Cette page a été traduite par l'API Cloud Translation.

Présentation de Security Health Analytics

Security Health Analytics est un service géré de Security Command Center qui analyse vos environnements cloud à la recherche d'erreurs de configuration courantes qui pourraient vous exposer à des attaques.

L'analyse de l'état de la sécurité est automatiquement activée lorsque vous l'activez Security Command Center.

Fonctionnalités de Security Health Analytics par niveau

Les fonctionnalités Security Health Analytics disponibles varient selon le niveau de service auquel Security Command Center est activé.

Fonctionnalités du niveau Standard

Au niveau Standard, Security Health Analytics ne peut détecter qu'un groupe de base de gravité moyenne et élevée. Pour obtenir la liste des catégories de résultats détectées par Security Health Analytics avec le niveau de service standard, consultez la section Niveau de service standard.

Fonctionnalités du niveau Premium

Le niveau Premium inclut les fonctionnalités suivantes :

Tous les détecteurs pour Google Cloud, ainsi que de nombreuses autres fonctionnalités de détection des failles, telles que la possibilité de créer des modules de détection personnalisés.
Les résultats sont mis en correspondance avec les contrôles de conformité pour les rapports de conformité. Pour en savoir plus, consultez Détecteurs et conformité.
Les simulations de chemins d'attaque de Security Command Center calculent les scores d'exposition aux attaques et les chemins d'attaque potentiels pour la plupart des résultats de Security Health Analytics. Pour en savoir plus, consultez la section Présentation des scores d'exposition aux attaques et des chemins d'attaque.

Pour obtenir la liste de toutes les fonctionnalités du niveau Premium, consultez la section Niveau Premium.

Fonctionnalités du niveau Enterprise

Le niveau Enterprise inclut toutes les fonctionnalités du niveau Premium, ainsi que des détecteurs pour d'autres plates-formes de fournisseurs de services cloud.

Changer de niveau

La plupart des détecteurs Security Health Analytics ne sont disponibles que dans les niveaux Premium et Enterprise de Security Command Center. Si vous utilisez le niveau Premium ou Enterprise et que vous prévoyez de passer au niveau Standard, nous vous recommandons de résoudre tous les résultats avant de modifier votre niveau.

À la fin d'un essai Premium ou Enterprise, ou lorsque vous passez du niveau Premium ou Enterprise au niveau Standard, l'état des résultats générés au niveau supérieur est défini sur INACTIVE.

Prise en charge du multicloud

Security Health Analytics peut détecter les erreurs de configuration dans vos déploiements sur d'autres plates-formes cloud.

Security Health Analytics est compatible avec les autres fournisseurs de services cloud suivants:

Amazon Web Services (AWS)

Pour exécuter les détecteurs sur AWS, vous devez d'abord connecter Security Command Center à AWS, comme décrit dans la section Se connecter à AWS pour la détection des failles et l'évaluation des risques.

Services cloud Google Cloud compatibles

Analyse de l'évaluation des failles gérée par Security Health Analytics pour Google Cloud peut détecter automatiquement les failles et les erreurs de configuration courantes dans les services Google Cloud suivants:

Cloud Monitoring et Cloud Logging
Compute Engine
Conteneurs et réseaux Google Kubernetes Engine
Cloud Storage
Cloud SQL
Gestion de l'authentification et des accès (IAM)
Cloud Key Management Service (Cloud KMS)
Cloud DNS

Types d'analyses Security Health Analytics

Security Health Analytics s'exécute dans trois modes :

Analyse par lots : tous les détecteurs sont programmés pour s'exécuter pour toutes les organisations ou tous les projets enregistrés, une fois par jour.

Remarque : Les planifications d'analyse par lot sont des objectifs de performances et non des garanties de service.
Analyse en temps réel : pour les déploiements Google Cloud uniquement, les détecteurs compatibles lancent des analyses chaque fois qu'une modification est détectée dans la configuration d'une ressource. Les résultats sont écrits dans Security Command Center. Les analyses en temps réel ne sont pas compatibles avec des déploiements sur d'autres plates-formes cloud.
Mode mixte : certains détecteurs compatibles avec les analyses en temps réel peuvent ne pas détecter les modifications en temps réel pour tous les types de ressources compatibles. Dans ce cas, les modifications de configuration de certains types de ressources sont capturées immédiatement, tandis que d'autres sont capturées lors des analyses par lot. Les exceptions sont indiquées dans les tableaux des résultats de Security Health Analytics.

Détecteurs Security Health Analytics

Security Health Analytics utilise des détecteurs pour identifier les failles et les erreurs de configuration dans votre environnement cloud. Chaque détecteur correspond à une catégorie de résultats.

Security Health Analytics est fourni avec de nombreux détecteurs intégrés qui pour détecter les failles et les erreurs de configuration des catégories et des types de ressources.

Vous pouvez également créer vos propres détecteurs personnalisés qui peuvent rechercher des failles ou des configurations incorrectes qui ne sont pas couvertes par les détecteurs intégrés ou qui sont spécifiques à votre environnement.

Pour en savoir plus sur les détecteurs Security Health Analytics intégrés, consultez Détecteurs intégrés Security Health Analytics.

Pour en savoir plus sur la création et l'utilisation de modules personnalisés, consultez Modules personnalisés Security Health Analytics.

Activation des détecteurs

Certains détecteurs intégrés Security Health Analytics pour Google Cloud sont activés par défaut.

Si vous utilisez le niveau Entreprise avec une compatibilité multicloud, toutes les les détecteurs pour AWS sont activés par défaut.

Pour activer les détecteurs intégrés inactifs, consultez Activez et désactivez les détecteurs.

Pour activer ou désactiver un module de détection personnalisé de Security Health Analytics, vous pouvez mettre à jour le module personnalisé à l'aide de la console Google Cloud, la gcloud CLI ou l'API Security Command Center.

Pour en savoir plus sur la mise à jour des modules personnalisés Security Health Analytics, consultez Mettre à jour un module personnalisé

Compatibilité avec les détecteurs avec des activations au niveau du projet

Avec les niveaux Standard et Premium, vous pouvez : activer Security Command Center pour l'ensemble de l'organisation, ou pour un ou plusieurs projets d'une organisation.

Le niveau Entreprise n'est pas compatible avec les activations au niveau du projet.

Détecteurs intégrés et activations au niveau du projet

Lorsque vous activez Security Command Center pour un projet uniquement, certains détecteurs intégrés de Security Health Analytics ne sont pas compatibles, car ils nécessitent des autorisations au niveau de l'organisation.

Parmi les détecteurs intégrés qui nécessitent un système vous pouvez activer celles disponibles avec le niveau Standard de Security Command Center pour les activations au niveau du projet activer sans frais le niveau Standard pour votre organisation.

Les détecteurs intégrés qui nécessitent à la fois le niveau Premium et les autorisations au niveau de l'organisation ne sont pas compatibles avec les activations au niveau du projet.

Pour obtenir la liste des détecteurs intégrés de niveau Standard nécessitant un l'activation de Security Command Center Standard au niveau de l'organisation peut être utilisé avec une activation au niveau du projet, consultez Catégories de résultats de niveau Standard au niveau de l'organisation.

Pour obtenir la liste des détecteurs intégrés de niveau Premium qui ne sont pas compatibles avec les activations au niveau du projet, consultez la section Résultats de Security Health Analytics non compatibles.

Détecteurs de modules personnalisés et activations au niveau du projet

Les analyses des détecteurs de modules personnalisés que vous créez dans un projet limitée à la portée du projet, quel que soit le niveau d’activation Security Command Center. Les détecteurs de modules personnalisés ne peuvent analyser que les ressources disponibles pour le projet dans lequel ils sont créés.

Pour en savoir plus sur les modules personnalisés, consultez la page Modules personnalisés de Security Health Analytics.

Détecteurs intégrés de Security Health Analytics

Cette section décrit les principales catégories de détecteurs, répertoriées par plate-forme cloud et la catégorie de résultats qu'elles génèrent.

Détecteurs intégrés pour Google Cloud par catégorie générale

Les détecteurs Security Health Analytics pour Google Cloud et les résultats qu'ils génèrent sont regroupés dans les catégories générales suivantes.

Les détecteurs Security Health Analytics surveillent un sous-ensemble du Google Cloud types de ressources compatibles avec l'inventaire des éléments cloud.

Pour afficher les détecteurs individuels inclus dans chaque catégorie, cliquez sur le nom de la catégorie.

Détecteurs intégrés pour AWS

Pour obtenir la liste de tous les détecteurs Security Health Analytics pour AWS, consultez Résultats d'AWS :

Modules personnalisés pour Security Health Analytics

Les modules personnalisés Security Health Analytics sont des détecteurs personnalisés Google Cloud qui étendent les capacités de détection Security Health Analytics au-delà de ceux fournis par les détecteurs intégrés.

Les modules personnalisés ne sont pas compatibles avec d'autres plates-formes cloud.

Vous pouvez créer des modules personnalisés à l'aide du workflow guidé dans la console Google Cloud, ou vous pouvez créer vous-même la définition du module personnalisé dans un fichier YAML, puis l'importer dans Security Command Center à l'aide de commandes Google Cloud CLI ou de l'API Security Command Center.

Pour en savoir plus, consultez la page Présentation des modules personnalisés pour Security Health Analytics.

Détecteurs et conformité

Mesure de la conformité de Security Command Center avec les benchmarks de sécurité repose en grande partie sur les résultats produits par le service et des détecteurs de vulnérabilités.

Security Health Analytics surveille votre conformité à l'aide de détecteurs associés aux dispositifs de contrôle à diverses normes de sécurité.

Pour chaque norme de sécurité acceptée, Security Health Analytics vérifie un sous-ensemble des contrôles. Pour les contrôles cochés, Security Command Center indique le nombre de contrôles réussis. Pour les contrôles qui ne sont pas acceptés, Security Command Center affiche une liste de résultats qui décrivent les échecs de contrôle.

Le CIS examine et certifie les mises en correspondance des détecteurs Security Health Analytics avec chaque version compatible du benchmark CIS Google Cloud Foundations. Les mises en correspondance de conformité supplémentaires sont incluses à titre de référence uniquement.

Security Health Analytics Prise en charge régulière de nouvelles versions et normes de benchmark. Les anciennes versions restent compatibles, mais sont finalement abandonnées. Nous vous recommandons d'utiliser le dernier benchmark ou la dernière norme compatible disponible.

Avec l'attribut service de stratégie de sécurité, vous pouvez mapper les règles d'administration et les détecteurs Security Health Analytics aux normes et qui s'appliquent à votre entreprise. Une fois que vous avez créé une posture de sécurité, vous pouvez surveiller toute modification de l'environnement pouvant affecter la conformité de votre entreprise.

Pour en savoir plus sur la gestion de la conformité, consultez la page Évaluer et signaler la conformité avec les normes de sécurité standards.

Normes de sécurité compatibles avec Google Cloud

Security Health Analytics mappe les détecteurs pour Google Cloud sur un ou plusieurs des standard:

Normes de sécurité compatibles avec AWS

Security Health Analytics mappe les détecteurs d'Amazon Web Services (AWS) à une ou plusieurs des normes de conformité suivantes :

CIS Amazon Web Services Foundations 2.0.0
CIS Controls 8.0

Pour en savoir plus sur la conformité, consultez la section Évaluer et signaler la conformité aux benchmarks de sécurité.