Panoramica della latenza di Security Command Center

Questa pagina fornisce una panoramica del processo di attivazione che viene eseguito quando abiliti Security Command Center. Punta a rispondere a domande comuni:

Cosa succede quando è abilitato Security Command Center?
Perché c'è un ritardo prima dell'inizio delle prime scansioni?
Qual è il runtime previsto per le prime scansioni e le scansioni in corso?
In che modo la modifica delle risorse e delle impostazioni influirà sulle prestazioni?

Panoramica

Quando abiliti Security Command Center per la prima volta, è necessario completare un processo di attivazione prima che Security Command Center possa iniziare ad analizzare le risorse. Poi le analisi devono essere completate prima di visualizzare un set completo di risultati per il tuo ambiente Google Cloud.

Il tempo necessario per completare il processo di attivazione e le analisi dipende da una serie di fattori, tra cui il numero di asset e risorse nel tuo ambiente e l'attivazione di Security Command Center a livello di organizzazione o a livello di progetto.

Con le attivazioni a livello di organizzazione, Security Command Center deve ripetere alcuni passaggi del processo di attivazione per ogni progetto nell'organizzazione. A seconda del numero di progetti in un'organizzazione, il tempo necessario per il processo di attivazione può variare da minuti a ore. Per le organizzazioni con più di 100.000 progetti, molte risorse in ogni progetto e altri fattori complicanti, l'abilitazione e le scansioni iniziali possono richiedere fino a 24 ore o più.

Con le attivazioni di Security Command Center a livello di progetto, il processo di attivazione è molto più rapido perché è limitato al singolo progetto in cui è attivato Security Command Center.

I fattori che possono introdurre la latenza nell'avvio delle scansioni, nell'elaborazione delle modifiche alle impostazioni e nel tempo di esecuzione delle scansioni sono descritti nelle sezioni seguenti.

Topologia

La figura seguente fornisce un'illustrazione generale del processo di onboarding e abilitazione.

Illustrazione dell'onboarding di Security Command Center (fai clic per ingrandire)

Latenza dell'onboarding

Prima dell'avvio delle scansioni, Security Command Center rileva e indicizza le tue risorse.

I servizi indicizzati includono App Engine, BigQuery, Cloud SQL, Cloud Storage, Compute Engine, Identity and Access Management e Google Kubernetes Engine.

Per le attivazioni di Security Command Center a livello di progetto, il rilevamento e l'indicizzazione sono limitati al singolo progetto in cui è attivato Security Command Center.

Per attivazioni a livello di organizzazione, Security Command Center rileva e indicizza le risorse in tutta l'organizzazione.

Durante questo processo di onboarding, svolgono due passaggi critici.

Scansione asset

Security Command Center esegue una scansione iniziale degli asset per identificare il numero totale, la posizione e lo stato di progetti, cartelle, file, cluster, identità, criteri di accesso, utenti registrati e altre risorse. Di solito, questa procedura viene completata entro pochi minuti.

Attivazione dell'API

Man mano che vengono rilevate le risorse, Security Command Center attiva le parti di Google Cloud necessarie per il funzionamento di Security Health Analytics, Event Threat Detection, Container Threat Detection e Web Security Scanner. Alcuni servizi di rilevamento richiedono l'abilitazione di API specifiche su progetti protetti.

Quando attivi Security Command Center a livello di progetto, l'attivazione dell'API di solito richiede meno di un minuto.

Con le attivazioni a livello di organizzazione, Security Command Center esegue l'iterazione in tutti i progetti selezionati per la scansione al fine di abilitare le API necessarie.

Il numero di progetti in un'organizzazione determina in gran parte la lunghezza dei processi di onboarding e abilitazione. Poiché le API devono essere attivate per i progetti singolarmente, l'attivazione delle API è in genere l'attività più dispendiosa in termini di tempo, in particolare per le organizzazioni con più di 100.000 progetti.

Il tempo necessario per abilitare i servizi nei vari progetti è scalabile in modo lineare. Ciò significa che, in genere, l'abilitazione dei servizi e delle impostazioni di sicurezza in un'organizzazione con 30.000 progetti richiede il doppio del tempo rispetto a una con 15.000 progetti.

Per un'organizzazione con 100.000 progetti, l'onboarding e l'abilitazione del livello Premium dovrebbero essere completati in meno di cinque ore. Il tuo tempo può variare a seconda di molti fattori, tra cui il numero di progetti o container in uso e il numero di servizi di Security Command Center che scegli di abilitare.

Latenza scansione

Quando configuri Security Command Center, decidi tu quali servizi integrati e integrati abilitare e selezioni le risorse Google Cloud che vuoi far analizzare o analizzare per individuare minacce e vulnerabilità. Man mano che le API vengono attivate per i progetti, i servizi selezionati iniziano le relative analisi. La durata di queste analisi dipende anche dal numero di progetti in un'organizzazione.

I risultati dei servizi integrati sono disponibili al termine delle scansioni iniziali. I servizi presentano una latenza come descritto di seguito.

Container Threat Detection ha le seguenti latenze:
- Latenza di attivazione fino a 3,5 ore per le organizzazioni o i progetti appena avviati.
- Latenza di attivazione in minuti per i cluster appena creati.
- Latenza di rilevamento in minuti per le minacce nei cluster che sono stati attivati.
L'attivazione di Event Threat Detection avviene in pochi secondi per i rilevatori integrati. Per i rilevatori personalizzati nuovi o aggiornati, l'applicazione delle modifiche può richiedere fino a 15 minuti. In pratica, questo processo richiede meno di 5 minuti.

Per i rilevatori integrati e personalizzati, le latenze di rilevamento sono in genere inferiori a 15 minuti dal momento in cui viene scritto un log quando un risultato è disponibile in Security Command Center.
Rapid Vulnerability Detection inizia ad analizzare un progetto e restituisce i risultati entro 24 ore dall'abilitazione del progetto.

Anteprima

Questa funzionalità è soggetta ai "Termini delle Offerte pre-GA" nella sezione Termini generali del servizio dei Termini specifici dei servizi. Le funzionalità pre-GA sono disponibili "così come sono" e potrebbero avere un supporto limitato. Per saperne di più, consulta le descrizioni della fase di lancio.
Le analisi di Security Health Analytics iniziano circa un'ora dopo l'abilitazione del servizio. Il completamento delle prime analisi di Security Health Analytics può richiedere fino a 12 ore. Dopodiché, la maggior parte dei rilevamenti viene eseguita in tempo reale contro le modifiche alla configurazione degli asset (le eccezioni sono descritte in dettaglio in Latenza del rilevamento di Security Health Analytics).
VM Threat Detection ha una latenza di attivazione fino a 48 ore per le organizzazioni che hanno effettuato l'onboarding di recente. Per i progetti, la latenza di attivazione è fino a 15 minuti.
L'avvio delle analisi di Web Security Scanner può richiedere fino a 24 ore dopo l'abilitazione del servizio ed essere eseguite settimanalmente dopo la prima analisi.

Security Command Center esegue rilevatori di errori, che rilevano gli errori di configurazione relativi a Security Command Center e ai suoi servizi. Questi rilevatori di errori sono attivati per impostazione predefinita e non possono essere disattivati. Le latenze di rilevamento variano a seconda del rilevatore di errori. Per maggiori informazioni, consulta la pagina relativa agli errori di Security Command Center.

I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, cartella o progetto. La possibilità di visualizzare, modificare, creare o aggiornare risultati, asset e origini di sicurezza dipende dal livello per cui ti viene concesso l'accesso. Per saperne di più sui ruoli di Security Command Center, consulta Controllo dell'accesso.

Risultati preliminari

Potresti visualizzare alcuni risultati nella console Google Cloud durante le scansioni iniziali, ma prima del completamento del processo di onboarding.

I risultati preliminari sono accurati e fruibili, ma non sono esaustivi. Non è consigliabile utilizzare questi risultati per una valutazione della conformità entro le prime 24 ore.

Scansioni successive

Le modifiche apportate all'organizzazione o al progetto, ad esempio lo spostamento di risorse o, per attivazioni a livello di organizzazione, l'aggiunta di nuove cartelle e progetti, di solito non influiscono in modo significativo sui tempi di rilevamento delle risorse o sul runtime delle analisi. Tuttavia, alcune analisi vengono eseguite in base a pianificazioni prestabilite, che determinano la velocità con cui Security Command Center rileva le modifiche.

Event Threat Detection e Container Threat Detection: questi servizi vengono eseguiti in tempo reale quando vengono attivati e rilevano immediatamente risorse nuove o modificate, come cluster, bucket o log, nei progetti abilitati.
Rapid Vulnerability Detection esegue analisi successive ogni settimana dalla data della prima analisi. Se vengono aggiunte nuove risorse ai progetti tra una scansione e l'altra, le eventuali vulnerabilità non vengono rilevate fino alla scansione successiva.
Security Health Analytics: Security Health Analytics viene eseguito in tempo reale quando viene attivato e rileva risorse nuove o modificate in pochi minuti, esclusi i rilevamenti elencati di seguito.
VM Threat Detection: per l'analisi della memoria, VM Threat Detection scansiona ogni istanza VM immediatamente dopo la sua creazione. Inoltre, VM Threat Detection analizza ogni istanza VM ogni 30 minuti.
- Per il rilevamento del mining di criptovaluta, VM Threat Detection genera un rilevamento per processo, per VM, al giorno. Ogni risultato include solo le minacce associate al processo identificato dal risultato. Se VM Threat Detection rileva minacce ma non può associarle a nessun processo, per ogni VM VM Threat Detection raggruppa tutte le minacce non associate in un unico risultato che viene emesso una volta ogni 24 ore. Per qualsiasi minaccia che persiste oltre le 24 ore, VM Threat Detection genera nuovi risultati una volta ogni 24 ore.
- Per il rilevamento dei rootkit in modalità kernel, in anteprima, VM Threat Detection genera un risultato per categoria, per VM, ogni tre giorni.
Per l'analisi disco permanente, che rileva la presenza di malware noto, VM Threat Detection analizza ogni istanza VM almeno una volta al giorno.
Web Security Scanner: Web Security Scanner viene eseguito settimanalmente, lo stesso giorno della scansione iniziale. Poiché viene eseguito ogni settimana, Web Security Scanner non rileva modifiche in tempo reale. Se sposti una risorsa o modifichi un'applicazione, la modifica potrebbe non essere rilevata per un massimo di una settimana. Puoi eseguire scansioni on demand per verificare risorse nuove o modificate tra le analisi pianificate.

I rilevatori di errori di Security Command Center vengono eseguiti periodicamente in modalità batch. Le frequenze di scansione batch variano in base al rilevatore di errori. Per maggiori informazioni, consulta la pagina relativa agli errori di Security Command Center.

Latenza del rilevamento di Security Health Analytics

I rilevamenti di Security Health Analytics vengono eseguiti periodicamente in modalità batch dopo l'abilitazione del servizio, nonché quando viene modificata la configurazione di un asset correlato. Una volta abilitata la funzionalità Security Health Analytics, qualsiasi modifica pertinente alla configurazione delle risorse genererà risultati aggiornati di configurazione errata. In alcuni casi, gli aggiornamenti potrebbero richiedere diversi minuti, a seconda del tipo di asset e della modifica.

Alcuni rilevatori di Security Health Analytics non supportano la modalità di analisi immediata se, ad esempio, un rilevamento viene eseguito su informazioni al di fuori della configurazione di una risorsa. Questi rilevamenti, elencati nella tabella seguente, vengono eseguiti periodicamente e identificano le configurazioni errate entro 12 ore. Per ulteriori dettagli sui rilevatori di Security Health Analytics, consulta Vulnerabilità e risultati.

Rilevamenti di Security Health Analytics che non supportano la modalità di scansione in tempo reale
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED
MFA_NOT_ENFORCED (precedentemente denominato 2SV_NOT_ENFORCED)
OS_LOGIN_DISABLED
SQL_NO_ROOT_PASSWORD
SQL_WEAK_ROOT_PASSWORD

Simulazioni del percorso di attacco

Le simulazioni del percorso di attacco vengono eseguite ogni sei ore circa. Man mano che la tua organizzazione Google Cloud cresce in dimensioni o complessità, il tempo tra gli intervalli può aumentare.

Quando attivi Security Command Center per la prima volta, le simulazioni dei percorsi di attacco utilizzano un set di risorse predefinito di alto valore, che include tutti i tipi di risorse supportati nella tua organizzazione.

Quando inizi a definire il tuo set di risorse di alto valore creando una configurazione dei valori delle risorse, il tempo tra gli intervalli di simulazione potrebbe diminuire se il numero di istanze di risorse nel tuo set di risorse di alto valore è notevolmente inferiore al valore predefinito.

Passaggi successivi

Scopri di più sull'utilizzo di Security Command Center nella console Google Cloud.
Scopri di più sulle origini di sicurezza.