Auf dieser Seite erfahren Sie, wie Sie Konfigurationen für Ressourcenwerte erstellen, bearbeiten, löschen und ansehen.
Verwenden Sie Konfigurationen für Ressourcenwerte, um Ihre Gruppe hochwertiger Ressourcen zu erstellen. In der Gruppe hochwertiger Ressourcen wird festgelegt, welche Ihrer Ressourceninstanzen (als Ressourcen bezeichnet) bei den Angriffspfadsimulationen als hochwertige Ressourcen betrachtet werden.
Sie können Konfigurationen für Ressourcenwerte für die Ressourcen auf Google Clouderstellen. Außerdem können Sie in der Dienststufe Enterprise Konfigurationen für Ressourcen bei den anderen Cloud-Dienstanbietern definieren, mit denen Security Command Center verbunden ist.
Bei Angriffspfadsimulationen werden Angriffspfade identifiziert und Angriffsrisikobewertungen für Ressourcen berechnet, die als hochwertige Ressourcen festgelegt sind, sowie für Ergebnisse der Klassen Vulnerability, Misconfiguration und Toxic combination.
Angriffspfadsimulationen werden etwa alle sechs Stunden ausgeführt. Mit zunehmender Größe Ihrer Organisation dauern die Simulationen länger, sie werden aber immer mindestens einmal täglich ausgeführt. Die Erstellung, Änderung oder Löschung von Ressourcen oder Konfigurationen für Ressourcenwerte löst keine Simulationen aus.
Eine Einführung in Gruppen hochwertiger Ressourcen und Konfigurationen für Ressourcenwerte finden Sie unter Gruppen hochwertiger Ressourcen.
Hinweis
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihre Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Ansehen und Verwenden von Konfigurationen für Ressourcenwerte benötigen:
- Bearbeiter von Konfigurationen für Ressourcenwerte (
roles/securitycenter.resourceValueConfigEditor) - Betrachter von Konfigurationen für Ressourcenwerte (
roles/securitycenter.resourceValueConfigsViewer) - Sicherheitscenter-Einstellungsbearbeiter (
roles/securitycenter.settingsEditor)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Konfiguration für Ressourcenwerte erstellen
Sie erstellen Konfigurationen für Ressourcenwerte auf dem Tab Angriffspfadsimulation auf der Seite Einstellungen von Security Command Center in der Google Cloud Console.
Klicken Sie auf den Tab für Ihren Cloud-Dienstanbieter und folgen Sie der Anleitung, um eine Konfiguration für Ressourcenwerte zu erstellen:
Google Cloud
Rufen Sie in den Einstellungen von Security Command Center die Seite Angriffspfadsimulation auf:
Wählen Sie Ihre Organisation aus. Die Seite Angriffspfadsimulation wird geöffnet.
Klicken Sie auf Neue Konfiguration erstellen. Der Bereich Konfiguration für Ressourcenwerte erstellen wird geöffnet.
Geben Sie im Feld Name einen Namen für diese Konfiguration für Ressourcenwerte an.
Optional: Geben Sie eine Beschreibung der Konfiguration ein.
Wählen Sie unter Cloud-Anbieter die Option Google Cloud aus.
Klicken Sie im Feld Bereich auswählen auf Auswählen und wählen Sie mit der Projektauswahl ein Projekt, einen Ordner oder die Organisation aus. Diese Konfiguration gilt nur für Ressourceninstanzen im angegebenen Bereich.
Klicken Sie auf das Feld Ressourcentyp auswählen und wählen Sie dann einen Ressourcentyp oder Beliebig aus. Die Konfiguration gilt für Instanzen des ausgewählten Ressourcentyps oder, wenn Sie Beliebigauswählen, für Instanzen aller unterstützten Ressourcentypen. Beliebig ist die Standardeinstellung.
Optional: Klicken Sie im Bereich Label auf Label hinzufügen, um ein oder mehrere Labels anzugeben. Wenn ein Label angegeben ist, gilt die Konfiguration nur für Ressourcen, die das Label in ihren Metadaten enthalten.
Wenn Sie ein neues Label auf Ressourcen anwenden, kann es mehrere Stunden dauern, bis das Label für den Abgleich durch eine Konfiguration verfügbar ist.
Optional: Klicken Sie im Bereich Tag auf Tag hinzufügen, um ein oder mehrere Tags anzugeben. Wenn ein Tag angegeben ist, gilt die Konfiguration nur für Ressourcen, die das Tag in ihren Metadaten enthalten.
Wenn Sie ein neues Tag für eine Ressource definieren, kann es mehrere Stunden dauern, bis das Tag für den Abgleich durch eine Konfiguration verfügbar ist.
Legen Sie den Prioritätswert für die übereinstimmenden Ressourcen fest, indem Sie eine der folgenden Optionen angeben:
Optional: Wenn Sie den Erkennungsdienst von Sensitive Data Protectionverwenden, können Sie Security Command Center so konfigurieren, dass der Prioritätswert unterstützter Datenressourcen automatisch anhand der Klassifizierungen der Datenvertraulichkeit aus Sensitive Data Protection festgelegt wird:
- Klicken Sie auf den Schieberegler neben Erkennungsdaten aus Sensitive Data Protection einschließen.
- Wählen Sie im ersten Feld Ressourcenwert zuweisen den Prioritätswert aus, der übereinstimmenden Ressourcen zugewiesen werden soll, die Daten mit hoher Vertraulichkeit enthalten.
- Wählen Sie im zweiten Feld Ressourcenwert zuweisen den Prioritätswert aus, der übereinstimmenden Ressourcen zugewiesen werden soll, die Daten mit mittlerer Vertraulichkeit enthalten.
Wählen Sie im Feld Ressourcenwert zuweisen einen Wert aus, der den Ressourceninstanzen zugewiesen werden soll. Dieser Wert ist relativ zu den anderen Ressourceninstanzen in der Gruppe Ihrer hochwertigen Ressourcen. Der Wert wird bei der Berechnung der Angriffsrisikobewertungen verwendet.
Klicken Sie auf Speichern.
AWS
Bevor Security Command Center Angriffsrisikobewertungen und Angriffspfade für die Ressourcen generieren kann, die Sie in einer Konfiguration für Ressourcenwerte angeben, muss Security Command Center mit AWS verbunden sein. Weitere Informationen finden Sie unter Multicloud-Unterstützung.
Rufen Sie in den Einstellungen von Security Command Center die Seite Angriffspfadsimulation auf:
Wählen Sie Ihre Organisation aus. Die Seite Angriffspfadsimulation wird geöffnet.
Klicken Sie auf Neue Konfiguration erstellen. Der Bereich Konfiguration für Ressourcenwerte erstellen wird geöffnet.
Geben Sie im Feld Name einen Namen für diese Konfiguration für Ressourcenwerte an.
Optional: Geben Sie eine Beschreibung der Konfiguration ein.
Wählen Sie unter Cloud-Anbieter die Option Amazon Web Services aus.
Optional: Geben Sie im Feld Konto-ID eine 12-stellige AWS-Konto-ID ein. Wenn nichts angegeben ist, gilt die Konfiguration für Ressourcenwerte für alle AWS-Konten, die in der AWS-Verbindungskonfiguration angegeben sind.
Optional: Geben Sie im Feld Region eine AWS-Region ein. Beispiel:
us-east-1. Wenn nichts angegeben ist, gilt die Konfiguration für Ressourcenwerte für alle AWS-Regionen.Klicken Sie auf das Feld Ressourcentyp auswählen und wählen Sie dann einen Ressourcentyp oder Beliebig aus. Die Konfiguration gilt für Instanzen des ausgewählten Ressourcentyps oder, wenn Sie Beliebigauswählen, für alle unterstützten Ressourcentypen. Beliebig ist die Standardeinstellung.
Optional: Klicken Sie im Bereich Tag auf Tag hinzufügen, um ein oder mehrere Tags anzugeben. Wenn Sie ein Tag definieren, werden vom Connector nur Ressourcen gescannt, die das Tag in ihren Metadaten enthalten.
Wenn Sie ein neues Tag für eine Ressource definieren, kann es mehrere Stunden dauern, bis das Tag für den Abgleich durch eine Konfiguration verfügbar ist.
Wählen Sie im Feld Ressourcenwert zuweisen einen Prioritätswert für die übereinstimmenden Ressourcen aus, indem Sie eine der folgenden Optionen angeben:
Optional: Wenn Sie den Erkennungsdienst von Sensitive Data Protection, können Sie Security Command Center so konfigurieren, dass der Prioritätswert unterstützter AWS-Datenressourcen automatisch anhand der Klassifizierungen der Datenvertraulichkeit aus Sensitive Data Protection festgelegt wird:
- Klicken Sie auf den Schieberegler neben Erkennungsdaten aus Sensitive Data Protection einschließen.
- Wählen Sie im ersten Feld Ressourcenwert zuweisen den Prioritätswert aus, der übereinstimmenden Ressourcen zugewiesen werden soll, die Daten mit hoher Vertraulichkeit enthalten.
- Wählen Sie im zweiten Feld Ressourcenwert zuweisen den Prioritätswert aus, der übereinstimmenden Ressourcen zugewiesen werden soll, die Daten mit mittlerer Vertraulichkeit enthalten.
Wählen Sie im Feld Ressourcenwert zuweisen einen Wert aus, der den Ressourceninstanzen zugewiesen werden soll. Dieser Wert ist relativ zu den anderen Ressourceninstanzen in der Gruppe Ihrer hochwertigen Ressourcen. Der Wert wird bei der Berechnung der Angriffsrisikobewertungen verwendet.
Klicken Sie auf Speichern.
Azure
Bevor Security Command Center Angriffsrisikobewertungen und Angriffspfade für die Azure-Ressourcen generieren kann, die Sie in einer Konfiguration für Ressourcenwerte angeben, muss Security Command Center mit Azure verbunden sein. Weitere Informationen finden Sie unter Multicloud-Unterstützung.
Rufen Sie in den Einstellungen von Security Command Center die Seite Angriffspfadsimulation auf:
Wählen Sie Ihre Organisation aus. Die Seite Angriffspfadsimulation wird geöffnet.
Klicken Sie auf Neue Konfiguration erstellen. Der Bereich Konfiguration für Ressourcenwerte erstellen wird geöffnet.
Geben Sie im Feld Name einen Namen für diese Konfiguration für Ressourcenwerte an.
Optional: Geben Sie unter Beschreibung eine Beschreibung der Konfiguration ein.
Wählen Sie unter Cloud-Anbieter die Option Microsoft Azure aus.
Optional: Geben Sie unter Abo-ID eine 36-stellige Azure Abo-ID ein. Wenn nichts angegeben ist, gilt die Konfiguration für Ressourcenwerte für alle Abos, die in der Azure Connector-Konfigurationangegeben sind.
Optional: Wählen Sie im Feld Standort auswählen einen Azure-Standort aus, z. B.
East US 2. Wenn Sie keinen Standort festlegen, gilt die Konfiguration für Ressourcenwerte für alle Standorte, die in der Azure-Connector-Konfiguration angegeben sind.Klicken Sie auf Ressourcentyp auswählen und wählen Sie dann einen Ressourcentyp oder Beliebig aus. Die Konfiguration gilt für Instanzen des ausgewählten Ressourcentyps oder, wenn Sie Beliebig auswählen, für alle unterstützten Ressourcentypen. Beliebig ist die Standardeinstellung.
Optional: Klicken Sie im Bereich Tag auf Tag hinzufügen, um ein oder mehrere Tags anzugeben. Wenn ein Tag angegeben ist, gilt die Konfiguration nur für Ressourcen, die das Tag in ihren Metadaten enthalten.
Wenn Sie ein neues Tag für eine Ressource definieren, kann es mehrere Stunden dauern, bis das Tag für den Abgleich durch eine Konfiguration verfügbar ist.
Wählen Sie im Feld Ressourcenwert zuweisen einen Prioritätswert aus.
Klicken Sie auf Speichern.
Die neue Konfiguration wird erst nach der nächsten Angriffspfadsimulation in den Angriffsrisikobewertungen und Angriffspfaden berücksichtigt.
Wenn Sie die Gruppe hochwertiger Ressourcen ansehen, sehen Sie die Konfigurationen für Ressourcenwerte, die mit den Ressourcen in der Gruppe übereinstimmen. Weitere Informationen finden Sie unter Konfigurationen ansehen, die mit einer hochwertigen Ressource übereinstimmen.
Informationen zum Konfigurieren von Sensitive Data Protection, um Klassifizierungen der Daten vertraulichkeit an Security Command Center zu senden, finden Sie in der Dokumentation zu Sensitive Data Protection unter Datenprofile in Security Command Center veröffentlichen.
Konfiguration bearbeiten
Mit Ausnahme des Namens können Sie jede Spezifikation in einer Konfiguration für Ressourcenwerte aktualisieren.
Bei diesen Schritten wird davon ausgegangen, dass Sie den Namen der Konfiguration für Ressourcenwerte kennen, die Sie bearbeiten möchten. Wenn Sie nur den Namen der relevanten Ressource kennen, lesen Sie stattdessen Konfigurationen ansehen, die mit einer hochwertigen Ressource übereinstimmen.
So aktualisieren Sie eine vorhandene Konfiguration für Ressourcenwerte:
Rufen Sie in den Einstellungen von Security Command Center die Seite Angriffspfadsimulation auf:
Wählen Sie Ihre Organisation aus. Die Seite Angriffspfadsimulation wird geöffnet und die vorhandenen Konfigurationen werden angezeigt.
Klicken Sie in der Spalte Konfigurationsname auf den Namen der Konfiguration, die Sie aktualisieren möchten. Die Seite Konfiguration für Ressourcenwerte bearbeiten wird geöffnet.
Aktualisieren Sie die Spezifikationen in der Konfiguration nach Bedarf.
Klicken Sie auf Speichern.
Die Änderungen werden erst nach der nächsten Angriffspfadsimulation in den Angriffsrisikobewertungen und Angriffspfaden berücksichtigt.
Konfiguration löschen
So löschen Sie eine Konfiguration für Ressourcenwerte:
Rufen Sie in den Einstellungen von Security Command Center die Seite Angriffspfadsimulation auf:
Wählen Sie Ihre Organisation aus. Die Seite Angriffspfadsimulation wird geöffnet.
Klicken Sie rechts in der Zeile für die Konfiguration, die Sie löschen möchten, unter Konfigurationen für Ressourcenwerte auf die vertikalen Punkte, um das Aktionsmenü aufzurufen. Wenn Sie die vertikalen Punkte nicht sehen, scrollen Sie nach rechts.
Wählen Sie im angezeigten Aktionsmenü Löschen aus.
Wählen Sie im Bestätigungsdialogfeld Bestätigen aus.
Die Konfiguration wird gelöscht.
Konfiguration ansehen
Sie können alle vorhandenen Konfigurationen für Ressourcenwerte auf der Seite Angriffspfadsimulation in den Einstellungen von Security Command Center ansehen.
So rufen Sie eine bestimmte Konfiguration für Ressourcenwerte auf: Attack path simulation
Wählen Sie Ihre Organisation aus. Die Seite Angriffspfadsimulation wird geöffnet.
Scrollen Sie auf der Seite Angriffspfadsimulation unter Konfigurationen für Ressourcenwerte in der Liste der Konfigurationen für Ressourcenwerte, bis Sie die gewünschte Konfiguration finden.
Klicken Sie auf den Namen der Konfiguration, um die Konfigurationseigenschaften aufzurufen. Die Eigenschaften werden auf der Seite Konfiguration für Ressourcenwerte bearbeiten angezeigt.
Konfigurationen ansehen, die mit einer hochwertigen Ressource übereinstimmen
Sie können alle Konfigurationen ansehen, die mit den Ressourcen in der Gruppe hochwertiger Ressourcen übereinstimmen. Diese Funktion ist nützlich, wenn Sie die Regeln überprüfen möchten, die die Ressourcenwerte der Gruppe hochwertiger Ressourcen bestimmt haben.
So rufen Sie die Konfigurationen auf, die mit einer hochwertigen Ressource übereinstimmen:
- Sehen Sie sich die Gruppe hochwertiger Ressourcen an.
- Suchen Sie die Ressource, deren Konfigurationen Sie ansehen möchten. Die übereinstimmenden Konfigurationen für diese Ressource sind in der Spalte Übereinstimmende Konfigurationen aufgeführt. Die Konfigurationen sind in absteigender Reihenfolge nach dem Ressourcenwert aufgeführt, den sie der Ressource zuweisen:
High,MediumoderLow. Klicken Sie auf den Namen einer Konfiguration, um die Eigenschaften aufzurufen. Die Eigenschaften werden auf der Seite Konfiguration für Ressourcenwerte bearbeiten angezeigt.
Eine kürzlich gelöschte Konfiguration bleibt sichtbar, ist aber erst nach der nächsten Angriffspfadsimulation anklickbar.
Optional: Bearbeiten Sie die Konfiguration und klicken Sie auf Speichern.
Fehlerbehebung
Wenn nach dem Erstellen, Bearbeiten oder Löschen von Konfigurationen für Ressourcen
werte Fehler auftreten, suchen Sie in der
Google Cloud Console nach Ergebnissen der SCC ErrorKlasse. Gehen Sie dazu so vor:
Rufen Sie in der Google Cloud Console die Seite Ergebnisse auf:
Gehen Sie im Bereich Schnellfilter zum Abschnitt Ergebnisklasse und wählen Sie SCC Error aus.
Suchen Sie im Bereich Ergebnisse der Ergebnisabfrage nach den folgenden
SCC Error-Ergebnissen und klicken Sie auf den Kategorienamen:APS no resource value configs match any resourcesAPS resource value assignment limit exceeded
Der Bereich mit den Ergebnisdetails wird geöffnet.
Sehen Sie sich im Bereich mit den Ergebnisdetails die Informationen im Abschnitt Nächste Schritte an.
Anleitungen zur Behebung von Problemen mit SCC Error-Ergebnissen bei der Angriffspfadsimulation finden Sie in der Dokumentation unter:
Nächste Schritte
Informationen zum Arbeiten mit Security Command Center-Ergebnissen finden Sie unter Ergebnisse prüfen und verwalten.