風險引擎功能支援總覽

本頁說明 Security Command Center 風險引擎功能支援的服務和發現項目,以及支援限制。

Risk Engine 會針對下列項目產生受攻擊風險分數和攻擊路徑模擬:

Security Command Center 可為多個雲端服務供應商平台提供攻擊暴露分數和攻擊路徑視覺化效果。各雲端服務供應商支援的偵測器不同。風險引擎會依據各雲端服務供應商專屬的安全性弱點和錯誤設定偵測器,下列各節說明各雲端服務供應商支援的資源。

僅提供機構層級支援

Risk Engine 用於產生受攻擊風險分數和攻擊路徑的攻擊路徑模擬,需要機構層級啟用 Security Command Center。 Security Command Center 的專案層級啟用不支援攻擊路徑模擬。

如要查看攻擊路徑, Google Cloud 控制台檢視畫面必須設為貴機構。如果您在Google Cloud 控制台中選取專案或資料夾檢視畫面,可以看到攻擊暴露程度分數,但無法看到攻擊路徑。

此外,使用者必須在機構層級取得 IAM 權限,才能查看攻擊路徑。使用者至少必須在機構層級獲授權限的角色中,具備 securitycenter.attackpaths.list 權限。包含這項權限的最低權限預先定義 IAM 角色是「安全中心攻擊路徑讀取者」(securitycenter.attackPathsViewer)。

如要查看包含這項權限的其他角色,請參閱 IAM 基本和預先定義角色參考資料

機構大小限制

對於攻擊路徑模擬,Risk Engine 會限制機構可擁有的有效資產和有效發現項目數量。

如果機構超出下表所示限制,系統就不會執行攻擊路徑模擬。

限制類型 用量限制
有效發現項目數量上限 250,000,000
有效資產數量上限 26,000,000

如果貴機構的資產、調查結果或兩者都即將達到或超過這些限制,請與 Cloud Customer Care 聯絡,要求評估是否能提高限制。

高價值資源集限制

高價值資源集僅支援特定資源類型,且只能包含特定數量的資源例項。

  • 雲端服務供應商平台的高價值資源集最多可包含 1,000 個資源例項。

  • 每個機構最多可在 Google Cloud建立 100 個資源值設定。

使用者介面支援

您可以在 Google Cloud 控制台、Security Operations 控制台或 Security Command Center API 中使用攻擊暴露分數。

您只能在 Security Operations 控制台中,處理有害組合案例的遭受攻擊風險分數和攻擊路徑。

您只能在 Google Cloud 控制台的 Security Command Center「設定」頁面,透過「模擬攻擊路徑」分頁建立資源價值設定。

Google Cloud 支援

以下各節說明風險引擎對 Google Cloud的支援。

Google Cloud 風險引擎支援的服務

風險引擎執行的模擬可能包括下列 Google Cloud 服務:

  • Artifact Registry
  • BigQuery
  • Cloud Run 函式
  • Cloud Key Management Service
  • Cloud Load Balancing
  • Cloud NAT
  • Cloud Router
  • Cloud SQL
  • Cloud Storage
  • Compute Engine
  • Identity and Access Management
  • Google Kubernetes Engine
  • 虛擬私有雲,包括子網路和防火牆設定
  • Resource Manager

Google Cloud 高價值資源集支援的資源類型

高價值資源集只能新增下列類型的 Google Cloud 資源:

  • aiplatform.googleapis.com/Dataset
  • aiplatform.googleapis.com/Featurestore
  • aiplatform.googleapis.com/MetadataStore
  • aiplatform.googleapis.com/TrainingPipeline
  • aiplatform.googleapis.com/Model
  • artifactregistry.googleapis.com/Repository
  • bigquery.googleapis.com/Dataset
  • cloudfunctions.googleapis.com/CloudFunction
  • compute.googleapis.com/Instance
  • container.googleapis.com/Cluster
  • spanner.googleapis.com/Instance
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

Google Cloud 支援資料私密性分類的資源類型

攻擊路徑模擬功能可根據敏感資料保護探索的資料機密程度分類,自動設定優先順序值,但僅限下列資料資源類型:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

支援的發現項目類別

攻擊路徑模擬只會針對本節列出的 Security Command Center 偵測服務,產生 Security Command Center 發現項目類別的攻擊暴露分數和攻擊路徑。

GKE 安全防護機制發現項目

攻擊路徑模擬支援下列 GKE 安全防護機制發現項目類別:

  • GKE 執行階段 OS 安全漏洞

Mandiant Attack Surface Management 發現項目

攻擊路徑模擬支援下列 Mandiant Attack Surface Management 發現項目類別:

  • 軟體安全漏洞

Risk Engine 發現項目

風險引擎產生的 Toxic combination 發現項目類別支援受攻擊風險分數。

VM 管理員發現項目

VM 管理員產生的 OS Vulnerability 發現項目類別支援受攻擊風險分數。

支援 Pub/Sub 通知

攻擊暴露分數的變更無法做為 Pub/Sub 通知的觸發條件。

此外,在建立調查結果時傳送至 Pub/Sub 的調查結果不包含攻擊暴露分數,因為系統會在計算分數前傳送調查結果。

AWS 支援

Security Command Center 可計算 AWS 資源的遭受攻擊風險分數,並顯示攻擊路徑。

風險引擎支援的 AWS 服務

模擬可包含下列 AWS 服務:

  • 身分與存取權管理 (IAM)
  • Security Token Service (STS)
  • Simple Storage Service (S3)
  • 網頁應用程式防火牆 (WAFv2)
  • Elastic Compute Cloud (EC2)
  • Elastic Load Balancing (ELB 和 ELBv2)
  • Relational Database Service (RDS)
  • 金鑰管理服務 (KMS)
  • Elastic Container Registry (ECR)
  • Elastic Container Service (ECS)
  • ApiGateway 和 ApiGatewayv2
  • 機構 (帳戶管理服務)
  • CloudFront
  • AutoScaling
  • Lambda
  • DynamoDB

高價值資源集支援的 AWS 資源類型

您只能將下列類型的 AWS 資源新增至高價值資源集:

  • DynamoDB 資料表
  • EC2 執行個體
  • Lambda 函式
  • RDS DBCluster
  • RDS DBInstance
  • S3 值區

支援資料私密性分類的 AWS 資源類型

攻擊路徑模擬功能可根據敏感資料保護探索功能的資料機密程度分類,自動設定優先順序值,但僅限下列 AWS 資料資源類型:

  • Amazon S3 儲存貯體

在 AWS 適用的 Security Health Analytics 中尋求支援

風險引擎會針對下列安全性狀態分析發現項目類別提供分數和攻擊路徑視覺化效果:

  • 存取金鑰最多每 90 天輪替一次
  • 45 天以上未使用的憑證已停用
  • 虛擬私有雲預設安全性群組會限制所有流量
  • EC2 執行個體沒有公開 IP
  • IAM 密碼政策
  • IAM 密碼政策禁止重複使用密碼
  • IAM 密碼政策規定的長度下限為 14 個字元以上
  • 確認 IAM 使用者未使用特定憑證
  • IAM 使用者透過群組接收權限
  • 未安排刪除 KMS CMK
  • 已啟用 MFA Delete 的 S3 儲存貯體
  • 超級使用者帳戶已啟用 MFA
  • 多重驗證 (MFA) 已啟用,所有 IAM 使用者都能存取控制台
  • 沒有超級使用者帳戶存取金鑰
  • 所有安全性群組都不允許 0 輸入流量傳送至遠端伺服器管理通訊埠
  • 所有安全性群組都不允許 0 0 0 0 輸入流量傳送至遠端伺服器管理通訊埠
  • 任一 IAM 使用者都只能取得一組有效的存取金鑰
  • RDS 執行個體取得公開存取權
  • 設有限制的常用通訊埠
  • 設有限制的 SSH
  • 客戶建立的 CMK 已啟用輪替功能
  • 已為客戶建立的對稱式 CMK 啟用輪替功能
  • S3 儲存貯體已設置儲存貯體層級的「封鎖公開存取」設定
  • S3 儲存貯體政策已設為拒絕 HTTP 要求
  • S3 預設加密 KMS
  • 虛擬私有雲預設安全性群組已關閉

Amazon Web Services 安全漏洞評估結果

EC2 安全漏洞評估產生的 Software vulnerability 發現項目類別支援受攻擊風險分數。

Azure 支援

風險引擎可為 Microsoft Azure 上的資源產生受攻擊風險分數和攻擊路徑視覺化圖表。

建立與 Azure 的連線後,您就可以建立資源價值設定,指定 Azure 高價值資源,就像對待 Google Cloud 和 AWS 上的資源一樣。 Google Cloud 如需操作說明,請參閱「定義及管理高價值資源集」一節。

在您為 Azure 建立第一個資源值設定前,Security Command Center 會使用雲端服務供應商專屬的預設高價值資源集。

Security Command Center 會為雲端平台執行模擬作業,與其他雲端平台執行的模擬作業無關。

風險引擎支援的 Azure 服務

攻擊路徑模擬可包含下列 Azure 服務:

  • App Service
  • Azure Kubernetes Service (AKS)
  • 虛擬網路
  • Container Registry
  • Cosmos DB
  • 函式
  • Key Vault
  • 和 MySQL 資料庫連結的終極指南
  • 網路安全性群組
  • PostgreSQL 資料庫
  • 角色型存取權控管 (RBAC)
  • 服務匯流排
  • SQL 資料庫
  • Storage Account
  • 虛擬機器擴展集
  • 虛擬機器

您可以在高價值資源集中指定的 Azure 資源類型

高價值資源集只能新增下列類型的 Azure 資源:

  • Microsoft.Compute/virtualMachines
    • Linux VM
    • Windows VM
  • Microsoft.ContainerService/managedClusters
    • Kubernetes 叢集
  • Microsoft.DBforMySQL/flexibleServers/databases
    • MySQL 資料庫
  • Microsoft.DBforPostgreSQL/flexibleServers/databases
    • PostgreSQL 資料庫
  • Microsoft.DocumentDB/databaseAccounts
    • Cosmos DB 帳戶
  • Microsoft.Sql/servers/databases
    • SQL 資料庫
  • Microsoft.Storage/storageAccounts
    • Storage Account
  • Microsoft.Web/sites
    • App Service
    • 函式應用程式

預設高價值資源集中包含的 Azure 資源

預設高價值資源集包含下列資源:

  • Microsoft.Compute/virtualMachines
    • Linux VM
    • Windows VM
  • Microsoft.DBforPostgreSQL/flexibleServers/databases
    • PostgreSQL 資料庫
  • Microsoft.DBforMySQL/flexibleServers/databases
    • MySQL 資料庫
  • Microsoft.DocumentDB/databaseAccounts
    • Cosmos DB 帳戶
  • Microsoft.Sql/servers/databases
    • SQL 資料庫
  • Microsoft.Storage/storageAccounts
    • Storage Account
  • Microsoft.Web/sites
    • App Service
    • 函式應用程式