定義及管理高價值資源集

本頁面說明如何建立、編輯、刪除及查看資源價值設定。

使用資源值設定建立高價值資源集。高價值資源集會決定哪些資源執行個體 (稱為「資源」) 會被攻擊路徑模擬視為「高價值資源」

您可以為Google Cloud 上的資源定義資源價值設定,或在 Security Command Center Enterprise 級中,為 Security Command Center 連線的其他雲端服務供應商資源定義資源價值設定。

執行攻擊路徑模擬時,系統會找出攻擊路徑,並計算指定為高價值資源的資源,以及 Vulnerability 類別、Misconfiguration 類別和 Toxic combination 類別發現項目的受攻擊風險分數。

系統大約每六小時會執行一次攻擊路徑模擬。隨著機構成長,模擬作業會需要較長時間,但每天至少會執行一次。建立、修改或刪除資源或資源值設定時,系統不會觸發模擬執行。

如要瞭解高價值資源集和資源價值設定,請參閱「高價值資源集」一文。

事前準備

如要取得查看及處理資源值設定所需的權限,請要求管理員在貴機構中授予下列 IAM 角色:

如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。

您或許還可透過自訂角色或其他預先定義的角色取得必要權限。

建立資源值設定

如要建立資源價值設定,請在 Google Cloud 控制台中,使用 Security Command Center「設定」頁面的「攻擊路徑模擬」分頁。

如要建立資源值設定,請按一下雲端服務供應商的標籤,然後按照下列步驟操作:

Google Cloud

  1. 前往 Security Command Center「設定」中的「攻擊路徑模擬」頁面:

    前往「攻擊路徑模擬」

  2. 選取您的機構。「攻擊路徑模擬」頁面隨即開啟。

  3. 按一下「建立新的設定」。「建立資源值設定」面板隨即開啟。

  4. 在「Name」(名稱) 欄位中,指定這個資源值設定的名稱。

  5. 選用:輸入設定說明。

  6. 在「雲端服務供應商」下方,選取「Google Cloud」

  7. 在「選取範圍」欄位中,按一下「選取」,然後使用專案瀏覽器選取專案、資料夾或機構。這項設定僅適用於指定範圍內的資源執行個體。

  8. 按一下「選取資源類型」欄位,然後選取資源類型或「任何」。這項設定會套用至所選資源類型的執行個體,或套用至所有支援資源類型的執行個體 (如果您選取「任何」)。預設值為「Any」(任何)。

  9. 選用:在「標籤」部分中,按一下「新增標籤」,即可指定一或多個標籤。指定標籤後,設定只會套用至中繼資料中包含該標籤的資源。

    如果您將新標籤套用至任何資源,標籤可能需要幾小時才會生效,供設定進行比對。

  10. 選用:在「標記」部分中,按一下「新增標記」,指定一或多個標記。指定標記後,設定只會套用至中繼資料中包含該標記的資源。

    如果您為資源定義新標記,可能需要數小時,設定才能比對該標記。

  11. 指定下列其中一個選項,為相符資源設定優先順序值

    • 選用:如果您使用 Sensitive Data Protection 探索服務,請啟用 Security Command Center,根據 Sensitive Data Protection 的資料機密程度分類,自動設定支援的資料資源優先順序值:

      1. 按一下「採用 Sensitive Data Protection 的探索深入分析資訊」旁的滑桿。
      2. 在第一個「指派資源值」欄位中,選取要指派給含有高度機密資料的相符資源的優先順序值。
      3. 在第二個「指派資源值」欄位中,選取要指派給含有中度機密資料的相符資源優先順序值。
    • 在「指派資源值」欄位中,選取要指派給資源例項的值。這個值是相對於高價值資源集中的其他資源執行個體。系統會在計算遭受攻擊的風險分數時使用這個值。

  12. 按一下 [儲存]

AWS

Security Command Center 必須先連線至 AWS,才能為您在資源價值設定中指定的資源產生受攻擊風險分數和攻擊路徑。詳情請參閱「多雲支援」。

  1. 前往 Security Command Center「設定」中的「攻擊路徑模擬」頁面:

    前往「攻擊路徑模擬」

  2. 選取您的機構。「攻擊路徑模擬」頁面隨即開啟。

  3. 按一下「建立新的設定」。「建立資源值設定」面板隨即開啟。

  4. 在「Name」(名稱) 欄位中,指定這個資源值設定的名稱。

  5. 選用:輸入設定說明。

  6. 在「雲端服務供應商」下方,選取「Amazon Web Services」

  7. 選用:在「帳戶 ID」欄位中,輸入 12 碼的 AWS 帳戶 ID。 如未指定,資源值設定會套用至AWS 連線設定中指定的所有 AWS 帳戶。

  8. 選用:在「Region」欄位中,輸入 AWS 區域。例如:us-east-1。如未指定,資源值設定會套用至所有 AWS 區域。

  9. 按一下「選取資源類型」欄位,然後選取資源類型或「任何」。這項設定適用於所選資源類型的執行個體,如果選取「Any」,則適用於所有支援的資源類型。預設值為「Any」(任何)。

  10. 選用:在「標記」部分中,按一下「新增標記」,指定一或多個標記。定義標記後,連結器只會掃描中繼資料包含該標記的資源。

    如果您為資源定義新標記,可能需要數小時,設定才能比對該標記。

  11. 在「Assign resource value」(指派資源值) 欄位中,指定下列其中一個選項,為相符資源選取優先順序值

    • 選用:如果您使用 Sensitive Data Protection 探索服務,請啟用 Security Command Center,根據 Sensitive Data Protection 的資料機密程度分類,自動設定支援的 AWS 資料資源優先順序值:

      1. 按一下「採用 Sensitive Data Protection 的探索深入分析資訊」旁的滑桿。
      2. 在第一個「指派資源值」欄位中,選取要指派給含有高度機密資料的相符資源的優先順序值。
      3. 在第二個「指派資源值」欄位中,選取要指派給含有中度機密資料的相符資源優先順序值。
    • 在「指派資源值」欄位中,選取要指派給資源例項的值。這個值是相對於高價值資源集中其他資源執行個體的值。系統會在計算遭受攻擊的風險分數時使用這個值。

  12. 按一下 [儲存]

Azure

Security Command Center 必須先連結至 Azure,才能為您在資源值設定中指定的 Azure 資源產生受攻擊風險分數和攻擊路徑。詳情請參閱「多雲支援」。

  1. 前往 Security Command Center「設定」中的「攻擊路徑模擬」頁面:

    前往「攻擊路徑模擬」

  2. 選取您的機構。「攻擊路徑模擬」頁面隨即開啟。

  3. 按一下「建立新的設定」。「建立資源值設定」面板隨即開啟。

  4. 在「Name」(名稱) 欄位中,指定這個資源值設定的名稱。

  5. 選用:在「Description」(說明) 中輸入設定說明。

  6. 在「雲端服務供應商」下方,選取「Microsoft Azure」

  7. 選用:在「Subscription ID」(訂閱項目 ID) 中,輸入 36 位數的 Azure 訂閱 ID。如未指定,資源值設定會套用至 Azure 連接器設定中指定的所有訂閱項目。

  8. 選用:在「選取位置」欄位中,選取 Azure 位置,例如 East US 2。如未設定位置,資源價值設定會套用至 Azure 連接器設定中指定的所有位置。

  9. 按一下「選取資源類型」,然後選取資源類型或「任何」。這項設定會套用至所選資源類型的執行個體,如果選取「Any」,則會套用至所有支援的資源類型。預設值為「Any」(任何)。

  10. 選用:在「標記」部分中,按一下「新增標記」,指定一或多個標記。指定標記後,設定只會套用至中繼資料中包含該標記的資源。

    如果您為資源定義新標記,可能需要數小時,設定才能比對該標記。

  11. 在「指派資源值」欄位中,選取優先值

  12. 按一下 [儲存]

新的設定會在下次執行攻擊路徑模擬時,反映在受攻擊風險分數和攻擊路徑中。

查看高價值資源集時,您會看到與該資源集資源相符的資源價值設定。詳情請參閱「查看與高價值資源相符的設定」。

如要瞭解如何設定 Sensitive Data Protection,將資料私密性分類傳送至 Security Command Center,請參閱 Sensitive Data Protection 說明文件中的「將資料剖析檔發布至 Security Command Center」一文。

編輯設定

除了名稱以外,您可以在資源值設定中更新任何規格。

這些步驟假設您知道要編輯的資源值設定名稱。如果您只知道相關資源的名稱,請改為參閱「查看與高價值資源相符的設定」。

如要更新現有的資源價值設定,請按照下列步驟操作:

  1. 前往 Security Command Center「設定」中的「攻擊路徑模擬」頁面:

    前往「攻擊路徑模擬」

  2. 選取您的機構。「攻擊路徑模擬」頁面隨即開啟,並顯示現有設定。

  3. 在「設定名稱」欄中,按一下要更新的設定名稱。「編輯資源值設定」頁面隨即開啟。

  4. 視需要更新設定中的規格。

  5. 選用步驟:按一下「預覽相符資源」,查看有多少資源符合更新後的設定,以及相符資源例項的清單。

  6. 按一下 [儲存]

下次執行攻擊路徑模擬後,受攻擊風險分數和攻擊路徑才會反映這些變更。

刪除設定

如要刪除資源值設定,請按照下列步驟操作:

  1. 前往 Security Command Center「設定」中的「攻擊路徑模擬」頁面:

    前往「攻擊路徑模擬」

  2. 選取您的機構。「攻擊路徑模擬」頁面隨即開啟。

  3. 在要刪除的設定列右側,點選垂直點來顯示動作選單,然後在「資源價值設定」下方,如果沒看到垂直點,請向右捲動。

  4. 在顯示的動作選單中,選取「刪除」

  5. 在確認對話方塊中,選取「確認」

    已刪除設定。

查看設定

您可以在 Security Command Center 設定的「攻擊路徑模擬」頁面中,查看所有現有的資源價值設定。

  1. 如要查看特定資源價值設定,請前往「攻擊路徑模擬」頁面:

    前往「攻擊路徑模擬」

  2. 選取您的機構。「攻擊路徑模擬」頁面隨即開啟。

  3. 在「攻擊路徑模擬」頁面的「資源價值設定」下方,捲動資源價值設定清單,直到找到所需設定為止。

  4. 如要查看設定屬性,請按一下設定名稱。屬性會顯示在「編輯資源值設定」頁面。

查看與高價值資源相符的設定

您可以查看與高價值資源集中的資源相符的所有設定。如果您想查看決定高價值資源集資源價值的規則,這項功能就十分實用。

如要查看與高價值資源相符的設定,請按照下列步驟操作:

  1. 查看高價值資源集
  2. 找出要查看設定的資源。該資源的相符設定會列在「相符設定」欄中。系統會根據設定指派給資源的資源值 (HighMediumLow),以遞減順序列出設定。
  3. 如要查看設定的屬性,請按一下設定名稱。屬性會顯示在「編輯資源值設定」頁面。

    最近刪除的設定仍會顯示,但無法點選,直到下次執行攻擊路徑模擬作業為止。

  4. 選用:編輯設定,然後按一下「儲存」

疑難排解

如果在建立、編輯或刪除資源值設定後收到錯誤訊息,請按照下列步驟,在控制台中檢查 SCC Error 類別的發現項目:Google Cloud

  1. 前往 Google Cloud 控制台的「發現項目」頁面:

    前往「發現項目」

  2. 在「快速篩選器」面板中,前往「尋找類別」部分,然後選取「SCC 錯誤」

  3. 在「發現項目查詢結果」面板中,掃描以下 SCC Error 發現項目,然後按一下類別名稱:

    • APS no resource value configs match any resources
    • APS resource value assignment limit exceeded

    系統會開啟調查結果詳細資料面板。

  4. 在調查結果詳細資料面板中,查看「後續步驟」部分中的資訊。

如要查看說明文件中攻擊路徑模擬SCC Error發現項目的補救措施說明,請參閱:

後續步驟

如要瞭解如何處理 Security Command Center 發現項目,請參閱「查看及管理發現項目」。