Security Health Analytics adalah layanan terkelola Security Command Center yang memindai lingkungan cloud Anda untuk menemukan kesalahan konfigurasi umum yang mungkin mengekspos Anda terhadap serangan.
Security Health Analytics diaktifkan secara otomatis saat Anda mengaktifkan Security Command Center.
Fitur Security Health Analytics menurut tingkatnya
Fitur Security Health Analytics yang tersedia untuk Anda berbeda-beda bergantung pada tingkat layanan tempat Security Command Center diaktifkan.
Fitur paket standar
Pada paket Standar, Security Health Analytics hanya dapat mendeteksi grup dasar kerentanan dengan tingkat keparahan sedang dan tinggi. Untuk daftar kategori temuan yang dideteksi oleh Security Health Analytics dengan tingkat Standar, lihat Tingkat layanan standar.
Fitur paket premium
Paket Premium mencakup fitur berikut:
- Semua pendeteksi untuk Google Cloud, serta sejumlah fitur deteksi kerentanan lainnya, seperti kemampuan untuk membuat modul deteksi kustom.
- Temuan dipetakan ke kontrol kepatuhan untuk pelaporan kepatuhan. Untuk informasi selengkapnya, lihat Pendeteksi dan kepatuhan.
- Simulasi jalur serangan Security Command Center menghitung skor eksposur serangan dan potensi jalur serangan untuk sebagian besar temuan Security Health Analytics. Untuk mengetahui informasi selengkapnya, lihat Ringkasan skor eksposur serangan dan jalur serangan.
Untuk mengetahui daftar semua fitur paket Premium, lihat Paket Premium.
Fitur tingkat perusahaan
Tingkat Enterprise mencakup semua fitur tingkat Premium, serta detektor untuk platform penyedia layanan cloud lainnya.
Beralih tingkat
Sebagian besar detektor Security Health Analytics hanya tersedia di Paket premium dan tingkat Enterprise Security Command Center. Jika Anda menggunakan tingkat Premium atau Enterprise dan berencana beralih ke paket Standar, sebaiknya Anda menyelesaikan semua temuan sebelum mengubah paket Anda.
Saat uji coba Premium atau Enterprise berakhir, atau Anda mendowngrade ke tingkat Standard dari tingkat Premium atau tingkat Enterprise, status temuan yang dihasilkan pada tingkat yang lebih tinggi akan ditetapkan ke INACTIVE.
Dukungan multicloud
Security Health Analytics dapat mendeteksi kesalahan konfigurasi dalam deployment Anda di platform cloud lainnya.
Security Health Analytics mendukung penyedia layanan cloud lainnya berikut ini:
- Amazon Web Services (AWS)
Untuk menjalankan detektor di AWS, Anda harus menghubungkan Security Command Center ke AWS terlebih dahulu, seperti yang dijelaskan dalam artikel Menghubungkan ke AWS untuk deteksi kerentanan dan penilaian risiko.
Layanan cloud Google Cloud yang didukung
Pemindaian penilaian kerentanan terkelola Security Health Analytics untuk Google Cloud dapat otomatis mendeteksi kerentanan dan kesalahan konfigurasi umum di seluruh layanan Google Cloud berikut:
- Cloud Monitoring dan Cloud Logging
- Compute Engine
- Container dan jaringan Google Kubernetes Engine
- Cloud Storage
- Cloud SQL
- Identity and Access Management (IAM)
- Cloud Key Management Service (Cloud KMS)
- Cloud DNS
Jenis pemindaian Security Health Analytics
Pemindaian Security Health Analytics berjalan dalam tiga mode:
Pemindaian batch: Semua detektor dijadwalkan untuk dijalankan untuk semua organisasi atau project yang terdaftar, sekali sehari.
Pemindaian real-time: Khusus untuk deployment Google Cloud, detektor yang didukung akan memulai pemindaian setiap kali ada perubahan yang terdeteksi dalam konfigurasi resource. Temuan ditulis ke Security Command Center. Pemindaian real-time tidak didukung untuk deployment pada platform cloud lain.
Mode campuran: Beberapa detektor yang mendukung pemindaian real-time mungkin tidak mendeteksi perubahan secara real time untuk semua jenis resource yang didukung. Dalam kasus tersebut, perubahan konfigurasi untuk beberapa jenis resource akan segera direkam dan yang lainnya akan direkam dalam pemindaian batch. Pengecualian dicatat dalam tabel temuan Security Health Analytics.
Pendeteksi Security Health Analytics
Security Health Analytics menggunakan detektor untuk mengidentifikasi kerentanan dan kesalahan konfigurasi di lingkungan cloud Anda. Setiap pendeteksi sesuai dengan kategori temuan.
Security Health Analytics dilengkapi dengan banyak detektor bawaan yang memeriksa kerentanan dan kesalahan konfigurasi di sejumlah besar kategori dan jenis resource.
Anda juga dapat membuat pendeteksi kustom Anda sendiri yang dapat memeriksa kerentanan atau kesalahan konfigurasi yang tidak dicakup oleh pendeteksi bawaan atau yang bersifat spesifik untuk lingkungan Anda.
Untuk informasi lebih lanjut tentang detektor Security Health Analytics bawaan, lihat Pendeteksi bawaan Security Health Analytics.
Untuk informasi selengkapnya tentang cara membuat dan menggunakan modul kustom, lihat Modul kustom Security Health Analytics.
Pengaktifan pendeteksi
Tidak semua detektor bawaan Security Health Analytics untuk Google Cloud diaktifkan secara default.
Jika Anda menggunakan tingkat Enterprise dengan dukungan multicloud, semua pendeteksi untuk AWS diaktifkan secara default.
Untuk mengaktifkan detektor bawaan yang tidak aktif, lihat Mengaktifkan dan menonaktifkan detektor.
Untuk mengaktifkan atau menonaktifkan modul deteksi kustom Security Health Analytics, Anda dapat memperbarui modul kustom menggunakan Konsol Google Cloud, gcloud CLI, atau Security Command Center API.
Untuk informasi selengkapnya tentang cara memperbarui modul kustom Security Health Analytics, lihat Memperbarui modul kustom.
Dukungan pendeteksi dengan aktivasi level project
Dengan paket Standar dan Premium, Anda dapat mengaktifkan Security Command Center untuk seluruh organisasi, atau untuk satu atau beberapa project dalam organisasi.
Tingkat Enterprise tidak mendukung aktivasi level project.
Detektor bawaan dan aktivasi level project
Saat Anda mengaktifkan Security Command Center khusus untuk project, detektor Security Health Analytics bawaan tertentu tidak didukung karena memerlukan izin tingkat organisasi.
Dari detektor bawaan yang memerlukan aktivasi tingkat organisasi, Anda dapat mengaktifkan detektor yang tersedia dengan Security Command Center tingkat Standar untuk aktivasi tingkat project dengan mengaktifkan paket Standar untuk organisasi Anda, tanpa biaya.
Pendeteksi bawaan yang memerlukan izin tingkat organisasi dan paket Premium tidak didukung dengan aktivasi level project.
Untuk daftar detektor tingkat Standar bawaan yang memerlukan aktivasi Security Command Center Standar tingkat organisasi sebelum dapat digunakan dengan aktivasi tingkat project, lihat Kategori penemuan tingkat Standar tingkat organisasi.
Untuk daftar detektor tingkat Premium bawaan yang tidak didukung dengan aktivasi level project, lihat Temuan Analisis Kondisi Keamanan yang Tidak Didukung.
Pendeteksi modul kustom dan aktivasi level project
Pemindaian detektor modul kustom yang Anda buat dalam sebuah project dibatasi pada cakupan project, terlepas dari tingkat aktivasi Security Command Center. Detektor modul kustom hanya dapat memindai resource yang tersedia untuk project tempat resource tersebut dibuat.
Untuk informasi selengkapnya tentang modul kustom, lihat Modul kustom Security Health Analytics.
Pendeteksi bawaan Security Health Analytics
Bagian ini menjelaskan kategori tingkat tinggi dari detektor, yang dicantumkan oleh platform cloud dan kategori temuan yang dihasilkannya.
Detektor bawaan untuk Google Cloud menurut kategori tingkat tinggi
Detektor Security Health Analytics untuk Google Cloud, dan temuan yang dikeluarkannya dikelompokkan ke dalam kategori tingkat tinggi berikut.
Detektor Security Health Analytics memantau subset jenis resource Google Cloud yang didukung oleh Inventaris Aset Cloud.
Untuk melihat masing-masing pendeteksi yang disertakan dalam setiap kategori, klik nama kategori.
- Temuan kerentanan kunci API
- Melakukan komputasi temuan kerentanan gambar
- Temuan kerentanan instance komputasi
- Temuan kerentanan container
- Temuan kerentanan Dataproc
- Temuan kerentanan set data
- Temuan kerentanan DNS
- Temuan kerentanan firewall
- Temuan kerentanan IAM
- Temuan kerentanan KMS
- Membuat log temuan kerentanan
- Memantau temuan kerentanan
- Temuan kerentanan autentikasi multi-faktor
- Temuan kerentanan jaringan
- Temuan kerentanan Kebijakan Organisasi
- Temuan kerentanan Pub/Sub
- Temuan kerentanan SQL
- Temuan kerentanan penyimpanan
- Temuan kerentanan subnetwork
Detektor bawaan untuk AWS
Daftar semua detektor Security Health Analytics untuk AWS, lihat temuan AWS.
Modul kustom Security Health Analytics
Modul kustom Security Health Analytics adalah pendeteksi kustom untuk Google Cloud yang memperluas kemampuan deteksi Security Health Analytics di luar yang disediakan oleh detektor bawaan.
Modul kustom tidak didukung untuk platform cloud lainnya.
Anda dapat membuat modul kustom menggunakan alur kerja terpandu di Konsol Google Cloud. Anda juga dapat membuat sendiri definisi modul kustom dalam file YAML, lalu menguploadnya ke Security Command Center menggunakan perintah Google Cloud CLI atau Security Command Center API.
Untuk informasi selengkapnya, lihat Ringkasan modul kustom untuk Analisis Kondisi Keamanan.
Pendeteksi dan kepatuhan
Pengukuran kepatuhan Security Command Center terhadap tolok ukur keamanan sebagian besar didasarkan pada temuan yang dihasilkan oleh detektor kerentanan Security Health Analytics.
Security Health Analytics memantau kepatuhan Anda terhadap pendeteksi yang dipetakan ke kontrol berbagai standar keamanan.
Untuk setiap standar keamanan yang didukung, Security Health Analytics memeriksa subkumpulan kontrol. Untuk kontrol yang dicentang, Security Command Center akan menampilkan jumlah yang lulus. Untuk kontrol yang tidak lulus, Security Command Center menampilkan daftar temuan yang menjelaskan kegagalan kontrol.
CIS meninjau dan menyetujui pemetaan detektor Security Health Analytics ke setiap versi CIS Google Cloud Foundations Benchmark yang didukung. Pemetaan kepatuhan tambahan hanya disertakan untuk tujuan referensi.
Security Health Analytics menambahkan dukungan untuk versi dan standar benchmark baru secara berkala. Versi lama tetap didukung, tetapi pada akhirnya tidak digunakan lagi. Sebaiknya gunakan tolok ukur atau standar terbaru yang didukung dan tersedia.
Dengan layanan postur keamanan, Anda dapat memetakan kebijakan organisasi dan detektor Analisis Kesehatan Keamanan ke standar dan kontrol yang berlaku untuk bisnis Anda. Setelah membuat postur keamanan, Anda dapat memantau setiap perubahan pada lingkungan yang dapat memengaruhi kepatuhan bisnis Anda.
Untuk informasi selengkapnya tentang mengelola kepatuhan, lihat Menilai dan melaporkan kepatuhan terhadap standar keamanan.
Standar keamanan yang didukung di Google Cloud
Security Health Analytics memetakan detektor untuk Google Cloud ke satu atau beberapa standar kepatuhan berikut:
- Center for Information Security (CIS) Controls 8.0
- CIS Google Cloud Computing Foundations Benchmark v2.0.0, v1.3.0, v1.2.0, v1.1.0, dan v1.0.0
- CIS Kubernetes Benchmark v1.5.1
- Matriks Kontrol Cloud (CCM) 4
- Health Insurance Portability and Accountability Act (HIPAA)
- International Organization for Standardization (ISO) 27001, 2022, dan 2013
- National Institute of Standards and Technology (NIST) 800-53 R5 dan R4
- NIST CSF 1.0
- Sepuluh Teratas Open Web Application Security Project (OWASP) 2021 dan 2017
- Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) 4.0 dan 3.2.1
- Kontrol Sistem dan Organisasi (SOC) 2 Kriteria Layanan Tepercaya (TSC) 2017
Standar keamanan yang didukung di AWS
Security Health Analytics memetakan pendeteksi untuk Amazon Web Services (AWS) ke satu atau beberapa standar kepatuhan berikut:
- CIS Amazon Web Services Foundations 2.0.0
- Kontrol CIS 8.0
- CCM 4
- HIPAA
- ISO 27001 2022
- NIST 800-53 R5
- NIST CSF 1.0
- PCI DSS 4.0 dan 3.2.1
- SOC 2 TSC 2017
Untuk mengetahui informasi selengkapnya tentang kepatuhan, lihat Menilai dan melaporkan kepatuhan terhadap tolok ukur keamanan.