Visão geral da Análise de integridade de segurança

O Security Health Analytics é um serviço gerenciado do Security Command Center que verifica os ambientes de nuvem em busca de configurações incorretas comuns que podem expor você a ataques.

A Análise de integridade da segurança é ativada automaticamente quando você ativa o Security Command Center.

Recursos da Análise de integridade da segurança por nível

Os recursos da Análise de integridade da segurança disponíveis variam de acordo com o nível de serviço em que o Security Command Center está ativado.

Recursos do nível Standard

No nível Standard, a Análise de integridade da segurança pode detectar apenas um grupo básico de vulnerabilidades de média e alta gravidade. Para conferir uma lista das categorias de descoberta que a Análise de integridade da segurança detecta com o nível Standard, consulte O nível de serviço Standard.

Recursos do nível Premium

O nível Premium inclui os seguintes recursos:

• Todos os detectores do Google Cloud, bem como vários outros recursos de detecção de vulnerabilidades, como a capacidade de criar módulos de detecção personalizados.
• As descobertas são associadas aos controles de compliance para relatórios de compliance. Para mais informações, consulte Detectores e compliance.
• As simulações de caminho de ataque do Security Command Center calculam as pontuações de exposição a ataques e os possíveis caminhos de ataque para a maioria das descobertas do Security Health Analytics. Para mais informações, consulte Visão geral das pontuações de exposição a ataques e caminhos de ataque.

Consulte uma lista de todos os recursos do nível Premium em Nível Premium.

Recursos do nível Enterprise

O nível Enterprise inclui todos os recursos do nível Premium, bem como detectores para outras plataformas de provedores de serviços em nuvem.

Como alternar níveis

A maioria dos detectores da Análise de integridade da segurança está disponível apenas nos níveis Premium e Enterprise do Security Command Center. Se você estiver usando o nível Premium ou Enterprise e quiser mudar para o nível Standard, recomendamos que resolva todas as descobertas antes de alterar o nível.

Quando um teste Premium ou Enterprise termina ou você faz downgrade do nível Premium ou Enterprise para o nível Standard, o estado das descobertas geradas no nível superior é definido como INACTIVE.

Suporte a várias nuvens

A Análise de integridade da segurança pode detectar configurações incorretas nas suas implantações em outras plataformas de nuvem.

A Análise de integridade da segurança oferece suporte aos outros provedores de serviços de nuvem a seguir:

• Amazon Web Services (AWS)

Para executar os detectores na AWS, primeiro você precisa conectar o Security Command Center à AWS, conforme descrito em Conectar-se à AWS para detecção de vulnerabilidades e avaliação de risco.

Serviços de nuvem do Google Cloud com suporte

A verificação da avaliação de vulnerabilidade gerenciada da Análise de integridade da segurança para o Google Cloud pode detectar automaticamente vulnerabilidades comuns e configurações incorretas nos seguintes serviços do Google Cloud:

• Cloud Monitoring e Cloud Logging
• Compute Engine
• Contêineres e redes do Google Kubernetes Engine
• Cloud Storage
• Cloud SQL
• Identity and Access Management (IAM)
• Cloud Key Management Service (Cloud KMS)
• Cloud DNS

Tipos de verificações da Análise de integridade da segurança

As verificações do Security Health Analytics são executadas em três modos:

• Verificação em lote: todos os detectores estão programados para serem executados para todas as organizações ou projetos inscritos uma vez por dia.

• Verificação em tempo real: apenas para implantações do Google Cloud, os detectores compatíveis iniciam verificações sempre que uma alteração é detectada na configuração de um recurso. As descobertas são gravadas na Central de comando de segurança. As verificações em tempo real não são compatíveis com implantações em outras plataformas de nuvem.

• Modo misto: alguns detectores compatíveis com verificações em tempo real podem não detectar alterações em tempo real para todos os tipos de recursos compatíveis. Nesses casos, as alterações de configuração de alguns tipos de recursos são capturadas imediatamente e outras são capturadas em verificações em lote. Há exceções nas tabelas das descobertas da Análise de integridade da segurança.

Detectores do Security Health Analytics

A Análise de integridade da segurança usa detectores para identificar vulnerabilidades e configurações incorretas no ambiente de nuvem. Cada detector corresponde a uma categoria de descoberta.

A Análise de integridade da segurança vem com muitos detectores integrados que verificam vulnerabilidades e configurações incorretas em um grande número de categorias e tipos de recursos.

Também é possível criar seus próprios detectores personalizados que podem verificar vulnerabilidades ou configurações incorretas que não são cobertas pelos detectores integrados ou que são específicas do seu ambiente.

Para mais informações sobre os detectores integrados da Análise de integridade da segurança, consulte Detectores integrados da Análise de integridade da segurança.

Para mais informações sobre como criar e usar módulos personalizados, consulte Módulos personalizados da Análise de integridade da segurança.

Ativação do detector

Nem todos os detectores integrados da Análise de integridade da segurança para o Google Cloud são ativados por padrão.

Se você estiver usando o nível Enterprise com suporte a várias nuvens, todos os detectores da AWS estarão ativados por padrão.

Para ativar os detectores integrados inativos, consulte Ativar e desativar detectores.

Para ativar ou desativar um módulo de detecção personalizado da Análise de integridade da segurança, atualize-o usando o console do Google Cloud, a CLI gcloud ou a API Security Command Center.

Para mais informações sobre como atualizar os módulos personalizados da Análise de integridade da segurança, consulte Atualizar um módulo personalizado.

Compatibilidade do detector com ativações no nível do projeto

Nos níveis Standard e Premium, é possível ativar o Security Command Center para uma organização inteira ou para um ou mais projetos de uma organização.

O nível Enterprise não é compatível com ativações no nível do projeto.

Detectores integrados e ativações no nível do projeto

Quando você ativa o Security Command Center apenas para um projeto, determinados detectores integrados da Análise de integridade da segurança não são compatíveis, porque exigem permissões no nível da organização.

Dos detectores integrados que exigem uma ativação no nível da organização, é possível ativar aqueles que estão disponíveis com o nível Standard do Security Command Center para ativações no nível do projeto, ativando o nível Standard para sua organização, o que é sem custo financeiro.

Os detectores integrados que exigem permissões no nível Premium e no nível da organização não são compatíveis com ativações no nível do projeto.

Para conferir uma lista dos detectores de nível Standard integrados que exigem uma ativação no nível da organização do Security Command Center Standard antes que eles possam ser usados com uma ativação no nível do projeto, consulteCategorias de descoberta do nível Standard no nível da da organização.

Para conferir uma lista de detectores integrados de nível Premium que não são compatíveis com ativações no nível do projeto, consulte Descobertas não compatíveis da Análise de integridade da segurança.

Detectores de módulos personalizados e ativações no nível do projeto

As verificações de detectores de módulos personalizados criados em um projeto são limitadas ao escopo do projeto, independentemente do nível de ativação do Security Command Center. Os detectores de módulos personalizados podem verificar apenas os recursos disponíveis para o projeto em que são criados.

Para mais informações sobre módulos personalizados, consulte Módulos personalizados da Análise de integridade da segurança.

Detectores integrados da Análise de integridade da segurança

Nesta seção, descrevemos as categorias gerais dos detectores, listadas por Cloud Platform e a categoria de descoberta que eles geram.

Detectores integrados para o Google Cloud por categoria de alto nível

Os detectores da Análise de integridade da segurança para o Google Cloud e as descobertas que eles emitem são agrupados nas categorias de alto nível a seguir.

Os detectores da Análise de integridade da segurança monitoram um subconjunto dos tipos de recursos do Google Cloud que recebem suporte do Inventário de recursos do Cloud.

Para conferir os detectores individuais incluídos em cada categoria, clique no nome da categoria.

• Descobertas de vulnerabilidade da chave de API
• Calcular descobertas de vulnerabilidade de imagem
• Descobertas de vulnerabilidade da instância do Compute
• Descobertas da vulnerabilidade do contêiner
• Descobertas de vulnerabilidades do Dataproc
• Descobertas de vulnerabilidade do conjunto de dados
• Descobertas de vulnerabilidade de DNS
• Descobertas de vulnerabilidades de firewall
• Descobertas da vulnerabilidade do IAM
• Descobertas de vulnerabilidade do KMS
• Descobertas de vulnerabilidade de geração de registros
• Como monitorar descobertas de vulnerabilidade
• Descobertas de vulnerabilidade de autenticação multifator
• Descobertas de vulnerabilidades de rede
• Descobertas da vulnerabilidade da política da organização
• Descobertas de vulnerabilidades do Pub/Sub
• Descobertas de vulnerabilidade SQL
• Descobertas de vulnerabilidade do armazenamento
• Descobertas de vulnerabilidades de sub-rede

Detectores integrados para a AWS

Uma lista de todos os detectores do Security Health Analytics para a AWS. Consulte as descobertas da AWS.

Módulos personalizados da Análise de integridade da segurança

Os módulos personalizados da Análise de integridade da segurança são detectores personalizados do Google Cloud que ampliam os recursos de detecção da Análise de integridade de segurança além dos fornecidos pelos detectores integrados.

Módulos personalizados não são compatíveis com outras plataformas de nuvem.

É possível criar módulos personalizados usando o fluxo de trabalho guiado no console do Google Cloud ou criar a definição do módulo personalizado em um arquivo YAML e fazer upload dele para o Security Command Center usando comandos da CLI Google Cloud ou a API Security Command Center.

Para mais informações, consulte Visão geral dos módulos personalizados para a Análise de integridade da segurança.

Detectores e compliance

A medição de conformidade do Security Command Center com os comparativos de mercado de segurança se baseia em grande parte nas descobertas produzidas pelos detectores de vulnerabilidades do Security Health Analytics.

A Análise de integridade da segurança monitora sua conformidade com detectores que são associados aos controles de vários padrões de segurança.

Para cada padrão de segurança com suporte, a Análise de integridade da segurança verifica um subconjunto dos controles. Nos controles marcados, o Security Command Center mostra quantos estão sendo aprovados. Para os controles que não estão sendo aprovados, o Security Command Center mostra uma lista de descobertas que descrevem as falhas de controle.

O CIS analisa e certifica os mapeamentos dos detectores da Análise de integridade da segurança para cada versão compatível do Comparativo de mercado CIS do Google Cloud Foundations. Outros mapeamentos de conformidade estão incluídos apenas para fins de referência.

A Análise de integridade da segurança adiciona suporte periodicamente a novas versões e padrões de comparativo de mercado. As versões mais antigas continuam com suporte, mas são descontinuadas. Recomendamos que você use o comparativo de mercado ou o padrão compatível mais recente disponível.

Com o serviço de postura de segurança, é possível mapear as políticas da organização e os detectores da Análise de integridade da segurança para os padrões e controles que se aplicam à sua empresa. Depois de criar uma postura de segurança, monitore as alterações no ambiente que possam afetar a conformidade da sua empresa.

Para mais informações sobre como gerenciar a conformidade, consulte Avaliar e relatar a conformidade com os padrões de segurança.

Padrões de segurança compatíveis com o Google Cloud

A Análise de integridade da segurança mapeia os detectores do Google Cloud para um ou mais dos seguintes padrões de compliance:

• Controles do Centro de Segurança da Informação (CIS) 8.0
• Comparativo de mercado CIS do Google Cloud Computing Foundations v2.0.0, v1.3.0, v1.2.0, v1.1.0 e v1.0.0
• Comparativo de mercado CIS do Kubernetes v1.5.1
• Matriz de controles de nuvem (CCM) 4
• Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA)
• Organização Internacional de Normalização (ISO) 27001, 2022 e 2013 (em inglês)
• Instituto Nacional de Padrões e Tecnologia (NIST) 800-53 R5 e R4 (em inglês)
• NIST CSF 1.0
• Open Web Application Security Project (OWASP) Top 10, 2021 e 2017
• Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) 4.0 e 3.2.1
• Controles de sistema e organização (SOC, na sigla em inglês) 2 Critérios de Serviços Confiáveis (TSC, na sigla em inglês) de 2017

Padrões de segurança com suporte na AWS

O Security Health Analytics mapeia os detectores da Amazon Web Services (AWS) para um ou mais dos seguintes padrões de conformidade:

• CIS Amazon Web Services Foundations 2.0.0
• Controles do CIS 8.0
• CCM 4
• HIPAA
• ISO 27001 2022
• NIST 800-53 R5
• NIST CSF 1.0
• PCI DSS 4.0 e 3.2.1
• SOC 2 2017 TSC

Para mais informações sobre conformidade, consulte Avaliar e relatar a conformidade de comparativos de mercado de segurança.