Dukungan fitur Mesin Risiko

Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Halaman ini menjelaskan layanan dan temuan yang didukung oleh fitur Security Command Center Risk Engine dan batas dukungan yang berlaku untuknya.

Mesin Risiko menghasilkan skor eksposur serangan dan simulasi jalur serangan untuk hal berikut:

• Kategori temuan yang didukung di class temuan Vulnerability dan Misconfiguration.
• Temuan class Toxic combination.
• Instance resource dari jenis resource yang didukung yang Anda tetapkan sebagai nilai tinggi. Untuk mengetahui informasi selengkapnya, lihat Jenis resource yang didukung dalam set resource bernilai tinggi.

Security Command Center dapat memberikan skor eksposur serangan dan visualisasi jalur serangan untuk beberapa platform penyedia layanan cloud. Dukungan detektor berbeda untuk setiap penyedia layanan cloud. Risk Engine bergantung pada pendeteksi kerentanan dan kesalahan konfigurasi yang spesifik untuk setiap penyedia layanan cloud. Bagian berikut menjelaskan cakupan dukungan untuk masing-masing.

• Google Cloud
• Amazon Web Services (AWS)
• Microsoft Azure

Hanya dukungan tingkat organisasi

Simulasi jalur serangan yang digunakan Risk Engine untuk menghasilkan skor eksposur serangan dan jalur serangan mengharuskan Security Command Center diaktifkan di level organisasi. Simulasi jalur serangan tidak didukung dengan aktivasi level project Security Command Center.

Untuk melihat jalur serangan, Google Cloud tampilan konsol Anda harus ditetapkan ke organisasi Anda. Jika memilih tampilan project atau folder di Google Cloud console, Anda dapat melihat skor eksposur serangan, tetapi Anda tidak dapat melihat jalur serangan.

Selain itu, izin IAM yang diperlukan pengguna untuk melihat jalur serangan harus diberikan di tingkat organisasi. Setidaknya, pengguna harus memiliki izin securitycenter.attackpaths.list dalam peran yang diberikan di tingkat organisasi. Peran IAM bawaan yang paling sedikit permisif dan berisi izin ini adalah Security Center Attack Paths Reader (securitycenter.attackPathsViewer).

Untuk melihat peran lain yang berisi izin ini, lihat Referensi peran dasar dan bawaan IAM.

Batas ukuran untuk organisasi

Untuk simulasi jalur serangan, Mesin Risiko membatasi jumlah aset aktif dan temuan aktif yang dapat dimiliki organisasi.

Jika organisasi melampaui batas yang ditampilkan dalam tabel berikut, simulasi jalur serangan tidak akan berjalan.

Jenis batas	Batas penggunaan
Jumlah maksimum temuan aktif	250.000.000
Jumlah maksimum aset aktif	26.000.000

Jika aset, temuan, atau keduanya di organisasi Anda mendekati atau melebihi batas ini, hubungi Cloud Customer Care untuk meminta evaluasi organisasi Anda guna mengetahui kemungkinan peningkatan.

Batas set resource bernilai tinggi

Kumpulan resource bernilai tinggi hanya mendukung jenis resource tertentu dan hanya dapat berisi sejumlah instance resource tertentu.

• Set resource bernilai tinggi untuk platform penyedia layanan cloud dapat berisi hingga 1.000 instance resource.

• Anda dapat membuat hingga 100 konfigurasi nilai resource per organisasi di Google Cloud.

Dukungan antarmuka pengguna

Anda dapat menggunakan skor eksposur serangan di konsol Google Cloud , konsol Security Operations, atau Security Command Center API.

Anda dapat menggunakan skor eksposur serangan dan jalur serangan untuk kasus kombinasi toksik hanya di konsol Security Operations.

Anda dapat membuat konfigurasi nilai resource hanya di tab Simulasi jalur serangan pada halaman Setelan Security Command Center di Google Cloud console.

DukunganGoogle Cloud

Bagian berikut menjelaskan dukungan Risk Engine untuk Google Cloud.

LayananGoogle Cloud yang didukung oleh Risk Engine

Simulasi yang dijalankan Risk Engine dapat mencakup layanan Google Cloud berikut:

• Artifact Registry
• BigQuery
• Cloud Run Functions
• Cloud Key Management Service
• Cloud Load Balancing
• Cloud NAT
• Cloud Router
• Cloud SQL
• Cloud Storage
• Compute Engine
• Identity and Access Management
• Google Kubernetes Engine
• Virtual Private Cloud, termasuk subnet dan konfigurasi firewall
• Resource Manager

Google Cloud jenis resource yang didukung dalam set resource bernilai tinggi

Anda hanya dapat menambahkan jenis resource Google Cloud berikut ke set resource bernilai tinggi:

• aiplatform.googleapis.com/Dataset
• aiplatform.googleapis.com/Featurestore
• aiplatform.googleapis.com/MetadataStore
• aiplatform.googleapis.com/Model
• aiplatform.googleapis.com/TrainingPipeline

• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance
• container.googleapis.com/Cluster
• spanner.googleapis.com/Instance
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Google Cloud jenis resource yang didukung dengan klasifikasi sensitivitas data

Simulasi jalur serangan dapat otomatis menetapkan nilai prioritas berdasarkan klasifikasi sensitivitas data dari penemuan Perlindungan Data Sensitif hanya untuk jenis resource data berikut:

• aiplatform.googleapis.com/Dataset
• bigquery.googleapis.com/Dataset
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Kategori temuan yang didukung

Simulasi jalur serangan menghasilkan skor eksposur serangan dan jalur serangan hanya untuk kategori temuan Security Command Center dari layanan deteksi Security Command Center yang tercantum di bagian ini.

Temuan Postur Keamanan GKE

Kategori temuan Postur Keamanan GKE berikut didukung oleh simulasi jalur serangan:

• Kerentanan OS runtime GKE

Temuan Mandiant Attack Surface Management

Kategori penemuan Mandiant Attack Surface Management berikut didukung oleh simulasi jalur serangan:

• Kerentanan software

Temuan Mesin Risiko

Kategori temuan Toxic combination yang dihasilkan oleh Mesin Risiko mendukung skor eksposur serangan.

Temuan VM Manager

Kategori temuan OS Vulnerability yang dihasilkan oleh Pengelola VM mendukung skor eksposur serangan.

Dukungan notifikasi Pub/Sub

Perubahan pada skor eksposur serangan tidak dapat digunakan sebagai pemicu untuk notifikasi ke Pub/Sub.

Selain itu, temuan yang dikirim ke Pub/Sub saat temuan dibuat tidak menyertakan skor eksposur serangan karena temuan dikirim sebelum skor dapat dihitung.

Dukungan AWS

Security Command Center dapat menghitung skor eksposur serangan dan visualisasi jalur serangan untuk resource Anda di AWS.

Layanan AWS yang didukung oleh Risk Engine

Simulasi dapat mencakup layanan AWS berikut:

• Identity and Access Management (IAM)
• Layanan Token Keamanan (STS)
• Simple Storage Service (S3)
• Firewall Aplikasi Web (WAFv2)
• Elastic Compute Cloud (EC2)
• Elastic Load Balancing (ELB & ELBv2)
• Relational Database Service (RDS)
• Key Management Service (KMS)
• Elastic Container Registry (ECR)
• Elastic Container Service (ECS)
• ApiGateway & ApiGatewayv2
• Organisasi (Layanan Pengelolaan Akun)
• CloudFront
• AutoScaling
• Lambda
• DynamoDB

Jenis resource AWS yang didukung dalam set resource bernilai tinggi

Anda hanya dapat menambahkan jenis resource AWS berikut ke kumpulan resource bernilai tinggi:

• Tabel DynamoDB
• Instance EC2
• Fungsi Lambda
• RDS DBCluster
• RDS DBInstance
• Bucket S3

Jenis resource AWS yang didukung dengan klasifikasi sensitivitas data

Simulasi jalur serangan dapat otomatis menetapkan nilai prioritas berdasarkan klasifikasi sensitivitas data dari penemuan Sensitive Data Protection hanya untuk jenis resource data AWS berikut:

• Bucket Amazon S3

Menemukan dukungan di Security Health Analytics untuk AWS

Mesin Risiko memberikan skor dan visualisasi jalur serangan untuk kategori temuan Security Health Analytics berikut:

• Kunci akses dirotasi kurang dari 90 hari
• Kredensial yang tidak digunakan selama 45 hari atau lebih dinonaktifkan
• VPC grup keamanan default membatasi semua traffic
• Instance EC2 tanpa IP publik
• Kebijakan sandi IAM
• Kebijakan sandi IAM mencegah penggunaan ulang sandi
• Kebijakan sandi IAM mengharuskan panjang minimum 14 karakter atau lebih
• Pemeriksaan kredensial pengguna IAM yang tidak digunakan
• Pengguna IAM menerima grup izin
• CMK KMS tidak dijadwalkan untuk dihapus
• Bucket S3 yang mengaktifkan penghapusan MFA
• Akun pengguna root yang mengaktifkan MFA
• Autentikasi multi-faktor MFA diaktifkan untuk semua pengguna IAM di konsol
• Tidak ada kunci akses akun pengguna root
• Tidak ada grup keamanan yang mengizinkan ingress 0 administrasi server jarak jauh
• Tidak ada grup keamanan yang mengizinkan ingress 0 0 0 0 administrasi server jarak jauh
• Satu kunci akses aktif tersedia untuk pengguna IAM tunggal apa pun
• Akses publik diberikan ke instance RDS
• Port umum yang dibatasi
• SSH Terbatas
• Rotasi CMK yang dibuat pelanggan diaktifkan
• Rotasi CMK simetris yang dibuat pelanggan diaktifkan
• Bucket S3 yang dikonfigurasi untuk memblokir setelan bucket akses publik
• Kebijakan bucket S3 ditetapkan untuk menolak permintaan HTTP
• KMS enkripsi default S3
• Grup keamanan default VPC ditutup

Temuan Vulnerability Assessment untuk Amazon Web Services

Kategori temuan Software vulnerability yang dihasilkan oleh EC2 Vulnerability Assessment mendukung skor eksposur serangan.

Dukungan Azure

Risk Engine dapat menghasilkan skor eksposur serangan dan visualisasi jalur serangan untuk resource Anda di Microsoft Azure.

Setelah membuat koneksi ke Azure, Anda dapat menetapkan resource bernilai tinggi Azure dengan membuat konfigurasi nilai resource, seperti yang Anda lakukan untuk resource di Google Cloud dan AWS. Untuk mengetahui petunjuknya, lihat bagian Menentukan dan mengelola set resource bernilai tinggi.

Sebelum Anda membuat konfigurasi nilai resource pertama untuk Azure, Security Command Center menggunakan set resource bernilai tinggi default yang khusus untuk penyedia layanan cloud.

Security Command Center menjalankan simulasi untuk platform cloud yang tidak bergantung pada simulasi yang dijalankan untuk platform cloud lainnya.

Layanan Azure yang didukung oleh Mesin Risiko

Simulasi jalur serangan dapat mencakup layanan Azure berikut:

• Layanan Aplikasi
• Azure Kubernetes Service (AKS)
• Jaringan Virtual
• Container Registry
• Cosmos DB
• Functions
• Key Vault
• Database MySQL
• Grup keamanan jaringan
• Database PostgreSQL
• Kontrol Akses Berbasis Peran (RBAC)
• Bus Layanan
• Database SQL
• Akun Penyimpanan
• Set Skala Virtual Machine
• Mesin Virtual

Jenis resource Azure yang dapat Anda tentukan dalam set resource bernilai tinggi

Anda hanya dapat menambahkan jenis resource Azure berikut ke kumpulan resource bernilai tinggi:

• Microsoft.Compute/virtualMachines
  • VM Linux
  • VM Windows
• Microsoft.ContainerService/managedClusters
  • Cluster Kubernetes
• Microsoft.DBforMySQL/flexibleServers/databases
  • Database MySQL
• Microsoft.DBforPostgreSQL/flexibleServers/databases
  • Database PostgreSQL
• Microsoft.DocumentDB/databaseAccounts
  • Akun Cosmos DB
• Microsoft.Sql/servers/databases
  • Database SQL
• Microsoft.Storage/storageAccounts
  • Akun Penyimpanan
• Microsoft.Web/sites
  • Layanan Aplikasi
  • Aplikasi Fungsi

Resource Azure yang disertakan dalam set resource bernilai tinggi default

Berikut adalah resource yang disertakan dalam set resource bernilai tinggi default:

• Microsoft.Compute/virtualMachines
  • VM Linux
  • VM Windows
• Microsoft.DBforPostgreSQL/flexibleServers/databases
  • Database PostgreSQL
• Microsoft.DBforMySQL/flexibleServers/databases
  • Database MySQL
• Microsoft.DocumentDB/databaseAccounts
  • Akun Cosmos DB
• Microsoft.Sql/servers/databases
  • Database SQL
• Microsoft.Storage/storageAccounts
  • Akun Penyimpanan
• Microsoft.Web/sites
  • Layanan Aplikasi
  • Aplikasi Fungsi