Utiliser la détection rapide des failles

Cette page explique comment afficher et gérer les résultats de la détection rapide des failles, un service intégré à Security Command Center Premium qui détecte les failles critiques dans vos applications App Engine et vos machines virtuelles Compute Engine.

Présentation

La détection rapide des failles effectue des analyses actives des points de terminaison publics. Elle détecte les failles présentant un risque élevé d'exploitation, y compris les identifiants peu sécurisés, les installations logicielles incomplètes et d'autres failles critiques connues. Les résultats sont écrits dans Security Command Center. Pour en savoir plus, consultez la présentation de la détection rapide des failles.

Utilisation des ressources

En règle générale, plus le nombre de points de terminaison dans une VM et de services hébergés par la VM est élevé, plus la détection rapide des failles doit effectuer d'analyses, car chaque point de terminaison et application nécessite une analyse distincte.

Étant donné que le trafic réseau utilisé lors des analyses de détection rapide des failles est facturé en tant que trafic de sortie, ces analyses peuvent entraîner des coûts supplémentaires.

Prenons l'exemple d'un projet ou d'une organisation dont les cibles d'analyse se trouvent toutes dans des régions nord-américaines. Si une seule analyse utilise un trafic de sortie estimé de 200 Ko et que 100 000 analyses sont exécutées chaque mois, le trafic total est de 20 Go.

Pour en savoir plus sur les coûts potentiels associés à l'utilisation des ressources par cibles d'analyse, consultez la page Tarifs de Security Command Center.

Avant de commencer

Vous devez disposer de rôles Identity and Access Management (IAM) appropriés pour afficher ou modifier les résultats, et modifier les ressources Google Cloud. Si vous rencontrez des erreurs d'accès dans Security Command Center, demandez de l'aide à votre administrateur et consultez la section Contrôle des accès pour en savoir plus sur les rôles.

Activer la détection rapide des failles

Lorsque vous activez la détection rapide des failles dans une organisation, un dossier ou un projet, elle analyse automatiquement toutes les ressources compatibles de l'organisation ou du projet.

Pour activer la détection rapide des failles, procédez comme suit:

Console

Dans la console Google Cloud, vous activez la détection rapide des failles sur la page Services. Vous pouvez activer la détection rapide des failles pour des projets spécifiques.

Accéder aux services

API

Pour activer la détection rapide des failles pour une organisation, un dossier ou un projet, envoyez une requête PATCH:

curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/rapidVulnerabilityDetectionSettings \
-d '{"serviceEnablementState": "ENABLED"}'

Remplacez les éléments suivants :

  • X_GOOG_USER_PROJECT: projet à facturer pour les frais d'accès associés aux analyses de détection rapide des failles.
  • RESOURCE: type de ressource à analyser. Les valeurs valides sont organizations, folders ou projects.
  • RESOURCE_ID: identifiant de la ressource à analyser. Pour les organisations et les dossiers, saisissez le numéro de l'organisation ou du dossier. Pour les projets, saisissez leur ID.

Les analyses démarrent automatiquement dans les 24 heures environ après la première activation de la détection rapide des failles. Après la première analyse, la détection rapide des failles exécute des analyses gérées chaque semaine.

Pour tester la détection rapide des failles, vous pouvez configurer des ressources de test. Pour inclure des ressources de test dans la première analyse de détection rapide des failles, créez-les dans le projet avant que le projet ne soit ajouté à la liste des analyses de détection rapide des failles.

Pour en savoir plus sur l'activation des services intégrés tels que la détection rapide des failles, consultez la page Configurer les ressources Security Command Center.

Latence et intervalle de l'analyse

Une fois que la détection rapide des failles est activée pour un projet, il peut s'écouler jusqu'à 24 heures avant que la première analyse ne commence et que les résultats n'apparaissent dans Security Command Center.

La détection rapide des failles effectue des analyses ultérieures toutes les semaines à compter de la date de la première analyse. Si de nouvelles ressources sont ajoutées à des projets entre les analyses, la détection rapide des failles ne les analysera pas avant la prochaine analyse hebdomadaire.

Tester la détection rapide des failles

Pour vérifier que la détection rapide des failles fonctionne, vous pouvez utiliser l'Open Source Testbed for Tsunami Security disponible sur GitHub afin de générer des résultats pour des failles telles qu'un mot de passe peu sécurisé, un balayage de chemin d'accès et une faille de divulgation. Pour en savoir plus, consultez google/tsunami-security-scanner-testbed.

Examiner les résultats

La fonctionnalité d'analyse gérée de Rapid Vulnerability Detection configure et planifie automatiquement les analyses pour chacun des projets couverts.

Les résultats contiennent les failles détectées et des informations sur les projets concernés. Les failles sont signalées pour les projets, et non pour les cibles d'analyse spécifiques (points de terminaison et logiciels d'application) ou pour les VM contenues dans les projets.

Vous pouvez afficher les résultats dans la console Google Cloud ou à l'aide de l'API Security Command Center.

Examiner les résultats dans Security Command Center

Pour examiner les résultats de la détection rapide des failles dans Security Command Center, procédez comme suit:

  1. Accédez à la page Résultats de la console Google Cloud.

    Accéder

  2. Sous Filtres rapides, faites défiler la page jusqu'à Nom à afficher de la source, puis cliquez sur Détection rapide des failles. Mise à jour de la section Finding query results (Rechercher des résultats de la requête) pour afficher uniquement les résultats produits par Rapid Vulnerability Detection.

  3. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom sous Catégorie. Le panneau des détails du résultat s'ouvre.

    • Pour afficher un résumé des détails du résultat (vue par défaut), cliquez sur Summary (Résumé) sous le nom du résultat.
    • Pour afficher les détails complets du résultat, cliquez sur JSON sous le nom du résultat.

Afficher tous les résultats pour un port ou une adresse IP

Une cible d'analyse peut diffuser plusieurs applications Web sur le même port. La détection rapide des failles identifie et analyse toutes les applications connues diffusées sur un port, et peut générer plusieurs résultats pour des ports et des adresses IP spécifiques.

Pour afficher tous les résultats associés à une adresse IP donnée dans une analyse, procédez comme suit :

  1. Accédez à la page Résultats de la console Google Cloud:

    Accéder

  2. Cliquez sur Modifier la requête. La requête par défaut suivante s'affiche dans l'éditeur de requête:

    state="ACTIVE"
    AND NOT mute="MUTED"
    
  3. Cliquez sur Ajouter un filtre. Le panneau Sélectionner un filtre s'ouvre.

  4. Dans la colonne de gauche, faites défiler la page vers le bas, puis sélectionnez Connexions. La colonne de droite est mise à jour pour afficher les propriétés de connexion.

  5. Dans la colonne de droite, sélectionnez le type de propriété que vous souhaitez ajouter au filtre. Une nouvelle colonne s'ouvre et affiche toutes les propriétés de ce type contenues dans les résultats disponibles.

  6. Dans les propriétés affichées, sélectionnez un ou plusieurs ports ou adresses IP de destination ou sources pour ajouter votre requête.

  7. Cliquez sur Appliquer. La requête du panneau Éditeur de requête est mise à jour pour inclure l'adresse IP, comme illustré dans l'exemple suivant:

      state="ACTIVE"
      AND NOT mute="MUTED"
      AND parent_display_name="Rapid Vulnerability Detection"
      AND contains(connections, source_ip="203.0.113.1")
    
  8. Cliquez sur APPLIQUER.

    Tous les résultats de détection rapide des failles avec cette adresse IP sont affichés dans les résultats de la requête de résultats.

Pour examiner les résultats à l'aide de l'API Security Command Center, consultez la page Lister les résultats de sécurité à l'aide de l'API Security Command Center.

Pour afficher la liste complète des résultats de la détection rapide des failles et des étapes de résolution suggérées, consultez la page Résultats et corrections proposés par la détection rapide des failles.

Filtrer les résultats dans la console Google Cloud

Une grande organisation peut avoir de nombreux résultats de failles à examiner, trier et suivre dans tout son déploiement. En utilisant les filtres disponibles sur les pages Failles et Résultats de Security Command Center dans la console Google Cloud, vous pouvez vous concentrer sur les failles les plus graves de votre organisation et les examiner par type d'élément, projet, etc.

Pour en savoir plus sur le filtrage des résultats de failles, consultez Filtrer les résultats de failles dans Security Command Center.

Ignorer les résultats

Pour contrôler le volume des résultats dans Security Command Center, vous pouvez désactiver manuellement ou automatiquement des résultats individuels, ou créer des règles de blocage qui désactivent automatiquement les résultats actuels et futurs en fonction des filtres que vous définissez.

Les résultats ignorés sont masqués et mis sous silence, mais ils sont toujours consignés à des fins d'audit et de conformité. Vous pouvez afficher les résultats ignorés ou les réactiver à tout moment. Pour en savoir plus, consultez la section Ignorer les résultats dans Security Command Center.

Désactivation des analyses

Lorsque vous désactivez la détection rapide des failles dans une organisation ou un projet, le service cesse d'analyser toutes les ressources compatibles de cette organisation ou de ce projet.

Pour désactiver la détection rapide des failles, procédez comme suit:

Console

Dans la console Google Cloud, vous devez désactiver la détection rapide des failles sur la page Services. Si Security Command Center est activé au niveau de l'organisation, vous pouvez désactiver la détection rapide des failles pour l'ensemble de l'organisation ou pour des projets spécifiques.

Accéder aux services

Pour en savoir plus sur la désactivation des services intégrés tels que la détection rapide des failles, consultez la page Configurer les ressources Security Command Center.

API

Pour désactiver la détection rapide des failles dans votre organisation ou votre projet, envoyez une requête PATCH:

curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/rapidVulnerabilityDetectionSettings \
-d '{"serviceEnablementState": "DISABLED"}'

Remplacez les éléments suivants :

  • X_GOOG_USER_PROJECT: projet facturé pour les frais d'accès associés aux analyses de détection rapide des failles.
  • RESOURCE: ressource que vous souhaitez arrêter d'analyser. Les valeurs valides sont organizations, folders ou projects. activé (organizations ou projects).
  • RESOURCE_ID: identifiant de la ressource pour laquelle arrêter l'analyse. Pour les organisations et les dossiers, saisissez le numéro d'organisation ou de dossier. Pour les projets, saisissez leur ID.

Étapes suivantes