Descripción general de la latencia de Security Command Center

>

En esta página, se proporciona una descripción general del proceso de activación de Security Command Center que se produce después de que habilitas el servicio. Su objetivo es responder preguntas comunes:

  • ¿Qué sucede después de que Security Command Center está habilitado para una organización?
  • ¿Por qué hay un retraso antes de que comiencen los primeros análisis?
  • ¿Cuál es el entorno de ejecución esperado para el primer análisis y los análisis continuos?
  • ¿Cómo afectarán el cambio de los recursos y de la configuración al rendimiento?

Descripción general

La mayoría de los clientes de Security Command Center no experimentan retrasos significativos en la integración o la habilitación. Luego de habilitar el servicio, alrededor del 99% de los usuarios está en funcionamiento en un plazo de cuatro horas. Si bien estas cifras representan la experiencia típica del usuario, hay factores que pueden hacer que el proceso de habilitación tarde más tiempo. A veces, para organizaciones con más de 100,000 proyectos, la habilitación y la revisión pueden tardar hasta 24 horas en completarse. Los factores que se analizan a continuación pueden introducir latencia en el inicio del análisis, el procesamiento de cambios en la configuración y el tiempo de ejecución de los análisis.

Topología

En la siguiente figura, se muestra una ilustración de alto nivel del proceso de integración y habilitación.

Ilustración de la integración de Security Command Center (haz clic para ampliar)
Ilustración de la integración de Security Command Center (haz clic para agrandar)
.

Latencia en la integración

Antes de que se inicien los análisis, Security Command Center descubre e indexa recursos que pertenecen a tu organización desde Google Cloud. Los servicios indexados incluyen App Engine, BigQuery, Cloud SQL, Cloud Storage, Compute Engine, administración de identidades y accesos, y Google Kubernetes Engine. Durante este proceso de integración, se llevan a cabo dos pasos fundamentales.

Análisis de recursos

Security Command Center realiza un análisis inicial de recursos para identificar la cantidad total, la ubicación y el estado de los proyectos, las carpetas, los archivos, los clústeres, las políticas de identidad y acceso, los usuarios inscritos y otros recursos. Este proceso suele completarse en unos minutos.

Activación de la API

A medida que se descubren los recursos, Security Command Center habilita las partes de Google Cloud necesarias para Security Health Analytics, Event Threat Detection, Container Threat Detection y Web Security Scanner para operar. Algunos servicios de detección requieren que se habiliten las API específicas en proyectos protegidos para funcionar. La activación de la API es el proceso de iteración a través de los proyectos que seleccionas para el análisis y la habilitación automática de esas API.

La cantidad de proyectos en una organización determina en gran medida la longitud de los procesos de integración y habilitación. Debido a que las API deben activarse para los proyectos uno por uno, la activación de la API suele ser la tarea más lenta, en especial para organizaciones con más de 100,000 proyectos.

El tiempo necesario para habilitar los servicios entre proyectos se escala de manera lineal. Esto significa que, por lo general, la habilitación de servicios y seguridad en una organización puede tardar el doble de tiempo con una empresa con 30,000 proyectos que una con 15,000.

Para todas las organizaciones, excepto las más grandes, la integración y la habilitación deben completarse en un plazo de cuatro horas.

Resultados

Cuando configuras Security Command Center, debes decidir qué servicios integrados habilitar, y seleccionar los recursos de Google Cloud que deseas analizar en busca de amenazas y vulnerabilidades. A medida que se activan las API para los proyectos, los servicios seleccionados comienzan sus análisis. La duración de estos análisis también depende de la cantidad de proyectos en una organización.

Los resultados de los servicios integrados están disponibles a medida que se completan los análisis iniciales. Los servicios experimentan la latencia como se describe a continuación.

  • Container Threat Detection tiene las siguientes latencias:
    • Latencia de activación de hasta 3.5 horas para organizaciones recién integradas
    • Latencia de activación de minutos para clústeres nuevos.
    • Latencia de detección de minutos para las amenazas en los clústeres que se activaron
  • La activación de Event Threat Detection se produce en segundos y las latencias de detección suelen ser menos de 15 minutos desde el momento en que se escribe un registro hasta que un resultado está disponible en Security Command Center.
  • Security Health Analytics de seguridad comienza cerca de una hora después de que se habilita el servicio. Los primeros análisis de Security Health Analytics pueden tardar hasta 12 horas en completarse. Después de eso, la mayoría de las detecciones se ejecutan en tiempo real en relación con los cambios de configuración de los recursos (las excepciones se detallan en Latencia de detección de Security Health Analytics).
  • Los análisis de Web Security Scanner pueden tomar hasta 24 horas en iniciarse después de que se habilita el servicio y se ejecutan de forma semanal después del primer análisis.

Resultados preliminares

Puede que veas algunos resultados en el panel de Security Command Center mientras se realizan los análisis iniciales, pero antes de que se complete el proceso de integración.

Los resultados preliminares son precisos y prácticos, pero no son completos. No se recomienda usar estos hallazgos para una evaluación de cumplimiento en las primeras 24 horas.

Análisis posteriores

Por lo general, los cambios realizados dentro de tu organización, como agregar carpetas y proyectos nuevos y mover recursos, no afectarán de manera significativa el tiempo de detección de recursos o el entorno de ejecución de los análisis. Sin embargo, algunos análisis continúan en los programas establecidos, que determinan la rapidez con la que se detectan los cambios en Security Command Center.

  • Web Security Scanner: se ejecuta cada semana, el mismo día como el análisis inicial. Debido a que se ejecuta cada semana, Web Security Scanner no detectará los cambios organizativos en tiempo real. Si mueves un recurso o modificas una aplicación, es posible que el cambio no se detecte hasta por una semana. Puedes ejecutar análisis a pedido para verificar los recursos nuevos o modificados entre los análisis programados.
  • Event Threat Detection/Container Threat Detection: Estos servicios se ejecutan en tiempo real cuando se activan y detectan de inmediato recursos nuevos o modificados, como clústeres, buckets o registros en proyectos habilitados.
  • Security Health Analytics: Se ejecuta en tiempo real cuando se activan y se detectan recursos nuevos o modificados en minutos, sin incluir las detecciones que se enumeran a continuación.

Latencia de detección de las estadísticas del estado de la seguridad

Las detecciones de las estadísticas del estado de la seguridad se ejecutan de forma periódica en el modo por lotes después de que se habilita el servicio, así como cuando cambia la configuración de un elemento relacionado. Una vez que se habilitan las estadísticas del estado de la seguridad, cualquier cambio en la configuración del recurso relevante genera resultados actualizados de configuración incorrecta. En algunos casos, las actualizaciones pueden demorar varios minutos, según el tipo de elemento y el cambio.

Algunos detectores de estado de seguridad no admiten el modo de análisis inmediato si, por ejemplo, se ejecuta una detección contra la información fuera de la configuración de un recurso. Estas detecciones, que se enumeran en la tabla a continuación, se ejecutan de forma periódica y, además, identifican configuraciones incorrectas en un plazo de 12 horas. Lee Vulnerabilidades y resultados para obtener más detalles sobre los detectores de estadísticas del estado de la seguridad.

Detecciones de estadísticas de estado de la seguridad que no admiten el modo de análisis en tiempo real
API_KEY_EXISTS
API_KEY_NOT_ROTATED
API_KEY_APIS_UNRESTRICTED
API_KEY_APPS_UNRESTRICTED
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED
COMPUTE_SERIAL_PORTS_ENABLED
DISK_CSEK_DISABLED
FULL_API_ACCESS
MFA_NOT_ENFORCED (antes llamado 2SV_NOT_ENFORCED)
OS_LOGIN_DISABLED
PUBLIC_IP_ADDRESS
SQL_NO_ROOT_PASSWORD
SQL_WEAK_ROOT_PASSWORD

¿Qué sigue?