Présentation de la latence sur Security Command Center

>

Cette page présente le processus d'activation de Security Command Center qui a lieu après l'activation du service. Elle a pour objectif de répondre aux questions courantes suivantes :

  • Que se passe-t-il une fois que Security Command Center est activé pour une organisation ?
  • Pourquoi y a-t-il un délai avant le début des premières analyses ?
  • Combien de temps prend généralement l'exécution de la première analyse et des analyses en cours ?
  • Quelle est l'incidence de la modification des ressources et des paramètres sur les performances ?

Présentation

La plupart des clients Security Command Center ne subissent pas de délais importants lors du processus d'intégration ou d'activation. Environ 99 % des utilisateurs sont opérationnels dans les quatre heures qui suivent l'activation du service. Bien que ces chiffres soient représentatifs de l'expérience utilisateur habituelle, des facteurs peuvent ralentir le processus d'activation. Parfois, pour les organisations comptant plus de 100 000 projets, l'activation et l'analyse peuvent prendre jusqu'à 24 heures, voire plus. Les facteurs décrits ci-dessous peuvent entraîner une latence lors du lancement des analyses, du traitement des modifications des paramètres et de l'exécution des analyses.

Topologie

L'illustration ci-dessous offre une vue d'ensemble générale des processus d'intégration et d'activation.

Illustration du processus d'intégration de Security Command Center (cliquez pour agrandir)
Illustration du processus d'intégration de Security Command Center (cliquez pour agrandir)

Latence d'intégration

Avant le lancement des analyses, Security Command Center détecte et indexe les ressources appartenant à votre organisation depuis Google Cloud. Les services indexés incluent App Engine, BigQuery, Cloud SQL, Cloud Storage, Compute Engine, Cloud IAM et Google Kubernetes Engine. Au cours de ce processus d'intégration, deux étapes essentielles ont lieu.

Analyse des éléments

Security Command Center lance une analyse initiale des éléments pour identifier le nombre total, l'emplacement et l'état des projets, des dossiers, des fichiers, des clusters, des identités, des stratégies d'accès, des utilisateurs inscrits et des autres ressources. Ce processus prend généralement quelques minutes.

Activation de l'API

À mesure que des ressources sont détectées, Security Command Center active les composants Google Cloud requis pour le bon fonctionnement de l'analyse de l'état de la sécurité, d'Event Threat Detection, de Container Threat Detection et de Web Security Scanner. Certains services de détection nécessitent l'activation d'API spécifiques sur des projets protégés. L'activation des API correspond au processus d'itération des projets que vous sélectionnez pour l'analyse et l'activation automatique de ces API.

Le nombre de projets au sein d'une organisation détermine en grande partie la durée des processus d'intégration et d'activation. Étant donné que les API doivent être activées une par une pour les projets, cette tâche est généralement la plus chronophage, en particulier pour les organisations comptant plus de 100 000 projets.

Le temps nécessaire pour activer les services sur plusieurs projets évolue de manière linéaire. En règle générale, l'activation des services et des paramètres de sécurité d'une organisation comportant 30 000 projets prend deux fois plus de temps qu'une organisation qui en possède 15 000.

Pour toutes les organisations, à l'exception des plus grandes, le processus d'intégration et d'activation prend quatre heures.

Données

Lorsque vous configurez Security Command Center, vous décidez quels services intégrés doivent être activés, puis vous sélectionnez les ressources Google Cloud à analyser ou à vérifier afin de détecter les menaces et les failles. Lorsque les API sont activées pour les projets, les services sélectionnés lancent leurs analyses. La durée de ces analyses dépend également du nombre de projets dans une organisation.

Les résultats des services intégrés sont disponibles à mesure que les analyses initiales sont terminées. La latence des services est décrite ci-dessous.

  • Container Threat Detection présente les latences suivantes :
    • Latence d'activation pouvant atteindre 3,5 heures pour les organisations nouvellement ajoutées
    • Latence d'activation de plusieurs minutes pour les clusters nouvellement créés.
    • Latence de détection de plusieurs minutes pour les menaces dans les clusters qui ont été activés
  • L'activation d'Event Threat Detection prend quelques secondes. Les latences de détection sont généralement inférieures à 15 minutes entre le moment où un journal est écrit et celui où un résultat est disponible dans Security Command Center.
  • Les analyses de l'état de la sécurité commencent environ une heure après l'activation du service. Les premières analyses de l'état de la sécurité peuvent prendre jusqu'à 12 heures. Ensuite, la plupart des détections sont exécutées en temps réel sur les modifications de configuration des éléments. Les exceptions à cette règle sont décrites dans la section Latence de détection de l'analyse de l'état de la sécurité.
  • Un délai maximal de 24 heures peut être nécessaire pour que les analyses de Web Security Scanner se lancent après l'activation du service et son exécution hebdomadaire suivant l'analyse initiale.

Résultats préliminaires

Il est possible que certains résultats s'affichent dans le tableau de bord Security Command Center pendant l'analyse initiale, mais avant la fin du processus d'intégration.

Les résultats préliminaires sont précis et exploitables, mais ils ne sont pas exhaustifs. Il est déconseillé de les utiliser pour une évaluation de conformité dans les premières 24 heures.

Analyses ultérieures

Les modifications apportées au sein de votre organisation, telles que l'ajout de nouveaux dossiers/projets et le déplacement de ressources, n'ont généralement pas d'impact significatif sur le délai de détection des ressources ou sur la durée d'exécution des analyses. Toutefois, certaines analyses s'effectuent selon des planifications définies, qui déterminent la vitesse à laquelle Security Command Center détecte les modifications.

  • Web Security Scanner : s'exécute chaque semaine, le même jour que l'analyse initiale. Comme il s'exécute chaque semaine, Web Security Scanner ne détecte pas les changements organisationnels en temps réel. Si vous déplacez une ressource ou modifiez une application, vous devrez attendre jusqu'à une semaine avant que la modification puisse être détectée. Vous pouvez exécuter des analyses à la demande pour vérifier les ressources nouvelles ou modifiées entre les analyses planifiées.
  • Event Threat Detection/Container Threat Detection : ces services s'exécutent en temps réel lorsqu'ils sont activés, et détectent immédiatement de nouvelles ressources ou des ressources modifiées, telles que les clusters, les buckets ou les journaux, dans les projets activés.
  • Analyse de l'état de la sécurité : s'exécute en temps réel lorsqu'elle est activée, et détecte les nouvelles ressources ou les ressources modifiées en quelques minutes, à l'exclusion des détections répertoriées ci-dessous.

Latence de détection de l'analyse de l'état de la sécurité

Les détections de l'analyse de l'état de la sécurité s'exécutent toutes en même temps lorsque le service est activé, ou une par une en mode d'analyse en temps réel lorsqu'une modification est apportée à la configuration d'un élément associé. Une fois l'analyse de l'état de la sécurité activée, toute modification de configuration d'une ressource concernée entraîne une mise à jour des résultats de configuration incorrecte en quasi-temps réel (dans les 10 minutes, mais généralement plus rapidement).

Certains détecteurs de l'analyse de l'état de la sécurité ne sont pas compatibles avec le mode d'analyse en temps réel, par exemple lorsqu'une détection est exécutée sur des informations situées en dehors de la configuration d'une ressource. Ces détections, répertoriées dans le tableau ci-dessous, s'exécutent régulièrement et identifient les erreurs de configuration dans les 12 heures. Pour en savoir plus sur les détecteurs de l'analyse de l'état de la sécurité, consultez la page Failles et résultats.

Détections de l'analyse de l'état de la sécurité non compatibles avec le mode d'analyse en temps réel
API_KEY_EXISTS
API_KEY_NOT_ROTATED
API_KEY_APIS_UNRESTRICTED
API_KEY_APPS_UNRESTRICTED
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED
COMPUTE_SERIAL_PORTS_ENABLED
DISK_CSEK_DISABLED
FULL_API_ACCESS
MFA_NOT_ENFORCED (précédemment nommé SV_NOT_ENFORCED)
OS_LOGIN_DISABLED
PUBLIC_IP_ADDRESS
SSH_PASSWORD_ENABLED
SQL_NO_ROOT_PASSWORD
SQL_WEAK_ROOT_PASSWORD
WEAK_SSH_PASSWORD

Étape suivante