Cette page décrit les services et les résultats compatibles avec la fonctionnalité Moteur de risque de Security Command Center, ainsi que les limites de compatibilité auxquelles elle est soumise.
Risk Engine génère des scores d'exposition aux attaques et des simulations de chemins d'attaque pour les éléments suivants :
- Catégories de résultats acceptées dans les classes de résultats
VulnerabilityetMisconfiguration. - Constatations de la classe
Toxic combination. - Constatations de la classe
Chokepoint. - Instances de ressources de types de ressources acceptés que vous désignez comme étant de grande valeur. Pour en savoir plus, consultez Types de ressources compatibles avec les ensembles de ressources à forte valeur.
Security Command Center peut fournir des scores d'exposition aux attaques et des visualisations de vecteurs d'attaque pour plusieurs plates-formes de fournisseurs de services cloud. La compatibilité des détecteurs diffère pour chaque fournisseur de services cloud. Le moteur de risque dépend des détecteurs de vulnérabilités et de mauvaises configurations spécifiques à chaque fournisseur de services cloud. Les sections suivantes décrivent les ressources compatibles pour chaque fournisseur de services cloud.
Assistance au niveau de l'organisation uniquement
Les simulations de chemins d'attaque que le moteur de risque utilise pour générer les scores d'exposition aux attaques et les chemins d'attaque nécessitent que Security Command Center soit activé au niveau de l'organisation. Les simulations de chemin d'attaque ne sont pas compatibles avec les activations au niveau du projet de Security Command Center.
Pour afficher les chemins d'attaque, la vue de votre console Google Cloud doit être définie sur votre organisation. Si vous sélectionnez une vue de projet ou de dossier dans la consoleGoogle Cloud , vous pouvez voir les scores d'exposition aux attaques, mais pas les chemins d'attaque.
De plus, les autorisations IAM dont les utilisateurs ont besoin pour afficher les chemins d'attaque doivent être accordées au niveau de l'organisation. Les utilisateurs doivent au minimum disposer de l'autorisation securitycenter.attackpaths.list dans un rôle accordé au niveau de l'organisation. Le rôle IAM prédéfini le moins permissif qui contient cette autorisation est Lecteur des chemins d'attaque du centre de sécurité (securitycenter.attackPathsViewer).
Pour voir les autres rôles qui contiennent cette autorisation, consultez la documentation de référence sur les rôles IAM de base et prédéfinis.
Limites de taille pour les organisations
Pour les simulations de chemin d'attaque, le moteur de risque limite le nombre d'actifs et de résultats actifs qu'une organisation peut contenir.
Si une organisation dépasse les limites indiquées dans le tableau suivant, les simulations de chemin d'attaque ne sont pas exécutées.
| Type de limite | Limite d'utilisation |
|---|---|
| Nombre maximal de résultats actifs | 250 000 000 |
| Nombre maximal d'éléments actifs | 26 000 000 |
Si les composants, les résultats ou les deux dans votre organisation approchent ou dépassent ces limites, contactez Cloud Customer Care pour demander une évaluation de votre organisation en vue d'une éventuelle augmentation.
Limites des ensembles de ressources de forte valeur
Un ensemble de ressources à forte valeur ne prend en charge que certains types de ressources et ne peut contenir qu'un certain nombre d'instances de ressources.
Un ensemble de ressources à forte valeur pour une plate-forme de fournisseur de services cloud peut contenir jusqu'à 1 000 instances de ressources.
Vous pouvez créer jusqu'à 100 configurations de valeurs de ressources par organisation sur Google Cloud.
Prise en charge de l'interface utilisateur
Vous pouvez utiliser les scores d'exposition aux attaques dans la console Google Cloud , la console Security Operations ou l'API Security Command Center.
Vous ne pouvez utiliser les scores d'exposition aux attaques et les chemins d'attaque pour les cas de combinaisons toxiques que dans la console Security Operations.
Vous ne pouvez créer des configurations de valeurs de ressources que dans l'onglet Simulations de chemins d'attaque de la page Paramètres de Security Command Center dans la console Google Cloud .
Compatibilité avecGoogle Cloud
Les sections suivantes décrivent la compatibilité du moteur de risque avec Google Cloud.
ServicesGoogle Cloud compatibles avec le moteur de risque
Les simulations exécutées par le moteur de risque peuvent inclure les services suivants : Google Cloud
- Artifact Registry
- BigQuery
- Fonctions Cloud Run
- Cloud Key Management Service
- Cloud Load Balancing
- Cloud NAT
- Cloud Router
- Cloud SQL
- Cloud Storage
- Compute Engine
- Identity and Access Management
- Google Kubernetes Engine
- Cloud privé virtuel, y compris les sous-réseaux et les configurations de pare-feu
- Resource Manager
Types de ressourcesGoogle Cloud acceptés dans les ensembles de ressources à forte valeur
Vous ne pouvez ajouter que les types de ressources Google Cloud suivants à un ensemble de ressources à forte valeur :
aiplatform.googleapis.com/Datasetaiplatform.googleapis.com/Featurestoreaiplatform.googleapis.com/MetadataStoreaiplatform.googleapis.com/TrainingPipeline
aiplatform.googleapis.com/Modelartifactregistry.googleapis.com/Repositorybigquery.googleapis.com/Datasetcloudfunctions.googleapis.com/CloudFunctioncompute.googleapis.com/Instance
container.googleapis.com/Cluster
spanner.googleapis.com/Instancesqladmin.googleapis.com/Instancestorage.googleapis.com/Bucket
Types de ressourcesGoogle Cloud compatibles avec les classifications de sensibilité des données
Les simulations de chemin d'attaque peuvent définir automatiquement des valeurs de priorité en fonction des classifications de sensibilité des données issues de la découverte de la protection des données sensibles pour les types de ressources de données suivants uniquement :
aiplatform.googleapis.com/Datasetbigquery.googleapis.com/Datasetsqladmin.googleapis.com/Instancestorage.googleapis.com/Bucket
Catégories de résultats acceptées
Les simulations de chemins d'attaque génèrent des scores d'exposition aux attaques et des chemins d'attaque uniquement pour les catégories de résultats Security Command Center des services de détection Security Command Center listés dans cette section.
Résultats de la stratégie de sécurité GKE
Les catégories de résultats GKE Security Posture suivantes sont compatibles avec les simulations de chemin d'attaque :
- Faille de l'OS d'exécution GKE
Résultats de Mandiant Attack Surface Management
Les catégories de résultats Mandiant Attack Surface Management suivantes sont compatibles avec les simulations de chemin d'attaque :
- Faille logicielle
Résultats du moteur de gestion des risques
La catégorie de résultats Toxic combination générée par le moteur de gestion des risques est compatible avec les scores d'exposition aux attaques.
Résultats de VM Manager
La catégorie de résultats OS Vulnerability générée par VM Manager est compatible avec les scores d'exposition aux attaques.
Compatibilité avec les notifications Pub/Sub
Les modifications apportées aux scores d'exposition aux attaques ne peuvent pas être utilisées comme déclencheur pour les notifications Pub/Sub.
De plus, les résultats envoyés à Pub/Sub lors de leur création n'incluent pas de score d'exposition aux attaques, car ils sont envoyés avant qu'un score puisse être calculé.
Assistance AWS
Security Command Center peut calculer les scores d'exposition aux attaques et les visualisations de chemins d'attaque pour vos ressources sur AWS.
Services AWS compatibles avec le moteur de risque
Les simulations peuvent inclure les services AWS suivants :
- Identity and Access Management (IAM)
- Service de jetons de sécurité (STS)
- Simple Storage Service (S3)
- Pare-feu d'application Web (WAFv2)
- Elastic Compute Cloud (EC2)
- Elastic Load Balancing (ELB et ELBv2)
- Relational Database Service (RDS)
- Key Management Service (KMS)
- Elastic Container Registry (ECR)
- Elastic Container Service (ECS)
- ApiGateway et ApiGatewayv2
- Organisations (service de gestion de compte)
- CloudFront
- Autoscaling
- Lambda
- DynamoDB
Types de ressources AWS compatibles avec les ensembles de ressources à forte valeur
Vous ne pouvez ajouter que les types de ressources AWS suivants à un ensemble de ressources à forte valeur :
- Table DynamoDB
- Instance EC2
- Fonction lambda
- RDS DBCluster
- Instance de base de données RDS
- Bucket S3
Types de ressources AWS compatibles avec les classifications de sensibilité des données
Les simulations de chemin d'attaque peuvent définir automatiquement des valeurs de priorité en fonction des classifications de sensibilité des données issues de la découverte de la protection des données sensibles, mais uniquement pour les types de ressources de données AWS suivants :
- Bucket Amazon S3
Obtenir de l'aide dans Security Health Analytics pour AWS
Le moteur de risque fournit des scores et des visualisations de chemin d'attaque pour les catégories de résultats Security Health Analytics suivantes :
- Clés d'accès alternées tous les 90 jours au maximum
- Identifiants inutilisés pendant au moins 45 jours désactivés
- Le VPC du groupe de sécurité par défaut limite tout le trafic
- Pas d'adresse IP publique pour les instances EC2
- Stratégie de mots de passe IAM
- La stratégie de mots de passe IAM empêche de réutiliser des mots de passe
- La stratégie de mots de passe IAM nécessite au moins 14 caractères
- Vérification des identifiants inutilisés des utilisateurs IAM
- Les utilisateurs IAM reçoivent des groupes d'autorisations
- Suppression des CMK KMS non planifiée
- Buckets S3 avec suppression MFA activée
- MFA activée sur le compte utilisateur racine
- Authentification multifacteur (MFA) activée pour tous les utilisateurs de la console IAM
- Aucune clé d'accès n'existe pour le compte utilisateur racine
- Aucun groupe de sécurité n'autorise l'entrée de 0 vers l'administration du serveur distant
- Aucun groupe de sécurité n'autorise l'entrée de 0 0 0 0 vers l'administration du serveur distant
- Une seule clé d'accès active est disponible par utilisateur IAM
- Accès public accordé pour l'instance RDS
- Ports communs restreints
- SSH restreint
- Rotation des CMK créées par le client activée
- Rotation des CMK symétriques créées par le client activée
- Buckets S3 configurés avec le paramètre de bucket "Bloquer l'accès public"
- Stratégie de bucket S3 définie pour refuser les requêtes HTTP
- Clé KMS de chiffrement par défaut pour S3
- Groupe de sécurité VPC par défaut fermé
Résultats de l'évaluation des failles pour Amazon Web Services
La catégorie de résultats Software vulnerability générée par EC2 Vulnerability Assessment est compatible avec les scores d'exposition aux attaques.
Assistance Azure
Le moteur de risque peut générer des scores d'exposition aux attaques et des visualisations de chemins d'attaque pour vos ressources sur Microsoft Azure.
Une fois que vous avez établi une connexion à Azure, vous pouvez désigner des ressources Azure à forte valeur en créant des configurations de valeur de ressource, comme vous le feriez pour les ressources sur Google Cloud et AWS. Pour obtenir des instructions, consultez la section Définir et gérer votre ensemble de ressources à forte valeur.
Avant de créer votre première configuration de valeur de ressource pour Azure, Security Command Center utilise un ensemble de ressources à forte valeur par défaut, spécifique au fournisseur de services cloud.
Security Command Center exécute des simulations pour une plate-forme cloud qui sont indépendantes des simulations exécutées pour d'autres plates-formes cloud.
Services Azure compatibles avec le moteur de gestion des risques
Les simulations de chemin d'attaque peuvent inclure les services Azure suivants :
- Service d'application
- Azure Kubernetes Service (AKS)
- Réseau virtuel
- Container Registry
- Cosmos DB
- Fonctions
- Key Vault
- à une base de données MySQL
- Groupes de sécurité réseau
- Base de données PostgreSQL
- Contrôle des accès basé sur les rôles (RBAC)
- Service Bus
- SQL Database
- Storage Account (Compte de stockage)
- Ensembles de mise à l'échelle des machines virtuelles
- Machines virtuelles
Types de ressources Azure que vous pouvez spécifier dans les ensembles de ressources à forte valeur
Vous ne pouvez ajouter que les types de ressources Azure suivants à un ensemble de ressources à forte valeur :
- Microsoft.Compute/virtualMachines
- VM Linux
- VM Windows
- Microsoft.ContainerService/managedClusters
- Cluster Kubernetes
- Microsoft.DBforMySQL/flexibleServers/databases
- Base de données MySQL
- Microsoft.DBforPostgreSQL/flexibleServers/databases
- Base de données PostgreSQL
- Microsoft.DocumentDB/databaseAccounts
- Compte Cosmos DB
- Microsoft.Sql/servers/databases
- SQL Database
- Microsoft.Storage/storageAccounts
- Storage Account (Compte de stockage)
- Microsoft.Web/sites
- Service d'application
- Application de fonctions
Ressources Azure incluses dans l'ensemble de ressources à forte valeur par défaut
Voici les ressources incluses dans l'ensemble de ressources à forte valeur par défaut :
- Microsoft.Compute/virtualMachines
- VM Linux
- VM Windows
- Microsoft.DBforPostgreSQL/flexibleServers/databases
- Base de données PostgreSQL
- Microsoft.DBforMySQL/flexibleServers/databases
- Base de données MySQL
- Microsoft.DocumentDB/databaseAccounts
- Compte Cosmos DB
- Microsoft.Sql/servers/databases
- SQL Database
- Microsoft.Storage/storageAccounts
- Storage Account (Compte de stockage)
- Microsoft.Web/sites
- Service d'application
- Application de fonctions