תמיכה בתכונות של Risk Engine

בדף הזה מתוארים השירותים והממצאים שתכונת מנוע הסיכונים של Security Command Center תומכת בהם, והמגבלות שחלות עליה.

מנוע הסיכון יוצר ניקוד חשיפה למתקפות וסימולציות של נתיבי מתקפה עבור:

• קטגוריות התוצאות הנתמכות בVulnerability ובMisconfiguration שיעורי התוצאות.
• Toxic combination ממצאים לגבי הכיתה.
• Chokepoint ממצאים לגבי הכיתה.
• מופעים של משאבים מסוגי משאבים נתמכים שאתם מגדירים כבעלי ערך גבוה. מידע נוסף זמין במאמר סוגי משאבים שנתמכים בקבוצות של משאבים בעלי ערך גבוה.

Security Command Center יכול לספק ניתוח של מידת החשיפה למתקפות והדמיות של נתיבי מתקפות בפלטפורמות של ספקי שירותי ענן שונים. התמיכה בכלי הזיהוי משתנה בהתאם לספק שירותי הענן. מנוע הסיכון מסתמך על גלאי פגיעויות והגדרות שגויות שספציפיים לכל ספק שירותי ענן. בקטעים הבאים מפורטים המשאבים הנתמכים של כל ספק שירותי ענן.

• Google Cloud
• ‫Amazon Web Services‏ (AWS)
• ‫Microsoft Azure

תמיכה רק ברמת הארגון

הסימולציות של נתיבי התקפה ש-Risk Engine משתמש בהן כדי ליצור את ציוני החשיפה להתקפה ואת נתיבי ההתקפה דורשות הפעלה של Security Command Center ברמת הארגון. אין תמיכה בהדמיות של נתיבי תקיפה בהפעלות ברמת הפרויקט של Security Command Center.

כדי להציג נתיבי תקיפה, תצוגת המסוף שלכם Google Cloud צריכה להיות מוגדרת לארגון שלכם. אם בוחרים תצוגה של פרויקט או תיקייה במסוףGoogle Cloud , אפשר לראות את ציוני החשיפה להתקפות, אבל אי אפשר לראות את נתיבי ההתקפה.

התפקידים הנדרשים

נתיבי התקפה משויכים לרכיבים ספציפיים של Security Command Center, כמו ממצאים ומשאבים בעלי ערך גבוה. כדי לראות את נתיבי התקיפה ב-Security Command Center, אתם צריכים את תפקידי ה-IAM הנכונים שיאפשרו לכם לראות כל אחד מהמשאבים שלכם ב-Security Command Center.

כדי לקבל את ההרשאות שדרושות בשביל לצפות בנתיבי מתקפה, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בארגון:

• קריאת נתיבי תקיפה במרכז האבטחה (roles/securitycenter.attackPathsViewer)
• צפייה בנתיבי תקיפה שנוצרו מממצאים ומבעיות (לדוגמה, שילובים רעילים ונקודות חסימה): צפייה בממצאים ב-Security Center (roles/securitycenter.findingsViewer)
• מתן גישה לנתיבי תקיפה למשאבים בעלי ערך גבוה:
  • צפייה בנכסים במרכז האבטחה (roles/securitycenter.assetsViewer)
  • קריאת משאבים מוערכים במרכז האבטחה (roles/securitycenter.valuedResourcesViewer)

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

מגבלות גודל לארגונים

בסימולציות של נתיבי תקיפה, מנוע הסיכון מגביל את מספר הנכסים הפעילים והממצאים הפעילים שיכולים להיות בארגון.

אם ארגון חורג מהמגבלות שמוצגות בטבלה הבאה, לא יופעלו סימולציות של נתיבי תקיפה.

סוג המגבלה	מכסת שימוש
מספר הממצאים הפעילים המקסימלי	250,000,000
מספר הנכסים הפעילים המקסימלי	26,000,000

אם הנכסים, הממצאים או שניהם בארגון שלכם מתקרבים למגבלות האלה או חורגים מהן, אתם יכולים לפנות ל-Cloud Customer Care כדי לבקש הערכה של הארגון שלכם לצורך הגדלה אפשרית של המגבלות.

מגבלות על קבוצות משאבים עם ערך גבוה

קבוצת משאבים בעלת ערך גבוה תומכת רק בסוגים מסוימים של משאבים, ויכולה להכיל רק מספר מסוים של מופעים של משאבים.

• קבוצת משאבים עם ערך גבוה בפלטפורמה של ספק שירותי ענן יכולה להכיל עד 1,000 מופעים של משאבים.

• אתם יכולים ליצור עד 100 הגדרות של ערכי משאבים לכל ארגון ב- Google Cloud.

תמיכה בממשק המשתמש

אפשר לעבוד עם ציוני חשיפה להתקפות במסוף Google Cloud , במסוף Security Operations או ב-Security Command Center API.

אפשר לעבוד עם ציוני חשיפה להתקפות ונתיבי התקפה במקרים של שילובים רעילים רק במסוף Security Operations.

אפשר ליצור הגדרות של ערכי משאבים רק בכרטיסייה Attack path simulations בדף Settings של Security Command Center במסוף Google Cloud .

Google Cloud support

בקטעים הבאים מתואר התמיכה ב-Risk Engine ב- Google Cloud.

Google Cloud שירותים שנתמכים על ידי מנוע הסיכונים

הסימולציות שמנוע הסיכון מריץ יכולות לכלול את השירותים הבאים Google Cloud :

• Artifact Registry
• BigQuery
• Cloud Build
• Cloud Run
• פונקציות Cloud Run
• Cloud Key Management Service
• Cloud Load Balancing
• Cloud NAT
• Cloud Router
• Cloud SQL
• Cloud Storage
• Compute Engine
• Google Kubernetes Engine
• ניהול זהויות והרשאות גישה
• מנהל המשאבים
• ענן וירטואלי פרטי (VPC), כולל רשתות משנה והגדרות של חומת אש

Google Cloud סוגי משאבים שנתמכים בקבוצות משאבים בעלות ערך גבוה

אפשר להוסיף רק את סוגי Google Cloud המשאבים הבאים לקבוצת משאבים בעלי ערך גבוה:

• aiplatform.googleapis.com/Dataset
• aiplatform.googleapis.com/Featurestore
• aiplatform.googleapis.com/MetadataStore
• aiplatform.googleapis.com/Model
• aiplatform.googleapis.com/TrainingPipeline
• artifactregistry.googleapis.com/Repository
• bigquery.googleapis.com/Dataset
• cloudbuild.googleapis.com/BitbucketServerConfig
• cloudbuild.googleapis.com/BuildTrigger
• cloudbuild.googleapis.com/Connection
• cloudbuild.googleapis.com/GithubEnterpriseConfig
• cloudbuild.googleapis.com/Repository
• cloudbuild.googleapis.com/WorkerPool
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance
• container.googleapis.com/Cluster
• run.googleapis.com/Job
• run.googleapis.com/Service
• spanner.googleapis.com/Instance
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Google Cloud סוגי משאבים שנתמכים בסיווגים של רגישות נתונים

סימולציות של נתיבי תקיפה יכולות להגדיר באופן אוטומטי ערכי עדיפות על סמך סיווגים של רגישות נתונים מגילוי Sensitive Data Protection רק לסוגים הבאים של משאבי נתונים:

• aiplatform.googleapis.com/Dataset
• bigquery.googleapis.com/Dataset
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

קטגוריות נתמכות של תוצאות

סימולציות של נתיבי תקיפה יוצרות נתיבי תקיפה וציוני חשיפה לתקיפה רק עבור קטגוריות הממצאים של Security Command Center משירותי הזיהוי של Security Command Center שמפורטים בקטע הזה.

ממצאים של Risk Engine

קטגוריות הממצאים Toxic combination ו-Chokepoint שנוצרות על ידי Risk Engine תומכות בציוני חשיפה למתקפות.

ממצאים של הערכת נקודות חולשה ב- Google Cloud

סימולציות של נתיבי תקיפה תומכות בקטגוריות הממצאים הבאות של הערכת נקודות חולשה ב- Google Cloud:

• GCE OS vulnerability
• GCE Software vulnerability
• GKE OS vulnerability
• GKE Software vulnerability

ממצאים של GKE Security Posture

הסימולציות של נתיבי ההתקפה תומכות בקטגוריות הבאות של ממצאים ב-GKE Security Posture:

• GKE runtime OS vulnerability

ממצאים של Mandiant Attack Surface Management

סימולציות של נתיבי תקיפה תומכות בקטגוריות הבאות של ממצאים ב-Mandiant Attack Surface Management:

• Software vulnerability

ממצאים של VM Manager

קטגוריית הממצאים OS Vulnerability שנוצרת על ידי VM Manager תומכת בניקוד חשיפה להתקפות.

תמיכה בהתראות Pub/Sub

אי אפשר להשתמש בשינויים בציון החשיפה להתקפות כטריגר לשליחת התראות ל-Pub/Sub.

בנוסף, הממצאים שנשלחים ל-Pub/Sub כשהם נוצרים לא כוללים את ציון החשיפה להתקפות, כי הם נשלחים לפני שניתן לחשב את הציון.

תמיכה ב-AWS

ב-Security Command Center אפשר לחשב את ציוני החשיפה להתקפות ולראות את ההדמיה של נתיבי ההתקפה על המשאבים שלכם ב-AWS.

שירותי AWS שנתמכים על ידי Risk Engine

הסימולציות יכולות לכלול את שירותי AWS הבאים:

• ניהול זהויות והרשאות גישה (IAM)
• ‫Security Token Service‏ (STS)
• Simple Storage Service (S3)
• חומת אש לאפליקציות אינטרנט (WAFv2)
• Elastic Compute Cloud (EC2)‎
• Elastic Load Balancing‏ (ELB ו-ELBv2)
• Relational Database Service (RDS)‎
• Key Management Service (KMS)
• Elastic Container Registry (ECR)
• Elastic Container Service‏ (ECS)
• ApiGateway ו-ApiGatewayv2
• ארגונים (שירות לניהול חשבונות)
• CloudFront
• AutoScaling
• Lambda
• DynamoDB

סוגי משאבים ב-AWS שנתמכים בקבוצות משאבים בעלות ערך גבוה

אפשר להוסיף לקבוצת משאבים בעלי ערך גבוה רק את סוגי משאבי AWS הבאים:

• טבלת DynamoDB
• מופע EC2
• פונקציית Lambda
• RDS DBCluster
• RDS DBInstance
• קטגוריית S3

סוגי משאבי AWS שנתמכים בסיווגים של רגישות נתונים

סימולציות של נתיבי תקיפה יכולות להגדיר באופן אוטומטי ערכי עדיפות על סמך סיווגים של רגישות נתונים מSensitive Data Protection discovery רק לסוגי משאבי הנתונים הבאים ב-AWS:

• קטגוריה ב-Amazon S3

קבלת תמיכה ב-Security Health Analytics ל-AWS

מנוע הסיכונים מספק ציונים וויזואליזציות של נתיבי תקיפה לקטגוריות הבאות של ממצאים ב-Security Health Analytics:

• רוטציה של מפתחות גישה כל 90 יום
• פרטי כניסה שלא היו בשימוש במשך יותר מ-45 ימים מושבתים
• קבוצת אבטחה שמוגדרת כברירת מחדל ב-VPC מגבילה את כל התנועה
• מכונת EC2 ללא כתובת IP ציבורית
• מדיניות סיסמאות ב-IAM
• מדיניות הסיסמאות של IAM מונעת שימוש חוזר בסיסמאות
• מדיניות הסיסמאות ב-IAM מחייבת אורך מינימלי של 14 תווים
• בדיקה של פרטי כניסה לא בשימוש של משתמש IAM
• משתמשי IAM מקבלים קבוצות הרשאות
• מפתח KMS CMK לא מתוזמן למחיקה
• קטגוריות S3 שמופעלת בהן מחיקה עם אימות רב-שלבי
• חשבון משתמש Root עם אימות רב-שלבי (MFA)
• אימות רב-שלבי (MFA) מופעל בכל מסוף משתמשי IAM
• לא קיים מפתח גישה לחשבון משתמש עם הרשאות root
• אין קבוצות אבטחה שמאפשרות תעבורת נתונים נכנסת (ingress) 0 ניהול שרת מרוחק
• אף קבוצת אבטחה לא מאפשרת תעבורת נתונים נכנסת (ingress) 0.0.0.0 ניהול שרת מרוחק
• מפתח גישה פעיל אחד זמין לכל משתמש IAM
• גישה ציבורית למכונת RDS
• יציאות נפוצות מוגבלות
• הגבלת SSH
• לקוח רוטציה נוצר, CMKS הופעל
• נוצר לקוח עם החלפה של מפתחות הצפנה סימטריים בניהול הלקוח
• קטגוריות S3 שהוגדרו לחסימת גישה ציבורית
• מדיניות של דלי S3 שמוגדרת לדחיית בקשות HTTP
• הצפנת ברירת המחדל של S3 KMS
• קבוצת האבטחה שמוגדרת כברירת מחדל ב-VPC נסגרה

ממצאים של הערכת נקודות חולשה ב-Amazon Web Services

קטגוריית הממצאים Software vulnerability שנוצרת על ידי EC2 הערכת נקודות חולשה תומכת בציוני חשיפה להתקפות.

תמיכה ב-Azure

מנוע הסיכון יכול ליצור ציוני חשיפה להתקפות ותצוגות חזותיות של נתיבי התקפה עבור המשאבים שלכם ב-Microsoft Azure.

אחרי יצירת חיבור ל-Azure, אפשר להגדיר משאבים בעלי ערך גבוה ב-Azure על ידי יצירת הגדרות ערך משאבים, כמו במשאבים ב- Google Cloud וב-AWS. הוראות מפורטות זמינות בקטע הגדרה וניהול של קבוצת משאבים בעלי ערך גבוה.

לפני שיוצרים את ההגדרה הראשונה של ערך משאב ב-Azure, מערכת Security Command Center משתמשת בקבוצת משאבים שמוגדרת כברירת מחדל עם ערך גבוה, שספציפית לספק שירותי הענן.

‫Security Command Center מריץ סימולציות לפלטפורמת ענן שהן בלתי תלויות בסימולציות שמופעלות לפלטפורמות ענן אחרות.

שירותי Azure שנתמכים על ידי מנוע הסיכונים

סימולציות של נתיבי תקיפה יכולות לכלול את שירותי Azure הבאים:

• שירות אפליקציות
• Azure Kubernetes Service‏ (AKS)
• רשת וירטואלית
• Container Registry
• Cosmos DB
• פונקציות
• Key Vault
• מסד נתונים של MySQL
• קבוצות אבטחה ברשת
• מסד נתונים של PostgreSQL
• בקרת גישה מבוססת-תפקידים (RBAC)
• Service Bus
• SQL Database
• חשבון אחסון
• Virtual Machine Scale Sets
• מכונות וירטואליות

סוגי משאבים ב-Azure שאפשר לציין בקבוצות משאבים בעלות ערך גבוה

אפשר להוסיף לקבוצת משאבים בעלי ערך גבוה רק את סוגי משאבי Azure הבאים:

• Microsoft.Compute/virtualMachines
  • VM של Linux
  • VM של Windows
• Microsoft.ContainerService/managedClusters
  • אשכול Kubernetes
• Microsoft.DBforMySQL/flexibleServers/databases
  • מסד נתונים של MySQL
• Microsoft.DBforPostgreSQL/flexibleServers/databases
  • מסד נתונים של PostgreSQL
• Microsoft.DocumentDB/databaseAccounts
  • חשבון Cosmos DB
• Microsoft.Sql/servers/databases
  • SQL Database
• Microsoft.Storage/storageAccounts
  • חשבון אחסון
• Microsoft.Web/sites
  • שירות אפליקציות
  • Function App

משאבי Azure שכלולים בקבוצת המשאבים שמוגדרת כברירת מחדל ובעלת ערך גבוה

אלה המשאבים שנכללים בקבוצת ברירת המחדל של משאבים בעלי ערך גבוה:

• Microsoft.Compute/virtualMachines
  • VM של Linux
  • VM של Windows
• Microsoft.DBforPostgreSQL/flexibleServers/databases
  • מסד נתונים של PostgreSQL
• Microsoft.DBforMySQL/flexibleServers/databases
  • מסד נתונים של MySQL
• Microsoft.DocumentDB/databaseAccounts
  • חשבון Cosmos DB
• Microsoft.Sql/servers/databases
  • SQL Database
• Microsoft.Storage/storageAccounts
  • חשבון אחסון
• Microsoft.Web/sites
  • שירות אפליקציות
  • Function App