Cette page a été traduite par l'API Cloud Translation.

Définir et gérer votre ensemble de ressources à forte valeur

Cette page vous explique comment créer, modifier, supprimer et afficher des configurations de valeurs de ressources.

Utilisez des configurations de valeurs de ressources pour créer votre ensemble de ressources à forte valeur. Votre ensemble de ressources à forte valeur détermine les instances de ressources (appelées ressources) que les simulations de chemins d'attaque considèrent comme des ressources à forte valeur.

Vous pouvez définir des configurations de valeur de ressource pour les ressources surGoogle Cloud ou, si vous disposez du niveau Enterprise de Security Command Center, pour les ressources sur les autres fournisseurs de services cloud auxquels Security Command Center est connecté.

Lorsque des simulations de chemins d'attaque sont exécutées, elles identifient les chemins d'attaque et calculent les scores d'exposition aux attaques pour les ressources désignées comme ressources à forte valeur et pour les résultats de classe Vulnerability, Misconfiguration et Toxic combination.

Les simulations de chemins d'attaque sont exécutées environ toutes les six heures. À mesure que votre organisation se développe, les simulations prennent plus de temps, mais elles s'exécutent toujours au moins une fois par jour. Les simulations ne sont pas déclenchées par la création, la modification ou la suppression de ressources ou de configurations de valeurs de ressources.

Pour une présentation des ensembles de ressources à forte valeur et des configurations de valeurs de ressources, consultez Ensembles de ressources à forte valeur.

Avant de commencer

Pour obtenir les autorisations nécessaires pour afficher et utiliser les configurations de valeurs de ressources, demandez à votre administrateur de vous accorder les rôles IAM suivants dans votre organisation :

Éditeur de configuration des valeurs de ressources (roles/securitycenter.resourceValueConfigEditor)
Lecteur de configuration des valeurs de ressources (roles/securitycenter.resourceValueConfigsViewer)
Éditeur de paramètres du centre de sécurité (roles/securitycenter.settingsEditor)

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Créer une configuration des valeurs de ressource

Vous pouvez créer des configurations de valeurs de ressources à l'aide de l'onglet Simulation de chemin d'attaque sur la page Paramètres de Security Command Center dans la console Google Cloud .

Pour créer une configuration de valeur de ressource, cliquez sur l'onglet correspondant à votre fournisseur de services cloud et suivez les étapes suivantes :

Google Cloud

Accédez à la page Simulation du chemin d'attaque dans les Paramètres de Security Command Center :

Accéder aux simulations de chemin d'attaque
Sélectionnez votre organisation. La page Simulation du chemin d'attaque s'ouvre.
Cliquez sur Créer une configuration. Le panneau Créer une configuration de valeur de ressource s'ouvre.
Dans le champ Nom, spécifiez un nom pour cette configuration de valeur de ressource.
Facultatif : saisissez une description de la configuration.
Sous Fournisseur de services cloud, sélectionnez Google Cloud.
Dans le champ Sélectionner le champ d'application, cliquez sur Sélectionner, puis utilisez le navigateur de projet pour sélectionner un projet, un dossier ou l'organisation. Cette configuration ne s'applique qu'aux instances de ressources dans le champ d'application spécifié.
Cliquez sur le champ Sélectionner un type de ressource, puis sélectionnez un type de ressource ou Tous. La configuration s'applique aux instances du type de ressource sélectionné ou, si vous sélectionnez Tous, aux instances de tous les types de ressources compatibles. Tout est la valeur par défaut.

Remarque : Si vous sélectionnez Tous et activez l'option Inclure les insights sur la découverte de Sensitive Data Protection, le système définit automatiquement les valeurs des ressources compatibles en fonction des classifications de sensibilité des données de Sensitive Data Protection.
Facultatif : Dans la section Libellé, cliquez sur Ajouter un libellé pour spécifier un ou plusieurs libellés. Lorsqu'un libellé est spécifié, la configuration ne s'applique qu'aux ressources qui incluent le libellé dans leurs métadonnées.

Si vous appliquez un nouveau libellé à des ressources, il peut s'écouler plusieurs heures avant que le libellé ne soit disponible pour la mise en correspondance par une configuration.
Facultatif : Dans la section Tag, cliquez sur Ajouter un tag pour spécifier un ou plusieurs tags. Lorsqu'un tag est spécifié, la configuration ne s'applique qu'aux ressources qui incluent le tag dans leurs métadonnées.

Si vous définissez un tag pour une ressource, il peut s'écouler plusieurs heures avant que le tag puisse être mis en correspondance par une configuration.
Définissez la valeur de priorité pour les ressources correspondantes en spécifiant l'une des options suivantes :
- Facultatif : Si vous utilisez le service de découverte de la protection des données sensibles, activez Security Command Center pour définir automatiquement la valeur de priorité des ressources de données compatibles en fonction des classifications de sensibilité des données de la protection des données sensibles :
  1. Cliquez sur le curseur à côté de Inclure les insights de découverte de Sensitive Data Protection.
  2. Dans le premier champ Attribuer une valeur de ressource, sélectionnez la valeur de priorité à attribuer aux ressources correspondantes qui contiennent des données de sensibilité élevée.
  3. Dans le deuxième champ Attribuer une valeur de ressource, sélectionnez la valeur de priorité à attribuer aux ressources correspondantes qui contiennent des données de sensibilité moyenne.
- Dans le champ Attribuer une valeur de ressource, sélectionnez une valeur à attribuer aux instances de ressources. Cette valeur est relative aux autres instances de ressources de votre ensemble de ressources à forte valeur. Cette valeur est utilisée lors du calcul des scores d'exposition aux attaques.
Cliquez sur Enregistrer.

AWS

Avant que Security Command Center puisse générer des scores d'exposition aux attaques et des chemins d'attaque pour les ressources que vous spécifiez dans une configuration de valeur de ressource, il doit être connecté à AWS. Pour en savoir plus, consultez Compatibilité multicloud.

Accédez à la page Simulation du chemin d'attaque dans les Paramètres de Security Command Center :

Accéder aux simulations de chemin d'attaque
Sélectionnez votre organisation. La page Simulation du chemin d'attaque s'ouvre.
Cliquez sur Créer une configuration. Le panneau Créer une configuration de valeur de ressource s'ouvre.
Dans le champ Nom, spécifiez un nom pour cette configuration de valeur de ressource.
Facultatif : saisissez une description de la configuration.
Sous Fournisseur cloud, sélectionnez Amazon Web Services.
Facultatif : Dans le champ ID de compte, saisissez un ID de compte AWS à 12 chiffres. Si aucune valeur n'est spécifiée, la configuration de la valeur de ressource s'applique à tous les comptes AWS spécifiés dans la configuration de la connexion AWS.
Facultatif : Dans le champ Région, saisissez une région AWS. Exemple : us-east-1. Si rien n'est spécifié, la configuration de la valeur de ressource s'applique à toutes les régions AWS.
Cliquez sur le champ Sélectionner un type de ressource, puis sélectionnez un type de ressource ou Tout. La configuration s'applique aux instances du type de ressource sélectionné ou, si vous sélectionnez Tous, à tous les types de ressources compatibles. Tout est la valeur par défaut.

Remarque : Si vous sélectionnez Tous et activez l'option Inclure les insights de découverte de la protection des données sensibles, le système définit automatiquement les valeurs des ressources pour toutes les ressources AWS compatibles en fonction des classifications de sensibilité des données de la protection des données sensibles.
Facultatif : Dans la section Tag, cliquez sur Ajouter un tag pour spécifier un ou plusieurs tags. Lorsque vous définissez un tag, le connecteur n'analyse que les ressources qui incluent le tag dans leurs métadonnées.

Si vous définissez un tag pour une ressource, il peut s'écouler plusieurs heures avant que le tag puisse être mis en correspondance par une configuration.
Dans le champ Attribuer une valeur de ressource, sélectionnez une valeur de priorité pour les ressources correspondantes en spécifiant l'une des options suivantes :
- Facultatif : Si vous utilisez le service de découverte Sensitive Data Protection, activez Security Command Center pour qu'il définisse automatiquement la valeur de priorité des ressources de données AWS compatibles en fonction des classifications de sensibilité des données de Sensitive Data Protection :
  1. Cliquez sur le curseur à côté de Inclure les insights de découverte de Sensitive Data Protection.
  2. Dans le premier champ Attribuer une valeur de ressource, sélectionnez la valeur de priorité à attribuer aux ressources correspondantes qui contiennent des données de sensibilité élevée.
  3. Dans le deuxième champ Attribuer une valeur de ressource, sélectionnez la valeur de priorité à attribuer aux ressources correspondantes qui contiennent des données de sensibilité moyenne.
- Dans le champ Attribuer une valeur de ressource, sélectionnez une valeur à attribuer aux instances de ressources. Cette valeur est relative aux autres instances de ressources de votre ensemble de ressources à forte valeur. Cette valeur est utilisée lors du calcul des scores d'exposition aux attaques.
Cliquez sur Enregistrer.

Azure

Avant que Security Command Center puisse générer des scores d'exposition aux attaques et des chemins d'attaque pour les ressources Azure que vous spécifiez dans une configuration de valeur de ressource, il doit être connecté à Azure. Pour en savoir plus, consultez Compatibilité multicloud.

Accédez à la page Simulation du chemin d'attaque dans les Paramètres de Security Command Center :

Accéder aux simulations de chemin d'attaque
Sélectionnez votre organisation. La page Simulation du chemin d'attaque s'ouvre.
Cliquez sur Créer une configuration. Le panneau Créer une configuration de valeur de ressource s'ouvre.
Dans le champ Nom, spécifiez un nom pour cette configuration de valeur de ressource.
Facultatif : Dans le champ Description, saisissez une description de la configuration.
Sous Fournisseur cloud, sélectionnez Microsoft Azure.
Facultatif : Dans ID d'abonnement, saisissez un ID d'abonnement Azure de 36 chiffres. Si elle n'est pas spécifiée, la configuration de la valeur de la ressource s'applique à tous les abonnements spécifiés dans la configuration du connecteur Azure.
Facultatif : Dans le champ Sélectionner un emplacement, sélectionnez un emplacement Azure, par exemple East US 2. Si vous ne définissez pas de lieu, la configuration de la valeur de ressource s'applique à tous les lieux spécifiés dans la configuration du connecteur Azure.
Cliquez sur Sélectionner un type de ressource, puis sélectionnez un type de ressource ou Tous. La configuration s'applique aux instances du type de ressource sélectionné ou, si vous sélectionnez Tous, à tous les types de ressources compatibles. Tout est la valeur par défaut.
Facultatif : Dans la section Tag, cliquez sur Ajouter un tag pour spécifier un ou plusieurs tags. Lorsqu'un tag est spécifié, la configuration ne s'applique qu'aux ressources qui incluent le tag dans leurs métadonnées.

Si vous définissez un tag pour une ressource, il peut s'écouler plusieurs heures avant que le tag puisse être mis en correspondance par une configuration.
Dans le champ Attribuer une valeur de ressource, sélectionnez une valeur de priorité.
Cliquez sur Enregistrer.

La nouvelle configuration n'est reflétée dans les scores d'exposition aux attaques et les vecteurs d'attaque qu'après la prochaine simulation de vecteurs d'attaque.

Lorsque vous affichez l'ensemble de ressources à forte valeur, vous pouvez voir les configurations de valeurs de ressources qui correspondent aux ressources de l'ensemble. Pour en savoir plus, consultez Afficher les configurations correspondant à une ressource à forte valeur.

Pour savoir comment configurer la protection des données sensibles afin d'envoyer des classifications de sensibilité des données à Security Command Center, consultez Publier des profils de données dans Security Command Center dans la documentation sur la protection des données sensibles.

Modifier une configuration

À l'exception du nom, vous pouvez modifier n'importe quelle spécification dans une configuration de valeur de ressource.

Ces étapes supposent que vous connaissez le nom de la configuration de la valeur de ressource que vous souhaitez modifier. Si vous ne connaissez que le nom de la ressource concernée, consultez plutôt Afficher les configurations correspondant à une ressource à forte valeur.

Pour mettre à jour une configuration de valeur de ressource existante, procédez comme suit :

Accédez à la page Simulation du chemin d'attaque dans les Paramètres de Security Command Center :

Accéder aux simulations de chemin d'attaque
Sélectionnez votre organisation. La page Simulation du chemin d'attaque s'ouvre et affiche les configurations existantes.
Dans la colonne Nom de la configuration, cliquez sur le nom de la configuration que vous devez mettre à jour. La page Modifier une configuration de valeur de ressource s'ouvre.
Mettez à jour les spécifications dans la configuration si nécessaire.
Facultatif : Cliquez sur Prévisualiser les ressources correspondantes pour voir le nombre de ressources correspondant à la configuration mise à jour et la liste des instances de ressources correspondantes.
Cliquez sur Enregistrer.

Les modifications ne sont répercutées dans les scores d'exposition aux attaques et les chemins d'attaque qu'après la prochaine simulation de chemin d'attaque.

Supprimer une configuration

Pour supprimer une configuration de valeurs de ressource, procédez comme suit :

Accédez à la page Simulation du chemin d'attaque dans les Paramètres de Security Command Center :

Accéder aux simulations de chemin d'attaque
Sélectionnez votre organisation. La page Simulation du chemin d'attaque s'ouvre.
Sous Configurations de la valeur de la ressource, à droite de la ligne correspondant à la configuration que vous souhaitez supprimer, affichez le menu d'actions en cliquant sur les points verticaux. Si les points verticaux ne s'affichent pas, faites défiler l'écran vers la droite.
Dans le menu d'actions qui s'affiche, sélectionnez Supprimer.
Dans la boîte de dialogue de confirmation, sélectionnez Confirmer.

La configuration est supprimée.

Afficher une configuration

Vous pouvez afficher toutes les configurations de valeurs de ressources existantes sur la page Simulation du chemin d'attaque dans les Paramètres de Security Command Center.

Pour afficher une configuration de valeur de ressource spécifique, accédez à la page Simulation du chemin d'attaque :

Accéder aux simulations de chemin d'attaque
Sélectionnez votre organisation. La page Simulation du chemin d'attaque s'ouvre.
Sous Configurations de valeurs de ressources sur la page Simulation de chemins d'attaque, faites défiler la liste des configurations de valeurs de ressources jusqu'à trouver celle dont vous avez besoin.
Pour afficher les propriétés de configuration, cliquez sur le nom de la configuration. Les propriétés s'affichent sur la page Modifier une configuration de valeur de ressource.

Afficher les configurations correspondant à une ressource à forte valeur

Vous pouvez afficher toutes les configurations qui correspondent aux ressources du groupe de ressources à forte valeur. Cette fonctionnalité est utile si vous souhaitez examiner les règles qui ont déterminé les valeurs de ressources de votre ensemble de ressources de forte valeur.

Pour afficher les configurations correspondant à une ressource à forte valeur, procédez comme suit :

Affichez l'ensemble de ressources à forte valeur.
Recherchez la ressource dont vous souhaitez afficher les configurations. Les configurations correspondantes pour cette ressource sont listées dans la colonne Configurations correspondantes. Les configurations sont listées par ordre décroissant en fonction de la valeur de ressource qu'elles attribuent à la ressource : High, Medium ou Low.
Pour afficher les propriétés d'une configuration, cliquez sur son nom. Les propriétés s'affichent sur la page Modifier une configuration de valeur de ressource.

Une configuration récemment supprimée reste visible (mais non cliquable) jusqu'à la prochaine simulation de vecteurs d'attaque.
Facultatif : Modifiez la configuration, puis cliquez sur Enregistrer.

Dépannage

Si vous recevez des erreurs après avoir créé, modifié ou supprimé des configurations de valeurs de ressources, recherchez les résultats de la classe SCC Error dans la consoleGoogle Cloud en procédant comme suit :

Accédez à la page Résultats dans la console Google Cloud :

Accéder
Dans le panneau Filtres rapides, accédez à la section Classe de résultat et sélectionnez Erreur SCC.
Dans le panneau Résultats de la requête de résultats, parcourez les résultats pour trouver les résultats SCC Error suivants, puis cliquez sur le nom de la catégorie :
- APS no resource value configs match any resources
- APS resource value assignment limit exceeded
Le panneau de détails du résultat s'ouvre.
Dans le panneau "Détails du résultat", consultez les informations de la section Étapes suivantes.

Pour consulter les instructions de correction des résultats de la simulation du chemin d'attaque SCC Error dans la documentation, consultez les pages suivantes :

Étapes suivantes

Pour en savoir plus sur l'utilisation des résultats Security Command Center, consultez Examiner et gérer les résultats.