Übersicht über Security Health Analytics

Security Health Analytics ist ein verwalteter Dienst von Security Command Center, der Scans Cloud-Umgebungen für häufige Fehlkonfigurationen, durch die Sie angegriffen werden könnte.

Security Health Analytics wird automatisch aktiviert, wenn Sie Security Command Center.

Security Health Analytics-Features nach Stufe

Welche Security Health Analytics-Funktionen verfügbar sind, hängt von auf der Dienststufe, auf der Security Command Center aktiviert ist.

Features der Standard-Stufe

In der Standard-Stufe kann Security Health Analytics nur eine einfache Gruppe erkennen mit mittlerem und hohem Schweregrad. Eine Liste der Kategorien finden, die Security Health Analytics mit der Standardstufe erkennt, finden Sie unter Standard-Dienststufe.

Features der Premium-Stufe

Premium-Stufe umfasst die folgenden Funktionen:

  • Alle detektoren für Google Cloud sowie eine Reihe weiterer Sicherheitslücken, Erkennungsfunktionen, z. B. die Möglichkeit, benutzerdefinierte Erkennungsmodule.
  • Die Ergebnisse werden Compliance-Kontrollen für Compliance-Berichte zugeordnet. Weitere Informationen finden Sie unter Detektoren und Compliance.
  • Security Command Center-Angriffspfadsimulationen berechnen Angriff Risikobewertungen und potenzielle Angriffspfade für die meisten Security Health Analytics-Analysen Ergebnisse. Weitere Informationen finden Sie unter Übersicht über Risikowerte für Angriffsrisiken und Angriffspfade.

Eine Liste aller Features der Premium-Stufe finden Sie unter Premium-Stufe:

Features der Enterprise-Stufe

Die Enterprise-Stufe enthält alle Funktionen der Premium-Stufe sowie Detektoren für andere Plattformen von Cloud-Dienstanbietern.

Stufen wechseln

Die meisten Detektoren von Security Health Analytics sind nur im Security Command Center verfügbar Premium- und Enterprise-Stufe. Wenn Sie die Premium- oder Enterprise-Stufe verwenden und zur Standardstufe wechseln möchten, sollten Sie alle Ergebnisse beheben, bevor Sie Ihr Abo ändern.

Wenn ein Premium- oder Enterprise-Testzeitraum endet oder Sie ein Downgrade auf die Standardversion ausführen aus der Premium- oder der Enterprise-Stufe der Status der Ergebnisse, die auf der höheren Ebene generiert wurden, ist auf INACTIVE festgelegt.

Multi-Cloud-Unterstützung

Security Health Analytics kann Fehlkonfigurationen in Ihren Bereitstellungen erkennen auf anderen Cloud-Plattformen.

Security Health Analytics unterstützt die folgenden anderen Cloud-Dienstanbieter:

  • Amazon Web Services (AWS)

Wenn Sie die Erkennungstools in AWS ausführen möchten, müssen Sie zuerst Security Command Center mit AWS verbinden, wie unter Verbindung zu AWS für die Sicherheitslückenerkennung und Risikobewertung herstellen beschrieben.

Unterstützte Google Cloud-Cloud-Dienste

Von Security Health Analytics verwaltetes Scannen auf Sicherheitslücken für Google Cloud kann gängige Sicherheitslücken und Fehlkonfigurationen in den folgenden Google Cloud-Diensten automatisch erkennen:

  • Cloud Monitoring und Cloud Logging
  • Compute Engine
  • Google Kubernetes Engine-Container und -Netzwerke
  • cl
  • Cloud SQL
  • Identitäts- und Zugriffsverwaltung
  • Cloud Key Management Service (Cloud KMS)
  • Cloud DNS

Scantypen für Security Health Analytics

Security Health Analytics-Scans werden in drei Modi ausgeführt:

  • Batch-Scan:Die Ausführung aller Detektoren ist für alle geplant Organisationen oder Projekte angemeldet sind.

  • Echtzeitscan: für Google Cloud-Bereitstellungen werden die Scans von unterstützten Detektoren immer dann gestartet, eine Änderung in der Konfiguration einer Ressource erkannt wird. Die Ergebnisse werden in Security Command Center geschrieben. Echtzeitscans werden nicht unterstützt für Bereitstellungen auf anderen Cloud-Plattformen.

  • Gemischter Modus:Einige Detektoren, die Echtzeitscans unterstützen erkennt Änderungen möglicherweise nicht für alle unterstützten Ressourcentypen in Echtzeit. In In diesen Fällen werden Konfigurationsänderungen für einige Ressourcentypen erfasst, sofort und andere werden in Batch-Scans erfasst. Ausnahmen sind angegeben in der Tabellen mit Ergebnissen von Security Health Analytics.

Security Health Analytics – Detektoren

In Security Health Analytics werden Detektoren verwendet, um Sicherheitslücken und Fehlkonfigurationen in Ihrer Cloud-Umgebung zu identifizieren. Jeder Detektor einer Ergebniskategorie entspricht.

Security Health Analytics bietet viele integrierte Detektoren, die in einer großen Anzahl von Kategorien und Ressourcentypen nach Sicherheitslücken und Fehlkonfigurationen suchen.

Sie können auch eigene benutzerdefinierte Prüfprogramme erstellen, mit denen nach Sicherheitslücken oder Fehlkonfigurationen gesucht werden kann, die nicht von den integrierten Prüfprogrammen abgedeckt werden oder für Ihre Umgebung spezifisch sind.

Weitere Informationen zu den integrierten Security Health Analytics-Detektoren finden Sie unter Integrierte Detektoren von Security Health Analytics.

Weitere Informationen zum Erstellen und Verwenden benutzerdefinierter Module finden Sie unter Benutzerdefinierte Module von Security Health Analytics

Aktivierung von Detektoren

Nicht alle integrierten Security Health Analytics-Detektoren für Google Cloud sind standardmäßig aktiviert.

Wenn Sie die Enterprise-Stufe mit Multi-Cloud-Unterstützung verwenden, Detektoren für AWS sind standardmäßig aktiviert.

Informationen zum Aktivieren inaktiver integrierter Detektoren finden Sie unter Detektoren aktivieren und deaktivieren.

So aktivieren oder deaktivieren Sie ein benutzerdefiniertes Erkennungsmodul für Security Health Analytics: können Sie das benutzerdefinierte Modul über die Google Cloud Console aktualisieren. die gcloud CLI oder Security Command Center API verwenden.

Weitere Informationen zum Aktualisieren von benutzerdefinierten Security Health Analytics-Modulen finden Sie unter Benutzerdefiniertes Modul aktualisieren.

Detektorunterstützung mit Aktivierungen auf Projektebene

Mit den Stufen „Standard“ und „Premium“ können Sie Security Command Center für eine gesamte Organisation oder für ein oder mehrere Projekte innerhalb einer Organisation aktivieren.

Die Enterprise-Stufe unterstützt keine Aktivierung auf Projektebene.

Integrierte Detektoren und Aktivierungen auf Projektebene

Wenn Sie Security Command Center nur für ein Projekt aktivieren, werden bestimmte integrierte Security Health Analytics-Detektoren werden nicht unterstützt, da sie Folgendes erfordern: auf Organisationsebene.

Von den integrierten Detectoren, die eine Aktivierung auf Organisationsebene erfordern, können Sie diejenigen aktivieren, die mit der Standardstufe von Security Command Center für Aktivierungen auf Projektebene verfügbar sind. Aktivieren Sie dazu die Standardstufe für Ihre Organisation. Diese ist kostenlos.

Integrierte Erkennungstools, für die sowohl die Premium-Stufe als auch Berechtigungen auf Organisationsebene erforderlich sind, werden bei Aktivierung auf Projektebene nicht unterstützt.

Hier finden Sie eine Liste der integrierten Detektoren der Standardstufe, für die ein Security Command Center Standard aktivieren, kann mit einer Aktivierung auf Projektebene verwendet werden, siehe Ergebniskategorien der Standardstufe auf Organisationsebene.

Eine Liste der integrierten Premium-Detektoren, die bei Aktivierungen auf Projektebene nicht unterstützt werden, finden Sie unter Nicht unterstützte Security Health Analytics-Ergebnisse.

Benutzerdefinierte Moduldetektoren und Aktivierungen auf Projektebene

Die Scans von benutzerdefinierten Moduldetektoren, die Sie in einem Projekt erstellen, sind die auf den Umfang des Projekts beschränkt sind, unabhängig von der Security Command Center. Benutzerdefinierte Moduldetektoren können nur Ressourcen scannen, sind für das Projekt verfügbar, in dem sie erstellt wurden.

Weitere Informationen zu benutzerdefinierten Modulen finden Sie unter Benutzerdefinierte Module von Security Health Analytics

Integrierte Detektoren von Security Health Analytics

In diesem Abschnitt werden die Kategorien der Prüfprogramme beschrieben, aufgelistet nach Cloud-Plattform und der Kategorie der Ergebnisse, die sie generieren.

Integrierte Detektoren für Google Cloud nach übergeordneter Kategorie

Die Security Health Analytics-Detektoren für Google Cloud und die Ergebnisse sind in folgende Kategorien unterteilt: übergeordneten Kategorien.

Security Health Analytics-Detektoren überwachen einen Teil der Google Cloud- Ressourcentypen, die von Cloud Asset Inventory unterstützt werden.

Einzelne Detektoren aufrufen Klicken Sie in jeder Kategorie auf den Namen der jeweiligen Kategorie.

Integrierte Detektoren für AWS

Eine Liste aller Security Health Analytics-Detektoren für AWS finden Sie unter AWS-Ergebnisse.

Benutzerdefinierte Module von Security Health Analytics

Benutzerdefinierte Module von Security Health Analytics sind benutzerdefinierte Detektoren für Google Cloud, die die Erkennungsfunktionen Security Health Analytics, die über die von den integrierten Detektoren bereitgestellten Detektoren hinausgeht.

Benutzerdefinierte Module werden für andere Cloud-Plattformen nicht unterstützt.

Sie können benutzerdefinierte Module erstellen, indem Sie den geführten Workflow in der Google Cloud Console oder erstellen Sie die Definition des benutzerdefinierten Moduls in einer YAML-Datei erstellen und diese dann in Security Command Center hochladen, mithilfe von Google Cloud CLI-Befehlen oder der Security Command Center API.

Weitere Informationen finden Sie unter Übersicht über benutzerdefinierte Module für Security Health Analytics.

Detektoren und Compliance

Security Command Center-Messung der Compliance mit Sicherheits-Benchmarks basiert größtenteils auf den Ergebnissen von Security Health Analytics Detektoren für Sicherheitslücken.

Security Health Analytics überwacht die Compliance mit Detektoren, die den Kontrollen eines Wide-Systems von Sicherheitsstandards.

Für jeden unterstützten Sicherheitsstandard Security Health Analytics eine Teilmenge der Steuerelemente überprüft. Für die geprüften Steuerelemente wird in Security Command Center angezeigt, wie viele Passagen passieren. Für die nicht bestandene Kontrollen haben, zeigt Security Command Center eine Liste der Ergebnisse an, und beschreiben die fehlerhaften Einstellungen.

CIS überprüft und zertifiziert die Zuordnungen von Security Health Analytics alle unterstützten Detektoren Version der CIS Google Cloud Foundations Benchmark. Zusätzliche Compliance Zuordnungen dienen nur zu Referenzzwecken.

Security Health Analytics regelmäßig werden neue Benchmark-Versionen und -Standards unterstützt. Älter -Versionen werden weiterhin unterstützt, werden aber irgendwann verworfen. Wir empfehlen, die neueste unterstützte Benchmark oder den neuesten verfügbaren Standard zu verwenden.

Mit dem Dienst zum Bestimmen des Sicherheitsstatus können Sie Organisationsrichtlinien und Security Health Analytics-Detektoren den Standards und Kontrollen zuordnen, die für Ihr Unternehmen gelten. Nachdem Sie einen Sicherheitsstatus erstellt haben, die sich auf die Compliance Ihres Unternehmens auswirken könnten.

Weitere Informationen zum Verwalten der Compliance finden Sie unter Compliance mit Sicherheitsstandards prüfen und melden.

Unterstützte Sicherheitsstandards in Google Cloud

Security Health Analytics Ordnet Detektoren für Google Cloud einer oder mehreren der folgenden Compliance-Anforderungen zu Standards:

Von AWS unterstützte Sicherheitsstandards

Security Health Analytics ordnet Detektoren für Amazon Web Services (AWS) einer oder mehreren der folgenden Compliance-Anforderungen zu Standards:

Weitere Informationen zur Compliance finden Sie unter Compliance mit Sicherheits-Benchmarks bewerten und melden