Cette page décrit les services et les résultats compatibles avec la fonctionnalité Risk Engine de Security Command Center, ainsi que les limites de compatibilité auxquelles elle est soumise.
Risk Engine génère des scores d'exposition aux attaques et des simulations de chemins d'attaque pour les éléments suivants :
- Catégories de résultats compatibles dans les
VulnerabilityetMisconfigurationclasses de résultats. - Résultats de la classe
Toxic combination. - Résultats de la classe
Chokepoint. - Instances de ressources des types de ressources compatibles que vous désignez comme étant à forte valeur. Pour en savoir plus, consultez la section Types de ressources compatibles dans les ensembles de ressources à forte valeur.
Security Command Center peut fournir des scores d'exposition aux attaques et des visualisations de chemins d'attaque pour plusieurs plates-formes de fournisseurs de services cloud. La compatibilité des détecteurs diffère pour chaque fournisseur de services cloud. Risk Engine dépend des détecteurs de failles et d'erreurs de configuration spécifiques à chaque fournisseur de services cloud. Les sections suivantes décrivent les ressources compatibles pour chaque fournisseur de services cloud.
Compatibilité uniquement au niveau de l'organisation
Les simulations de chemins d'attaque que Risk Engine utilise pour générer les scores d'exposition aux attaques et les chemins d'attaque nécessitent que Security Command Center soit activé au niveau de l'organisation. Les simulations de chemins d'attaque ne sont pas compatibles avec les activations au niveau du projet de Security Command Center.
Pour afficher les chemins d'attaque, la vue de votre Google Cloud console doit être définie sur votre organisation. Si vous sélectionnez une vue de projet ou de dossier dans la Google Cloud console, vous pouvez voir les scores d'exposition aux attaques, mais vous ne pouvez pas voir les chemins d'attaque.
Rôles requis
Les chemins d'attaque sont associés à des composants spécifiques de Security Command Center, tels que les résultats et les ressources à forte valeur. Pour afficher les chemins d'attaque de Security Command Center, vous devez disposer des rôles IAM appropriés pour pouvoir afficher chacune de vos ressources Security Command Center.
Pour obtenir les autorisations nécessaires pour afficher les chemins d'attaque, demandez à votre administrateur de vous accorder les rôles IAM suivants dans votre organisation :
-
Lecteur des chemins d'attaque du centre de sécurité (
roles/securitycenter.attackPathsViewer) -
Afficher les chemins d'attaque générés à partir des résultats et des problèmes (par exemple, les combinaisons toxiques et les goulets d'étranglement) :
Lecteur de résultats du centre de sécurité (
roles/securitycenter.findingsViewer) -
Autoriser l'accès aux chemins d'attaque pour les ressources à forte valeur :
-
Lecteur d'éléments du centre de sécurité (
roles/securitycenter.assetsViewer) -
Lecteur de ressources de valeur du centre de sécurité (
roles/securitycenter.valuedResourcesViewer)
-
Lecteur d'éléments du centre de sécurité (
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
Limites de taille pour les organisations
Pour les simulations de chemins d'attaque, Risk Engine limite le nombre d'éléments actifs et de résultats actifs qu'une organisation peut contenir.
Si une organisation dépasse les limites indiquées dans le tableau suivant, les simulations de chemins d'attaque ne s'exécutent pas.
| Type de limite | Limite d'utilisation |
|---|---|
| Nombre maximal de résultats actifs | 250 000 000 |
| Nombre maximal d'éléments actifs | 26 000 000 |
Si les éléments, les résultats ou les deux de votre organisation approchent ces limites ou les dépassent, contactez Cloud Customer Care pour demander une évaluation de votre organisation en vue d'une éventuelle augmentation.
Limites des ensembles de ressources à forte valeur
Un ensemble de ressources à forte valeur n'est compatible qu'avec certains types de ressources et ne peut contenir qu'un certain nombre d'instances de ressources.
Un ensemble de ressources à forte valeur pour une plate-forme de fournisseur de services cloud peut contenir jusqu'à 1 000 instances de ressources.
Vous pouvez créer jusqu'à 100 configurations de valeurs de ressources par organisation sur Google Cloud.
Compatibilité de l'interface utilisateur
Vous pouvez utiliser les scores d'exposition aux attaques dans la Google Cloud console, la console Security Operations ou l'API Security Command Center.
Vous ne pouvez utiliser les scores d'exposition aux attaques et les chemins d'attaque pour les cas de combinaisons toxiques que dans la console Security Operations.
Vous pouvez créer des configurations de valeurs de ressources dans l'onglet Simulations de chemins d'attaque de la page Paramètres de Security Command Center dans la Google Cloud console, ou via l'API Security Command Center.
Google Cloud Compatibilité avec
Les sections suivantes décrivent la compatibilité de Risk Engine avec Google Cloud.
Google Cloud Services compatibles avec Risk Engine
Les simulations exécutées par Risk Engine peuvent inclure les services suivants Google Cloud :
- Artifact Registry
- BigQuery
- Cloud Build
- Cloud Run
- Cloud Run Functions
- Cloud Key Management Service
- Cloud Load Balancing
- Cloud NAT
- Cloud Router
- Cloud SQL
- Cloud Storage
- Instance
- Google Kubernetes Engine
- Identity and Access Management
- Resource Manager
- Vertex AI
- Cloud privé virtuel, y compris les sous-réseaux, les configurations de pare-feu et les périmètres de contrôle des services
Google Cloud Types de ressources compatibles dans les ensembles de ressources à forte valeur
Vous ne pouvez ajouter que les types de Google Cloud ressources suivants à un ensemble de ressources à forte valeur :
aiplatform.googleapis.com/Datasetaiplatform.googleapis.com/Featurestoreaiplatform.googleapis.com/MetadataStoreaiplatform.googleapis.com/Modelaiplatform.googleapis.com/ReasoningEngineaiplatform.googleapis.com/TrainingPipelineartifactregistry.googleapis.com/Repositorybigquery.googleapis.com/Datasetcloudbuild.googleapis.com/BitbucketServerConfigcloudbuild.googleapis.com/BuildTriggercloudbuild.googleapis.com/Connectioncloudbuild.googleapis.com/GithubEnterpriseConfigcloudbuild.googleapis.com/Repositorycloudbuild.googleapis.com/WorkerPoolcloudfunctions.googleapis.com/CloudFunctioncompute.googleapis.com/Instancecontainer.googleapis.com/Clusterrun.googleapis.com/Jobrun.googleapis.com/Servicespanner.googleapis.com/Instancesqladmin.googleapis.com/Instancestorage.googleapis.com/Bucket
Google Cloud Types de ressources compatibles avec les classifications de sensibilité des données
Les simulations de chemins d'attaque ne peuvent définir automatiquement des valeurs de priorité en fonction des classifications de sensibilité des données issues de la détection de Sensitive Data Protection que pour les types de ressources de données suivants :
aiplatform.googleapis.com/Datasetbigquery.googleapis.com/Datasetsqladmin.googleapis.com/Instancestorage.googleapis.com/Bucket
Catégories de résultats compatibles
Les simulations de chemins d'attaque ne génèrent des scores d'exposition aux attaques et des chemins d'attaque que pour les catégories de résultats Security Command Center des services de détection Security Command Center listés dans cette section.
Résultats de Risk Engine
Les catégories de résultats de combinaisons toxiques et de goulets d'étranglement générées par Risk Engine sont compatibles avec les scores d'exposition aux attaques.
Vulnerability Assessment pour les résultats Google Cloud
Les simulations de chemins d'attaque sont compatibles avec les catégories de résultats suivantes de Vulnerability Assessment for Google Cloud pour :
GCE OS vulnerabilityGCE Software vulnerabilityGKE OS vulnerabilityGKE Software vulnerability
Résultats de la stratégie de sécurité GKE
Les simulations de chemins d'attaque sont compatibles avec les catégories de résultats suivantes de la stratégie de sécurité GKE Security Posture :
GKE runtime OS vulnerability
Résultats de Mandiant Attack Surface Management
Les simulations de chemins d'attaque sont compatibles avec les catégories de résultats suivantes de Mandiant Attack Surface Management :
Software vulnerability
Résultats de VM Manager
La catégorie de résultats OS Vulnerability générée par
VM Manager
est compatible avec les scores d'exposition aux attaques.
Compatibilité avec les notifications Pub/Sub
Les modifications apportées aux scores d'exposition aux attaques ne peuvent pas être utilisées comme déclencheur de notifications à Pub/Sub.
De plus, les résultats envoyés à Pub/Sub lors de leur création n'incluent pas de score d'exposition aux attaques, car ils sont envoyés avant qu'un score puisse être calculé.
Compatibilité avec AWS
Security Command Center peut calculer les scores d'exposition aux attaques et les visualisations de chemins d'attaque pour vos ressources sur AWS.
Services AWS compatibles avec Risk Engine
Les simulations peuvent inclure les services AWS suivants :
- Identity and Access Management (IAM)
- Security Token Service (STS)
- Simple Storage Service (S3)
- Pare-feu d'application Web (WAFv2)
- Elastic Compute Cloud (EC2)
- Elastic Load Balancing (ELB et ELBv2)
- Relational Database Service (RDS)
- Key Management Service (KMS)
- Elastic Container Registry (ECR)
- Elastic Container Service (ECS)
- ApiGateway et ApiGatewayv2
- Organisations (service de gestion des comptes)
- CloudFront
- AutoScaling
- Lambda
- DynamoDB
Types de ressources AWS compatibles dans les ensembles de ressources à forte valeur
Vous ne pouvez ajouter que les types de ressources AWS suivants à un ensemble de ressources à forte valeur :
- Table DynamoDB
- Instance EC2
- Fonction lambda
- DBCluster RDS
- DBInstance RDS
- Bucket S3
Types de ressources AWS compatibles avec les classifications de sensibilité des données
Les simulations de chemins d'attaque ne peuvent définir automatiquement des valeurs de priorité en fonction des classifications de sensibilité des données issues de la détection de Sensitive Data Protection que pour les types de ressources de données AWS suivants :
- Bucket Amazon S3
Compatibilité des résultats dans Security Health Analytics pour AWS
Risk Engine fournit des scores et des visualisations de chemins d'attaque pour les catégories de résultats suivantes de Security Health Analytics :
- Clés d'accès alternées tous les 90 jours au maximum
- Identifiants inutilisés pendant au moins 45 jours désactivés
- Le VPC du groupe de sécurité par défaut limite tout le trafic
- Pas d'adresse IP publique pour les instances EC2
- Stratégie de mots de passe IAM
- La stratégie de mots de passe IAM empêche de réutiliser des mots de passe
- La stratégie de mots de passe IAM nécessite au moins 14 caractères
- Vérification des identifiants inutilisés des utilisateurs IAM
- Les utilisateurs IAM reçoivent des groupes d'autorisations
- Suppression des CMK KMS non planifiée
- Buckets S3 avec suppression MFA activée
- MFA activée sur le compte utilisateur racine
- Authentification multifacteur (MFA) activée pour tous les utilisateurs de console IAM
- Aucune clé d'accès n'existe pour le compte utilisateur racine
- Aucun groupe de sécurité n'autorise l'entrée de 0 vers l'administration du serveur distant
- Aucun groupe de sécurité n'autorise l'entrée de 0 0 0 0 vers l'administration du serveur distant
- Une seule clé d'accès active est disponible par utilisateur IAM
- Accès public accordé pour l'instance RDS
- Ports communs restreints
- SSH restreint
- Rotation des CMK créées par le client activée
- Rotation des CMK symétriques créées par le client activée
- Buckets S3 configurés avec le paramètre de bucket "Bloquer l'accès public"
- Stratégie de bucket S3 définie pour refuser les requêtes HTTP
- Clé KMS de chiffrement par défaut pour S3
- Groupe de sécurité VPC par défaut fermé
Vulnerability Assessment pour les résultats Amazon Web Services
La catégorie de résultats Software vulnerability générée par
EC2 Vulnerability Assessment
est compatible avec les scores d'exposition aux attaques.
Compatibilité avec Azure
Risk Engine peut générer des scores d'exposition aux attaques et des visualisations de chemins d'attaque pour vos ressources sur Microsoft Azure.
Une fois que vous avez établi une connexion à Azure, vous pouvez désigner des ressources Azure à forte valeur en créant des configurations de valeurs de ressources, comme vous le feriez pour les ressources sur Google Cloud et AWS. Pour obtenir des instructions, consultez la section Définir et gérer votre ensemble de ressources à forte valeur.
Avant de créer votre première configuration de valeurs de ressources pour Azure, Security Command Center utilise un ensemble de ressources à forte valeur par défaut spécifique au fournisseur de services cloud.
Security Command Center exécute des simulations pour une plate-forme cloud indépendamment des simulations exécutées pour d'autres plates-formes cloud.
Services Azure compatibles avec Risk Engine
Les simulations de chemins d'attaque peuvent inclure les services Azure suivants :
- App Service
- Azure Kubernetes Service (AKS)
- Réseau virtuel
- Container Registry
- Cosmos DB
- Fonctions
- Coffre de clés
- à une base de données MySQL
- Groupes de sécurité réseau
- Base de données PostgreSQL
- le contrôle d’accès basé sur les rôles (RBAC)
- Service Bus
- SQL Database
- Storage Account (Compte de stockage)
- Ensembles de mise à l'échelle des machines virtuelles
- Machines virtuelles
Types de ressources Azure que vous pouvez spécifier dans les ensembles de ressources à forte valeur
Vous ne pouvez ajouter que les types de ressources Azure suivants à un ensemble de ressources à forte valeur :
- Microsoft.Compute/virtualMachines
- VM Linux
- VM Windows
- Microsoft.ContainerService/managedClusters
- Cluster Kubernetes
- Microsoft.DBforMySQL/flexibleServers/databases
- Base de données MySQL
- Microsoft.DBforPostgreSQL/flexibleServers/databases
- Base de données PostgreSQL
- Microsoft.DocumentDB/databaseAccounts
- Compte Cosmos DB
- Microsoft.Sql/servers/databases
- SQL Database
- Microsoft.Storage/storageAccounts
- Storage Account (Compte de stockage)
- Microsoft.Web/sites
- App Service
- Function App
Ressources Azure incluses dans l'ensemble de ressources à forte valeur par défaut
Voici les ressources incluses dans l'ensemble de ressources à forte valeur par défaut :
- Microsoft.Compute/virtualMachines
- VM Linux
- VM Windows
- Microsoft.DBforPostgreSQL/flexibleServers/databases
- Base de données PostgreSQL
- Microsoft.DBforMySQL/flexibleServers/databases
- Base de données MySQL
- Microsoft.DocumentDB/databaseAccounts
- Compte Cosmos DB
- Microsoft.Sql/servers/databases
- SQL Database
- Microsoft.Storage/storageAccounts
- Storage Account (Compte de stockage)
- Microsoft.Web/sites
- App Service
- Function App