Usa Security Health Analytics

En esta página, se explica cómo administrar los resultados de las estadísticas de estado de seguridad mediante Security Command Center.

Las estadísticas del estado de seguridad son un servicio integrado en Security Command Center que analiza los recursos de tu entorno de nube y emite resultados para detectar cualquier configuración incorrecta que detecte.

Para recibir resultados de las estadísticas del estado de seguridad, el servicio debe estar habilitado en la configuración de los servicios de Security Command Center.

Para recibir resultados de otra plataforma en la nube, Security Command Center debe estar conectado a la otra plataforma en la nube.

Los resultados de los detectores de Security Health Analytics se pueden buscar en la consola de Google Cloud, mediante la API de Security Command Center y, si usas el nivel empresarial de Security Command Center, en la consola de operaciones de seguridad. Para los resultados que tienen un nivel de gravedad HIGH o CRITICAL, Security Command Center abre un caso en la consola de operaciones de seguridad.

Los análisis comienzan aproximadamente una hora después de que se habilita Security Command Center. En Google Cloud, se ejecuta en dos modos: en modo por lotes, que se ejecuta de forma automática una vez al día, y en tiempo real, que ejecuta análisis de cambios en la configuración de los elementos.

Los detectores de Security Health Analytics que no admiten el modo de análisis en tiempo real se enumeran en la descripción general de la latencia de Security Command Center.

Security Health Analytics analiza otras plataformas de nube solo en modo por lotes.

Las funciones de IAM para Security Command Center se pueden otorgar a nivel de organización, carpeta o proyecto. Tu capacidad de ver, editar, crear o actualizar los resultados, los elementos y las fuentes de seguridad depende del nivel para el que se te otorgue acceso. Para obtener más información sobre las funciones de Security Command Center, consulta Control de acceso.

Inhabilita y habilita los detectores

Inhabilitar los detectores puede afectar el estado de los resultados activos. Cuando se inhabilita un detector, los resultados existentes se marcan como inactivos de forma automática.

Cuando activas Security Command Center a nivel de la organización, puedes inhabilitar las estadísticas del estado de seguridad o los detectores específicos para carpetas o proyectos específicos. Si Security Health Analytics o los detectores están desactivados para las carpetas y los proyectos, todos los resultados existentes adjuntos a los elementos en esos recursos se marcan como inactivos.

Para obtener más información sobre el estado de activación de

Los siguientes detectores de Security Health Analytics para Google Cloud están inhabilitados de forma predeterminada:

• BIGQUERY_TABLE_CMEK_DISABLED
• BUCKET_CMEK_DISABLED
• CLOUD_ASSET_API_DISABLED
• DATAPROC_CMEK_DISABLED
• DATASET_CMEK_DISABLED
• DISK_CMEK_DISABLED
• DISK_CSEK_DISABLED
• NODEPOOL_BOOT_CMEK_DISABLED
• PUBSUB_CMEK_DISABLED
• SQL_CMEK_DISABLED
• SQL_NO_ROOT_PASSWORD
• SQL_WEAK_ROOT_PASSWORD
• VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Para habilitar o inhabilitar un módulo de detección de Security Health Analytics, haz clic en la pestaña del método que prefieras.

gcloud alpha scc settings services modules enable \
  --organization=ORGANIZATION_ID \
  --service=SECURITY_HEALTH_ANALYTICS \
  --module=DETECTOR_NAME

gcloud alpha scc settings services modules enable \
  --project=PROJECT_ID \
  --service=SECURITY_HEALTH_ANALYTICS \
  --module=DETECTOR_NAME

gcloud alpha scc settings services modules disable \
  --organization=ORGANIZATION_ID \
  --service=SECURITY_HEALTH_ANALYTICS \
  --module=DETECTOR_NAME

gcloud alpha scc settings services modules disable \
  --project=PROJECT_ID \
  --service=SECURITY_HEALTH_ANALYTICS \
  --module=DETECTOR_NAME

Filtra los resultados en la consola de Google Cloud

Una organización grande podría tener muchos resultados de vulnerabilidad en su implementación para revisar, clasificar y hacer un seguimiento. Mediante los filtros que están disponibles en las páginas Vulnerabilidades y Resultados de Security Command Center en la consola de Google Cloud, puedes enfocarte en las vulnerabilidades de mayor gravedad en tu organización y revisarlas por tipo de recurso, proyecto y mucho más.

Para obtener más información sobre cómo filtrar los resultados de vulnerabilidades, consulta Filtra los resultados de vulnerabilidades en Security Command Center.

Administrar los resultados con casos

Security Command Center abre de forma automática un caso en la consola de operaciones de seguridad para los hallazgos de vulnerabilidades y parámetros de configuración incorrectos que tienen un nivel de gravedad HIGH o CRITICAL. Un solo caso puede contener varios resultados relacionados.

Usa el caso, que se puede integrar en tu sistema de tickets preferido, para administrar la investigación y la solución de resultados mediante la asignación de propietarios, la revisión de la información relacionada y, con guías, la automatización del flujo de trabajo de respuesta.

Si un hallazgo tiene un caso correspondiente, puedes encontrar un vínculo a su caso en la página de detalles del resultado. Abre la página de detalles de un resultado de la página Resultados en la consola de Google Cloud. También puedes ver la cantidad total de casos de vulnerabilidad abiertos en la página Descripción general de riesgos en la consola de Google Cloud.

Para obtener más información sobre los casos, consulta la Descripción general de casos.

Silenciar resultados

Para controlar el volumen de resultados en la consola de Google Cloud, puedes silenciar resultados individuales de forma manual o programática, o crear reglas de silenciamiento que silencian de forma automática los resultados actuales y futuros según los filtros que definas.

Los resultados que silencias en Google Cloud Console se ocultan y silencian, pero se siguen registrando con fines de auditoría y cumplimiento. Puedes ver los resultados silenciados o dejar de silenciarlos en cualquier momento. Para obtener más información, consulta Silencia resultados en Security Command Center.

Marca elementos y resultados con marcas de seguridad

Puedes agregar propiedades personalizadas a los resultados y a los recursos en Security Command Center mediante marcas de seguridad. Las marcas de seguridad te permiten identificar áreas de interés de alta prioridad, como los proyectos de producción, el descubrimiento de etiquetas con números de seguimiento de incidentes y errores, y mucho más.

Para los recursos, puedes agregar marcas de seguridad solo a aquellos elementos que sean compatibles con Security Command Center. Para obtener la lista de recursos admitidos, consulta Tipos de recursos admitidos en Security Command Center.

Agrega elementos a las listas de entidades permitidas

Aunque no es un método recomendado, puedes suprimir los resultados innecesarios si agregas marcas de seguridad dedicadas a los recursos, de modo que los detectores de Security Health Analytics no creen resultados de seguridad para esos recursos.

El enfoque recomendado y más eficaz para controlar el volumen de resultados es Silenciar resultados. Silencia los resultados que no necesitas revisar, ya que son para recursos que están aislados o porque los resultados se encuentran dentro de parámetros comerciales aceptables.

Cuando aplicas marcas de seguridad dedicadas a los recursos, estos se agregan a una lista de entidades permitidas en Security Health Analytics, que marca los resultados de esos recursos como resueltos durante el siguiente análisis por lotes.

Las marcas de seguridad específicas se deben aplicar directamente a los recursos, no a los resultados, como se describe en Cómo funcionan las listas de entidades permitidas más adelante en esta página. Si aplicas una marca a un resultado, el recurso subyacente puede generar resultados.

Cómo funcionan las listas de entidades permitidas

Cada detector de Security Health Analytics tiene un tipo de marca dedicado para las listas de entidades permitidas, con el formato allow_FINDING_TYPE:true. Agregar esta marca dedicada a un recurso compatible con Security Command Center te permite excluir el recurso de la política de detección.

Por ejemplo, para excluir el tipo de resultado SSL_NOT_ENFORCED, establece la marca de seguridad, allow_ssl_not_enforced:true, en la instancia de Cloud SQL relacionada. El detector especificado no creará resultados para los recursos marcados.

Para obtener una lista completa de los tipos de resultados, consulta la lista de detectores de Security Health Analytics. Si deseas obtener más información sobre las marcas de seguridad y las técnicas para usarlas, consulta Usa marcas de seguridad.

Tipos de activos

En esta sección, se describe cómo funcionan las marcas de seguridad en diferentes recursos.

• Recursos de lista de entidades permitidas: Cuando agregas una marca específica a un recurso, como un firewall o un bucket de Cloud Storage, el resultado asociado se marca como resuelto cuando se ejecuta el análisis por lotes siguiente. El detector no generará resultados nuevos ni actualizará los resultados existentes para el recurso hasta que se quite la marca.

• Proyectos de lista de entidades permitidas: Cuando agregas una marca a un recurso de proyecto, se resuelven los resultados para los que el proyecto en sí es el recurso analizado o de destino. Sin embargo, los elementos contenidos en el proyecto, como las máquinas virtuales o las claves criptográficas, aún pueden generar resultados. Esta marca de seguridad solo está disponible si activas el nivel Premium de Security Command Center a nivel de la organización.

• Carpetas de lista de entidades permitidas: Cuando agregas una marca a un recurso de carpeta, los resultados para los que la carpeta en sí se analiza, o el destino, se resuelven. Sin embargo, los elementos que se encuentran dentro de las carpetas, incluidos los proyectos, aún pueden generar resultados. Esta marca de seguridad solo está disponible si activas el nivel Premium de Security Command Center a nivel de la organización.

• Detectores que admiten varios recursos: Si un detector admite más de un tipo de recurso, debes aplicar la marca dedicada a cada recurso. Por ejemplo, el detector KMS_PUBLIC_KEY admite dos recursos de Cloud Key Management Service: CryptoKey y KeyRing. Si aplicas la marca allow_kms_public_key:true al recurso de CryptoKey, se resuelven KMS_PUBLIC_KEY resultados para ese recurso, pero aún se pueden generar para el recurso de llavero de claves.

Las marcas de seguridad solo se actualizan durante los análisis por lotes, no en tiempo real. Por lo tanto, si se quita una marca de seguridad dedicada y el recurso tiene una vulnerabilidad, pueden pasar hasta 24 horas antes de que se borre la marca y se escriba un resultado.

Detector de casos especiales: Claves de encriptación proporcionadas por el cliente

El detector DISK_CSEK_DISABLED no está activado de forma predeterminada. Si quieres usar este detector, debes marcar los recursos para los que quieres usar claves de encriptación autoadministradas.

A fin de habilitar el detector DISK_CSEK_DISABLED para activos específicos, aplica la marca de seguridad enforce_customer_supplied_disk_encryption_keys al activo con un valor de true.

Visualiza el recuento de resultados activos por tipo de resultado

Puedes usar la consola de Google Cloud o los comandos de Google Cloud CLI para ver los recuentos de resultados elementos mediante el tipo de búsqueda.

gcloud scc sources describe organizations/ORGANIZATION_ID \
  --source-display-name='Security Health Analytics'

gcloud scc sources describe projects/PROJECT_ID \
  --source-display-name='Security Health Analytics'

description: Scans for deviations from a GCP security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
 --group-by=category --page-size=PAGE_SIZE

gcloud scc findings group projects/PROJECT_ID/sources/SOURCE_ID \
 --group-by=category --page-size=PAGE_SIZE

groupByResults:
- count: '1'
  properties:
    category: MFA_NOT_ENFORCED
- count: '3'
  properties:
    category: ADMIN_SERVICE_ACCOUNT
- count: '2'
  properties:
    category: API_KEY_APIS_UNRESTRICTED
- count: '1'
  properties:
    category: API_KEY_APPS_UNRESTRICTED
- count: '2'
  properties:
    category: API_KEY_EXISTS
- count: '10'
  properties:
    category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
  properties:
    category: AUDIT_LOGGING_DISABLED
- count: '1'
  properties:
    category: AUTO_UPGRADE_DISABLED
- count: '10'
  properties:
    category: BUCKET_IAM_NOT_MONITORED
- count: '10'
  properties:
    category: BUCKET_LOGGING_DISABLED
nextPageToken: TOKEN
      readTime: '2019-08-05T21:56:13.862Z'
      totalSize: 50

Administra los resultados de manera programática

Usar Google Cloud CLI con el SDK de Security Command Center te permite automatizar casi todo lo que puedes hacer con Security Command Center en la consola de Google Cloud. También puedes solucionar varios resultados con la CLI de gcloud. Para obtener más información, revisa la documentación acerca de los tipos de recursos descritos en cada resultado:

• Mostrar una lista de hallazgos de seguridad
• Crea, modifica y consulta marcas de seguridad
• Crea y actualiza resultados de seguridad
• Crea, actualiza y enumera las fuentes de resultados
• Establece la configuración de la organización

Para exportar o mostrar elementos de manera programática, usa la API de Cloud Asset Inventory. Para obtener más información, consulta Cómo exportar el historial de activos y los metadatos.

Los métodos y campos de los recursos de la API de Security Command Center dejaron de estar disponibles y se quitarán el 26 de junio de 2024 o después de esa fecha.

Hasta que se quiten, los usuarios que activaron Security Command Center antes del 26 de junio de 2023 pueden usar los métodos de recursos de la API de Security Command Center para enumerar recursos, pero estos métodos solo admiten los que admite Security Command Center.

Para obtener información sobre el uso de los métodos de la API de recursos obsoletos, consulta cómo enumerar recursos.

Analiza proyectos protegidos por un perímetro de servicio

Esta función solo está disponible si activas el nivel Premium de Security Command Center a nivel de la organización.

Si tienes un perímetro de servicio que bloquea el acceso a ciertos proyectos y servicios, debes otorgar a la cuenta de servicio de Security Command Center acceso entrante a ese perímetro de servicio. De lo contrario, las estadísticas del estado de seguridad no pueden producir resultados relacionados con los proyectos y servicios protegidos.

El identificador de la cuenta de servicio es una dirección de correo electrónico con el siguiente formato:

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

Reemplaza ORGANIZATION_ID por el identificador numérico de tu organización.

Para otorgar a una cuenta de servicio acceso entrante a un perímetro de servicio, sigue estos pasos.

1. Ve a los Controles del servicio de VPC.

   Ir a los Controles del servicio de VPC

2. En la barra de herramientas, selecciona tu organización de Google Cloud.

   

3. En la lista desplegable, selecciona la política de acceso que contiene el perímetro de servicio al que deseas otorgar acceso.

   

   Los perímetros de servicio asociados con la política de acceso aparecen en la lista.

4. Haz clic en el nombre del perímetro de servicio.

5. Haz clic en edit Editar perímetro.

6. En el menú de navegación, haz clic en Política de entrada.

7. Haga clic en Agregar regla.

8. Configura la regla de la siguiente manera:

   Atributos FROM del cliente de la API

   1. En Fuente, selecciona Todas las fuentes.
   2. En Identidad, selecciona Identidades seleccionadas.
   3. En el campo Agregar usuario o cuenta de servicio, haz clic en Seleccionar.
   4. Ingresa la dirección de correo electrónico de la cuenta de servicio. Si tienes cuentas de servicio a nivel de organización y a nivel de proyecto, agrega ambas.
   5. Haz clic en Guardar.

   Atributos TO de los recursos y servicios de GCP

   1. En Proyecto, selecciona Todos los proyectos.

   2. En Servicios, selecciona Todos los servicios o selecciona cada uno de los siguientes servicios individuales que requieren las estadísticas del estado de seguridad:

      • API de BigQuery
      • API de Autorización Binaria
      • API de Cloud Logging
      • Cloud Monitoring API
      • API de Compute Engine
      • API de Kubernetes Engine

   Si un perímetro de servicio restringe el acceso a un servicio obligatorio, las estadísticas del estado de seguridad no pueden generar resultados para ese servicio.

9. En el menú de navegación, haz clic en Guardar.

Para obtener más información, consulta Configura políticas de entrada y salida.

¿Qué sigue?

• Obtén información sobre los detectores y resultados de las estadísticas de estado de seguridad.
• Lee las recomendaciones para solucionar los resultados de las estadísticas del estado de seguridad.
• Aprende a usar las marcas de seguridad de Security Command Center.
• Obtén más información sobre los casos.
• Obtén más información sobre el uso de Security Command Center en la consola de Google Cloud para revisar los recursos y los resultados.