Questa pagina fornisce una panoramica del processo di attivazione che ha luogo quando abiliti Security Command Center. Punta a rispondere a domande comuni domande:
- Cosa succede quando Security Command Center è abilitato?
- Perché c'è un ritardo prima dell'avvio delle prime scansioni?
- Qual è il runtime previsto per le prime analisi e quelle in corso?
- In che modo la modifica delle risorse e delle impostazioni influirà sul rendimento?
Panoramica
Quando abiliti Security Command Center per la prima volta, è necessario completare un processo di attivazione prima che Security Command Center possa iniziare a scansionare le tue risorse. Quindi le scansioni devi completare prima di visualizzare un insieme completo di risultati per il tuo nell'ambiente Google Cloud.
Il tempo necessario per il completamento del processo di attivazione e delle scansioni dipende da un di vari fattori, tra cui il numero di asset e risorse nel tuo e se Security Command Center è attivato a livello di organizzazione o a livello di progetto.
Con le attivazioni a livello di organizzazione, Security Command Center deve ripetere alcuni passaggi del processo di attivazione per ogni progetto dell'organizzazione. A seconda del numero di progetti in un'organizzazione, il tempo necessario per il processo di attivazione può variare da minuti a nell'orario lavorativo locale del TAM. Per le organizzazioni con più di 100.000 progetti, molte risorse in ogni progetto e altri fattori complicativi, l'abilitazione e le scansioni iniziali possono richiedere fino a 24 ore o più.
Con le attivazioni a livello di progetto di Security Command Center, processo è molto più veloce, perché è limitato al singolo progetto in quale Security Command Center è attivato.
I fattori che possono introdurre latenza nell'avvio delle scansioni, nell'elaborazione modifiche alle impostazioni, mentre il runtime delle scansioni viene illustrato di seguito sezioni.
Topologia
La figura seguente fornisce un'illustrazione generale dell'onboarding e di abilitazione dei container.
Latenza nell'onboarding
Prima di avviare le analisi, Security Command Center rileva e indicizza le tue risorse.
I servizi indicizzati includono App Engine, BigQuery, Cloud SQL, Cloud Storage, Compute Engine, Identity and Access Management e Google Kubernetes Engine.
Per le attivazioni a livello di progetto di Security Command Center, l'individuazione e l'indicizzazione è limitata al singolo progetto in cui Security Command Center sia attivata.
Per le attivazioni a livello di organizzazione, Security Command Center rileva e indicizza le risorse in tutta l'organizzazione.
Durante l'onboarding vengono eseguiti due passaggi fondamentali.
Scansione asset
Security Command Center esegue una scansione iniziale degli asset per identificare il numero totale, posizione e stato di progetti, cartelle, file, cluster, identità, criteri, utenti registrati e altre risorse. Questa procedura di solito viene completata in pochi minuti.
Attivazione API
Quando le risorse vengono rilevate, Security Command Center abilita parti di Google Cloud necessari per Security Health Analytics, Event Threat Detection, Container Threat Detection, e Web Security Scanner. Alcuni servizi di rilevamento richiedono API specifiche abilitare il funzionamento dei progetti protetti.
Quando attivi Security Command Center a livello di progetto, l'attivazione delle API richiede in genere meno di un minuto.
Con le attivazioni a livello di organizzazione, Security Command Center esegue l'iterazione di tutti i progetti selezionati per la scansione al fine di abilitare le API necessarie.
Il numero di progetti in un'organizzazione determina in gran parte la lunghezza processi di onboarding e abilitazione. Perché le API devono essere attivate per i progetti una per una, l'attivazione delle API è in genere l'attività che richiede più tempo, in particolare per le organizzazioni con più di 100.000 progetti.
Il tempo necessario per abilitare i servizi nei vari progetti viene scalato in modo lineare. Questo significa che generalmente occorre il doppio del tempo per abilitare servizi e in un'organizzazione con 30.000 progetti rispetto a una con 15.000 progetti.
Per un’organizzazione con 100.000 progetti, l’onboarding e l’abilitazione Il livello Premium dovrebbe essere completato in meno di cinque ore. Il tuo tempo può variano in base a molti fattori, tra cui il numero di progetti o container che stai utilizzando e il numero di servizi di Security Command Center che utilizzi attivare.
Latenza scansione
Quando configuri Security Command Center, sei tu a decidere quali soluzioni integrate abilitare i servizi Google Cloud e selezionare le risorse Google Cloud che vuoi hanno analizzato, o analizzato, alla ricerca di minacce e vulnerabilità. Poiché le API sono se è attivato per i progetti, i servizi selezionati ne avviano le analisi. La durata di Queste analisi dipendono anche dal numero di progetti in un'organizzazione.
I risultati dei servizi integrati sono disponibili al termine delle scansioni iniziali. La latenza dei servizi è descritta di seguito.
- Container Threat Detection ha le seguenti latenze:
- .
- Latenza di attivazione fino a 3,5 ore per i nuovi progetti inseriti le tue organizzazioni.
- Latenza di attivazione pari a minuti per i cluster appena creati.
- una latenza di rilevamento dei minuti per le minacce nei cluster con è stata attivata.
L'attivazione di Event Threat Detection avviene in pochi secondi per rilevatori. Per i rilevatori personalizzati nuovi o aggiornati, possono essere necessari fino a 15 minuti per applicare le modifiche. In pratica, sono necessari in genere meno di 5 minuti.
Per rilevatori integrati e personalizzati, sono generalmente inferiori a 15 minuti, dal momento in cui viene scritto un log fino alla disponibilità di un risultato in Security Command Center.
Le scansioni di Security Health Analytics iniziano circa un'ora dopo il se il servizio è abilitato. Le prime analisi di Security Health Analytics possono richiedere fino a 12 ore per completare l'operazione. Dopodiché, la maggior parte dei rilevamenti viene eseguita in tempo reale sugli asset. modifiche alla configurazione (le eccezioni sono descritte in dettaglio in Security Health Analytics) Latenza di rilevamento).
VM Threat Detection ha una latenza di attivazione fino a 48 ore per i nuovi onboarding delle organizzazioni. Per i progetti, la latenza di attivazione è pari a 15 minuti.
Vulnerability Assessment for Amazon Web Services (AWS) inizia la scansione delle risorse in un account AWS circa 15 minuti dopo Il modello CloudFormation è il primo di cui è stato eseguito il deployment nell'account. Quando viene rilevata una vulnerabilità del software nell'account AWS, il risultato corrispondente diventa disponibile Security Command Center dopo circa 10 minuti.
Il tempo necessario per completare una scansione dipende dal numero di EC2 di Compute Engine. In genere, la scansione di una singola istanza EC2 richiede meno di 5 minuti.
L'avvio delle scansioni di Web Security Scanner può richiedere fino a 24 ore dopo il servizio è abilitato ed eseguito settimanalmente dopo la prima scansione.
Security Command Center esegue rilevatori di errori, che rilevano la configurazione relativi a Security Command Center e ai suoi servizi. Questi rilevatori di errori sono attivati per impostazione predefinita e non possono essere disattivati. Le latenze di rilevamento variano a seconda del rilevatore di errori. Per ulteriori informazioni, vedi Errori di Security Command Center.
I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, a livello di cartella o di progetto. Puoi visualizzare, modificare, creare o aggiornare risultati, asset e le origini di sicurezza dipendono dal livello a cui ti viene concesso l'accesso. Per ulteriori informazioni Per saperne di più sui ruoli di Security Command Center, consulta Controllo dell'accesso.
Risultati preliminari
Potresti vedere alcuni risultati nella console Google Cloud durante le scansioni vengono eseguite, ma prima del completamento del processo di onboarding.
I risultati preliminari sono accurati e strategici, ma non sono esaustive. Usare questi risultati per una valutazione di conformità entro i primi La durata di 24 ore non è consigliata.
Scansioni successive
Modifiche apportate all'interno dell'organizzazione o del progetto, ad esempio lo spostamento di risorse o, per le attivazioni a livello di organizzazione, l'aggiunta di nuove cartelle e progetti, di solito non influisce in modo significativo sui tempi di rilevamento delle risorse o il runtime delle scansioni. Tuttavia, alcune scansioni vengono eseguite in base a pianificazioni predefinite, determinare la velocità con cui Security Command Center rileva le modifiche.
- Event Threat Detection e Container Threat Detection: questi servizi vengano eseguiti in tempo reale quando sono accesi e rilevano immediatamente nuovi di risorse modificate, ad esempio cluster, bucket o log, in modo programmatico a gestire i progetti.
- Security Health Analytics: Security Health Analytics viene eseguito in tempo reale quando viene attivato su e rileva risorse nuove o modificate in pochi minuti, escludendo i rilevamenti elencati di seguito.
- VM Threat Detection: per la scansione della memoria, VM Threat Detection analizza ogni istanza VM
subito dopo
viene creata un'istanza. Inoltre, VM Threat Detection analizza ogni istanza VM ogni 30 minuti.
- Per il rilevamento del mining di criptovaluta, VM Threat Detection ne genera uno per processo, VM e giorno. Ogni risultato include solo le minacce associate processo identificato dal risultato. Se VM Threat Detection trova le minacce ma non riesce ad associarle in qualsiasi processo, quindi, per ogni VM, VM Threat Detection raggruppa tutte le minacce non associate in un unico risultato che viene emessa una volta ogni 24 ore. Per le minacce che persistono per più di 24 ore, VM Threat Detection genera nuovi risultati una volta ogni 24 ore.
- Per il rilevamento del rootkit in modalità kernel, in anteprima, VM Threat Detection ne genera uno per categoria e per VM ogni tre giorni.
Per la scansione disco permanente, che rileva la presenza di malware noto, VM Threat Detection esegue la scansione di ogni istanza VM almeno una volta al giorno.
Valutazione delle vulnerabilità per AWS esegue scansioni tre volte al giorno.
Il tempo necessario per completare una scansione dipende dal numero di EC2 di Compute Engine. In genere, la scansione di una singola istanza EC2 richiede meno di 5 minuti.
Quando viene rilevata una vulnerabilità del software in un account AWS, il risultato corrispondente diventa disponibile Security Command Center dopo circa 10 minuti.
Web Security Scanner: Web Security Scanner viene eseguito ogni settimana, nei stesso giorno dell'iniziale scansione. Poiché viene eseguita ogni settimana, Web Security Scanner non rileva cambiamenti in tempo reale. Se sposti una risorsa o modifichi una l'applicazione, la modifica potrebbe non essere rilevata per un massimo di una settimana. Puoi eseguire scansioni on demand per controllare le risorse nuove o modificate tra una scansione pianificata e l'altra.
I rilevatori di errori di Security Command Center vengono eseguiti periodicamente in modalità batch. Batch di scansione variano in base al rilevatore di errori. Per ulteriori informazioni, consulta Errori di Security Command Center.
Latenza di rilevamento di Security Health Analytics
I rilevamenti di Security Health Analytics vengono eseguiti periodicamente in modalità batch dopo l'abilitazione del servizio, nonché quando la configurazione di un asset correlato cambia. Una volta Security Health Analytics sia abilitato, eventuali modifiche pertinenti alla configurazione delle risorse il risultato sarà aggiornato agli errori di configurazione. In alcuni casi, gli aggiornamenti potrebbero richiedere diversi minuti, a seconda del tipo di asset e della modifica.
Alcuni rilevatori di Security Health Analytics non supportano la modalità di scansione immediata se, ad esempio, Ad esempio, un rilevamento viene eseguito su informazioni esterne al configurazione. Questi rilevamenti, elencati nella tabella seguente, vengono eseguiti periodicamente e identificare gli errori di configurazione entro 12 ore. Leggi Vulnerabilità e risultati per ulteriori dettagli Rilevatori di Security Health Analytics.
| Rilevamenti di Security Health Analytics che non supportano i dati in tempo reale scansione |
|---|
| COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
| MFA_NOT_ENFORCED (precedentemente denominata 2SV_NOT_ENFORCED) |
| OS_LOGIN_DISABLED |
| SQL_NO_ROOT_PASSWORD |
| SQL_WEAK_ROOT_PASSWORD |
Simulazioni del percorso di attacco
Le simulazioni del percorso di attacco vengono eseguite ogni sei ore circa. Come tuo dell'organizzazione Google Cloud cresce in termini di dimensioni o complessità, tra un intervallo e l'altro possono aumentare.
Alla prima attivazione di Security Command Center, le simulazioni del percorso di attacco usano un set di risorse di alto valore predefinito, che include tutte le di risorse supportate nella tua organizzazione.
Quando inizi a definire il tuo set di risorse di alto valore creando un configurazione dei valori delle risorse, potresti vedere il tempo che intercorre tra gli intervalli di tempo diminuiscono se il numero di istanze di risorse nella tua di risorse è notevolmente inferiore al set predefinito.
Passaggi successivi
- Scopri di più sull'utilizzo di Security Command Center nella console Google Cloud.
- Scopri di più sui servizi di rilevamento.