本页面介绍了如何创建、修改、删除和查看资源值配置。
使用资源值配置创建高价值资源集。高价值资源集决定了攻击路径模拟将哪些资源实例(以下简称“资源”)视为高价值资源。
您可以为 Google Cloud 上的资源定义资源值配置,或者(如果您使用的是 Security Command Center 的企业版)为 Security Command Center 关联的其他云服务提供商上的资源定义资源值配置。
攻击路径模拟运行时,会识别攻击路径,并为指定为高价值资源的资源以及 Vulnerability
类、Misconfiguration
类和 Toxic combination
类发现结果计算攻击风险得分。
攻击路径模拟每天最多可运行四次(每六小时一次)。随着组织的发展,模拟需要更长的时间,但每天始终至少运行一次。模拟运行不会因创建、修改或删除资源或资源值配置而触发。
如需了解高价值资源集和资源值配置,请参阅高价值资源集。
准备工作
如需获得查看和使用资源值配置所需的权限,请让管理员向您授予组织的以下 IAM 角色:
-
Resource value config editor (
roles/securitycenter.resourceValueConfigEditor
) -
Resource value config viewer (
roles/securitycenter.resourceValueConfigsViewer
) -
Security Center Settings Editor (
roles/securitycenter.settingsEditor
)
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
创建资源值配置
您可以使用 Google Cloud 控制台中 Security Command Center 设置页面上的攻击路径模拟标签页来创建资源值配置。
如需创建资源值配置,请点击您的云服务提供商对应的标签页,然后按照以下步骤操作:
Google Cloud
转到 Security Command Center 设置中的攻击路径模拟页面:
选择您的组织。攻击路径模拟页面会随即打开。
点击创建新配置。此时会打开创建资源值配置面板。
在名称字段中,指定此资源值配置的名称。
可选:输入配置的说明。
在云服务提供商下,选择 Google Cloud。
在选择范围字段中,点击选择,然后使用项目浏览器选择项目、文件夹或组织。此配置仅应用于指定范围内的资源实例。
在选择资源类型字段中,点击该字段以显示下拉菜单,然后选择一个资源类型或任意。该配置应用于指定资源类型的实例,如果您选择任意,则配置将应用于所有受支持的资源类型的实例。默认为任意。
可选:在标签部分中,点击添加标签以指定一个或多个标签。指定标签后,配置仅应用于其元数据中包含该标签的资源。
如果您对任何资源应用新标签,则标签可能需要几个小时才会提供给配置进行匹配。
可选:在标记部分中,点击添加标记以指定一个或多个标记。指定标记时,配置仅应用于其元数据中包含该标记的资源。
如果您为任何资源定义了新标记,则标记可能需要几个小时才会提供给配置进行匹配。
通过指定以下选项之一,为匹配的资源设置优先级值:
可选:如果您使用 Sensitive Data Protection 发现服务,请启用 Security Command Center,以便其根据 Sensitive Data Protection 中的数据敏感度分类自动设置受支持的数据资源的优先级值:
- 点击包含来自 Sensitive Data Protection 的发现分析洞见旁边的滑块。
- 在第一个分配资源值字段中,选择要分配给包含高敏感度数据的匹配资源的优先级值。
- 在第二个分配资源值字段中,选择要分配给包含中敏感度数据的匹配资源的优先级值。
在选择资源值字段中,选择要分配给资源实例的值。此值是相对于高价值资源集中的其他资源实例而言的。该值在计算攻击风险得分时使用。
点击保存。
AWS
在 Security Command Center 能够针对您在资源值配置中指定的资源返回攻击风险得分和攻击路径之前,必须将 Security Command Center 连接到 AWS。如需了解详情,请参阅多云支持。
转到 Security Command Center 设置中的攻击路径模拟页面:
选择您的组织。攻击路径模拟页面会随即打开。
点击创建新配置。此时会打开创建资源值配置面板。
在名称字段中,指定此资源值配置的名称。
可选:输入配置的说明。
在云服务商下,选择 Amazon Web Services。
可选:在 Account ID 字段中,输入 12 位数字的 AWS 账号 ID。如果未指定,资源值配置会应用于AWS 连接配置中指定的所有 AWS 账号。
可选:在区域字段中,输入 AWS 区域。例如
us-east-1
。如果未指定,资源值配置将应用于所有 AWS 区域。在选择资源类型字段中,点击该字段以显示下拉菜单,然后选择一个资源类型或任意。该配置应用于指定资源类型的实例,如果您选择任意,则配置将应用于所有受支持的 AWS 资源类型的实例。默认为任意。
可选:在标记部分中,点击添加标记以指定一个或多个标记。指定标记时,配置仅应用于其元数据中包含该标记的资源。
如果您为任何资源定义了新标记,则标记可能需要几个小时才会提供给配置进行匹配。
通过指定以下选项之一,为匹配的资源设置优先级值:
可选:如果您使用敏感数据保护发现服务,请启用 Security Command Center,以便其根据敏感数据保护中的敏感数据分类自动设置受支持的 AWS 数据资源的优先级值:
- 点击包含来自 Sensitive Data Protection 的发现分析洞见旁边的滑块。
- 在第一个分配资源值字段中,选择要分配给包含高敏感度数据的匹配资源的优先级值。
- 在第二个分配资源值字段中,选择要分配给包含中敏感度数据的匹配资源的优先级值。
在选择资源值字段中,选择要分配给资源实例的值。此值是相对于高价值资源集中的其他资源实例而言的。该值在计算攻击风险得分时使用。
点击保存。
只有在下一次攻击路径模拟运行后,新配置才会反映在攻击风险得分和攻击路径中。
查看高价值资源集时,您可以看到与该集中的资源匹配的资源值配置。如需了解详情,请参阅查看与高价值资源匹配的配置。
修改配置
除了名称之外,您还可以更新资源值配置中的任何规范。
以下步骤假定您知道要修改的资源值配置的名称。如果您只知道相关资源的名称,请改为参阅查看与高价值资源匹配的配置。
如需更新现有资源值配置,请按以下步骤操作:
转到 Security Command Center 设置中的攻击路径模拟页面:
选择您的组织。攻击路径模拟页面随即打开,并显示现有配置。
在配置名称列中,点击需要更新的配置的名称。此时会打开修改资源值配置页面。
根据需要更新配置中的规范。
可选:点击预览匹配的资源,查看与更新后的配置匹配的资源数量以及各个匹配资源实例的列表。
点击保存。
只有在下一次攻击路径模拟运行时,这些更改才会反映在攻击风险得分和攻击路径中。
删除配置
如需删除资源值配置,请按照以下步骤操作:
转到 Security Command Center 设置中的攻击路径模拟页面:
选择您的组织。攻击路径模拟页面会随即打开。
在要删除的配置所在行右侧的资源值配置下,点击竖点以显示操作菜单。如果您没有看到竖点,请滚动到右侧。
在显示的操作菜单中,选择删除。
在确认对话框中,选择确认。
配置将被删除。
查看配置
您可以在 Security Command Center 设置的攻击路径模拟页面上查看所有现有资源值配置。
如需查看特定资源值配置,请转到攻击路径模拟页面
选择您的组织。攻击路径模拟页面会随即打开。
在攻击路径模拟页面的资源值配置下,滚动资源值配置列表,直到找到所需配置。
如需查看配置属性,请点击配置的名称。这些属性显示在修改资源值配置页面上。
查看与高价值资源匹配的配置
您可以查看与高价值资源集中的资源匹配的所有配置。如果您想查看确定高价值资源集资源值的规则,此功能非常有用。
如需查看与高价值资源匹配的配置,请按以下步骤操作:
- 查看高价值资源集。
- 找到您要查看其配置的资源。该资源的匹配配置会列在匹配的配置列中。配置会按为资源分配的资源值(
High
、Medium
或Low
)从高到低的顺序列出。 如需查看配置的属性,请点击其名称。这些属性显示在修改资源值配置页面上。
在下一次攻击路径模拟运行之前,最近删除的配置会保持可见状态,但无法点击。
可选:修改配置,然后点击保存。
问题排查
如果您在创建、修改或删除资源值配置后收到错误,请在 Google Cloud 控制台中按照以下步骤查看 SCC Error
类发现结果:
进入 Google Cloud 控制台中的发现结果页面:
在快速过滤条件面板中,滚动到发现结果类部分,然后选择 SCC 错误。
在发现结果的查询结果面板中,快速浏览发现结果中是否有以下
SCC Error
发现结果,然后点击类别名称:APS no resource value configs match any resources
APS resource value assignment limit exceeded
系统随即会打开发现结果详情面板。
在发现结果详细信息面板中,查看后续步骤部分中的信息。
如需查看文档中攻击路径模拟 SCC Error
发现结果的修复说明,请参阅:
后续步骤
如需了解如何使用 Security Command Center 发现结果,请参阅查看和管理发现结果。