Descripción general de la compatibilidad con funciones del motor de riesgos

En esta página, se describen los servicios y los resultados que admite la función de Risk Engine de Security Command Center, así como los límites de compatibilidad a los que está sujeta.

El motor de riesgo genera puntuaciones de exposición a ataques y simulaciones de rutas de ataque para lo siguiente:

  • Son las categorías de resultados admitidas en las clases de resultados Vulnerability y Misconfiguration.
  • Se encontraron Toxic combination incumplimientos de política.
  • Se encontraron Chokepoint incumplimientos de política.
  • Instancias de recursos de tipos de recursos admitidos que designes como de alto valor. Para obtener más información, consulta Tipos de recursos admitidos en conjuntos de recursos valiosos.

Security Command Center puede proporcionar puntuaciones de exposición a ataques y visualizaciones de rutas de ataque para varias plataformas de proveedores de servicios en la nube. La compatibilidad del detector varía según el proveedor de servicios en la nube. El motor de riesgos depende de detectores de vulnerabilidades y errores de configuración que son específicos para cada proveedor de servicios en la nube. En las siguientes secciones, se describen los recursos admitidos para cada proveedor de servicios en la nube.

Solo se brinda asistencia a nivel de la organización

Las simulaciones de rutas de ataque que usa Risk Engine para generar las puntuaciones de exposición a ataques y las rutas de ataque requieren que Security Command Center esté activado a nivel de la organización. Las simulaciones de rutas de ataque no son compatibles con las activaciones a nivel del proyecto de Security Command Center.

Para ver las rutas de ataque, la vista de la consola de Google Cloud debe estar configurada en tu organización. Si seleccionas una vista de proyecto o carpeta en la consola deGoogle Cloud , puedes ver las puntuaciones de exposición a ataques, pero no las rutas de ataque.

Además, los permisos de IAM que los usuarios necesitan para ver las rutas de ataque deben otorgarse a nivel de la organización. Como mínimo, los usuarios deben tener el permiso securitycenter.attackpaths.list en un rol otorgado a nivel de la organización. El rol de IAM predefinido con menos permisos que contiene este permiso es Lector de rutas de ataque del Centro de seguridad (securitycenter.attackPathsViewer).

Para ver otros roles que contienen este permiso, consulta la referencia de roles básicos y predefinidos de IAM.

Límites de tamaño para organizaciones

Para las simulaciones de rutas de ataque, el motor de riesgos limita la cantidad de recursos y hallazgos activos que puede tener una organización.

Si una organización supera los límites que se muestran en la siguiente tabla, no se ejecutarán las simulaciones de rutas de ataque.

Tipo de límite Límite de uso
Cantidad máxima de hallazgos activos 250,000,000
Cantidad máxima de recursos activos 26,000,000

Si los recursos, los hallazgos o ambos de tu organización se acercan a estos límites o los superan, comunícate con Atención al cliente de Cloud para solicitar una evaluación de tu organización y un posible aumento.

Límites de conjuntos de recursos de alto valor

Un conjunto de recursos de alto valor solo admite ciertos tipos de recursos y solo puede contener una cierta cantidad de instancias de recursos.

  • Un conjunto de recursos de alto valor para una plataforma de proveedor de servicios en la nube puede contener hasta 1,000 instancias de recursos.

  • Puedes crear hasta 100 configuraciones de valores de recursos por organización en Google Cloud.

Compatibilidad con la interfaz de usuario

Puedes trabajar con las puntuaciones de exposición a ataques en la consola de Google Cloud , la consola de Operaciones de seguridad o la API de Security Command Center.

Solo puedes trabajar con las puntuaciones de exposición a ataques y las rutas de ataque para los casos de combinación tóxica en la consola de Operaciones de seguridad.

Solo puedes crear parámetros de configuración de valor de recursos en la pestaña Simulaciones de ruta de ataque de la página Configuración de Security Command Center en la consola de Google Cloud .

Compatibilidad deGoogle Cloud

En las siguientes secciones, se describe la compatibilidad del motor de riesgos con Google Cloud.

Servicios deGoogle Cloud compatibles con Risk Engine

Las simulaciones que ejecuta el motor de riesgos pueden incluir los siguientes Google Cloud servicios:

  • Artifact Registry
  • BigQuery
  • Funciones de Cloud Run
  • Cloud Key Management Service
  • Cloud Load Balancing
  • Cloud NAT
  • Cloud Router
  • Cloud SQL
  • Cloud Storage
  • Compute Engine
  • Identity and Access Management
  • Google Kubernetes Engine
  • Nube privada virtual, incluidas las configuraciones de subredes y firewalls
  • Resource Manager

Google Cloud tipos de recursos admitidos en conjuntos de recursos de alto valor

Solo puedes agregar los siguientes tipos de recursos Google Cloud a un conjunto de recursos de alto valor:

  • aiplatform.googleapis.com/Dataset
  • aiplatform.googleapis.com/Featurestore
  • aiplatform.googleapis.com/MetadataStore
  • aiplatform.googleapis.com/TrainingPipeline
  • aiplatform.googleapis.com/Model
  • artifactregistry.googleapis.com/Repository
  • bigquery.googleapis.com/Dataset
  • cloudfunctions.googleapis.com/CloudFunction
  • compute.googleapis.com/Instance
  • container.googleapis.com/Cluster
  • spanner.googleapis.com/Instance
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

Google Cloud Tipos de recursos compatibles con clasificaciones de sensibilidad de los datos

Las simulaciones de rutas de ataque pueden establecer automáticamente valores de prioridad según las clasificaciones de sensibilidad de los datos de Sensitive Data Protection Discovery solo para los siguientes tipos de recursos de datos:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

Categorías de hallazgos compatibles

Las simulaciones de rutas de ataque generan puntuaciones de exposición a ataques y rutas de ataque solo para las categorías de resultados de Security Command Center de los servicios de detección de Security Command Center que se enumeran en esta sección.

Resultados de la postura de seguridad de GKE

Las simulaciones de rutas de ataque admiten las siguientes categorías de hallazgos de la Postura de seguridad de GKE:

  • Vulnerabilidad del SO del tiempo de ejecución de GKE

Hallazgos de Mandiant Attack Surface Management

Las simulaciones de rutas de ataque admiten las siguientes categorías de hallazgos de Mandiant Attack Surface Management:

  • Vulnerabilidad de software

Resultados del motor de riesgo

La categoría de hallazgo Toxic combination que genera Risk Engine admite puntuaciones de exposición a ataques.

Resultados de VM Manager

La categoría de hallazgo OS Vulnerability que genera VM Manager admite puntuaciones de exposición a ataques.

Compatibilidad con notificaciones de Pub/Sub

Los cambios en las puntuaciones de exposición a ataques no se pueden usar como activador para las notificaciones a Pub/Sub.

Además, los hallazgos que se envían a Pub/Sub cuando se crean no incluyen una puntuación de exposición al ataque porque se envían antes de que se pueda calcular una puntuación.

Asistencia de AWS

Security Command Center puede calcular las puntuaciones de exposición a ataques y las visualizaciones de rutas de ataque para tus recursos en AWS.

Servicios de AWS compatibles con el motor de riesgo

Las simulaciones pueden incluir los siguientes servicios de AWS:

  • Identity and Access Management (IAM)
  • Servicio de tokens de seguridad (STS)
  • Simple Storage Service (S3)
  • Firewall de aplicación web (WAFv2)
  • Elastic Compute Cloud (EC2)
  • Elastic Load Balancing (ELB y ELBv2)
  • Relational Database Service (RDS)
  • Key Management Service (KMS)
  • Elastic Container Registry (ECR)
  • Elastic Container Service (ECS)
  • ApiGateway y ApiGatewayv2
  • Organizaciones (servicio de administración de cuentas)
  • CloudFront
  • AutoScaling
  • Lambda
  • DynamoDB

Tipos de recursos de AWS admitidos en conjuntos de recursos de alto valor

Solo puedes agregar los siguientes tipos de recursos de AWS a un conjunto de recursos de alto valor:

  • Tabla de DynamoDB
  • Instancia de EC2
  • Función Lambda
  • DBCluster de RDS
  • Instancia de base de datos de RDS
  • Bucket de S3

Tipos de recursos de AWS compatibles con clasificaciones de sensibilidad de datos

Las simulaciones de rutas de ataque pueden establecer automáticamente valores de prioridad según las clasificaciones de sensibilidad de los datos del descubrimiento de Sensitive Data Protection solo para los siguientes tipos de recursos de datos de AWS:

  • Bucket de Amazon S3

Cómo obtener asistencia en las estadísticas de estado de seguridad para AWS

El motor de riesgos proporciona puntuaciones y visualizaciones de rutas de ataque para las siguientes categorías de resultados de Security Health Analytics:

  • Claves de acceso rotadas cada 90 días o menos
  • Credenciales sin usar durante más de 45 días inhabilitadas
  • El grupo de seguridad predeterminado de la VPC restringe todo el tráfico
  • Instancia de EC2 sin IP pública
  • Política de contraseñas de IAM
  • La política de contraseñas de IAM evita la reutilización de contraseñas
  • La política de contraseñas de IAM requiere una longitud mínima de 14 caracteres
  • Verificación de credenciales sin utilizar de usuarios de IAM
  • Los usuarios de IAM reciben grupos de permisos
  • La CMK del KMS no está programada para su eliminación
  • Eliminación con MFA habilitada en buckets de S3
  • Cuenta de usuario raíz con la MFA habilitada
  • Autenticación de varios factores MFA habilitada para todas las consolas de usuarios de IAM
  • No existe una clave de acceso de la cuenta de usuario raíz
  • Ningún grupo de seguridad permite la entrada de 0 para la administración del servidor remoto
  • Ningún grupo de seguridad permite la entrada de 0 0 0 0 para la administración del servidor remoto
  • Una clave de acceso activa disponible para cada usuario de IAM
  • Instancia de RDS con acceso público
  • Puertos comunes restringidos
  • SSH restringido
  • Rotación habilitada para los CMK creados por el cliente
  • Rotación habilitada para los CMK simétricos creados por el cliente
  • Buckets de S3 configurados con el bucket de acceso público
  • Política de bucket de S3 configurada para rechazar solicitudes HTTP
  • KMS de encriptación predeterminada de S3
  • Grupo de seguridad predeterminado de la VPC cerrado

Resultados de la evaluación de vulnerabilidades para Amazon Web Services

La categoría de hallazgos Software vulnerability que genera la Evaluación de vulnerabilidades de EC2 admite puntuaciones de exposición a ataques.

Soporte técnico de Azure

El motor de riesgos puede generar puntuaciones de exposición a ataques y visualizaciones de rutas de ataque para tus recursos en Microsoft Azure.

Después de establecer una conexión con Azure, puedes designar recursos de alto valor de Azure creando configuraciones de valor de recursos, como lo harías para los recursos en Google Cloud y AWS. Para obtener instrucciones, consulta la sección Define y administra tu conjunto de recursos de alto valor.

Antes de que crees tu primera configuración de valores de recursos para Azure, Security Command Center usa un conjunto predeterminado de recursos de alto valor que es específico del proveedor de servicios en la nube.

Security Command Center ejecuta simulaciones para una plataforma en la nube que son independientes de las simulaciones que se ejecutan para otras plataformas en la nube.

Servicios de Azure compatibles con el motor de riesgos

Las simulaciones de rutas de ataque pueden incluir los siguientes servicios de Azure:

  • App Service
  • Azure Kubernetes Service (AKS)
  • Red virtual
  • Container Registry
  • Cosmos DB
  • Funciones
  • Key Vault
  • la base de datos de MySQL
  • Grupos de seguridad de red
  • Base de datos de PostgreSQL
  • Control de acceso basado en roles (RBAC)
  • Service Bus
  • SQL Database
  • Cuenta de almacenamiento
  • Conjuntos de escalamiento de máquinas virtuales
  • Máquinas virtuales

Tipos de recursos de Azure que puedes especificar en conjuntos de recursos de alto valor

Solo puedes agregar los siguientes tipos de recursos de Azure a un conjunto de recursos de alto valor:

  • Microsoft.Compute/virtualMachines
    • VM de Linux
    • VM de Windows
  • Microsoft.ContainerService/managedClusters
    • Clúster de Kubernetes
  • Microsoft.DBforMySQL/flexibleServers/databases
    • Base de datos de MySQL
  • Microsoft.DBforPostgreSQL/flexibleServers/databases
    • Base de datos de PostgreSQL
  • Microsoft.DocumentDB/databaseAccounts
    • Cuenta de Cosmos DB
  • Microsoft.Sql/servers/databases
    • SQL Database
  • Microsoft.Storage/storageAccounts
    • Cuenta de almacenamiento
  • Microsoft.Web/sites
    • App Service
    • App de Functions

Recursos de Azure incluidos en el conjunto de recursos predeterminado de alto valor

A continuación, se indican los recursos incluidos en el conjunto de recursos de alto valor predeterminado:

  • Microsoft.Compute/virtualMachines
    • VM de Linux
    • VM de Windows
  • Microsoft.DBforPostgreSQL/flexibleServers/databases
    • Base de datos de PostgreSQL
  • Microsoft.DBforMySQL/flexibleServers/databases
    • Base de datos de MySQL
  • Microsoft.DocumentDB/databaseAccounts
    • Cuenta de Cosmos DB
  • Microsoft.Sql/servers/databases
    • SQL Database
  • Microsoft.Storage/storageAccounts
    • Cuenta de almacenamiento
  • Microsoft.Web/sites
    • App Service
    • App de Functions