Cette page explique comment afficher et gérer les résultats de la détection rapide des failles, un service intégré à Security Command Center Premium qui détecte les failles critiques dans vos applications App Engine et vos machines virtuelles Compute Engine.
Présentation
La détection rapide des failles effectue des analyses actives des points de terminaison publics. Il détecte les failles susceptibles d'être exploitées, y compris les identifiants peu sécurisés, les installations logicielles incomplètes et d'autres failles critiques connues. Les résultats sont écrits dans Security Command Center. Pour en savoir plus, consultez la présentation de Rapid Vulnerability Detection.
Utilisation des ressources
En règle générale, plus le nombre de points de terminaison dans une VM est élevé et plus le nombre de services hébergés par la VM est élevé, plus le nombre d'analyses que la détection rapide des failles doit effectuer est élevé, car chaque point de terminaison et application nécessite une analyse distincte.
Étant donné que le trafic réseau lors des analyses Rapid Vulnerability Detection est facturé en tant que trafic de sortie, ces analyses peuvent entraîner des coûts supplémentaires.
Prenons l'exemple d'un projet ou d'une organisation dont les cibles d'analyse se trouvent toutes dans des régions nord-américaines. Si une seule analyse utilise des estimations de 200 Ko de trafic de sortie et que 100 000 analyses sont exécutées tous les mois, le trafic total est de 20 Go.
Pour en savoir plus sur les coûts potentiels associés à l'utilisation des ressources par les cibles d'analyse, consultez les tarifs de Security Command Center.
Avant de commencer
Vous devez disposer des rôles IAM (Identity and Access Management) appropriés pour afficher ou modifier les résultats, ainsi que modifier les ressources Google Cloud. Si vous rencontrez des erreurs d'accès dans Security Command Center, demandez de l'aide à votre administrateur et consultez la page Contrôle des accès pour en savoir plus sur les rôles.
Activer la détection rapide des failles
Lorsque vous activez la détection rapide des failles sur une organisation, un dossier ou un projet, cette fonctionnalité analyse automatiquement toutes les ressources compatibles de l'organisation ou du projet.
Pour activer la détection rapide des failles, procédez comme suit:
Console
Dans la console Google Cloud, vous activez la détection rapide des failles sur la page Services. Vous pouvez activer la détection rapide des failles pour des projets spécifiques.
API
Pour activer la détection rapide des failles pour une organisation, un dossier ou un projet, envoyez une requête PATCH:
curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/rapidVulnerabilityDetectionSettings \
-d '{"serviceEnablementState": "ENABLED"}'
Remplacez les éléments suivants :
- X_GOOG_USER_PROJECT: projet à facturer pour les frais d'accès associés aux analyses Rapid Vulnerability Detection.
- RESOURCE: type de ressource à analyser. Les valeurs valides sont
organizations,foldersouprojects. - RESOURCE_ID: identifiant de la ressource à analyser. Pour les organisations et les dossiers, saisissez le numéro de l'organisation ou du dossier. Pour les projets, saisissez l'ID du projet.
Les analyses démarrent automatiquement dans un délai d'environ 24 heures après la première activation de la détection rapide des failles. Après la première analyse, Rapid Vulnerability Detection exécute des analyses gérées chaque semaine.
Pour tester la détection rapide des failles, vous pouvez configurer des ressources de test. Pour inclure des ressources de test dans la première analyse Rapid Vulnerability Detection, créez les ressources dans le projet avant de l'ajouter à la liste des analyses Rapid Vulnerability Detection.
Pour en savoir plus sur l'activation de services intégrés tels que Rapid Vulnerability Detection, consultez la page Configurer les ressources Security Command Center.
Latence et intervalle de l'analyse
Une fois que la détection rapide des failles est activée pour un projet, il peut s'écouler jusqu'à 24 heures avant que la première analyse ne commence et que les résultats n'apparaissent dans Security Command Center.
La détection rapide des failles effectue des analyses hebdomadaires à compter de la date de la première analyse. Si de nouvelles ressources sont ajoutées à des projets entre les analyses, la détection rapide des failles ne les analysera pas avant la prochaine analyse hebdomadaire.
Tester la détection rapide des failles
Pour vérifier que la détection rapide des failles fonctionne, vous pouvez utiliser l'outil Open Source Testbed for Tsunami Security disponible sur GitHub afin de générer des résultats pour des failles telles qu'un mot de passe peu sécurisé ou une faille de traversée de chemin ou de divulgation. Pour en savoir plus, consultez google/tsunami-security-scanner-testbed.
Examiner les résultats
La fonctionnalité d'analyse gérée de Rapid Vulnerability Detection configure et planifie automatiquement des analyses pour chacun des projets concernés.
Les résultats contiennent des failles détectées et des informations sur les projets concernés. Les failles sont signalées pour les projets, et non pour des cibles d'analyse spécifiques (points de terminaison et logiciels d'application) ou pour les VM contenues dans des projets.
Vous pouvez afficher les résultats dans la console Google Cloud ou à l'aide de l'API Security Command Center.
Examiner les résultats dans Security Command Center
Pour examiner les résultats de la détection rapide des failles dans Security Command Center, procédez comme suit:
Accédez à la page Résultats de la console Google Cloud.
Sous Filtres rapides, faites défiler la page jusqu'à Nom à afficher de la source, puis cliquez sur Détection rapide des failles. La section Finding query results (Résultats de la requête) est mise à jour pour n'afficher que les résultats produits par la détection rapide des failles.
Pour afficher les détails d'un résultat spécifique, cliquez sur son nom sous Category. Le panneau des détails du résultat s'ouvre.
- Pour afficher un résumé des détails du résultat (vue par défaut), cliquez sur Résumé sous le nom du résultat.
- Pour afficher les détails complets du résultat, cliquez sur JSON sous le nom du résultat.
Afficher tous les résultats pour un port ou une adresse IP
Une cible d'analyse peut diffuser plusieurs applications Web sur le même port. La détection rapide des failles identifie et analyse toutes les applications connues diffusées sur un port, et peut générer plusieurs résultats pour les ports et les adresses IP individuels.
Pour afficher tous les résultats associés à une adresse IP donnée dans une analyse, procédez comme suit :
Accédez à la page Résultats de la console Google Cloud:
Cliquez sur Modifier la requête. La requête par défaut suivante s'affiche dans l'éditeur de requête:
state="ACTIVE" AND NOT mute="MUTED"Cliquez sur Ajouter un filtre. Le panneau Sélectionner un filtre s'ouvre.
Faites défiler la colonne de gauche, puis sélectionnez Connexions. La colonne de droite est mise à jour pour afficher les propriétés de connexion.
Dans la colonne de droite, sélectionnez le type de propriété que vous souhaitez ajouter au filtre. Une nouvelle colonne s'ouvre pour afficher toutes les propriétés de ce type incluses dans les résultats disponibles.
Dans les propriétés affichées, sélectionnez un ou plusieurs ports ou adresses IP sources ou de destination pour ajouter votre requête.
Cliquez sur Appliquer. La requête du panneau de l'éditeur de requête est mise à jour pour inclure l'adresse IP, comme illustré dans l'exemple suivant:
state="ACTIVE" AND NOT mute="MUTED" AND parent_display_name="Rapid Vulnerability Detection" AND contains(connections, source_ip="203.0.113.1")
Cliquez sur APPLIQUER.
Tous les résultats de détection rapide des failles associés à cette adresse IP sont affichés dans les résultats de la requête de résultat.
Pour examiner les résultats à l'aide de l'API Security Command Center, consultez la page Lister les résultats de sécurité à l'aide de l'API Security Command Center.
Pour afficher la liste complète des résultats de Rapid Vulnerability Detection et des mesures correctives suggérées, consultez la page Résultats et mesures correctives à prendre en compte.
Filtrer les résultats dans la console Google Cloud
Une grande organisation peut avoir de nombreux résultats de failles à examiner, trier et suivre dans tout son déploiement. En utilisant les filtres disponibles sur les pages Failles et Résultats de Security Command Center dans la console Google Cloud, vous pouvez vous concentrer sur les failles les plus graves dans votre organisation et les examiner par type d'élément, par projet, etc.
Pour en savoir plus sur le filtrage des résultats de failles, consultez Filtrer les résultats de failles dans Security Command Center.
Ignorer les résultats
Pour contrôler le volume des résultats dans Security Command Center, vous pouvez désactiver manuellement ou automatiquement des résultats individuels, ou créer des règles de blocage qui désactivent automatiquement les résultats actuels et futurs en fonction des filtres que vous définissez.
Les résultats ignorés sont masqués et mis sous silence, mais ils sont toujours consignés à des fins d'audit et de conformité. Vous pouvez afficher les résultats ignorés ou les réactiver à tout moment. Pour en savoir plus, consultez la section Ignorer les résultats dans Security Command Center.
Désactiver les analyses
Lorsque vous désactivez la détection rapide des failles sur une organisation ou un projet, le service cesse d'analyser toutes les ressources compatibles de cette organisation ou de ce projet.
Pour désactiver la détection rapide des failles, procédez comme suit:
Console
Dans la console Google Cloud, vous désactivez la détection rapide des failles sur la page Services. Si Security Command Center est activé au niveau de l'organisation, vous pouvez désactiver la détection rapide des failles pour l'ensemble de l'organisation ou pour des projets spécifiques.
Pour en savoir plus sur la désactivation des services intégrés tels que Rapid Vulnerability Detection, consultez la page Configurer les ressources Security Command Center.
API
Pour désactiver la détection rapide des failles dans votre organisation ou votre projet, envoyez une requête PATCH:
curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/rapidVulnerabilityDetectionSettings \
-d '{"serviceEnablementState": "DISABLED"}'
Remplacez les éléments suivants :
X_GOOG_USER_PROJECT: projet facturé pour les frais d'accès associés aux analyses Rapid Vulnerability Detection.RESOURCE: ressource que vous souhaitez arrêter d'analyser. Les valeurs valides sontorganizations,foldersouprojects. activée (organizationsouprojects).RESOURCE_ID: identifiant de la ressource dont vous souhaitez arrêter l'analyse. Pour les organisations et les dossiers, saisissez le numéro de l'organisation ou du dossier. Pour les projets, saisissez l'ID du projet.
Étapes suivantes
Pour obtenir des instructions sur les tests de détection rapide des failles, consultez la page Tester la détection rapide des failles.
Pour en savoir plus sur la détection rapide des failles, consultez la page Présentation conceptuelle de la détection rapide des failles.