Supporto delle funzionalità di Risk Engine

Questa pagina descrive i servizi e i risultati supportati dalla funzionalità del motore di rischio di Security Command Center e i limiti di assistenza a cui è soggetta.

Risk Engine genera punteggi e percorsi di esposizione agli attacchi per quanto segue:

Le seguenti sezioni elencano i servizi e i risultati di Security Command Center supportati da Risk Engine.

Solo assistenza a livello di organizzazione

Le simulazioni dei percorsi di attacco utilizzate da Risk Engine per generare i punteggi di esposizione agli attacchi e i percorsi di attacco richiedono l'attivazione di Security Command Center a livello di organizzazione. Le simulazioni del percorso di attacco non sono supportate con le attivazioni a livello di progetto di Security Command Center.

Per visualizzare i percorsi di attacco, la visualizzazione della console Google Cloud deve essere impostata sulla tua organizzazione. Se selezioni una visualizzazione di progetto o di cartella nella console Google Cloud, puoi vedere i punteggi di esposizione agli attacchi, ma non i percorsi di attacco.

Inoltre, le autorizzazioni IAM necessarie per visualizzare i percorsi di attacco devono essere concesse a livello di organizzazione. Come minimo, gli utenti devono disporre dell'autorizzazione securitycenter.attackpaths.list in un ruolo concesso a livello di organizzazione. Il ruolo IAM predefinito meno permissivo che contiene questa autorizzazione è Security Center Attack Paths Reader (securitycenter.attackPathsViewer).

Per visualizzare altri ruoli che contengono questa autorizzazione, consulta il riferimento ai ruoli IAM di base e predefiniti.

Limiti di dimensioni per le organizzazioni

Per le simulazioni del percorso di attacco, Risk Engine limita il numero di asset attivi e risultati attivi che un'organizzazione può contenere.

Se un'organizzazione supera i limiti indicati nella tabella seguente, le simulazioni dei percorsi di attacco non vengono eseguite.

Tipo di limite Limite di utilizzo
Numero massimo di risultati attivi 250.000.000
Numero massimo di asset attivi 26.000.000

Se le risorse, le scoperte o entrambe nella tua organizzazione si stanno avvicinando a questi limiti o li superano, contatta l'assistenza clienti Google Cloud per richiedere una valutazione della tua organizzazione per un possibile aumento.

Servizi Google Cloud inclusi nelle simulazioni del percorso di attacco

Le simulazioni eseguite da Risk Engine possono includere i seguenti servizi Google Cloud:

  • Artifact Registry
  • BigQuery
  • Funzioni Cloud Run
  • Cloud Key Management Service
  • Cloud Load Balancing
  • Cloud NAT
  • Router Cloud
  • Cloud SQL
  • Cloud Storage
  • Compute Engine
  • Identity and Access Management
  • Google Kubernetes Engine
  • Virtual Private Cloud, incluse subnet e configurazioni firewall
  • Resource Manager

Limiti per i set di risorse di alto valore

Un set di risorse di alto valore supporta solo determinati tipi di risorse e può contenere solo un determinato numero di istanze di risorse.

Limite di istanze per i set di risorse di alto valore

Un set di risorse di alto valore per una piattaforma di provider di servizi cloud può contenere fino a 1000 istanze di risorse.

Tipi di risorse supportati nei set di risorse di alto valore

Puoi aggiungere solo i seguenti tipi di risorse Google Cloud a un set di risorse di alto valore:

  • aiplatform.googleapis.com/Dataset
  • aiplatform.googleapis.com/Featurestore
  • aiplatform.googleapis.com/MetadataStore
  • aiplatform.googleapis.com/Model
  • aiplatform.googleapis.com/TrainingPipeline
  • bigquery.googleapis.com/Dataset
  • cloudfunctions.googleapis.com/CloudFunction
  • compute.googleapis.com/Instance
  • container.googleapis.com/Cluster
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

Per un elenco dei tipi di risorse supportati per altri provider di servizi cloud, consulta Assistenza per i provider di servizi cloud.

Limite di configurazione dei valori delle risorse

Puoi creare fino a 100 configurazioni dei valori delle risorse per organizzazione su Google Cloud.

Tipi di risorse Google Cloud supportati con classificazioni della sensibilità dei dati

Le simulazioni del percorso di attacco possono impostare automaticamente i valori di priorità in base alle classificazioni della sensibilità dei dati della scoperta di Sensitive Data Protection solo per i seguenti tipi di risorse di dati:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

Categorie di risultati supportate

Le simulazioni dei percorsi di attacco generano punteggi di esposizione agli attacchi e percorsi di attacco solo per le categorie di risultati di Security Command Center dei servizi di rilevamento di Security Command Center elencati in questa sezione.

Risultati della strategia di sicurezza di GKE

Le seguenti categorie di rilevamento della postura di sicurezza di GKE sono supportate dalle simulazioni dei percorsi di attacco:

  • Vulnerabilità del sistema operativo del runtime GKE

Risultati di Mandiant Attack Surface Management

Le seguenti categorie di risultati di Mandiant Attack Surface Management sono supportate dalle simulazioni del percorso di attacco:

  • Vulnerabilità del software

Risultati del motore di rischio

La categoria di risultati Toxic combination emessa da Risk Engine supporta i punteggi di esposizione agli attacchi.

Risultati di Security Health Analytics

I seguenti risultati di Security Health Analytics sono supportati dalle simulazioni dei percorsi di attacco su Google Cloud:

  • Account di servizio amministratore
  • Riparazione automatica disattivata
  • Upgrade automatico disattivato
  • Autorizzazione binaria disabilitata
  • Solo criterio bucket disabilitato
  • Accesso privato Google ai cluster disabilitato
  • Crittografia dei secret del cluster disabilitata
  • Nodi schermati del cluster disabilitati
  • Chiavi SSH a livello di progetto Compute consentite
  • Avvio protetto di Compute disabilitato
  • Porte seriali Compute abilitate
  • COS non utilizzato
  • Account di servizio predefinito utilizzato
  • Accesso API completo
  • Reti autorizzate master disabilitate
  • MFA non applicata
  • Criterio di rete disabilitato
  • Avvio protetto del node pool disabilitato
  • Apri la porta Cassandra
  • Apri la porta CiscoSecure WebSM
  • Apri la porta dei servizi di directory
  • Apri la porta DNS
  • Apri la porta Elasticsearch
  • Apri il firewall
  • Porta FTP aperta
  • Apri la porta HTTP
  • Porta LDAP aperta
  • Porta Memcached aperta
  • Apri la porta MongoDB
  • Apri la porta MySQL
  • Porta NetBIOS aperta
  • Apri la porta OracleDB
  • Apri la porta pop3
  • Apri la porta PostgreSQL
  • Porta RDP aperta
  • Porta Redis aperta
  • Porta SMTP aperta
  • Porta SSH aperta
  • Porta Telnet aperta
  • Account con privilegi in eccesso
  • Ambiti con privilegi in eccesso
  • Utente account di servizio con privilegi in eccesso
  • Ruoli originari utilizzati
  • Cluster privato disabilitato
  • ACL del bucket pubblico
  • Indirizzo IP pubblico
  • Bucket di log pubblico
  • Canale di rilascio disabilitato
  • Chiave dell'account di servizio non ruotata
  • Chiave dell'account di servizio gestito dall'utente
  • Workload Identity disabilitato

Risultati di VM Manager

La categoria di risultati OS Vulnerability emessa da VM Manager supporta i punteggi di esposizione agli attacchi.

Supporto delle notifiche Pub/Sub

Le modifiche ai punteggi di esposizione agli attacchi non possono essere utilizzate come attivatore per le notifiche a Pub/Sub.

Inoltre, i risultati inviati a Pub/Sub al momento della loro creazione non includono un punteggio di esposizione agli attacchi perché vengono inviati prima che sia possibile calcolare un punteggio.

Supporto multicloud

Security Command Center può fornire punteggi di esposizione agli attacchi e visualizzazioni dei percorsi di attacco per i seguenti fornitori di servizi cloud:

Il supporto dei rilevatori di vulnerabilità e di configurazione errata che simulano i percorsi di attacco per altre piattaforme di fornitori di servizi cloud dipende dai rilevamenti supportati dai servizi di rilevamento di Security Command Center sulla piattaforma.

Il supporto dei rilevatori varia in base a ciascun provider di servizi cloud.

Assistenza AWS

Security Command Center può calcolare i punteggi di esposizione agli attacchi e le visualizzazioni dei percorsi di attacco per le tue risorse su AWS.

Servizi AWS supportati dalle simulazioni del percorso di attacco

Le simulazioni possono includere i seguenti servizi AWS:

  • Identity and Access Management (IAM)
  • Servizio token di sicurezza (STS)
  • Simple Storage Service (S3)
  • Web Application Firewall (WAFv2)
  • Elastic Compute Cloud (EC2)
  • Elastic Load Balancing (ELB e ELBv2)
  • Relational Database Service (RDS)
  • Key Management Service (KMS)
  • Elastic Container Registry (ECR)
  • Elastic Container Service (ECS)
  • ApiGateway e ApiGatewayv2
  • Organizzazioni (servizio di gestione dell'account)
  • CloudFront
  • AutoScaling
  • Lambda
  • DynamoDB

Tipi di risorse AWS supportati nei set di risorse di alto valore

A un insieme di risorse di alto valore puoi aggiungere solo i seguenti tipi di risorse AWS:

  • Tabella DynamoDB
  • Istanza EC2
  • Funzione Lambda
  • RDS DBCluster
  • RDS DBInstance
  • Bucket S3

Tipi di risorse AWS supportati con classificazioni della sensibilità dei dati

Le simulazioni del percorso di attacco possono impostare automaticamente i valori di priorità in base alle classificazioni della sensibilità dei dati della ricerca di Sensitive Data Protection solo per i seguenti tipi di risorse di dati AWS:

  • Bucket Amazon S3

Trovare assistenza in Security Health Analytics per AWS

Le simulazioni del percorso di attacco forniscono punteggi e visualizzazioni dei percorsi di attacco per le seguenti categorie di risultati di Security Health Analytics:

  • Chiavi di accesso ruotate meno di 90 giorni fa
  • Credenziali non utilizzate per almeno 45 giorni disabilitate
  • Il VPC del gruppo di sicurezza predefinito limita tutto il traffico
  • Istanza EC2 senza IP pubblico
  • Criteri della password IAM
  • La policy della password IAM impedisce il riutilizzo della password
  • La policy della password IAM richiede una lunghezza minima di 14 caratteri
  • Controllo delle credenziali non utilizzate dell'utente IAM
  • Gli utenti IAM ricevono gruppi di autorizzazioni
  • Chiave CMK di KMS non pianificata per l'eliminazione
  • Eliminazione con MFA abilitata sui bucket S3
  • Account utente root con autenticazione MFA abilitata
  • Autenticazione a più fattori (MFA) abilitata per tutti gli utenti IAM della console
  • Non esistono chiavi di accesso all'account utente root
  • Nessun gruppo di sicurezza consente l'amministrazione del server remoto 0 per il traffico in entrata
  • Nessun gruppo di sicurezza consente l'amministrazione del server remoto 0 0 0 0 per il traffico in entrata
  • Una sola chiave di accesso attiva disponibile per ogni singolo utente IAM
  • Accesso pubblico concesso all'istanza RDS
  • Porte comuni limitate
  • SSH limitato
  • Rotazione per le chiavi CMK create dal cliente abilitata
  • Rotazione per le chiavi CMK simmetriche create dal cliente abilitata
  • Impostazioni bucket accesso pubblico con blocco configurato per bucket S3
  • Policy bucket S3 impostata per rifiutare le richieste HTTP
  • KMS di crittografia S3 predefinita
  • Gruppo di sicurezza predefinito VPC chiuso

Risultati della valutazione delle vulnerabilità di EC2

La categoria di risultati Software vulnerability rilasciata da EC2 vulnerability assessment supporta i punteggi di esposizione agli attacchi.

Supporto dell'interfaccia utente

Puoi utilizzare i punteggi di esposizione agli attacchi nella console Google Cloud, nella console Security Operations o nell'API Security Command Center.

Puoi utilizzare i punteggi di esposizione agli attacchi e i percorsi di attacco per i casi di combinazioni dannose solo nella console per le operazioni di sicurezza.

Puoi creare configurazioni di valori delle risorse solo nella scheda Simulazioni dei percorsi di attacco della pagina Impostazioni di Security Command Center nella console Google Cloud.