Auf dieser Seite werden die Dienste und Ergebnisse beschrieben, die von der Risiko-Engine-Funktion von Security Command Center unterstützt werden, sowie die Einschränkungen, die für den Support gelten.
Die Risiko-Engine generiert Angriffsrisikobewertungen und -pfade für Folgendes:
- Unterstützte Ergebniskategorien in den
Vulnerability- undMisconfiguration-Ergebnisklassen Weitere Informationen finden Sie unter Unterstützte Kategorien von Ergebnissen. Toxic combinationKursergebnisse.- Ressourceninstanzen von unterstützten Ressourcentypen, die Sie als „hohe Priorität“ kennzeichnen. Weitere Informationen finden Sie unter Ressourcentypen, die in Sets mit wertvollen Ressourcen unterstützt werden.
In den folgenden Abschnitten sind die Security Command Center-Dienste und -Ergebnisse aufgeführt, die von der Risiko-Engine unterstützt werden.
Nur Support auf Organisationsebene
Für die Angriffspfadsimulationen, mit denen die Risikobewertungen und Angriffspfade in der Risk Engine generiert werden, muss Security Command Center auf Organisationsebene aktiviert sein. Simulationen von Angriffsvektoren werden bei Aktivierungen auf Projektebene von Security Command Center nicht unterstützt.
Damit Sie Angriffspfade sehen können, muss die Google Cloud Console-Ansicht auf Ihre Organisation festgelegt sein. Wenn Sie in der Google Cloud Console eine Projekt- oder Ordneransicht auswählen, sehen Sie die Bewertungen der Angriffsrisiken, aber nicht die Angriffspfade.
Außerdem müssen die IAM-Berechtigungen, die Nutzer zum Ansehen von Angriffspfaden benötigen, auf Organisationsebene gewährt werden. Nutzer benötigen mindestens die Berechtigung securitycenter.attackpaths.list in einer Rolle, die auf Organisationsebene gewährt wurde. Die vordefinierte IAM-Rolle mit den geringsten Berechtigungen, die diese Berechtigung enthält, ist Security Center Attack Paths Reader (securitycenter.attackPathsViewer).
Weitere Rollen mit dieser Berechtigung finden Sie in der Referenz zu einfachen und vordefinierten IAM-Rollen.
Größenbeschränkungen für Organisationen
Bei Simulationen von Angriffspfaden schränkt die Risiko-Engine die Anzahl der aktiven Assets und aktiven Ergebnisse ein, die eine Organisation enthalten kann.
Wenn eine Organisation die in der folgenden Tabelle aufgeführten Limits überschreitet, werden keine Simulationen von Angriffspfaden ausgeführt.
| Art des Limits | Nutzungsbeschränkung |
|---|---|
| Maximale Anzahl aktiver Ergebnisse | 250.000.000 |
| Maximale Anzahl aktiver Assets | 26.000.000 |
Wenn die Assets, Ergebnisse oder beides in Ihrem Unternehmen diese Limits erreichen oder überschreiten, wenden Sie sich an den Cloud Customer Care, um eine Prüfung Ihres Unternehmens für eine mögliche Erhöhung anzufordern.
In Simulationen von Angriffspfaden enthaltene Google Cloud-Dienste
Die von Risk Engine ausgeführten Simulationen können die folgenden Google Cloud-Dienste umfassen:
- Artifact Registry
- BigQuery
- Cloud Run-Funktionen
- Cloud Key Management Service
- Cloud Load Balancing
- Cloud NAT
- Cloud Router
- Cloud SQL
- Cloud Storage
- Compute Engine
- Identity and Access Management
- Google Kubernetes Engine
- Virtual Private Cloud, einschließlich Subnetze und Firewallkonfigurationen
- Resource Manager
Limits für Sets hochwertiger Ressourcen
Ein Satz hochwertiger Ressourcen unterstützt nur bestimmte Ressourcentypen und kann nur eine bestimmte Anzahl von Ressourceninstanzen enthalten.
Instanzlimit für Sets mit hochwertigen Ressourcen
Ein Satz hochwertiger Ressourcen für eine Plattform eines Cloud-Dienstanbieters kann bis zu 1.000 Ressourceninstanzen enthalten.
In Sets mit hochwertigen Ressourcen unterstützte Ressourcentypen
Sie können einem Satz hochwertiger Ressourcen nur die folgenden Arten von Google Cloud-Ressourcen hinzufügen:
aiplatform.googleapis.com/Datasetaiplatform.googleapis.com/Featurestoreaiplatform.googleapis.com/MetadataStoreaiplatform.googleapis.com/Modelaiplatform.googleapis.com/TrainingPipeline
bigquery.googleapis.com/Datasetcloudfunctions.googleapis.com/CloudFunctioncompute.googleapis.com/Instancecontainer.googleapis.com/Clustersqladmin.googleapis.com/Instancestorage.googleapis.com/Bucket
Eine Liste der unterstützten Ressourcentypen für andere Cloud-Dienstanbieter finden Sie unter Support für Cloud-Dienstanbieter.
Limit für Konfigurationen für Ressourcenwert
Sie können in Google Cloud bis zu 100 Ressourcenwertkonfigurationen pro Organisation erstellen.
Google Cloud-Ressourcentypen, die mit Klassifizierungen der Datensensibilität unterstützt werden
Bei Simulationen von Angriffspfaden können Prioritätswerte nur für die folgenden Datenressourcentypen automatisch anhand der Klassifizierungen der Datensensibilität aus der Erfassung sensibler Daten festgelegt werden:
bigquery.googleapis.com/Datasetsqladmin.googleapis.com/Instancestorage.googleapis.com/Bucket
Unterstützte Ergebniskategorien
Bei Angriffspfadsimulationen werden Risikowerte für Angriffspfade und Angriffspfade nur für die in diesem Abschnitt aufgeführten Security Command Center-Ergebniskategorien aus den Security Command Center-Erkennungsdiensten generiert.
Ergebnisse des GKE-Sicherheitsstatus
Die folgenden Kategorien von GKE Security Posture-Fehlern werden von Simulationen von Angriffspfaden unterstützt:
- Sicherheitslücke im GKE-Laufzeitbetriebssystem
Ergebnisse von Mandiant Attack Surface Management
Die folgenden Kategorien von Mandiant Attack Surface Management-Ergebnissen werden von Simulationen von Angriffspfaden unterstützt:
- Softwarelücke
Ergebnisse der Risiko-Engine
Die Toxic combination-Ergebniskategorie, die von der Risk Engine ausgestellt wird, unterstützt Angriffsrisikobewertungen.
Ergebnisse von Security Health Analytics
Die folgenden Ergebnisse von Security Health Analytics werden durch Angriffspfadsimulationen in Google Cloud unterstützt:
- Admin service account
- Auto repair disabled
- Auto upgrade disabled
- Binary authorization disabled
- Bucket policy only disabled
- Cluster private Google access disabled
- Cluster secrets encryption disabled
- Cluster shielded nodes disabled
- Compute project wide SSH keys allowed
- Compute Secure Boot disabled
- Serielle Compute-Ports aktiviert
- COS not used
- Default service account used
- Full API access
- Master authorized networks disabled
- MFA not enforced
- Netzwerkrichtlinie deaktiviert
- Nodepool secure boot disabled
- Open Cassandra port
- Open ciscosecure websm port
- Open directory services port
- Open DNS port
- Elasticsearch-Port öffnen
- Open firewall
- Open FTP port
- Open HTTP port
- Open LDAP port
- Open Memcached port
- Open MongoDB port
- Open MySQL port
- Open NetBIOS port
- Open OracleDB port
- Offener POP3-Port
- Open PostgreSQL port
- Open RDP port
- Open Redis port
- Open SMTP port
- Open SSH port
- Open Telnet port
- Over privileged account
- Over privileged scopes
- Over privileged service account user
- Primitive roles used
- Private cluster disabled
- ACL des öffentlichen Buckets
- Öffentliche IP-Adresse
- Öffentlicher Log-Bucket
- Release channel disabled
- Service account key not rotated
- User managed service account key
- Workload Identity disabled
VM Manager-Ergebnisse
Die von VM Manager ausgegebene Ergebniskategorie OS Vulnerability unterstützt Angriffsbewertungen.
Unterstützung für Pub/Sub-Benachrichtigungen
Änderungen an den Werten für die Angriffsexposition können nicht als Trigger für Benachrichtigungen an Pub/Sub verwendet werden.
Auch Ergebnisse, die beim Erstellen an Pub/Sub gesendet werden, enthalten keinen Wert für die Angriffsgefährdung, da sie gesendet werden, bevor ein Wert berechnet werden kann.
Multi-Cloud-Unterstützung
Security Command Center kann Bewertungen der Angriffsrisiken und Visualisierungen des Angriffspfads für die folgenden Cloud-Dienstanbieter bereitstellen:
Die Sicherheitslücken- und Fehlkonfigurations-Detektoren, die für die Simulation von Angriffspfaden auf anderen Plattformen von Cloud-Dienstanbietern unterstützt werden, hängen von den Erkennungen ab, die die Security Command Center-Erkennungsdienste auf der Plattform unterstützen.
Die Unterstützung von Detectorn unterscheidet sich je nach Cloud-Dienstanbieter.
AWS-Support
Security Command Center kann Angriffsrisikobewertungen und Angriffspfadvisualisierungen für Ihre Ressourcen in AWS berechnen.
Von Angriffspfadsimulationen unterstützte AWS-Dienste
Die Simulationen können die folgenden AWS-Dienste umfassen:
- Identity and Access Management (IAM)
- Security Token Service (STS)
- Simple Storage Service (S3)
- Web Application Firewall (WAFv2)
- Elastic Compute Cloud (EC2)
- Elastic Load Balancing (ELB und ELBv2)
- Relational Database Service (RDS)
- Key Management Service (KMS)
- Elastic Container Registry (ECR)
- Elastic Container Service (ECS)
- ApiGateway und ApiGatewayv2
- Organisationen (Account Management Service)
- CloudFront
- AutoScaling
- Lambda
- DynamoDB
AWS-Ressourcentypen, die in Sets mit wertvollen Ressourcen unterstützt werden
Sie können einem Ressourcensatz mit hohem Wert nur die folgenden Arten von AWS-Ressourcen hinzufügen:
- DynamoDB-Tabelle
- EC2-Instanz
- Lambda-Funktion
- RDS DBCluster
- RDS-DBInstance
- S3-Bucket
AWS-Ressourcentypen, die mit Klassifizierungen der Datensensibilität unterstützt werden
Bei Simulationen von Angriffspfaden können Prioritätswerte nur für die folgenden AWS-Datenressourcentypen automatisch anhand der Klassifizierungen der Datenvertraulichkeit aus der Erfassung von sensiblen Daten festgelegt werden:
- Amazon S3-Bucket
Support in Security Health Analytics für AWS
Angriffspfadsimulationen bieten Bewertungen und Visualisierungen von Angriffspfaden für die folgenden Kategorien von Security Health Analytics-Ergebnissen:
- Zugriffsschlüssel wurden vor weniger als 90 Tagen rotiert
- Seit mindestens 45 Tagen nicht verwendete Anmeldedaten deaktiviert
- Standard-Sicherheitsgruppe der VPC schränkt gesamten Traffic ein
- EC2-Instanz ohne öffentliche IP-Adresse
- IAM-Passwortrichtlinie
- IAM-Passwortrichtlinie verhindert die Wiederverwendung von Passwörtern
- IAM-Passwortrichtlinie verlangt eine Mindestlänge von 14 Zeichen
- Prüfung auf nicht verwendete Anmeldedaten von IAM-Nutzern
- IAM-Nutzer erhalten Berechtigungsgruppen
- KMS-CMK nicht zum Löschen geplant
- S3-Buckets mit aktivierten MFA-Löschungen
- Root-Nutzerkonto mit aktivierter MFA
- Multi-Faktor-Authentifizierung (MFA) für alle IAM-Nutzer in der Konsole aktiviert
- Kein Zugriffsschlüssel für das Root-Nutzerkonto vorhanden
- Keine Sicherheitsgruppen lassen eingehenden Traffic von 0 an Remote-Serververwaltung zu
- Keine Sicherheitsgruppen lassen eingehenden Traffic von 0 0 0 0 an Remote-Serververwaltung zu
- Ein aktiver Zugriffsschlüssel pro IAM-Nutzer verfügbar
- RDS-Instanz öffentliche Zugriffsberechtigung gewährt
- Eingeschränkte gemeinsame Ports
- Eingeschränktes SSH
- Rotation für vom Kunden erstellte CMKs aktiviert
- Rotation für vom Kunden erstellte symmetrische CMKs aktiviert
- S3-Buckets mit konfiguriertem „Öffentlichen Zugriff blockieren (Bucket-Einstellungen)“
- S3-Bucket-Richtlinie auf Ablehnen von HTTP-Anfragen festgelegt
- S3-Standardverschlüsselung ist KMS
- VPC-Standardsicherheitsgruppe geschlossen
Ergebnisse der EC2-Sicherheitslückenbewertung
Die Ergebniskategorie Software vulnerability, die von der EC2-Sicherheitsrisikobewertung ausgegeben wird, unterstützt Angriffsbewertungen.
Unterstützung der Benutzeroberfläche
Sie können die Bewertung der Angriffsrisiken entweder in der Google Cloud Console, in der Security Operations Console oder in der Security Command Center API verwenden.
Sie können nur in der Security Operations Console mit Angriffsrisikowerten und Angriffspfaden für Fälle mit schädlichen Kombinationen arbeiten.
Sie können Konfigurationen für Ressourcenwerte nur auf dem Tab Angriffspfadsimulationen der Seite Einstellungen des Security Command Center in der Google Cloud Console erstellen.