风险引擎功能支持

本页介绍 Security Command Center 风险引擎功能支持的服务和发现结果以及它受到的可支持性限制。

风险引擎会针对以下内容生成攻击风险得分和攻击路径模拟:

Security Command Center 可以为多个云服务提供商平台提供攻击风险得分和攻击路径可视化结果。每个云服务提供商的检测器支持各不相同。风险引擎依赖于特定于每个云服务提供商的漏洞和错误配置检测器。以下部分介绍了每种支持的范围。

仅提供组织级支持

风险引擎用于生成攻击风险得分和攻击路径的攻击路径模拟需要在组织级层激活 Security Command Center。Security Command Center 的项目级激活不支持攻击路径模拟。

如需查看攻击路径,必须将 Google Cloud 控制台视图设置为您的组织。如果您在Google Cloud 控制台中选择项目或文件夹视图,则可以看到攻击风险得分,但无法查看攻击路径。

此外,必须在组织级层授予用户查看攻击路径所需的 IAM 权限。用户必须至少拥有在组织级层授予的角色中的 securitycenter.attackpaths.list 权限。包含此权限的最小预定义 IAM 角色是 Security Center Attack Paths Reader (securitycenter.attackPathsViewer)。

如需查看包含此权限的其他角色,请参阅 IAM 基本角色和预定义角色参考文档

组织的大小限制

对于攻击路径模拟,风险引擎会限制组织可以包含的有效资源和有效发现结果的数量。

如果组织超出下表中显示的限制,攻击路径模拟就不会运行。

限制类型 用量限额
有效发现结果数上限 250,000,000
有效资产数量上限 26,000,000

如果组织中的资产和/或发现结果接近或超过这些限制,请与 Cloud Customer Care 联系,请求他们对组织进行评估,以尽可能增加限额。

高价值资源集限制

高价值资源集仅支持特定的资源类型,并且只能包含特定数量的资源实例。

  • 云服务提供商平台的高价值资源集最多可包含 1,000 个资源实例。

  • 在 Google Cloud上,您最多可以为每个组织创建 100 个资源值配置。

界面支持

您可以在 Google Cloud 控制台、安全运营控制台或 Security Command Center API 中处理攻击风险得分。

您只能在安全运营控制台中处理有害组合情况的攻击风险得分和攻击路径。

您只能在 Google Cloud 控制台中 Security Command Center 设置页面的攻击路径模拟标签页上创建资源值配置。

Google Cloud 支持

以下部分介绍了风险引擎对 Google Cloud的支持。

Google Cloud 风险引擎支持的服务

风险引擎运行的模拟可能包括以下 Google Cloud 服务:

  • Artifact Registry
  • BigQuery
  • Cloud Run functions
  • Cloud Key Management Service
  • Cloud Load Balancing
  • Cloud NAT
  • Cloud Router
  • Cloud SQL
  • Cloud Storage
  • Compute Engine
  • Identity and Access Management
  • Google Kubernetes Engine
  • Virtual Private Cloud,包括子网和防火墙配置
  • Resource Manager

Google Cloud 高价值资源集中支持的资源类型

只能将以下类型的资源添加到高价值资源集中: Google Cloud

  • aiplatform.googleapis.com/Dataset
  • aiplatform.googleapis.com/Featurestore
  • aiplatform.googleapis.com/MetadataStore
  • aiplatform.googleapis.com/Model
  • aiplatform.googleapis.com/TrainingPipeline
  • bigquery.googleapis.com/Dataset
  • cloudfunctions.googleapis.com/CloudFunction
  • compute.googleapis.com/Instance
  • container.googleapis.com/Cluster
  • spanner.googleapis.com/Instance
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

Google Cloud 支持数据敏感性分类的资源类型

攻击路径模拟功能只能针对以下数据资源类型根据 Sensitive Data Protection 发现中的数据敏感性分类自动设置优先级值:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

支持的发现结果类别

攻击路径模拟仅针对本部分列出的 Security Command Center 检测服务中的 Security Command Center 发现结果类别生成攻击风险得分和攻击路径。

GKE Security Posture 发现

攻击路径模拟支持以下 GKE 安全状况发现结果类别:

  • GKE 运行时操作系统漏洞

Mandiant Attack Surface Management 发现结果

攻击路径模拟支持以下 Mandiant Attack Surface Management 发现结果类别:

  • 软件漏洞

风险引擎发现结果

风险引擎生成的 Toxic combination 发现结果类别支持攻击风险得分。

虚拟机管理器发现结果

虚拟机管理器生成的 OS Vulnerability 发现结果类别支持攻击风险得分。

Pub/Sub 通知支持

攻击风险得分更改不能作为 Pub/Sub 通知的触发器。

此外,在创建发现结果时发送到 Pub/Sub 的发现结果不包含攻击风险得分,因为它们是在计算得分之前发送的。

AWS 支持

Security Command Center 可以为您在 AWS 上的资源计算攻击风险得分和攻击路径可视化结果。

风险引擎支持的 AWS 服务

模拟可能包括以下 AWS 服务:

  • Identity and Access Management (IAM)
  • Security Token Service (STS)
  • Simple Storage Service (S3)
  • Web 应用防火墙 (WAFv2)
  • Elastic Compute Cloud (EC2)
  • Elastic Load Balancing (ELB 和 ELBv2)
  • Relational Database Service (RDS)
  • 密钥管理服务 (KMS)
  • Elastic Container Registry (ECR)
  • Elastic Container Service (ECS)
  • ApiGateway 和 ApiGatewayv2
  • 组织(客户管理服务)
  • CloudFront
  • AutoScaling
  • Lambda
  • DynamoDB

高价值资源集中支持的 AWS 资源类型

只能将以下类型的 AWS 资源添加到高价值资源集中:

  • DynamoDB 表
  • EC2 实例
  • Lambda 函数
  • RDS DBCluster
  • RDS DBInstance
  • S3 存储分区

支持数据敏感性分类的 AWS 资源类型

攻击路径模拟功能只能针对以下 AWS 数据资源类型,根据敏感数据保护发现中的数据敏感性分类自动设置优先级值:

  • Amazon S3 存储桶

在适用于 AWS 的 Security Health Analytics 中查找支持

Risk Engine 会针对以下 Security Health Analytics 发现结果类别提供得分和攻击路径可视化结果:

  • 访问密钥的轮替周期短于 90 天
  • 已停用 45 天或更长时间未使用的凭据
  • VPC 默认安全群组对所有流量进行限制
  • EC2 实例无公共 IP
  • IAM 密码政策
  • IAM 密码政策可防止重复使用密码
  • IAM 密码政策要求最小长度为 14 个字符
  • IAM 用户未使用的凭据检查
  • IAM 用户接收权限组
  • KMS CMK 未安排删除
  • 已启用 MFA 删除功能的 S3 存储分区
  • 已启用 MFA 的 root 用户账号
  • 已针对使用控制台的所有 IAM 用户启用多重身份验证 (MFA)
  • 不存在 root 用户账号访问密钥
  • 任何安全群组都不允许从 ::/0 到远程服务器管理端口的入站流量
  • 任何安全群组都不允许从 0 0 0 0 到远程服务器管理端口的入站流量
  • 任何单个 IAM 用户只有一个有效的访问密钥
  • 允许公开访问 RDS 实例
  • 受限的常见端口
  • 受限的 SSH
  • 已对客户创建的 CMK 启用轮替
  • 已对客户创建的对称 CMK 启用轮替
  • S3 存储分区已配置“禁止公开访问”存储分区设置
  • S3 存储分区政策已设置为拒绝 HTTP 请求
  • S3 默认加密 KMS
  • 已关闭 VPC 默认安全群组

Amazon Web Services 漏洞评估结果

EC2 漏洞评估生成的 Software vulnerability 发现结果类别支持攻击风险得分。

Azure 支持

风险引擎可以为 Microsoft Azure 上的资源生成攻击风险得分和攻击路径可视化图表。

建立与 Azure 的连接后,您可以通过创建资源值配置来指定 Azure 高价值资源,就像在 Google Cloud 和 AWS 上指定资源一样。如需了解相关说明,请参阅定义和管理高价值资源集部分。

在您为 Azure 创建第一个资源值配置之前,Security Command Center 会使用特定于该云服务提供商的默认高价值资源集。

Security Command Center 针对某个云平台运行的模拟与针对其他云平台运行的模拟是相互独立的。

风险引擎支持的 Azure 服务

攻击路径模拟可能包括以下 Azure 服务:

  • App Service
  • Azure Kubernetes 服务 (AKS)
  • 虚拟网络
  • Container Registry
  • Cosmos DB
  • 函数
  • 密钥保管库
  • MySQL 数据库连接的终极指南
  • 网络安全群组
  • PostgreSQL 数据库
  • 基于角色的访问权限控制 (RBAC)
  • 服务总线
  • SQL 数据库
  • 存储账号
  • 虚拟机规模集
  • 虚拟机

您可以在高价值资源集中指定的 Azure 资源类型

只能将以下类型的 Azure 资源添加到高价值资源集中:

  • Microsoft.Compute/virtualMachines
    • Linux 虚拟机
    • Windows 虚拟机
  • Microsoft.ContainerService/managedClusters
    • Kubernetes 集群
  • Microsoft.DBforMySQL/flexibleServers/databases
    • MySQL 数据库
  • Microsoft.DBforPostgreSQL/flexibleServers/databases
    • PostgreSQL 数据库
  • Microsoft.DocumentDB/databaseAccounts
    • Cosmos DB 账号
  • Microsoft.Sql/servers/databases
    • SQL 数据库
  • Microsoft.Storage/storageAccounts
    • 存储账号
  • Microsoft.Web/sites
    • App Service
    • 函数应用

默认高价值资源集中包含的 Azure 资源

默认的高价值资源集中包含以下资源:

  • Microsoft.Compute/virtualMachines
    • Linux 虚拟机
    • Windows 虚拟机
  • Microsoft.DBforPostgreSQL/flexibleServers/databases
    • PostgreSQL 数据库
  • Microsoft.DBforMySQL/flexibleServers/databases
    • MySQL 数据库
  • Microsoft.DocumentDB/databaseAccounts
    • Cosmos DB 账号
  • Microsoft.Sql/servers/databases
    • SQL 数据库
  • Microsoft.Storage/storageAccounts
    • 存储账号
  • Microsoft.Web/sites
    • App Service
    • 函数应用