הגדרה וניהול של קבוצת משאבים בעלי ערך גבוה

בדף הזה מוסבר איך ליצור, לערוך, למחוק ולראות הגדרות של ערכי משאבים.

משתמשים בהגדרות של ערכי משאבים כדי ליצור את קבוצת המשאבים החשובים לעסק. קבוצת המשאבים בעלי הערך הגבוה קובעת אילו מופעים של משאבים (שנקראים משאבים) נחשבים משאבים בעלי ערך גבוה בסימולציות של נתיבי התקפה.

אפשר להגדיר ערכי משאבים למשאבים ב-Google Cloud. בנוסף, במסלול Enterprise של שירות Security Command Center, אפשר להגדיר משאבים אצל ספקי שירותי ענן אחרים שמחוברים ל-Security Command Center.

כשמריצים סימולציות של נתיבי תקיפה, המערכת מזהה נתיבי תקיפה ומחשבת את רמות החשיפה להתקפות של משאבים שמסווגים כמשאבים בעלי ערך גבוה, ושל ממצאים מסוג Vulnerability, מסוג Misconfiguration ומסוג Toxic combination.

סימולציות של נתיבי תקיפה מופעלות בערך כל שש שעות. ככל שהארגון גדל, הסימולציות נמשכות יותר זמן, אבל הן תמיד יפעלו לפחות פעם ביום. הפעלת סימולציות לא מופעלת כשיוצרים, משנים או מוחקים משאבים או הגדרות של ערכי משאבים.

במאמר קבוצות משאבים בעלי ערך גבוה מוסבר על קבוצות משאבים בעלי ערך גבוה ועל הגדרות של ערכי משאבים.

לפני שמתחילים

כדי לקבל את ההרשאות שדרושות בשביל להציג את ההגדרות של ערכי המשאבים ולעבוד איתן, אתם צריכים לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בארגון:

עורך ההגדרות של ערכי המשאבים (roles/securitycenter.resourceValueConfigEditor)
כלי לצפייה בהגדרות של ערכי משאבים (roles/securitycenter.resourceValueConfigsViewer)
עורך ההגדרות של מרכז האבטחה (roles/securitycenter.settingsEditor)

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

יצירת הגדרה אישית של ערך משאב

כדי ליצור הגדרות של ערכי משאבים, משתמשים בכרטיסייה Attack path simulation (סימולציה של נתיב התקפה) בדף Settings (הגדרות) ב- Google Cloud console (מסוף) של Security Command Center.

כדי ליצור הגדרת ערך משאב, לוחצים על הכרטיסייה של ספק שירותי הענן ופועלים לפי השלבים הבאים:

Google Cloud

עוברים לדף Attack path simulation בהגדרות של Security Command Center:

מעבר לסימולציות של נתיבי תקיפה
בוחרים את הארגון. ייפתח הדף Attack path simulation.
לוחצים על יצירת הגדרה חדשה. החלונית Create resource value configuration תיפתח.
בשדה Name, מציינים שם להגדרת ערך המשאב הזו.
אופציונלי: מזינים תיאור של ההגדרה.
בקטע ספק שירותי ענן, בוחרים באפשרות Google Cloud.
בשדה Select scope, לוחצים על Select ומשתמשים בדפדפן הפרויקטים כדי לבחור פרויקט, תיקייה או את הארגון. התצורה הזו חלה רק על מופעי משאבים בהיקף שצוין.
לוחצים על השדה בחירת סוג משאב ובוחרים סוג משאב או כל. ההגדרה חלה על מופעים של סוג המשאב שנבחר, או אם בוחרים באפשרות Any, על מופעים של כל סוגי המשאבים הנתמכים. ברירת המחדל היא Any.

הערה: אם בוחרים באפשרות כל ומפעילים את האפשרות Include discovery insights from Sensitive Data Protection, המערכת מגדירה אוטומטית ערכי משאבים לכל המשאבים הנתמכים, בהתאם לסיווגים של רגישות הנתונים מ-Sensitive Data Protection.
אופציונלי: בקטע תווית, לוחצים על הוספת תווית כדי לציין תווית אחת או יותר. כשמציינים תווית, ההגדרה חלה רק על משאבים שכוללים את התווית במטא-נתונים שלהם.

אם מוסיפים תווית חדשה למשאבים, יכול להיות שיחלפו כמה שעות עד שהתווית תהיה זמינה להתאמה לפי הגדרה.
אופציונלי: בקטע תג, לוחצים על הוספת תג כדי לציין תג אחד או יותר. כשמציינים תג, ההגדרה חלה רק על משאבים שכוללים את התג במטא-נתונים שלהם.

אם מגדירים תג חדש למשאב, יכולות לעבור כמה שעות עד שהתג יהיה זמין להתאמה על ידי הגדרה.
מגדירים את ערך העדיפות של המשאבים התואמים על ידי ציון אחת מהאפשרויות הבאות:
- אופציונלי: אם אתם משתמשים בשירות הגילוי של Sensitive Data Protection, אתם יכולים להפעיל את Security Command Center כדי להגדיר אוטומטית את ערך העדיפות של משאבי נתונים נתמכים על סמך סיווגים של רגישות נתונים מ-Sensitive Data Protection:
  1. לוחצים על פס ההזזה לצד Include discovery insights from Sensitive Data Protection (הכללת תובנות לגבי גילוי מ-Sensitive Data Protection).
  2. בשדה הראשון הקצאת ערך משאב, בוחרים את ערך העדיפות להקצאה למשאבים תואמים שמכילים נתונים ברגישות גבוהה.
  3. בשדה השני הקצאת ערך משאב, בוחרים את ערך העדיפות להקצאה למשאבים תואמים שמכילים נתונים ברמת רגישות בינונית.
- בשדה הקצאת ערך למשאב, בוחרים ערך להקצאה למופעים של המשאב. הערך הזה הוא יחסי למופעים אחרים של משאבים בקבוצת המשאבים בעלי הערך הגבוה. הערך הזה משמש במהלך החישוב של ציוני החשיפה להתקפות.
לוחצים על Save.

AWS

כדי ש-Security Command Center יוכל ליצור ניקוד חשיפה להתקפות ונתיבי התקפה למשאבים שציינתם בהגדרת ערך משאב, הוא צריך להיות מחובר ל-AWS. מידע נוסף זמין במאמר בנושא תמיכה ב-Multicloud.

עוברים לדף Attack path simulation בהגדרות של Security Command Center:

מעבר לסימולציות של נתיבי תקיפה
בוחרים את הארגון. ייפתח הדף Attack path simulation.
לוחצים על יצירת הגדרה חדשה. החלונית Create resource value configuration תיפתח.
בשדה Name, מציינים שם להגדרת ערך המשאב הזו.
אופציונלי: מזינים תיאור של ההגדרה.
בקטע ספק שירותי ענן, בוחרים באפשרות Amazon Web Services.
אופציונלי: בשדה מזהה חשבון, מזינים מזהה חשבון AWS בן 12 ספרות. אם לא מציינים זאת, הגדרת ערך המשאב חלה על כל חשבונות AWS שצוינו בהגדרת החיבור ל-AWS.
אופציונלי: בשדה Region (אזור), מזינים אזור AWS. לדוגמה, us-east-1. אם לא מציינים אזור, הגדרת ערך המשאב חלה על כל האזורים ב-AWS.
לוחצים על השדה בחירת סוג משאב ובוחרים סוג משאב או כל סוג. ההגדרה חלה על מופעים של סוג המשאב שנבחר, או אם בוחרים באפשרות Any, על כל סוגי המשאבים הנתמכים. ברירת המחדל היא Any.

הערה: אם בוחרים באפשרות Any ומפעילים את האפשרות Include discovery insights from Sensitive Data Protection, המערכת מגדירה אוטומטית ערכי משאבים לכל משאבי AWS הנתמכים, בהתבסס על סיווגים של רגישות נתונים מ-Sensitive Data Protection.
אופציונלי: בקטע תג, לוחצים על הוספת תג כדי לציין תג אחד או יותר. כשמגדירים תג, המחבר סורק רק משאבים שכוללים את התג במטא-נתונים שלהם.

אם מגדירים תג חדש למשאב, יכולות לעבור כמה שעות עד שהתג יהיה זמין להתאמה על ידי הגדרה.
בשדה Assign resource value, בוחרים ערך עדיפות למשאבים התואמים על ידי ציון אחת מהאפשרויות הבאות:
- אופציונלי: אם אתם משתמשים בשירות הגילוי של Sensitive Data Protection, אתם יכולים להפעיל את Security Command Center כדי להגדיר באופן אוטומטי את ערך העדיפות של משאבי נתונים נתמכים ב-AWS על סמך סיווגים של רגישות נתונים מ-Sensitive Data Protection:
  1. לוחצים על פס ההזזה לצד Include discovery insights from Sensitive Data Protection (הכללת תובנות לגבי גילוי מ-Sensitive Data Protection).
  2. בשדה הראשון הקצאת ערך משאב, בוחרים את ערך העדיפות להקצאה למשאבים תואמים שמכילים נתונים ברגישות גבוהה.
  3. בשדה השני הקצאת ערך משאב, בוחרים את ערך העדיפות להקצאה למשאבים תואמים שמכילים נתונים ברמת רגישות בינונית.
- בשדה הקצאת ערך למשאב, בוחרים ערך להקצאה למופעים של המשאב. הערך הזה הוא יחסי למופעים אחרים של משאבים בקבוצת המשאבים בעלי הערך הגבוה. הערך הזה משמש במהלך החישוב של ציוני החשיפה להתקפות.
לוחצים על Save.

Azure

כדי ש-Security Command Center יוכל ליצור ניקוד חשיפה להתקפות ונתיבי התקפה למשאבי Azure שציינתם בהגדרת ערך משאב, הוא צריך להיות מחובר ל-Azure. מידע נוסף זמין במאמר בנושא תמיכה ב-Multicloud.

עוברים לדף Attack path simulation בהגדרות של Security Command Center:

מעבר לסימולציות של נתיבי תקיפה
בוחרים את הארגון. ייפתח הדף Attack path simulation.
לוחצים על יצירת הגדרה חדשה. החלונית Create resource value configuration תיפתח.
בשדה Name, מציינים שם להגדרת ערך המשאב הזו.
אופציונלי: בשדה Description, מזינים תיאור של ההגדרה.
בקטע ספק שירותי ענן, בוחרים באפשרות Microsoft Azure.
אופציונלי: בשדה מזהה מינוי, מזינים מזהה מינוי של Azure בן 36 ספרות. אם לא מציינים ערך, הגדרת ערך המשאב חלה על כל המינויים שמצוינים בהגדרת מחבר Azure.
אופציונלי: בשדה Select location (בחירת מיקום), בוחרים מיקום ב-Azure – לדוגמה, East US 2. אם לא מגדירים מיקום, הגדרת ערך המשאב חלה על כל המיקומים שצוינו בהגדרת מחבר Azure.
לוחצים על בחירת סוג משאב, ואז בוחרים סוג משאב או באפשרות כל סוג. ההגדרה חלה על מופעים של סוג המשאב שנבחר, או אם בוחרים באפשרות Any, על כל סוגי המשאבים הנתמכים. ברירת המחדל היא Any.
אופציונלי: בקטע תג, לוחצים על הוספת תג כדי לציין תג אחד או יותר. כשמציינים תג, ההגדרה חלה רק על משאבים שכוללים את התג במטא-נתונים שלהם.

אם מגדירים תג חדש למשאב, יכולות לעבור כמה שעות עד שהתג יהיה זמין להתאמה על ידי הגדרה.
בשדה הקצאת ערך למשאב, בוחרים ערך עדיפות.
לוחצים על Save.

ההגדרה החדשה תבוא לידי ביטוי בציוני החשיפה להתקפות ובנתיבי ההתקפה רק אחרי ההרצה הבאה של סימולציית נתיבי ההתקפה.

כשמציגים את קבוצת המשאבים בעלי הערך הגבוה, אפשר לראות את ההגדרות של ערכי המשאבים שתואמות למשאבים בקבוצה. מידע נוסף זמין במאמר בנושא הצגת ההגדרות שתואמות למשאב בעל ערך גבוה.

במסמכי התיעוד של Sensitive Data Protection מוסבר איך להגדיר את Sensitive Data Protection כך שישלח סיווגים של רגישות נתונים אל Security Command Center. אפשר לעיין במאמר פרסום פרופילי נתונים ב-Security Command Center.

עריכת הגדרות

אפשר לעדכן כל הגדרה במערך הגדרות של ערכי משאבים, חוץ מהשם.

ההנחיות האלה מניחות שאתם יודעים את השם של הגדרת ערך המשאב שאתם רוצים לערוך. אם ידוע לכם רק השם של המשאב הרלוונטי, כדאי לעיין במאמר בנושא הצגת ההגדרות שתואמות למשאב בעל ערך גבוה.

כדי לעדכן הגדרת ערך של משאב קיים, פועלים לפי השלבים הבאים:

עוברים לדף Attack path simulation בהגדרות של Security Command Center:

מעבר לסימולציות של נתיבי תקיפה
בוחרים את הארגון. הדף Attack path simulation נפתח ובו מוצגות ההגדרות הקיימות.
בעמודה Configuration name (שם ההגדרה), לוחצים על שם ההגדרה שרוצים לעדכן. ייפתח הדף עריכת ההגדרה של ערך המשאב.
מעדכנים את המפרטים בהגדרות לפי הצורך.
לוחצים על Save.

השינויים יבואו לידי ביטוי בציון החשיפה להתקפה ובנתיבי ההתקפה רק אחרי ההרצה הבאה של סימולציית נתיב ההתקפה.

מחיקת הגדרה

כדי למחוק הגדרה של ערך משאב, פועלים לפי השלבים הבאים:

עוברים לדף Attack path simulation בהגדרות של Security Command Center:

מעבר לסימולציות של נתיבי תקיפה
בוחרים את הארגון. ייפתח הדף Attack path simulation.
בקטע Resource value configurations (הגדרות של ערכי משאבים) בצד שמאל של השורה של ההגדרה שרוצים למחוק, לוחצים על סמל האפשרויות הנוספות (3 נקודות אנכיות) כדי להציג את תפריט הפעולות. אם לא רואים את הנקודות האנכיות, גוללים ימינה.
בתפריט הפעולות שמוצג, בוחרים באפשרות מחיקה.
בתיבת הדו-שיח לאישור, בוחרים באפשרות אישור.

ההגדרה נמחקת.

צפייה בהגדרה

אפשר לראות את כל ההגדרות הקיימות של ערכי משאבים בדף Attack path simulation בהגדרות של Security Command Center.

כדי לראות הגדרה של ערך משאב מסוים, עוברים לדף Attack path simulation (סימולציה של נתיב תקיפה):

מעבר לסימולציות של נתיבי תקיפה
בוחרים את הארגון. ייפתח הדף Attack path simulation.
בקטע Resource value configurations בדף Attack path simulation, גוללים ברשימת הגדרות ערכי המשאבים עד שמוצאים את ההגדרה הרצויה.
כדי לראות את מאפייני ההגדרה, לוחצים על שם ההגדרה. המאפיינים מוצגים בדף Edit resource value configuration.

איפה אפשר לראות את ההגדרות שתואמות למשאב בעל ערך גבוה

אפשר לראות את כל ההגדרות שתואמות למשאבים שנמצאים בקבוצת המשאבים בעלי הערך הגבוה. התכונה הזו שימושית אם רוצים לבדוק את הכללים שקבעו את ערכי המשאבים של קבוצת משאבים עם ערך גבוה.

כדי לראות את ההגדרות שתואמות למשאב בעל ערך גבוה:

צפייה בקבוצת המשאבים בעלי הערך הגבוה.
מוצאים את המשאב שרוצים לראות את ההגדרות שלו. ההגדרות התואמות של המשאב הזה מפורטות בעמודה הגדרות תואמות. ההגדרות מפורטות בסדר יורד לפי ערך המשאב שהן מקצות למשאב – High,‏ Medium או Low.
כדי לראות את המאפיינים של הגדרה, לוחצים על השם שלה. המאפיינים מוצגים בדף Edit resource value configuration.

הגדרה שנמחקה לאחרונה תמשיך להיות גלויה – אבל לא תהיה אפשרות ללחוץ עליה – עד להרצת הסימולציה הבאה של נתיב התקיפה.
אופציונלי: עורכים את ההגדרה ולוחצים על שמירה.

פתרון בעיות

אם מופיעות שגיאות אחרי שיוצרים, עורכים או מוחקים הגדרות של ערכי משאבים, צריך לבדוק אם יש ממצאים של מחלקות SCC Error במסוףGoogle Cloud באמצעות השלבים הבאים:

נכנסים לדף Findings במסוף Google Cloud :

כניסה לדף Findings
בחלונית Quick filters, עוברים לקטע Finding class ובוחרים באפשרות SCC Error.
בחלונית Findings query results (תוצאות של שאילתות לגבי ממצאים), סורקים את הממצאים כדי למצוא את הממצאים הבאים SCC Error ולוחצים על שם הקטגוריה:
- APS no resource value configs match any resources
- APS resource value assignment limit exceeded
נפתחת חלונית הפרטים של הממצא.
בחלונית הפרטים של הממצא, קוראים את המידע שבקטע השלבים הבאים.

כדי לעיין בהוראות לתיקון הממצאים של סימולציית נתיב התקיפה SCC Error במאמרי העזרה, ראה:

המאמרים הבאים

מידע על עבודה עם ממצאים ב-Security Command Center זמין במאמר בדיקה וניהול של ממצאים.