Dukungan fitur Risk Engine

Halaman ini menjelaskan layanan dan temuan yang didukung oleh fitur Risk Engine Security Command Center serta batasan dukungan yang berlaku.

Risk Engine menghasilkan skor eksposur serangan dan simulasi jalur serangan untuk hal berikut:

• Kategori temuan yang didukung dalam Vulnerability dan Misconfiguration class temuan.
• Temuan class Toxic combination.
• Temuan class Chokepoint.
• Instance resource dari jenis resource yang didukung yang Anda tetapkan sebagai bernilai tinggi. Untuk mengetahui informasi selengkapnya, lihat Jenis resource yang didukung dalam set resource bernilai tinggi.

Security Command Center dapat memberikan skor eksposur serangan dan visualisasi jalur serangan untuk beberapa platform penyedia layanan cloud. Dukungan detektor berbeda untuk setiap penyedia layanan cloud. Risk Engine bergantung pada detektor kerentanan dan miskonfigurasi yang khusus untuk setiap penyedia layanan cloud. Bagian berikut menjelaskan resource yang didukung untuk setiap penyedia layanan cloud.

• Google Cloud
• Amazon Web Services (AWS)
• Microsoft Azure

Hanya dukungan tingkat organisasi

Simulasi jalur serangan yang digunakan Risk Engine untuk menghasilkan skor eksposur serangan dan jalur serangan memerlukan Security Command Center untuk diaktifkan di tingkat organisasi. Simulasi jalur serangan tidak didukung dengan aktivasi Security Command Center tingkat project.

Untuk melihat jalur serangan, tampilan konsol harus ditetapkan ke organisasi Anda. Google Cloud Jika memilih tampilan project atau folder di Google Cloud konsol, Anda dapat melihat skor eksposur serangan, tetapi Anda tidak dapat melihat jalur serangan.

Peran yang diperlukan

Jalur serangan dikaitkan dengan komponen Security Command Center tertentu, seperti temuan dan resource bernilai tinggi. Untuk melihat jalur serangan Security Command Center, Anda harus memiliki peran IAM yang benar agar dapat melihat setiap resource Security Command Center.

Untuk mendapatkan izin yang diperlukan untuk melihat jalur serangan, minta administrator untuk memberi Anda peran IAM berikut di organisasi Anda:

• Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer)
• Melihat jalur serangan yang dihasilkan dari temuan dan masalah (misalnya, kombinasi toksik dan titik bottleneck): Security Center Findings Viewer (roles/securitycenter.findingsViewer)
• Mengizinkan akses ke jalur serangan untuk resource bernilai tinggi:
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer)
  • Security Center Valued Resources Reader (roles/securitycenter.valuedResourcesViewer)

Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Batas ukuran untuk organisasi

Untuk simulasi jalur serangan, Risk Engine membatasi jumlah aset aktif dan temuan aktif yang dapat dimiliki organisasi.

Jika organisasi melebihi batas yang ditampilkan dalam tabel berikut, simulasi jalur serangan tidak akan berjalan.

Jenis batas	Batas penggunaan
Jumlah maksimum temuan aktif	250.000.000
Jumlah maksimum aset aktif	26.000.000

Jika aset, temuan, atau keduanya di organisasi Anda mendekati batas ini atau melebihi batas tersebut, hubungi Cloud Customer Care untuk meminta evaluasi organisasi Anda untuk kemungkinan peningkatan.

Batas set resource bernilai tinggi

Set resource bernilai tinggi hanya mendukung jenis resource tertentu dan hanya dapat berisi sejumlah instance resource tertentu.

• Set resource bernilai tinggi untuk platform penyedia layanan cloud dapat berisi hingga 1.000 instance resource.

• Anda dapat membuat hingga 100 konfigurasi nilai resource per organisasi di Google Cloud.

Dukungan antarmuka pengguna

Anda dapat menggunakan skor eksposur serangan di Google Cloud konsol, konsol Operasi Keamanan, atau Security Command Center API.

Anda hanya dapat menggunakan skor eksposur serangan dan jalur serangan untuk kasus kombinasi toksik di konsol Operasi Keamanan.

Anda dapat membuat konfigurasi nilai resource di tab Attack path simulations pada halaman Settings Security Command Center di Google Cloud konsol, atau melalui Security Command Center API.

Google Cloud Dukungan

Bagian berikut menjelaskan dukungan Risk Engine untuk Google Cloud.

Google Cloud Layanan yang didukung oleh Risk Engine

Simulasi yang dijalankan Risk Engine dapat mencakup berikut Google Cloud layanan:

• Artifact Registry
• BigQuery
• Cloud Build
• Cloud Run
• Cloud Run Functions
• Managed Service untuk Apache Spark
• Cloud Key Management Service
• Cloud Load Balancing
• Cloud NAT
• Cloud Router
• Cloud SQL
• Cloud Storage
• Compute Engine
• Google Kubernetes Engine
• Identity and Access Management
• Resource Manager
• Platform Agen Gemini Enterprise
• Virtual Private Cloud, termasuk subnet, konfigurasi firewall, dan perimeter kontrol layanan

Google Cloud Jenis resource yang didukung dalam set resource bernilai tinggi

Anda hanya dapat menambahkan jenis resource berikut ke set resource bernilai tinggi: Google Cloud

• aiplatform.googleapis.com/Dataset
• aiplatform.googleapis.com/Featurestore
• aiplatform.googleapis.com/MetadataStore
• aiplatform.googleapis.com/Model
• aiplatform.googleapis.com/ReasoningEngine
• aiplatform.googleapis.com/TrainingPipeline
• artifactregistry.googleapis.com/Repository
• bigquery.googleapis.com/Dataset
• cloudbuild.googleapis.com/BitbucketServerConfig
• cloudbuild.googleapis.com/BuildTrigger
• cloudbuild.googleapis.com/Connection
• cloudbuild.googleapis.com/GithubEnterpriseConfig
• cloudbuild.googleapis.com/Repository
• cloudbuild.googleapis.com/WorkerPool
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance
• container.googleapis.com/Cluster
• dataproc.googleapis.com/Cluster
• dataproc.googleapis.com/Job
• run.googleapis.com/Job
• run.googleapis.com/Service
• spanner.googleapis.com/Instance
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Google Cloud Jenis resource yang didukung dengan klasifikasi sensitivitas data

Simulasi jalur serangan dapat otomatis menetapkan nilai prioritas berdasarkan klasifikasi sensitivitas data dari penemuan Sensitive Data Protection hanya untuk jenis resource data berikut:

• aiplatform.googleapis.com/Dataset
• bigquery.googleapis.com/Dataset
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Kategori temuan yang didukung

Simulasi jalur serangan menghasilkan skor eksposur serangan dan jalur serangan hanya untuk kategori temuan Security Command Center dari layanan deteksi Security Command Center yang tercantum di bagian ini.

Temuan Risk Engine

Kategori temuan kombinasi toksik dan titik bottleneck yang dihasilkan oleh Risk Engine mendukung skor eksposur serangan.

Vulnerability Assessment for Google Cloud findings

Simulasi jalur serangan mendukung kategori temuan Vulnerability Assessment for Google Cloud berikut:

• GCE OS vulnerability
• GCE Software vulnerability
• GKE OS vulnerability
• GKE Software vulnerability

Temuan Postur Keamanan GKE

Simulasi jalur serangan mendukung kategori temuan Postur Keamanan GKE berikut:

• GKE runtime OS vulnerability

Temuan Mandiant Attack Surface Management

Simulasi jalur serangan mendukung kategori temuan Mandiant Attack Surface Management berikut:

• Software vulnerability

Temuan VM Manager

Kategori temuan OS Vulnerability yang dihasilkan oleh VM Manager mendukung skor eksposur serangan.

Dukungan notifikasi Pub/Sub

Perubahan pada skor eksposur serangan tidak dapat digunakan sebagai pemicu notifikasi ke Pub/Sub.

Selain itu, temuan yang dikirim ke Pub/Sub saat temuan dibuat tidak menyertakan skor eksposur serangan karena dikirim sebelum skor dapat dihitung.

Dukungan AWS

Security Command Center dapat menghitung skor eksposur serangan dan visualisasi jalur serangan untuk resource Anda di AWS.

Layanan AWS yang didukung oleh Risk Engine

Simulasi dapat mencakup layanan AWS berikut:

• Identity and Access Management (IAM)
• Security Token Service (STS)
• Simple Storage Service (S3)
• Web Application Firewall (WAFv2)
• Elastic Compute Cloud (EC2)
• Elastic Load Balancing (ELB &ELBv2)
• Relational Database Service (RDS)
• Key Management Service (KMS)
• Elastic Container Registry (ECR)
• Elastic Container Service (ECS)
• ApiGateway &ApiGatewayv2
• Organizations (Account Management Service)
• CloudFront
• AutoScaling
• Lambda
• DynamoDB

Jenis resource AWS yang didukung dalam set resource bernilai tinggi

Anda hanya dapat menambahkan jenis resource AWS berikut ke set resource bernilai tinggi:

• Tabel DynamoDB
• Instance EC2
• Fungsi Lambda
• DBCluster RDS
• DBInstance RDS
• Bucket S3

Jenis resource AWS yang didukung dengan klasifikasi sensitivitas data

Simulasi jalur serangan dapat otomatis menetapkan nilai prioritas berdasarkan klasifikasi sensitivitas data dari penemuan Sensitive Data Protection hanya untuk jenis resource data AWS berikut:

• Bucket Amazon S3

Dukungan temuan di Security Health Analytics untuk AWS

Risk Engine memberikan skor dan visualisasi jalur serangan untuk kategori temuan Security Health Analytics berikut:

• Kunci akses dirotasi kurang dari 90 hari
• Kredensial tidak digunakan selama 45 hari atau lebih dinonaktifkan
• Grup keamanan default VPC membatasi semua traffic
• Instance EC2 tanpa IP publik
• Kebijakan sandi IAM
• Kebijakan sandi IAM mencegah penggunaan ulang sandi
• Kebijakan sandi IAM mengharuskan panjang minimum 14 karakter atau lebih
• Pemeriksaan kredensial yang tidak digunakan pengguna IAM
• Pengguna IAM menerima grup izin
• CMK KMS tidak dijadwalkan untuk dihapus
• Bucket S3 dengan MFA delete diaktifkan
• Akun pengguna root dengan MFA diaktifkan
• Autentikasi multi-faktor MFA diaktifkan untuk semua konsol pengguna IAM
• Tidak ada kunci akses akun pengguna root
• Tidak ada grup keamanan yang mengizinkan ingress 0 administrasi server jarak jauh
• Tidak ada grup keamanan yang mengizinkan ingress 0 0 0 0 administrasi server jarak jauh
• Satu kunci akses aktif tersedia untuk satu pengguna IAM
• Akses publik diberikan ke instance RDS
• Port umum dibatasi
• SSH dibatasi
• Rotasi CMK yang dibuat pelanggan diaktifkan
• Rotasi CMK simetris yang dibuat pelanggan diaktifkan
• Bucket S3 dikonfigurasi untuk memblokir setelan bucket akses publik
• Kebijakan bucket S3 ditetapkan untuk menolak permintaan HTTP
• KMS enkripsi default S3
• Grup keamanan default VPC ditutup

Vulnerability Assessment for Amazon Web Services findings

Kategori temuan Software vulnerability yang dihasilkan oleh EC2 Vulnerability Assessment mendukung skor eksposur serangan.

Dukungan Azure

Risk Engine dapat menghasilkan skor eksposur serangan dan visualisasi jalur serangan untuk resource Anda di Microsoft Azure.

Setelah Anda membuat koneksi ke Azure, Anda dapat menetapkan resource bernilai tinggi Azure dengan membuat konfigurasi nilai resource, seperti yang Anda lakukan untuk resource di Google Cloud dan AWS. Untuk mengetahui petunjuknya, lihat bagian Menentukan dan mengelola set resource bernilai tinggi.

Sebelum Anda membuat konfigurasi nilai resource pertama untuk Azure, Security Command Center menggunakan set resource bernilai tinggi default yang khusus untuk penyedia layanan cloud.

Security Command Center menjalankan simulasi untuk platform cloud yang independen dari simulasi yang dijalankan untuk platform cloud lainnya.

Layanan Azure yang didukung oleh Risk Engine

Simulasi jalur serangan dapat mencakup layanan Azure berikut:

• App Service
• Azure Kubernetes Service (AKS)
• Jaringan Virtual
• Container Registry
• Cosmos DB
• Fungsi
• Key Vault
• Database MySQL
• Grup keamanan jaringan
• Database PostgreSQL
• Kontrol Akses Berbasis Peran (RBAC)
• Bus Layanan
• Database SQL
• Akun Penyimpanan
• Virtual Machine Scale Sets
• Mesin Virtual

Jenis resource Azure yang dapat Anda tentukan dalam set resource bernilai tinggi

Anda hanya dapat menambahkan jenis resource Azure berikut ke set resource bernilai tinggi:

• Microsoft.Compute/virtualMachines
  • VM Linux
  • VM Windows
• Microsoft.ContainerService/managedClusters
  • Cluster Kubernetes
• Microsoft.DBforMySQL/flexibleServers/databases
  • Database MySQL
• Microsoft.DBforPostgreSQL/flexibleServers/databases
  • Database PostgreSQL
• Microsoft.DocumentDB/databaseAccounts
  • Akun Cosmos DB
• Microsoft.Sql/servers/databases
  • Database SQL
• Microsoft.Storage/storageAccounts
  • Akun Penyimpanan
• Microsoft.Web/sites
  • App Service
  • Function App

Resource Azure yang disertakan dalam set resource bernilai tinggi default

Berikut adalah resource yang disertakan dalam set resource bernilai tinggi default:

• Microsoft.Compute/virtualMachines
  • VM Linux
  • VM Windows
• Microsoft.DBforPostgreSQL/flexibleServers/databases
  • Database PostgreSQL
• Microsoft.DBforMySQL/flexibleServers/databases
  • Database MySQL
• Microsoft.DocumentDB/databaseAccounts
  • Akun Cosmos DB
• Microsoft.Sql/servers/databases
  • Database SQL
• Microsoft.Storage/storageAccounts
  • Akun Penyimpanan
• Microsoft.Web/sites
  • App Service
  • Function App