Security Health Analytics ist ein verwalteter Dienst des Security Command Centers, der Ihre Cloud-Umgebungen auf häufige Fehlkonfigurationen prüft, die Sie anfällig für Angriffe machen könnten.
Security Health Analytics wird automatisch aktiviert, wenn Sie Security Command Center aktivieren.
Security Health Analytics-Features nach Stufe
Welche Security Health Analytics-Funktionen verfügbar sind, hängt davon ab, auf der Dienststufe, auf der Security Command Center aktiviert ist.
Features der Standard-Stufe
In der Standard-Stufe kann Security Health Analytics nur eine einfache Gruppe von Sicherheitslücken mit mittlerem und hohem Schweregrad erkennen. Eine Liste der Ergebniskategorien, die Security Health Analytics mit der Standardebene erkennt, finden Sie unter Standarddienstebene.
Features der Premium-Stufe
Premium-Stufe umfasst die folgenden Funktionen:
- Alle Detektoren für Google Cloud sowie eine Reihe weiterer Funktionen zur Erkennung von Sicherheitslücken, z. B. die Möglichkeit, benutzerdefinierte Erkennungsmodule zu erstellen.
- Die Ergebnisse werden Compliance-Kontrollen für Compliance-Berichte zugeordnet. Weitere Informationen finden Sie unter Detektoren und Compliance.
- Security Command Center-Angriffspfadsimulationen berechnen Angriff Risikobewertungen und potenzielle Angriffspfade für die meisten Security Health Analytics-Daten Ergebnisse. Weitere Informationen finden Sie unter Übersicht über Risikowerte für Angriffsrisiken und Angriffspfade.
Eine Liste aller Features der Premium-Stufe finden Sie unter Premium-Stufe:
Funktionen der Enterprise-Stufe
Die Enterprise-Stufe enthält alle Funktionen der Premium-Stufe sowie Detektoren für andere Plattformen von Cloud-Dienstanbietern.
Stufen wechseln
Die meisten Security Health Analytics-Detektoren sind nur in der Premium- und Enterprise-Stufe von Security Command Center verfügbar. Wenn Sie die Premium- oder Enterprise-Stufe verwenden und zur Standardstufe wechseln möchten, sollten Sie alle Ergebnisse beheben, bevor Sie Ihr Abo ändern.
Wenn ein Premium- oder Enterprise-Testzeitraum endet oder Sie ein Downgrade auf die Standardversion ausführen
aus der Premium- oder der Enterprise-Stufe
der Status der Ergebnisse, die auf der höheren Ebene generiert wurden, ist
auf INACTIVE festgelegt.
Multi-Cloud-Unterstützung
Security Health Analytics kann Fehlkonfigurationen in Ihren Bereitstellungen erkennen auf anderen Cloud-Plattformen.
Security Health Analytics unterstützt die folgenden anderen Cloud-Dienstanbieter:
- Amazon Web Services (AWS)
Wenn Sie die Erkennungstools in AWS ausführen möchten, müssen Sie zuerst Security Command Center mit AWS verbinden, wie unter Verbindung zu AWS für die Sicherheitslückenerkennung und Risikobewertung herstellen beschrieben.
Unterstützte Google Cloud-Cloud-Dienste
Das von Security Health Analytics verwaltete Scannen der Sicherheitslückenbewertung für Google Cloud kann häufige Sicherheitslücken und Fehlkonfigurationen automatisch in den folgenden Google Cloud-Diensten erkennen:
- Cloud Monitoring und Cloud Logging
- Compute Engine
- Google Kubernetes Engine-Container und -Netzwerke
- cl
- Cloud SQL
- Identitäts- und Zugriffsverwaltung
- Cloud Key Management Service (Cloud KMS)
- Cloud DNS
Scantypen für Security Health Analytics
Security Health Analytics-Scans werden in drei Modi ausgeführt:
Batch-Scan:Die Ausführung aller Detektoren ist für alle geplant Organisationen oder Projekte angemeldet sind.
Echtzeitscan: für Google Cloud-Bereitstellungen werden die Scans von unterstützten Detektoren immer dann gestartet, eine Änderung in der Konfiguration einer Ressource erkannt wird. Die Ergebnisse werden in Security Command Center geschrieben. Echtzeitscans werden für Bereitstellungen auf anderen Cloud-Plattformen nicht unterstützt.
Gemischter Modus:Einige Detektoren, die Echtzeitscans unterstützen erkennt Änderungen möglicherweise nicht für alle unterstützten Ressourcentypen in Echtzeit. In In diesen Fällen werden Konfigurationsänderungen für einige Ressourcentypen erfasst, sofort und andere werden in Batch-Scans erfasst. Ausnahmen werden in den Tabellen mit den Ergebnissen von Security Health Analytics vermerkt.
Security Health Analytics – Detektoren
Security Health Analytics nutzt Detektoren, um Sicherheitslücken zu identifizieren und und Fehlkonfigurationen in Ihrer Cloud-Umgebung. Jedem Detektor entspricht eine Ergebniskategorie.
Security Health Analytics bietet viele integrierte Detektoren, die in einer großen Anzahl von Kategorien und Ressourcentypen nach Sicherheitslücken und Fehlkonfigurationen suchen.
Sie können auch eigene benutzerdefinierte Prüfprogramme erstellen, mit denen nach Sicherheitslücken oder Fehlkonfigurationen gesucht werden kann, die nicht von den integrierten Prüfprogrammen abgedeckt werden oder für Ihre Umgebung spezifisch sind.
Weitere Informationen zu den integrierten Security Health Analytics-Detektoren finden Sie unter Integrierte Security Health Analytics-Detektoren.
Weitere Informationen zum Erstellen und Verwenden benutzerdefinierter Module finden Sie unter Benutzerdefinierte Module von Security Health Analytics
Aktivierung von Detektoren
Nicht alle integrierten Security Health Analytics-Detektoren für Google Cloud sind standardmäßig aktiviert.
Wenn Sie die Enterprise-Stufe mit Multi-Cloud-Support verwenden, sind standardmäßig alle Prüfmechanismen für AWS aktiviert.
Informationen zum Aktivieren inaktiver integrierter Detektoren finden Sie unter Detektoren aktivieren und deaktivieren.
Wenn Sie ein benutzerdefiniertes Erkennungsmodul für Security Health Analytics aktivieren oder deaktivieren möchten, können Sie das benutzerdefinierte Modul über die Google Cloud Console, die gcloud CLI oder die Security Command Center API aktualisieren.
Weitere Informationen zum Aktualisieren benutzerdefinierter Module für Security Health Analytics finden Sie unter Benutzerdefiniertes Modul aktualisieren
Detektorunterstützung mit Aktivierungen auf Projektebene
Mit der Standard- und der Premium-Stufe können Sie Security Command Center aktivieren oder für ein oder mehrere Projekte innerhalb einer Organisation.
Aktivierungen auf Projektebene werden von der Enterprise-Stufe nicht unterstützt.
Integrierte Detektoren und Aktivierungen auf Projektebene
Wenn Sie Security Command Center nur für ein Projekt aktivieren, werden bestimmte integrierte Security Health Analytics-Detektoren nicht unterstützt, da sie Berechtigungen auf Organisationsebene erfordern.
Von den integrierten Detektoren, für die eine Organisationsebene erforderlich ist Aktivierung können Sie diejenigen aktivieren, die mit der Standard-Stufe verfügbar sind. von Security Command Center für Aktivierungen auf Projektebene Aktivieren Sie die kostenlose Standard-Stufe für Ihre Organisation.
Integrierte Detektoren, die sowohl die Premium-Stufe als auch Berechtigungen auf Organisationsebene werden für die Projektebene nicht unterstützt Aktivierungen.
Hier finden Sie eine Liste der integrierten Detektoren der Standardstufe, für die ein Security Command Center Standard aktivieren, kann mit einer Aktivierung auf Projektebene verwendet werden, siehe Ergebniskategorien der Standardstufe auf Organisationsebene.
Eine Liste der integrierten Detektoren der Premium-Stufe, die nicht unterstützt werden mit Aktivierungen auf Projektebene, siehe Nicht unterstützte Security Health Analytics-Ergebnisse.
Benutzerdefinierte Moduldetektoren und Aktivierungen auf Projektebene
Die Scans von benutzerdefinierten Modul-Detektoren, die Sie in einem Projekt erstellen, sind unabhängig von der Aktivierungsstufe von Security Command Center auf den Umfang des Projekts beschränkt. Mit benutzerdefinierten Modul-Detektoren können nur die Ressourcen gescannt werden, die für das Projekt verfügbar sind, in dem sie erstellt wurden.
Weitere Informationen zu benutzerdefinierten Modulen finden Sie unter Benutzerdefinierte Module von Security Health Analytics
Integrierte Security Health Analytics-Detektoren
In diesem Abschnitt werden die allgemeinen Kategorien der Prüfprogramme beschrieben, aufgelistet nach Cloud-Plattform und der Ergebniskategorie, die sie generieren.
Integrierte Detektoren für Google Cloud nach übergeordneter Kategorie
Die Security Health Analytics-Detektoren für Google Cloud und die von ihnen gemeldeten Ergebnisse sind in die folgenden übergeordneten Kategorien unterteilt.
Security Health Analytics-Detektoren überwachen einen Teil der Google Cloud- Ressourcentypen, die von Cloud Asset Inventory unterstützt werden.
Klicken Sie auf den Namen der Kategorie, um die einzelnen Sensoren aufzurufen, die in jeder Kategorie enthalten sind.
- API die wichtigsten Ergebnisse zu Sicherheitslücken
- Computing Ergebnisse zu Image-Sicherheitslücken
- Computing Ergebnisse zu Sicherheitslücken von Instanzen
- Container Ergebnisse zu Sicherheitslücken
- Dataproc Ergebnisse zu Sicherheitslücken
- Ergebnisse zu Dataset-Sicherheitslücken
- DNS Ergebnisse zu Sicherheitslücken
- Ergebnisse zu Firewall-Sicherheitslücken
- IAM Ergebnisse zu Sicherheitslücken
- Ergebnisse zu KMS-Sicherheitslücken
- Protokollierung Ergebnisse zu Sicherheitslücken
- Überwachung Ergebnisse zu Sicherheitslücken
- Ergebnisse zu Sicherheitslücken bei der Multi-Faktor-Authentifizierung
- Ergebnisse zu Netzwerksicherheitslücken
- Organisation Ergebnisse zu Sicherheitslücken in Bezug auf Richtlinien
- Ergebnisse zu Pub/Sub-Sicherheitslücken
- SQL Ergebnisse zu Sicherheitslücken
- Ergebnisse zu Speichersicherheitslücken
- Subnetzwerk Ergebnisse zu Sicherheitslücken
Integrierte Erkennungsmechanismen für AWS
Eine Liste aller Security Health Analytics-Detektoren für AWS finden Sie unter AWS-Ergebnisse.
Benutzerdefinierte Module für Security Health Analytics
Benutzerdefinierte Module von Security Health Analytics sind benutzerdefinierte Detektoren für Google Cloud, die die Erkennungsfunktionen Security Health Analytics, die über die von den integrierten Detektoren bereitgestellten Detektoren hinausgeht.
Benutzerdefinierte Module werden auf anderen Cloud-Plattformen nicht unterstützt.
Sie können benutzerdefinierte Module mithilfe des interaktiven Workflows in der Google Cloud Console erstellen. Alternativ können Sie die Definition des benutzerdefinierten Moduls selbst in einer YAML-Datei erstellen und dann mithilfe von Google Cloud CLI-Befehlen oder der Security Command Center API in Security Command Center hochladen.
Weitere Informationen finden Sie unter Übersicht über benutzerdefinierte Module für Security Health Analytics.
Detektoren und Compliance
Die Messung der Compliance mit Sicherheitsstandards im Security Command Center basiert zu einem großen Teil auf den Ergebnissen der Sicherheitslücken-Detektoren von Security Health Analytics.
Security Health Analytics überwacht Ihre Compliance mithilfe von Detektoren, die den Steuerelementen einer Vielzahl von Sicherheitsstandards zugeordnet sind.
Für jeden unterstützten Sicherheitsstandard Security Health Analytics prüft eine ausgewählt werden. Für die geprüften Steuerelemente zeigt Security Command Center an, wie viele bestanden werden. Für die nicht bestandenen Kontrollen wird in Security Command Center eine Liste mit Ergebnissen angezeigt, die die Kontrollfehler beschreiben.
CIS überprüft und zertifiziert die Zuordnungen von Security Health Analytics Detektoren für jede unterstützte Version der CIS Google Cloud Foundations Benchmark. Zusätzliche Compliance-Zuordnungen sind nur zu Referenzzwecken enthalten.
In Security Health Analytics werden regelmäßig neue Benchmarkversionen und -standards unterstützt. Ältere Versionen werden weiterhin unterstützt, aber irgendwann eingestellt. Wir empfehlen, den neuesten unterstützten Benchmark oder Standard zu verwenden.
Mit dem Dienst zum Bestimmen des Sicherheitsstatus können Sie Organisationsrichtlinien und Security Health Analytics-Detektoren den Standards und Kontrollen zuordnen, die für Ihr Unternehmen gelten. Nachdem Sie eine Sicherheitskonfiguration erstellt haben, können Sie Änderungen an der Umgebung überwachen, die sich auf die Compliance Ihres Unternehmens auswirken könnten.
Weitere Informationen zum Verwalten der Compliance finden Sie unter Sicherheitskonformität bewerten und melden .
Unterstützte Sicherheitsstandards
Google Cloud
Security Health Analytics Ordnet Detektoren für Google Cloud einer oder mehreren der folgenden Compliance-Anforderungen zu Standards:
- Center for Information Security (CIS) Controls 8.0
- CIS Google Cloud Computing Foundations Benchmark v2.0.0, v1.3.0, v1.2.0, v1.1.0 und v1.0.0
- CIS Kubernetes Benchmark v1.5.1
- Cloud Controls Matrix (CCM) 4
- US-Gesetz zur Übertragbarkeit von Krankenversicherungen und Verantwortlichkeit von Versicherern (Health Insurance Portability and Accountability Act, HIPAA)
- ISO 27001, 2022 und 2013 (International Organization for Standardization)
- National Institute of Standards and Technology (NIST) 800-53 R5 und R4
- NIST CSF 1.0
- Top Ten des Open Web Application Security Project (OWASP), 2021 und 2017
- Payment Card Industry Data Security Standard (PCI DSS) 4.0 und 3.2.1
- System and Organization Controls (SOC) 2 2017 Trust Services Criteria (TSC)
AWS
Security Health Analytics ordnet Detektoren für Amazon Web Services (AWS) einer oder mehreren der folgenden Compliance-Anforderungen zu Standards:
Weitere Informationen zur Compliance finden Sie unter Compliance mit Sicherheits-Benchmarks bewerten und melden