Panoramica del supporto delle funzionalità del motore di rischio

Questa pagina descrive i servizi e i risultati supportati dalla funzionalità Risk Engine di Security Command Center e i limiti di supporto a cui è soggetta.

Risk Engine genera punteggi di esposizione agli attacchi e simulazioni dei percorsi di attacco per quanto segue:

• Categorie di risultati supportate nelle classi di risultati Vulnerability e Misconfiguration.
• Toxic combination risultati della classe.
• Chokepoint risultati della classe.
• Istanze di risorse dei tipi di risorse supportati che designi come di alto valore. Per ulteriori informazioni, vedi Tipi di risorse supportati nei set di risorse di alto valore.

Security Command Center può fornire punteggi di esposizione agli attacchi e visualizzazioni dei percorsi di attacco per più piattaforme di fornitori di servizi cloud. Il supporto dei rilevatori varia in base al provider di servizi cloud. Risk Engine dipende da rilevatori di vulnerabilità e configurazioni errate specifici per ogni provider di servizi cloud. Le sezioni seguenti descrivono le risorse supportate per ogni fornitore di servizi cloud.

• Google Cloud
• Amazon Web Services (AWS)
• Microsoft Azure

Assistenza solo a livello di organizzazione

Le simulazioni dei percorsi di attacco utilizzate da Risk Engine per generare i punteggi di esposizione agli attacchi e i percorsi di attacco richiedono l'attivazione di Security Command Center a livello di organizzazione. Le simulazioni del percorso di attacco non sono supportate con le attivazioni a livello di progetto di Security Command Center.

Per visualizzare i percorsi di attacco, la visualizzazione della console Google Cloud deve essere impostata sulla tua organizzazione. Se selezioni una visualizzazione progetto o cartella nella consoleGoogle Cloud , puoi visualizzare i punteggi di esposizione agli attacchi, ma non i percorsi di attacco.

Inoltre, le autorizzazioni IAM necessarie agli utenti per visualizzare i percorsi di attacco devono essere concesse a livello di organizzazione. Come minimo, gli utenti devono disporre dell'autorizzazione securitycenter.attackpaths.list in un ruolo concessa a livello di organizzazione. Il ruolo IAM predefinito meno permissivo che contiene questa autorizzazione è Security Center Attack Paths Reader (securitycenter.attackPathsViewer).

Per visualizzare altri ruoli che contengono questa autorizzazione, consulta Riferimento ai ruoli IAM di base e predefiniti.

Limiti di dimensioni per le organizzazioni

Per le simulazioni del percorso di attacco, Risk Engine limita il numero di asset attivi e risultati attivi che un'organizzazione può contenere.

Se un'organizzazione supera i limiti mostrati nella tabella seguente, le simulazioni del percorso di attacco non vengono eseguite.

Tipo di limite	Limite di utilizzo
Numero massimo di risultati attivi	250.000.000
Numero massimo di asset attivi	26.000.000

Se gli asset, i risultati o entrambi nella tua organizzazione si stanno avvicinando a questi limiti o li superano, contatta l'assistenza clienti Google Cloud per richiedere una valutazione della tua organizzazione per un possibile aumento.

Limiti del set di risorse di alto valore

Un set di risorse di alto valore supporta solo determinati tipi di risorse e può contenere solo un determinato numero di istanze di risorse.

• Un set di risorse di alto valore per una piattaforma di provider di servizi cloud può contenere fino a 1000 istanze di risorse.

• Puoi creare fino a 100 configurazioni dei valori delle risorse per organizzazione su Google Cloud.

Supporto dell'interfaccia utente

Puoi utilizzare i punteggi di esposizione agli attacchi nella console Google Cloud , nella console Security Operations o nell'API Security Command Center.

Puoi utilizzare i punteggi di esposizione agli attacchi e i percorsi di attacco per i casi di combinazione tossica solo nella console per le operazioni di sicurezza.

Puoi creare configurazioni dei valori delle risorse solo nella scheda Simulazioni dei percorsi di attacco della pagina Impostazioni di Security Command Center nella console Google Cloud .

AssistenzaGoogle Cloud

Le sezioni seguenti descrivono il supporto di Risk Engine per Google Cloud.

ServiziGoogle Cloud supportati da Risk Engine

Le simulazioni eseguite da Risk Engine possono includere i seguenti Google Cloud servizi:

• Artifact Registry
• BigQuery
• Cloud Run Functions
• Cloud Key Management Service
• Cloud Load Balancing
• Cloud NAT
• Router Cloud
• Cloud SQL
• Cloud Storage
• Compute Engine
• Identity and Access Management
• Google Kubernetes Engine
• Virtual Private Cloud, incluse subnet e configurazioni firewall
• Resource Manager

Google Cloud tipi di risorse supportati nei set di risorse di alto valore

Puoi aggiungere solo i seguenti tipi di risorse Google Cloud a un set di risorse di alto valore:

• aiplatform.googleapis.com/Dataset
• aiplatform.googleapis.com/Featurestore
• aiplatform.googleapis.com/MetadataStore
• aiplatform.googleapis.com/TrainingPipeline

• aiplatform.googleapis.com/Model
• artifactregistry.googleapis.com/Repository
• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance

• container.googleapis.com/Cluster

• spanner.googleapis.com/Instance
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Tipi di risorseGoogle Cloud supportati con le classificazioni della sensibilità dei dati

Le simulazioni del percorso di attacco possono impostare automaticamente i valori di priorità in base alle classificazioni della sensibilità dei dati dalla scoperta di Sensitive Data Protection solo per i seguenti tipi di risorse di dati:

• aiplatform.googleapis.com/Dataset
• bigquery.googleapis.com/Dataset
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Categorie di risultati supportate

Le simulazioni dei percorsi di attacco generano punteggi di esposizione agli attacchi e percorsi di attacco solo per le categorie di risultati di Security Command Center dei servizi di rilevamento di Security Command Center elencati in questa sezione.

Risultati della postura di sicurezza di GKE

Le seguenti categorie di risultati di GKE Security Posture sono supportate dalle simulazioni del percorso di attacco:

• Vulnerabilità del sistema operativo di runtime GKE

Risultati di Mandiant Attack Surface Management

Le seguenti categorie di risultati di Mandiant Attack Surface Management sono supportate dalle simulazioni del percorso di attacco:

• Vulnerabilità software

Risultati del motore di valutazione del rischio

La categoria di risultati Toxic combination generata da Risk Engine supporta i punteggi di esposizione agli attacchi.

Risultati di VM Manager

La categoria di risultati OS Vulnerability generata da VM Manager supporta i punteggi di esposizione agli attacchi.

Supporto delle notifiche Pub/Sub

Le modifiche ai punteggi di esposizione agli attacchi non possono essere utilizzate come trigger per le notifiche a Pub/Sub.

Inoltre, i risultati inviati a Pub/Sub al momento della creazione non includono un punteggio di esposizione agli attacchi perché vengono inviati prima che sia possibile calcolare un punteggio.

Supporto AWS

Security Command Center può calcolare i punteggi di esposizione agli attacchi e le visualizzazioni dei percorsi di attacco per le tue risorse su AWS.

Servizi AWS supportati da Risk Engine

Le simulazioni possono includere i seguenti servizi AWS:

• Identity and Access Management (IAM)
• Servizio token di sicurezza (STS)
• Simple Storage Service (S3)
• Web Application Firewall (WAFv2)
• Elastic Compute Cloud (EC2)
• Elastic Load Balancing (ELB e ELBv2)
• Relational Database Service (RDS)
• Key Management Service (KMS)
• Elastic Container Registry (ECR)
• Elastic Container Service (ECS)
• ApiGateway e ApiGatewayv2
• Organizzazioni (servizio di gestione degli account)
• CloudFront
• AutoScaling
• Lambda
• DynamoDB

Tipi di risorse AWS supportati nei set di risorse di alto valore

Puoi aggiungere solo i seguenti tipi di risorse AWS a un insieme di risorse di alto valore:

• Tabella DynamoDB
• Istanza EC2
• Funzione Lambda
• RDS DBCluster
• RDS DBInstance
• Bucket S3

Tipi di risorse AWS supportati con le classificazioni di sensibilità dei dati

Le simulazioni del percorso di attacco possono impostare automaticamente i valori di priorità in base alle classificazioni di sensibilità dei dati dalla scoperta di Sensitive Data Protection solo per i seguenti tipi di risorse dati AWS:

• Bucket Amazon S3

Trovare assistenza in Security Health Analytics per AWS

Risk Engine fornisce punteggi e visualizzazioni dei percorsi di attacco per le seguenti categorie di risultati di Security Health Analytics:

• Chiavi di accesso ruotate ogni 90 giorni o meno
• Credenziali non utilizzate per almeno 45 giorni disabilitate
• Il VPC del gruppo di sicurezza predefinito limita tutto il traffico
• Istanza EC2 senza IP pubblico
• Policy della password IAM
• La policy della password IAM impedisce il riutilizzo della password
• La policy della password IAM richiede una lunghezza minima di 14 caratteri
• Controllo delle credenziali non utilizzate dell'utente IAM
• Gli utenti IAM ricevono gruppi di autorizzazioni
• Chiave CMK di KMS non pianificata per l'eliminazione
• Eliminazione con MFA abilitata sui bucket S3
• Account utente root con autenticazione MFA abilitata
• Autenticazione a più fattori (MFA) abilitata per tutti gli utenti IAM della console
• Non esistono chiavi di accesso all'account utente root
• Nessun gruppo di sicurezza consente il traffico in entrata da 0 alle porte di amministrazione del server remoto
• Nessun gruppo di sicurezza consente l'amministrazione del server remoto 0 0 0 0 per il traffico in entrata
• Una sola chiave di accesso attiva disponibile per ogni singolo utente IAM
• Accesso pubblico concesso all'istanza RDS
• Porte comuni limitate
• SSH limitato
• Rotazione per le chiavi CMK create dal cliente abilitata
• Rotazione per le chiavi CMK simmetriche create dal cliente abilitata
• Impostazioni bucket accesso pubblico con blocco configurato per bucket S3
• Policy bucket S3 impostata per rifiutare le richieste HTTP
• KMS di crittografia S3 predefinita
• Gruppo di sicurezza predefinito VPC chiuso

Risultati della valutazione delle vulnerabilità per Amazon Web Services

La categoria di risultati Software vulnerability generata da Valutazione delle vulnerabilità EC2 supporta i punteggi di esposizione agli attacchi.

Supporto Azure

Risk Engine può generare punteggi di esposizione all'attacco e visualizzazioni del percorso di attacco per le tue risorse su Microsoft Azure.

Dopo aver stabilito una connessione ad Azure, puoi designare le risorse di alto valore di Azure creando configurazioni del valore delle risorse, come faresti per le risorse su Google Cloud e AWS. Per istruzioni, consulta la sezione Definire e gestire il set di risorse di alto valore.

Prima di creare la prima configurazione del valore delle risorse per Azure, Security Command Center utilizza un insieme predefinito di risorse di alto valore specifico per il provider di servizi cloud.

Security Command Center esegue simulazioni per una piattaforma cloud indipendenti dalle simulazioni eseguite per altre piattaforme cloud.

Servizi Azure supportati dal motore di valutazione del rischio

Le simulazioni dei percorsi di attacco possono includere i seguenti servizi Azure:

• Servizio app
• Azure Kubernetes Service (AKS)
• Rete virtuale
• Container Registry
• Cosmos DB
• Funzioni
• Key Vault
• Database MySQL
• Gruppi di sicurezza di rete
• Database PostgreSQL
• Controllo dell'accesso basato sui ruoli (RBAC)
• Service Bus
• Database SQL
• Account di archiviazione
• Set di scalabilità di macchine virtuali
• Macchine virtuali

Tipi di risorse Azure che puoi specificare nei set di risorse di alto valore

Puoi aggiungere solo i seguenti tipi di risorse Azure a un set di risorse di alto valore:

• Microsoft.Compute/virtualMachines
  • VM Linux
  • VM Windows
• Microsoft.ContainerService/managedClusters
  • Cluster Kubernetes
• Microsoft.DBforMySQL/flexibleServers/databases
  • Database MySQL
• Microsoft.DBforPostgreSQL/flexibleServers/databases
  • Database PostgreSQL
• Microsoft.DocumentDB/databaseAccounts
  • Account Cosmos DB
• Microsoft.Sql/servers/databases
  • Database SQL
• Microsoft.Storage/storageAccounts
  • Account di archiviazione
• Microsoft.Web/sites
  • Servizio app
  • App per le funzioni

Risorse Azure incluse nel set di risorse di alto valore predefinito

Di seguito sono riportate le risorse incluse nel set di risorse di alto valore predefinito:

• Microsoft.Compute/virtualMachines
  • VM Linux
  • VM Windows
• Microsoft.DBforPostgreSQL/flexibleServers/databases
  • Database PostgreSQL
• Microsoft.DBforMySQL/flexibleServers/databases
  • Database MySQL
• Microsoft.DocumentDB/databaseAccounts
  • Account Cosmos DB
• Microsoft.Sql/servers/databases
  • Database SQL
• Microsoft.Storage/storageAccounts
  • Account di archiviazione
• Microsoft.Web/sites
  • Servizio app
  • App per le funzioni