Présentation de Security Health Analytics

Security Health Analytics est un service géré de Security Command Center qui analyse vos environnements cloud à la recherche d'erreurs de configuration courantes pouvant vous exposer à des attaques.

Security Health Analytics est automatiquement activé lorsque vous activez Security Command Center.

Fonctionnalités de Security Health Analytics par niveau

Les fonctionnalités d'analyse de l'état de la sécurité à votre disposition dépendent du niveau de service auquel Security Command Center est activé.

Fonctionnalités du niveau Standard

Au niveau Standard, Security Health Analytics ne peut détecter qu'un groupe de base de failles de gravité moyenne et élevée. Pour obtenir la liste des catégories de résultats détectées par Security Health Analytics avec le niveau Standard, consultez la page Niveau de service Standard.

Fonctionnalités du niveau Premium

Le niveau Premium comprend les fonctionnalités suivantes:

  • Tous les détecteurs pour Google Cloud, ainsi que plusieurs autres fonctionnalités de détection des failles, telles que la possibilité de créer des modules de détection personnalisés.
  • Les résultats sont associés aux contrôles de conformité pour les rapports de conformité. Pour plus d'informations, consultez la page Détecteurs et conformité.
  • Les simulations de chemin d'attaque de Security Command Center calculent les scores d'exposition aux attaques et les chemins d'attaque potentiels pour la plupart des résultats de Security Health Analytics. Pour en savoir plus, consultez la page Présentation des scores d'exposition aux attaques et des chemins d'attaque.

Pour obtenir la liste de toutes les fonctionnalités du niveau Premium, consultez Niveau Premium.

Fonctionnalités du niveau Enterprise

Le niveau Enterprise comprend toutes les fonctionnalités du niveau Premium, ainsi que des détecteurs pour d'autres plates-formes de fournisseurs de services cloud.

Changer de niveau

La plupart des détecteurs Security Health Analytics ne sont disponibles qu'avec les niveaux Premium et Enterprise de Security Command Center. Si vous utilisez le niveau Premium ou Enterprise et que vous prévoyez de passer au niveau Standard, nous vous recommandons de résoudre tous les résultats avant de changer de niveau.

À la fin d'un essai Premium ou Enterprise, ou lorsque vous passez du niveau Premium ou Enterprise au niveau Standard, l'état des résultats générés au niveau supérieur est défini sur INACTIVE.

Compatibilité multicloud

Security Health Analytics peut détecter les erreurs de configuration dans vos déploiements sur d'autres plates-formes cloud.

Security Health Analytics est compatible avec les autres fournisseurs de services cloud suivants:

  • Amazon Web Services (AWS)

Pour exécuter les détecteurs sur AWS, vous devez d'abord connecter Security Command Center à AWS, comme décrit dans la section Se connecter à AWS pour la détection des failles et l'évaluation des risques.

Services cloud Google Cloud compatibles

L'analyse gérée de Security Health Analytics pour Google Cloud peut détecter automatiquement les failles courantes et les erreurs de configuration dans les services Google Cloud suivants:

  • Cloud Monitoring et Cloud Logging
  • Compute Engine
  • Conteneurs et réseaux Google Kubernetes Engine
  • Cloud Storage
  • Cloud SQL
  • Gestion de l'authentification et des accès (IAM)
  • Cloud Key Management Service (Cloud KMS)
  • Cloud DNS

Types d'analyses de Security Health Analytics

Security Health Analytics s'exécute dans trois modes :

  • Analyse par lot:tous les détecteurs sont programmés pour s'exécuter une fois par jour pour l'ensemble des organisations ou projets enregistrés.

  • Analyse en temps réel:pour les déploiements Google Cloud uniquement, les détecteurs compatibles lancent des analyses chaque fois qu'une modification est détectée dans la configuration d'une ressource. Les résultats sont écrits dans Security Command Center. Les analyses en temps réel ne sont pas compatibles avec les déploiements sur d'autres plates-formes cloud.

  • Mode mixte:certains détecteurs compatibles avec les analyses en temps réel peuvent ne pas détecter les modifications en temps réel pour tous les types de ressources compatibles. Dans ce cas, les modifications de configuration de certains types de ressources sont immédiatement capturées, tandis que les autres sont capturées lors d'analyses par lot. Les exceptions sont indiquées dans les tableaux des résultats de l'analyse de l'état de sécurité.

Détecteurs Security Health Analytics

Security Health Analytics utilise des détecteurs pour identifier les failles et les erreurs de configuration dans votre environnement cloud. Chaque détecteur correspond à une catégorie de résultats.

Security Health Analytics est fourni avec de nombreux détecteurs intégrés qui recherchent les failles et les erreurs de configuration dans un grand nombre de catégories et de types de ressources.

Vous pouvez également créer vos propres détecteurs personnalisés, capables de détecter les failles ou les erreurs de configuration qui ne sont pas couvertes par les détecteurs intégrés ou qui sont propres à votre environnement.

Pour en savoir plus sur les détecteurs intégrés de Security Health Analytics, consultez Détecteurs intégrés à Security Health Analytics.

Pour en savoir plus sur la création et l'utilisation de modules personnalisés, consultez la section Modules personnalisés Security Health Analytics.

Activation des détecteurs

Tous les détecteurs intégrés Security Health Analytics pour Google Cloud ne sont pas activés par défaut.

Si vous utilisez le niveau Entreprise avec la compatibilité multicloud, tous les détecteurs pour AWS sont activés par défaut.

Pour activer les détecteurs intégrés inactifs, consultez la section Activer et désactiver les détecteurs intégrés.

Pour activer ou désactiver un module de détection personnalisé de Security Health Analytics, vous pouvez le mettre à jour à l'aide de la console Google Cloud, de la gcloud CLI ou de l'API Security Command Center.

Pour en savoir plus sur la mise à jour des modules personnalisés de Security Health Analytics, consultez la section Mettre à jour un module personnalisé.

Prise en charge des détecteurs avec les activations au niveau du projet

Avec les niveaux Standard et Premium, vous pouvez activer Security Command Center pour l'ensemble d'une organisation, ou pour un ou plusieurs projets au sein d'une organisation.

Le niveau Entreprise ne permet pas l'activation au niveau du projet.

Détecteurs intégrés et activations au niveau du projet

Lorsque vous activez Security Command Center uniquement pour un projet, certains détecteurs intégrés à Security Health Analytics ne sont pas compatibles, car ils nécessitent des autorisations au niveau de l'organisation.

Parmi les détecteurs intégrés nécessitant une activation au niveau de l'organisation, vous pouvez activer ceux disponibles avec le niveau Standard de Security Command Center pour les activations au niveau du projet en activant le niveau Standard pour votre organisation, qui est gratuit.

Les détecteurs intégrés nécessitant à la fois des autorisations au niveau Premium et au niveau de l'organisation ne sont pas compatibles avec l'activation au niveau du projet.

Pour obtenir la liste des détecteurs de niveau Standard intégrés nécessitant l'activation de Security Command Center Standard au niveau de l'organisation avant de pouvoir être utilisés avec une activation au niveau du projet, consultez Catégories de résultats de niveau Standard au niveau de l'organisation.

Pour obtenir la liste des détecteurs intégrés de niveau Premium non compatibles avec les activations au niveau du projet, consultez Résultats non pris en charge par Security Health Analytics.

Détecteurs de modules personnalisés et activations au niveau du projet

Les analyses des détecteurs de modules personnalisés que vous créez dans un projet sont limitées au champ d'application de ce projet, quel que soit le niveau d'activation de Security Command Center. Les détecteurs de modules personnalisés ne peuvent analyser que les ressources disponibles pour le projet dans lequel ils sont créés.

Pour en savoir plus sur les modules personnalisés, consultez la section Modules personnalisés Security Health Analytics.

Détecteurs intégrés à Security Health Analytics

Cette section décrit les catégories générales des détecteurs, répertoriées par Cloud Platform, ainsi que la catégorie de résultat qu'ils génèrent.

Détecteurs intégrés pour Google Cloud par catégorie générale

Les détecteurs de Security Health Analytics pour Google Cloud et les résultats qu'ils génèrent sont regroupés dans les catégories générales suivantes.

Les détecteurs de Security Health Analytics surveillent un sous-ensemble des types de ressources Google Cloud compatibles avec l'inventaire des éléments cloud.

Pour afficher les détecteurs individuels inclus dans chaque catégorie, cliquez sur le nom de la catégorie.

Détecteurs intégrés pour AWS

Pour obtenir la liste de tous les détecteurs Security Health Analytics pour AWS, consultez les résultats d'AWS.

Modules personnalisés de Security Health Analytics

Les modules personnalisés de Security Health Analytics sont des détecteurs personnalisés pour Google Cloud qui étendent les fonctionnalités de détection de Security Health Analytics au-delà de celles fournies par les détecteurs intégrés.

Les modules personnalisés ne sont pas compatibles avec les autres plates-formes cloud.

Vous pouvez créer des modules personnalisés à l'aide du workflow guidé dans la console Google Cloud, ou créer vous-même la définition du module personnalisé dans un fichier YAML, puis l'importer dans Security Command Center à l'aide des commandes Google Cloud CLI ou de l'API Security Command Center.

Pour en savoir plus, consultez la page Présentation des modules personnalisés pour l'analyse de l'état de sécurité.

Détecteurs et conformité

La mesure de la conformité de Security Command Center avec les benchmarks de sécurité s'appuie en grande partie sur les résultats produits par les détecteurs de failles de Security Health Analytics.

Security Health Analytics surveille votre conformité à l'aide de détecteurs associés aux contrôles d'un large éventail de normes de sécurité.

Pour chaque norme de sécurité compatible, Security Health Analytics vérifie un sous-ensemble de contrôles. Pour les commandes cochées, Security Command Center vous indique le nombre de commandes validées. Pour les contrôles qui ne réussissent pas, Security Command Center affiche une liste de résultats décrivant les échecs des contrôles.

Le CIS examine et certifie les mappages des détecteurs d'analyse de l'état de la sécurité avec chaque version compatible du benchmark CIS de Google Cloud Foundations Benchmark. Les mappages de conformité supplémentaires sont inclus à titre de référence uniquement.

Security Health Analytics ajoute régulièrement la prise en charge de nouvelles versions et normes de benchmark. Les anciennes versions restent compatibles, mais finissent par devenir obsolètes. Nous vous recommandons d'utiliser la norme ou le benchmark compatible le plus récent.

Avec le service de stratégie de sécurité, vous pouvez mapper les règles d'administration et les détecteurs Security Health Analytics avec les normes et les contrôles qui s'appliquent à votre entreprise. Une fois que vous avez créé une stratégie de sécurité, vous pouvez surveiller les modifications de l'environnement qui pourraient affecter la conformité de votre entreprise.

Pour en savoir plus sur la gestion de la conformité, consultez la page Évaluer et signaler la conformité avec les normes de sécurité.

Normes de sécurité compatibles avec Google Cloud

Security Health Analytics mappe les détecteurs pour Google Cloud sur une ou plusieurs des normes de conformité suivantes:

Normes de sécurité compatibles avec AWS

Security Health Analytics mappe les détecteurs d'Amazon Web Services (AWS) à une ou plusieurs des normes de conformité suivantes:

Pour en savoir plus sur la conformité, consultez la page Évaluer et communiquer la conformité des benchmarks de sécurité.