Sources de sécurité pour les failles et les menaces

>

Liste des sources de sécurité Google Cloud disponibles dans Security Command Center. Lorsque vous activez une source de sécurité, celle-ci fournit des données sur les failles et les menaces dans le tableau de bord Security Command Center.

Security Command Center vous permet de filtrer et d'afficher les résultats de failles et de menaces de différentes manières, en filtrant par exemple un type de résultat, un type de ressource ou un élément spécifique. Chaque source de sécurité peut fournir plus de filtres pour vous aider à organiser les résultats de votre organisation.

Pour en savoir plus, consultez la page Utiliser le tableau de bord Security Command Center.

Failles

Les détecteurs de failles peuvent vous aider à identifier les vulnérabilités potentielles.

Types de failles Security Health Analytics

L'analyse d'évaluation des failles gérée Security Health Analytics pour Google Cloud peut détecter automatiquement les failles courantes et les erreurs de configuration dans les éléments suivants :

  • Cloud Monitoring et Cloud Logging
  • Compute Engine
  • Conteneurs et réseaux Google Kubernetes Engine
  • Cloud Storage
  • Cloud SQL
  • Gestion de l'authentification et des accès (IAM)
  • Cloud Key Management Service (Cloud KMS)
  • Cloud DNS

Security Health Analytics est automatiquement activé lorsque vous sélectionnez le niveau Standard ou Premium de Security Command Center. Lorsque Security Health Analytics est activé, les analyses sont automatiquement exécutées deux fois par jour, de 12 heures d'intervalle.

L'analyse de l'état de la sécurité analyse de nombreux types de failles. Vous pouvez regrouper les résultats par type de détecteur. Utilisez les noms des détecteurs d'analyse de l'état de la sécurité pour filtrer les résultats en fonction du type de ressource correspondant à ces résultats.

Pour afficher la liste complète des résultats et des détecteurs de Security Health Analytics, consultez la page Résultats de Security Health Analytics ou développez la section suivante.

Web Security Scanner

Web Security Scanner fournit une analyse des failles Web gérée et personnalisée pour les applications Web publiques App Engine, GKE et Compute Engine.

Analyses gérées

Les analyses gérées de Web Security Scanner sont configurées et gérées par Security Command Center. Elles s'exécutent automatiquement une fois par semaine pour détecter et analyser les points de terminaison Web publics. Ces analyses n'utilisent pas l'authentification et n'envoient que des requêtes GET. Elles n'envoient donc pas de formulaires sur des sites Web en ligne.

Les analyses gérées s'exécutent indépendamment des analyses personnalisées que vous définissez au niveau du projet. Vous pouvez utiliser des analyses gérées pour gérer de manière centralisée la détection de failles des applications Web de base pour les projets de votre organisation, sans avoir à impliquer des équipes de projets individuelles. Lorsque des résultats sont détectés, vous pouvez collaborer avec ces équipes pour configurer des analyses personnalisées plus complètes.

Lorsque vous activez Web Security Scanner en tant que service, les résultats d'analyse gérée sont automatiquement disponibles dans l'onglet des failles de Security Command Center et dans les rapports associés. Pour savoir comment activer les analyses gérées de Web Security Scanner, consultez la page Configurer Security Command Center.

Analyses personnalisées

Les analyses personnalisées de Web Security Scanner fournissent des informations précises sur les résultats des failles des applications, telles que les bibliothèques obsolètes, les scripts intersites ou l'utilisation de contenus mixtes. Les résultats de l'analyse personnalisée sont disponibles dans Security Command Center une fois que vous avez terminé le guide de configuration des analyses personnalisées de Web Security Scanner.

Ces tableaux incluent une description de la mise en correspondance entre les détecteurs compatibles et la meilleure mise en correspondance avec les régimes de conformité pertinents.

Les mises en correspondance de Google Cloud Foundation 1.0 de la CI ont été examinées et certifiées par le Centre de sécurité Internet pour l'alignement de la version 1.0.0 du benchmark Google Cloud Computing Foundations CI. Des mises en correspondance de conformité supplémentaires sont incluses pour référence. Elles ne sont pas fournies ni examinées par la norme de sécurité des données de l'industrie des cartes de paiement ou la OWASP Foundation. Consultez la version 1.0.0 du benchmark Google Cloud Computing Foundations du CIS (CIS Google Cloud Foundation 1.0), la version 3.2.1 de la norme de sécurité des données de l'industrie des cartes de paiement (PCI-DSS v3.2.1), le projet Top 10 de l'OWASP, la norme 800-53 du National Institute of Standards and Technology (NIST 800-53) et la norme 27001 de l'Organisation internationale de la normalisation (ISO 27001) pour savoir comment vérifier manuellement ces violations.

Cette fonctionnalité est uniquement destinée à vous permettre de surveiller les cas de non-respect des contrôles de conformité. Les mises en correspondance ne sont pas fournies pour être utilisées comme base ou substitut de l'audit, du certificat ou du rapport de conformité de vos produits ou services par rapport à des benchmarks ou des normes industriels ou du secteur.

Vous trouverez ci-dessous les types de résultat identifiés par les analyses personnalisées et gérées de Web Security Scanner.

Tableau 18.Résultats de Web Security Scanner
Category Description du résultat CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP Top 10 NIST 800-53 ISO-27001
ACCESSIBLE_GIT_REPOSITORY Un dépôt GIT est exposé publiquement. Pour résoudre ce problème, supprimez l'accès public involontaire au dépôt GIT. A3
ACCESSIBLE_SVN_REPOSITORY Un dépôt SVN est exposé publiquement. Pour résoudre ce problème, supprimez l'accès public involontaire au dépôt SVN. A3
CLEAR_TEXT_PASSWORD Les mots de passe sont transmis en texte clair et peuvent être interceptés. Pour résoudre ce problème, chiffrez les mots de passe transmis sur le réseau. A3
INVALID_CONTENT_TYPE Une des ressources chargées ne correspond pas à l'en-tête HTTP "Content-Type" de la réponse. Pour résoudre ce problème, définissez l'en-tête HTTP "X-Content-Type-Options" sur la valeur correcte. A6
INVALID_HEADER Un en-tête de sécurité contient une erreur de syntaxe et est ignoré par les navigateurs. Pour résoudre ce problème, définissez correctement l'en-tête de sécurité HTTP. A6
MISMATCHING_SECURITY_HEADER_VALUES Un en-tête de sécurité contient des valeurs en double incompatibles, ce qui entraîne un comportement indéfini. Pour résoudre ce problème, définissez correctement l'en-tête de sécurité HTTP. A6
MISSPELLED_SECURITY_HEADER_NAME Un en-tête de sécurité est mal orthographié et ignoré. Pour résoudre ce problème, définissez correctement l'en-tête de sécurité HTTP. A6
MIXED_CONTENT Les ressources sont diffusées via HTTP sur une page HTTPS. Pour résoudre ce problème, assurez-vous que toutes les ressources sont diffusées via HTTPS. A6
OUTDATED_LIBRARY Une bibliothèque contenant des failles connues a été détectée. Pour résoudre ce problème, mettez à jour la bibliothèque vers une version plus récente. A9
XSS Un champ dans cette application Web est vulnérable aux attaques de script intersites (XSS). Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées et faites-les échapper. A7
XSS_ANGULAR_CALLBACK Une chaîne fournie par l'utilisateur n'est pas échappée et peut être interpolée par AngularJS. Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées gérées par le framework Angular et faites-les échapper. A7
XSS_ERROR Un champ dans cette application Web est vulnérable aux attaques de script intersites. Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées et faites-les échapper. A7

Menaces

Les détecteurs de menaces peuvent vous aider à détecter des événements potentiellement dangereux.

Détection d'anomalies

La détection d'anomalies est un service intégré qui utilise des signaux de comportement extérieurs à votre système. Elle affiche des informations précises sur les anomalies de sécurité détectées pour vos projets et les instances de machines virtuelles (VM), telles que les identifiants volés potentiels et le minage de monnaie. La détection d'anomalies est automatiquement activée lorsque vous vous abonnez au niveau Standard ou Premium de Security Command Center, et les résultats sont disponibles dans le tableau de bord Security Command Center.

Voici quelques exemples de résultats de détection d'anomalies :

Tableau B. Types de résultats de détection d'anomalies
Potentiel de compromis Description
Identifiants de compte de service piratés Identifiants de compte de service Google Cloud piratés en ligne ou compromis accidentellement.
Machine compromise potentielle Compromis potentiel d'une ressource au sein de votre organisation.
Scénarios d'utilisation abusive Description
Ressource utilisée pour le minage de cryptomonnaie Les signaux comportementaux autour d'une VM de votre organisation indiquent que celle-ci peut être compromise et utilisée à des fins de minage de cryptomonnaie.
Ressources utilisées pour l'intrusion sortante Tentatives d'intrusion et analyses de ports : l'une des ressources ou des services Google Cloud de votre organisation est utilisé pour des activités d'intrusion, telles qu'une tentative de pénétrer dans un système cible ou de le compromettre. Il s'agit, par exemple, d'attaques par force brute SSH, d'analyses de ports et d'attaques par force brute FTP.
Ressources utilisée pour le hameçonnage L'une des ressources ou des services Google Cloud de votre organisation sont utilisés à des fins de hameçonnage.

Container Threat Detection

Container Threat Detection peut détecter les attaques les plus courantes visant l'environnement d'exécution des conteneurs, et vous alerter dans Security Command Center et, éventuellement, dans Cloud Logging. Container Threat Detection inclut plusieurs fonctionnalités de détection, un outil d'analyse et une API.

L'instrumentation de détection Container Threat Detection collecte le comportement de bas niveau dans le noyau invité pour détecter les événements suivants :

  • Fichier binaire ajouté exécuté
  • Ajout de bibliothèque chargée
  • Interface système inversée

Apprenez-en davantage sur Container Threat Detection.

Cloud Data Loss Prevention

Cloud DLP Data Discovery vous permet d'afficher les résultats des analyses Cloud de protection contre la perte de données (Cloud DLP) directement dans le tableau de bord de Security Command Center et dans l'inventaire des résultats. Cloud DLP peut vous aider à mieux comprendre et gérer les données sensibles et les informations personnelles, telles que les suivantes :

  • Numéros de cartes de crédit
  • Noms
  • Numéros de sécurité sociale
  • Numéros d'identification américains et internationaux sélectionnés
  • Numéros de téléphone
  • Identifiants Google Cloud

Chaque résultat de la découverte de données Cloud DLP n'inclut que le type de catégorie des informations personnelles et la ressource dans laquelle il a été trouvé. Il n'inclut aucune des données sous-jacentes spécifiques.

Une fois que vous avez suivi les étapes de configuration décrites dans le guide pour envoyer les résultats de l'API DLP à Security Command Center, les résultats de l'analyse Cloud DLP s'affichent dans Security Command Center.

Pour en savoir plus, consultez les pages suivantes :

Event Threat Detection

Event Threat Detection utilise les données des journaux au sein de vos systèmes. Il surveille le flux Cloud Logging de votre organisation pour un ou plusieurs projets, et utilise les journaux dès qu'ils deviennent disponibles. Lorsqu'une menace est détectée, Event Threat Detection écrit un résultat dans Security Command Center et dans un projet Cloud Logging. Event Threat Detection est automatiquement activé lorsque vous vous abonnez au niveau Premium de Security Command Center, et les résultats sont disponibles dans le tableau de bord Security Command Center.

Voici quelques exemples de résultats de Event Threat Detection :

Tableau C. Types de résultats d'Event Threat Detection
Surveillance et journalisation Description
Attaque par force brute SSH Event Threat Detection détecte la force brute de SSH en examinant les journaux SSH pour détecter les échecs répétés suivis d'une réussite.
Minage de cryptomonnaie Event Threat Detection détecte les logiciels malveillants de minage de monnaie en examinant les journaux VPC pour détecter les connexions à des domaines incorrects connus pour les pools de minage et d'autres données de journalisation.
Abus IAM

Octrois malveillants : Event Threat Detection détecte l'ajout de comptes extérieurs au domaine de votre organisation disposant de l'autorisation Propriétaire ou Éditeur au niveau de l'organisation ou du projet. Avec le résultat d'octrois malveillants, vous savez :

  • quels comptes disposent de quelles autorisations ;
  • à quelle ressource l'autorisation s'applique ;
  • quel utilisateur dans votre organisation a accordé les autorisations.
Logiciels malveillants Event Threat Detection détecte les logiciels malveillants en examinant les journaux VPC afin de détecter les connexions à des domaines incorrects connus et à d'autres données de journalisation.
Hameçonnage Event Threat Detection détecte le hameçonnage en examinant les connexions et d'autres données dans les journaux VPC.

Apprenez-en davantage sur Event Threat Detection.

Forseti Security

Forseti Security vous offre des outils pour comprendre toutes les ressources à votre disposition dans Google Cloud. Les modules Forseti principaux fonctionnent conjointement pour vous fournir des informations complètes afin que vous puissiez sécuriser les ressources et minimiser les risques de sécurité.

Pour afficher les notifications de violation de Forseti dans Security Command Center, suivez le guide de notification de Security Command Center pour Forseti.

Pour en savoir plus, consultez les pages suivantes :

Phishing Protection

Phishing Protection permet d'empêcher les utilisateurs d'accéder à des sites de hameçonnage en classant le contenu malveillant qui utilise votre marque et en signalant les URL non sécurisées à la navigation sécurisée Google. Lorsqu'un site est propagé dans la navigation sécurisée, un avertissement s'affiche lorsque les utilisateurs tentent d'y accéder, et ce, sur plus de trois milliards d'appareils.

Pour commencer à utiliser Phishing Protection, suivez le guide Activer Phishing Protection. Après avoir activé Phishing Protection, les résultats s'affichent dans Security Command Center dans la fiche Phishing Protection sous Résultats.

Étape suivante