Security Health Analytics 概览

Security Health Analytics 是 Security Command Center 的一项代管式服务， 您的云环境中是否存在常见的错误配置 进行攻击。

激活 Security Command Center 后，系统会自动启用 Security Health Analytics。

Security Health Analytics 功能（按层级）

可供您使用的 Security Health Analytics 功能因具体情况而异 启用 Security Command Center 的服务层级。

标准层级功能

在标准层级中，Security Health Analytics 只能检测基本群组 中等严重级别和高严重级别的漏洞。有关 查找 Security Health Analytics 使用标准层级检测到的类别，请参阅 标准服务层级。

高级层级功能

高级层级 包含以下功能：

• 全部 检测器 以及许多其他漏洞 检测功能，例如创建自定义 检测模块。
• 发现结果会映射到合规性报告的合规控制措施。 如需了解详情，请参阅检测器和合规性。
• Security Command Center 攻击路径模拟会计算大多数 Security Health Analytics 发现结果的攻击风险得分和潜在攻击路径。如需了解详情，请参阅攻击风险得分和攻击路径概览。

有关所有高级层级功能的列表，请参阅 优质层级。

企业版层级功能

通过 企业版层级 包含专业版层级的所有功能，以及其他 云服务提供商平台

切换层级

大多数 Security Health Analytics 检测器仅在 Security Command Center 中提供 高级层级和企业层级。如果您使用的是高级或企业层级，并计划改用标准层级，建议您在更改层级之前先解决所有发现结果。

高级版或企业版试用期结束或您降级为标准版后 是专业版还是企业版 较高层级生成的发现结果的状态 设为 INACTIVE。

多云支持

Security Health Analytics 可以检测您在其他云平台上的部署中的配置错误。

Security Health Analytics 支持以下其他云服务提供商：

• Amazon Web Services (AWS)

如需在 AWS 上运行检测器，您首先需要连接 Security Command Center 如 连接到 AWS 以进行漏洞检测和风险评估。

支持的 Google Cloud 云服务

Security Health Analytics 可为 Google Cloud 提供代管式漏洞评估扫描服务，该功能可以自动检测以下各项 Google Cloud 服务的通用漏洞和配置错误：

• Cloud Monitoring 和 Cloud Logging
• Compute Engine
• Google Kubernetes Engine 容器和网络
• Cloud Storage
• Cloud SQL
• Identity and Access Management (IAM)
• Cloud Key Management Service (Cloud KMS)
• Cloud DNS

Security Health Analytics 扫描类型

Security Health Analytics 扫描会以三种模式运行：

• 批量扫描：所有检测器针对所有已注册组织或项目每天运行一次。

• 实时扫描：仅限 Google Cloud 部署，每当检测到资源配置更改时，支持的检测器就会开始扫描。发现结果会写入 Security Command Center。其他云平台上的部署不支持实时扫描。

• 混合模式：部分支持实时扫描的检测器 可能无法实时检测到所有支持的资源类型的更改。在 在这些情况下，系统会捕获某些资源类型的配置更改 其他数据则通过批量扫描捕获。Security Health Analytics 发现结果表格中会注明例外情况。

Security Health Analytics 检测器

Security Health Analytics 使用检测器来识别您的云环境中的漏洞和配置错误。每个检测器 对应于发现结果类别。

Security Health Analytics 附带许多内置检测器， 以检查大量设备上的漏洞和错误配置， 类别和资源类型。

您还可以创建自己的自定义检测器，这些检测器可以检查内置检测器未涵盖的漏洞或配置错误，或者特定于您的环境的漏洞或配置错误。

如需详细了解内置 Security Health Analytics 检测器，请参阅 Security Health Analytics 内置检测器。

如需详细了解如何创建和使用自定义模块，请参阅 Security Health Analytics 自定义模块。

检测器启用

默认情况下，并非所有适用于 Google Cloud 的 Security Health Analytics 内置检测器都处于启用状态。

如果您使用的是支持多云的企业版层级，则所有 AWS 的检测器默认处于启用状态。

如需启用非活跃的内置检测器，请参阅启用和停用检测器。

如需启用或停用 Security Health Analytics 自定义检测模块，您可以使用 Google Cloud 控制台、gcloud CLI 或 Security Command Center API 更新自定义模块。

如需详细了解如何更新 Security Health Analytics 自定义模块，请参阅 更新自定义模块。

检测器支持（项目级激活）

借助标准层级和高级层级，您可以为整个组织或组织中的一个或多个项目激活 Security Command Center。

Enterprise 层级不支持项目级激活。

内置检测器和项目级激活

仅为项目启用 Security Command Center 时，某些内置 Security Health Analytics 检测器不受支持，因为它们需要组织级权限。

在需要组织级激活的内置检测器中，您可以通过为您的组织免费启用标准层级来为项目级激活启用 Security Command Center 标准层级可用的检测器。

项目级激活不支持同时需要高级层级和组织级权限的内置检测器。

有关需要 先在组织级别启用 Security Command Center Standard 可以与项目级激活搭配使用，请参阅 组织级标准层级发现结果类别。

如需查看项目级激活不支持的内置高级层级检测器的列表，请参阅不受支持的 Security Health Analytics 发现结果。

自定义模块检测器和项目级激活

您在项目中创建的自定义模块检测器的扫描仅限于项目范围，无论 Security Command Center 的激活级别如何。自定义模块检测器只能扫描其所创建的项目可用的资源。

如需详细了解自定义模块，请参阅 Security Health Analytics 自定义模块。

Security Health Analytics 内置检测器

本部分介绍了检测器的概要类别， 按云平台及其生成的发现结果类别列出。

Google Cloud 的内置检测器（按大类）

Google Cloud 的 Security Health Analytics 检测器及其发出的发现结果分为以下简要类别。

Security Health Analytics 检测器监控 Cloud Asset Inventory 支持的部分 Google Cloud 资源类型。

如需查看每个类别包含的各个检测器，请点击相应类别名称。

• API 关键漏洞发现结果
• 计算映像漏洞发现结果
• 计算实例漏洞发现结果
• 容器漏洞发现结果
• Dataproc 漏洞发现结果
• 数据集 漏洞发现结果
• DNS 漏洞发现结果
• 防火墙漏洞发现结果
• IAM 漏洞发现结果
• KMS 漏洞发现结果
• 日志记录 漏洞发现结果
• 监控 漏洞发现结果
• 多重身份验证漏洞发现结果
• 网络 漏洞发现结果
• 组织政策漏洞发现结果
• Pub/Sub 漏洞发现结果
• SQL 漏洞发现结果
• 存储 漏洞发现结果
• 子网漏洞发现结果

适用于 AWS 的内置检测器

如需查看适用于 AWS 的所有 Security Health Analytics 检测器的列表，请参阅 AWS 发现结果。

Security Health Analytics 自定义模块

Security Health Analytics 自定义模块是 Google Cloud 扩展了 Security Health Analytics，超出了内置检测器提供的功能。

其他云平台不支持自定义模块。

您可以使用 Google Cloud 控制台中的引导式工作流创建自定义模块，也可以在 YAML 文件中自行创建自定义模块定义，然后使用 Google Cloud CLI 命令或 Security Command Center API 将其上传到 Security Command Center。

如需了解详情，请参阅 Security Health Analytics 自定义模块概览。

检测器与合规性

Security Command Center 对合规性进行衡量，符合安全基准 很大程度上基于 Security Health Analytics 生成的发现结果 漏洞检测器。

Security Health Analytics 监控 与各种安全控制措施对应的检测器的合规性 标准。

对于每个受支持的安全标准，Security Health Analytics 都会检查部分控制项。对于已检查的控制项，Security Command Center 会显示通过的控制项数量。对于未通过的控制，Security Command Center 会显示一个发现结果列表，其中会说明控制失败的原因。

CIS 会审核和认证 Security Health Analytics 检测器上传到每个受支持的 CIS Google Cloud Foundations 基准版本。 其他合规性映射仅供参考。

Security Health Analytics 会定期添加对新基准版本和标准的支持。旧版本仍然受支持，但最终将会被弃用。我们建议您使用当前受支持的最新基准或标准。

借助安全状况服务，您可以将组织政策和 Security Health Analytics 检测器映射到适用于贵商家的标准和控制措施。创建安全状况后，您可以监控任何变化 可能会影响企业合规性。

如需详细了解如何管理合规性，请参阅评估和报告是否符合安全标准。

支持的安全标准

Google Cloud

Security Health Analytics 会将 Google Cloud 的检测器映射到以下一个或多个合规性标准：

• 信息安全中心 (CIS) 控制 8.0
• CIS Google Cloud Computing Foundations Benchmark v2.0.0、v1.3.0、v1.2.0、v1.1.0 和 v1.0.0
• CIS Kubernetes 基准 v1.5.1
• 云控制矩阵 (CCM) 4
• 健康保险流通与责任法案 (HIPAA)
• 国际标准化组织 (ISO) 27001、2022 和 2013
• 美国国家标准与技术研究院 (NIST) 800-53 R5 和 R4
• NIST CSF 1.0
• 2021 年和 2017 年开放 Web 应用安全项目 (OWASP) 排名前十
• 支付卡行业数据安全标准 (PCI DSS) 4.0 和 3.2.1
• 系统和组织控制 (SOC) 2 2017 年信任服务标准 (TSC)

AWS

Security Health Analytics 会将 Amazon Web Services (AWS) 的检测器映射到以下一个或多个合规性标准：

• CIS Amazon Web Services 基础 2.0.0
• CIS 控件 8.0
• CCM 4
• HIPAA
• ISO 27001 2022
• NIST 800-53 R5
• NIST CSF 1.0
• PCI DSS 4.0 和 3.2.1
• SOC 2 2017 TSC

有关合规性的更多信息，请参阅 评估并报告安全基准合规性。