Como usar a análise de integridade de segurança

Nesta página, explicamos como gerenciar as descobertas do Security Health Analytics usando o Security Command Center.

A Análise de integridade da segurança é um serviço integrado ao Security Command Center que verifica os recursos do seu ambiente de nuvem e emite descobertas para quaisquer de configuração do Terraform que ele detecta.

Para receber as descobertas do Security Health Analytics, o serviço precisa estar ativado nas configurações de Serviços do Security Command Center.

Para receber descobertas de outra plataforma de nuvem, o Security Command Center precisa estar conectados a outra plataforma de nuvem.

As descobertas dos detectores do Security Health Analytics são pesquisáveis no console do Google Cloud usando a API Security Command Center e, se você estiver usando o nível Enterprise do Security Command Center, no console de operações de segurança.

As verificações começam aproximadamente uma hora depois que o Security Command Center é ativado. No Google Cloud, podem ser executados em dois modos: em lote, que automaticamente é executado uma vez por dia. e o modo em tempo real, que verifica os valores mudanças na configuração.

Os detectores do Security Health Analytics que não são compatíveis com o modo de verificação em tempo real são listados na Visão geral da latência do Security Command Center.

A Análise de integridade da segurança verifica outras plataformas de nuvem apenas no modo de lote.

Antes de começar

Para ter as permissões necessárias para gerenciar as descobertas da Análise de integridade da segurança, peça ao administrador para conceder a você seguintes papéis do IAM na sua organização, pasta ou projeto:

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

Ativar e desativar detectores

Desativar detectores pode afetar o estado das descobertas ativas. Quando um detector é desativado, as descobertas existentes são marcadas automaticamente como inativas.

Ao ativar o Security Command Center no nível da organização, para desativar a Análise de integridade da segurança ou detectores pastas ou projetos. Se o Security Health Analytics ou os detectores estiverem desativados para pastas e projetos, todas as descobertas existentes anexadas a recursos nesses recursos serão marcadas como inativas.

Os seguintes detectores do Security Health Analytics para o Google Cloud estão desativados por padrão:

  • ALLOYDB_AUTO_BACKUP_DISABLED
  • ALLOYDB_CMEK_DISABLED
  • BIGQUERY_TABLE_CMEK_DISABLED
  • BUCKET_CMEK_DISABLED
  • CLOUD_ASSET_API_DISABLED
  • DATAPROC_CMEK_DISABLED
  • DATASET_CMEK_DISABLED
  • DISK_CMEK_DISABLED
  • DISK_CSEK_DISABLED
  • NODEPOOL_BOOT_CMEK_DISABLED
  • PUBSUB_CMEK_DISABLED
  • SQL_CMEK_DISABLED
  • SQL_NO_ROOT_PASSWORD
  • SQL_WEAK_ROOT_PASSWORD
  • VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Para ativar ou desativar um módulo de detecção da Análise de integridade da segurança, faça o seguinte:

Console

É possível ativar ou desativar os detectores na guia Módulos da página Security Health Analytics nas Configurações do Security Command Center no console do Google Cloud. Os detectores podem ser ativados ou desativados no nível da organização ou do projeto.

gcloud

Para ativar um detector, também conhecido como módulo, execute o gcloud alpha scc settings services modules enable.

Se você ativou o Security Command Center no nível da organização, execute o comando abaixo:

gcloud alpha scc settings services modules enable \
    --organization=ORGANIZATION_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

Substitua:

  • ORGANIZATION_ID: o ID da organização
  • DETECTOR_NAME: o nome do detector que você quer. para ativar

Se você ativou o Security Command Center no nível do projeto, execute o seguinte comando:

gcloud alpha scc settings services modules enable \
    --project=PROJECT_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

Substitua:

  • PROJECT_ID: ID do projeto
  • DETECTOR_NAME: o nome do detector que você quer ativar.

Para desativar um detector, execute o comando gcloud alpha scc settings services modules disable.

Se você ativou o Security Command Center no nível da organização, execute o seguinte comando:

gcloud alpha scc settings services modules disable \
    --organization=ORGANIZATION_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

Substitua:

  • ORGANIZATION_ID: o ID da organização
  • DETECTOR_NAME: o nome do detector que você quer desativar.

Se você ativou o Security Command Center no nível do projeto, execute o seguinte comando:

gcloud alpha scc settings services modules disable \
    --project=PROJECT_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

Substitua:

  • PROJECT_ID: ID do projeto
  • DETECTOR_NAME: o nome do detector que você quer. para desativar

Como filtrar descobertas no console do Google Cloud

Uma organização de grande porte pode ter muitas descobertas de vulnerabilidades em toda a implantação para análise, triagem e rastreamento. Usando filtros disponíveis nas páginas Vulnerabilidades e Descobertas do Security Command Center no console do Google Cloud, é possível se concentrar nas vulnerabilidades vulnerabilidades em toda a organização e analisar vulnerabilidades tipo de recurso, projeto e muito mais.

Para mais informações sobre como filtrar descobertas de vulnerabilidade, consulte Filtrar descobertas de vulnerabilidade no Security Command Center.

Gerenciar descobertas com casos

O Security Command Center abre automaticamente um caso no console de Operações de Segurança. descobertas de vulnerabilidades e configurações incorretas com um nível de gravidade de HIGH ou CRITICAL. Um único caso pode conter várias descobertas relacionadas.

o caso de uso, que pode ser integrado o sistema de tíquetes de sua preferência, para gerenciar a investigação e a correção das descobertas, atribuindo proprietários, revisando informações relacionadas e, com playbooks, automatizar seu fluxo de trabalho de resposta.

Se uma descoberta tiver um caso correspondente, você poderá encontrar um link para o caso na página de detalhes da descoberta. Abra a página de detalhes de uma descoberta do Descobertas no console do Google Cloud. Também é possível ver o número total de casos de vulnerabilidade abertos na página Visão geral de riscos do console do Google Cloud.

Para mais informações sobre casos, consulte Visão geral dos casos.

Silenciar descobertas

Para controlar o volume de descobertas no console do Google Cloud, é possível usar manualmente ou silenciar programaticamente descobertas individuais ou criar regras de silenciamento que silenciam automaticamente as descobertas com base nos filtros definidos. Há dois tipos de regras de silenciamento que podem ser usadas para controlar o volume de busca:

  • Regras de silenciamento estáticas que silenciam indefinidamente as descobertas futuras.
  • Regras de silenciamento dinâmico que contêm uma opção para desativar temporariamente o som atual e descobertas futuras.

Recomendamos o uso de regras de silenciamento dinâmico exclusivamente para reduzir o número de resultados que você analisa manualmente. Para evitar confusão, não recomendamos usar os dois regras de silenciamento estáticas e dinâmicas ao mesmo tempo. Para uma comparação das duas regras tipos, consulte Tipos de silenciamento regras.

As descobertas silenciadas no console do Google Cloud ficam ocultas e silenciados, mas continuam a ser registrados para auditoria para fins de compliance. Você pode ver as descobertas silenciadas ou ativá-las a qualquer momento. Para saber mais, consulte Silenciar descobertas no Security Command Center.

Como marcar recursos e descobertas com marcações de segurança

É possível adicionar propriedades personalizadas a descobertas e recursos no Security Command Center usando marcações de segurança. As marcações de segurança permitem identificar áreas de interesse de alta prioridade, como projetos de produção, marcar descobertas com números de rastreamento de bugs e incidentes e muito mais.

Para recursos, só é possível adicionar marcações de segurança aos recursos compatíveis com o Security Command Center. Para ver a lista de recursos compatíveis, consulte Tipos de recursos compatíveis no Security Command Center.

Adicionar recursos a listas de permissões

Embora não seja um método recomendado, é possível impedir descobertas desnecessárias adicionando marcações de segurança dedicadas aos recursos de modo que os detectores da Análise de integridade da segurança não criem descobertas de segurança para esses recursos.

A abordagem recomendada e mais eficaz para controlar o volume de descobertas é Desativar descobertas. Desative descobertas que você não precisa analisar, seja porque elas são destinadas a recursos isolados ou porque as descobertas se enquadram em parâmetros de negócios aceitáveis.

Quando você aplica marcações de segurança dedicadas aos recursos, eles são adicionados a uma lista de permissões Análise de integridade da segurança, que marca todas as descobertas desses recursos como resolvidas durante a próxima verificação em lote.

As marcações de segurança dedicadas precisam ser aplicadas diretamente aos recursos, não às descobertas, conforme descrito em Como as listas de permissões funcionam mais adiante nesta página. Se você aplicar uma marca a uma descoberta, o recurso subjacente ainda poderá gerar descobertas.

Como as listas de permissões funcionam

Cada detector do Security Health Analytics tem um tipo de marcação dedicada para a lista de permissões, na forma de allow_FINDING_TYPE:true. Adicionar essa marcação dedicada a um recurso compatível com o Security Command Center permite excluir o recurso da política de detecção.

Por exemplo, para excluir o tipo de descoberta SSL_NOT_ENFORCED, defina a marcação de segurança, allow_ssl_not_enforced:true, na instância do Cloud SQL relacionada. O detector especificado não criará descobertas para os recursos marcados.

Para ver uma lista completa dos tipos de descobertas, consulte a lista de detectores do Security Health Analytics. Para saber mais sobre marcas e técnicas de segurança para usá-las, consulte Usar marcações de segurança.

Tipos de recurso

Esta seção descreve como as marcações de segurança funcionam para diferentes recursos.

  • Recursos da lista de permissões: quando você adiciona uma marcação dedicada a um recurso, como um bucket ou firewall do Cloud Storage, a descoberta associada é marcada como resolvida quando a próxima verificação em lote é executada. O detector não gera novos descobertas ou atualizar as descobertas existentes para o recurso até que a marca seja removida.

  • Projetos da lista de permissões: quando você adiciona uma marcação a um recurso do projeto, as descobertas para que o próprio projeto é verificado ou de destino são resolvidas. No entanto, os recursos contidos no projeto, como máquinas virtuais ou chaves de criptografia, ainda podem gerar descobertas. Essa marca de segurança só estará disponível se você ativar o nível Premium do Security Command Center Premium no nível da organização.

  • Pastas da lista de permissões: quando você adiciona uma marcação a um recurso de pasta, as descobertas para as quais a própria pasta é o recurso verificado ou de destino são resolvidas. No entanto, os recursos contidos na pasta, incluindo projetos, ainda poderão gerar descobertas. Essa marca de segurança só estará disponível se você ativar o nível Premium do Security Command Center Premium no nível da organização.

  • Detectores compatíveis com vários recursos: se um detector for compatível com mais de um tipo de recurso, você precisará aplicar a marcação dedicada a cada um deles. Por exemplo, o detector KMS_PUBLIC_KEY é compatível com os recursos CryptoKey e KeyRing do Cloud Key Management Service. Se você aplicar a marcação allow_kms_public_key:true ao recurso CryptoKey, as descobertas KMS_PUBLIC_KEY desse recurso serão resolvidas. No entanto, as descobertas ainda podem ser geradas para o recurso KeyRing.

As marcações de segurança só são atualizadas durante as verificações em lote, não nas verificações em tempo real. Se uma marcação de segurança dedicada for removida e o recurso tiver uma vulnerabilidade, poderá levar até 24 horas para que a marcação seja excluída e uma descoberta seja gravada.

Detector de caso especial: chaves de criptografia fornecidas pelo cliente

O detector DISK_CSEK_DISABLED não está ativado por padrão. Para usar esse detector, você precisa marcar os recursos para os quais quer usar chaves de criptografia autogerenciadas.

Para ativar o detector DISK_CSEK_DISABLED para recursos específicos, aplique a marcação de segurança enforce_customer_supplied_disk_encryption_keys ao recurso com um valor de true.

Como visualizar a contagem de descobertas ativa por tipo de descoberta

Use o Console do Google Cloud ou os comandos da Google Cloud CLI para ver as contagens de descobertas ativas por tipo de descoberta.

Console

O console do Google Cloud permite visualizar uma contagem de descobertas ativas para cada tipo de descoberta.

Para ver as descobertas do Security Health Analytics por tipo de descoberta:

  1. Acesse o Security Command Center no console do Google Cloud.

    Acesse Security Command Center

  2. Para exibir os resultados do Security Health Analytics, clique na página Vulnerabilidades.

  3. Para classificar as descobertas pelo número de descobertas ativas por tipo, clique no cabeçalho da coluna Ativas.

gcloud

Para usar a CLI gcloud para conseguir uma contagem de todas as descobertas ativas, consulte o Security Command Center para conseguir o ID de origem do Security Health Analytics. Em seguida, use o ID de origem para consultar a contagem de descobertas ativas.

Etapa 1: conseguir o ID da origem

Para conferir o ID da origem, execute um dos seguintes comandos:

  • Se você ativou o Security Command Center no nível da organização, execute o comando abaixo:

    gcloud scc sources describe organizations/ORGANIZATION_ID \
        --source-display-name="Security Health Analytics"
    
  • Se você ativou o Security Command Center no nível do projeto, execute o seguinte: comando:

    gcloud scc sources describe projects/PROJECT_ID \
        --source-display-name="Security Health Analytics"
    

Se ainda não tiver ativado a API Security Command Center, você receberá uma solicitação para ativá-la. Quando a API Security Command Center estiver ativada, execute o comando anterior novamente. O comando exibirá uma saída semelhante a esta:

description: Scans for deviations from a GCP security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

Observe o SOURCE_ID a ser usado na próxima etapa.

Etapa 2: receber a contagem de descobertas ativas

Use o SOURCE_ID que você anotou na etapa anterior para e filtrar descobertas do Security Health Analytics. Os comandos da CLI gcloud abaixo retornam uma contagem de descobertas por categoria.

  • Se você ativou o Security Command Center no nível da organização, execute o seguinte comando:

    gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
        --group-by=category --page-size=PAGE_SIZE
    
  • Se você ativou o Security Command Center no nível do projeto, execute o seguinte: comando:

    gcloud scc findings group projects/PROJECT_ID/sources/SOURCE_ID \
        --group-by=category --page-size=PAGE_SIZE
    

É possível definir o tamanho da página com qualquer valor de até 1.000. O comando vai mostrar saída da seguinte forma, com os resultados da sua organização:

groupByResults:
- count: '1'
properties:
  category: MFA_NOT_ENFORCED
- count: '3'
properties:
  category: ADMIN_SERVICE_ACCOUNT
- count: '2'
properties:
  category: API_KEY_APIS_UNRESTRICTED
- count: '1'
properties:
  category: API_KEY_APPS_UNRESTRICTED
- count: '2'
properties:
  category: API_KEY_EXISTS
- count: '10'
properties:
  category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
properties:
  category: AUDIT_LOGGING_DISABLED
- count: '1'
properties:
  category: AUTO_UPGRADE_DISABLED
- count: '10'
properties:
  category: BUCKET_IAM_NOT_MONITORED
- count: '10'
properties:
  category: BUCKET_LOGGING_DISABLED
nextPageToken: TOKEN
readTime: '2023-08-05T21:56:13.862Z'
totalSize: 50

Gerenciar descobertas de maneira programática

O uso da CLI do Google Cloud com o SDK do Security Command Center permite automatizar quase tudo que pode ser feito com o Security Command Center no console do Google Cloud. Você também pode corrigir muitas descobertas usando a CLI gcloud. Para mais informações, consulte a documentação dos tipos de recursos descritos em cada descoberta:

Para exportar ou listar recursos de modo programático, use a API Inventário de recursos do Cloud. Para mais informações, consulte Exportar histórico de recursos e metadados.

Os métodos e campos de recursos da API Security Command Center estão descontinuados e serão removidos em 26 de junho de 2024 ou após essa data.

Até a remoção, os usuários que ativaram o Security Command Center antes de 26 de junho de 2023 poderão usar os métodos da API Security Command Center para listar recursos, mas esses métodos só são compatíveis com os recursos que o Security Command Center aceita.

Para mais informações sobre como usar os métodos da API de recursos descontinuados, consulte Como listar recursos.

Verificar projetos protegidos por um perímetro de serviço

Esse recurso só estará disponível se você ativar o nível Premium do Security Command Center Premium no nível da organização.

Se você tiver um perímetro de serviço que bloqueia o acesso a determinados projetos e serviços, você precisa conceder à conta de serviço do Security Command Center acesso de acesso a esse perímetro de serviço. Caso contrário, o Security Health Analytics não pode produzir descobertas relacionadas a projetos e serviços protegidos.

O identificador da conta de serviço é um endereço de e-mail com o seguinte formato:

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

Substitua ORGANIZATION_ID pelo identificador numérico da sua organização.

Para conceder acesso de entrada a um perímetro de serviço a uma conta de serviço, siga estas etapas.

  1. Acesse o VPC Service Controls.

    Acessar o VPC Service Controls

  2. Na barra de ferramentas, selecione sua organização do Google Cloud.

    Seletor de projetos

  3. Na lista suspensa, selecione a política de acesso que contém o perímetro de serviço a que você quer conceder acesso.

    Lista de políticas de acesso

    Os perímetros de serviço associados à política de acesso aparecem na lista.

  4. Clique no nome do serviço.

  5. Clique em Editar perímetro.

  6. No menu de navegação, clique em Política de entrada.

  7. Clique em Adicionar regra.

  8. Configure a regra da seguinte maneira:

    Atributos FROM do cliente da API

    1. Em Origem, selecione Todas as fontes.
    2. Em Identidade, selecione Identidades selecionadas.
    3. No campo Add User/Service Account, clique em Select.
    4. Insira o endereço de e-mail da conta de serviço. Se você tiver contas de serviço no nível da organização e do projeto, adicione ambas.
    5. Clique em Save.

    Atributos TO de serviços/recursos do GCP

    1. Em Projeto, selecione Todos os projetos.

    2. Em Serviços, selecione Todos os serviços ou selecione cada um dos seguintes serviços individuais que o Security Health Analytics exige:

      • API BigQuery
      • API Binary Authorization
      • API Cloud Logging
      • API Cloud Monitoring
      • API Compute Engine
      • API Kubernetes Engine

    Se um perímetro de serviço restringir o acesso a um serviço obrigatório, o Security Health Analytics não poderá produzir descobertas para esse serviço.

  9. No menu de navegação, clique em Salvar.

Para mais informações, consulte Como configurar políticas de entrada e saída.

A seguir