תמיכה בתכונות של Risk Engine

בדף הזה מתוארים השירותים והממצאים שתכונת מנוע הסיכונים של Security Command Center תומכת בהם, והמגבלות שחלות על התמיכה בהם.

מנוע הסיכון יוצר ניקוד חשיפה למתקפות וסימולציות של נתיבי מתקפה עבור:

ב-Security Command Center אפשר לראות ניתוח של מידת החשיפה למתקפות והדמיות של נתיבי מתקפות בפלטפורמות של ספקי שירותי ענן שונים. התמיכה בכלי הזיהוי משתנה בהתאם לספק שירותי הענן. מנוע הסיכון מסתמך על גלאי פגיעויות והגדרות שגויות שספציפיים לכל ספק שירותי ענן. בקטעים הבאים מתוארים המשאבים הנתמכים עבור כל ספק שירותי ענן.

תמיכה רק ברמת הארגון

הסימולציות של נתיבי התקפה שמשמשות את Risk Engine ליצירת ניקוד החשיפה להתקפה ונתיבי התקפה, מחייבות הפעלה של Security Command Center ברמת הארגון. אין תמיכה בהדמיות של נתיבי תקיפה בהפעלות ברמת הפרויקט של Security Command Center.

כדי לראות את נתיבי התקיפה, צריך להגדיר את התצוגה במסוף Google Cloud לארגון שלכם. אם בוחרים תצוגה של פרויקט או תיקייה במסוףGoogle Cloud , אפשר לראות את ציוני החשיפה להתקפות, אבל אי אפשר לראות את נתיבי ההתקפה.

התפקידים הנדרשים

נתיבי התקפה משויכים לרכיבים ספציפיים של Security Command Center, כמו ממצאים ומשאבים בעלי ערך גבוה. כדי לראות את נתיבי התקיפה ב-Security Command Center, אתם צריכים את תפקידי ה-IAM הנכונים שיאפשרו לכם לראות כל אחד מהמשאבים שלכם ב-Security Command Center.

כדי לקבל את ההרשאות שדרושות בשביל לצפות בנתיבי תקיפה, אתם צריכים לבקש מהאדמין לתת לכם את התפקידים הבאים ב-IAM בארגון:

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

מגבלות גודל לארגונים

בסימולציות של נתיבי תקיפה, מנוע הסיכון מגביל את מספר הנכסים הפעילים והממצאים הפעילים שיכולים להיות בארגון.

אם ארגון חורג מהמגבלות שמוצגות בטבלה הבאה, לא יופעלו סימולציות של נתיבי תקיפה.

סוג המגבלה מכסת שימוש
מספר הממצאים הפעילים המקסימלי 250,000,000
מספר הנכסים הפעילים המקסימלי 26,000,000

אם הנכסים, הממצאים או שניהם בארגון שלכם מתקרבים למגבלות האלה או חורגים מהן, אתם יכולים לפנות ל-Cloud Customer Care כדי לבקש הערכה של הארגון שלכם לצורך הגדלת המגבלות.

מגבלות על משאבים בעלי ערך גבוה

קבוצת משאבים בעלת ערך גבוה תומכת רק בסוגים מסוימים של משאבים, ויכולה להכיל רק מספר מסוים של מופעים של משאבים.

  • קבוצת משאבים עם ערך גבוה בפלטפורמה של ספק שירותי ענן יכולה להכיל עד 1,000 מופעים של משאבים.

  • אתם יכולים ליצור עד 100 הגדרות של ערכי משאבים לכל ארגון ב- Google Cloud.

תמיכה בממשק המשתמש

אפשר לעבוד עם ציוני חשיפה להתקפות במסוף Google Cloud , במסוף Security Operations או ב-Security Command Center API.

אפשר לעבוד עם ציוני חשיפה להתקפות ונתיבי התקפה במקרים של שילובים רעילים רק במסוף Security Operations.

אפשר ליצור הגדרות של ערכי משאבים בכרטיסייה סימולציות של נתיבי תקיפה בדף הגדרות של Security Command Center במסוף Google Cloud , או באמצעות Security Command Center API.

Google Cloud support

בקטעים הבאים מתואר התמיכה ב-Risk Engine ב- Google Cloud.

Google Cloud שירותים שנתמכים על ידי מנוע הסיכון

הסימולציות שמנוע הסיכון מריץ יכולות לכלול את השירותים הבאים: Google Cloud

  • Artifact Registry
  • BigQuery
  • Cloud Build
  • Cloud Run
  • פונקציות Cloud Run
  • Managed Service for Apache Spark
  • Cloud Key Management Service
  • Cloud Load Balancing
  • Cloud NAT
  • Cloud Router
  • Cloud SQL
  • Cloud Storage
  • Compute Engine
  • Google Kubernetes Engine
  • ניהול זהויות והרשאות גישה
  • מנהל המשאבים
  • פלטפורמת הסוכנים של Gemini Enterprise
  • ענן וירטואלי פרטי (VPC), כולל רשתות משנה, הגדרות חומת אש והיקפים של בקרות שירות

Google Cloud סוגי משאבים שנתמכים בקבוצות משאבים בעלות ערך גבוה

אפשר להוסיף לקבוצת משאבים בעלי ערך גבוה רק את סוגי Google Cloud המשאבים הבאים:

  • aiplatform.googleapis.com/Dataset
  • aiplatform.googleapis.com/Featurestore
  • aiplatform.googleapis.com/MetadataStore
  • aiplatform.googleapis.com/Model
  • aiplatform.googleapis.com/ReasoningEngine
  • aiplatform.googleapis.com/TrainingPipeline
  • artifactregistry.googleapis.com/Repository
  • bigquery.googleapis.com/Dataset
  • cloudbuild.googleapis.com/BitbucketServerConfig
  • cloudbuild.googleapis.com/BuildTrigger
  • cloudbuild.googleapis.com/Connection
  • cloudbuild.googleapis.com/GithubEnterpriseConfig
  • cloudbuild.googleapis.com/Repository
  • cloudbuild.googleapis.com/WorkerPool
  • cloudfunctions.googleapis.com/CloudFunction
  • compute.googleapis.com/Instance
  • container.googleapis.com/Cluster
  • dataproc.googleapis.com/Cluster
  • dataproc.googleapis.com/Job
  • run.googleapis.com/Job
  • run.googleapis.com/Service
  • spanner.googleapis.com/Instance
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

Google Cloud סוגי משאבים שנתמכים בסיווגים של רגישות נתונים

סימולציות של נתיבי תקיפה יכולות להגדיר באופן אוטומטי ערכי עדיפות על סמך סיווגים של רגישות נתונים מתוך Sensitive Data Protection discovery רק לסוגים הבאים של מקורות נתונים:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

קטגוריות נתמכות של תוצאות

סימולציות של נתיבי תקיפה יוצרות נתיבי תקיפה וציוני חשיפה לתקיפה רק עבור קטגוריות הממצאים של Security Command Center משירותי הזיהוי של Security Command Center שמפורטים בקטע הזה.

ממצאים של מנוע הסיכונים

הקטגוריות של הממצאים 'שילוב רעיל' ו'נקודת חנק' שנוצרות על ידי מנוע הסיכונים תומכות בציוני החשיפה למתקפות.

ממצאים של הערכת נקודות חולשה ב- Google Cloud

סימולציות של נתיבי תקיפה תומכות בקטגוריות הממצאים הבאות של הערכת נקודות חולשה ב- Google Cloud:

  • GCE OS vulnerability
  • GCE Software vulnerability
  • GKE OS vulnerability
  • GKE Software vulnerability

ממצאים של GKE Security Posture

סימולציות של נתיבי התקפה תומכות בקטגוריות הבאות של ממצאים ב-GKE Security Posture:

  • GKE runtime OS vulnerability

ממצאים של Mandiant Attack Surface Management

סימולציות של נתיבי תקיפה תומכות בקטגוריות הבאות של ממצאים ב-Mandiant Attack Surface Management:

  • Software vulnerability

ממצאים של VM Manager

OS Vulnerability קטגוריית הממצאים שנוצרת על ידי VM Manager תומכת בניקוד חשיפה להתקפות.

תמיכה בהתראות Pub/Sub

אי אפשר להשתמש בשינויים בציון החשיפה להתקפות כטריגר לשליחת התראות ל-Pub/Sub.

בנוסף, הממצאים שנשלחים ל-Pub/Sub כשהם נוצרים לא כוללים את ציון החשיפה להתקפות, כי הם נשלחים לפני שניתן לחשב את הציון.

תמיכה ב-AWS

ב-Security Command Center אפשר לחשב את ציוני החשיפה להתקפות ולראות את נתיבי ההתקפה של המשאבים ב-AWS.

שירותי AWS שנתמכים על ידי Risk Engine

הסימולציות יכולות לכלול את שירותי AWS הבאים:

  • ניהול זהויות והרשאות גישה (IAM)
  • Security Token Service‏ (STS)
  • Simple Storage Service (S3)
  • Web Application Firewall (WAFv2)
  • Elastic Compute Cloud (EC2)‎
  • Elastic Load Balancing‏ (ELB ו-ELBv2)
  • ‫Relational Database Service‏ (RDS)
  • Key Management Service (KMS)
  • Elastic Container Registry (ECR)
  • Elastic Container Service ‏ (ECS)
  • ApiGateway & ApiGatewayv2
  • ארגונים (שירות לניהול חשבונות)
  • CloudFront
  • AutoScaling
  • Lambda
  • DynamoDB

סוגי משאבים של AWS שנתמכים בקבוצות משאבים בעלות ערך גבוה

אפשר להוסיף לקבוצת משאבים בעלי ערך גבוה רק את סוגי המשאבים הבאים ב-AWS:

  • טבלת DynamoDB
  • מופע EC2
  • פונקציית Lambda
  • RDS DBCluster
  • RDS DBInstance
  • קטגוריית S3

סוגי משאבים ב-AWS שנתמכים בסיווגים של רגישות נתונים

סימולציות של נתיבי תקיפה יכולות להגדיר באופן אוטומטי ערכי עדיפות על סמך סיווגים של רגישות נתונים מSensitive Data Protection discovery רק לסוגי משאבי הנתונים הבאים ב-AWS:

  • קטגוריה ב-Amazon S3

ממצאים ב-Security Health Analytics ל-AWS

‫Risk Engine מספק ניקוד וויזואליזציות של נתיבי תקיפה לקטגוריות הבאות של ממצאים ב-Security Health Analytics:

  • מפתחות הגישה מסובבים 90 ימים פחות
  • פרטי כניסה שלא היו בשימוש במשך יותר מ-45 ימים מושבתים
  • קבוצת אבטחה שמוגדרת כברירת מחדל ב-VPC מגבילה את כל התעבורה
  • למופע EC2 אין כתובת IP ציבורית
  • מדיניות סיסמאות ב-IAM
  • מדיניות הסיסמאות של IAM מונעת שימוש חוזר בסיסמאות
  • מדיניות הסיסמאות ב-IAM מחייבת אורך מינימלי של 14 תווים
  • בדיקה של פרטי כניסה לא בשימוש של משתמש IAM
  • משתמשי IAM מקבלים קבוצות הרשאות
  • מפתח KMS CMK לא מתוזמן למחיקה
  • קטגוריות של S3 שמופעלת בהן מחיקה עם אימות רב-שלבי
  • חשבון משתמש Root עם אימות דו-שלבי מופעל
  • אימות רב-שלבי (MFA) מופעל בכל מסוף המשתמשים של IAM
  • לא קיים מפתח גישה לחשבון משתמש עם הרשאות root
  • אין קבוצות אבטחה שמאפשרות ניהול שרת מרוחק של כניסת תעבורה (ingress)
  • אף קבוצת אבטחה לא מאפשרת ניהול שרת מרוחק של 0 0 0 0
  • מפתח גישה פעיל אחד זמין לכל משתמש IAM
  • גישה ציבורית למכונת RDS
  • יציאות נפוצות מוגבלות
  • SSH מוגבל
  • לקוח רוטציה נוצר, CMKS מופעל
  • נוצר לקוח להחלפת מפתחות סימטריים עם הפעלה של CMKS
  • הגדרות של חסימת גישה ציבורית לקטגוריות S3
  • מדיניות של קטגוריית S3 שמוגדרת לדחיית בקשות HTTP
  • מערכת KMS להצפנה שמוגדרת כברירת מחדל ב-S3
  • קבוצת האבטחה שמוגדרת כברירת מחדל ב-VPC נסגרה

ממצאים של הערכת נקודות חולשה ב-Amazon Web Services

קטגוריית הממצאים Software vulnerability שנוצרת על ידי EC2 הערכת נקודות חולשה תומכת בציוני חשיפה להתקפות.

תמיכה ב-Azure

מנוע הסיכון יכול ליצור ציוני חשיפה להתקפות ותצוגות חזותיות של נתיבי התקפה עבור המשאבים שלכם ב-Microsoft Azure.

אחרי יצירת חיבור ל-Azure, אפשר להגדיר משאבים בעלי ערך גבוה ב-Azure על ידי יצירת הגדרות ערך משאבים, כמו במשאבים ב- Google Cloud וב-AWS. הוראות מפורטות זמינות בקטע הגדרה וניהול של קבוצת משאבים בעלי ערך גבוה.

לפני שיוצרים את ההגדרה הראשונה של ערך משאב ב-Azure,‏ Security Command Center משתמש בקבוצת משאבים שמוגדרת כברירת מחדל עם ערך גבוה, שספציפית לספק שירותי הענן.

‫Security Command Center מריץ סימולציות לפלטפורמת ענן שהן בלתי תלויות בסימולציות שמופעלות לפלטפורמות ענן אחרות.

שירותי Azure שנתמכים על ידי Risk Engine

סימולציות של נתיבי תקיפה יכולות לכלול את שירותי Azure הבאים:

  • App Service
  • Azure Kubernetes Service‏ (AKS)
  • רשת וירטואלית
  • Container Registry
  • Cosmos DB
  • פונקציות
  • Key Vault
  • מסד נתונים של MySQL
  • קבוצות אבטחה ברשת
  • מסד נתונים של PostgreSQL
  • בקרת גישה מבוססת-תפקידים (RBAC)
  • Service Bus
  • SQL Database
  • חשבון אחסון
  • Virtual Machine Scale Sets
  • מכונות וירטואליות

סוגי משאבים ב-Azure שאפשר לציין בקבוצות משאבים בעלות ערך גבוה

אפשר להוסיף לקבוצת משאבים בעלי ערך גבוה רק את סוגי משאבי Azure הבאים:

  • Microsoft.Compute/virtualMachines
    • VM של Linux
    • VM של Windows
  • Microsoft.ContainerService/managedClusters
    • אשכול Kubernetes
  • Microsoft.DBforMySQL/flexibleServers/databases
    • מסד נתונים של MySQL
  • Microsoft.DBforPostgreSQL/flexibleServers/databases
    • מסד נתונים של PostgreSQL
  • Microsoft.DocumentDB/databaseAccounts
    • חשבון Cosmos DB
  • Microsoft.Sql/servers/databases
    • SQL Database
  • Microsoft.Storage/storageAccounts
    • חשבון אחסון
  • Microsoft.Web/sites
    • App Service
    • Function App

משאבי Azure שכלולים בקבוצת משאבים בעלי ערך גבוה שמוגדרת כברירת מחדל

אלה המשאבים שנכללים בקבוצת המשאבים בעלי הערך הגבוה שמוגדרת כברירת מחדל:

  • Microsoft.Compute/virtualMachines
    • VM של Linux
    • VM של Windows
  • Microsoft.DBforPostgreSQL/flexibleServers/databases
    • מסד נתונים של PostgreSQL
  • Microsoft.DBforMySQL/flexibleServers/databases
    • מסד נתונים של MySQL
  • Microsoft.DocumentDB/databaseAccounts
    • חשבון Cosmos DB
  • Microsoft.Sql/servers/databases
    • SQL Database
  • Microsoft.Storage/storageAccounts
    • חשבון אחסון
  • Microsoft.Web/sites
    • App Service
    • Function App