Unterstützung von Risiko-Engine-Funktionen

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Auf dieser Seite werden die Dienste und Ergebnisse beschrieben, die von der Risiko-Engine-Funktion von Security Command Center unterstützt werden, sowie die Einschränkungen, die für den Support gelten.

Die Risiko-Engine generiert Angriffsrisikobewertungen und Simulationen des Angriffspfads für Folgendes:

• Unterstützte Ergebniskategorien in den Vulnerability- und Misconfiguration-Ergebnisklassen
• Toxic combination Kursergebnisse.
• Ressourceninstanzen von unterstützten Ressourcentypen, die Sie als „hohe Priorität“ kennzeichnen. Weitere Informationen finden Sie unter Ressourcentypen, die in Sets mit wertvollen Ressourcen unterstützt werden.

Security Command Center kann Risikowerte für Angriffspfade und Visualisierungen von Angriffspfaden für mehrere Plattformen von Cloud-Dienstanbietern bereitstellen. Die Unterstützung von Detectorn unterscheidet sich je nach Cloud-Dienstanbieter. Die Risiko-Engine basiert auf Schwachstellen- und Fehlkonfigurations-Detektoren, die für jeden Cloud-Dienstanbieter spezifisch sind. In den folgenden Abschnitten wird der Umfang der Unterstützung für die einzelnen Produkte beschrieben.

• Google Cloud
• Amazon Web Services (AWS)
• Microsoft Azure

Nur Support auf Organisationsebene

Für die Angriffspfadsimulationen, mit denen die Risikobewertungen und Angriffspfade in der Risk Engine generiert werden, muss Security Command Center auf Organisationsebene aktiviert sein. Simulationen von Angriffspfaden werden bei Aktivierungen auf Projektebene von Security Command Center nicht unterstützt.

Damit Sie Angriffspfade sehen können, muss die Google Cloud Consolenanzeige auf Ihre Organisation festgelegt sein. Wenn Sie in derGoogle Cloud -Konsole eine Projekt- oder Ordneransicht auswählen, sehen Sie zwar die Bewertungen der Angriffsrisiken, aber nicht die Angriffspfade.

Außerdem müssen die IAM-Berechtigungen, die Nutzer zum Ansehen von Angriffspfaden benötigen, auf Organisationsebene gewährt werden. Nutzer benötigen mindestens die Berechtigung securitycenter.attackpaths.list in einer Rolle, die auf Organisationsebene gewährt wurde. Die vordefinierte IAM-Rolle mit den geringsten Berechtigungen, die diese Berechtigung enthält, ist Security Center Attack Paths Reader (securitycenter.attackPathsViewer).

Weitere Rollen mit dieser Berechtigung finden Sie in der Referenz zu einfachen und vordefinierten IAM-Rollen.

Größenbeschränkungen für Organisationen

Bei Simulationen von Angriffspfaden schränkt die Risiko-Engine die Anzahl der aktiven Assets und aktiven Ergebnisse ein, die eine Organisation enthalten kann.

Wenn eine Organisation die in der folgenden Tabelle aufgeführten Limits überschreitet, werden keine Simulationen von Angriffspfaden ausgeführt.

Art des Limits	Nutzungsbeschränkung
Maximale Anzahl aktiver Ergebnisse	250.000.000
Maximale Anzahl aktiver Assets	26.000.000

Wenn die Assets, Ergebnisse oder beides in Ihrem Unternehmen diese Limits erreichen oder überschreiten, wenden Sie sich an den Cloud-Kundenservice, um eine Prüfung Ihrer Organisation für eine mögliche Erhöhung anzufordern.

Limits für Sets hochwertiger Ressourcen

Ein Satz hochwertiger Ressourcen unterstützt nur bestimmte Ressourcentypen und kann nur eine bestimmte Anzahl von Ressourceninstanzen enthalten.

• Ein Satz hochwertiger Ressourcen für eine Plattform eines Cloud-Dienstanbieters kann bis zu 1.000 Ressourceninstanzen enthalten.

• Sie können auf Google Cloudbis zu 100 Konfigurationen für Ressourcenwerte pro Organisation erstellen.

Unterstützung der Benutzeroberfläche

Sie können die Bewertung der Angriffsrisiken entweder in der Google Cloud Console, in der Security Operations Console oder in der Security Command Center API verwenden.

Sie können nur in der Security Operations Console mit Angriffsrisikowerten und Angriffspfaden für Fälle mit schädlichen Kombinationen arbeiten.

Sie können Konfigurationen für den Wert von Ressourcen nur auf dem Tab Angriffspfadsimulationen der Seite Einstellungen des Security Command Centers in der Google Cloud Console erstellen.

Google Cloud -Support

In den folgenden Abschnitten wird die Unterstützung der Risiko-Engine für Google Cloudbeschrieben.

Google Cloud Von der Risiko-Engine unterstützte Dienste

Die von der Risiko-Engine ausgeführten Simulationen können die folgenden Google Cloud Dienste umfassen:

• Artifact Registry
• BigQuery
• Cloud Run-Funktionen
• Cloud Key Management Service
• Cloud Load Balancing
• Cloud NAT
• Cloud Router
• Cloud SQL
• Cloud Storage
• Compute Engine
• Identity and Access Management
• Google Kubernetes Engine
• Virtual Private Cloud, einschließlich Subnetze und Firewallkonfigurationen
• Resource Manager

Google Cloud Ressourcentypen, die in Sets mit hochwertigen Ressourcen unterstützt werden

Sie können einem Satz hochwertiger Ressourcen nur die folgenden Arten von Google Cloud Ressourcen hinzufügen:

• aiplatform.googleapis.com/Dataset
• aiplatform.googleapis.com/Featurestore
• aiplatform.googleapis.com/MetadataStore
• aiplatform.googleapis.com/Model
• aiplatform.googleapis.com/TrainingPipeline

• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance
• container.googleapis.com/Cluster
• spanner.googleapis.com/Instance
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Google Cloud Ressourcentypen, die mit Klassifizierungen der Datensensibilität unterstützt werden

Bei Simulationen von Angriffspfaden können Prioritätswerte nur für die folgenden Datenressourcentypen automatisch anhand der Klassifizierungen der Datensensibilität aus der Erfassung sensibler Daten festgelegt werden:

• aiplatform.googleapis.com/Dataset
• bigquery.googleapis.com/Dataset
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Unterstützte Ergebniskategorien

Bei Angriffspfadsimulationen werden Risikowerte für Angriffspfade und Angriffspfade nur für die Security Command Center-Ergebniskategorien aus den in diesem Abschnitt aufgeführten Security Command Center-Erkennungsdiensten generiert.

Ergebnisse des GKE-Sicherheitsstatus

Die folgenden Kategorien von GKE Security Posture-Fehlern werden von Simulationen von Angriffspfaden unterstützt:

• Sicherheitslücke im GKE-Laufzeitbetriebssystem

Ergebnisse von Mandiant Attack Surface Management

Die folgenden Kategorien von Mandiant Attack Surface Management-Ergebnissen werden von Simulationen von Angriffspfaden unterstützt:

• Softwaresicherheitslücke

Ergebnisse der Risiko-Engine

Die von der Risk Engine generierte Kategorie Toxic combination unterstützt Angriffsbewertungen.

VM Manager-Ergebnisse

Die von VM Manager generierte Ergebniskategorie OS Vulnerability unterstützt Angriffsbewertungen.

Unterstützung für Pub/Sub-Benachrichtigungen

Änderungen an den Werten für die Angriffsexposition können nicht als Trigger für Benachrichtigungen an Pub/Sub verwendet werden.

Außerdem enthalten Ergebnisse, die beim Erstellen an Pub/Sub gesendet werden, keinen Wert für die Angriffsexposition, da sie gesendet werden, bevor ein Wert berechnet werden kann.

AWS-Support

Security Command Center kann Angriffsrisikobewertungen und Angriffspfadvisualisierungen für Ihre Ressourcen in AWS berechnen.

Von der Risiko-Engine unterstützte AWS-Dienste

Die Simulationen können die folgenden AWS-Dienste umfassen:

• Identity and Access Management (IAM)
• Security Token Service (STS)
• Simple Storage Service (S3)
• Web Application Firewall (WAFv2)
• Elastic Compute Cloud (EC2)
• Elastic Load Balancing (ELB und ELBv2)
• Relational Database Service (RDS)
• Key Management Service (KMS)
• Elastic Container Registry (ECR)
• Elastic Container Service (ECS)
• ApiGateway und ApiGatewayv2
• Organisationen (Account Management Service)
• CloudFront
• AutoScaling
• Lambda
• DynamoDB

AWS-Ressourcentypen, die in Sets mit wertvollen Ressourcen unterstützt werden

Sie können einem Ressourcensatz mit hohem Wert nur die folgenden Arten von AWS-Ressourcen hinzufügen:

• DynamoDB-Tabelle
• EC2-Instanz
• Lambda-Funktion
• RDS DBCluster
• RDS-DBInstance
• S3-Bucket

AWS-Ressourcentypen, die mit Klassifizierungen der Datensensibilität unterstützt werden

Bei Simulationen von Angriffspfaden können Prioritätswerte nur für die folgenden AWS-Datenressourcentypen automatisch anhand der Klassifizierungen der Datenvertraulichkeit aus der Erfassung von sensiblen Daten festgelegt werden:

• Amazon S3-Bucket

Support in Security Health Analytics für AWS

Die Risiko-Engine bietet Bewertungen und Visualisierungen von Angriffspfaden für die folgenden Kategorien von Security Health Analytics-Ergebnissen:

• Zugriffsschlüssel wurden weniger als 90 Tage lang rotiert
• Seit mindestens 45 Tagen nicht verwendete Anmeldedaten deaktiviert
• Standard-Sicherheitsgruppe der VPC schränkt gesamten Traffic ein
• EC2-Instanz ohne öffentliche IP-Adresse
• IAM-Passwortrichtlinie
• IAM-Passwortrichtlinie verhindert die Wiederverwendung von Passwörtern
• IAM-Passwortrichtlinie verlangt eine Mindestlänge von 14 Zeichen
• Prüfung auf nicht verwendete Anmeldedaten von IAM-Nutzern
• IAM-Nutzer erhalten Berechtigungsgruppen
• KMS-CMK nicht zum Löschen geplant
• S3-Buckets mit aktivierten MFA-Löschungen
• Root-Nutzerkonto mit aktivierter MFA
• Multi-Faktor-Authentifizierung (MFA) für alle IAM-Nutzer in der Konsole aktiviert
• Kein Zugriffsschlüssel für das Root-Nutzerkonto vorhanden
• Keine Sicherheitsgruppen lassen eingehenden Traffic von 0 an Remote-Serververwaltung zu
• Keine Sicherheitsgruppen lassen eingehenden Traffic von 0 0 0 0 an Remote-Serververwaltung zu
• Ein aktiver Zugriffsschlüssel pro IAM-Nutzer verfügbar
• RDS-Instanz öffentliche Zugriffsberechtigung gewährt
• Eingeschränkte gemeinsame Ports
• Eingeschränktes SSH
• Rotation für vom Kunden erstellte CMKs aktiviert
• Rotation für vom Kunden erstellte symmetrische CMKs aktiviert
• S3-Buckets mit konfiguriertem „Öffentlichen Zugriff blockieren (Bucket-Einstellungen)“
• S3-Bucket-Richtlinie auf Ablehnen von HTTP-Anfragen festgelegt
• S3-Standardverschlüsselung ist KMS
• VPC-Standardsicherheitsgruppe geschlossen

Ergebnisse der Sicherheitslückenbewertung für Amazon Web Services

Die Kategorie Software vulnerability, die vom EC2-Sicherheitsrisikobewertungstool generiert wird, unterstützt Angriffsbewertungen.

Azure-Support

Die Risiko-Engine kann Angriffsrisikobewertungen und Visualisierungen von Angriffspfaden für Ihre Ressourcen in Microsoft Azure generieren.

Nachdem Sie eine Verbindung zu Azure hergestellt haben, können Sie hochwertige Azure-Ressourcen festlegen, indem Sie Konfigurationen für Ressourcenwerte erstellen, genau wie bei Ressourcen in Google Cloud und AWS. Eine Anleitung finden Sie im Abschnitt Satz hochwertiger Ressourcen definieren und verwalten.

Bevor Sie Ihre erste Ressourcenwertkonfiguration für Azure erstellen, verwendet Security Command Center ein standardmäßiges Set mit Ressourcen mit hohem Wert, das für den jeweiligen Cloud-Dienstanbieter spezifisch ist.

In Security Command Center werden Simulationen für eine Cloud-Plattform ausgeführt, die unabhängig von Simulationen sind, die für andere Cloud-Plattformen ausgeführt werden.

Von der Risk Engine unterstützte Azure-Dienste

Die Simulationen des Angriffspfads können die folgenden Azure-Dienste umfassen:

• App-Dienst
• Azure Kubernetes Service (AKS)
• Virtuelles Netzwerk
• Container Registry
• Cosmos DB
• Funktionen
• Key Vault
• der MySQL-Datenbank verbinden
• Netzwerksicherheitsgruppen
• PostgreSQL-Datenbank
• Rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC)
• Service Bus
• SQL-Datenbank
• Storage Account (Speicherkonto)
• VM-Skalierungsgruppen
• Virtuelle Maschinen

Azure-Ressourcentypen, die Sie in Sets mit hochwertigen Ressourcen angeben können

Sie können einem Satz hochwertiger Ressourcen nur die folgenden Arten von Azure-Ressourcen hinzufügen:

• Microsoft.Compute/virtualMachines
  • Linux-VM
  • Windows-VM
• Microsoft.ContainerService/managedClusters
  • Kubernetes-Cluster
• Microsoft.DBforMySQL/flexibleServers/databases
  • MySQL-Datenbank
• Microsoft.DBforPostgreSQL/flexibleServers/databases
  • PostgreSQL-Datenbank
• Microsoft.DocumentDB/databaseAccounts
  • Cosmos DB-Konto
• Microsoft.Sql/servers/databases
  • SQL-Datenbank
• Microsoft.Storage/storageAccounts
  • Storage Account (Speicherkonto)
• Microsoft.Web/sites
  • App-Dienst
  • Funktions-App

Azure-Ressourcen, die im Standardsatz hochwertiger Ressourcen enthalten sind

Im Standardsatz hochwertiger Ressourcen sind folgende Ressourcen enthalten:

• Microsoft.Compute/virtualMachines
  • Linux-VM
  • Windows-VM
• Microsoft.DBforPostgreSQL/flexibleServers/databases
  • PostgreSQL-Datenbank
• Microsoft.DBforMySQL/flexibleServers/databases
  • MySQL-Datenbank
• Microsoft.DocumentDB/databaseAccounts
  • Cosmos DB-Konto
• Microsoft.Sql/servers/databases
  • SQL-Datenbank
• Microsoft.Storage/storageAccounts
  • Storage Account (Speicherkonto)
• Microsoft.Web/sites
  • App-Dienst
  • Funktions-App