Questa pagina fornisce una panoramica del processo di attivazione che viene eseguito quando abiliti Security Command Center. Punta a rispondere a domande comuni:
- Cosa succede quando Security Command Center è abilitato?
- Perché c'è un ritardo prima dell'avvio delle prime scansioni?
- Qual è il runtime previsto per le prime analisi e quelle in corso?
- In che modo la modifica delle risorse e delle impostazioni influirà sul rendimento?
Panoramica
Quando abiliti Security Command Center per la prima volta, è necessario completare un processo di attivazione prima che Security Command Center possa iniziare a scansionare le tue risorse. Le scansioni devono essere completate prima di visualizzare un set completo di risultati per il tuo ambiente Google Cloud.
Il tempo necessario per il completamento del processo di attivazione e delle analisi dipende da una serie di fattori, tra cui il numero di asset e risorse nel tuo ambiente e se Security Command Center è attivato a livello di organizzazione o a livello di progetto.
Con le attivazioni a livello di organizzazione, Security Command Center deve ripetere determinati passaggi del processo di attivazione per ogni progetto nell'organizzazione. A seconda del numero di progetti in un'organizzazione, il tempo necessario per il processo di attivazione può variare da minuti a ore. Per le organizzazioni con più di 100.000 progetti, molte risorse in ogni progetto e altri fattori di complicazione, l'abilitazione e le scansioni iniziali possono richiedere fino a 24 ore o più per essere completate.
Con le attivazioni a livello di progetto di Security Command Center, il processo di attivazione è molto più rapido, perché è limitato al singolo progetto in cui è attivato Security Command Center.
Nelle sezioni seguenti sono discussi i fattori che possono introdurre latenza nell'avvio delle scansioni, nell'elaborazione delle modifiche alle impostazioni e nel runtime delle scansioni.
Topologia
La figura seguente fornisce un'illustrazione generale del processo di onboarding e abilitazione.
Latenza nell'onboarding
Prima di avviare le analisi, Security Command Center rileva e indicizza le tue risorse.
I servizi indicizzati includono App Engine, BigQuery, Cloud SQL, Cloud Storage, Compute Engine, Identity and Access Management e Google Kubernetes Engine.
Per le attivazioni a livello di progetto di Security Command Center, il rilevamento e l'indicizzazione sono limitati al singolo progetto in cui è attivato Security Command Center.
Per le attivazioni a livello di organizzazione, Security Command Center rileva e indicizza le risorse in tutta l'organizzazione.
Durante questo processo di onboarding, si verificano due passaggi fondamentali.
Scansione asset
Security Command Center esegue una scansione iniziale degli asset per identificare numero totale, località e stato di progetti, cartelle, file, cluster, identità, criteri di accesso, utenti registrati e altre risorse. Questa procedura di solito viene completata in pochi minuti.
Attivazione API
Man mano che vengono rilevate le risorse, Security Command Center abilita le parti di Google Cloud necessarie al funzionamento di Security Health Analytics, Event Threat Detection, Container Threat Detection e Web Security Scanner. Per funzionare, alcuni servizi di rilevamento richiedono l'abilitazione di API specifiche nei progetti protetti.
Quando attivi Security Command Center a livello di progetto, l'attivazione dell'API di solito richiede meno di un minuto.
Con le attivazioni a livello di organizzazione, Security Command Center esegue l'iterazione di tutti i progetti selezionati per l'analisi per abilitare le API necessarie.
Il numero di progetti in un'organizzazione determina in gran parte la durata dei processi di onboarding e abilitazione. Poiché le API devono essere attivate per i progetti una per una, l'attivazione delle API è in genere l'attività che richiede più tempo, in particolare per le organizzazioni con oltre 100.000 progetti.
Il tempo necessario per abilitare i servizi nei vari progetti viene scalato in modo lineare. Ciò significa che, in genere, l'abilitazione dei servizi e delle impostazioni di sicurezza richiede il doppio del tempo in un'organizzazione con 30.000 progetti rispetto a una con 15.000 progetti.
Per un'organizzazione con 100.000 progetti, l'onboarding e l'abilitazione del livello Premium devono essere completati in meno di cinque ore. Il tempo necessario può variare in base a molti fattori, tra cui il numero di progetti o container in uso e il numero di servizi di Security Command Center che scegli di abilitare.
Latenza scansione
Quando configuri Security Command Center, scegli i servizi integrati e integrati da abilitare e seleziona le risorse Google Cloud che vuoi che vengano analizzate o scansionate per individuare minacce e vulnerabilità. Quando le API vengono attivate per i progetti, i servizi selezionati iniziano le analisi. La durata di queste analisi dipende anche dal numero di progetti in un'organizzazione.
I risultati dei servizi integrati sono disponibili al termine delle scansioni iniziali. La latenza dei servizi è descritta di seguito.
- Container Threat Detection ha le seguenti latenze:
- Latenza di attivazione fino a 3,5 ore per le organizzazioni o i progetti con onboarding di recente onboarding.
- Latenza di attivazione pari a minuti per i cluster appena creati.
- Latenza di rilevamento di minuti per le minacce nei cluster che sono state attivate.
L'attivazione di Event Threat Detection avviene in pochi secondi per i rilevatori integrati. Per i rilevatori personalizzati nuovi o aggiornati, l'applicazione delle modifiche può richiedere fino a 15 minuti. In pratica, ci vogliono meno di 5 minuti.
Per i rilevatori integrati e personalizzati, le latenze di rilevamento sono generalmente inferiori a 15 minuti, dal momento della scrittura di un log a quando un risultato è disponibile in Security Command Center.
Le analisi di Security Health Analytics vengono avviate circa un'ora dopo l'abilitazione del servizio. Il completamento delle prime analisi di Security Health Analytics può richiedere fino a 12 ore. Dopodiché, la maggior parte dei rilevamenti viene eseguita in tempo reale rispetto alle modifiche alla configurazione degli asset (le eccezioni sono descritte in dettaglio in Latenza di rilevamento di Security Health Analytics).
VM Threat Detection ha una latenza di attivazione fino a 48 ore per le organizzazioni che hanno eseguito l'onboarding di recente. Per i progetti, la latenza di attivazione è fino a 15 minuti.
Valutazione delle vulnerabilità per Amazon Web Services (AWS) avvia la scansione delle risorse in un account AWS circa 15 minuti dopo il primo deployment nell'account del modello CloudFormation richiesto. Quando viene rilevata una vulnerabilità del software nell'account AWS, il risultato corrispondente diventa disponibile in Security Command Center circa 10 minuti dopo.
Il tempo necessario per completare una scansione dipende dal numero di istanze EC2. In genere, la scansione di una singola istanza EC2 richiede meno di 5 minuti.
L'avvio delle scansioni di Web Security Scanner può richiedere fino a 24 ore dopo l'abilitazione del servizio e l'esecuzione settimanale dopo la prima scansione.
Security Command Center esegue i rilevatori di errori, che rilevano gli errori di configurazione relativi a Security Command Center e ai suoi servizi. Questi rilevatori di errori sono attivati per impostazione predefinita e non possono essere disattivati. Le latenze di rilevamento variano in base al rilevatore di errori. Per maggiori informazioni, consulta Errori di Security Command Center.
I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, cartella o progetto. La possibilità di visualizzare, modificare, creare o aggiornare risultati, asset e origini di sicurezza dipende dal livello a cui ti viene concesso l'accesso. Per scoprire di più sui ruoli di Security Command Center, consulta Controllo dell'accesso.
Risultati preliminari
Potresti vedere alcuni risultati nella console Google Cloud durante l'esecuzione delle scansioni iniziali, ma prima del completamento del processo di onboarding.
I risultati preliminari sono accurati e strategici, ma non sono completi. Non è consigliabile utilizzare questi risultati per una valutazione di conformità entro le prime 24 ore.
Scansioni successive
Le modifiche apportate all'interno dell'organizzazione o del progetto, ad esempio lo spostamento di risorse o, per le attivazioni a livello di organizzazione, l'aggiunta di nuove cartelle e progetti, di solito non influiscono in modo significativo sui tempi di rilevamento delle risorse o sul runtime delle analisi. Tuttavia, alcune analisi vengono eseguite in base a pianificazioni predefinite, che determinano la velocità con cui Security Command Center rileva le modifiche.
- Event Threat Detection e Container Threat Detection: questi servizi vengono eseguiti in tempo reale quando sono attivati e rilevano immediatamente risorse nuove o modificate, come cluster, bucket o log, nei progetti abilitati.
- Rapid Vulnerability Detection esegue analisi successive ogni settimana dalla data della prima scansione. Se vengono aggiunte nuove risorse ai progetti tra le analisi, eventuali vulnerabilità non vengono rilevate fino alla scansione successiva.
- Security Health Analytics: Security Health Analytics viene eseguito in tempo reale quando è attivato e rileva risorse nuove o modificate in pochi minuti, esclusi i rilevamenti elencati di seguito.
- VM Threat Detection: per la scansione della memoria, VM Threat Detection analizza ogni istanza VM
immediatamente dopo la creazione
dell'istanza. Inoltre, VM Threat Detection analizza ogni istanza VM ogni 30 minuti.
- Per il rilevamento del mining di criptovaluta, VM Threat Detection genera un risultato per processo, per VM, al giorno. Ogni risultato include solo le minacce associate al processo identificato dal risultato. Se VM Threat Detection trova minacce ma non riesce ad associarle ad alcun processo, per ogni VM, VM Threat Detection raggruppa tutte le minacce non associate in un unico risultato che emette una volta ogni 24 ore. Per qualsiasi minaccia che persiste per più di 24 ore, VM Threat Detection genera nuovi risultati una volta ogni 24 ore.
- Per il rilevamento del rootkit in modalità kernel, in anteprima, VM Threat Detection genera un risultato per categoria, per VM, ogni tre giorni.
Per la scansione disco permanente, che rileva la presenza di malware noto, VM Threat Detection analizza ogni istanza VM almeno una volta al giorno.
Valutazione delle vulnerabilità per AWS esegue scansioni tre volte al giorno.
Il tempo necessario per completare una scansione dipende dal numero di istanze EC2. In genere, la scansione di una singola istanza EC2 richiede meno di 5 minuti.
Quando viene rilevata una vulnerabilità del software in un account AWS, il risultato corrispondente diventa disponibile in Security Command Center circa 10 minuti dopo.
Web Security Scanner: Web Security Scanner viene eseguito ogni settimana, lo stesso giorno della scansione iniziale. Poiché viene eseguito ogni settimana, Web Security Scanner non rileva le modifiche in tempo reale. Se sposti una risorsa o modifichi un'applicazione, la modifica potrebbe non essere rilevata per un massimo di una settimana. Puoi eseguire scansioni on demand per controllare risorse nuove o modificate tra le analisi pianificate.
I rilevatori di errori di Security Command Center vengono eseguiti periodicamente in modalità batch. Le frequenze di scansione in batch variano a seconda del rilevatore di errori. Per maggiori informazioni, consulta la pagina Errori di Security Command Center.
Latenza di rilevamento di Security Health Analytics
I rilevamenti di Security Health Analytics vengono eseguiti periodicamente in modalità batch dopo l'abilitazione del servizio, nonché quando la configurazione di un asset correlato cambia. Una volta abilitato Security Health Analytics, qualsiasi modifica pertinente alla configurazione delle risorse genererà risultati aggiornati per gli errori di configurazione. In alcuni casi, gli aggiornamenti potrebbero richiedere diversi minuti, a seconda del tipo di asset e della modifica.
Alcuni rilevatori di Security Health Analytics non supportano la modalità di scansione immediata se, ad esempio, un rilevamento viene eseguito su informazioni esterne alla configurazione di una risorsa. Questi rilevamenti, elencati nella tabella seguente, vengono eseguiti periodicamente e identificano gli errori di configurazione entro 12 ore. Per ulteriori dettagli sui rilevatori di Security Health Analytics, consulta Vulnerabilità e risultati.
| Rilevamenti di Security Health Analytics che non supportano la modalità di scansione in tempo reale |
|---|
| COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
| MFA_NOT_ENFORCED (precedentemente denominata 2SV_NOT_ENFORCED) |
| OS_LOGIN_DISABLED |
| SQL_NO_ROOT_PASSWORD |
| SQL_WEAK_ROOT_PASSWORD |
Simulazioni del percorso di attacco
Le simulazioni del percorso di attacco vengono eseguite ogni sei ore circa. Man mano che la tua organizzazione Google Cloud aumenta in dimensioni o complessità, il tempo tra gli intervalli può aumentare.
Alla prima attivazione di Security Command Center, le simulazioni dei percorsi di attacco utilizzano un set di risorse predefinito di alto valore, che include tutti i tipi di risorse supportati nella tua organizzazione.
Quando inizi a definire il tuo set di risorse di alto valore creando una configurazione per il valore delle risorse, potresti notare un calo del tempo tra gli intervalli di simulazione se il numero di istanze di risorse nel set di risorse di alto valore è notevolmente inferiore al set predefinito.
Passaggi successivi
- Scopri di più sull'utilizzo di Security Command Center nella console Google Cloud.
- Scopri di più sui servizi di rilevamento.