Usa las estadísticas de estado de seguridad

En esta página, se explica cómo administrar los resultados de las estadísticas de estado de seguridad mediante Security Command Center.

Security Health Analytics es un servicio integrado en Security Command Center que analiza los recursos de tu entorno de nube y emite resultados de cualquier configuración incorrecta que detecte.

Para recibir los resultados de Security Health Analytics, el servicio debe estar habilitado en la configuración de Servicios de Security Command Center.

Para recibir resultados de otra plataforma en la nube, Security Command Center debe estar conectado a la otra plataforma en la nube.

Los resultados de los detectores de estadísticas de estado de seguridad se pueden buscar en la consola de Google Cloud, mediante la API de Security Command Center y, si usas el nivel empresarial de Security Command Center, en la consola de Security Operations.

Los análisis comienzan aproximadamente una hora después de que se habilita Security Command Center. En Google Cloud, se ejecuta en dos modos: modo por lotes, que se ejecuta automáticamente una vez al día, y en tiempo real, que ejecuta análisis en función de los cambios de configuración de los recursos.

Los detectores de Security Health Analytics que no admiten el modo de análisis en tiempo real se enumeran en la Descripción general de la latencia de Security Command Center.

Security Health Analytics analiza otras plataformas en la nube solo en modo por lotes.

Antes de comenzar

Para obtener los permisos que necesitas para administrar los resultados de Security Health Analytics, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu organización, carpeta o proyecto:

• Habilitar y deshabilitar detectores: Editor de configuración del centro de seguridad (roles/securitycenter.settingsEditor)
• Ver y filtrar hallazgos: Visualizador de hallazgos del centro de seguridad (roles/securitycenter.findingsViewer)
• Administrar reglas de silenciamiento: Editor de parámetros de configuración de elementos silenciados del centro de seguridad (roles/securitycenter.muteConfigsEditor)
• Administrar marcas de seguridad: Escritor de marcas de seguridad de hallazgos del centro de seguridad (roles/securitycenter.findingSecurityMarksWriter)
• Administrar hallazgos de forma programática: Editor de hallazgos del centro de seguridad (roles/securitycenter.findingsEditor)
• Otorga acceso entrante a un perímetro de servicio de Controles del servicio de VPC: Editor de Access Context Manager (roles/accesscontextmanager.policyEditor)
• Completa cualquier tarea en esta página: Administrador de configuración del centro de seguridad (roles/securitycenter.settingsAdmin)

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.

Inhabilita y habilita los detectores

Inhabilitar los detectores puede afectar el estado de los resultados activos. Cuando un detector está inhabilitado, los resultados existentes se marcan automáticamente como inactivos.

Cuando activas Security Command Center a nivel de la organización, puedes inhabilitar Security Health Analytics o detectores específicos para carpetas o proyectos específicos. Si Security Health Analytics o los detectores están desactivados para las carpetas y los proyectos, todos los resultados existentes adjuntos a los elementos en esos recursos se marcan como inactivos.

Los siguientes detectores de Security Health Analytics para Google Cloud están inhabilitados de forma predeterminada:

• ALLOYDB_AUTO_BACKUP_DISABLED
• ALLOYDB_CMEK_DISABLED
• BIGQUERY_TABLE_CMEK_DISABLED
• BUCKET_CMEK_DISABLED
• CLOUD_ASSET_API_DISABLED
• DATAPROC_CMEK_DISABLED
• DATASET_CMEK_DISABLED
• DISK_CMEK_DISABLED
• DISK_CSEK_DISABLED
• NODEPOOL_BOOT_CMEK_DISABLED
• PUBSUB_CMEK_DISABLED
• SQL_CMEK_DISABLED
• SQL_NO_ROOT_PASSWORD
• SQL_WEAK_ROOT_PASSWORD
• VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Para habilitar o inhabilitar un módulo de detección de Security Health Analytics, haz lo siguiente:

gcloud alpha scc settings services modules enable \
    --organization=ORGANIZATION_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

gcloud alpha scc settings services modules enable \
    --project=PROJECT_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

gcloud alpha scc settings services modules disable \
    --organization=ORGANIZATION_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

gcloud alpha scc settings services modules disable \
    --project=PROJECT_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

Filtra los resultados en la consola de Google Cloud

Una organización grande podría tener muchos resultados de vulnerabilidad en su implementación para revisar, clasificar y hacer un seguimiento. Si usas los filtros disponibles en las páginas Vulnerabilidades y Resultados de Security Command Center en la consola de Google Cloud, puedes enfocarte en las vulnerabilidades de mayor gravedad en toda la organización y revisar las vulnerabilidades por tipo de recurso, proyecto y mucho más.

Para obtener más información sobre cómo filtrar los resultados de vulnerabilidades, consulta Cómo filtrar los resultados de vulnerabilidades en Security Command Center.

Administra los resultados con casos

Security Command Center abre automáticamente un caso en la consola de Security Operations para los resultados de vulnerabilidades y parámetros de configuración incorrectos que tengan un nivel de gravedad de HIGH o CRITICAL. Un solo caso puede contener varios hallazgos relacionados.

Usa el caso, que se puede integrar con tu sistema de venta de entradas preferido, para administrar la investigación y la solución de los hallazgos. Para ello, asigna propietarios, revisa la información relacionada y, con las tácticas, automatiza tu flujo de trabajo de respuesta.

Si un hallazgo tiene un caso correspondiente, puedes encontrar un vínculo a este en la página de detalles del hallazgo. Abre la página de detalles de un hallazgo en la página Hallazgos de la consola de Google Cloud. También puedes ver la cantidad total de casos de vulnerabilidad abiertos en la página Resumen de riesgos de la consola de Google Cloud.

Para obtener más información sobre los casos, consulta la descripción general de los casos.

Silenciar resultados

Para controlar el volumen de resultados en la consola de Google Cloud, puedes silenciar de forma manual o programática resultados individuales o crear reglas de silenciamiento que silencian de forma automática los resultados según los filtros que definas. Existen dos tipos de reglas de silenciamiento que puedes usar para controlar el volumen de búsqueda:

• Reglas de silenciamiento estáticas que silencian de forma indefinida los resultados futuros
• Reglas de silenciamiento dinámico que contienen una opción para silenciar temporalmente los resultados actuales y futuros

Te recomendamos que uses reglas de silenciamiento dinámico exclusivamente para reducir la cantidad de hallazgos que revisas de forma manual. Para evitar confusiones, no recomendamos usar reglas de silenciamiento estáticas y dinámicas de forma simultánea. Para comparar los dos tipos de reglas, consulta Tipos de reglas de silenciamiento.

Los resultados que silencias en la consola de Google Cloud se ocultan y silencian, pero se siguen registrando con fines de auditoría y cumplimiento. Puedes ver los resultados silenciados o dejar de silenciarlos en cualquier momento. Para obtener más información, consulta Silencia resultados en Security Command Center.

Marca elementos y resultados con marcas de seguridad

Puedes agregar propiedades personalizadas a los resultados y a los recursos en Security Command Center mediante marcas de seguridad. Las marcas de seguridad te permiten identificar áreas de interés de alta prioridad, como los proyectos de producción, el descubrimiento de etiquetas con números de seguimiento de incidentes y errores, y mucho más.

En el caso de los recursos, puedes agregar marcas de seguridad solo a los que Security Command Center admite. Para obtener la lista de los elementos admitidos, consulta Tipos de elementos admitidos en Security Command Center.

Agrega elementos a las listas de entidades permitidas

Aunque no es un método recomendado, puedes suprimir los resultados innecesarios agregando marcas de seguridad específicas a los recursos para que los detectores de Security Health Analytics no creen resultados de seguridad para esos recursos.

El enfoque recomendado y más eficaz para controlar el volumen de los resultados es silenciarlos. Silencia los resultados que no necesitas revisar, ya sea porque se refieren a recursos aislados o porque están dentro de los parámetros comerciales aceptables.

Cuando aplicas marcas de seguridad específicas a los recursos, estos se agregan a una lista de entidades permitidas en Security Health Analytics, que marca cualquier resultado de esos recursos como resuelto durante el siguiente análisis por lotes.

Las marcas de seguridad específicas se deben aplicar directamente a los recursos, no a los resultados, como se describe en Cómo funcionan las listas de entidades permitidas más adelante en esta página. Si aplicas una marca a un resultado, el recurso subyacente puede generar resultados.

Cómo funcionan las listas de entidades permitidas

Cada detector de Security Health Analytics tiene un tipo de marca dedicado para las listas de entidades permitidas, con el formato allow_FINDING_TYPE:true. Agregar esta marca específica a un recurso compatible con Security Command Center te permite excluirlo de la política de detección.

Por ejemplo, para excluir el tipo de resultado SSL_NOT_ENFORCED, configura la marca de seguridad allow_ssl_not_enforced:true en la instancia de Cloud SQL relacionada. El detector especificado no creará resultados para los recursos marcados.

Para obtener una lista completa de los tipos de resultados, consulta la lista de detectores de las estadísticas del estado de la seguridad. Si deseas obtener más información sobre las marcas de seguridad y las técnicas para usarlas, consulta Usa marcas de seguridad.

Tipos de recursos

En esta sección, se describe cómo funcionan las marcas de seguridad en diferentes recursos.

• Recursos de lista de entidades permitidas: Cuando agregas una marca específica a un recurso, como un firewall o un bucket de Cloud Storage, el resultado asociado se marca como resuelto cuando se ejecuta el análisis por lotes siguiente. El detector no generará resultados nuevos ni actualizará los resultados existentes para el recurso hasta que se quite la marca.

• Proyectos de lista de entidades permitidas: Cuando agregas una marca a un recurso de proyecto, se resuelven los resultados para los que el proyecto en sí es el recurso analizado o de destino. Sin embargo, los elementos contenidos en el proyecto, como las máquinas virtuales o las claves criptográficas, aún pueden generar resultados. Esta marca de seguridad solo está disponible si activas el nivel Premium de Security Command Center a nivel de la organización.

• Carpetas de lista de entidades permitidas: Cuando agregas una marca a un recurso de carpeta, los resultados para los que la carpeta en sí se analiza, o el destino, se resuelven. Sin embargo, los elementos que se encuentran dentro de las carpetas, incluidos los proyectos, aún pueden generar resultados. Esta marca de seguridad solo está disponible si activas el nivel Premium de Security Command Center a nivel de la organización.

• Detectores que admiten varios recursos: Si un detector admite más de un tipo de recurso, debes aplicar la marca dedicada a cada recurso. Por ejemplo, el detector KMS_PUBLIC_KEY admite los recursos de Cloud Key Management Service CryptoKey y KeyRing. Si aplicas la marca allow_kms_public_key:true al recurso CryptoKey, se resuelven los resultados KMS_PUBLIC_KEY de ese recurso. Sin embargo, aún se pueden generar resultados para el recurso KeyRing.

Las marcas de seguridad solo se actualizan durante los análisis por lotes, no en tiempo real. Si se quita una marca de seguridad dedicada y el recurso tiene una vulnerabilidad, pueden pasar hasta 24 horas antes de que se borre la marca y se escriba un resultado.

Detector de casos especiales: Claves de encriptación proporcionadas por el cliente

El detector DISK_CSEK_DISABLED no está activado de forma predeterminada. Si quieres usar este detector, debes marcar los recursos para los que quieres usar claves de encriptación autoadministradas.

Para habilitar el detector DISK_CSEK_DISABLED para activos específicos, aplica la marca de seguridad enforce_customer_supplied_disk_encryption_keys al activo con un valor de true.

Visualiza el recuento de resultados activos por tipo de resultado

Puedes usar la consola de Google Cloud o los comandos de Google Cloud CLI para ver los recuentos de resultados elementos mediante el tipo de búsqueda.

description: Scans for deviations from a GCP security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

groupByResults:
- count: '1'
properties:
  category: MFA_NOT_ENFORCED
- count: '3'
properties:
  category: ADMIN_SERVICE_ACCOUNT
- count: '2'
properties:
  category: API_KEY_APIS_UNRESTRICTED
- count: '1'
properties:
  category: API_KEY_APPS_UNRESTRICTED
- count: '2'
properties:
  category: API_KEY_EXISTS
- count: '10'
properties:
  category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
properties:
  category: AUDIT_LOGGING_DISABLED
- count: '1'
properties:
  category: AUTO_UPGRADE_DISABLED
- count: '10'
properties:
  category: BUCKET_IAM_NOT_MONITORED
- count: '10'
properties:
  category: BUCKET_LOGGING_DISABLED
nextPageToken: TOKEN
readTime: '2023-08-05T21:56:13.862Z'
totalSize: 50

Administra los resultados de manera programática

Usar Google Cloud CLI con el SDK de Security Command Center te permite automatizar casi todo lo que puedes hacer con Security Command Center en la consola de Google Cloud. También puedes solucionar varios resultados con la CLI de gcloud. Para obtener más información, revisa la documentación acerca de los tipos de recursos descritos en cada resultado:

• Mostrar una lista de hallazgos de seguridad
• Crea, modifica y consulta marcas de seguridad
• Crea y actualiza resultados de seguridad
• Crea, actualiza y enumera las fuentes de resultados
• Establece la configuración de la organización

Para exportar o enumerar recursos de forma programática, usa la API de Cloud Asset Inventory. Para obtener más información, consulta Cómo exportar el historial y los metadatos de los activos.

Los métodos y campos de recursos de la API de Security Command Center dejaron de estar disponibles y se quitarán a partir del 26 de junio de 2024.

Hasta que se quiten, los usuarios que activaron Security Command Center antes del 26 de junio de 2023 pueden usar los métodos de recursos de la API de Security Command Center para enumerar recursos, pero estos métodos solo admiten los recursos que Security Command Center admite.

Para obtener información sobre el uso de los métodos de la API de recursos obsoletos, consulta cómo enumerar recursos.

Analiza proyectos protegidos por un perímetro de servicio

Esta función solo está disponible si activas el nivel Premium de Security Command Center a nivel de la organización.

Si tienes un perímetro de servicio que bloquea el acceso a ciertos proyectos y servicios, debes otorgar a la cuenta de servicio de Security Command Center acceso entrante a ese perímetro de servicio. De lo contrario, las estadísticas del estado de seguridad no pueden producir resultados relacionados con los proyectos y servicios protegidos.

El identificador de la cuenta de servicio es una dirección de correo electrónico con el siguiente formato:

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

Reemplaza ORGANIZATION_ID por el identificador numérico de tu organización.

Para otorgar acceso entrante a una cuenta de servicio a un perímetro de servicio, sigue estos pasos.

1. Ve a los Controles del servicio de VPC.

   Ir a los Controles del servicio de VPC

2. En la barra de herramientas, selecciona tu organización de Google Cloud.

   

3. En la lista desplegable, selecciona la política de acceso que contiene el perímetro de servicio al que deseas otorgar acceso.

   

   Los perímetros de servicio asociados con la política de acceso aparecen en la lista.

4. Haz clic en el nombre del perímetro de servicio.

5. Haz clic en edit Editar perímetro.

6. En el menú de navegación, haz clic en Política de entrada.

7. Haga clic en Agregar regla.

8. Configura la regla de la siguiente manera:

   Atributos FROM del cliente de la API

   1. En Fuente, selecciona Todas las fuentes.
   2. En Identidad, selecciona Identidades seleccionadas.
   3. En el campo Agregar usuario o cuenta de servicio, haz clic en Seleccionar.
   4. Ingresa la dirección de correo electrónico de la cuenta de servicio. Si tienes cuentas de servicio a nivel de la organización y a nivel del proyecto, agrégalas ambas.
   5. Haz clic en Guardar.

   Atributos TO de los recursos y servicios de GCP

   1. En Proyecto, selecciona Todos los proyectos.

   2. En Servicios, selecciona Todos los servicios o cada uno de los siguientes servicios individuales que requiere Security Health Analytics:

      • API de BigQuery
      • API de Autorización Binaria
      • API de Cloud Logging
      • Cloud Monitoring API
      • API de Compute Engine
      • API de Kubernetes Engine

   Si un perímetro de servicio restringe el acceso a un servicio obligatorio, Security Health Analytics no puede producir resultados para ese servicio.

9. En el menú de navegación, haz clic en Guardar.

Para obtener más información, consulta Configura políticas de entrada y salida.

¿Qué sigue?

• Obtén información sobre los detectores y resultados de las estadísticas de estado de seguridad.
• Lee las recomendaciones para solucionar los problemas de las estadísticas de estado de seguridad.
• Aprende a usar las marcas de seguridad de Security Command Center.
• Obtén información sobre los casos.
• Obtén más información para usar Security Command Center en la consola de Google Cloud y revisar los recursos y los resultados.