Security Health Analytics adalah layanan terkelola Security Command Center yang memindai lingkungan cloud Anda untuk menemukan kesalahan konfigurasi umum yang dapat mengekspos Anda terhadap serangan.
Security Health Analytics otomatis diaktifkan saat Anda mengaktifkan Security Command Center.
Fitur Security Health Analytics menurut tingkat
Fitur Security Health Analytics yang tersedia untuk Anda berbeda-beda, bergantung pada tingkat layanan tempat Security Command Center diaktifkan.
Fitur tingkat standar
Di tingkat Standar, Security Health Analytics hanya dapat mendeteksi grup dasar kerentanan tingkat sedang dan tingkat tinggi. Untuk mengetahui daftar kategori temuan yang terdeteksi oleh Security Health Analytics dengan tingkat Standar, lihat Tingkat layanan standar.
Fitur tingkat Premium
Tingkat Premium menyertakan fitur berikut:
- Semua detektor untuk Google Cloud, serta sejumlah fitur deteksi kerentanan lainnya, seperti kemampuan untuk membuat modul deteksi kustom.
- Temuan dipetakan ke kontrol kepatuhan untuk pelaporan kepatuhan. Untuk informasi selengkapnya, lihat Pendeteksi dan kepatuhan.
- Simulasi jalur serangan Security Command Center menghitung skor eksposur serangan dan potensi jalur serangan untuk sebagian besar temuan Security Health Analytics. Untuk mengetahui informasi selengkapnya, lihat Ringkasan skor eksposur serangan dan jalur serangan.
Untuk mengetahui daftar semua fitur tingkat Premium, lihat Tingkat Premium.
Fitur paket Enterprise
Tingkat Enterprise mencakup semua fitur tingkat Premium, serta detektor untuk platform penyedia layanan cloud lainnya.
Beralih tingkat
Sebagian besar detektor Security Health Analytics hanya tersedia di paket Premium Security Command Center dan paket Enterprise. Jika Anda menggunakan tingkat Premium atau Enterprise dan berencana beralih ke tingkat Standar, sebaiknya selesaikan semua temuan sebelum mengubah tingkat.
Saat uji coba Premium atau Enterprise berakhir atau Anda melakukan downgrade ke paket Standar dari paket Premium atau Enterprise, status temuan yang dihasilkan di paket yang lebih tinggi akan ditetapkan ke INACTIVE
.
Dukungan multicloud
Security Health Analytics dapat mendeteksi miskonfigurasi dalam deployment Anda di platform cloud lainnya.
Security Health Analytics mendukung penyedia layanan cloud lainnya berikut:
- Amazon Web Services (AWS)
Untuk menjalankan detektor di AWS, Anda harus menghubungkan Security Command Center ke AWS terlebih dahulu, seperti yang dijelaskan dalam Menghubungkan ke AWS untuk deteksi kerentanan dan penilaian risiko.
Layanan cloud Google Cloud yang didukung
Pemindaian penilaian kerentanan terkelola Security Health Analytics untuk Google Cloud dapat otomatis mendeteksi kerentanan umum dan kesalahan konfigurasi di seluruh layanan Google Cloud berikut:
- Cloud Monitoring dan Cloud Logging
- Compute Engine
- Container dan jaringan Google Kubernetes Engine
- Cloud Storage
- Cloud SQL
- Identity and Access Management (IAM)
- Cloud Key Management Service (Cloud KMS)
- Cloud DNS
Jenis pemindaian Security Health Analytics
Pemindaian Security Health Analytics dijalankan dalam tiga mode:
Pemindaian batch: Semua detektor dijadwalkan untuk dijalankan untuk semua organisasi atau project terdaftar sekali sehari.
Pemindaian real-time: Khusus untuk deployment Google Cloud, detector yang didukung akan memulai pemindaian setiap kali perubahan terdeteksi dalam konfigurasi resource. Temuan akan ditulis ke Security Command Center. Pemindaian real-time tidak didukung untuk deployment di platform cloud lainnya.
Mode campuran: Beberapa detektor yang mendukung pemindaian real-time mungkin tidak mendeteksi perubahan secara real time untuk semua jenis resource yang didukung. Dalam kasus tersebut, perubahan konfigurasi untuk beberapa jenis resource akan langsung diambil dan yang lainnya akan diambil dalam pemindaian batch. Pengecualian dicatat dalam tabel temuan Security Health Analytics.
Detektor Security Health Analytics
Security Health Analytics menggunakan detektor untuk mengidentifikasi kerentanan dan kesalahan konfigurasi di lingkungan cloud Anda. Setiap detector sesuai dengan kategori temuan.
Security Health Analytics dilengkapi dengan banyak pendeteksi bawaan yang memeriksa kerentanan dan miskonfigurasi di sejumlah besar kategori dan jenis resource.
Anda juga dapat membuat detektor kustom sendiri yang dapat memeriksa kerentanan atau kesalahan konfigurasi yang tidak tercakup oleh detektor bawaan atau yang khusus untuk lingkungan Anda.
Untuk informasi selengkapnya tentang detektor Security Health Analytics bawaan, lihat Detektor bawaan Security Health Analytics.
Untuk mengetahui informasi selengkapnya tentang cara membuat dan menggunakan modul kustom, lihat Modul kustom Security Health Analytics.
Pengaktifan pendeteksi
Tidak semua detektor bawaan Security Health Analytics untuk Google Cloud diaktifkan secara default.
Jika Anda menggunakan tingkat Enterprise dengan dukungan multi-cloud, semua detektor untuk AWS akan diaktifkan secara default.
Untuk mengaktifkan detektor bawaan yang tidak aktif, lihat Mengaktifkan dan menonaktifkan detektor.
Untuk mengaktifkan atau menonaktifkan modul deteksi kustom Security Health Analytics, Anda dapat mengupdate modul kustom menggunakan konsol Google Cloud, gcloud CLI, atau Security Command Center API.
Untuk informasi selengkapnya tentang cara mengupdate modul kustom Security Health Analytics, lihat Memperbarui modul kustom.
Dukungan detektor dengan aktivasi level project
Dengan paket Standar dan Premium, Anda dapat mengaktifkan Security Command Center untuk seluruh organisasi, atau untuk satu atau beberapa project dalam organisasi.
Tingkat Enterprise tidak mendukung aktivasi tingkat project.
Detektor bawaan dan aktivasi level project
Jika Anda mengaktifkan Security Command Center hanya untuk project, detektor Analisis Kondisi Keamanan bawaan tertentu tidak didukung karena memerlukan izin tingkat organisasi.
Dari detektor bawaan yang memerlukan aktivasi level organisasi, Anda dapat mengaktifkan detektor yang tersedia dengan paket Standar Security Command Center untuk aktivasi level project dengan mengaktifkan paket Standar untuk organisasi Anda, tanpa biaya.
Detektor bawaan yang memerlukan paket Premium dan izin tingkat organisasi tidak didukung dengan aktivasi tingkat project.
Untuk mengetahui daftar detektor bawaan paket Standar yang memerlukan aktivasi Security Command Center Standar level organisasi sebelum dapat digunakan dengan aktivasi level project, lihat Kategori temuan paket Standar level organisasi.
Untuk mengetahui daftar detektor bawaan tingkat Premium yang tidak didukung dengan aktivasi tingkat project, lihat Temuan Security Health Analytics yang tidak didukung.
Pendeteksi modul kustom dan aktivasi level project
Pemindaian detektor modul kustom yang Anda buat dalam project terbatas pada cakupan project, terlepas dari level aktivasi Security Command Center. Detektor modul kustom hanya dapat memindai resource yang tersedia untuk project tempatnya dibuat.
Untuk mengetahui informasi selengkapnya tentang modul kustom, lihat Modul kustom Security Health Analytics.
Detektor bawaan Security Health Analytics
Bagian ini menjelaskan kategori umum dari detektor, yang tercantum berdasarkan platform cloud dan kategori temuan yang dihasilkannya.
Detektor bawaan untuk Google Cloud menurut kategori tingkat tinggi
Detektor Security Health Analytics untuk Google Cloud, dan temuan yang dikeluarkannya, dikelompokkan ke dalam kategori tingkat tinggi berikut.
Detektor Security Health Analytics memantau sebagian jenis resource Google Cloud yang didukung oleh Inventaris Aset Cloud.
Untuk melihat setiap detektor yang disertakan dalam setiap kategori, klik nama kategori.
- Temuan kerentanan kunci API
- Temuan kerentanan image compute
- Temuan kerentanan instance Compute
- Temuan kerentanan penampung
- Temuan kerentanan Dataproc
- Temuan kerentanan set data
- Temuan kerentanan DNS
- Temuan kerentanan firewall
- Temuan kerentanan IAM
- Temuan kerentanan KMS
- Mencatat temuan kerentanan
- Memantau temuan kerentanan
- Temuan kerentanan autentikasi multi-faktor
- Temuan kerentanan jaringan
- Temuan kerentanan kebijakan organisasi
- Temuan kerentanan Pub/Sub
- Temuan kerentanan SQL
- Temuan kerentanan penyimpanan
- Temuan kerentanan subjaringan
Pendeteksi bawaan untuk AWS
Untuk daftar semua detektor Security Health Analytics untuk AWS, lihat temuan AWS.
Modul kustom Security Health Analytics
Modul kustom Security Health Analytics adalah detektor kustom untuk Google Cloud yang memperluas kemampuan deteksi Security Health Analytics di luar yang disediakan oleh detektor bawaan.
Modul kustom tidak didukung untuk platform cloud lainnya.
Anda dapat membuat modul kustom menggunakan alur kerja terpandu di konsol Google Cloud, atau Anda dapat membuat definisi modul kustom sendiri dalam file YAML, lalu menguploadnya ke Security Command Center menggunakan perintah Google Cloud CLI atau Security Command Center API.
Untuk informasi selengkapnya, lihat Ringkasan modul kustom untuk Security Health Analytics.
Pendeteksi dan kepatuhan
Pengukuran kepatuhan Security Command Center terhadap tolok ukur keamanan didasarkan sebagian besar pada temuan yang dihasilkan oleh pendeteksi kerentanan Security Health Analytics.
Security Health Analytics memantau kepatuhan Anda terhadap detektor yang dipetakan ke kontrol berbagai standar keamanan.
Untuk setiap standar keamanan yang didukung, Security Health Analytics akan memeriksa sebagian kontrol. Untuk kontrol yang dicentang, Security Command Center akan menampilkan jumlah kontrol yang lulus. Untuk kontrol yang tidak lulus, Security Command Center akan menampilkan daftar temuan yang menjelaskan kegagalan kontrol.
CIS meninjau dan memberikan sertifikasi pemetaan detector Security Health Analytics ke setiap versi CIS Google Cloud Foundations Benchmark yang didukung. Pemetaan kepatuhan tambahan disertakan hanya untuk tujuan referensi.
Security Health Analytics menambahkan dukungan untuk versi dan standar benchmark baru secara berkala. Versi lama tetap didukung, tetapi pada akhirnya tidak digunakan lagi. Sebaiknya gunakan benchmark atau standar terbaru yang didukung dan tersedia.
Dengan layanan postur keamanan, Anda dapat memetakan kebijakan organisasi dan detektor Security Health Analytics ke standar dan kontrol yang berlaku untuk bisnis Anda. Setelah membuat postur keamanan, Anda dapat memantau perubahan apa pun pada lingkungan yang dapat memengaruhi kepatuhan bisnis Anda.
Untuk informasi selengkapnya tentang cara mengelola kepatuhan, lihat Menilai dan melaporkan kepatuhan terhadap standar keamanan.
Standar keamanan yang didukung
Google Cloud
Security Health Analytics memetakan detector untuk Google Cloud ke satu atau beberapa standar kepatuhan berikut:
- Center for Information Security (CIS) Controls 8.0
- CIS Google Cloud Computing Foundations Benchmark v2.0.0, v1.3.0, v1.2.0, v1.1.0, dan v1.0.0
- Tolok Ukur Kubernetes CIS v1.5.1
- Cloud Controls Matrix (CCM) 4
- Health Insurance Portability and Accountability Act (HIPAA)
- International Organization for Standardization (ISO) 27001, 2022, dan 2013
- National Institute of Standards and Technology (NIST) 800-53 R5 dan R4
- NIST CSF 1.0
- Sepuluh Teratas Open Web Application Security Project (OWASP), 2021 dan 2017
- Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) 4.0 dan 3.2.1
- System and Organization Controls (SOC) 2 2017 Trust Services Criteria (TSC)
AWS
Security Health Analytics memetakan detektor untuk Amazon Web Services (AWS) ke satu atau beberapa standar kepatuhan berikut:
Untuk informasi selengkapnya tentang kepatuhan, lihat Menilai dan melaporkan kepatuhan benchmark keamanan.