Security Health Analytics est un service géré de Security Command Center qui analyse vos environnements cloud à la recherche d'erreurs de configuration courantes qui pourraient vous exposer à des attaques.
L'analyse de l'état de la sécurité est automatiquement activée lorsque vous l'activez Security Command Center.
Fonctionnalités de Security Health Analytics par niveau
Les fonctionnalités Security Health Analytics disponibles varient selon le niveau de service auquel Security Command Center est activé.
Fonctionnalités du niveau Standard
Au niveau Standard, Security Health Analytics ne peut détecter qu'un groupe de base de gravité moyenne et élevée. Pour obtenir la liste des catégories de résultats détectées par Security Health Analytics avec le niveau de service standard, consultez la section Niveau de service standard.
Fonctionnalités du niveau Premium
Le niveau Premium inclut les fonctionnalités suivantes :
- Tous les détecteurs pour Google Cloud, ainsi que de nombreuses autres fonctionnalités de détection des failles, telles que la possibilité de créer des modules de détection personnalisés.
- Les résultats sont mis en correspondance avec les contrôles de conformité pour les rapports de conformité. Pour en savoir plus, consultez Détecteurs et conformité.
- Les simulations de chemins d'attaque de Security Command Center calculent les scores d'exposition aux attaques et les chemins d'attaque potentiels pour la plupart des résultats de Security Health Analytics. Pour en savoir plus, consultez la section Présentation des scores d'exposition aux attaques et des chemins d'attaque.
Pour obtenir la liste de toutes les fonctionnalités du niveau Premium, consultez la section Niveau Premium.
Fonctionnalités du niveau Enterprise
Le niveau Enterprise inclut toutes les fonctionnalités du niveau Premium, ainsi que des détecteurs pour d'autres plates-formes de fournisseurs de services cloud.
Changer de niveau
La plupart des détecteurs Security Health Analytics ne sont disponibles que dans les niveaux Premium et Enterprise de Security Command Center. Si vous utilisez le niveau Premium ou Enterprise et que vous prévoyez de passer au niveau Standard, nous vous recommandons de résoudre tous les résultats avant de modifier votre niveau.
À la fin d'un essai Premium ou Enterprise, ou lorsque vous passez du niveau Premium ou Enterprise au niveau Standard, l'état des résultats générés au niveau supérieur est défini sur INACTIVE
.
Prise en charge du multicloud
Security Health Analytics peut détecter les erreurs de configuration dans vos déploiements sur d'autres plates-formes cloud.
Security Health Analytics est compatible avec les autres fournisseurs de services cloud suivants:
- Amazon Web Services (AWS)
Pour exécuter les détecteurs sur AWS, vous devez d'abord connecter Security Command Center à AWS, comme décrit dans la section Se connecter à AWS pour la détection des failles et l'évaluation des risques.
Services cloud Google Cloud compatibles
Analyse de l'évaluation des failles gérée par Security Health Analytics pour Google Cloud peut détecter automatiquement les failles et les erreurs de configuration courantes dans les services Google Cloud suivants:
- Cloud Monitoring et Cloud Logging
- Compute Engine
- Conteneurs et réseaux Google Kubernetes Engine
- Cloud Storage
- Cloud SQL
- Gestion de l'authentification et des accès (IAM)
- Cloud Key Management Service (Cloud KMS)
- Cloud DNS
Types d'analyses Security Health Analytics
Security Health Analytics s'exécute dans trois modes :
Analyse par lots : tous les détecteurs sont programmés pour s'exécuter pour toutes les organisations ou tous les projets enregistrés, une fois par jour.
Analyse en temps réel : pour les déploiements Google Cloud uniquement, les détecteurs compatibles lancent des analyses chaque fois qu'une modification est détectée dans la configuration d'une ressource. Les résultats sont écrits dans Security Command Center. Les analyses en temps réel ne sont pas compatibles avec des déploiements sur d'autres plates-formes cloud.
Mode mixte : certains détecteurs compatibles avec les analyses en temps réel peuvent ne pas détecter les modifications en temps réel pour tous les types de ressources compatibles. Dans ce cas, les modifications de configuration de certains types de ressources sont capturées immédiatement, tandis que d'autres sont capturées lors des analyses par lot. Les exceptions sont indiquées dans les tableaux des résultats de Security Health Analytics.
Détecteurs Security Health Analytics
Security Health Analytics utilise des détecteurs pour identifier les failles et les erreurs de configuration dans votre environnement cloud. Chaque détecteur correspond à une catégorie de résultats.
Security Health Analytics est fourni avec de nombreux détecteurs intégrés qui pour détecter les failles et les erreurs de configuration des catégories et des types de ressources.
Vous pouvez également créer vos propres détecteurs personnalisés qui peuvent rechercher des failles ou des configurations incorrectes qui ne sont pas couvertes par les détecteurs intégrés ou qui sont spécifiques à votre environnement.
Pour en savoir plus sur les détecteurs Security Health Analytics intégrés, consultez Détecteurs intégrés Security Health Analytics.
Pour en savoir plus sur la création et l'utilisation de modules personnalisés, consultez Modules personnalisés Security Health Analytics.
Activation des détecteurs
Certains détecteurs intégrés Security Health Analytics pour Google Cloud sont activés par défaut.
Si vous utilisez le niveau Entreprise avec une compatibilité multicloud, toutes les les détecteurs pour AWS sont activés par défaut.
Pour activer les détecteurs intégrés inactifs, consultez Activez et désactivez les détecteurs.
Pour activer ou désactiver un module de détection personnalisé de Security Health Analytics, vous pouvez mettre à jour le module personnalisé à l'aide de la console Google Cloud, la gcloud CLI ou l'API Security Command Center.
Pour en savoir plus sur la mise à jour des modules personnalisés Security Health Analytics, consultez Mettre à jour un module personnalisé
Compatibilité avec les détecteurs avec des activations au niveau du projet
Avec les niveaux Standard et Premium, vous pouvez : activer Security Command Center pour l'ensemble de l'organisation, ou pour un ou plusieurs projets d'une organisation.
Le niveau Entreprise n'est pas compatible avec les activations au niveau du projet.
Détecteurs intégrés et activations au niveau du projet
Lorsque vous activez Security Command Center pour un projet uniquement, certains détecteurs intégrés de Security Health Analytics ne sont pas compatibles, car ils nécessitent des autorisations au niveau de l'organisation.
Parmi les détecteurs intégrés qui nécessitent un système vous pouvez activer celles disponibles avec le niveau Standard de Security Command Center pour les activations au niveau du projet activer sans frais le niveau Standard pour votre organisation.
Les détecteurs intégrés qui nécessitent à la fois le niveau Premium et les autorisations au niveau de l'organisation ne sont pas compatibles avec les activations au niveau du projet.
Pour obtenir la liste des détecteurs intégrés de niveau Standard nécessitant un l'activation de Security Command Center Standard au niveau de l'organisation peut être utilisé avec une activation au niveau du projet, consultez Catégories de résultats de niveau Standard au niveau de l'organisation.
Pour obtenir la liste des détecteurs intégrés de niveau Premium qui ne sont pas compatibles avec les activations au niveau du projet, consultez la section Résultats de Security Health Analytics non compatibles.
Détecteurs de modules personnalisés et activations au niveau du projet
Les analyses des détecteurs de modules personnalisés que vous créez dans un projet limitée à la portée du projet, quel que soit le niveau d’activation Security Command Center. Les détecteurs de modules personnalisés ne peuvent analyser que les ressources disponibles pour le projet dans lequel ils sont créés.
Pour en savoir plus sur les modules personnalisés, consultez la page Modules personnalisés de Security Health Analytics.
Détecteurs intégrés de Security Health Analytics
Cette section décrit les principales catégories de détecteurs, répertoriées par plate-forme cloud et la catégorie de résultats qu'elles génèrent.
Détecteurs intégrés pour Google Cloud par catégorie générale
Les détecteurs Security Health Analytics pour Google Cloud et les résultats qu'ils génèrent sont regroupés dans les catégories générales suivantes.
Les détecteurs Security Health Analytics surveillent un sous-ensemble du Google Cloud types de ressources compatibles avec l'inventaire des éléments cloud.
Pour afficher les détecteurs individuels inclus dans chaque catégorie, cliquez sur le nom de la catégorie.
- API Principales failles constatées
- Résultats de failles d'image Compute
- Résultats de failles d'instance Compute
- Résultats de failles de conteneur
- Résultats de failles Dataproc
- Résultats de failles d'ensemble de données
- Résultats de failles DNS
- Pare-feu découverte de failles
- Résultats de failles IAM
- KMS découverte de failles
- Journalisation découverte de failles
- Surveillance découverte de failles
- Détection de failles de l'authentification multifacteur
- Réseau découverte de failles
- Organisation résultats de failles de non-respect des règles
- Résultats de failles Pub/Sub
- SQL découverte de failles
- Résultats de failles de stockage
- Sous-réseau découverte de failles
Détecteurs intégrés pour AWS
Pour obtenir la liste de tous les détecteurs Security Health Analytics pour AWS, consultez Résultats d'AWS :
Modules personnalisés pour Security Health Analytics
Les modules personnalisés Security Health Analytics sont des détecteurs personnalisés Google Cloud qui étendent les capacités de détection Security Health Analytics au-delà de ceux fournis par les détecteurs intégrés.
Les modules personnalisés ne sont pas compatibles avec d'autres plates-formes cloud.
Vous pouvez créer des modules personnalisés à l'aide du workflow guidé dans la console Google Cloud, ou vous pouvez créer vous-même la définition du module personnalisé dans un fichier YAML, puis l'importer dans Security Command Center à l'aide de commandes Google Cloud CLI ou de l'API Security Command Center.
Pour en savoir plus, consultez la page Présentation des modules personnalisés pour Security Health Analytics.
Détecteurs et conformité
Mesure de la conformité de Security Command Center avec les benchmarks de sécurité repose en grande partie sur les résultats produits par le service et des détecteurs de vulnérabilités.
Security Health Analytics surveille votre conformité à l'aide de détecteurs associés aux dispositifs de contrôle à diverses normes de sécurité.
Pour chaque norme de sécurité acceptée, Security Health Analytics vérifie un sous-ensemble des contrôles. Pour les contrôles cochés, Security Command Center indique le nombre de contrôles réussis. Pour les contrôles qui ne sont pas acceptés, Security Command Center affiche une liste de résultats qui décrivent les échecs de contrôle.
Le CIS examine et certifie les mises en correspondance des détecteurs Security Health Analytics avec chaque version compatible du benchmark CIS Google Cloud Foundations. Les mises en correspondance de conformité supplémentaires sont incluses à titre de référence uniquement.
Security Health Analytics Prise en charge régulière de nouvelles versions et normes de benchmark. Les anciennes versions restent compatibles, mais sont finalement abandonnées. Nous vous recommandons d'utiliser le dernier benchmark ou la dernière norme compatible disponible.
Avec l'attribut service de stratégie de sécurité, vous pouvez mapper les règles d'administration et les détecteurs Security Health Analytics aux normes et qui s'appliquent à votre entreprise. Une fois que vous avez créé une posture de sécurité, vous pouvez surveiller toute modification de l'environnement pouvant affecter la conformité de votre entreprise.
Pour en savoir plus sur la gestion de la conformité, consultez la page Évaluer et signaler la conformité avec les normes de sécurité standards.
Normes de sécurité compatibles avec Google Cloud
Security Health Analytics mappe les détecteurs pour Google Cloud sur un ou plusieurs des standard:
- Center for Information Security (CIS) Controls 8.0
- CIS Google Cloud Computing Foundations Benchmark v2.0.0, v1.3.0, v1.2.0, v1.1.0 et v1.0.0
- Benchmark CIS de Kubernetes v1.5.1
- Cloud Controls Matrix (CCM) 4
- Loi HIPAA (Health Insurance Portability and Accountability Act)
- Organisation internationale de normalisation (ISO) 27001, 2022 et 2013
- NIST (National Institute of Standards and Technology) 800-53 R5 et R4
- NIST CSF 1.0
- Top 10 de l'OWASP (Open Web Application Security Project), 2021 et 2017
- Données du secteur des cartes de paiement Normes de sécurité (PCI DSS) 4.0 et 3.2.1
- SOC 2 2017 Critères de services approuvés (TSC)
Normes de sécurité compatibles avec AWS
Security Health Analytics mappe les détecteurs d'Amazon Web Services (AWS) à une ou plusieurs des normes de conformité suivantes :
- CIS Amazon Web Services Foundations 2.0.0
- CIS Controls 8.0
- CCM 4
- HIPAA
- ISO 27001 2022
- NIST 800-53 R5
- NIST CSF 1.0
- PCI DSS 4.0 et 3.2.1
- SOC 2 2017 TSC
Pour en savoir plus sur la conformité, consultez la section Évaluer et signaler la conformité aux benchmarks de sécurité.