Esta página descreve os serviços e as conclusões que a funcionalidade do motor de risco do Security Command Center suporta e os limites de capacidade de suporte a que está sujeita.
O motor de risco gera classificações de exposição a ataques e simulações de caminhos de ataque para o seguinte:
- Categorias de resultados suportadas no
Vulnerabilitye nasMisconfigurationclasses de resultados. Toxic combinationresultados da turma.Chokepointresultados da turma.- Instâncias de recursos de tipos de recursos suportados que designa como de elevado valor. Para mais informações, consulte o artigo Tipos de recursos suportados em conjuntos de recursos de elevado valor.
O Security Command Center pode fornecer classificações de exposição a ataques e visualizações de caminhos de ataque para várias plataformas de fornecedores de serviços na nuvem. O suporte de detetores difere para cada fornecedor de serviços na nuvem. O motor de risco depende de detetores de vulnerabilidades e erros de configuração específicos de cada fornecedor de serviços na nuvem. As secções seguintes descrevem os recursos suportados para cada fornecedor de serviços na nuvem.
Apenas suporte ao nível da organização
As simulações de caminhos de ataque que o motor de risco usa para gerar as classificações de exposição a ataques e os caminhos de ataque requerem que o Security Command Center seja ativado ao nível da organização. As simulações de caminhos de ataque não são suportadas com as ativações ao nível do projeto do Security Command Center.
Para ver os caminhos de ataque, a vista da consola Google Cloud tem de estar definida para a sua organização. Se selecionar uma vista de projeto ou pasta na Google Cloud consola, pode ver as pontuações de exposição a ataques, mas não pode ver os caminhos de ataque.
Funções necessárias
Os caminhos de ataque estão associados a componentes específicos do Security Command Center, como descobertas e recursos de elevado valor. Para ver os caminhos de ataque do Security Command Center, tem de ter as funções de IAM corretas que lhe permitam ver cada um dos seus recursos do Security Command Center.
Para receber as autorizações de que precisa para ver os caminhos de ataque, peça ao seu administrador que lhe conceda as seguintes funções do IAM na sua organização:
-
Leitor de caminhos de ataque do Centro de segurança (
roles/securitycenter.attackPathsViewer) -
Veja caminhos de ataque gerados a partir de conclusões e problemas (por exemplo, combinações tóxicas e pontos críticos):
Visualizador de conclusões do centro de segurança (
roles/securitycenter.findingsViewer) -
Permita o acesso a caminhos de ataque para recursos de elevado valor:
-
Visualizador de recursos do Centro de segurança (
roles/securitycenter.assetsViewer) -
Leitor de recursos valiosos do Centro de segurança (
roles/securitycenter.valuedResourcesViewer)
-
Visualizador de recursos do Centro de segurança (
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.
Limites de tamanho para organizações
Para simulações de caminhos de ataque, o motor de risco limita o número de recursos ativos e resultados ativos que uma organização pode conter.
Se uma organização exceder os limites apresentados na tabela seguinte, as simulações de caminhos de ataque não são executadas.
| Tipo de limite | Limite de utilização |
|---|---|
| Número máximo de resultados ativos | 250 000 000 |
| Número máximo de recursos ativos | 26 000 000 |
Se os recursos, as conclusões ou ambos na sua organização estiverem a aproximar-se destes limites ou os excederem, contacte o Cloud Customer Care para pedir uma avaliação da sua organização para um possível aumento.
Limites de conjuntos de recursos de elevado valor
Um conjunto de recursos de valor elevado suporta apenas determinados tipos de recursos e pode conter apenas um determinado número de instâncias de recursos.
Um conjunto de recursos de elevado valor para uma plataforma de fornecedor de serviços na nuvem pode conter até 1000 instâncias de recursos.
Pode criar até 100 configurações de valores de recursos por organização no Google Cloud.
Apoio técnico da interface do utilizador
Pode trabalhar com as pontuações de exposição a ataques na Google Cloud consola, na consola de operações de segurança ou na API Security Command Center.
Só pode trabalhar com pontuações de exposição a ataques e caminhos de ataque para casos de combinação tóxica na consola de operações de segurança.
Só pode criar configurações de valores de recursos no separador Simulações de caminho de ataque da página Definições do Security Command Center na Google Cloud consola.
Apoio técnico do operadorGoogle Cloud
As secções seguintes descrevem o apoio técnico do motor de risco para Google Cloud.
Google Cloud serviços suportados pelo motor de análise do risco
As simulações que o motor de risco executa podem incluir os seguintes serviços: Google Cloud
- Artifact Registry
- BigQuery
- Funções do Cloud Run
- Cloud Key Management Service
- Cloud Load Balancing
- NAT na nuvem
- Cloud Router
- Cloud SQL
- Cloud Storage
- Compute Engine
- Gestão de identidade e de acesso
- Google Kubernetes Engine
- Nuvem virtual privada, incluindo sub-redes e configurações de firewall
- Resource Manager
Google Cloud Tipos de recursos suportados em conjuntos de recursos de elevado valor
Só pode adicionar os seguintes tipos de Google Cloud recursos a um conjunto de recursos de valor elevado:
aiplatform.googleapis.com/Datasetaiplatform.googleapis.com/Featurestoreaiplatform.googleapis.com/MetadataStoreaiplatform.googleapis.com/TrainingPipeline
aiplatform.googleapis.com/Modelartifactregistry.googleapis.com/Repositorybigquery.googleapis.com/Datasetcloudfunctions.googleapis.com/CloudFunctioncompute.googleapis.com/Instance
container.googleapis.com/Cluster
spanner.googleapis.com/Instancesqladmin.googleapis.com/Instancestorage.googleapis.com/Bucket
Google Cloud Tipos de recursos suportados com classificações de sensibilidade dos dados
As simulações de caminhos de ataque podem definir automaticamente valores de prioridade com base nas classificações de sensibilidade dos dados da descoberta da proteção de dados confidenciais apenas para os seguintes tipos de recursos de dados:
aiplatform.googleapis.com/Datasetbigquery.googleapis.com/Datasetsqladmin.googleapis.com/Instancestorage.googleapis.com/Bucket
Categorias de resultados compatíveis
As simulações de caminhos de ataque geram classificações de exposição a ataques e caminhos de ataque apenas para as categorias de resultados do Security Command Center dos serviços de deteção do Security Command Center indicados nesta secção.
Resultados do motor de análise do risco
As categorias de resultados de combinação tóxica e gargalo geradas pelo motor de risco suportam as classificações de exposição a ataques.
Avaliação de vulnerabilidades para as descobertas de Google Cloud
As simulações de caminho de ataque suportam as seguintes categorias de resultados da avaliação de vulnerabilidades para Google Cloud:
GCE OS vulnerabilityGCE Software vulnerabilityGKE OS vulnerabilityGKE Software vulnerability
Resultados da postura de segurança do GKE
As simulações de caminhos de anexação suportam as seguintes categorias de resultados da postura de segurança do GKE:
GKE runtime OS vulnerability
Conclusões do Mandiant Attack Surface Management
As simulações de caminhos de ataque suportam as seguintes categorias de resultados do Mandiant Attack Surface Management:
Software vulnerability
Resultados do VM Manager
A OS Vulnerabilitycategoria de resultados gerada pelo
VM Manager
suporta pontuações de exposição a ataques.
Apoio técnico de notificações do Pub/Sub
Não é possível usar as alterações às pontuações de exposição a ataques como acionador para notificações para o Pub/Sub.
Além disso, as conclusões enviadas para o Pub/Sub quando são criadas não incluem uma pontuação de exposição a ataques porque são enviadas antes de ser possível calcular uma pontuação.
Apoio técnico da AWS
O Security Command Center pode calcular pontuações de exposição a ataques e visualizações de caminhos de ataque para os seus recursos na AWS.
Serviços AWS suportados pelo motor de análise do risco
As simulações podem incluir os seguintes serviços da AWS:
- Gestão de identidade e de acesso (IAM)
- Security Token Service (STS)
- Simple Storage Service (S3)
- Firewall de app Web (WAFv2)
- Elastic Compute Cloud (EC2)
- Elastic Load Balancing (ELB e ELBv2)
- Relational Database Service (RDS)
- Key Management Service (KMS)
- Elastic Container Registry (ECR)
- Elastic Container Service (ECS)
- ApiGateway e ApiGatewayv2
- Organizações (serviço de gestão de contas)
- CloudFront
- AutoScaling
- Lambda
- DynamoDB
Tipos de recursos da AWS suportados em conjuntos de recursos de elevado valor
Só pode adicionar os seguintes tipos de recursos da AWS a um conjunto de recursos de alto valor:
- Tabela do DynamoDB
- Instância EC2
- Função LAMBDA
- RDS DBCluster
- RDS DBInstance
- Contentor do S3
Tipos de recursos da AWS suportados com classificações de sensibilidade dos dados
As simulações de caminhos de ataque podem definir automaticamente valores de prioridade com base nas classificações de sensibilidade dos dados da descoberta da proteção de dados confidenciais apenas para os seguintes tipos de recursos de dados da AWS:
- Contentor do Amazon S3
Encontrar apoio técnico no Security Health Analytics para AWS
O motor de risco fornece pontuações e visualizações do caminho de ataque para as seguintes categorias de resultados da análise de estado de segurança:
- Chaves de acesso com rotação 90 dias menos
- Credenciais não usadas há mais de 45 dias desativadas
- O grupo de segurança predefinido da VPC restringe todo o tráfego
- Instância do EC2 sem IP público
- Política de palavras-passe do IAM
- A política de palavras-passe do IAM impede a reutilização de palavras-passe
- A política de palavras-passe do IAM requer um comprimento mínimo de 14 carateres
- Verificação de credenciais não usadas de utilizadores do IAM
- Os utilizadores do IAM recebem grupos de autorizações
- CMK do KMS não agendada para eliminação
- Contentores S3 com eliminação de MFA ativada
- Conta de utilizador de raiz com MFA ativada
- Autenticação multifator (MFA) ativada para todos os utilizadores da IAM na consola
- Não existe nenhuma chave de acesso da conta de utilizador raiz
- Nenhum grupo de segurança permite a administração do servidor remoto de entrada 0
- Nenhum grupo de segurança permite a administração do servidor remoto 0.0.0.0
- Uma chave de acesso ativa disponível para qualquer utilizador do IAM
- Acesso público concedido à instância do RDS
- Portas comuns restritas
- SSH restrito
- Rotação de CMKs ativada para cliente criado
- Rotation customer created symmetric CMKS enabled
- Os contentores do S3 configurados bloqueiam as definições de acesso público do contentor
- A política do contentor do S3 está definida para negar pedidos HTTP
- KMS de encriptação predefinida do S3
- Grupo de segurança predefinido da VPC fechado
Avaliação de vulnerabilidades para resultados do Amazon Web Services
A categoria de resultados Software vulnerabilitygerada pela
avaliação de vulnerabilidades do EC2
suporta pontuações de exposição a ataques.
Apoio técnico do Azure
O motor de risco pode gerar pontuações de exposição a ataques e visualizações de caminhos de ataque para os seus recursos no Microsoft Azure.
Depois de estabelecer uma ligação ao Azure, pode designar recursos de elevado valor do Azure criando configurações de valor de recursos, tal como faria para recursos no Google Cloud e na AWS. Para ver instruções, consulte a secção Defina e faça a gestão do seu conjunto de recursos de elevado valor.
Antes de criar a primeira configuração de valor de recurso para o Azure, o Security Command Center usa um conjunto de recursos de elevado valor predefinido específico do fornecedor de serviços na nuvem.
O Security Command Center executa simulações para uma plataforma na nuvem que são independentes das simulações executadas para outras plataformas na nuvem.
Serviços do Azure suportados pelo motor de análise do risco
As simulações de caminho de ataque podem incluir os seguintes serviços do Azure:
- App Service
- Azure Kubernetes Service (AKS)
- Rede virtual
- Container Registry
- Cosmos DB
- Funções
- Key Vault
- Base de dados MySQL
- Grupos de segurança de rede
- Base de dados PostgreSQL
- Controlo de acesso baseado em funções (CABF)
- Autocarro de serviço
- Base de dados SQL
- Conta de armazenamento
- Conjuntos de dimensionamento de máquinas virtuais
- Máquinas virtuais
Tipos de recursos do Azure que pode especificar em conjuntos de recursos de elevado valor
Só pode adicionar os seguintes tipos de recursos do Azure a um conjunto de recursos de alto valor:
- Microsoft.Compute/virtualMachines
- VM do Linux
- VM do Windows
- Microsoft.ContainerService/managedClusters
- Cluster do Kubernetes
- Microsoft.DBforMySQL/flexibleServers/databases
- Base de dados MySQL
- Microsoft.DBforPostgreSQL/flexibleServers/databases
- Base de dados PostgreSQL
- Microsoft.DocumentDB/databaseAccounts
- Conta do Cosmos DB
- Microsoft.Sql/servers/databases
- Base de dados SQL
- Microsoft.Storage/storageAccounts
- Conta de armazenamento
- Microsoft.Web/sites
- App Service
- App de funções
Recursos do Azure incluídos no conjunto de recursos de elevado valor predefinido
Seguem-se os recursos incluídos no conjunto de recursos de elevado valor predefinido:
- Microsoft.Compute/virtualMachines
- VM do Linux
- VM do Windows
- Microsoft.DBforPostgreSQL/flexibleServers/databases
- Base de dados PostgreSQL
- Microsoft.DBforMySQL/flexibleServers/databases
- Base de dados MySQL
- Microsoft.DocumentDB/databaseAccounts
- Conta do Cosmos DB
- Microsoft.Sql/servers/databases
- Base de dados SQL
- Microsoft.Storage/storageAccounts
- Conta de armazenamento
- Microsoft.Web/sites
- App Service
- App de funções