Questa pagina fornisce una panoramica della procedura di attivazione che avviene quando attivi Security Command Center. Punta a rispondere a domande comuni domande:
- Cosa succede quando Security Command Center è attivato?
- Perché c'è un ritardo prima dell'avvio delle prime scansioni?
- Qual è il runtime previsto per le prime analisi e quelle in corso?
- In che modo la modifica delle risorse e delle impostazioni influirà sul rendimento?
Panoramica
Quando attivi Security Command Center per la prima volta, deve essere completata una procedura di attivazione prima che Security Command Center possa iniziare a eseguire la scansione delle risorse. Le scansioni devono essere completate prima che tu possa visualizzare un insieme completo di risultati per il tuo ambiente Google Cloud.
Il tempo necessario per completare la procedura di attivazione e le analisi dipende da una serie di fattori, tra cui il numero di asset e risorse nel tuo ambiente e se Security Command Center è attivato a livello di organizzazione o a livello di progetto.
Con le attivazioni a livello di organizzazione, Security Command Center deve ripetere alcuni passaggi del processo di attivazione per ogni progetto dell'organizzazione. A seconda del numero di progetti in un'organizzazione, il tempo necessario per la procedura di attivazione può variare da alcuni minuti a diverse ore. Per le organizzazioni con più di 100.000 progetti, molte risorse in ogni progetto e altri fattori complicativi, l'abilitazione e le scansioni iniziali possono richiedere fino a 24 ore o più.
Con le attivazioni di Security Command Center a livello di progetto, il processo di attivazione è molto più rapido, in quanto è limitato al singolo progetto in cui è attivato Security Command Center.
I fattori che possono introdurre latenza nell'avvio delle analisi, nell'elaborazione delle modifiche alle impostazioni e nel tempo di esecuzione delle analisi sono descritti nelle sezioni seguenti.
Topologia
La figura seguente fornisce un'illustrazione generale dell'onboarding e di abilitazione dei container.
Latenza durante l'onboarding
Prima di avviare le analisi, Security Command Center rileva e indicizza le tue risorse.
I servizi indicizzati includono App Engine, BigQuery, Cloud SQL, Cloud Storage, Compute Engine, Identity and Access Management e Google Kubernetes Engine.
Per le attivazioni di Security Command Center a livello di progetto, il rilevamento e l'indicizzazione sono limitati al singolo progetto in cui è attivato Security Command Center.
Per le attivazioni a livello di organizzazione, Security Command Center rileva e indicizza le risorse in tutta l'organizzazione.
Durante questo processo di onboarding, vengono eseguiti due passaggi fondamentali.
Scansione degli asset
Security Command Center esegue una scansione iniziale degli asset per identificare il numero totale, la posizione e lo stato di progetti, cartelle, file, cluster, identità, criteri di accesso, utenti registrati e altre risorse. Questa procedura di solito viene completata in pochi minuti.
Attivazione API
Man mano che le risorse vengono rilevate, Security Command Center attiva le parti di Google Cloud necessarie per il funzionamento di Security Health Analytics, Event Threat Detection, Container Threat Detection e Web Security Scanner. Per funzionare, alcuni servizi di rilevamento richiedono l'attivazione di API specifiche nei progetti protetti.
Quando attivi Security Command Center a livello di progetto, l'attivazione delle API richiede in genere meno di un minuto.
Con le attivazioni a livello di organizzazione, Security Command Center esegue l'iterazione di tutti i progetti selezionati per la scansione al fine di abilitare le API necessarie.
Il numero di progetti in un'organizzazione determina in gran parte la lunghezza processi di onboarding e abilitazione. Poiché le API devono essere attivate per i progetti singolarmente, l'attivazione delle API è in genere l'attività più dispendiosa in termini di tempo, in particolare per le organizzazioni con più di 100.000 progetti.
Il tempo necessario per attivare i servizi nei vari progetti è proporzionale al numero di progetti. Questo significa che generalmente occorre il doppio del tempo per abilitare servizi e in un'organizzazione con 30.000 progetti rispetto a una con 15.000 progetti.
Per un'organizzazione con 100.000 progetti, l'onboarding e l'attivazione del livello Premium dovrebbero essere completati in meno di cinque ore. Il tuo tempo può variano in base a molti fattori, tra cui il numero di progetti o container che stai utilizzando e il numero di servizi di Security Command Center che utilizzi attivare.
Latenza scansione
Quando configuri Security Command Center, sei tu a decidere quali soluzioni integrate abilitare i servizi Google Cloud e selezionare le risorse Google Cloud che vuoi hanno analizzato, o analizzato, alla ricerca di minacce e vulnerabilità. Quando le API vengono attivate per i progetti, i servizi selezionati avviano le scansioni. La durata di Queste analisi dipendono anche dal numero di progetti in un'organizzazione.
I risultati dei servizi integrati sono disponibili al termine delle scansioni iniziali. La latenza dei servizi è descritta di seguito.
- Container Threat Detection ha le seguenti latenze:
- Latenza di attivazione fino a 3,5 ore per progetti o organizzazioni appena integrati.
- Latenza di attivazione pari a minuti per i cluster appena creati.
- Latenza di rilevamento di alcuni minuti per le minacce nei cluster che sono stati attivati.
L'attivazione di Event Threat Detection avviene in pochi secondi per rilevatori. Per i rilevatori personalizzati nuovi o aggiornati, possono essere necessari fino a 15 minuti per applicare le modifiche. In pratica, in genere sono necessari meno di 5 minuti.
Per i rilevatori integrati e personalizzati, le latenze di rilevamento sono in genere inferiori a 15 minuti, dal momento in cui viene scritto un log fino al momento in cui un risultato è disponibile in Security Command Center.
Le analisi di Security Health Analytics iniziano circa un'ora dopo l'attivazione del servizio. Il completamento delle prime scansioni di Security Health Analytics può richiedere fino a 12 ore. In seguito, la maggior parte dei rilevamenti viene eseguita in tempo reale in base alle modifiche alla configurazione delle risorse (le eccezioni sono descritte in Latenza di rilevamento di Security Health Analytics).
VM Threat Detection ha una latenza di attivazione fino a 48 ore per i nuovi onboarding delle organizzazioni. Per i progetti, la latenza di attivazione può arrivare fino a 15 minuti.
Vulnerability Assessment for Amazon Web Services (AWS) inizia la scansione delle risorse in un account AWS circa 15 minuti dopo Il modello CloudFormation è il primo di cui è stato eseguito il deployment nell'account. Quando viene rilevata una vulnerabilità software nell'account AWS, il risultato corrispondente diventa disponibile in Security Command Center circa 10 minuti dopo.
Il tempo necessario per completare una scansione dipende dal numero di istanze EC2. In genere, una scansione di una singola istanza EC2 richiede meno di 5 minuti.
L'avvio delle scansioni di Web Security Scanner può richiedere fino a 24 ore dopo l'attivazione del servizio e vengono eseguite settimanalmente dopo la prima scansione.
Security Command Center esegue rilevatori di errori, che rilevano la configurazione relativi a Security Command Center e ai suoi servizi. Questi rilevatori di errori sono attivati per impostazione predefinita e non possono essere disattivati. Le latenze di rilevamento variano a seconda del rilevatore di errori. Per ulteriori informazioni, vedi Errori di Security Command Center.
I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, cartella o progetto. La possibilità di visualizzare, modificare, creare o aggiornare risultati, asset e origini di sicurezza dipende dal livello per cui ti è stato concesso l'accesso. Per scoprire di più sui ruoli di Security Command Center, consulta Controllo degli accessi.
Risultati preliminari
Potresti vedere alcuni risultati nella console Google Cloud durante le scansioni vengono eseguite, ma prima del completamento del processo di onboarding.
I risultati preliminari sono accurati e utili, ma non sono comprehensivi. Non è consigliabile utilizzare questi risultati per una valutazione della conformità nelle prime 24 ore.
Scansioni successive
Le modifiche apportate all'interno dell'organizzazione o del progetto, come lo spostamento delle risorse o, per le attivazioni a livello di organizzazione, l'aggiunta di nuove cartelle e nuovi progetti, solitamente non influiscono in modo significativo sul tempo di rilevamento delle risorse o sul tempo di esecuzione delle analisi. Tuttavia, alcune scansioni vengono eseguite secondo programmazioni predefinite, che determinano la velocità con cui Security Command Center rileva le modifiche.
- Event Threat Detection e Container Threat Detection: questi servizi vengano eseguiti in tempo reale quando sono accesi e rilevano immediatamente nuovi di risorse modificate, ad esempio cluster, bucket o log, in modo programmatico a gestire i progetti.
- Security Health Analytics: Security Health Analytics viene eseguito in tempo reale quando viene attivato su e rileva risorse nuove o modificate in pochi minuti, escludendo i rilevamenti elencati di seguito.
- VM Threat Detection: per la scansione della memoria, VM Threat Detection analizza ogni istanza VM
subito dopo
viene creata un'istanza. Inoltre, VM Threat Detection esegue la scansione di ogni istanza VM ogni 30 minuti.
- Per il rilevamento del mining di criptovalute, VM Threat Detection genera un risultato per processo, per VM e per giorno. Ogni risultato include solo le minacce associate al processo che viene identificati dal risultato. Se Virtual Machine Threat Detection rileva minacce, ma non riesce ad associarle a nessun processo, per ogni VM raggruppa tutte le minacce non associate in un singolo rilevamento che viene emesso una volta per ogni periodo di 24 ore. Per le minacce che persistono per più di 24 ore, il rilevamento delle minacce VM genera nuovi risultati ogni 24 ore.
- Per il rilevamento del rootkit in modalità kernel, in anteprima, VM Threat Detection ne genera uno per categoria e per VM ogni tre giorni.
Per la scansione dei dischi permanenti, che rileva la presenza di malware noti, VM Threat Detection esamina ogni istanza VM almeno una volta al giorno.
Vulnerability Assessment for AWS esegue le scansioni tre volte al giorno.
Il tempo necessario per completare una scansione dipende dal numero di istanze EC2. In genere, la scansione di una singola istanza EC2 richiede meno di 5 minuti.
Quando viene rilevata una vulnerabilità del software in un account AWS, il risultato corrispondente diventa disponibile Security Command Center dopo circa 10 minuti.
Web Security Scanner: Web Security Scanner viene eseguito ogni settimana, nei stesso giorno dell'iniziale scansione. Poiché viene eseguita ogni settimana, Web Security Scanner non rileva cambiamenti in tempo reale. Se sposti una risorsa o modifichi un'applicazione, la modifica potrebbe non essere rilevata per un massimo di una settimana. Puoi eseguire analisi on demand per controllare le risorse nuove o modificate tra un'analisi pianificata e l'altra.
I rilevatori di errori di Security Command Center vengono eseguiti periodicamente in modalità batch. Batch di scansione variano in base al rilevatore di errori. Per ulteriori informazioni, consulta Errori di Security Command Center.
Latenza di rilevamento di Security Health Analytics
I rilevamenti di Security Health Analytics vengono eseguiti periodicamente in modalità batch dopo l'attivazione del servizio e quando cambia la configurazione di un asset correlato. Una volta attivato Security Health Analytics, eventuali modifiche alla configurazione delle risorse pertinenti comportano l'aggiornamento dei risultati relativi alle configurazioni errate. In alcuni casi, gli aggiornamenti potrebbero richiedere diversi minuti, a seconda del tipo di asset e della modifica.
Alcuni rilevatori di Security Health Analytics non supportano la modalità di scansione immediata se, ad esempio, un rilevamento viene eseguito su informazioni esterne alla configurazione di una risorsa. Questi rilevamenti, elencati nella tabella di seguito, vengono eseguiti periodicamente e identificano le configurazioni errate entro 12 ore. Leggi Vulnerabilità e risultati per ulteriori dettagli Rilevatori di Security Health Analytics.
| Rilevamenti di Security Health Analytics che non supportano la modalità di scansione in tempo reale |
|---|
| COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
| MFA_NOT_ENFORCED (in precedenza 2SV_NOT_ENFORCED) |
| OS_LOGIN_DISABLED |
| SQL_NO_ROOT_PASSWORD |
| SQL_WEAK_ROOT_PASSWORD |
Simulazioni del percorso di attacco
Le simulazioni del percorso di attacco vengono eseguite ogni sei ore circa. Man mano che la dimensione o la complessità della tua organizzazione Google Cloud aumenta, il tempo tra gli intervalli può aumentare.
Quando attivi per la prima volta Security Command Center, le simulazioni dei percorsi di attacco utilizzano un set di risorse di valore elevato predefinito, che include tutti i tipi di risorse supportati nella tua organizzazione.
Quando inizi a definire il tuo set di risorse di alto valore creando un configurazione dei valori delle risorse, potresti vedere il tempo che intercorre tra gli intervalli di tempo diminuiscono se il numero di istanze di risorse nella tua di risorse è notevolmente inferiore al set predefinito.
Passaggi successivi
- Scopri come utilizzare Security Command Center nella console Google Cloud.
- Scopri di più sui servizi di rilevamento.