Esta página foi traduzida pela API Cloud Translation.

Defina e faça a gestão do seu conjunto de recursos de elevado valor

Esta página mostra como criar, editar, eliminar e ver configurações de valores de recursos.

Use configurações de valor de recursos para criar o seu conjunto de recursos de elevado valor. O seu conjunto de recursos de elevado valor determina quais das suas instâncias de recursos (denominadas recursos) as simulações de caminhos de ataque consideram recursos de elevado valor.

Pode definir configurações de valor de recursos para os recursos no Google Cloud ou, se tiver o nível Enterprise do Security Command Center, para recursos nos outros fornecedores de serviços na nuvem aos quais o Security Command Center está ligado.

Quando as simulações de caminhos de ataque são executadas, identificam caminhos de ataque e calculam pontuações de exposição a ataques para recursos designados como recursos de elevado valor e para conclusões da classe Vulnerability, da classe Misconfiguration e da classe Toxic combination.

As simulações de caminhos de ataque são executadas aproximadamente a cada seis horas. À medida que a sua organização cresce, as simulações demoram mais tempo, mas são sempre executadas, pelo menos, uma vez por dia. As execuções de simulação não são acionadas pela criação, modificação ou eliminação de recursos nem configurações de valores de recursos.

Para uma introdução aos conjuntos de recursos de elevado valor e às configurações de valor dos recursos, consulte o artigo Conjuntos de recursos de elevado valor.

Antes de começar

Para receber as autorizações de que precisa para ver e trabalhar com configurações de valores de recursos, peça ao seu administrador que lhe conceda as seguintes funções do IAM na sua organização:

Editor de configuração de valores de recursos (roles/securitycenter.resourceValueConfigEditor)
Visualizador de configuração de valores de recursos (roles/securitycenter.resourceValueConfigsViewer)
Editor das definições do centro de segurança (roles/securitycenter.settingsEditor)

Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

Crie uma configuração de valor de recurso

Crie configurações de valor de recursos através do separador Simulação de caminho de ataque na página Definições do Security Command Center na Google Cloud consola.

Para criar uma configuração de valor do recurso, clique no separador do seu fornecedor de serviços na nuvem e siga os passos:

Google Cloud

Aceda à página Simulação de caminho de ataque no Security Command Center Definições:

Aceda às simulações de caminhos de ataque
Selecione a sua organização. É apresentada a página Simulação de caminho de ataque.
Clique em Criar nova configuração. É aberto o painel Criar configuração de valor do recurso.
No campo Nome, especifique um nome para esta configuração de valor do recurso.
Opcional: introduza uma descrição da configuração.
Em Fornecedor de nuvem, selecione Google Cloud.
No campo Selecionar âmbito, clique em Selecionar e use o navegador de projetos para selecionar um projeto, uma pasta ou a organização. Esta configuração aplica-se apenas a instâncias de recursos no âmbito especificado.
Clique no campo Selecionar tipo de recurso e, de seguida, selecione um tipo de recurso ou Qualquer. A configuração aplica-se a instâncias do tipo de recurso selecionado ou, se selecionar Qualquer, a instâncias de todos os tipos de recursos suportados. Qualquer é a predefinição.

Nota: se selecionar Qualquer e ativar a opção Incluir estatísticas de deteção da proteção de dados confidenciais, para todos os recursos suportados, o sistema define automaticamente os valores dos recursos com base nas classificações de sensibilidade dos dados da proteção de dados confidenciais.
Opcional: na secção Etiqueta, clique em Adicionar etiqueta para especificar uma ou mais etiquetas. Quando é especificada uma etiqueta, a configuração só se aplica a recursos que incluem a etiqueta nos respetivos metadados.

Se aplicar uma nova etiqueta a quaisquer recursos, podem decorrer várias horas antes de a etiqueta estar disponível para correspondência por uma configuração.
Opcional: na secção Etiqueta, clique em Adicionar etiqueta para especificar uma ou mais etiquetas. Quando é especificada uma etiqueta, a configuração aplica-se apenas a recursos que incluem a etiqueta nos respetivos metadados.

Se definir uma nova etiqueta para um recurso, podem decorrer várias horas antes de a etiqueta estar disponível para correspondência por uma configuração.
Defina o valor de prioridade para os recursos correspondentes especificando uma das seguintes opções:
- Opcional: se usar o serviço de descoberta de proteção de dados confidenciais, ative o Security Command Center para definir automaticamente o valor de prioridade dos recursos de dados suportados com base nas classificações de sensibilidade dos dados da proteção de dados confidenciais:
  1. Clique no controlo de deslize junto a Incluir estatísticas de deteção da proteção de dados confidenciais.
  2. No primeiro campo Atribuir valor do recurso, selecione o valor de prioridade a atribuir aos recursos correspondentes que contêm dados de alta sensibilidade.
  3. No segundo campo Atribuir valor do recurso, selecione o valor de prioridade a atribuir aos recursos correspondentes que contenham dados de sensibilidade média.
- No campo Atribuir valor do recurso, selecione um valor a atribuir às instâncias de recursos. Este valor é relativo às outras instâncias de recursos no seu conjunto de recursos de elevado valor. O valor é usado durante o cálculo das pontuações de exposição a ataques.
Clique em Guardar.

AWS

Antes de o Security Command Center poder gerar pontuações de exposição a ataques e caminhos de ataque para os recursos que especificar numa configuração de valor de recurso, o Security Command Center tem de estar ligado à AWS. Para mais informações, consulte o artigo Suporte de várias nuvens.

Aceda à página Simulação de caminho de ataque no Security Command Center Definições:

Aceda às simulações de caminhos de ataque
Selecione a sua organização. É apresentada a página Simulação de caminho de ataque.
Clique em Criar nova configuração. É aberto o painel Criar configuração de valor do recurso.
No campo Nome, especifique um nome para esta configuração de valor do recurso.
Opcional: introduza uma descrição da configuração.
Em Fornecedor de nuvem, selecione Amazon Web Services.
Opcional: no campo ID da conta, introduza um ID da conta da AWS de 12 dígitos. Se não for especificado, a configuração do valor do recurso aplica-se a todas as contas da AWS especificadas na configuração da associação da AWS.
Opcional: no campo Região, introduza uma região da AWS. Por exemplo, us-east-1. Se não for especificado, a configuração do valor do recurso aplica-se a todas as regiões da AWS.
Clique no campo Selecionar tipo de recurso e, de seguida, selecione um tipo de recurso ou Qualquer. A configuração aplica-se a instâncias do tipo de recurso selecionado ou, se selecionar Qualquer, a todos os tipos de recursos suportados. Qualquer é a predefinição.

Nota: se selecionar Qualquer e ativar a opção Incluir estatísticas de deteção da proteção de dados confidenciais, para todos os recursos da AWS suportados, o sistema define automaticamente os valores dos recursos com base nas classificações de sensibilidade dos dados da proteção de dados confidenciais.
Opcional: na secção Etiqueta, clique em Adicionar etiqueta para especificar uma ou mais etiquetas. Quando define uma etiqueta, o conector analisa apenas os recursos que incluem a etiqueta nos respetivos metadados.

Se definir uma nova etiqueta para um recurso, podem decorrer várias horas antes de a etiqueta estar disponível para correspondência por uma configuração.
No campo Atribuir valor do recurso, selecione um valor de prioridade para os recursos correspondentes, especificando uma das seguintes opções:
- Opcional: se usar o serviço de deteção da proteção de dados confidenciais, ative o Security Command Center para definir automaticamente o valor de prioridade dos recursos de dados da AWS suportados com base nas classificações de sensibilidade dos dados da proteção de dados confidenciais:
  1. Clique no controlo de deslize junto a Incluir estatísticas de deteção da proteção de dados confidenciais.
  2. No primeiro campo Atribuir valor do recurso, selecione o valor de prioridade a atribuir aos recursos correspondentes que contêm dados de alta sensibilidade.
  3. No segundo campo Atribuir valor do recurso, selecione o valor de prioridade a atribuir aos recursos correspondentes que contenham dados de sensibilidade média.
- No campo Atribuir valor do recurso, selecione um valor a atribuir às instâncias de recursos. Este valor é relativo a outras instâncias de recursos no seu conjunto de recursos de alto valor. O valor é usado durante o cálculo das pontuações de exposição a ataques.
Clique em Guardar.

Azul-celeste

Antes de o Security Command Center poder gerar pontuações de exposição a ataques e caminhos de ataque para os recursos do Azure que especificar numa configuração de valor de recurso, o Security Command Center tem de estar ligado ao Azure. Para mais informações, consulte o artigo Suporte de várias nuvens.

Aceda à página Simulação de caminho de ataque no Security Command Center Definições:

Aceda às simulações de caminhos de ataque
Selecione a sua organização. É apresentada a página Simulação de caminho de ataque.
Clique em Criar nova configuração. É aberto o painel Criar configuração de valor do recurso.
No campo Nome, especifique um nome para esta configuração de valor do recurso.
Opcional: em Descrição, introduza uma descrição da configuração.
Em Fornecedor de nuvem, selecione Microsoft Azure.
Opcional: em ID da subscrição, introduza um ID da subscrição do Azure de 36 dígitos. Se não for especificado, a configuração do valor do recurso aplica-se a todas as subscrições especificadas na configuração do conetor do Azure.
Opcional: no campo Selecionar localização, selecione uma localização do Azure, por exemplo, East US 2. Se não definir uma localização, a configuração do valor do recurso aplica-se a todas as localizações especificadas na configuração do conetor do Azure.
Clique em Selecionar tipo de recurso e, de seguida, selecione um tipo de recurso ou Qualquer. A configuração aplica-se a instâncias do tipo de recurso selecionado ou, se selecionar Qualquer, a todos os tipos de recursos suportados. Qualquer é a predefinição.
Opcional: na secção Etiqueta, clique em Adicionar etiqueta para especificar uma ou mais etiquetas. Quando é especificada uma etiqueta, a configuração aplica-se apenas a recursos que incluem a etiqueta nos respetivos metadados.

Se definir uma nova etiqueta para um recurso, podem decorrer várias horas antes de a etiqueta estar disponível para correspondência por uma configuração.
No campo Atribuir valor do recurso, selecione um valor de prioridade.
Clique em Guardar.

A nova configuração reflete-se nas classificações de exposição a ataques e nos caminhos de ataque apenas após a execução da próxima simulação de caminho de ataque.

Quando vê o conjunto de recursos de valor elevado, pode ver as configurações de valor do recurso que correspondem aos recursos no conjunto. Para mais informações, consulte o artigo Veja as configurações que correspondem a um recurso de alto valor.

Para ver informações sobre como configurar a proteção de dados confidenciais para enviar classificações de sensibilidade dos dados para o Security Command Center, consulte o artigo Publicar perfis de dados no Security Command Center na documentação da proteção de dados confidenciais.

Edite uma configuração

Exceto o nome, pode atualizar qualquer especificação numa configuração de valor de recurso.

Estes passos pressupõem que conhece o nome da configuração do valor do recurso que quer editar. Se souber apenas o nome do recurso relevante, consulte o artigo Veja as configurações que correspondem a um recurso de valor elevado.

Para atualizar uma configuração de valor de recurso existente, siga estes passos:

Aceda à página Simulação de caminho de ataque no Security Command Center Definições:

Aceda às simulações de caminhos de ataque
Selecione a sua organização. A página Simulação de caminho de ataque é aberta com as configurações existentes apresentadas.
Na coluna Nome da configuração, clique no nome da configuração que tem de atualizar. É aberta a página Editar configuração do valor do recurso.
Atualize as especificações na configuração conforme necessário.
Clique em Guardar.

As alterações refletem-se nas classificações de exposição a ataques e nos caminhos de ataque apenas após a execução da próxima simulação de caminho de ataque.

Elimine uma configuração

Para eliminar uma configuração de valor do recurso, siga estes passos:

Aceda à página Simulação de caminho de ataque no Security Command Center Definições:

Aceda às simulações de caminhos de ataque
Selecione a sua organização. É apresentada a página Simulação de caminho de ataque.
Em Configurações de valor do recurso, no lado direito da linha da configuração que tem de eliminar, apresente o menu de ações clicando nos pontos verticais. Se não vir os pontos verticais, desloque a página para a direita.
No menu de ações apresentado, selecione Eliminar.
Na caixa de diálogo de confirmação, selecione Confirmar.

A configuração é eliminada.

Veja uma configuração

Pode ver todas as configurações de valor de recursos existentes na página Simulação de caminho de ataque nas Definições do Security Command Center.

Para ver uma configuração de valor de recurso específica, aceda à página Simulação de caminho de ataque:

Aceda às simulações de caminhos de ataque
Selecione a sua organização. É apresentada a página Simulação de caminho de ataque.
Em Configurações de valor dos recursos na página Simulação do caminho de ataque, desloque a lista de configurações de valor dos recursos até encontrar a configuração de que precisa.
Para ver as propriedades de configuração, clique no nome da configuração. As propriedades são apresentadas na página Editar configuração do valor do recurso.

Veja as configurações que correspondem a um recurso de elevado valor

Pode ver todas as configurações que correspondem aos recursos que estão no conjunto de recursos de alto valor. Esta funcionalidade é útil se quiser rever as regras que determinaram os valores dos recursos do seu conjunto de recursos de elevado valor.

Para ver as configurações que correspondem a um recurso de elevado valor, siga estes passos:

Veja o conjunto de recursos de elevado valor.
Encontre o recurso cujas configurações quer ver. As configurações correspondentes para esse recurso são apresentadas na coluna Configurações correspondentes. As configurações são apresentadas por ordem descendente com base no valor do recurso que atribuem ao recurso: High, Medium ou Low.
Para ver as propriedades de uma configuração, clique no respetivo nome. As propriedades são apresentadas na página Editar configuração do valor do recurso.

Uma configuração eliminada recentemente permanece visível, mas não pode ser clicada, até à execução da próxima simulação de caminho de ataque.
Opcional: edite a configuração e clique em Guardar.

Resolução de problemas

Se receber erros depois de criar, editar ou eliminar configurações de valores de recursos, verifique se existem resultados da classe SCC Error na consolaGoogle Cloud seguindo estes passos:

Aceda à página Resultados na Google Cloud consola:

Aceda a Conclusões
No painel Filtros rápidos, aceda à secção Classe de localização e selecione Erro de SCC.
No painel Resultados da consulta de constatações, procure as seguintes constatações SCC Errore clique no nome da categoria:
- APS no resource value configs match any resources
- APS resource value assignment limit exceeded
É apresentado o painel de detalhes da descoberta.
No painel de detalhes da descoberta, reveja as informações na secção Passos seguintes.

Para rever as instruções de remediação das conclusões da simulação do caminho de ataque na documentação, consulte:SCC Error

O que se segue?

Para obter informações sobre como trabalhar com as conclusões do Security Command Center, consulte o artigo Reveja e faça a gestão das conclusões.