Utiliser Security Command Center dans la console Google Cloud

Cette page présente Security Command Center dans la console Google Cloud et explique ce que vous pouvez faire avec les pages de premier niveau de Security Command Center.

Si Security Command Center n'est pas déjà configuré pour votre organisation ou un projet de votre organisation, vous devez l'activer avant de pouvoir l'utiliser dans la console Google Cloud. Pour en savoir plus sur l'activation, consultez la section Présentation de l'activation de Security Command Center.

Pour obtenir une présentation générale de Security Command Center, consultez la présentation de Security Command Center.

Autorisations IAM requises

Pour utiliser Security Command Center, vous devez disposer d'un rôle IAM (Identity and Access Management) comprenant les autorisations appropriées :

• Le lecteur administrateur du centre de sécurité vous permet d'afficher Security Command Center.
• L'éditeur de l'administrateur du centre de sécurité vous permet d'afficher Security Command Center et d'y apporter des modifications.

Si vos règles d'administration sont configurées pour restreindre les identités par domaine, vous devez être connecté à la console Google Cloud sur un compte situé dans un domaine autorisé.

Les rôles IAM pour Security Command Center peuvent être attribués au niveau de l'organisation, d'un dossier ou d'un projet. Votre capacité à afficher, modifier, créer ou mettre à jour des résultats, des éléments et des sources de sécurité dépend du niveau d'accès qui vous est accordé. Pour en savoir plus sur les rôles Security Command Center, consultez la page Contrôle des accès.

Accéder à Security Command Center dans la console Google Cloud

Pour accéder à Security Command Center dans la console Google Cloud:

1. Accédez à Security Command Center:

   Accéder à Security Command Center

2. Sélectionnez le projet ou l'organisation que vous souhaitez afficher.

   Si Security Command Center est actif dans l'organisation ou le projet que vous sélectionnez, la page Vue d'ensemble des risques s'affiche. Elle présente les nouveaux résultats de menaces et le résultat de failles actives au cours des sept derniers jours.

   Si Security Command Center n'est pas actif, vous êtes invité à le faire. Pour en savoir plus sur l'activation de Security Command Center, consultez la section Présentation de l'activation de Security Command Center.

Security Command Center dans la console Google Cloud

En plus de la page Présentation des risques, vous pouvez surveiller et gérer les problèmes de sécurité dans votre environnement Google Cloud via les pages Security Command Center suivantes dans la console Google Cloud. Cliquez sur le nom d'une page pour en obtenir une explication.

• Page de présentation des risques
• Page "Menaces"
• Page sur les failles
• Page "Conformité"
• Page "Composants"
• Page de résultats
• Page "Sources"
• Page de stratégie

Page de présentation des risques

La page Présentation des risques offre un aperçu rapide des nouvelles menaces et du nombre total de failles actives dans votre environnement Google Cloud provenant de tous les services intégrés et intégrés. Vous pouvez modifier la période affichée dans toutes les zones de cette page de 1 heure à 6 mois.

La page Présentation des risques comprend plusieurs tableaux de bord, y compris les suivants:

• La section Principaux résultats de failles présente les 10 résultats ayant les scores d'exposition aux attaques les plus élevés.
• L'onglet Nouvelles menaces au fil du temps affiche un graphique des nouvelles menaces détectées par jour, avec des totaux horaires. Après le graphique de la page, vous trouverez des vues des menaces identifiées par catégorie, ressource et projet. Vous pouvez trier chaque vue par niveau de gravité.
• Les principaux résultats concernant la CVE (niveaux Premium et Enterprise uniquement) présentent les résultats de failles regroupés en fonction de l'exploitabilité et de l'impact de la CVE. Cliquez sur un bloc de la carte de densité pour afficher les résultats correspondants répertoriés par ID de CVE.
• Les failles par type de ressource sont une représentation graphique des failles actives pour les ressources de votre projet ou de votre organisation.
• La page Active Failles (Failles actives) fournit des vues à onglets des résultats des failles par nom de catégorie, par ressource concernée et par projet. Vous pouvez trier chaque vue par niveau de gravité du résultat.
• La page Résultats sur l'identité et les accès présente les résultats d'erreurs de configuration liés à des comptes principaux (identities) mal configurés ou auxquels des autorisations excessives ou sensibles ont été accordées aux ressources Google Cloud (identities). La gestion des contrôles d'authentification et des accès est parfois appelée gestion des droits d'accès de l'infrastructure cloud.
• La page Résultats relatifs à la sécurité des données présente les résultats du service de découverte de la protection des données sensibles. Ce résumé inclut tous les résultats de failles qui indiquent la présence de secrets dans des variables d'environnement, ainsi que les résultats d'observation qui indiquent les niveaux de sensibilité et de risque pour les données de vos données.

Cliquez sur le nom de la catégorie d'un résultat de la page Vue d'ensemble des risques pour accéder à la page Résultats où vous pouvez afficher les détails du résultat.

Page sur les menaces

La page Menaces vous aide à examiner les événements potentiellement dangereux concernant vos ressources Google Cloud sur une période que vous spécifiez. La période par défaut est de sept jours.

Sur la page "Menaces", vous pouvez afficher les résultats dans les sections suivantes:

• Menaces par niveau de gravité indique le nombre de menaces pour chaque niveau de gravité.
• Menaces par catégorie indique le nombre de résultats dans chaque catégorie pour tous les projets.
• Menaces par ressource indique le nombre de résultats pour chaque ressource de votre projet ou de votre organisation.

Vous pouvez spécifier la période pour laquelle afficher les menaces à l'aide de la liste déroulante du champ Période. La liste déroulante présente plusieurs options comprises entre une heure et "depuis le début", qui affiche tous les résultats depuis l'activation du service. La période sélectionnée est enregistrée entre les sessions.

Page sur les failles

La page Failles répertorie toutes les catégories de failles que les différents services de prévention des menaces de Security Command Center peuvent détecter dans votre environnement.

Services de détection des failles

Les services intégrés de prévention des menaces de Security Command Center incluent les éléments suivants:

• Détection rapide des failles
• Analyse de l'état de la sécurité
• Web Security Scanner

D'autres services Google Cloud intégrés à Security Command Center détectent également les failles et les erreurs de configuration. Les résultats d'une sélection de ces services sont également affichés sur la page Failles. Pour en savoir plus sur les services qui génèrent des résultats de failles dans Security Command Center, consultez la section Sources de sécurité.

Informations sur les catégories de failles

Pour chaque catégorie de faille, la page Failles affiche les informations suivantes:

• État : une icône indique si le détecteur est actif et s'il a trouvé un résultat à corriger. Lorsque vous placez le pointeur de la souris sur l'icône d'état, une info-bulle indique la date et l'heure auxquelles le détecteur a trouvé le résultat ou des informations permettant de valider la recommandation.
• Dernière analyse : date et heure de la dernière analyse du détecteur.
• Category (Catégorie) : catégorie ou type de faille. Pour connaître toutes les catégories détectées par chaque service Security Command Center, consultez les ressources suivantes :
  • Détection rapide des failles
  • Résultats de l'analyse de l'état de sécurité
  • Résultats de Web Security Scanner
• Recommandation : résumé indiquant comment corriger le résultat. Pour en savoir plus, consultez la page Corriger les résultats de Security Health Analytics.
• Actif : nombre total de résultats dans la catégorie.
• Standards : analyse comparative de conformité pour laquelle la catégorie de résultat s'applique, le cas échéant. Pour en savoir plus sur les analyses comparatives, consultez la page Résultats concernant les failles.

Filtrer les résultats de failles

Une grande organisation peut avoir de nombreux résultats de failles à examiner, trier et suivre dans tout son déploiement. En utilisant les filtres disponibles sur les pages Failles et Résultats de Security Command Center dans la console Google Cloud, vous pouvez vous concentrer sur les failles les plus graves de votre organisation et les examiner par type d'élément, projet, etc.

Pour en savoir plus sur le filtrage des résultats de failles, consultez Filtrer les résultats de failles dans Security Command Center.

Page sur la conformité

La page Conformité vous aide à évaluer et à prendre des mesures pour assurer votre conformité avec les normes ou benchmarks de sécurité courants. Cette page affiche tous les benchmarks compatibles avec Security Command Center, ainsi que le pourcentage de réussite des contrôles de l'analyse comparative.

Pour chaque benchmark, vous pouvez ouvrir une page Détails de la conformité qui fournit des détails supplémentaires sur les contrôles que Security Command Center vérifie pour le benchmark, le nombre de cas de non-conformité détectés pour chaque contrôle et l'option permettant d'exporter un rapport de conformité pour le benchmark.

Les analyseurs de failles de Security Command Center surveillent les cas de non-respect des contrôles de conformité courants en s'appuyant sur un mappage optimisé par Google. Les rapports de conformité de Security Command Center ne remplacent pas un audit de conformité, mais peuvent vous aider à maintenir l'état de conformité et à détecter les cas de non-conformité de manière précoce.

Pour en savoir plus sur la gestion de la conformité avec Security Command Center, consultez les pages suivantes:

• Gérer et surveiller la conformité
• Gérer la conformité

Page sur les éléments

La page Éléments fournit une vue détaillée de toutes les ressources Google Cloud, appelées éléments, de votre projet ou de votre organisation.

Si Security Command Center est activé au niveau de l'organisation, vous pouvez afficher les éléments pour l'ensemble de votre organisation ou les filtrer par projet, type d'élément et emplacement spécifiques.

Si Security Command Center est activé au niveau du projet, vous pouvez filtrer les éléments par type et par emplacement.

Pour afficher les détails d'un élément spécifique (comme ses attributs, ses propriétés de ressources et les résultats associés), cliquez sur son nom dans la colonne Nom à afficher.

La liste des éléments est fournie par l'inventaire des éléments cloud, qui, dans la plupart des cas, la met à jour dans les minutes qui suivent la création, la modification ou la suppression des éléments dans votre environnement Google Cloud.

Pour en savoir plus sur l'inventaire des éléments cloud, consultez la page Présentation de l'inventaire des éléments cloud.

Trier les éléments

Pour trier les éléments, cliquez sur l'en-tête de colonne correspondant à la valeur selon laquelle trier. Les colonnes sont triées par ordre numérique, puis par ordre alphabétique.

Filtrer les éléments

Cette section explique comment exécuter des requêtes courantes pour examiner vos éléments à l'aide de Security Command Center dans la console Google Cloud.

Par défaut, tous les composants du projet, du dossier ou de l'organisation sélectionnés sont affichés dans le panneau des résultats de la page Composants.

Vous pouvez filtrer les résultats pour n'afficher que des éléments spécifiques de deux manières. Vous pouvez utiliser les options de filtrage du panneau QuickFilters (Filtres rapides) ou utiliser le champ Filter (Filtre) pour spécifier des filtres plus personnalisés.

Dans le panneau Filtres rapides, vous pouvez filtrer les résultats par type de ressource, projet ou emplacement.

L'onglet Ensemble de ressources à forte valeur vous permet d'afficher les scores d'exposition aux attaques des ressources à forte valeur de votre organisation.

L'onglet Requête d'élément vous permet d'examiner les données des éléments à l'aide de filtres prédéfinis.

Afficher les composants par projet

Par défaut, tous les éléments du champ d'application sélectionné sont affichés sur la page Éléments dans l'ordre décroissant, en fonction de l'heure à laquelle ils ont été créés.

Si le champ d'application sélectionné est un projet, seuls les éléments de ce projet s'affichent.

Pour afficher les composants lorsque la vue de votre console est limitée à un dossier ou à votre organisation, procédez comme suit:

1. Accédez à la page Composants:

   Accéder

2. Dans le panneau Filtres rapides, sélectionnez un ou plusieurs projets. Le panneau des résultats est mis à jour pour afficher uniquement les éléments des projets sélectionnés.

Afficher par type de composant

Par défaut, tous les éléments du champ d'application sélectionné sont affichés sur la page Assets dans l'ordre décroissant en fonction de leur date de création.

Pour afficher les composants par type, procédez comme suit:

1. Accédez à la page Composants:

   Accéder

2. Facultatif: En haut du panneau des résultats, pour trier les éléments par type de ressource, cliquez sur la colonne Resource type (Type de ressource) dans l'en-tête des résultats. Les éléments sont regroupés par type de ressource.

3. Dans le panneau Filtres rapides, sélectionnez le type de ressource à afficher. Le panneau des résultats est mis à jour pour afficher uniquement les types de ressources sélectionnés.

Afficher les modifications apportées à un composant

Vous pouvez comparer les instantanés des métadonnées d'un élément pour voir ce qui a changé.

Pour afficher les modifications apportées à un composant au fil du temps:

1. Accédez à la page Composants:

   Accéder

2. Recherchez l'asset que vous devez examiner en faisant défiler la page ou en appliquant les filtres appropriés aux assets listés.

3. Dans la liste des éléments du panneau des résultats, cliquez sur le nom de l'élément. Le panneau des détails de l'asset s'ouvre.

4. Dans le panneau de détails de l'élément, sélectionnez l'onglet Historique des modifications.

5. Dans l'onglet Historique des modifications, sélectionnez une heure de début et une heure de fin.

6. Dans le champ Sélectionner un enregistrement à comparer à gauche, cliquez sur la flèche vers le bas pour sélectionner un instantané dans la liste affichée.

7. Dans le champ Select a record to compare (Sélectionner un enregistrement à comparer) à droite, cliquez sur la flèche vers le bas pour sélectionner un instantané à comparer au premier instantané que vous avez sélectionné. Les différences entre les deux instantanés sont mises en évidence.

Afficher les éléments par code temporel de création ou de dernière mise à jour

Vous pouvez filtrer ou trier les éléments dans le panneau des résultats de la page Éléments, en fonction de leur horodatage Créé et Dernière mise à jour.

Pour utiliser un filtre basé sur l'horodatage Created (Créé), l'horodatage de la Dernière mise à jour, ou les deux, procédez comme suit:

1. Accédez à la page Composants:

   Accéder

2. En haut du panneau des résultats de la page Éléments, placez votre curseur dans le champ Filtre. Un menu de filtres s'ouvre.

3. Faites défiler la page jusqu'à la section Heure de création ou Heure de mise à jour, puis sélectionnez l'une des options de filtre temporel. Exemple :Update time after Un filtre est ajouté au champ Filtre. Il vous suffit d'ajouter la date.

4. Dans le champ de filtre, complétez la spécification de filtre en saisissant une date au format MM/DD/YYYY, puis en appuyant sur la touche Entrée de votre clavier.

   Les éléments du panneau des résultats sont mis à jour pour n'afficher que ceux qui correspondent à votre filtre.

Configurer la page "Éléments"

Vous pouvez contrôler certains des éléments qui apparaissent sur la page Composants.

Colonnes

Par défaut, le panneau des résultats de la page Éléments comprend les colonnes suivantes:

• Nom à afficher: nom à afficher de l'élément
• Project ID (ID du projet) : le projet contenant l'asset
• Resource type (Type de ressource) : type de ressource de l'élément
• Emplacement: région dans laquelle se trouve l'élément ou global
• State (État) : état de l'élément (par exemple, READ, SUCCESSFUL ou SERVING).
• Créé: date et heure de création de l'asset
• Dernière mise à jour: heure de la dernière mise à jour de l'asset
• Marques de sécurité: marques de sécurité appliquées à l'élément depuis Security Command Center, le cas échéant
• Libellés: libellés appliqués à l'élément, le cas échéant
• Clés KMS: clés KMS associées à l'élément, le cas échéant
• Tags réseau: tags réseau appliqués à l'élément, le cas échéant

Vous pouvez masquer les colonnes de votre choix, à l'exception de la colonne Display name (Nom à afficher). Pour masquer une colonne, procédez comme suit:

1. Accédez à la page Composants:

   Accéder

2. En haut du panneau des résultats à droite, cliquez sur l'icône Options d'affichage des colonnes view_column.

3. Dans le menu qui s'affiche, vous pouvez afficher ou masquer une colonne en cochant ou en décochant la case située à côté de son nom.

Panneaux

Pour contrôler l'espace à l'écran de la page Assets, vous pouvez modifier les options suivantes:

• Masquez le panneau latéral Filtres rapides en cliquant sur la flèche vers la gauche .
• Redimensionnez les colonnes d'affichage des éléments en faisant glisser la ligne de séparation vers la gauche ou vers la droite.

Page sur les résultats

Sur la page Résultats, vous pouvez interroger, examiner, ignorer et marquer les résultats de Security Command Center, les enregistrements créés par les services de Security Command Center lorsqu'ils détectent un problème de sécurité dans votre environnement.

Pour en savoir plus sur l'utilisation des résultats de la page Résultats, consultez Utiliser les résultats dans la console Google Cloud.

Page sur les sources

La page Sources contient des fiches qui fournissent un résumé des éléments et des résultats provenant des sources de sécurité que vous avez activées. La fiche de chaque source de sécurité indique certains des résultats de cette source. Vous pouvez cliquer sur le nom de la catégorie de résultats pour afficher tous les résultats de cette catégorie.

Récapitulatif des résultats

La fiche Récapitulatif des résultats affiche le nombre de catégories de résultats que fournissent vos sources de sécurité activées.

• Pour afficher les détails des résultats d'une source spécifique, cliquez sur le nom de la source concernée.
• Pour afficher les détails de tous les résultats, cliquez sur la page Résultats, où vous pouvez regrouper les résultats ou afficher les détails d'un résultat individuel.

Récapitulatifs des sources

Sous la fiche Récapitulatif des résultats, les fiches apparaissent pour toutes les sources intégrées et tierces que vous avez activées. Chaque fiche indique le nombre de résultats actifs pour cette source.

Page de stratégie

Sur la page Posture, vous pouvez afficher les détails des stratégies de sécurité que vous avez créées dans votre organisation et les appliquer à une organisation, un dossier ou un projet. Vous pouvez également consulter les modèles de stratégie prédéfinis disponibles.

Étapes suivantes

• Apprenez-en davantage sur les sources de sécurité.
• Découvrez comment utiliser des marques de sécurité.
• Découvrez comment configurer Security Command Center.