Utiliser Security Command Center dans la console Google Cloud

Cette page présente Security Command Center dans la console Google Cloud et explique ce que vous pouvez faire avec les pages de premier niveau de Security Command Center.

Si Security Command Center n'est pas encore configuré pour votre organisation ou un projet de votre organisation, vous devez l'activer avant de pouvoir l'utiliser dans la console Google Cloud. Pour en savoir plus sur l'activation, consultez la page Présentation de l'activation de Security Command Center.

Pour en savoir plus sur Security Command Center, consultez la page Présentation de Security Command Center.

Autorisations IAM requises

Pour utiliser Security Command Center, vous devez disposer d'un rôle IAM (Identity and Access Management) comprenant les autorisations appropriées :

• Le lecteur administrateur du centre de sécurité vous permet d'afficher Security Command Center.
• L'éditeur de l'administrateur du centre de sécurité vous permet d'afficher Security Command Center et d'y apporter des modifications.

Si vos règles d'administration sont configurées pour restreindre les identités par domaine, vous devez être connecté à la console Google Cloud sur un compte appartenant à un domaine autorisé.

Les rôles IAM pour Security Command Center peuvent être attribués au niveau de l'organisation, d'un dossier ou d'un projet. Votre capacité à afficher, modifier, créer ou mettre à jour des résultats, des éléments et des sources de sécurité dépend du niveau d'accès qui vous est accordé. Pour en savoir plus sur les rôles de Security Command Center, consultez la page Contrôle des accès.

Accéder à Security Command Center dans la console Google Cloud

Pour accéder à Security Command Center dans la console Google Cloud:

1. Accédez à Security Command Center:

   Accéder à Security Command Center

2. Sélectionnez le projet ou l'organisation que vous souhaitez afficher.

   Si Security Command Center est actif dans l'organisation ou le projet que vous sélectionnez, la page Vue d'ensemble des risques s'affiche avec un aperçu des nouveaux résultats de menaces et des résultats de failles actives au cours des sept derniers jours.

   Si Security Command Center n'est pas actif, vous êtes invité à l'activer. Pour en savoir plus sur l'activation de Security Command Center, consultez la page Présentation de l'activation de Security Command Center.

Security Command Center dans la console Google Cloud

En plus de la page Aperçu des risques, vous pouvez surveiller et gérer les problèmes de sécurité dans votre environnement Google Cloud via les pages Security Command Center suivantes de la console Google Cloud. Cliquez sur le nom d'une page pour obtenir une explication.

• Page de vue d'ensemble des risques
• Page sur les menaces
• Page "Failles"
• Page "Conformité"
• Page "Composants"
• Page de résultats
• Page "Sources"
• Page "Posture"

Page "Vue d'ensemble des risques"

La page Vue d'ensemble des risques offre un aperçu rapide des nouvelles menaces et du nombre total de failles actives dans votre environnement Google Cloud à partir de tous les services intégrés et intégrés. Vous pouvez modifier la période affichée dans toutes les zones de cette page, en passant d'une heure à six mois.

La page Vue d'ensemble des risques comprend plusieurs tableaux de bord, y compris les suivants:

• Principaux résultats de failles : affiche les 10 résultats présentant les scores d'exposition aux attaques les plus élevés.
• Nouvelles menaces au fil du temps : affiche un graphique des nouvelles menaces détectées par jour, avec des totaux horaires. Le graphique de la page affiche des vues des résultats de menaces par catégorie, ressource et projet. Vous pouvez trier chaque vue par niveau de gravité.
• La section Principaux résultats CVE (niveaux Premium et Enterprise uniquement) présente les failles identifiées, regroupées en fonction de leur niveau d'exploitabilité et d'impact. Cliquez sur un bloc de la carte de densité pour afficher les résultats correspondants répertoriés par ID de CVE.
• La section Failles par type de ressource est représentée sous forme de graphique qui présente les failles actives associées aux ressources de votre projet ou de votre organisation.
• La section Failles actives fournit des vues à onglets des résultats de failles par nom de catégorie, par ressource affectée et par projet. Vous pouvez trier chaque vue par niveau de gravité.
• La page Résultats concernant l'identité et les accès affiche les résultats d'erreurs de configuration liés à des comptes principaux (identities) mal configurés ou qui disposent d'autorisations excessives ou sensibles sur les ressources Google Cloud (identities). La gestion du contrôle de l'authentification et des accès est parfois appelée gestion des droits d'accès à l'infrastructure cloud.
• La page Résultats liés à la sécurité des données affiche les résultats du service de découverte Sensitive Data Protection. Ce résumé inclut tous les résultats de failles indiquant la présence de secrets dans les variables d'environnement, ainsi que les résultats d'observation qui indiquent le niveau de sensibilité et de risque pour les données de vos données.

Cliquez sur le nom de catégorie d'un résultat de la page Vue d'ensemble des risques pour accéder à la page Résultats, où vous pouvez consulter les détails du résultat.

Page sur les menaces

La page Menaces vous aide à examiner les événements potentiellement dangereux qui se produisent dans vos ressources Google Cloud sur une période que vous spécifiez. La période par défaut est de sept jours.

Sur la page "Menaces", vous pouvez consulter les résultats dans les sections suivantes:

• Menaces par gravité indique le nombre de menaces pour chaque niveau de gravité.
• Menaces par catégorie indique le nombre de résultats dans chaque catégorie pour tous les projets.
• Menaces par ressource indique le nombre de résultats pour chaque ressource de votre projet ou de votre organisation.

Vous pouvez spécifier la période d'affichage des menaces à l'aide de la liste déroulante du champ Période. La liste déroulante présente plusieurs options comprises entre une heure et "depuis le début", qui affiche tous les résultats depuis l'activation du service. La période sélectionnée est enregistrée entre les sessions.

Page sur les failles

La page Failles répertorie tous les détecteurs d'erreurs de configuration et de failles logicielles que les services de détection intégrés de Security Command Center exécutent dans vos environnements cloud. Le nombre de résultats actifs s'affiche pour chaque détecteur.

Services de détection des failles

La page Failles répertorie les détecteurs pour les services de détection intégrés suivants de Security Command Center:

• Analyse de l'état de la sécurité
• Évaluation des failles pour Amazon Web Services (AWS)
• Web Security Scanner

D'autres services Google Cloud intégrés à Security Command Center détectent également les failles logicielles et les erreurs de configuration. Les résultats d'une sélection de ces services sont également affichés sur la page Failles. Pour en savoir plus sur les services qui génèrent des résultats de failles dans Security Command Center, consultez la page Services de détection.

Informations sur les catégories de détecteurs de failles

Pour chaque erreur de configuration ou détecteur de failles logicielles, la page Failles affiche les informations suivantes:

• État : une icône indique si le détecteur est actif et s'il a trouvé un résultat à corriger. Lorsque vous placez le pointeur de la souris sur l'icône d'état, une info-bulle indique la date et l'heure auxquelles le détecteur a trouvé le résultat ou des informations permettant de valider la recommandation.
• Dernière analyse : date et heure de la dernière analyse du détecteur.
• Catégorie: catégorie ou type de faille. Pour obtenir la liste des catégories détectées par chaque service Security Command Center, consultez les pages suivantes :
  • Résultats de Security Health Analytics
  • Évaluation des failles pour les résultats AWS
  • Résultats de Web Security Scanner
• Recommandation : résumé indiquant comment corriger le résultat. Pour en savoir plus, consultez la page Corriger les résultats de Security Health Analytics.
• Actif : nombre total de résultats dans la catégorie.
• Standards : analyse comparative de conformité pour laquelle la catégorie de résultat s'applique, le cas échéant. Pour en savoir plus sur les analyses comparatives, consultez la page Résultats concernant les failles.

Filtrer les résultats de failles

Une grande organisation peut avoir de nombreux résultats de failles à examiner, trier et suivre dans tout son déploiement. En utilisant les filtres disponibles sur les pages Failles et Résultats de Security Command Center dans la console Google Cloud, vous pouvez vous concentrer sur les failles les plus graves dans votre organisation et les examiner par type d'élément, par projet, etc.

Pour en savoir plus sur le filtrage des résultats de failles, consultez Filtrer les résultats de failles dans Security Command Center.

Page sur la conformité

La page Conformité vous permet d'évaluer votre conformité avec les normes ou les benchmarks de sécurité courants, et de prendre les mesures adéquates. La page affiche tous les benchmarks compatibles avec Security Command Center, ainsi que le pourcentage de réussite des contrôles d'analyse comparative.

Pour chaque benchmark, vous pouvez ouvrir une page Détails de la conformité qui fournit des détails supplémentaires sur les contrôles que Security Command Center vérifie pour le benchmark, le nombre de cas de non-conformité détectés pour chaque contrôle et l'option d'exportation d'un rapport de conformité pour le benchmark.

Les outils d'analyse des failles de Security Command Center surveillent les cas de non-respect des contrôles de conformité courants en s'appuyant sur un mappage optimal fourni par Google. Les rapports de conformité de Security Command Center ne remplacent pas un audit de conformité, mais peuvent vous aider à maintenir votre état de conformité et à détecter les cas de non-conformité au plus tôt.

Pour en savoir plus sur la gestion de la conformité par Security Command Center, consultez les pages suivantes:

• Gérer et surveiller la conformité
• Gérer la conformité

Page sur les éléments

La page Éléments fournit un affichage détaillé de toutes les ressources Google Cloud, appelées éléments, de votre projet ou de votre organisation.

Si Security Command Center est activé au niveau de l'organisation, vous pouvez afficher les éléments de l'ensemble de votre organisation ou les filtrer par projet, type d'élément et emplacement.

Si Security Command Center est activé au niveau du projet, vous pouvez filtrer les éléments par type et par emplacement.

Pour afficher les détails d'un élément spécifique, tels que ses attributs, les propriétés de la ressource et les résultats associés, cliquez sur son nom dans la colonne Nom à afficher.

La liste des éléments est fournie par l'inventaire des éléments cloud, qui, dans la plupart des cas, la met à jour quelques minutes après la création, la modification ou la suppression des éléments dans votre environnement Google Cloud.

Pour en savoir plus sur l'inventaire des éléments cloud, consultez la page Présentation de l'inventaire des éléments cloud.

Trier les éléments

Pour trier les éléments, cliquez sur l'en-tête de colonne correspondant à la valeur selon laquelle trier. Les colonnes sont triées par ordre numérique, puis par ordre alphabétique.

Filtrer les éléments

Cette section explique comment exécuter des requêtes courantes pour examiner vos éléments à l'aide de Security Command Center dans la console Google Cloud.

Par défaut, tous les éléments du projet, du dossier ou de l'organisation sélectionné s'affichent dans le panneau des résultats de la page Éléments.

Vous pouvez filtrer les résultats en fonction d'assets spécifiques de deux manières. Vous pouvez utiliser les options de filtrage du panneau Quick filters (Filtres rapides) ou utiliser le champ Filter (Filtre) pour spécifier des filtres plus personnalisés.

Dans le panneau Quick filters (Filtres rapides), vous pouvez filtrer les résultats par type de ressource, projet ou emplacement.

L'onglet Ensemble de ressources de forte valeur vous permet d'afficher les scores d'exposition aux attaques pour les ressources de forte valeur de votre organisation.

L'onglet Requête sur un élément vous permet d'utiliser des filtres prédéfinis pour examiner les données sur les assets.

Afficher les composants par projet

Par défaut, tous les éléments du champ d'application sélectionné sont affichés sur la page Éléments dans l'ordre décroissant de la date de création.

Si le niveau d'accès que vous avez sélectionné est un projet, seuls les éléments de ce projet sont affichés.

Pour afficher les éléments lorsque la vue de la console est limitée à un dossier ou à votre organisation, procédez comme suit:

1. Accédez à la page Composants:

   Accéder

2. Dans le panneau Filtres rapides, sélectionnez un ou plusieurs projets. Le panneau des résultats est mis à jour pour n'afficher que les éléments des projets sélectionnés.

Afficher par type d'élément

Par défaut, tous les éléments du champ d'application sélectionné sont affichés sur la page Éléments dans l'ordre décroissant de leur date de création.

Pour afficher les assets par type, procédez comme suit:

1. Accédez à la page Composants:

   Accéder

2. Facultatif: en haut du panneau des résultats, pour trier les éléments par type de ressource, cliquez sur la colonne Resource type (Type de ressource) dans l'en-tête des résultats. Les éléments sont affichés regroupés par type de ressource.

3. Dans le panneau Filtres rapides, sélectionnez le type de ressource à afficher. Le panneau des résultats est mis à jour pour n'afficher que les types de ressources sélectionnés.

Afficher les modifications apportées à un composant

Vous pouvez comparer des instantanés des métadonnées d'un élément pour voir ce qui a changé.

Pour afficher les modifications apportées à un composant au fil du temps:

1. Accédez à la page Composants:

   Accéder

2. Recherchez l'élément que vous devez examiner en faisant défiler la page ou en appliquant les filtres appropriés aux éléments listés.

3. Dans la liste des éléments du panneau des résultats, cliquez sur le nom de l'élément. Le panneau des détails de l'élément s'affiche.

4. Dans le panneau des détails du composant, sélectionnez l'onglet Historique des modifications.

5. Dans l'onglet Historique des modifications, sélectionnez une heure de début et une heure de fin.

6. Dans le champ Select a record to compare (Sélectionner un enregistrement à comparer) à gauche, cliquez sur la flèche vers le bas pour sélectionner un instantané dans la liste affichée.

7. Dans le champ Select a record to compare (Sélectionner un enregistrement à comparer) à droite, cliquez sur la flèche vers le bas pour sélectionner un instantané à comparer avec le premier instantané sélectionné. Les changements entre les deux instantanés sont mis en évidence.

Afficher les éléments par code temporel de création ou de dernière mise à jour

Vous pouvez filtrer ou trier les éléments dans le panneau des résultats de la page Assets (Éléments), en fonction de leur date de création et de dernière mise à jour.

Pour appliquer un filtre basé sur l'horodatage Created (Créé), le code temporel Last updated (Dernière mise à jour) ou les deux, procédez comme suit:

1. Accédez à la page Composants:

   Accéder

2. En haut du panneau des résultats de la page Assets (Éléments), placez votre curseur dans le champ Filter (Filtre). Un menu de filtres s'affiche.

3. Faites défiler la page jusqu'à la section Date de création ou Heure de mise à jour, puis sélectionnez l'une des options de filtre temporel. Exemple :Update time after Un filtre est ajouté au champ Filtre. Il vous suffit d'ajouter la date.

4. Dans le champ de filtre, complétez la spécification de filtre en saisissant une date au format MM/DD/YYYY et en appuyant sur Entrée sur votre clavier.

   Les éléments du panneau des résultats sont mis à jour pour n'afficher que ceux qui correspondent à votre filtre.

Configurer la page "Éléments"

Vous pouvez contrôler certains des éléments qui s'affichent sur la page Composants.

Colonnes

Par défaut, le panneau des résultats de la page Éléments comprend les colonnes suivantes:

• Nom à afficher: nom à afficher de l'élément
• Project ID (ID du projet) : le projet qui contient l'élément
• Resource type (Type de ressource) : type de ressource de l'élément
• Emplacement: région dans laquelle se trouve l'élément ou global
• State (État) : état de l'élément (READ, SUCCESSFUL ou SERVING, par exemple).
• Créé: date et heure de création de l'asset.
• Dernière mise à jour: date et heure de la dernière mise à jour de l'élément.
• Marques de sécurité: marques de sécurité appliquées à l'élément depuis Security Command Center, le cas échéant.
• Libellés: libellés appliqués à l'élément, le cas échéant
• KMS keys (Clés KMS) : clés KMS associées à l'élément, le cas échéant
• Tags réseau: tags réseau appliqués à l'élément, le cas échéant

Vous pouvez masquer les colonnes de votre choix, à l'exception de Nom à afficher. Pour masquer une colonne, procédez comme suit:

1. Accédez à la page Composants:

   Accéder

2. En haut du panneau des résultats, à droite, cliquez sur l'icône Options d'affichage des colonnes view_column.

3. Dans le menu qui s'affiche, vous pouvez afficher ou masquer une colonne en cochant ou en décochant la case à côté du nom de la colonne.

Panneaux

Pour contrôler l'espace à l'écran de la page Éléments, vous pouvez modifier les options suivantes:

• Masquez le panneau latéral Filtres rapides en cliquant sur la flèche vers la gauche .
• Redimensionnez les colonnes d'affichage des éléments en faisant glisser la ligne de séparation vers la gauche ou vers la droite.

Page sur les résultats

Sur la page Résultats, vous pouvez interroger, examiner, ignorer et marquer des résultats Security Command Center (enregistrements créés par les services Security Command Center lorsqu'ils détectent un problème de sécurité dans votre environnement).

Pour en savoir plus sur l'utilisation des résultats de la page Résultats, consultez Utiliser les résultats dans la console Google Cloud.

Page sur les sources

La page Sources contient des fiches qui fournissent un résumé des éléments et des résultats provenant des sources de sécurité que vous avez activées. La fiche de chaque source de sécurité indique certains des résultats de cette source. Vous pouvez cliquer sur le nom de la catégorie de résultats pour afficher tous les résultats de cette catégorie.

Récapitulatif des résultats

La fiche Récapitulatif des résultats affiche le nombre de catégories de résultats que fournissent vos sources de sécurité activées.

• Pour afficher les détails des résultats d'une source spécifique, cliquez sur le nom de la source concernée.
• Pour afficher les détails de tous les résultats, cliquez sur la page Résultats, où vous pouvez regrouper les résultats ou afficher les détails d'un résultat individuel.

Récapitulatifs des sources

Sous la fiche Récapitulatif des résultats, les fiches apparaissent pour toutes les sources intégrées et tierces que vous avez activées. Chaque fiche indique le nombre de résultats actifs pour cette source.

Page de stratégie

Sur la page Posture (Stratégie), vous pouvez afficher les détails des stratégies de sécurité que vous avez créées dans votre organisation et les appliquer à une organisation, un dossier ou un projet. Vous pouvez également consulter les modèles de stratégie prédéfinis disponibles.

Étapes suivantes

• En savoir plus sur les services de détection
• Découvrez comment utiliser des marques de sécurité.
• Découvrez comment configurer les services Security Command Center.