cualquiera y habilitas la opción Incluir estadísticas de descubrimiento de Sensitive Data Protection, el sistema establecerá automáticamente los valores de los recursos para todos los recursos compatibles según las clasificaciones de sensibilidad de los datos de Sensitive Data Protection.
Opcional: En la sección Etiqueta, haz clic en Agregar etiqueta para especificar una o más etiquetas. Cuando se especifica una etiqueta, la configuración solo se aplica a los recursos que incluyen la etiqueta en sus metadatos.

Si aplicas una etiqueta nueva a algún recurso, es posible que la etiqueta tarde varias horas en estar disponible para que una configuración la encuentre.
Opcional: En la sección Etiqueta, haz clic en Agregar etiqueta para especificar una o más etiquetas. Cuando se especifica una etiqueta, la configuración solo se aplica a los recursos que incluyen la etiqueta en sus metadatos.

Si defines una etiqueta nueva para un recurso, puede tardar varias horas en estar disponible para que una configuración la haga coincidir.
Establece el valor de prioridad para los recursos coincidentes. Para ello, especifica una de las siguientes opciones:
- Opcional: Si usas el servicio de descubrimiento de Sensitive Data Protection, habilita Security Command Center para que establezca automáticamente el valor de prioridad de los recursos de datos compatibles según las clasificaciones de sensibilidad de los datos de Sensitive Data Protection:
  1. Haz clic en el control deslizante junto a Incluir estadísticas de descubrimiento de Sensitive Data Protection.
  2. En el primer campo Asignar valor del recurso, selecciona el valor de prioridad que se asignará a los recursos coincidentes que contengan datos de alta sensibilidad.
  3. En el segundo campo Asignar valor del recurso, selecciona el valor de prioridad que se asignará a los recursos coincidentes que contengan datos de sensibilidad media.
- En el campo Asignar valor de recurso, selecciona un valor para asignar a las instancias de recursos. Este valor es relativo a las otras instancias de recursos de tu conjunto de recursos de alto valor. El valor se usa durante el cálculo de las puntuaciones de exposición a ataques.
Haz clic en Guardar.

AWS

Antes de que Security Command Center pueda generar puntuaciones de exposición a ataques y rutas de ataque para los recursos que especifiques en una configuración de valores de recursos, debe estar conectado a AWS. Para obtener más información, consulta Compatibilidad con varias nubes.

Ve a la página Simulación de rutas de ataque en la Configuración de Security Command Center:

Ir a Simulaciones de rutas de ataque
Selecciona tu organización. Se abrirá la página Simulación de ruta de ataque.
Haz clic en Crear configuración nueva. Se abrirá el panel Crear configuración del valor del recurso.
En el campo Nombre, especifica un nombre para esta configuración del valor del recurso.
Opcional: Ingresa una descripción de la configuración.
En Proveedor de servicios en la nube, selecciona Amazon Web Services.
Opcional: En el campo ID de la cuenta, ingresa un ID de cuenta de AWS de 12 dígitos. Si no se especifica, la configuración del valor del recurso se aplica a todas las cuentas de AWS que se especifican en la configuración de conexión de AWS.
Opcional: En el campo Región, ingresa una región de AWS. Por ejemplo, us-east-1 Si no se especifica, la configuración del valor del recurso se aplica a todas las regiones de AWS.
Haz clic en el campo Seleccionar tipo de recurso y, luego, selecciona un tipo de recurso o Cualquiera. La configuración se aplica a las instancias del tipo de recurso seleccionado o, si seleccionas Cualquiera, a todos los tipos de recursos compatibles. Cualquier es el valor predeterminado.

Nota: Si seleccionas Cualquiera y habilitas la opción Incluir estadísticas de descubrimiento de Sensitive Data Protection, el sistema establecerá automáticamente los valores de los recursos para todos los recursos de AWS compatibles según las clasificaciones de sensibilidad de los datos de Sensitive Data Protection.
Opcional: En la sección Etiqueta, haz clic en Agregar etiqueta para especificar una o más etiquetas. Cuando defines una etiqueta, el conector solo analiza los recursos que incluyen la etiqueta en sus metadatos.

Si defines una etiqueta nueva para un recurso, puede tardar varias horas en estar disponible para que una configuración la haga coincidir.
En el campo Asignar valor del recurso, selecciona un valor de prioridad para los recursos coincidentes. Para ello, especifica una de las siguientes opciones:
- Opcional: Si usas el servicio de descubrimiento de Sensitive Data Protection, habilita Security Command Center para que establezca automáticamente el valor de prioridad de los recursos de datos de AWS compatibles según las clasificaciones de sensibilidad de los datos de Sensitive Data Protection:
  1. Haz clic en el control deslizante junto a Incluir estadísticas de descubrimiento de Sensitive Data Protection.
  2. En el primer campo Asignar valor del recurso, selecciona el valor de prioridad que se asignará a los recursos coincidentes que contengan datos de alta sensibilidad.
  3. En el segundo campo Asignar valor del recurso, selecciona el valor de prioridad que se asignará a los recursos coincidentes que contengan datos de sensibilidad media.
- En el campo Asignar valor de recurso, selecciona un valor para asignar a las instancias de recursos. Este valor es relativo a otras instancias de recursos en tu conjunto de recursos de alto valor. El valor se usa durante el cálculo de las puntuaciones de exposición a ataques.
Haz clic en Guardar.

Azure

Para que Security Command Center pueda generar puntuaciones de exposición a ataques y rutas de ataque para los recursos de Azure que especifiques en una configuración de valores de recursos, Security Command Center debe estar conectado a Azure. Para obtener más información, consulta Compatibilidad con varias nubes.

Ve a la página Simulación de rutas de ataque en la Configuración de Security Command Center:

Ir a Simulaciones de rutas de ataque
Selecciona tu organización. Se abrirá la página Simulación de ruta de ataque.
Haz clic en Crear configuración nueva. Se abrirá el panel Crear configuración del valor del recurso.
En el campo Nombre, especifica un nombre para esta configuración del valor del recurso.
En Descripción, ingresa una descripción de la configuración (opcional).
En Proveedor de servicios en la nube, selecciona Microsoft Azure.
Opcional: En ID de suscripción, ingresa un ID de suscripción de Azure de 36 dígitos. Si no se especifica, la configuración del valor del recurso se aplica a todas las suscripciones especificadas en la configuración del conector de Azure.
Opcional: En el campo Seleccionar ubicación, selecciona una ubicación de Azure, por ejemplo, East US 2. Si no estableces una ubicación, la configuración del valor del recurso se aplica a todas las ubicaciones especificadas en la configuración del conector de Azure.
Haz clic en Seleccionar tipo de recurso y, luego, selecciona un tipo de recurso o Cualquiera. La configuración se aplica a las instancias del tipo de recurso seleccionado o, si seleccionas Cualquiera, a todos los tipos de recursos admitidos. Cualquier es el valor predeterminado.
Opcional: En la sección Etiqueta, haz clic en Agregar etiqueta para especificar una o más etiquetas. Cuando se especifica una etiqueta, la configuración solo se aplica a los recursos que incluyen la etiqueta en sus metadatos.

Si defines una etiqueta nueva para un recurso, puede tardar varias horas en estar disponible para que una configuración la haga coincidir.
En el campo Asigna un valor de recurso, selecciona un valor de prioridad.
Haz clic en Guardar.

La configuración nueva se reflejará en las puntuaciones de exposición a los ataques y las rutas de ataque solo después de que se ejecute la próxima simulación de ruta de ataque.

Cuando veas el conjunto de recursos de alto valor, podrás ver las configuraciones de valor de recursos que coinciden con los recursos del conjunto. Para obtener más información, consulta Cómo ver las configuraciones que coinciden con un recurso valioso.

Para obtener información sobre cómo configurar la protección de datos sensibles para que envíe clasificaciones de sensibilidad de los datos a Security Command Center, consulta Publica perfiles de datos en Security Command Center en la documentación de la protección de datos sensibles.

Cómo editar una configuración

Excepto por el nombre, puedes actualizar cualquier especificación en una configuración de valores de recursos.

En estos pasos, se supone que conoces el nombre de la configuración del valor del recurso que deseas editar. Si solo conoces el nombre del recurso pertinente, consulta Cómo ver las configuraciones que coinciden con un recurso valioso.

Para actualizar la configuración de un valor de recurso existente, sigue estos pasos:

Ve a la página Simulación de rutas de ataque en la Configuración de Security Command Center:

Ir a Simulaciones de rutas de ataque
Selecciona tu organización. Se abrirá la página Simulación de ruta de ataque, en la que se mostrarán las configuraciones existentes.
En la columna Nombre de configuración, haz clic en el nombre de la configuración que necesitas actualizar. Se abrirá la página Editar la configuración del valor del recurso.
Actualiza las especificaciones en la configuración según sea necesario.
Opcional: Haz clic en Obtener vista previa de recursos coincidentes para ver cuántos recursos coinciden con la configuración actualizada y una lista de las instancias de recursos coincidentes individuales.
Haz clic en Guardar.

Los cambios se reflejan en las puntuaciones de exposición a ataques y las rutas de ataque solo después de que se ejecute la siguiente simulación de ruta de ataque.

Borra una configuración

Para borrar una configuración de valor de recurso, sigue estos pasos:

Ve a la página Simulación de rutas de ataque en la Configuración de Security Command Center:

Ir a Simulaciones de rutas de ataque
Selecciona tu organización. Se abrirá la página Simulación de ruta de ataque.
En Configuraciones de valores de recursos, en el lado derecho de la fila de la configuración que necesitas borrar, haz clic en los puntos verticales para mostrar el menú de acciones. Si no ves los puntos verticales, desplázate hacia la derecha.
En el menú de acciones que se muestra, selecciona Borrar.
En el diálogo de confirmación, selecciona Confirmar.

Se borró la configuración.

Cómo ver una configuración

Puedes ver todos los parámetros de configuración de valor de recursos existentes en la página Simulación de ruta de ataque en la Configuración de Security Command Center.

Para ver una configuración de valor de recurso en particular, ve a la página Simulación de ruta de ataque:

Ir a Simulaciones de rutas de ataque
Selecciona tu organización. Se abrirá la página Simulación de ruta de ataque.
En Configuraciones de valor de recursos en la página Simulación de ruta de ataque, desplázate por la lista de configuraciones de valor de recursos hasta que encuentres la que necesitas.
Para ver las propiedades de configuración, haz clic en el nombre de la configuración. Las propiedades se muestran en la página Editar configuración de valor del recurso.

Consulta las configuraciones que coinciden con un recurso de alto valor

Puedes ver todas las configuraciones que coinciden con los recursos que se encuentran en el conjunto de recursos valiosos. Esta función es útil si deseas revisar las reglas que determinaron los valores de los recursos de tu conjunto de recursos de alto valor.

Para ver las configuraciones que coinciden con un recurso valioso, sigue estos pasos:

Consulta el conjunto de recursos valiosos.
Busca el recurso cuyas configuraciones deseas ver. Las configuraciones coincidentes para ese recurso se enumeran en la columna Configuraciones coincidentes. Los parámetros de configuración se enumeran en orden descendente según el valor del recurso que asignan al recurso: High, Medium o Low.
Para ver las propiedades de una configuración, haz clic en su nombre. Las propiedades se muestran en la página Edit resource value configuration.

Una configuración que se borró recientemente sigue siendo visible, pero no se puede hacer clic en ella hasta que se ejecute la próxima simulación de ruta de ataque.
Opcional: Edita la configuración y haz clic en Guardar.

Soluciona problemas

Si recibes errores después de crear, editar o borrar configuraciones de valores de recursos, busca hallazgos de la clase SCC Error en la consola deGoogle Cloud siguiendo estos pasos:

Ve a la página Resultados en la consola de Google Cloud :

Ir a hallazgos
En el panel Filtros rápidos, ve a la sección Clase de hallazgo y selecciona Error de SCC.
En el panel Resultados de la búsqueda, busca los siguientes resultados de SCC Error y haz clic en el nombre de la categoría:
- APS no resource value configs match any resources
- APS resource value assignment limit exceeded
Se abrirá el panel de detalles del hallazgo.
En el panel de detalles del hallazgo, revisa la información de la sección Próximos pasos.

Para revisar las instrucciones de corrección de los resultados de la simulación de ruta de ataque SCC Error en la documentación, consulta lo siguiente:

¿Qué sigue?

Para obtener información sobre cómo trabajar con los hallazgos de Security Command Center, consulta Revisa y administra los hallazgos.