Ringkasan dukungan fitur Risk Engine

Halaman ini menjelaskan layanan dan temuan yang didukung oleh fitur Mesin Risiko Security Command Center dan batas dukungan yang berlaku untuknya.

Mesin Risiko menghasilkan skor eksposur serangan dan simulasi jalur serangan untuk hal berikut:

• Kategori temuan yang didukung dalam Vulnerability dan Misconfiguration class temuan.
• Temuan class Toxic combination.
• Temuan class Chokepoint.
• Instance resource dari jenis resource yang didukung yang Anda tetapkan sebagai bernilai tinggi. Untuk mengetahui informasi selengkapnya, lihat Jenis resource yang didukung dalam set resource bernilai tinggi.

Security Command Center dapat memberikan skor eksposur serangan dan visualisasi jalur serangan untuk beberapa platform penyedia layanan cloud. Dukungan detektor berbeda untuk setiap penyedia layanan cloud. Mesin Risiko bergantung pada detektor kerentanan dan kesalahan konfigurasi yang khusus untuk setiap penyedia layanan cloud. Bagian berikut menjelaskan resource yang didukung untuk setiap penyedia layanan cloud.

• Google Cloud
• Amazon Web Services (AWS)
• Microsoft Azure

Hanya dukungan tingkat organisasi

Simulasi jalur serangan yang digunakan Risk Engine untuk membuat skor eksposur serangan dan jalur serangan memerlukan Security Command Center diaktifkan di level organisasi. Simulasi jalur serangan tidak didukung dengan aktivasi tingkat project Security Command Center.

Untuk melihat jalur serangan, tampilan konsol Google Cloud Anda harus disetel ke organisasi Anda. Jika memilih tampilan project atau folder di konsolGoogle Cloud , Anda dapat melihat skor eksposur serangan, tetapi Anda tidak dapat melihat jalur serangan.

Selain itu, izin IAM yang diperlukan pengguna untuk melihat jalur serangan harus diberikan di tingkat organisasi. Setidaknya, pengguna harus memiliki izin securitycenter.attackpaths.list dalam peran yang diberikan di tingkat organisasi. Peran IAM bawaan dengan izin paling sedikit yang berisi izin ini adalah Security Center Attack Paths Reader (securitycenter.attackPathsViewer).

Untuk melihat peran lain yang berisi izin ini, lihat Referensi peran dasar dan bawaan IAM.

Batas ukuran untuk organisasi

Untuk simulasi jalur serangan, Mesin Risiko membatasi jumlah aset aktif dan temuan aktif yang dapat dimiliki organisasi.

Jika organisasi melampaui batas yang ditampilkan dalam tabel berikut, simulasi jalur serangan tidak akan berjalan.

Jenis batas	Batas penggunaan
Jumlah maksimum temuan aktif	250.000.000
Jumlah maksimum aset aktif	26.000.000

Jika aset, temuan, atau keduanya di organisasi Anda mendekati atau melampaui batas ini, hubungi Cloud Customer Care untuk meminta evaluasi organisasi Anda terkait kemungkinan penambahan batas.

Batas set resource bernilai tinggi

Kumpulan resource bernilai tinggi hanya mendukung jenis resource tertentu dan hanya dapat berisi sejumlah instance resource tertentu.

• Set resource bernilai tinggi untuk platform penyedia layanan cloud dapat berisi hingga 1.000 instance resource.

• Anda dapat membuat hingga 100 konfigurasi nilai resource per organisasi di Google Cloud.

Dukungan antarmuka pengguna

Anda dapat menggunakan skor eksposur serangan di konsol Google Cloud , konsol Operasi Keamanan, atau Security Command Center API.

Anda hanya dapat menggunakan penskoran eksposur serangan dan jalur serangan untuk kasus kombinasi berbahaya di konsol Operasi Keamanan.

Anda dapat membuat konfigurasi nilai resource hanya di tab Simulasi jalur serangan pada halaman Setelan Security Command Center di konsol Google Cloud .

Google Cloud support

Bagian berikut menjelaskan dukungan Risk Engine untuk Google Cloud.

LayananGoogle Cloud yang didukung oleh Risk Engine

Simulasi yang dijalankan Risk Engine dapat mencakup layanan Google Cloud berikut:

• Artifact Registry
• BigQuery
• Cloud Run Functions
• Cloud Key Management Service
• Cloud Load Balancing
• Cloud NAT
• Cloud Router
• Cloud SQL
• Cloud Storage
• Compute Engine
• Identity and Access Management
• Google Kubernetes Engine
• Virtual Private Cloud, termasuk konfigurasi subnet dan firewall
• Resource Manager

Google Cloud jenis resource yang didukung dalam set resource bernilai tinggi

Anda hanya dapat menambahkan jenis resource Google Cloud berikut ke set resource bernilai tinggi:

• aiplatform.googleapis.com/Dataset
• aiplatform.googleapis.com/Featurestore
• aiplatform.googleapis.com/MetadataStore
• aiplatform.googleapis.com/TrainingPipeline

• aiplatform.googleapis.com/Model
• artifactregistry.googleapis.com/Repository
• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance

• container.googleapis.com/Cluster

• spanner.googleapis.com/Instance
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Google Cloud jenis resource yang didukung dengan klasifikasi sensitivitas data

Simulasi jalur serangan dapat otomatis menetapkan nilai prioritas berdasarkan klasifikasi sensitivitas data dari penemuan Sensitive Data Protection hanya untuk jenis resource data berikut:

• aiplatform.googleapis.com/Dataset
• bigquery.googleapis.com/Dataset
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Kategori temuan yang didukung

Simulasi jalur serangan menghasilkan skor eksposur serangan dan jalur serangan hanya untuk kategori temuan Security Command Center dari layanan deteksi Security Command Center yang tercantum di bagian ini.

Temuan Postur Keamanan GKE

Kategori temuan Postur Keamanan GKE berikut didukung oleh simulasi jalur serangan:

• Kerentanan OS runtime GKE

Temuan Mandiant Attack Surface Management

Kategori temuan Mandiant Attack Surface Management berikut didukung oleh simulasi jalur serangan:

• Kerentanan software

Temuan Mesin Risiko

Kategori temuan Toxic combination yang dihasilkan oleh Mesin Risiko mendukung skor eksposur serangan.

Temuan VM Manager

Kategori temuan OS Vulnerability yang dihasilkan oleh VM Manager mendukung skor eksposur serangan.

Dukungan notifikasi Pub/Sub

Perubahan pada skor eksposur serangan tidak dapat digunakan sebagai pemicu untuk notifikasi ke Pub/Sub.

Selain itu, temuan yang dikirim ke Pub/Sub saat temuan dibuat tidak menyertakan skor eksposur serangan karena dikirim sebelum skor dapat dihitung.

Dukungan AWS

Security Command Center dapat menghitung skor eksposur serangan dan visualisasi jalur serangan untuk resource Anda di AWS.

Layanan AWS yang didukung oleh Risk Engine

Simulasi dapat mencakup layanan AWS berikut:

• Identity and Access Management (IAM)
• Security Token Service (STS)
• Simple Storage Service (S3)
• Web Application Firewall (WAFv2)
• Elastic Compute Cloud (EC2)
• Elastic Load Balancing (ELB & ELBv2)
• Relational Database Service (RDS)
• Key Management Service (KMS)
• Elastic Container Registry (ECR)
• Elastic Container Service (ECS)
• ApiGateway & ApiGatewayv2
• Organisasi (Layanan Pengelolaan Akun)
• CloudFront
• AutoScaling
• Lambda
• DynamoDB

Jenis resource AWS yang didukung dalam set resource bernilai tinggi

Anda hanya dapat menambahkan jenis resource AWS berikut ke set resource bernilai tinggi:

• Tabel DynamoDB
• Instance EC2
• Fungsi Lambda
• DBCluster RDS
• DBInstance RDS
• Bucket S3

Jenis resource AWS yang didukung dengan klasifikasi sensitivitas data

Simulasi jalur serangan dapat menetapkan nilai prioritas secara otomatis berdasarkan klasifikasi sensitivitas data dari penemuan Sensitive Data Protection hanya untuk jenis resource data AWS berikut:

• Bucket Amazon S3

Menemukan dukungan di Security Health Analytics untuk AWS

Mesin Risiko memberikan skor dan visualisasi jalur serangan untuk kategori temuan Security Health Analytics berikut:

• Kunci akses dirotasi kurang dari 90 hari
• Kredensial yang tidak digunakan selama 45 hari atau lebih dinonaktifkan
• VPC grup keamanan default membatasi semua traffic
• Instance EC2 tanpa IP publik
• Kebijakan sandi IAM
• Kebijakan sandi IAM mencegah penggunaan ulang sandi
• Kebijakan sandi IAM mengharuskan panjang minimum 14 karakter atau lebih
• Pemeriksaan kredensial pengguna IAM yang tidak digunakan
• Pengguna IAM menerima grup izin
• CMK KMS tidak dijadwalkan untuk dihapus
• Bucket S3 yang mengaktifkan penghapusan MFA
• Akun pengguna root yang mengaktifkan MFA
• Autentikasi multi-faktor (MFA) diaktifkan untuk semua konsol pengguna IAM
• Tidak ada kunci akses akun pengguna root
• Tidak ada grup keamanan yang mengizinkan ingress 0 administrasi server jarak jauh
• Tidak ada grup keamanan yang mengizinkan ingress 0 0 0 0 administrasi server jarak jauh
• Satu kunci akses aktif tersedia untuk pengguna IAM tunggal mana pun
• Akses publik diberikan ke instance RDS
• Port umum yang dibatasi
• SSH Terbatas
• Rotasi CMK yang dibuat pelanggan diaktifkan
• Rotasi CMK simetris yang dibuat pelanggan diaktifkan
• Setelan bucket S3 yang dikonfigurasi untuk memblokir akses publik
• Kebijakan bucket S3 yang ditetapkan menolak permintaan HTTP
• KMS enkripsi default S3
• Grup keamanan default VPC ditutup

Temuan Vulnerability Assessment untuk Amazon Web Services

Kategori temuan Software vulnerability yang dihasilkan oleh Penilaian Kerentanan EC2 mendukung skor eksposur serangan.

Dukungan Azure

Mesin Risiko dapat membuat skor eksposur serangan dan visualisasi jalur serangan untuk resource Anda di Microsoft Azure.

Setelah membuat koneksi ke Azure, Anda dapat menetapkan resource Azure bernilai tinggi dengan membuat konfigurasi nilai resource, seperti yang Anda lakukan untuk resource di Google Cloud dan AWS. Untuk mengetahui petunjuknya, lihat bagian Menentukan dan mengelola set resource bernilai tinggi.

Sebelum Anda membuat konfigurasi nilai resource pertama untuk Azure, Security Command Center menggunakan set resource bernilai tinggi default yang khusus untuk penyedia layanan cloud.

Security Command Center menjalankan simulasi untuk platform cloud yang terpisah dari simulasi yang dijalankan untuk platform cloud lainnya.

Layanan Azure yang didukung oleh Mesin Risiko

Simulasi jalur serangan dapat mencakup layanan Azure berikut:

• App Service
• Azure Kubernetes Service (AKS)
• Jaringan Virtual
• Container Registry
• Cosmos DB
• Functions
• Key Vault
• Database MySQL
• Grup keamanan jaringan
• Database PostgreSQL
• Kontrol Akses Berbasis Peran (RBAC)
• Bus Layanan
• Database SQL
• Akun Penyimpanan
• Set Skala Virtual Machine
• Mesin Virtual

Jenis resource Azure yang dapat Anda tentukan dalam set resource bernilai tinggi

Anda hanya dapat menambahkan jenis resource Azure berikut ke set resource bernilai tinggi:

• Microsoft.Compute/virtualMachines
  • VM Linux
  • VM Windows
• Microsoft.ContainerService/managedClusters
  • Cluster Kubernetes
• Microsoft.DBforMySQL/flexibleServers/databases
  • Database MySQL
• Microsoft.DBforPostgreSQL/flexibleServers/databases
  • Database PostgreSQL
• Microsoft.DocumentDB/databaseAccounts
  • Akun Cosmos DB
• Microsoft.Sql/servers/databases
  • Database SQL
• Microsoft.Storage/storageAccounts
  • Akun Penyimpanan
• Microsoft.Web/sites
  • App Service
  • Aplikasi Fungsi

Resource Azure yang disertakan dalam set resource bernilai tinggi default

Berikut adalah resource yang disertakan dalam set resource bernilai tinggi default:

• Microsoft.Compute/virtualMachines
  • VM Linux
  • VM Windows
• Microsoft.DBforPostgreSQL/flexibleServers/databases
  • Database PostgreSQL
• Microsoft.DBforMySQL/flexibleServers/databases
  • Database MySQL
• Microsoft.DocumentDB/databaseAccounts
  • Akun Cosmos DB
• Microsoft.Sql/servers/databases
  • Database SQL
• Microsoft.Storage/storageAccounts
  • Akun Penyimpanan
• Microsoft.Web/sites
  • App Service
  • Aplikasi Fungsi