Security Health Analytics – Übersicht

Security Health Analytics ist ein verwalteter Dienst von Security Command Center, der Ihre Cloud-Umgebungen auf gängige Fehlkonfigurationen prüft, die zu Angriffen führen können.

Security Health Analytics wird automatisch aktiviert, wenn Sie Security Command Center aktivieren.

Security Health Analytics-Funktionen nach Stufe

Die verfügbaren Security Health Analytics-Features unterscheiden sich je nach der Dienststufe, auf der Security Command Center aktiviert wird.

Features der Standard-Stufe

In der Standard-Stufe kann Security Health Analytics nur eine einfache Gruppe von Sicherheitslücken mit mittlerem und hohem Schweregrad erkennen. Eine Liste der Ergebniskategorien, die Security Health Analytics mit der Standard-Stufe erkennt, finden Sie unter Standard-Dienststufe.

Features der Premium-Stufe

Die Premium-Stufe umfasst folgende Funktionen:

Alle Detektoren für Google Cloud sowie eine Reihe weiterer Features zur Erkennung von Sicherheitslücken, z. B. die Möglichkeit, benutzerdefinierte Erkennungsmodule zu erstellen.
Die Ergebnisse werden Compliancekontrollen für Complianceberichte zugeordnet. Weitere Informationen finden Sie unter Detektoren und Compliance.
Angriffspfadsimulationen in Security Command Center berechnen Angriffsrisikobewertungen und potenzielle Angriffspfade für die meisten Security Health Analytics-Ergebnisse. Weitere Informationen finden Sie unter Übersicht über Angriffsrisikobewertungen und Angriffspfade.

Eine Liste aller Funktionen der Premium-Stufe finden Sie unter Premium-Stufe.

Features der Enterprise-Stufe

Die Enterprise-Stufe umfasst alle Features der Premium-Stufe sowie Detektoren für andere Plattformen von Cloud-Dienstanbietern.

Stufen wechseln

Die meisten Security Health Analytics-Detektoren sind nur in der Premium- und der Enterprise-Stufe von Security Command Center verfügbar. Wenn Sie die Premium- oder Enterprise-Stufe verwenden und zur Standard-Stufe wechseln möchten, empfehlen wir Ihnen, alle Ergebnisse zu beheben, bevor Sie die Stufe ändern.

Wenn ein Testzeitraum der Premium- oder Enterprise-Stufe endet oder Sie ein Downgrade von der Premium- oder der Enterprise-Stufe auf die Standardstufe ausführen, wird der Status der Ergebnisse, die auf der höheren Stufe generiert wurden, auf INACTIVE gesetzt.

Multi-Cloud-Unterstützung

Security Health Analytics kann Fehlkonfigurationen in Ihren Bereitstellungen auf anderen Cloud-Plattformen erkennen.

Security Health Analytics unterstützt die folgenden Cloud-Dienstanbieter:

Amazon Web Services (AWS)

Zum Ausführen der Detektoren in AWS müssen Sie zuerst Security Command Center mit AWS verbinden, wie unter Zur Erkennung von Sicherheitslücken und Risikobewertung eine Verbindung zu AWS herstellen beschrieben.

Unterstützte Google Cloud-Cloud-Dienste

Das von Security Health Analytics verwaltete Scannen auf Sicherheitslücken für Google Cloud kann automatisch häufige Sicherheitslücken und Fehlkonfigurationen in den folgenden Google Cloud-Diensten erkennen:

Cloud Monitoring und Cloud Logging
Compute Engine
Google Kubernetes Engine-Container und -Netzwerke
Cloud Storage
Cloud SQL
Identitäts- und Zugriffsverwaltung
Cloud Key Management Service (Cloud KMS)
Cloud DNS

Security Health Analytics-Scantypen

Security Health Analytics-Scans werden in drei Modi ausgeführt:

Batch-Scan: Alle Detektoren werden so geplant, dass sie einmal täglich für alle registrierten Organisationen oder Projekte ausgeführt werden.

Hinweis: Zeitpläne für Batchscans sind Leistungsziele, keine Dienstgarantien.
Echtzeitscan:Nur bei Google Cloud-Bereitstellungen starten unterstützte Detektoren Scans, sobald eine Änderung in der Konfiguration einer Ressource erkannt wird. Die Ergebnisse werden in Security Command Center geschrieben. Echtzeitscans werden für Bereitstellungen auf anderen Cloud-Plattformen nicht unterstützt.
Gemischter Modus: Einige Detektoren, die Scans in Echtzeit unterstützen, erkennen Änderungen möglicherweise nicht für alle unterstützten Ressourcentypen in Echtzeit. In diesen Fällen werden Konfigurationsänderungen für einige Ressourcentypen sofort erfasst und für andere in Batchscans. Ausnahmen sind in den Tabellen mit Security Health Analytics-Ergebnissen aufgeführt.

Security Health Analytics – Detektoren

Security Health Analytics verwendet Detektoren, um Sicherheitslücken und Fehlkonfigurationen in Ihrer Cloud-Umgebung zu identifizieren. Jeder Detektor entspricht einer Ergebniskategorie.

Security Health Analytics bietet viele integrierte Detektoren, die eine große Anzahl von Kategorien und Ressourcentypen auf Sicherheitslücken und Fehlkonfigurationen prüfen.

Sie können auch eigene benutzerdefinierte Detektoren erstellen, die auf Sicherheitslücken oder Fehlkonfigurationen prüfen, die von den integrierten Detektoren nicht abgedeckt oder für Ihre Umgebung spezifisch sind.

Weitere Informationen zu den integrierten Detektoren von Security Health Analytics finden Sie unter Integrierte Detektoren von Security Health Analytics.

Weitere Informationen zum Erstellen und Verwenden benutzerdefinierter Module finden Sie unter Benutzerdefinierte Module für Security Health Analytics.

Detektoraktivierung

Nicht alle integrierten Detektoren von Security Health Analytics für Google Cloud sind standardmäßig aktiviert.

Wenn Sie die Enterprise-Stufe mit Multi-Cloud-Unterstützung verwenden, sind alle Detektoren für AWS standardmäßig aktiviert.

Informationen zum Aktivieren inaktiver integrierter Detektoren finden Sie unter Detektoren aktivieren und deaktivieren.

Zum Aktivieren oder Deaktivieren eines benutzerdefinierten Erkennungsmoduls für Security Health Analytics können Sie das benutzerdefinierte Modul über die Google Cloud Console, die gcloud CLI oder die Security Command Center API aktualisieren.

Weitere Informationen zum Aktualisieren benutzerdefinierter Security Health Analytics-Module finden Sie unter Benutzerdefiniertes Modul aktualisieren.

Unterstützung für Detektoren mit Aktivierungen auf Projektebene

Mit der Standard- und Premium-Stufe können Sie Security Command Center für eine gesamte Organisation oder für ein oder mehrere Projekte in einer Organisation aktivieren.

Die Enterprise-Stufe unterstützt keine Aktivierungen auf Projektebene.

Integrierte Detektoren und Aktivierungen auf Projektebene

Wenn Sie Security Command Center nur für ein Projekt aktivieren, werden bestimmte integrierte Security Health Analytics-Detektoren nicht unterstützt, da sie Berechtigungen auf Organisationsebene erfordern.

Von den integrierten Detektoren, die eine Aktivierung auf Organisationsebene erfordern, können Sie diejenigen, die in der Standardstufe von Security Command Center verfügbar sind, für Aktivierungen auf Projektebene aktivieren. Dazu aktivieren Sie die Standardstufe für Ihre Organisation, die kostenlos ist.

Integrierte Detektoren, die sowohl Berechtigungen auf der Premium-Stufe als auch auf Organisationsebene erfordern, werden bei Aktivierungen auf Projektebene nicht unterstützt.

Eine Liste der integrierten Detektoren der Standardstufe, für die Security Command Center Standard auf Organisationsebene aktiviert werden muss, bevor sie auf Projektebene verwendet werden können, finden Sie unter Ergebniskategorien der Standardstufe auf Organisationsebene.

Eine Liste der integrierten Detektoren der Premium-Stufe, die bei Aktivierungen auf Projektebene nicht unterstützt werden, finden Sie unter Nicht unterstützte Security Health Analytics-Ergebnisse.

Benutzerdefinierte Moduldetektoren und Aktivierungen auf Projektebene

Die Scans von benutzerdefinierten Moduldetektoren, die Sie in einem Projekt erstellen, sind auf den Projektbereich beschränkt, unabhängig von der Aktivierungsstufe von Security Command Center. Benutzerdefinierte Moduldetektoren können nur die Ressourcen scannen, die für das Projekt verfügbar sind, in dem sie erstellt werden.

Weitere Informationen zu benutzerdefinierten Modulen finden Sie unter Benutzerdefinierte Module von Security Health Analytics.

Integrierte Detektoren von Security Health Analytics

In diesem Abschnitt werden die übergeordneten Kategorien der Detektoren, aufgelistet nach Cloud-Plattform, und die von ihnen generierte Ergebniskategorie beschrieben.

Integrierte Detektoren für Google Cloud nach übergeordneter Kategorie

Die Security Health Analytics-Detektoren für Google Cloud und die von ihnen ausgegebenen Ergebnisse sind in die folgenden übergeordneten Kategorien gruppiert.

Security Health Analytics-Detektoren überwachen einen Teil der Google Cloud-Ressourcentypen, die von Cloud Asset Inventory unterstützt werden.

Klicken Sie auf den Namen der jeweiligen Kategorie, um die einzelnen Detektoren zu sehen.

Integrierte Detektoren für AWS

Eine Liste aller Security Health Analytics-Detektoren für AWS finden Sie unter AWS-Ergebnisse.

Benutzerdefinierte Module von Security Health Analytics

Benutzerdefinierte Module von Security Health Analytics sind benutzerdefinierte Detektoren für Google Cloud, die die Erkennungsfunktionen von Security Health Analytics über die der integrierten Detektoren hinaus erweitern.

Benutzerdefinierte Module werden für andere Cloud-Plattformen nicht unterstützt.

Sie können mithilfe des geführten Workflows in der Google Cloud Console benutzerdefinierte Module erstellen oder die Definition für benutzerdefinierte Module selbst in einer YAML-Datei erstellen und sie dann mithilfe von Google Cloud CLI-Befehlen oder der Security Command Center API in Security Command Center hochladen.

Weitere Informationen finden Sie unter Übersicht über benutzerdefinierte Module für Security Health Analytics.

Detektoren und Compliance

Die Messung der Compliance von Security Command Center mit Sicherheits-Benchmarks basiert zu einem großen Teil auf den Ergebnissen der Sicherheitslückendetektoren von Security Health Analytics.

Security Health Analytics überwacht Ihre Compliance mit Detektoren, die den Steuerelementen einer Vielzahl von Sicherheitsstandards entsprechen.

Für jeden unterstützten Sicherheitsstandard prüft Security Health Analytics einen Teil der Kontrollen. Für die geprüften Steuerelemente wird in Security Command Center angezeigt, wie viele bestanden werden. Für die nicht bestandenen Steuerelemente zeigt Ihnen Security Command Center eine Liste der Ergebnisse an, die die Steuerungsfehler beschreiben.

CIS prüft und zertifiziert die Zuordnung von Security Health Analytics-Detektoren zu jeder unterstützten Version der CIS Google Cloud Foundations Benchmark. Zusätzliche Compliancezuordnungen sind nur zu Referenzzwecken enthalten.

Security Health Analytics unterstützt regelmäßig neue Benchmarkversionen und ‐standards. Ältere Versionen werden weiterhin unterstützt, werden aber irgendwann verworfen. Wir empfehlen, die neueste unterstützte Benchmark oder den neuesten verfügbaren Standard zu verwenden.

Mit dem Dienst für den Sicherheitsstatus können Sie Organisationsrichtlinien und Security Health Analytics-Detektoren den Standards und Kontrollen zuordnen, die für Ihr Unternehmen gelten. Nachdem Sie einen Sicherheitsstatus erstellt haben, können Sie alle Änderungen an der Umgebung überwachen, die sich auf die Compliance Ihres Unternehmens auswirken könnten.

Weitere Informationen zum Verwalten von Compliance finden Sie unter Compliance mit Sicherheitsstandards bewerten und melden.

In Google Cloud unterstützte Sicherheitsstandards

Security Health Analytics ordnet Detektoren für Google Cloud einem oder mehreren der folgenden Compliancestandards zu:

Von AWS unterstützte Sicherheitsstandards

Security Health Analytics ordnet Detektoren für Amazon Web Services (AWS) einem oder mehreren der folgenden Compliancestandards zu:

CIS Amazon Web Services Foundations 2.0.0
CIS-Steuerungen 8.0

Weitere Informationen zur Compliance finden Sie unter Compliance von Sicherheits-Benchmarks bewerten und melden.