בדף הזה מתוארים השירותים והממצאים שתכונת מנוע הסיכונים של Security Command Center תומכת בהם, והמגבלות שחלות על התמיכה בהם.
מנוע הסיכון יוצר ניקוד חשיפה למתקפות וסימולציות של נתיבי מתקפה עבור:
- קטגוריות התוצאות הנתמכות ב-
Vulnerabilityוב-Misconfigurationfinding classes. Toxic combinationממצאים לגבי הכיתה.Chokepointממצאים לגבי הכיתה.- מופעים של משאבים מסוגי משאבים נתמכים שאתם מגדירים כבעלי ערך גבוה. מידע נוסף זמין במאמר סוגי משאבים שנתמכים בקבוצות של משאבים בעלי ערך גבוה.
ב-Security Command Center אפשר לראות ניתוח של מידת החשיפה למתקפות והדמיות של נתיבי מתקפות בפלטפורמות של ספקי שירותי ענן שונים. התמיכה בכלי הזיהוי משתנה בהתאם לספק שירותי הענן. מנוע הסיכון מסתמך על גלאי פגיעויות והגדרות שגויות שספציפיים לכל ספק שירותי ענן. בקטעים הבאים מתוארים המשאבים הנתמכים עבור כל ספק שירותי ענן.
תמיכה רק ברמת הארגון
הסימולציות של נתיבי התקפה שמשמשות את Risk Engine ליצירת ניקוד החשיפה להתקפה ונתיבי התקפה, מחייבות הפעלה של Security Command Center ברמת הארגון. אין תמיכה בהדמיות של נתיבי תקיפה בהפעלות ברמת הפרויקט של Security Command Center.
כדי לראות את נתיבי התקיפה, צריך להגדיר את התצוגה במסוף Google Cloud לארגון שלכם. אם בוחרים תצוגה של פרויקט או תיקייה במסוףGoogle Cloud , אפשר לראות את ציוני החשיפה להתקפות, אבל אי אפשר לראות את נתיבי ההתקפה.
התפקידים הנדרשים
נתיבי התקפה משויכים לרכיבים ספציפיים של Security Command Center, כמו ממצאים ומשאבים בעלי ערך גבוה. כדי לראות את נתיבי התקיפה ב-Security Command Center, אתם צריכים את תפקידי ה-IAM הנכונים שיאפשרו לכם לראות כל אחד מהמשאבים שלכם ב-Security Command Center.
כדי לקבל את ההרשאות שדרושות בשביל לצפות בנתיבי תקיפה, אתם צריכים לבקש מהאדמין לתת לכם את התפקידים הבאים ב-IAM בארגון:
- קריאת נתיבי תקיפה במרכז האבטחה (
roles/securitycenter.attackPathsViewer) -
צפייה בנתיבי תקיפה שנוצרו מממצאים ומבעיות (לדוגמה, שילובים רעילים ונקודות חנק):
צפייה בממצאים במרכז האבטחה (
roles/securitycenter.findingsViewer) -
מתן גישה לנתיבי תקיפה למשאבים בעלי ערך גבוה:
- צפייה בנכסים במרכז האבטחה (
roles/securitycenter.assetsViewer) - קריאת משאבים מוערכים במרכז האבטחה (
roles/securitycenter.valuedResourcesViewer)
- צפייה בנכסים במרכז האבטחה (
להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.
מגבלות גודל לארגונים
בסימולציות של נתיבי תקיפה, מנוע הסיכון מגביל את מספר הנכסים הפעילים והממצאים הפעילים שיכולים להיות בארגון.
אם ארגון חורג מהמגבלות שמוצגות בטבלה הבאה, לא יופעלו סימולציות של נתיבי תקיפה.
| סוג המגבלה | מכסת שימוש |
|---|---|
| מספר הממצאים הפעילים המקסימלי | 250,000,000 |
| מספר הנכסים הפעילים המקסימלי | 26,000,000 |
אם הנכסים, הממצאים או שניהם בארגון שלכם מתקרבים למגבלות האלה או חורגים מהן, אתם יכולים לפנות ל-Cloud Customer Care כדי לבקש הערכה של הארגון שלכם לצורך הגדלת המגבלות.
מגבלות על משאבים בעלי ערך גבוה
קבוצת משאבים בעלת ערך גבוה תומכת רק בסוגים מסוימים של משאבים, ויכולה להכיל רק מספר מסוים של מופעים של משאבים.
קבוצת משאבים עם ערך גבוה בפלטפורמה של ספק שירותי ענן יכולה להכיל עד 1,000 מופעים של משאבים.
אתם יכולים ליצור עד 100 הגדרות של ערכי משאבים לכל ארגון ב- Google Cloud.
תמיכה בממשק המשתמש
אפשר לעבוד עם ציוני חשיפה להתקפות במסוף Google Cloud , במסוף Security Operations או ב-Security Command Center API.
אפשר לעבוד עם ציוני חשיפה להתקפות ונתיבי התקפה במקרים של שילובים רעילים רק במסוף Security Operations.
אפשר ליצור הגדרות של ערכי משאבים בכרטיסייה סימולציות של נתיבי תקיפה בדף הגדרות של Security Command Center במסוף Google Cloud , או באמצעות Security Command Center API.
Google Cloud support
בקטעים הבאים מתואר התמיכה ב-Risk Engine ב- Google Cloud.
Google Cloud שירותים שנתמכים על ידי מנוע הסיכון
הסימולציות שמנוע הסיכון מריץ יכולות לכלול את השירותים הבאים: Google Cloud
- Artifact Registry
- BigQuery
- Cloud Build
- Cloud Run
- פונקציות Cloud Run
- Managed Service for Apache Spark
- Cloud Key Management Service
- Cloud Load Balancing
- Cloud NAT
- Cloud Router
- Cloud SQL
- Cloud Storage
- Compute Engine
- Google Kubernetes Engine
- ניהול זהויות והרשאות גישה
- מנהל המשאבים
- פלטפורמת הסוכנים של Gemini Enterprise
- ענן וירטואלי פרטי (VPC), כולל רשתות משנה, הגדרות חומת אש והיקפים של בקרות שירות
Google Cloud סוגי משאבים שנתמכים בקבוצות משאבים בעלות ערך גבוה
אפשר להוסיף לקבוצת משאבים בעלי ערך גבוה רק את סוגי Google Cloud המשאבים הבאים:
aiplatform.googleapis.com/Datasetaiplatform.googleapis.com/Featurestoreaiplatform.googleapis.com/MetadataStoreaiplatform.googleapis.com/Modelaiplatform.googleapis.com/ReasoningEngineaiplatform.googleapis.com/TrainingPipelineartifactregistry.googleapis.com/Repositorybigquery.googleapis.com/Datasetcloudbuild.googleapis.com/BitbucketServerConfigcloudbuild.googleapis.com/BuildTriggercloudbuild.googleapis.com/Connectioncloudbuild.googleapis.com/GithubEnterpriseConfigcloudbuild.googleapis.com/Repositorycloudbuild.googleapis.com/WorkerPoolcloudfunctions.googleapis.com/CloudFunctioncompute.googleapis.com/Instancecontainer.googleapis.com/Clusterdataproc.googleapis.com/Clusterdataproc.googleapis.com/Jobrun.googleapis.com/Jobrun.googleapis.com/Servicespanner.googleapis.com/Instancesqladmin.googleapis.com/Instancestorage.googleapis.com/Bucket
Google Cloud סוגי משאבים שנתמכים בסיווגים של רגישות נתונים
סימולציות של נתיבי תקיפה יכולות להגדיר באופן אוטומטי ערכי עדיפות על סמך סיווגים של רגישות נתונים מתוך Sensitive Data Protection discovery רק לסוגים הבאים של מקורות נתונים:
aiplatform.googleapis.com/Datasetbigquery.googleapis.com/Datasetsqladmin.googleapis.com/Instancestorage.googleapis.com/Bucket
קטגוריות נתמכות של תוצאות
סימולציות של נתיבי תקיפה יוצרות נתיבי תקיפה וציוני חשיפה לתקיפה רק עבור קטגוריות הממצאים של Security Command Center משירותי הזיהוי של Security Command Center שמפורטים בקטע הזה.
ממצאים של מנוע הסיכונים
הקטגוריות של הממצאים 'שילוב רעיל' ו'נקודת חנק' שנוצרות על ידי מנוע הסיכונים תומכות בציוני החשיפה למתקפות.
ממצאים של הערכת נקודות חולשה ב- Google Cloud
סימולציות של נתיבי תקיפה תומכות בקטגוריות הממצאים הבאות של הערכת נקודות חולשה ב- Google Cloud:
GCE OS vulnerabilityGCE Software vulnerabilityGKE OS vulnerabilityGKE Software vulnerability
ממצאים של GKE Security Posture
סימולציות של נתיבי התקפה תומכות בקטגוריות הבאות של ממצאים ב-GKE Security Posture:
GKE runtime OS vulnerability
ממצאים של Mandiant Attack Surface Management
סימולציות של נתיבי תקיפה תומכות בקטגוריות הבאות של ממצאים ב-Mandiant Attack Surface Management:
Software vulnerability
ממצאים של VM Manager
OS Vulnerability קטגוריית הממצאים שנוצרת על ידי VM Manager תומכת בניקוד חשיפה להתקפות.
תמיכה בהתראות Pub/Sub
אי אפשר להשתמש בשינויים בציון החשיפה להתקפות כטריגר לשליחת התראות ל-Pub/Sub.
בנוסף, הממצאים שנשלחים ל-Pub/Sub כשהם נוצרים לא כוללים את ציון החשיפה להתקפות, כי הם נשלחים לפני שניתן לחשב את הציון.
תמיכה ב-AWS
ב-Security Command Center אפשר לחשב את ציוני החשיפה להתקפות ולראות את נתיבי ההתקפה של המשאבים ב-AWS.
שירותי AWS שנתמכים על ידי Risk Engine
הסימולציות יכולות לכלול את שירותי AWS הבאים:
- ניהול זהויות והרשאות גישה (IAM)
- Security Token Service (STS)
- Simple Storage Service (S3)
- Web Application Firewall (WAFv2)
- Elastic Compute Cloud (EC2)
- Elastic Load Balancing (ELB ו-ELBv2)
- Relational Database Service (RDS)
- Key Management Service (KMS)
- Elastic Container Registry (ECR)
- Elastic Container Service (ECS)
- ApiGateway & ApiGatewayv2
- ארגונים (שירות לניהול חשבונות)
- CloudFront
- AutoScaling
- Lambda
- DynamoDB
סוגי משאבים של AWS שנתמכים בקבוצות משאבים בעלות ערך גבוה
אפשר להוסיף לקבוצת משאבים בעלי ערך גבוה רק את סוגי המשאבים הבאים ב-AWS:
- טבלת DynamoDB
- מופע EC2
- פונקציית Lambda
- RDS DBCluster
- RDS DBInstance
- קטגוריית S3
סוגי משאבים ב-AWS שנתמכים בסיווגים של רגישות נתונים
סימולציות של נתיבי תקיפה יכולות להגדיר באופן אוטומטי ערכי עדיפות על סמך סיווגים של רגישות נתונים מSensitive Data Protection discovery רק לסוגי משאבי הנתונים הבאים ב-AWS:
- קטגוריה ב-Amazon S3
ממצאים ב-Security Health Analytics ל-AWS
Risk Engine מספק ניקוד וויזואליזציות של נתיבי תקיפה לקטגוריות הבאות של ממצאים ב-Security Health Analytics:
- מפתחות הגישה מסובבים 90 ימים פחות
- פרטי כניסה שלא היו בשימוש במשך יותר מ-45 ימים מושבתים
- קבוצת אבטחה שמוגדרת כברירת מחדל ב-VPC מגבילה את כל התעבורה
- למופע EC2 אין כתובת IP ציבורית
- מדיניות סיסמאות ב-IAM
- מדיניות הסיסמאות של IAM מונעת שימוש חוזר בסיסמאות
- מדיניות הסיסמאות ב-IAM מחייבת אורך מינימלי של 14 תווים
- בדיקה של פרטי כניסה לא בשימוש של משתמש IAM
- משתמשי IAM מקבלים קבוצות הרשאות
- מפתח KMS CMK לא מתוזמן למחיקה
- קטגוריות של S3 שמופעלת בהן מחיקה עם אימות רב-שלבי
- חשבון משתמש Root עם אימות דו-שלבי מופעל
- אימות רב-שלבי (MFA) מופעל בכל מסוף המשתמשים של IAM
- לא קיים מפתח גישה לחשבון משתמש עם הרשאות root
- אין קבוצות אבטחה שמאפשרות ניהול שרת מרוחק של כניסת תעבורה (ingress)
- אף קבוצת אבטחה לא מאפשרת ניהול שרת מרוחק של 0 0 0 0
- מפתח גישה פעיל אחד זמין לכל משתמש IAM
- גישה ציבורית למכונת RDS
- יציאות נפוצות מוגבלות
- SSH מוגבל
- לקוח רוטציה נוצר, CMKS מופעל
- נוצר לקוח להחלפת מפתחות סימטריים עם הפעלה של CMKS
- הגדרות של חסימת גישה ציבורית לקטגוריות S3
- מדיניות של קטגוריית S3 שמוגדרת לדחיית בקשות HTTP
- מערכת KMS להצפנה שמוגדרת כברירת מחדל ב-S3
- קבוצת האבטחה שמוגדרת כברירת מחדל ב-VPC נסגרה
ממצאים של הערכת נקודות חולשה ב-Amazon Web Services
קטגוריית הממצאים Software vulnerability שנוצרת על ידי EC2 הערכת נקודות חולשה תומכת בציוני חשיפה להתקפות.
תמיכה ב-Azure
מנוע הסיכון יכול ליצור ציוני חשיפה להתקפות ותצוגות חזותיות של נתיבי התקפה עבור המשאבים שלכם ב-Microsoft Azure.
אחרי יצירת חיבור ל-Azure, אפשר להגדיר משאבים בעלי ערך גבוה ב-Azure על ידי יצירת הגדרות ערך משאבים, כמו במשאבים ב- Google Cloud וב-AWS. הוראות מפורטות זמינות בקטע הגדרה וניהול של קבוצת משאבים בעלי ערך גבוה.
לפני שיוצרים את ההגדרה הראשונה של ערך משאב ב-Azure, Security Command Center משתמש בקבוצת משאבים שמוגדרת כברירת מחדל עם ערך גבוה, שספציפית לספק שירותי הענן.
Security Command Center מריץ סימולציות לפלטפורמת ענן שהן בלתי תלויות בסימולציות שמופעלות לפלטפורמות ענן אחרות.
שירותי Azure שנתמכים על ידי Risk Engine
סימולציות של נתיבי תקיפה יכולות לכלול את שירותי Azure הבאים:
- App Service
- Azure Kubernetes Service (AKS)
- רשת וירטואלית
- Container Registry
- Cosmos DB
- פונקציות
- Key Vault
- מסד נתונים של MySQL
- קבוצות אבטחה ברשת
- מסד נתונים של PostgreSQL
- בקרת גישה מבוססת-תפקידים (RBAC)
- Service Bus
- SQL Database
- חשבון אחסון
- Virtual Machine Scale Sets
- מכונות וירטואליות
סוגי משאבים ב-Azure שאפשר לציין בקבוצות משאבים בעלות ערך גבוה
אפשר להוסיף לקבוצת משאבים בעלי ערך גבוה רק את סוגי משאבי Azure הבאים:
- Microsoft.Compute/virtualMachines
- VM של Linux
- VM של Windows
- Microsoft.ContainerService/managedClusters
- אשכול Kubernetes
- Microsoft.DBforMySQL/flexibleServers/databases
- מסד נתונים של MySQL
- Microsoft.DBforPostgreSQL/flexibleServers/databases
- מסד נתונים של PostgreSQL
- Microsoft.DocumentDB/databaseAccounts
- חשבון Cosmos DB
- Microsoft.Sql/servers/databases
- SQL Database
- Microsoft.Storage/storageAccounts
- חשבון אחסון
- Microsoft.Web/sites
- App Service
- Function App
משאבי Azure שכלולים בקבוצת משאבים בעלי ערך גבוה שמוגדרת כברירת מחדל
אלה המשאבים שנכללים בקבוצת המשאבים בעלי הערך הגבוה שמוגדרת כברירת מחדל:
- Microsoft.Compute/virtualMachines
- VM של Linux
- VM של Windows
- Microsoft.DBforPostgreSQL/flexibleServers/databases
- מסד נתונים של PostgreSQL
- Microsoft.DBforMySQL/flexibleServers/databases
- מסד נתונים של MySQL
- Microsoft.DocumentDB/databaseAccounts
- חשבון Cosmos DB
- Microsoft.Sql/servers/databases
- SQL Database
- Microsoft.Storage/storageAccounts
- חשבון אחסון
- Microsoft.Web/sites
- App Service
- Function App