Unterstützung von Risk Engine-Funktionen

Auf dieser Seite werden die Dienste und Ergebnisse beschrieben, die vom Security Command Center Risk Engine-Feature unterstützt werden, sowie die Einschränkungen der Unterstützung.

Risk Engine generiert Angriffsrisikobewertungen und Angriffspfadsimulationen für Folgendes:

• Unterstützte Ergebniskategorien in den Vulnerability und Misconfiguration Ergebnisklassen.
• Ergebnisse der Klasse Toxic combination.
• Ergebnisse der Klasse Chokepoint.
• Ressourceninstanzen unterstützter Ressourcentypen, die Sie als hochwertig festlegen. Weitere Informationen finden Sie unter In Sätzen hochwertiger Ressourcen unterstützte Ressourcentypen.

Security Command Center kann Angriffsrisikobewertungen und Angriffspfadvisualisierungen für mehrere Cloud-Dienstanbieterplattformen bereitstellen. Die Unterstützung für Detektoren unterscheidet sich je nach Cloud-Dienstanbieter. Risk Engine ist von Detektoren für Sicherheitslücken und Fehlkonfigurationen abhängig, die für jeden Cloud-Dienstanbieter spezifisch sind. In den folgenden Abschnitten werden die unterstützten Ressourcen für jeden Cloud-Dienstanbieter beschrieben.

• Google Cloud
• Amazon Web Services (AWS)
• Microsoft Azure

Nur Unterstützung auf Organisationsebene

Für die Angriffspfadsimulationen, die Risk Engine zum Generieren der Angriffsrisikobewertungen und Angriffspfade verwendet, muss Security Command Center auf der Organisationsebeneaktiviert sein. Angriffspfadsimulationen werden bei Aktivierungen von Security Command Center auf Projektebene nicht unterstützt.

Damit Sie Angriffspfade sehen können, muss Ihre Google Cloud Console-Ansicht auf Ihre Organisation festgelegt sein. Wenn Sie in der Google Cloud Console eine Projekt- oder Ordneransicht auswählen, können Sie Angriffsrisikobewertungen sehen, aber Sie können keine Angriffspfade sehen.

Erforderliche Rollen

Angriffspfade sind mit bestimmten Komponenten von Security Command Center verknüpft, z. B. mit Ergebnissen und hochwertigen Ressourcen. Damit Sie Angriffspfade in Security Command Center sehen können, benötigen Sie die richtigen IAM-Rollen, um alle Ihre Security Command Center-Ressourcen aufrufen zu können.

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihre Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Aufrufen von Angriffspfaden benötigen:

• Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer)
• Angriffspfade ansehen, die aus Ergebnissen und Problemen generiert wurden (z. B. toxische Kombinationen und Engpässe): Security Center Findings Viewer (roles/securitycenter.findingsViewer)
• Zugriff auf Angriffspfade für hochwertige Ressourcen zulassen:
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer)
  • Security Center Valued Resources Reader (roles/securitycenter.valuedResourcesViewer)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Größenbeschränkungen für Organisationen

Für Angriffspfadsimulationen beschränkt Risk Engine die Anzahl der aktiven Assets und aktiven Ergebnisse, die eine Organisation enthalten kann.

Wenn eine Organisation die in der folgenden Tabelle aufgeführten Grenzwerte überschreitet, werden keine Angriffspfadsimulationen ausgeführt.

Art des Limits	Nutzungsbeschränkung
Maximale Anzahl aktiver Ergebnisse	250.000.000
Maximale Anzahl aktiver Assets	26.000.000

Wenn die Assets, Ergebnisse oder beides in Ihrer Organisation sich diesen Grenzwerten nähern oder sie überschreiten, wenden Sie sich an Cloud Customer Care, um eine Bewertung Ihrer Organisation für eine mögliche Erhöhung anzufordern.

Grenzwerte für Sätze hochwertiger Ressourcen

Ein Satz hochwertiger Ressourcen unterstützt nur bestimmte Ressourcentypen und kann nur eine bestimmte Anzahl von Ressourceninstanzen enthalten.

• Ein Satz hochwertiger Ressourcen für eine Cloud-Dienstanbieterplattform kann bis zu 1.000 Ressourceninstanzen enthalten.

• Sie können bis zu 100 Ressourcenwertkonfigurationen pro Organisation auf Google Clouderstellen.

Unterstützung der Benutzeroberfläche

Sie können Angriffsrisikobewertungen in der Google Cloud Konsole, der Security Operations-Konsole oder der Security Command Center API verwenden.

Angriffsrisikobewertungen und Angriffspfade für toxische Kombinationen können nur in der Security Operations-Konsole verwendet werden.

Sie können Ressourcenwertkonfigurationen entweder auf dem Tab Angriffspfadsimulationen der Seite Einstellungen von Security Command Center in der Google Cloud Console oder über die Security Command Center API erstellen.

Google Cloud -Support

In den folgenden Abschnitten wird die Unterstützung von Risk Engine für Google Cloudbeschrieben.

Google Cloud Von Risk Engine unterstützte Dienste

Die von Risk Engine ausgeführten Simulationen können die folgenden Google Cloud Dienste umfassen:

• Artifact Registry
• BigQuery
• Cloud Build
• Cloud Run
• Cloud Run-Funktionen
• Managed Service for Apache Spark
• Cloud Key Management Service
• Cloud Load Balancing
• Cloud NAT
• Cloud Router
• Cloud SQL
• Cloud Storage
• Compute Engine
• Google Kubernetes Engine
• Identity and Access Management
• Resource Manager
• Vertex AI
• Virtual Private Cloud, einschließlich Subnetzen, Firewallkonfigurationen und Dienstperimeter

Google Cloud In Sätzen hochwertiger Ressourcen unterstützte Ressourcentypen

Sie können einem Satz hochwertiger Ressourcen nur die folgenden Google Cloud Ressourcentypen hinzufügen:

• aiplatform.googleapis.com/Dataset
• aiplatform.googleapis.com/Featurestore
• aiplatform.googleapis.com/MetadataStore
• aiplatform.googleapis.com/Model
• aiplatform.googleapis.com/ReasoningEngine
• aiplatform.googleapis.com/TrainingPipeline
• artifactregistry.googleapis.com/Repository
• bigquery.googleapis.com/Dataset
• cloudbuild.googleapis.com/BitbucketServerConfig
• cloudbuild.googleapis.com/BuildTrigger
• cloudbuild.googleapis.com/Connection
• cloudbuild.googleapis.com/GithubEnterpriseConfig
• cloudbuild.googleapis.com/Repository
• cloudbuild.googleapis.com/WorkerPool
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance
• container.googleapis.com/Cluster
• dataproc.googleapis.com/Cluster
• dataproc.googleapis.com/Job
• run.googleapis.com/Job
• run.googleapis.com/Service
• spanner.googleapis.com/Instance
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Google Cloud Ressourcentypen, die mit Klassifizierungen der Datenvertraulichkeit unterstützt werden

Angriffspfadsimulationen können Prioritätswerte basierend auf Klassifizierungen der Datenvertraulichkeit aus der Erkennung durch den Schutz sensibler Daten nur für die folgenden Datenressourcentypen automatisch festlegen:

• aiplatform.googleapis.com/Dataset
• bigquery.googleapis.com/Dataset
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Unterstützte Ergebniskategorien

Angriffspfadsimulationen generieren Angriffsrisikobewertungen und Angriffspfade nur für die Security Command Center-Ergebniskategorien der Security Command Center-Erkennungsdienste, die in diesem Abschnitt aufgeführt sind.

Risk Engine-Ergebnisse

Die von Risk Engine generierten Ergebniskategorien für toxische Kombinationen und Engpässe unterstützen Angriffsrisikobewertungen.

Ergebnisse der Sicherheitslückenbewertung für Google Cloud Ergebnisse

Angriffspfadsimulationen unterstützen die folgenden Sicherheitslückenbewertung für Google Cloud Ergebniskategorien:

• GCE OS vulnerability
• GCE Software vulnerability
• GKE OS vulnerability
• GKE Software vulnerability

Ergebnisse des GKE-Sicherheitsstatus

Angriffspfadsimulationen unterstützen die folgenden GKE Security Posture Ergebniskategorien des GKE-Sicherheitsstatus:

• GKE runtime OS vulnerability

Mandiant Attack Surface Management-Ergebnisse

Angriffspfadsimulationen unterstützen die folgenden Ergebniskategorien von Mandiant Attack Surface Management:

• Software vulnerability

VM Manager-Ergebnisse

Die von VM Manager generierte Ergebniskategorie OS Vulnerabilityunterstützt Angriffsrisikobewertungen.

Unterstützung für Pub/Sub-Benachrichtigungen

Änderungen an Angriffsrisikobewertungen können nicht als Trigger für Benachrichtigungen an Pub/Sub verwendet werden.

Außerdem enthalten Ergebnisse, die beim Erstellen an Pub/Sub gesendet werden, keine Angriffsrisikobewertung, da sie gesendet werden, bevor eine Bewertung berechnet werden kann.

AWS-Support

Security Command Center kann Angriffsrisikobewertungen und Angriffspfadvisualisierungen für Ihre Ressourcen auf AWS berechnen.

Von Risk Engine unterstützte AWS-Dienste

Die Simulationen können die folgenden AWS-Dienste umfassen:

• Identity and Access Management (IAM)
• Security Token Service (STS)
• Simple Storage Service (S3)
• Web Application Firewall (WAFv2)
• Elastic Compute Cloud (EC2)
• Elastisches Load-Balancing (ELB und ELBv2)
• Relational Database Service (RDS)
• Key Management Service (KMS)
• Elastic Container Registry (ECR)
• Elastic Container Service (ECS)
• ApiGateway und ApiGatewayv2
• Organizations (Kontoverwaltungsdienst)
• CloudFront
• AutoScaling
• Lambda
• DynamoDB

In Sätzen hochwertiger Ressourcen unterstützte AWS-Ressourcentypen

Sie können einem Satz hochwertiger Ressourcen nur die folgenden AWS-Ressourcentypen hinzufügen:

• DynamoDB-Tabelle
• EC2-Instanz
• Lambda-Funktion
• RDS DBCluster
• RDS DBInstance
• S3-Bucket

AWS-Ressourcentypen, die mit Klassifizierungen der Datenvertraulichkeit unterstützt werden

Angriffspfadsimulationen können Prioritätswerte basierend auf Klassifizierungen der Datenvertraulichkeit aus der Erkennung durch den Schutz sensibler Daten nur für die folgenden AWS-Datenressourcentypen automatisch festlegen:

• Amazon S3-Bucket

Unterstützung für Ergebnisse in Security Health Analytics für AWS

Risk Engine bietet Bewertungen und Angriffspfadvisualisierungen für die folgenden Ergebniskategorien von Security Health Analytics:

• Zugriffsschlüssel alle 90 Tage oder weniger rotiert
• Seit mindestens 45 Tagen nicht verwendete Anmeldedaten deaktiviert
• Standard-Sicherheitsgruppe der VPC schränkt gesamten Traffic ein
• EC2-Instanz ohne öffentliche IP-Adresse
• IAM-Passwortrichtlinie
• IAM-Passwortrichtlinie verhindert die Wiederverwendung von Passwörtern
• IAM-Passwortrichtlinie verlangt eine Mindestlänge von 14 Zeichen
• Prüfung auf nicht verwendete Anmeldedaten von IAM-Nutzern
• IAM-Nutzer erhalten Berechtigungen über Gruppen
• KMS-CMK nicht zum Löschen geplant
• S3-Buckets mit aktivierten MFA-Löschungen
• Root-Nutzerkonto mit aktivierter MFA
• Multi-Faktor-Authentifizierung (MFA) für alle IAM-Nutzer in der Konsole aktiviert
• Kein Zugriffsschlüssel für Root-Nutzerkonto vorhanden
• Keine Sicherheitsgruppen lassen eingehenden Traffic von 0 an Remote-Serververwaltung zu
• Keine Sicherheitsgruppen lassen eingehenden Traffic von 0 0 0 0 an Remote-Serververwaltung zu
• Ein aktiver Zugriffsschlüssel pro IAM-Nutzer verfügbar
• RDS-Instanz öffentliche Zugriffsberechtigung gewährt
• Eingeschränkte gemeinsame Ports
• Eingeschränktes SSH
• Rotation für vom Kunden erstellte CMKs aktiviert
• Rotation für vom Kunden erstellte symmetrische CMKs aktiviert
• S3-Buckets mit konfiguriertem „Öffentlichen Zugriff blockieren (Bucket-Einstellungen)“
• S3-Bucket-Richtlinie auf Ablehnen von HTTP-Anfragen festgelegt
• S3-Standardverschlüsselung ist KMS
• VPC-Standardsicherheitsgruppe geschlossen

Sicherheitslückenbewertung für Amazon Web Services-Ergebnisse

Die von der EC2-Sicherheitslückenbewertung generierte Ergebniskategorie Software vulnerabilityunterstützt Angriffsrisikobewertungen.

Azure-Support

Risk Engine kann Angriffsrisikobewertungen und Angriffspfadvisualisierungen für Ihre Ressourcen auf Microsoft Azure generieren.

Nachdem Sie eine Verbindung zu Azure hergestellt haben, können Sie hochwertige Azure-Ressourcen festlegen, indem Sie Ressourcenwertkonfigurationen erstellen, wie Sie es für Ressourcen auf Google Cloud und AWS tun würden. Eine Anleitung finden Sie im Abschnitt Satz hochwertiger Ressourcen definieren und verwalten.

Bevor Sie Ihre erste Ressourcenwertkonfiguration für Azure erstellen, verwendet Security Command Center einen standardmäßigen Satz hochwertiger Ressourcen, der für den Cloud-Dienstanbieter spezifisch ist.

Security Command Center führt Simulationen für eine Cloud-Plattform aus, die unabhängig von Simulationen sind, die für andere Cloud-Plattformen ausgeführt werden.

Von Risk Engine unterstützte Azure-Dienste

Die Angriffspfadsimulationen können die folgenden Azure-Dienste umfassen:

• App Service
• Azure Kubernetes Service (AKS)
• Virtuelles Netzwerk
• Container Registry
• Cosmos DB
• Funktionen
• Key Vault
• MySQL-Datenbank
• Netzwerksicherheitsgruppen
• PostgreSQL-Datenbank
• Rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC)
• Service Bus
• SQL-Datenbank
• Storage Account (Speicherkonto)
• VM-Skalierungsgruppen
• Virtuelle Maschinen

Azure-Ressourcentypen, die Sie in Sätzen hochwertiger Ressourcen angeben können

Sie können einem Satz hochwertiger Ressourcen nur die folgenden Azure-Ressourcentypen hinzufügen:

• Microsoft.Compute/virtualMachines
  • Linux-VM
  • Windows-VM
• Microsoft.ContainerService/managedClusters
  • Kubernetes-Cluster
• Microsoft.DBforMySQL/flexibleServers/databases
  • MySQL-Datenbank
• Microsoft.DBforPostgreSQL/flexibleServers/databases
  • PostgreSQL-Datenbank
• Microsoft.DocumentDB/databaseAccounts
  • Cosmos DB-Konto
• Microsoft.Sql/servers/databases
  • SQL-Datenbank
• Microsoft.Storage/storageAccounts
  • Storage Account (Speicherkonto)
• Microsoft.Web/sites
  • App Service
  • Function App

Im standardmäßigen Satz hochwertiger Ressourcen enthaltene Azure-Ressourcen

Die folgenden Ressourcen sind im standardmäßigen Satz hochwertiger Ressourcen enthalten:

• Microsoft.Compute/virtualMachines
  • Linux-VM
  • Windows-VM
• Microsoft.DBforPostgreSQL/flexibleServers/databases
  • PostgreSQL-Datenbank
• Microsoft.DBforMySQL/flexibleServers/databases
  • MySQL-Datenbank
• Microsoft.DocumentDB/databaseAccounts
  • Cosmos DB-Konto
• Microsoft.Sql/servers/databases
  • SQL-Datenbank
• Microsoft.Storage/storageAccounts
  • Storage Account (Speicherkonto)
• Microsoft.Web/sites
  • App Service
  • Function App