En esta página, se muestra cómo crear, editar, borrar y ver la configuración de valor de los recursos.
Usa la configuración de valor de los recursos para crear tu conjunto de recursos de alto valor. Tu conjunto de recursos de alto valor determina cuáles de tus instancias de recursos (denominadas recursos) consideran las simulaciones de rutas de ataque como recursos de alto valor.
Puedes definir la configuración de valor de los recursos para los recursos en Google Cloud. Además, en el nivel de servicio Enterprise, puedes definir la configuración de los recursos en los otros proveedores de servicios en la nube a los que está conectado Security Command Center.
Cuando se ejecutan las simulaciones de rutas de ataque, identifican las rutas de ataque y calculan las puntuaciones de exposición a ataques para los recursos designados como recursos de alto valor y para los hallazgos de clase Vulnerability, Misconfiguration y Toxic combination.
Las simulaciones de rutas de ataque se ejecutan aproximadamente cada seis horas. A medida que crece tu organización, las simulaciones tardan más, pero siempre se ejecutarán al menos una vez al día. La creación, modificación o eliminación de recursos o la configuración de valor de los recursos no activan las ejecuciones de simulación.
Para obtener una introducción a los conjuntos de recursos de alto valor y la configuración de valor de los recursos, consulta Conjuntos de recursos de alto valor.
Antes de comenzar
Para obtener los permisos que necesitas para ver y trabajar con la configuración de valor de los recursos, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu organización:
- Editor de configuración de valor de recursos (
roles/securitycenter.resourceValueConfigEditor) - Visualizador de configuración de valor de recursos (
roles/securitycenter.resourceValueConfigsViewer) - Editor de configuración del centro de seguridad (
roles/securitycenter.settingsEditor)
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.
Crear una configuración del valor de recurso
Para crear la configuración de valor de los recursos, usa la pestaña Simulación de ruta de ataque en la página Configuración de Security Command Center en la Google Cloud consola.
Para crear una configuración de valor de los recursos, haz clic en la pestaña de tu proveedor de servicios en la nube y sigue los pasos:
Google Cloud
Ve a la página Simulación de ruta de ataque en la Configuración de Security Command Center:
Seleccionar tu organización. Se abrirá la página Simulación de ruta de ataque.
Haz clic en Crear configuración nueva. Se abrirá el panel Crear configuración de valor de recursos.
En el campo Nombre, especifica un nombre para esta configuración de valor de recursos.
Opcional: Ingresa una descripción de la configuración.
En Proveedor de servicios en la nube, selecciona Google Cloud.
En el campo Seleccionar alcance , haz clic en Seleccionar y usa el navegador de proyectos para seleccionar un proyecto, una carpeta o la organización. Esta configuración solo se aplica a las instancias de recursos en el alcance especificado.
Haz clic en el campo Seleccionar tipo de recurso y, luego, selecciona un tipo de recurso o Cualquiera. La configuración se aplica a las instancias del tipo de recurso seleccionado o, si seleccionas Cualquiera, a las instancias de todos los tipos de recursos compatibles. Cualquiera es la opción predeterminada.
Opcional: En la sección Etiqueta, haz clic en Agregar etiqueta para especificar una o más etiquetas. Cuando se especifica una etiqueta, la configuración solo se aplica a los recursos que incluyen la etiqueta en sus metadatos.
Si aplicas una etiqueta nueva a algún recurso, puede tardar varias horas en que la etiqueta esté disponible para que una configuración la haga coincidir.
Opcional: En la sección Etiqueta, haz clic en Agregar etiqueta para especificar una o más etiquetas. Cuando se especifica una etiqueta, la configuración solo se aplica a los recursos que incluyen la etiqueta en sus metadatos.
Si defines una etiqueta nueva para un recurso, puede tardar varias horas en que la etiqueta esté disponible para que una configuración la haga coincidir.
Para establecer el valor de prioridad de los recursos coincidentes, especifica una de las siguientes opciones:
Opcional: Si usas el servicio de descubrimiento de Sensitive Data Protection, habilita Security Command Center para que establezca automáticamente el valor de prioridad de los recursos de datos compatibles en función de las clasificaciones de sensibilidad de los datos de Sensitive Data Protection:
- Haz clic en el control deslizante junto a Incluir estadísticas de descubrimiento de Sensitive Data Protection.
- En el primer campo Asignar valor de recursos, selecciona el valor de prioridad que se asignará a los recursos coincidentes que contienen datos de sensibilidad alta.
- En el segundo campo Asignar valor de recursos, selecciona el valor de prioridad que se asignará a los recursos coincidentes que contienen datos de sensibilidad intermedia.
En el campo Asignar valor de recursos, selecciona un valor para asignar a las instancias de recursos. Este valor es relativo a las otras instancias de recursos de tu conjunto de recursos de alto valor. El valor se usa durante el cálculo de las puntuaciones de exposición a ataques.
Haz clic en Guardar.
AWS
Para que Security Command Center pueda generar puntuaciones de exposición a ataques y rutas de ataque para los recursos que especificas en una configuración de valor de recursos, Security Command Center debe estar conectado a AWS. Para obtener más información, consulta Compatibilidad con varias nubes.
Ve a la página Simulación de ruta de ataque en la Configuración de Security Command Center:
Seleccionar tu organización. Se abrirá la página Simulación de ruta de ataque.
Haz clic en Crear configuración nueva. Se abrirá el panel Crear configuración de valor de recursos.
En el campo Nombre, especifica un nombre para esta configuración de valor de recursos.
Opcional: Ingresa una descripción de la configuración.
En Proveedor de servicios en la nube, selecciona Amazon Web Services.
Opcional: En el campo ID de cuenta, ingresa un ID de cuenta de AWS de 12 dígitos. Si no se especifica, la configuración de valor de recursos se aplica a todas las cuentas de AWS que se especifican en la configuración de conexión de AWS.
Opcional: En el campo Región, ingresa una región de AWS. Por ejemplo,
us-east-1. Si no se especifica, la configuración de valor de recursos se aplica a todas las regiones de AWS.Haz clic en el campo Seleccionar tipo de recurso y, luego, selecciona un tipo de recurso o Cualquiera. La configuración se aplica a las instancias del tipo de recurso seleccionado o, si seleccionas Cualquiera, a todos los tipos de recursos compatibles. Cualquiera es la opción predeterminada.
Opcional: En la sección Etiqueta, haz clic en Agregar etiqueta para especificar una o más etiquetas. Cuando defines una etiqueta, el conector solo analiza los recursos que incluyen la etiqueta en sus metadatos.
Si defines una etiqueta nueva para un recurso, puede tardar varias horas en que la etiqueta esté disponible para que una configuración la haga coincidir.
En el campo Asignar valor de recursos, selecciona un valor de prioridad para los recursos coincidentes. Para ello, especifica una de las siguientes opciones:
Opcional: Si usas el servicio de descubrimiento de Sensitive Data Protection, habilita Security Command Center para que establezca automáticamente el valor de prioridad de los recursos de datos de AWS compatibles en función de las clasificaciones de sensibilidad de los datos de Sensitive Data Protection:
- Haz clic en el control deslizante junto a Incluir estadísticas de descubrimiento de Sensitive Data Protection.
- En el primer campo Asignar valor de recursos, selecciona el valor de prioridad que se asignará a los recursos coincidentes que contienen datos de sensibilidad alta.
- En el segundo campo Asignar valor de recursos, selecciona el valor de prioridad que se asignará a los recursos coincidentes que contienen datos de sensibilidad intermedia.
En el campo Asignar valor de recursos, selecciona un valor para asignar a las instancias de recursos. Este valor es relativo a las otras instancias de recursos de tu conjunto de recursos de alto valor. El valor se usa durante el cálculo de las puntuaciones de exposición a ataques.
Haz clic en Guardar.
Azure
Para que Security Command Center pueda generar puntuaciones de exposición a ataques y rutas de ataque para los recursos de Azure que especificas en una configuración de valor de recursos, Security Command Center debe estar conectado a Azure. Para obtener más información, consulta Compatibilidad con varias nubes.
Ve a la página Simulación de ruta de ataque en la Configuración de Security Command Center:
Seleccionar tu organización. Se abrirá la página Simulación de ruta de ataque.
Haz clic en Crear configuración nueva. Se abrirá el panel Crear configuración de valor de recursos.
En el campo Nombre, especifica un nombre para esta configuración de valor de recursos.
Opcional: En Descripción, ingresa una descripción de la configuración.
En Proveedor de servicios en la nube, selecciona Microsoft Azure.
Opcional: En ID de suscripción, ingresa un ID de suscripción de Azure de 36 dígitos. Si no se especifica, la configuración de valor de recursos se aplica a todas las suscripciones que se especifican en la configuración del conector de Azure .
Opcional: En el campo Seleccionar ubicación , selecciona una ubicación de Azure, por ejemplo,
East US 2. Si no estableces una ubicación, la configuración de valor de recursos se aplica a todas las ubicaciones que se especifican en la configuración del conector de Azure.Haz clic en Seleccionar tipo de recurso y, luego, selecciona un tipo de recurso o Cualquiera. La configuración se aplica a las instancias del tipo de recurso seleccionado o, si seleccionas Cualquiera, a todos los tipos de recursos compatibles. Cualquiera es la opción predeterminada.
Opcional: En la sección Etiqueta, haz clic en Agregar etiqueta para especificar una o más etiquetas. Cuando se especifica una etiqueta, la configuración solo se aplica a los recursos que incluyen la etiqueta en sus metadatos.
Si defines una etiqueta nueva para un recurso, puede tardar varias horas en que la etiqueta esté disponible para que una configuración la haga coincidir.
En el campo Asignar valor de recursos, selecciona un valor de prioridad.
Haz clic en Guardar.
La nueva configuración se refleja en las puntuaciones de exposición a ataques y las rutas de ataque solo después de que se ejecute la próxima simulación de ruta de ataque.
Cuando ves el conjunto de recursos de alto valor, puedes ver la configuración de valor de los recursos que coinciden con los recursos del conjunto. Para obtener más información, consulta Cómo ver la configuración que coincide con un recurso de alto valor.
Para obtener información sobre cómo configurar Sensitive Data Protection para enviar clasificaciones de sensibilidad de datos a Security Command Center, consulta Publica perfiles de datos en Security Command Center en la documentación de Sensitive Data Protection.
Editar una configuración
Excepto por el nombre, puedes actualizar cualquier especificación en una configuración de valor de recursos.
En estos pasos, se supone que conoces el nombre de la configuración de valor de recursos que deseas editar. Si solo conoces el nombre del recurso pertinente, consulta Cómo ver la configuración que coincide con un recurso de alto valor en su lugar.
Para actualizar una configuración de valor de recursos existente, sigue estos pasos:
Ve a la página Simulación de ruta de ataque en la Configuración de Security Command Center:
Seleccionar tu organización. Se abrirá la página Simulación de ruta de ataque con las configuraciones existentes.
En la columna Nombre de la configuración, haz clic en el nombre de la configuración que necesitas actualizar. Se abrirá la página Editar configuración de valor de recursos.
Actualiza las especificaciones en la configuración según sea necesario.
Haz clic en Guardar.
Los cambios se reflejan en las puntuaciones de exposición a ataques y las rutas de ataque solo después de que se ejecute la próxima simulación de ruta de ataque.
Borrar una configuración
Para borrar una configuración de valor de recursos, sigue estos pasos:
Ve a la página Simulación de ruta de ataque en la Configuración de Security Command Center:
Seleccionar tu organización. Se abrirá la página Simulación de ruta de ataque.
En Configuración de valor de recursos , en el lado derecho de la fila de la configuración que necesitas borrar, haz clic en los puntos verticales para mostrar el menú de acciones. Si no ves los puntos verticales, desplázate hacia la derecha.
En el menú de acciones que se muestra, selecciona Borrar.
En el diálogo de confirmación, selecciona Confirmar.
Se borra la configuración.
Ver una configuración
Puedes ver todas las configuraciones de valor de recursos existentes en la página Simulación de ruta de ataque en la Configuración de Security Command Center.
Para ver una configuración de valor de recursos en particular, ve a la página Simulación de ruta de ataque:
Seleccionar tu organización. Se abrirá la página Simulación de ruta de ataque.
En Configuración de valor de recursos en la página Simulación de ruta de ataque, desplázate por la lista de configuraciones de valor de recursos hasta que encuentres la configuración que necesitas.
Para ver las propiedades de la configuración, haz clic en el nombre de la configuración. Las propiedades se muestran en la página Editar configuración de valor de recursos.
Cómo ver la configuración que coincide con un recurso de alto valor
Puedes ver todas las configuraciones que coinciden con los recursos que se encuentran en el conjunto de recursos de alto valor. Esta función es útil si deseas revisar las reglas que determinaron los valores de los recursos de tu conjunto de recursos de alto valor.
Para ver la configuración que coincide con un recurso de alto valor, sigue estos pasos:
- Consulta el conjunto de recursos de alto valor.
- Busca el recurso cuyas configuraciones deseas ver. Las configuraciones coincidentes para ese recurso se enumeran en la columna Configuraciones coincidentes. Las configuraciones se enumeran en orden descendente según el valor de recursos que asignan al recurso:
High,MediumoLow. Para ver las propiedades de una configuración, haz clic en su nombre. Las propiedades se muestran en la página Editar configuración de valor de recursos.
Una configuración que se borró recientemente permanece visible, pero no se puede hacer clic en ella, hasta que se ejecute la próxima simulación de ruta de ataque.
Opcional: Edita la configuración y haz clic en Guardar.
Soluciona problemas
Si recibes errores después de crear, editar o borrar la configuración de valor de recursos
, busca los hallazgos de clase SCC Error en la
Google Cloud consola siguiendo estos pasos:
Ve a la página Hallazgos en la Google Cloud consola:
En el panel Filtros rápidos, ve a la sección Clase de hallazgo y selecciona Error de SCC.
En el panel Resultados de la consulta de hallazgos, analiza los hallazgos de los siguientes hallazgos de
SCC Errory haz clic en el nombre de la categoría:APS no resource value configs match any resourcesAPS resource value assignment limit exceeded
Se abrirá el panel de detalles del hallazgo.
En el panel de detalles del hallazgo, revisa la información de la sección Próximos pasos.
Para revisar las instrucciones de corrección de los hallazgos de SCC Error de la simulación de ruta de ataque en la documentación, consulta lo siguiente:
¿Qué sigue?
Para obtener información sobre cómo trabajar con los hallazgos de Security Command Center, consulta Revisa y administra los hallazgos.