Übersicht über die Unterstützung von Risk Engine-Funktionen

Auf dieser Seite werden die Dienste und Ergebnisse beschrieben, die von der Security Command Center Risk Engine unterstützt werden, sowie die Supportgrenzen, denen sie unterliegt.

Die Risk Engine generiert Angriffsrisikobewertungen und Simulationen des Angriffspfads für Folgendes:

• Unterstützte Ergebniskategorien in den Vulnerability- und Misconfiguration-Ergebnisklassen.
• Ergebnisse für die Klasse Toxic combination.
• Ergebnisse für die Klasse Chokepoint.
• Ressourceninstanzen unterstützter Ressourcentypen, die Sie als wertvoll kennzeichnen. Weitere Informationen finden Sie unter In Sets mit hochwertigen Ressourcen unterstützte Ressourcentypen.

Security Command Center kann Risikowerte für Angriffe und Visualisierungen von Angriffspfaden für mehrere Cloud-Dienstanbieterplattformen bereitstellen. Die Unterstützung von Detektoren ist je nach Cloud-Anbieter unterschiedlich. Die Risk Engine ist von Schwachstellen- und Fehlkonfigurationserkennungen abhängig, die für jeden Cloud-Dienstanbieter spezifisch sind. In den folgenden Abschnitten werden die unterstützten Ressourcen für die einzelnen Cloud-Dienstanbieter beschrieben.

• Google Cloud
• Amazon Web Services (AWS)
• Microsoft Azure

Nur Support auf Organisationsebene

Für die Angriffspfadsimulationen, die von Risk Engine zum Generieren der Angriffsrisikobewertungen und Angriffspfade verwendet werden, muss Security Command Center auf Organisationsebene aktiviert sein. Simulationen von Angriffspfaden werden bei Aktivierungen auf Projektebene von Security Command Center nicht unterstützt.

Damit Sie Angriffspfade sehen können, muss die Google Cloud Console-Ansicht auf Ihre Organisation eingestellt sein. Wenn Sie in derGoogle Cloud -Konsole ein Projekt oder eine Ordneransicht auswählen, können Sie die Werte für die Anfälligkeit für Angriffe sehen, aber nicht die Angriffspfade.

Außerdem müssen die IAM-Berechtigungen, die Nutzer zum Aufrufen von Angriffspfaden benötigen, auf Organisationsebene gewährt werden. Nutzer müssen mindestens die Berechtigung securitycenter.attackpaths.list in einer Rolle haben, die auf Organisationsebene zugewiesen wird. Die vordefinierte IAM-Rolle mit den geringsten Berechtigungen, die diese Berechtigung enthält, ist Security Center Attack Paths Reader (securitycenter.attackPathsViewer).

Andere Rollen mit dieser Berechtigung finden Sie in der Referenz zu einfachen und vordefinierten IAM-Rollen.

Größenbeschränkungen für Organisationen

Für Simulationen von Angriffspfaden begrenzt die Risk Engine die Anzahl der aktiven Assets und aktiven Ergebnisse, die eine Organisation enthalten kann.

Wenn eine Organisation die in der folgenden Tabelle aufgeführten Limits überschreitet, werden keine Simulationen von Angriffspfaden ausgeführt.

Art des Limits	Nutzungsbeschränkung
Maximale Anzahl aktiver Ergebnisse	250.000.000
Maximale Anzahl aktiver Assets	26.000.000

Wenn die Assets, die Ergebnisse oder beides in Ihrer Organisation diese Grenzwerte erreichen oder überschreiten, wenden Sie sich an Cloud Customer Care, um eine Überprüfung Ihrer Organisation für eine mögliche Erhöhung anzufordern.

Limits für Sätze hochwertiger Ressourcen

Ein Satz hochwertiger Ressourcen unterstützt nur bestimmte Ressourcentypen und kann nur eine bestimmte Anzahl von Ressourceninstanzen enthalten.

• Ein Satz hochwertiger Ressourcen für eine Cloud-Dienstanbieterplattform kann bis zu 1.000 Ressourceninstanzen enthalten.

• Sie können bis zu 100 Konfigurationen für Ressourcenwerte pro Organisation auf Google Clouderstellen.

Unterstützung der Benutzeroberfläche

Sie können mit den Werten für die Angriffsgefährdung entweder in der Google Cloud -Konsole, der Security Operations-Konsole oder der Security Command Center API arbeiten.

Sie können nur in der Security Operations Console mit Angriffsrisikowerten und Angriffspfaden für Fälle mit toxischen Kombinationen arbeiten.

Sie können Konfigurationen für den Wert von Ressourcen nur auf dem Tab Angriffspfadsimulationen der Seite Einstellungen des Security Command Center in der Google Cloud Console erstellen.

Google Cloud -Support

In den folgenden Abschnitten wird die Unterstützung der Risk Engine für Google Cloudbeschrieben.

Von der Risk Engine unterstützteGoogle Cloud -Dienste

Die von Risk Engine ausgeführten Simulationen können die folgenden Google Cloud Dienste umfassen:

• Artifact Registry
• BigQuery
• Cloud Run-Funktionen
• Cloud Key Management Service
• Cloud Load Balancing
• Cloud NAT
• Cloud Router
• Cloud SQL
• Cloud Storage
• Compute Engine
• Identity and Access Management
• Google Kubernetes Engine
• Virtual Private Cloud, einschließlich Subnetze und Firewallkonfigurationen
• Resource Manager

Google Cloud Unterstützte Ressourcentypen in Sätzen hochwertiger Ressourcen

Sie können einem Satz hochwertiger Ressourcen nur die folgenden Arten von Google Cloud Ressourcen hinzufügen:

• aiplatform.googleapis.com/Dataset
• aiplatform.googleapis.com/Featurestore
• aiplatform.googleapis.com/MetadataStore
• aiplatform.googleapis.com/TrainingPipeline

• aiplatform.googleapis.com/Model
• artifactregistry.googleapis.com/Repository
• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance

• container.googleapis.com/Cluster

• spanner.googleapis.com/Instance
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Google Cloud Ressourcentypen, die mit Klassifizierungen für die Datenvertraulichkeit unterstützt werden

Bei Simulationen von Angriffspfaden können Prioritätswerte automatisch auf Grundlage von Klassifizierungen der Datenvertraulichkeit aus der Erkennung durch den Schutz sensibler Daten für die folgenden Datenressourcentypen festgelegt werden:

• aiplatform.googleapis.com/Dataset
• bigquery.googleapis.com/Dataset
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Unterstützte Ergebniskategorien

Bei Angriffspfadsimulationen werden Risikobewertungen für Angriffspfade und Angriffspfade nur für die Security Command Center-Ergebniskategorien der in diesem Abschnitt aufgeführten Security Command Center-Erkennungsdienste generiert.

Ergebnisse des GKE-Sicherheitsstatus

Die folgenden GKE Security Posture-Ergebniskategorien werden von Angriffspfadsimulationen unterstützt:

• Sicherheitslücke im GKE-Laufzeitbetriebssystem

Ergebnisse von Mandiant Attack Surface Management

Die folgenden Mandiant Attack Surface Management-Ergebniskategorien werden von Angriffspfadsimulationen unterstützt:

• Softwaresicherheitslücke

Ergebnisse der Risk Engine

Die von der Risk Engine generierte Ergebniskategorie Toxic combination unterstützt Angriffsbewertungen.

VM Manager-Ergebnisse

Die von VM Manager generierte Ergebniskategorie OS Vulnerability unterstützt Angriffsbewertungen.

Unterstützung für Pub/Sub-Benachrichtigungen

Änderungen an den Werten für die Anfälligkeit für Angriffe können nicht als Trigger für Benachrichtigungen an Pub/Sub verwendet werden.

Außerdem enthalten Ergebnisse, die beim Erstellen an Pub/Sub gesendet werden, keinen Wert für das Risiko von Angriffen, da sie gesendet werden, bevor ein Wert berechnet werden kann.

AWS-Support

Security Command Center kann Angriffsrisikobewertungen und Visualisierungen von Angriffspfaden für Ihre Ressourcen in AWS berechnen.

Von Risk Engine unterstützte AWS-Dienste

Die Simulationen können die folgenden AWS-Dienste umfassen:

• Identity and Access Management (IAM)
• Security Token Service (STS)
• Simple Storage Service (S3)
• Web Application Firewall (WAFv2)
• Elastic Compute Cloud (EC2)
• Elastic Load Balancing (ELB & ELBv2)
• Relational Database Service (RDS)
• Key Management Service (KMS)
• Elastic Container Registry (ECR)
• Elastic Container Service (ECS)
• ApiGateway und ApiGatewayv2
• Organisationen (Account Management Service)
• CloudFront
• AutoScaling
• Lambda
• DynamoDB

AWS-Ressourcentypen, die in hochwertigen Ressourcensätzen unterstützt werden

Sie können einem Ressourcenset mit hohem Wert nur die folgenden Arten von AWS-Ressourcen hinzufügen:

• DynamoDB-Tabelle
• EC2-Instanz
• Lambda-Funktion
• RDS DBCluster
• RDS-DBInstance
• S3-Bucket

AWS-Ressourcentypen, die mit Klassifizierungen für die Datenvertraulichkeit unterstützt werden

Bei Simulationen von Angriffspfaden können Prioritätswerte automatisch auf Grundlage von Klassifizierungen der Datenvertraulichkeit aus Sensitive Data Protection Discovery für die folgenden AWS-Datenressourcentypen festgelegt werden:

• Amazon S3-Bucket

Support für Security Health Analytics für AWS

Die Risk Engine bietet Werte und Visualisierungen von Angriffspfaden für die folgenden Kategorien von Security Health Analytics-Ergebnissen:

• Zugriffsschlüssel alle 90 Tage oder weniger rotiert
• Seit mindestens 45 Tagen nicht verwendete Anmeldedaten deaktiviert
• Die Standard-Sicherheitsgruppe der VPC schränkt den gesamten Traffic ein
• EC2-Instanz ohne öffentliche IP-Adresse
• IAM-Passwortrichtlinie
• IAM-Passwortrichtlinie verhindert die Wiederverwendung von Passwörtern
• IAM-Passwortrichtlinie verlangt eine Mindestlänge von 14 Zeichen
• Prüfung auf nicht verwendete Anmeldedaten von IAM-Nutzern
• IAM-Nutzer erhalten Berechtigungen über Gruppen
• KMS-CMK nicht zum Löschen geplant
• S3-Buckets mit aktivierten MFA-Löschungen
• Root-Nutzerkonto mit aktivierter MFA
• Multi-Faktor-Authentifizierung (MFA) für alle IAM-Nutzer in der Konsole aktiviert
• Kein Zugriffsschlüssel für Root-Nutzerkonto vorhanden
• Keine Sicherheitsgruppen lassen eingehenden Traffic von 0 an Remote-Serververwaltung zu
• Keine Sicherheitsgruppen lassen eingehenden Traffic von 0 0 0 0 an Remote-Serververwaltung zu
• Ein aktiver Zugriffsschlüssel pro IAM-Nutzer verfügbar
• RDS-Instanz öffentliche Zugriffsberechtigung gewährt
• Eingeschränkte gemeinsame Ports
• Eingeschränktes SSH
• Rotation für vom Kunden erstellte CMKs aktiviert
• Rotation für vom Kunden erstellte symmetrische CMKs aktiviert
• S3-Buckets mit konfiguriertem „Öffentlichen Zugriff blockieren (Bucket-Einstellungen)“
• S3-Bucket-Richtlinie auf Ablehnen von HTTP-Anfragen festgelegt
• S3-Standardverschlüsselung ist KMS
• VPC-Standardsicherheitsgruppe geschlossen

Ergebnisse der Sicherheitslückenbewertung für Amazon Web Services

Die von EC2 Vulnerability Assessment generierte Software vulnerability-Ergebniskategorie unterstützt Angriffsbewertungen.

Azure-Support

Die Risk Engine kann Angriffsrisikobewertungen und Visualisierungen von Angriffspfaden für Ihre Ressourcen in Microsoft Azure generieren.

Nachdem Sie eine Verbindung zu Azure hergestellt haben, können Sie hochwertige Azure-Ressourcen festlegen, indem Sie Ressourcenwertkonfigurationen erstellen, wie Sie es für Ressourcen auf Google Cloud und AWS tun würden. Eine Anleitung finden Sie im Abschnitt Satz hochwertiger Ressourcen definieren und verwalten.

Bevor Sie Ihre erste Konfiguration für Ressourcenwerte für Azure erstellen, verwendet Security Command Center einen standardmäßigen Satz von Ressourcen mit hohem Wert, der für den Cloud-Dienstanbieter spezifisch ist.

Security Command Center führt Simulationen für eine Cloud-Plattform aus, die unabhängig von Simulationen für andere Cloud-Plattformen sind.

Von Risk Engine unterstützte Azure-Dienste

Die Simulationen des Angriffspfads können die folgenden Azure-Dienste umfassen:

• App Service
• Azure Kubernetes Service (AKS)
• Virtuelles Netzwerk
• Container Registry
• Cosmos DB
• Funktionen
• Key Vault
• der MySQL-Datenbank verbinden
• Netzwerksicherheitsgruppen
• PostgreSQL-Datenbank
• Rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC)
• Service Bus
• SQL-Datenbank
• Storage Account (Speicherkonto)
• VM-Skalierungsgruppen
• Virtuelle Maschinen

Azure-Ressourcentypen, die Sie in Sätzen hochwertiger Ressourcen angeben können

Sie können einem Satz hochwertiger Ressourcen nur die folgenden Arten von Azure-Ressourcen hinzufügen:

• Microsoft.Compute/virtualMachines
  • Linux-VM
  • Windows-VM
• Microsoft.ContainerService/managedClusters
  • Kubernetes-Cluster
• Microsoft.DBforMySQL/flexibleServers/databases
  • MySQL-Datenbank
• Microsoft.DBforPostgreSQL/flexibleServers/databases
  • PostgreSQL-Datenbank
• Microsoft.DocumentDB/databaseAccounts
  • Cosmos DB-Konto
• Microsoft.Sql/servers/databases
  • SQL-Datenbank
• Microsoft.Storage/storageAccounts
  • Storage Account (Speicherkonto)
• Microsoft.Web/sites
  • App Service
  • Funktions-App

Azure-Ressourcen, die im Standard-Satz hochwertiger Ressourcen enthalten sind

Die folgenden Ressourcen sind im standardmäßigen Satz hochwertiger Ressourcen enthalten:

• Microsoft.Compute/virtualMachines
  • Linux-VM
  • Windows-VM
• Microsoft.DBforPostgreSQL/flexibleServers/databases
  • PostgreSQL-Datenbank
• Microsoft.DBforMySQL/flexibleServers/databases
  • MySQL-Datenbank
• Microsoft.DocumentDB/databaseAccounts
  • Cosmos DB-Konto
• Microsoft.Sql/servers/databases
  • SQL-Datenbank
• Microsoft.Storage/storageAccounts
  • Storage Account (Speicherkonto)
• Microsoft.Web/sites
  • App Service
  • Funktions-App