Security Health Analytics es un servicio administrado de Security Command Center que analiza tus entornos de nube en busca de parámetros de configuración incorrectos comunes que podrían exponerte a ataques.
Security Health Analytics se habilita automáticamente cuando activas Security Command Center.
Funciones de Security Health Analytics por nivel
Las funciones de Security Health Analytics que tienes disponibles difieren según el nivel de servicio en el que está habilitado Security Command Center.
Funciones del nivel Estándar
En el nivel Estándar, las Estadísticas del estado de la seguridad solo pueden detectar un grupo básico de vulnerabilidades de gravedad media y alta. Para obtener una lista de las categorías de resultados que Security Health Analytics detecta con el nivel estándar, consulta Nivel de servicio estándar.
Funciones del nivel Premium
El nivel Premium incluye las siguientes funciones:
- Todos los detectores para Google Cloud, así como varias otras funciones de detección de vulnerabilidades, como la capacidad de crear módulos de detección personalizados
- Los hallazgos se asignan a los controles de cumplimiento para los informes de cumplimiento. Para obtener más información, consulta Detectores y cumplimiento.
- Las simulaciones de rutas de ataque de Security Command Center calculan las puntuaciones de exposición a ataques y las posibles rutas de ataque para la mayoría de los resultados de Estadísticas del estado de la seguridad. Para obtener más información, consulta Descripción general de las puntuaciones de exposición a ataques y las rutas de ataque.
Para obtener una lista de todas las funciones del nivel Premium, consulta Nivel Premium.
Funciones del nivel empresarial
El nivel Enterprise incluye todas las funciones del nivel Premium, así como detectores para otras plataformas de proveedores de servicios en la nube.
Cambia de niveles
La mayoría de los detectores de Security Health Analytics solo están disponibles en los niveles Premium y Enterprise de Security Command Center. Si usas el nivel Premium o Enterprise y planeas cambiar al nivel Estándar, te recomendamos que resuelvas todos los resultados antes de cambiar de nivel.
Cuando finaliza una prueba de Premium o Enterprise, o bien cambias al nivel estándar desde el nivel Premium o Enterprise, el estado de los resultados que se generaron en el nivel superior se establece en INACTIVE.
Compatibilidad con varias nubes
Las estadísticas del estado de la seguridad pueden detectar configuraciones incorrectas en tus implementaciones en otras plataformas de nube.
Security Health Analytics admite los siguientes proveedores de servicios en la nube:
- Amazon Web Services (AWS)
Para ejecutar los detectores en AWS, primero debes conectar Security Command Center a AWS, como se describe en Cómo conectarse a AWS para la detección de vulnerabilidades y la evaluación de riesgos.
Servicios en la nube de Google Cloud compatibles
El análisis de evaluaciones de vulnerabilidades administrado por Security Health Analytics para Google Cloud puede detectar automáticamente vulnerabilidades comunes y configuraciones incorrectas en los siguientes servicios de Google Cloud:
- Cloud Monitoring y Cloud Logging
- Compute Engine
- Contenedores y redes de Google Kubernetes Engine
- Cloud Storage
- Cloud SQL
- Administración de identidades y accesos (IAM)
- Cloud Key Management Service (Cloud KMS)
- Cloud DNS
Tipos de análisis de Security Health Analytics
Los análisis de las estadísticas de estado de seguridad se ejecutan en tres modos:
Análisis por lotes: Todos los detectores están programados para ejecutarse en todas las organizaciones o proyectos inscritos una vez al día.
Análisis en tiempo real: Solo para las implementaciones de Google Cloud, los detectores compatibles inician análisis cada vez que se detecta un cambio en la configuración de un recurso. Los resultados se escriben en Security Command Center. Los análisis en tiempo real no son compatibles con las implementaciones en otras plataformas en la nube.
Modo mixto: Es posible que algunos detectores que admiten análisis en tiempo real no detecten cambios en tiempo real en todos los tipos de recursos admitidos. En esos casos, los cambios de configuración para algunos tipos de recursos se capturan de inmediato y otros se capturan en los análisis por lotes. Las excepciones se indican en las tablas de resultados de las estadísticas de estado de seguridad.
Detectores de estadísticas de estado de seguridad
Security Health Analytics usa detectores para identificar vulnerabilidades y parámetros de configuración incorrectos en tu entorno de nube. Cada detector corresponde a una categoría de hallazgos.
Security Health Analytics incluye muchos detectores integrados que verifican vulnerabilidades y parámetros de configuración incorrectos en una gran cantidad de categorías y tipos de recursos.
También puedes crear tus propios detectores personalizados que puedan detectar vulnerabilidades o parámetros de configuración incorrectos que no estén cubiertos por los detectores integrados o que sean específicos de tu entorno.
Para obtener más información sobre los detectores integrados de Security Health Analytics, consulta Detectores integrados de Security Health Analytics.
Para obtener más información sobre cómo crear y usar módulos personalizados, consulta Módulos personalizados de Security Health Analytics.
Habilitación de detectores
No todos los detectores integrados de Security Health Analytics para Google Cloud están habilitados de forma predeterminada.
Si usas el nivel empresarial con compatibilidad con múltiples nubes, todos los detectores de AWS están habilitados de forma predeterminada.
Para activar los detectores integrados inactivos, consulta Habilita e inhabilita los detectores.
Para habilitar o inhabilitar un módulo de detección personalizado de Security Health Analytics, puedes actualizarlo con la consola de Google Cloud, gcloud CLI o la API de Security Command Center.
Para obtener más información sobre la actualización de módulos personalizados de las estadísticas del estado de la seguridad, consulta Cómo actualizar un módulo personalizado.
Compatibilidad con detectores con activaciones a nivel del proyecto
Con los niveles Estándar y Premium, puedes activar Security Command Center para una organización completa o para uno o más proyectos dentro de una organización.
El nivel empresarial no admite activaciones a nivel del proyecto.
Detectores integrados y activaciones a nivel del proyecto
Cuando habilitas Security Command Center solo para un proyecto, ciertos detectores integrados de Security Health Analytics no son compatibles porque requieren permisos a nivel de la organización.
De los detectores integrados que requieren una activación a nivel de la organización, puedes habilitar los que están disponibles con el nivel estándar de Security Command Center para activaciones a nivel del proyecto. Para ello, habilita el nivel estándar para tu organización, sin costo.
Los detectores integrados que requieren el nivel Premium y los permisos a nivel de la organización no son compatibles con las activaciones a nivel del proyecto.
Para obtener una lista de los detectores integrados del nivel estándar que requieren una activación a nivel de la organización de Security Command Center Standard antes de que se puedan usar con una activación a nivel del proyecto, consulta Categorías de resultados del nivel estándar a nivel de la organización.
Para obtener una lista de los detectores integrados de nivel Premium que no son compatibles con las activaciones a nivel del proyecto, consulta Resultados de las estadísticas del estado de seguridad no admitidos.
Detectores de módulos personalizados y activaciones a nivel del proyecto
Los análisis de los detectores de módulos personalizados que creas en un proyecto se limitan al alcance del proyecto, independientemente del nivel de activación de Security Command Center. Los detectores de módulos personalizados solo pueden analizar los recursos que están disponibles para el proyecto en el que se crean.
Para obtener más información sobre los módulos personalizados, consulta Módulos personalizados de las estadísticas del estado de la seguridad.
Detectores integrados de Security Health Analytics
En esta sección, se describen las categorías de alto nivel de los detectores, que se enumeran por plataforma de nube y la categoría de resultados que generan.
Detectores integrados para Google Cloud por categoría de alto nivel
Los detectores de Security Health Analytics para Google Cloud y los resultados que emiten se agrupan en las siguientes categorías de alto nivel.
Los detectores de Security Health Analytics supervisan un subconjunto de los tipos de recursos de Google Cloud que admite Cloud Asset Inventory.
Para ver los detectores individuales que se incluyen en cada categoría, haz clic en el nombre de la categoría.
- Resultados de las vulnerabilidades de la clave de API
- Resultados de las vulnerabilidades de las imágenes de Compute
- Resultados de las vulnerabilidades de las instancias de Compute
- Resultados de las vulnerabilidades de contenedores
- Resultados de las vulnerabilidades de Dataproc
- Resultados de las vulnerabilidades de los conjuntos de datos
- Resultados de las vulnerabilidades de DNS
- Resultados de las vulnerabilidades de firewall
- Resultados de las vulnerabilidades de IAM
- Resultados de las vulnerabilidades de KMS
- Resultados de las vulnerabilidades de registros
- Resultados de las vulnerabilidades de Monitoring
- Resultados de vulnerabilidades de autenticación de varios factores
- Resultados de las vulnerabilidades de la red
- Resultados de las vulnerabilidades de las políticas de la organización
- Resultados de vulnerabilidades de Pub/Sub
- Resultados de las vulnerabilidades de SQL
- Resultados de las vulnerabilidades de almacenamiento
- Resultados de las vulnerabilidades de la subred
Detectores integrados para AWS
Para obtener una lista de todos los detectores de Security Health Analytics para AWS, consulta Resultados de AWS.
Módulos personalizados de Security Health Analytics
Los módulos personalizados de las estadísticas del estado de la seguridad son detectores personalizados para Google Cloud que extienden las capacidades de detección de las estadísticas del estado de la seguridad más allá de las que proporcionan los detectores integrados.
Los módulos personalizados no son compatibles con otras plataformas de nube.
Puedes crear módulos personalizados con el flujo de trabajo guiado en la consola de Google Cloud, o bien crear la definición del módulo personalizado en un archivo YAML y, luego, subirlo a Security Command Center con los comandos de Google Cloud CLI o la API de Security Command Center.
Para obtener más información, consulta Descripción general de los módulos personalizados para las estadísticas del estado de seguridad.
Detectores y cumplimiento
La medición del cumplimiento de Security Command Center con las comparativas de seguridad se basa en gran medida en los resultados que generan los detectores de vulnerabilidades de Security Health Analytics.
Las estadísticas del estado de la seguridad supervisan tu cumplimiento con detectores que se asignan a los controles de una amplia variedad de estándares de seguridad.
Para cada estándar de seguridad compatible, Security Health Analytics verifica un subconjunto de los controles. En el caso de los controles que se marcaron, Security Command Center te muestra cuántos cumplen con los requisitos. En el caso de los controles que no se aprueban, Security Command Center te muestra una lista de hallazgos que describen las fallas de control.
CIS revisa y certifica las asignaciones de los detectores de Security Health Analytics a cada versión compatible de las comparativas de CIS Google Cloud Foundations. Las asignaciones de cumplimiento adicionales se incluyen solo a modo de referencia.
Security Health Analytics agrega compatibilidad con nuevas versiones y estándares de comparativas de forma periódica. Las versiones anteriores siguen siendo compatibles, pero, con el tiempo, dejarán de serlo. Te recomendamos que uses la comparativa o el estándar compatibles más recientes disponibles.
Con el servicio de posición de seguridad, puedes asignar las políticas de la organización y los detectores de Security Health Analytics a los estándares y controles que se aplican a tu empresa. Después de crear una postura de seguridad, puedes supervisar si hay cambios en el entorno que podrían afectar el cumplimiento de tu empresa.
Para obtener más información sobre la administración del cumplimiento, consulta Cómo evaluar y generar informes sobre el cumplimiento de los estándares de seguridad.
Estándares de seguridad admitidos
Google Cloud
Security Health Analytics asigna detectores de Google Cloud a uno o más de los siguientes estándares de cumplimiento:
- Controles 8.0 del Center for Information Security (CIS)
- CIS Google Cloud Computing Foundations Benchmark v2.0.0, v1.3.0, v1.2.0, v1.1.0 y v1.0.0
- Comparativas de CIS en Kubernetes 1.5.1
- Matriz de controles de la nube (CCM) 4
- Ley de Responsabilidad y Portabilidad de Seguros Médicos (HIPAA)
- Organización Internacional de Normalización (ISO) 27001, 2022 y 2013
- National Institute of Standards and Technology (NIST) 800-53 R5 y R4
- NIST CSF 1.0
- Open Web Application Security Project (OWASP) Top Ten, 2021 y 2017
- Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) 4.0 y 3.2.1
- Controles de sistemas y organizaciones (SOC) 2 2017 Trust Services Criteria (TSC)
AWS
Security Health Analytics asigna detectores de Amazon Web Services (AWS) a uno o más de los siguientes estándares de cumplimiento:
Para obtener más información sobre el cumplimiento, consulta Cómo evaluar y generar informes sobre el cumplimiento de las comparativas de seguridad.