En esta página, se describen los servicios y los resultados que admite la función del motor de riesgos de Security Command Center, así como los límites de compatibilidad a los que está sujeta.
El motor de riesgo genera puntuaciones de exposición a ataques y simulaciones de rutas de ataque para lo siguiente:
- Categorías de resultados compatibles en las clases de resultados
VulnerabilityyMisconfiguration - Se encontraron
Toxic combinationincumplimientos de la clase. - Instancias de recursos de los tipos de recursos admitidos que designes como de valor alto Para obtener más información, consulta Tipos de recursos admitidos en conjuntos de recursos de alto valor.
Security Command Center puede proporcionar puntuaciones de exposición a ataques y visualizaciones de rutas de ataque para varias plataformas de proveedores de servicios en la nube. La compatibilidad con los detectores difiere para cada proveedor de servicios en la nube. Risk Engine depende de detectores de vulnerabilidades y parámetros de configuración incorrectos que son específicos de cada proveedor de servicios en la nube. En las siguientes secciones, se describe el alcance de la compatibilidad de cada una.
Solo asistencia a nivel de la organización
Las simulaciones de rutas de ataque que usa Risk Engine para generar las puntuaciones de exposición a ataques y las rutas de ataque requieren que Security Command Center esté activado a nivel de la organización. Las simulaciones de rutas de ataque no son compatibles con las activaciones a nivel del proyecto de Security Command Center.
Para ver las trayectorias de ataque, la Google Cloud vista de la consola debe estar configurada para tu organización. Si seleccionas una vista de proyecto o carpeta en la consola deGoogle Cloud , puedes ver las puntuaciones de exposición a ataques, pero no puedes ver las rutas de ataque.
Además, los permisos de IAM que los usuarios necesitan para ver las rutas de ataque deben otorgarse a nivel de la organización. Como mínimo, los usuarios deben tener el permiso securitycenter.attackpaths.list en un rol otorgado a nivel de la organización. El rol predefinido de IAM con menos permisos que contiene este permiso es Security Center Attack Paths Reader (securitycenter.attackPathsViewer).
Para ver otros roles que contienen este permiso, consulta la referencia de roles básicos y predefinidos de IAM.
Límites de tamaño para organizaciones
En el caso de las simulaciones de rutas de ataque, el motor de riesgo limita la cantidad de activos activos y resultados activos que puede contener una organización.
Si una organización supera los límites que se muestran en la siguiente tabla, no se ejecutarán las simulaciones de las rutas de ataque.
| Tipo de límite | Límite de uso |
|---|---|
| Cantidad máxima de resultados activos | 250,000,000 |
| Cantidad máxima de activos activos | 26,000,000 |
Si los recursos o los hallazgos, o ambos, de tu organización se acercan a estos límites o los superan, comunícate con Atención al cliente de Cloud para solicitar una evaluación de tu organización y un posible aumento.
Límites de los conjuntos de recursos de alto valor
Un conjunto de recursos de alto valor solo admite ciertos tipos de recursos y puede contener solo una cantidad determinada de instancias de recursos.
Un conjunto de recursos de alto valor para una plataforma de proveedor de servicios en la nube puede contener hasta 1,000 instancias de recursos.
Puedes crear hasta 100 configuraciones de valores de recursos por organización en Google Cloud.
Compatibilidad con la interfaz de usuario
Puedes trabajar con las puntuaciones de exposición a ataques en la consola de Google Cloud , la consola de Security Operations o la API de Security Command Center.
Puedes trabajar con puntuaciones de exposición a ataques y rutas de ataque para casos de combinaciones tóxicas solo en la consola de Security Operations.
Puedes crear parámetros de configuración de valor de recursos solo en la pestaña Simulación de rutas de ataque de la página Configuración de Security Command Center en la consola de Google Cloud .
Compatibilidad deGoogle Cloud
En las siguientes secciones, se describe la compatibilidad de Risk Engine con Google Cloud.
Servicios deGoogle Cloud compatibles con el motor de riesgo
Las simulaciones que ejecuta Risk Engine pueden incluir los siguientes servicios de Google Cloud :
- Artifact Registry
- BigQuery
- Funciones de Cloud Run
- Cloud Key Management Service
- Cloud Load Balancing
- Cloud NAT
- Cloud Router
- Cloud SQL
- Cloud Storage
- Compute Engine
- Identity and Access Management
- Google Kubernetes Engine
- Nube privada virtual, incluidas las subredes y la configuración de firewall
- Resource Manager
Google Cloud tipos de recursos admitidos en conjuntos de recursos de alto valor
Solo puedes agregar los siguientes tipos de Google Cloud recursos a un conjunto de recursos de alto valor:
aiplatform.googleapis.com/Datasetaiplatform.googleapis.com/Featurestoreaiplatform.googleapis.com/MetadataStoreaiplatform.googleapis.com/Modelaiplatform.googleapis.com/TrainingPipeline
bigquery.googleapis.com/Datasetcloudfunctions.googleapis.com/CloudFunctioncompute.googleapis.com/Instancecontainer.googleapis.com/Clusterspanner.googleapis.com/Instancesqladmin.googleapis.com/Instancestorage.googleapis.com/Bucket
Google Cloud Tipos de recursos compatibles con las clasificaciones de sensibilidad de los datos
Las simulaciones de rutas de ataque pueden establecer automáticamente valores de prioridad basados en las clasificaciones de sensibilidad de los datos del descubrimiento de Sensitive Data Protection solo para los siguientes tipos de recursos de datos:
aiplatform.googleapis.com/Datasetbigquery.googleapis.com/Datasetsqladmin.googleapis.com/Instancestorage.googleapis.com/Bucket
Categorías de hallazgos compatibles
Las simulaciones de rutas de ataque generan puntuaciones de exposición a ataques y rutas de ataque solo para las categorías de resultados de Security Command Center de los servicios de detección de Security Command Center que se enumeran en esta sección.
Hallazgos de la postura de seguridad de GKE
Las siguientes categorías de resultados de la postura de seguridad de GKE son compatibles con las simulaciones de las rutas de ataque:
- Vulnerabilidad del SO del entorno de ejecución de GKE
Hallazgos de la administración de la superficie de ataque de Mandiant
Las siguientes categorías de resultados de Administración de la superficie de ataque de Mandiant son compatibles con las simulaciones de ruta de ataque:
- Vulnerabilidad de software
Resultados del motor de riesgo
La categoría de resultados Toxic combination que genera el motor de riesgo admite puntuaciones de exposición a ataques.
Resultados de VM Manager
La categoría de resultados OS Vulnerability que genera VM Manager admite puntuaciones de exposición a ataques.
Compatibilidad con notificaciones de Pub/Sub
Los cambios en las puntuaciones de exposición a ataques no se pueden usar como activador para las notificaciones a Pub/Sub.
Además, los resultados que se envían a Pub/Sub cuando se crean no incluyen una puntuación de exposición a ataques porque se envían antes de que se pueda calcular una puntuación.
Asistencia de AWS
Security Command Center puede calcular las puntuaciones de exposición a ataques y las visualizaciones de rutas de ataque para tus recursos en AWS.
Servicios de AWS compatibles con el motor de riesgo
Las simulaciones pueden incluir los siguientes servicios de AWS:
- Identity and Access Management (IAM)
- Servicio de tokens de seguridad (STS)
- Simple Storage Service (S3)
- Firewall de aplicaciones web (WAFv2)
- Elastic Compute Cloud (EC2)
- Elastic Load Balancing (ELB y ELBv2)
- Servicio de base de datos relacional (RDS)
- Servicio de administración de claves (KMS)
- Elastic Container Registry (ECR)
- Elastic Container Service (ECS)
- ApiGateway y ApiGatewayv2
- Organizaciones (servicio de administración de cuentas)
- CloudFront
- AutoScaling
- Lambda
- DynamoDB
Tipos de recursos de AWS admitidos en conjuntos de recursos de alto valor
Solo puedes agregar los siguientes tipos de recursos de AWS a un conjunto de recursos de alto valor:
- Tabla de DynamoDB
- Instancia de EC2
- Función Lambda
- RDS DBCluster
- RDS DBInstance
- Bucket de S3
Tipos de recursos de AWS compatibles con clasificaciones de sensibilidad de los datos
Las simulaciones de rutas de ataque pueden establecer automáticamente valores de prioridad basados en las clasificaciones de sensibilidad de los datos del descubrimiento de Sensitive Data Protection solo para los siguientes tipos de recursos de datos de AWS:
- Bucket de Amazon S3
Cómo obtener asistencia en las estadísticas de estado de seguridad para AWS
Risk Engine proporciona puntuaciones y visualizaciones de las rutas de ataque para las siguientes categorías de resultados de Security Health Analytics:
- Claves de acceso rotadas con 90 días de menos
- Credenciales sin usar durante más de 45 días inhabilitadas
- La VPC del grupo de seguridad predeterminado restringe todo el tráfico
- Instancia de EC2 sin IP pública
- Política de contraseñas de IAM
- La política de contraseñas de IAM evita la reutilización de contraseñas
- La política de contraseñas de IAM requiere una longitud mínima de 14 caracteres
- Verificación de credenciales sin utilizar de usuarios de IAM
- Los usuarios de IAM reciben grupos de permisos
- La CMK de KMS no está programada para su eliminación
- Eliminación de MFA habilitada en los buckets de S3
- Cuenta de usuario raíz con MFA habilitada
- Autenticación de varios factores MFA habilitada para todas las consolas de usuarios de IAM
- No existe una clave de acceso de la cuenta de usuario raíz
- Ausencia de un grupo de seguridad que permita entradas de 0 para la administración del servidor remoto
- Ausencia de un grupo de seguridad que permita entradas de 0 0 0 0 para la administración del servidor remoto
- Una clave de acceso activa disponible para cada usuario de IAM
- Acceso público otorgado a una instancia de RDS
- Puertos comunes restringidos
- SSH restringido
- Rotación habilitada para los CMK creados por el cliente
- Rotación habilitada para los CMK simétricos creados por el cliente
- Buckets de S3 configurados con el bloqueo de acceso público
- Política de buckets de S3 configurada para rechazar solicitudes HTTP
- KMS de encriptación predeterminada de S3
- Grupo de seguridad predeterminado de la VPC cerrado
Resultados de la evaluación de vulnerabilidades de Amazon Web Services
La categoría de resultados Software vulnerability que genera la Evaluación de vulnerabilidades de EC2 admite puntuaciones de exposición a ataques.
Asistencia de Azure
Risk Engine puede generar puntuaciones de exposición a ataques y visualizaciones de rutas de ataque para tus recursos en Microsoft Azure.
Después de establecer una conexión con Azure, puedes designar recursos de alto valor de Azure creando configuraciones de valor de recursos, como lo harías con los recursos de Google Cloud y AWS. Para obtener instrucciones, consulta la sección Define y administra tu conjunto de recursos de alto valor.
Antes de crear tu primera configuración de valor de recurso para Azure, Security Command Center usa un conjunto de recursos de alto valor predeterminado que es específico del proveedor de servicios en la nube.
Security Command Center ejecuta simulaciones para una plataforma de nube que son independientes de las simulaciones que se ejecutan para otras plataformas de nube.
Servicios de Azure compatibles con el motor de riesgos
Las simulaciones de rutas de ataque pueden incluir los siguientes servicios de Azure:
- Servicio de apps
- Azure Kubernetes Service (AKS)
- Red virtual
- Container Registry
- Cosmos DB
- Funciones
- Bóveda de claves
- la base de datos de MySQL
- Grupos de seguridad de red
- Base de datos de PostgreSQL
- Control de acceso basado en roles (RBAC)
- Service Bus
- SQL Database
- Cuenta de almacenamiento
- Conjuntos de escalamiento de máquinas virtuales
- Máquinas virtuales
Tipos de recursos de Azure que puedes especificar en conjuntos de recursos de alto valor
Solo puedes agregar los siguientes tipos de recursos de Azure a un conjunto de recursos de alto valor:
- Microsoft.Compute/virtualMachines
- VM de Linux
- VM de Windows
- Microsoft.ContainerService/managedClusters
- Clúster de Kubernetes
- Microsoft.DBforMySQL/flexibleServers/databases
- Base de datos de MySQL
- Microsoft.DBforPostgreSQL/flexibleServers/databases
- Base de datos de PostgreSQL
- Microsoft.DocumentDB/databaseAccounts
- Cuenta de Cosmos DB
- Microsoft.Sql/servers/databases
- SQL Database
- Microsoft.Storage/storageAccounts
- Cuenta de almacenamiento
- Microsoft.Web/sites
- Servicio de apps
- App de funciones
Recursos de Azure incluidos en el conjunto de recursos de alto valor predeterminado
Los siguientes son recursos incluidos en el conjunto de recursos de alto valor predeterminado:
- Microsoft.Compute/virtualMachines
- VM de Linux
- VM de Windows
- Microsoft.DBforPostgreSQL/flexibleServers/databases
- Base de datos de PostgreSQL
- Microsoft.DBforMySQL/flexibleServers/databases
- Base de datos de MySQL
- Microsoft.DocumentDB/databaseAccounts
- Cuenta de Cosmos DB
- Microsoft.Sql/servers/databases
- SQL Database
- Microsoft.Storage/storageAccounts
- Cuenta de almacenamiento
- Microsoft.Web/sites
- Servicio de apps
- App de funciones