Security Health Analytics es un servicio administrado de Security Command Center que analiza de tus entornos de nube en busca de parámetros de configuración incorrectos comunes que podrían exponerte a ataques.
Security Health Analytics se habilita automáticamente cuando activas Security Command Center.
Funciones de Security Health Analytics por nivel
Las funciones de Security Health Analytics disponibles para ti varían según sobre el nivel de servicio en el que está habilitado Security Command Center.
Funciones del nivel Estándar
En el nivel Estándar, Security Health Analytics solo puede detectar un grupo básico de vulnerabilidades de gravedad media y alta. Para obtener una lista de los para encontrar las categorías que detecta Security Health Analytics con el nivel Standard, consulta Nivel de servicio Estándar.
Funciones del nivel Premium
El nivel Premium incluye las siguientes funciones:
- Todos los detectores para Google Cloud, así como varias otras funciones de detección de vulnerabilidades, como la capacidad de crear módulos de detección personalizados.
- Los hallazgos se asignan a controles de cumplimiento para los informes de cumplimiento. Para obtener más información, consulta Detectores y cumplimiento.
- Las simulaciones de rutas de ataque de Security Command Center calculan el ataque puntuaciones de exposición y posibles rutas de ataque para la mayoría de las estadísticas del estado de seguridad de los resultados de búsqueda. Para obtener más información, consulta Descripción general de las puntuaciones de exposición a ataques y las rutas de ataque.
Para ver una lista de todas las funciones del nivel Premium, consulta Nivel Premium.
Funciones del nivel Enterprise
El Nivel Enterprise incluye todas las funciones del nivel Premium, así como detectores de otras y plataformas de proveedores de servicios en la nube.
Cambia de niveles
La mayoría de los detectores de Security Health Analytics están disponibles solo en Security Command Center Los niveles Premium y Enterprise. Si usas el nivel Premium o Enterprise y planeas cambiar al nivel Estándar, te recomendamos que resuelvas todos los resultados antes de cambiar de nivel.
Cuando finaliza una prueba de Premium o Enterprise, o bien cambias a la versión inferior del nivel Estándar desde el nivel Premium o Enterprise, el estado de los resultados que se generaron en el nivel superior se establece en INACTIVE.
Compatibilidad con múltiples nubes
Las estadísticas del estado de la seguridad pueden detectar configuraciones incorrectas en tus implementaciones en otras plataformas de nube.
Security Health Analytics admite los siguientes proveedores de servicios en la nube:
- Amazon Web Services (AWS)
Para ejecutar los detectores en AWS, primero debes conectar Security Command Center a AWS, como se describe en Conéctate a AWS para detectar vulnerabilidades y evaluar riesgos.
Servicios de Google Cloud compatibles
Análisis de la evaluación de vulnerabilidades administrada de Security Health Analytics para Google Cloud puede detectar automáticamente vulnerabilidades y parámetros de configuración incorrectos comunes en los siguientes servicios de Google Cloud:
- Cloud Monitoring y Cloud Logging
- Compute Engine
- Contenedores y redes de Google Kubernetes Engine
- Cloud Storage
- Cloud SQL
- Administración de identidades y accesos (IAM)
- Cloud Key Management Service (Cloud KMS)
- Cloud DNS
Tipos de análisis de Security Health Analytics
Los análisis de las estadísticas de estado de seguridad se ejecutan en tres modos:
Análisis por lotes: todos los detectores están programados para ejecutarse en todos organizaciones o proyectos inscritos una vez al día.
Análisis en tiempo real: Para implementaciones de Google Cloud los detectores compatibles inician los análisis cuando se detecta un cambio en la configuración de un recurso. Los resultados son en Security Command Center. Los escaneos en tiempo real no son compatibles con para implementar implementaciones en otras plataformas en la nube.
Modo mixto: Es posible que algunos detectores que admiten análisis en tiempo real no detecten cambios en tiempo real para todos los tipos de recursos admitidos. En esos casos, los cambios de configuración para algunos tipos de recursos se capturan de inmediato y otros se capturan en los análisis por lotes. Se observan excepciones en la tablas de resultados de Security Health Analytics.
Detectores de estadísticas de estado de seguridad
Security Health Analytics usa detectores para identificar vulnerabilidades y de configuración incorrecta en tu entorno de nube. Cada detector corresponde a una categoría de hallazgo.
Security Health Analytics incluye muchos detectores integrados que buscar vulnerabilidades y parámetros de configuración incorrectos en una gran cantidad categorías y tipos de recursos.
También puedes crear tus propios detectores personalizados que puedan comprobar errores de configuración o vulnerabilidades que no están cubiertas detectores o que son específicos de tu entorno.
Para obtener más información sobre los detectores integrados de Security Health Analytics, consulta Detectores integrados de Security Health Analytics.
Para obtener más información sobre cómo crear y usar módulos personalizados, consulta Módulos personalizados de Security Health Analytics.
Habilitación de detectores
No todos los detectores integrados de Security Health Analytics para Google Cloud están habilitados de forma predeterminada.
Si usas el nivel Enterprise con asistencia de múltiples nubes, todos los los detectores de AWS están habilitados de forma predeterminada.
Para activar los detectores integrados inactivos, consulta lo siguiente: Habilita o inhabilita los detectores.
Para habilitar o inhabilitar un módulo de detección personalizada de Security Health Analytics, puedes actualizar el módulo personalizado con la consola de Google Cloud, gcloud CLI o la API de Security Command Center.
Si quieres obtener más información para actualizar los módulos personalizados de Security Health Analytics, consulta Actualiza un módulo personalizado.
Compatibilidad con detectores con activaciones a nivel del proyecto
Con los niveles Estándar y Premium, puedes activar Security Command Center para una organización completa o para uno o más proyectos dentro de una organización.
El nivel empresarial no admite activaciones a nivel del proyecto.
Detectores integrados y activaciones a nivel del proyecto
Cuando habilitas Security Command Center solo para un proyecto, ciertos detectores integrados de Security Health Analytics no son compatibles porque requieren permisos a nivel de la organización.
De los detectores integrados que requieren una activación a nivel de la organización, puedes habilitar los que están disponibles con el nivel estándar de Security Command Center para las activaciones a nivel del proyecto. Para ello, habilita el nivel estándar para tu organización, sin costo.
Los detectores integrados que requieren el nivel Premium y los permisos a nivel de la organización no son compatibles activaciones.
Para obtener una lista de los detectores integrados del nivel estándar que requieren una activación a nivel de la organización de Security Command Center Standard antes de que se puedan usar con una activación a nivel del proyecto, consulta Categorías de resultados del nivel estándar a nivel de la organización.
Para obtener una lista de los detectores integrados de nivel Premium que no son compatibles con activaciones a nivel de proyecto, consulta Resultados no admitidos de Security Health Analytics.
Detectores de módulos personalizados y activaciones a nivel del proyecto
Los análisis de los detectores de módulos personalizados que creas en un proyecto se limitado al alcance del proyecto, independientemente del nivel de activación del Security Command Center. Los detectores de módulos personalizados solo pueden analizar los recursos que están disponibles para el proyecto en el que se crean.
Para obtener más información sobre los módulos personalizados, consulta Módulos personalizados de las estadísticas del estado de la seguridad.
Detectores integrados de Security Health Analytics
En esta sección, se describen las categorías de alto nivel de los detectores que enumera la plataforma de nube y la categoría de hallazgo que generan.
Detectores integrados para Google Cloud por categoría de alto nivel
Los detectores de Security Health Analytics para Google Cloud y los resultados que emiten se agrupan en las siguientes categorías de alto nivel.
Los detectores de Security Health Analytics supervisan un subconjunto de los tipos de recursos de Google Cloud que admite Cloud Asset Inventory.
Para ver los detectores individuales que se incluyen de cada categoría, haz clic en el nombre de la categoría.
- API hallazgos clave de vulnerabilidades
- Resultados de las vulnerabilidades de las imágenes de Compute
- Procesamiento hallazgos de vulnerabilidades de instancias
- Resultados de las vulnerabilidades de contenedores
- Dataproc hallazgos de vulnerabilidades
- Resultados de las vulnerabilidades de los conjuntos de datos
- Resultados de las vulnerabilidades de DNS
- Firewall hallazgos de vulnerabilidades
- IAM hallazgos de vulnerabilidades
- Resultados de las vulnerabilidades de KMS
- Resultados de las vulnerabilidades de registros
- Resultados de las vulnerabilidades de Monitoring
- Varios factores hallazgos de vulnerabilidades de autenticación
- Resultados de las vulnerabilidades de la red
- Resultados de las vulnerabilidades de las políticas de la organización
- Resultados de vulnerabilidades de Pub/Sub
- SQL hallazgos de vulnerabilidades
- Almacenamiento hallazgos de vulnerabilidades
- Subred hallazgos de vulnerabilidades
Detectores integrados para AWS
Para obtener una lista de todos los detectores de Security Health Analytics para AWS, consulta Resultados de AWS.
Módulos personalizados de Security Health Analytics
Los módulos personalizados de Security Health Analytics son detectores personalizados para Google Cloud que amplían las capacidades de detección de Security Health Analytics, además de las que proporcionan los detectores integrados.
Los módulos personalizados no son compatibles con otras plataformas en la nube.
Puedes crear módulos personalizados con el flujo de trabajo guiado en la consola de Google Cloud, o bien crear la definición del módulo personalizado en un archivo YAML y, luego, subirlo a Security Command Center con los comandos de Google Cloud CLI o la API de Security Command Center.
Para obtener más información, consulta Descripción general de los módulos personalizados para Security Health Analytics.
Detectores y cumplimiento
La medición del cumplimiento de Security Command Center con las comparativas de seguridad se basa en gran medida en los resultados que generan los detectores de vulnerabilidades de Security Health Analytics.
Las estadísticas del estado de la seguridad supervisan tu cumplimiento con detectores que se asignan a los controles de una amplia variedad de estándares de seguridad.
Para cada estándar de seguridad compatible, Security Health Analytics verifica un subconjunto de los controles. En el caso de los controles que se marcaron, Security Command Center te muestra cuántos cumplen con los requisitos. En el caso de los controles que no se aprueban, Security Command Center te muestra una lista de hallazgos que describen las fallas de control.
CIS revisa y certifica las asignaciones de los detectores de Security Health Analytics a cada versión compatible de las comparativas de CIS Google Cloud Foundations. Las asignaciones de cumplimiento adicionales se incluyen solo a modo de referencia.
Security Health Analytics agrega compatibilidad con nuevas versiones y estándares de comparativas de forma periódica. Las versiones anteriores permanecen pero, con el tiempo, se darán de baja. Te recomendamos que uses la comparativa o el estándar compatibles más recientes disponibles.
Con el servicio de posición de seguridad, puedes asignar las políticas de la organización y los detectores de Security Health Analytics a los estándares y controles que se aplican a tu empresa. Después de crear una postura de seguridad, puedes supervisar si hay cambios en el entorno que podrían afectar el cumplimiento de tu empresa.
Para obtener más información sobre la administración del cumplimiento, consulta Evalúe el cumplimiento de las normas de seguridad y genere informes al respecto con los estándares necesarios.
Estándares de seguridad compatibles
Google Cloud
Security Health Analytics asigna detectores de Google Cloud a uno o más de los siguientes estándares de cumplimiento:
- Controles 8.0 del Center for Information Security (CIS)
- Comparativa de CIS para Google Cloud Computing Foundations v2.0.0, v1.3.0, v1.2.0, v1.1.0 y v1.0.0
- Comparativas de CIS en Kubernetes 1.5.1
- Matriz de controles de la nube (CCM) 4
- Ley de Responsabilidad y Portabilidad de Seguros Médicos (HIPAA)
- Organización Internacional de Normalización (ISO) 27001, 2022 y 2013
- National Institute of Standards and Technology (NIST) 800-53 R5 y R4
- NIST CSF 1.0
- Open Web Application Security Project (OWASP) Top Ten, 2021 y 2017
- Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) 4.0 y 3.2.1
- Controles de sistema y organización (SOC) 2 Criterios de servicios de confianza (TSC) de 2017
AWS
Estadísticas del estado de seguridad asigna detectores de Amazon Web Services (AWS) a una o más de las siguientes instancias de cumplimiento estándares:
Para obtener más información sobre el cumplimiento, consulta Evalúa y, luego, informa el cumplimiento de comparativas de seguridad.