En esta página, se proporciona una descripción general del proceso de activación de Security Command Center que se produce después de que habilitas el servicio. Su objetivo es responder preguntas comunes:
- ¿Qué sucede después de que Security Command Center está habilitado para una organización?
- ¿Por qué hay un retraso antes de que comiencen los primeros análisis?
- ¿Cuál es el entorno de ejecución esperado para el primer análisis y los análisis continuos?
- ¿Cómo afectarán el cambio de los recursos y de la configuración al rendimiento?
Descripción general
La mayoría de los clientes de Security Command Center no experimentan retrasos significativos en la integración o la habilitación. Luego de habilitar el servicio, alrededor del 99% de los usuarios está en funcionamiento en un plazo de cuatro horas. Si bien estas cifras representan la experiencia típica del usuario, hay factores que pueden hacer que el proceso de habilitación tarde más tiempo. A veces, para organizaciones con más de 100,000 proyectos, la habilitación y la revisión pueden tardar hasta 24 horas en completarse. Los factores que se analizan a continuación pueden introducir latencia en el inicio del análisis, el procesamiento de cambios en la configuración y el tiempo de ejecución de los análisis.
Topología
En la siguiente figura, se muestra una ilustración de alto nivel del proceso de integración y habilitación.
Latencia en la integración
Antes de que se inicien los análisis, Security Command Center descubre e indexa recursos que pertenecen a tu organización desde Google Cloud. Los servicios indexados incluyen App Engine, BigQuery, Cloud SQL, Cloud Storage, Compute Engine, administración de identidades y accesos, y Google Kubernetes Engine. Durante este proceso de integración, se llevan a cabo dos pasos fundamentales.
Análisis de recursos
Security Command Center realiza un análisis inicial de recursos para identificar la cantidad total, la ubicación y el estado de los proyectos, las carpetas, los archivos, los clústeres, las políticas de identidad y acceso, los usuarios inscritos y otros recursos. Este proceso suele completarse en unos minutos.
Activación de la API
A medida que se descubren los recursos, Security Command Center habilita las partes de Google Cloud necesarias para Security Health Analytics, Event Threat Detection, Container Threat Detection y Web Security Scanner para operar. Algunos servicios de detección requieren que se habiliten las API específicas en proyectos protegidos para funcionar. La activación de la API es el proceso de iteración a través de los proyectos que seleccionas para el análisis y la habilitación automática de esas API.
La cantidad de proyectos en una organización determina en gran medida la longitud de los procesos de integración y habilitación. Debido a que las API deben activarse para los proyectos uno por uno, la activación de la API suele ser la tarea más lenta, en especial para organizaciones con más de 100,000 proyectos.
El tiempo necesario para habilitar los servicios entre proyectos se escala de manera lineal. Esto significa que, por lo general, la habilitación de servicios y seguridad en una organización puede tardar el doble de tiempo con una empresa con 30,000 proyectos que una con 15,000.
Para todas las organizaciones, excepto las más grandes, la integración y la habilitación deben completarse en un plazo de cuatro horas.
Resultados
Cuando configuras Security Command Center, debes decidir qué servicios integrados habilitar, y seleccionar los recursos de Google Cloud que deseas analizar en busca de amenazas y vulnerabilidades. A medida que se activan las API para los proyectos, los servicios seleccionados comienzan sus análisis. La duración de estos análisis también depende de la cantidad de proyectos en una organización.
Los resultados de los servicios integrados están disponibles a medida que se completan los análisis iniciales. Los servicios experimentan la latencia como se describe a continuación.
- Container Threat Detection tiene las siguientes latencias:
- Latencia de activación de hasta 3.5 horas para organizaciones recién integradas
- Latencia de activación de minutos para clústeres nuevos.
- Latencia de detección de minutos para las amenazas en los clústeres que se activaron
- La activación de Event Threat Detection se produce en segundos y las latencias de detección suelen ser menos de 15 minutos desde el momento en que se escribe un registro hasta que un resultado está disponible en Security Command Center.
- Security Health Analytics de seguridad comienza cerca de una hora después de que se habilita el servicio. Los primeros análisis de Security Health Analytics pueden tardar hasta 12 horas en completarse. Después de eso, la mayoría de las detecciones se ejecutan en tiempo real en relación con los cambios de configuración de los recursos (las excepciones se detallan en Latencia de detección de Security Health Analytics).
- Los análisis de Web Security Scanner pueden tomar hasta 24 horas en iniciarse después de que se habilita el servicio y se ejecutan de forma semanal después del primer análisis.
Resultados preliminares
Puede que veas algunos resultados en el panel de Security Command Center mientras se realizan los análisis iniciales, pero antes de que se complete el proceso de integración.
Los resultados preliminares son precisos y prácticos, pero no son completos. No se recomienda usar estos hallazgos para una evaluación de cumplimiento en las primeras 24 horas.
Análisis posteriores
Por lo general, los cambios realizados dentro de tu organización, como agregar carpetas y proyectos nuevos y mover recursos, no afectarán de manera significativa el tiempo de detección de recursos o el entorno de ejecución de los análisis. Sin embargo, algunos análisis continúan en los programas establecidos, que determinan la rapidez con la que se detectan los cambios en Security Command Center.
- Web Security Scanner: se ejecuta cada semana, el mismo día como el análisis inicial. Debido a que se ejecuta cada semana, Web Security Scanner no detectará los cambios organizativos en tiempo real. Si mueves un recurso o modificas una aplicación, es posible que el cambio no se detecte hasta por una semana. Puedes ejecutar análisis a pedido para verificar los recursos nuevos o modificados entre los análisis programados.
- Event Threat Detection/Container Threat Detection: Estos servicios se ejecutan en tiempo real cuando se activan y detectan de inmediato recursos nuevos o modificados, como clústeres, buckets o registros en proyectos habilitados.
- Security Health Analytics: Se ejecuta en tiempo real cuando se activan y se detectan recursos nuevos o modificados en minutos, sin incluir las detecciones que se enumeran a continuación.
Latencia de detección de las estadísticas del estado de la seguridad
Las detecciones de Security Health Analytics se ejecutan de una sola vez cuando el servicio se habilita o de a uno en el modo de tiempo real cuando cambia la configuración de un recurso relacionado. Una vez que Security Health Analytics esté habilitada, cualquier cambio en la configuración de recursos relevante dará como resultado resultados actualizados de configuraciones incorrectas casi en tiempo real (en un plazo de 10 minutos, pero a menudo más rápido).
Algunos detectores de Security Health Analytics no son compatibles con el modo de análisis en tiempo real si, por ejemplo, una detección se ejecuta con información fuera de la configuración de un recurso. Estas detecciones, que se enumeran en la tabla a continuación, se ejecutan de forma periódica y, además, identifican configuraciones incorrectas en un plazo de 12 horas. Lee Vulnerabilidades y resultados para obtener más detalles sobre los detectores de estadísticas del estado de la seguridad.
| Detecciones de estadísticas de estado de la seguridad que no admiten el modo de análisis en tiempo real |
|---|
| API_KEY_EXISTS |
| API_KEY_NOT_ROTATED |
| API_KEY_APIS_UNRESTRICTED |
| API_KEY_APPS_UNRESTRICTED |
| COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
| COMPUTE_SERIAL_PORTS_ENABLED |
| DISK_CSEK_DISABLED |
| FULL_API_ACCESS |
| MFA_NOT_ENFORCED (antes llamado 2SV_NOT_ENFORCED) |
| OS_LOGIN_DISABLED |
| PUBLIC_IP_ADDRESS |
| SSH_PASSWORD_ENABLED |
| SQL_NO_ROOT_PASSWORD |
| SQL_WEAK_ROOT_PASSWORD |
| WEAK_SSH_PASSWORD |
¿Qué sigue?
- Obtén más información sobre el uso del panel de Security Command Center.
- Obtén información sobre las fuentes de seguridad para las vulnerabilidades y amenazas.