Questa pagina spiega come gestire i risultati di Security Health Analytics utilizzando Security Command Center.
Security Health Analytics è un servizio integrato in Security Command Center che analizza le risorse nel tuo ambiente cloud e genera risultati per qualsiasi e gli errori di configurazione rilevati.
Per ricevere i risultati di Security Health Analytics, il servizio deve essere abilitato nei servizi di Security Command Center impostazioni.
Per ricevere risultati per un'altra piattaforma cloud, Security Command Center deve connettersi all'altra piattaforma cloud.
I risultati dei rilevatori di Security Health Analytics sono disponibili per la ricerca nel
nella console Google Cloud, utilizzando l'API Security Command Center e, se usi
al livello Enterprise di Security Command Center,
Security Operations Console. Per i risultati con un livello di gravità
di HIGH
o CRITICAL
, Security Command Center apre
nella Security Operations Console.
Le analisi vengono avviate circa un'ora dopo l'abilitazione di Security Command Center. Su Google Cloud, puoi usare due modalità: batch, che automaticamente viene eseguita una volta al giorno, e in tempo reale, che esegue scansioni sugli asset modifiche alla configurazione.
Rilevatori di Security Health Analytics che non supportano la modalità di scansione in tempo reale sono elencate in Panoramica della latenza di Security Command Center.
Security Health Analytics analizza altre piattaforme cloud solo in modalità batch.
I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, a livello di cartella o di progetto. La tua possibilità di visualizzare, modificare, creare o aggiornare risultati, asset e le origini di sicurezza dipendono dal livello a cui ti viene concesso l'accesso. Per apprendere Per saperne di più sui ruoli di Security Command Center, consulta Controllo dell'accesso.
Abilita e disabilita i rilevatori
La disabilitazione dei rilevatori può influire sullo stato dei risultati attivi. Quando un rilevatore viene disattivata, i risultati esistenti vengono contrassegnati automaticamente come non attivi.
Quando attivi Security Command Center a livello di organizzazione, può disabilitare Security Health Analytics o rilevatori specifici per cartelle o progetti. Se Security Health Analytics o i rilevatori sono disattivati per cartelle e progetti, eventuali risultati esistenti associati agli asset in le risorse sono contrassegnate come inattive.
I seguenti rilevatori di Security Health Analytics per Google Cloud sono disattivata per impostazione predefinita:
ALLOYDB_AUTO_BACKUP_DISABLED
ALLOYDB_CMEK_DISABLED
BIGQUERY_TABLE_CMEK_DISABLED
BUCKET_CMEK_DISABLED
CLOUD_ASSET_API_DISABLED
DATAPROC_CMEK_DISABLED
DATASET_CMEK_DISABLED
DISK_CMEK_DISABLED
DISK_CSEK_DISABLED
NODEPOOL_BOOT_CMEK_DISABLED
PUBSUB_CMEK_DISABLED
SQL_CMEK_DISABLED
SQL_NO_ROOT_PASSWORD
SQL_WEAK_ROOT_PASSWORD
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED
Per abilitare o disabilitare un modulo di rilevamento di Security Health Analytics, fai clic sull'icona tab per il metodo che preferisci.
Console Google Cloud
Puoi abilitare o disabilitare i rilevatori nella scheda Moduli di Pagina Security Health Analytics nelle Impostazioni di Security Command Center nella console Google Cloud. I rilevatori possono essere attivati o disattivati a livello di organizzazione o di progetto.
gcloud
Per attivare un rilevatore, chiamato anche modulo, esegui i moduli abilita gcloud comando alpha in Google Cloud CLI a livello di organizzazione o di progetto.
Se hai attivato Security Command Center a livello di organizzazione, esegui questo comando:
gcloud alpha scc settings services modules enable \
--organization=ORGANIZATION_ID \
--service=SECURITY_HEALTH_ANALYTICS \
--module=DETECTOR_NAME
Sostituisci quanto segue:
- ORGANIZATION_ID: l'ID della tua organizzazione
- DETECTOR_NAME: il nome del rilevatore che vuoi attivare
Se hai attivato Security Command Center a livello di progetto, esegui questo comando:
gcloud alpha scc settings services modules enable \
--project=PROJECT_ID \
--service=SECURITY_HEALTH_ANALYTICS \
--module=DETECTOR_NAME
Sostituisci quanto segue:
- PROJECT_ID: il tuo ID progetto
- DETECTOR_NAME: il nome del rilevatore che vuoi attivare
Per disabilitare un rilevatore, esegui i moduli disattiva a livello di organizzazione o di progetto.
Se hai attivato Security Command Center a livello di organizzazione, esegui questo comando:
gcloud alpha scc settings services modules disable \
--organization=ORGANIZATION_ID \
--service=SECURITY_HEALTH_ANALYTICS \
--module=DETECTOR_NAME
Sostituisci quanto segue:
- ORGANIZATION_ID: l'ID della tua organizzazione
- DETECTOR_NAME: il nome del rilevatore che vuoi disattivare
Se hai attivato Security Command Center a livello di progetto, esegui questo comando:
gcloud alpha scc settings services modules disable \
--project=PROJECT_ID \
--service=SECURITY_HEALTH_ANALYTICS \
--module=DETECTOR_NAME
Sostituisci quanto segue:
- PROJECT_ID: il tuo ID progetto
- DETECTOR_NAME: il nome del rilevatore che vuoi disattivare
Applicazione di filtri ai risultati nella console Google Cloud
Una grande organizzazione potrebbe avere molti risultati di vulnerabilità nei da esaminare, classificare e tracciare. Utilizzando i filtri disponibili nelle pagine Vulnerabilità e Risultati di Security Command Center nella console Google Cloud, puoi concentrarti sulla gravità più alta le vulnerabilità all'interno dell'organizzazione ed esaminarle tipo di asset, progetto e altro.
Per ulteriori informazioni su come filtrare i risultati delle vulnerabilità, consulta Filtra i risultati relativi alle vulnerabilità in Security Command Center.
Gestisci i risultati con casi
Security Command Center apre automaticamente una richiesta nella Security Operations Console
per i risultati relativi a vulnerabilità ed errori di configurazione con un livello di gravità
di HIGH
o CRITICAL
. Un singolo caso può contenere più risultati correlati.
Usa la custodia, che può essere integrata il tuo sistema di gestione delle richieste di assistenza preferito, per gestire le indagini e i rimedi dei risultati, assegnando proprietari, esaminando le informazioni correlate e, automatizzando il flusso di lavoro di risposta.
Se un risultato ha un caso corrispondente, puoi trovare un link al suo caso nella pagina dei dettagli del risultato. Apri la pagina dei dettagli di un risultato dalla Pagina Risultati della console Google Cloud. Puoi anche vedrai il numero totale di casi di vulnerabilità aperti sulla pagina Panoramica dei rischi nella console Google Cloud.
Per ulteriori informazioni sulle richieste, consulta la panoramica delle richieste.
Disattiva risultati
Per controllare il volume dei risultati nella console Google Cloud, manualmente disattivare in modo programmatico singoli risultati o creare regole di disattivazione disattivare automaticamente i risultati attuali e futuri in base ai filtri che definisci.
I risultati disattivati nella console Google Cloud sono nascosti e silenziati, ma continuano a essere registrati per i controlli e ai fini della conformità. Puoi visualizzare i risultati disattivati o riattivarli in qualsiasi momento. A Per saperne di più, vedi Disattivazione dei risultati in Security Command Center.
Contrassegno di asset e risultati con contrassegni di sicurezza
Puoi aggiungere proprietà personalizzate a risultati e asset in Security Command Center mediante contrassegni di sicurezza. I contrassegni di sicurezza ti consentono di identificare aree di interesse come progetti di produzione, tagga i risultati con bug e incidente numeri di tracciamento e altro.
Per gli asset, puoi aggiungere contrassegni di sicurezza solo a quelli che Security Command Center supporta. Per l'elenco degli asset supportati, consulta Tipi di asset supportati in Security Command Center.
Aggiungi asset alle liste consentite
Sebbene non sia un metodo consigliato, puoi eliminare risultati non necessari aggiungendo contrassegni di sicurezza dedicati agli asset i rilevatori di Security Health Analytics non creano risultati sulla sicurezza per questi asset.
L'approccio consigliato e più efficace per controllare il volume dei risultati è Disattiva risultati. Disattiva i risultati che non ti servono da esaminare, perché riguardano asset isolati oppure i risultati rientrano in parametri aziendali accettabili.
Quando applichi contrassegni di sicurezza dedicati agli asset, questi vengono aggiunto a una lista consentita in Security Health Analytics, che contrassegna eventuali risultati per come vengono risolti durante la successiva scansione batch.
I contrassegni di sicurezza dedicati devono essere applicati direttamente alle risorse, non ai risultati, descritto in Come funzionano le liste consentite più avanti in questa pagina. Se applichi un segno a un risultato, la risorsa sottostante può comunque generare risultati.
Come funzionano le liste consentite
Ogni rilevatore di Security Health Analytics ha un tipo di contrassegno dedicato per le liste consentite, in
sotto forma di allow_FINDING_TYPE:true
. Aggiunta di questo elemento
contrassegno dedicato a un asset supportato da Security Command Center
consente di escludere l'asset dalle norme di rilevamento.
Ad esempio, per escludere il tipo di risultato SSL_NOT_ENFORCED
, imposta la sicurezza
allow_ssl_not_enforced:true
, sull'istanza Cloud SQL correlata.
Il rilevatore specificato non creerà risultati per gli asset contrassegnati.
Per un elenco completo dei tipi di risultati, consulta Elenco dei rilevatori di Security Health Analytics. Per saperne di più su tecniche e marchi di sicurezza per per il loro utilizzo, vedi Utilizzo dei contrassegni di sicurezza.
Tipi di asset
Questa sezione descrive il funzionamento dei contrassegni di sicurezza per i diversi asset.
Asset nella lista consentita:quando aggiungi un contrassegno dedicato a un asset, ad esempio un Bucket o firewall Cloud Storage, il risultato associato è contrassegnato come risolti all'esecuzione della successiva scansione batch. Il rilevatore non genererà nuovi o aggiornare quelli esistenti per l'asset finché il contrassegno non viene rimosso.
Inserisci i progetti nella lista consentita: quando aggiungi un contrassegno a una risorsa di progetto, i risultati per cui il progetto stesso è la risorsa analizzata (o di destinazione). Tuttavia, gli asset contenuti nel progetto, ad esempio macchine virtuali di crittografia, possono comunque generare risultati. Questo contrassegno di sicurezza è disponibile solo se si attiva il livello Premium di Security Command Center a livello di organizzazione.
Cartelle consentite: quando aggiungi un contrassegno a una risorsa cartella, i risultati per cui la cartella stessa è la risorsa analizzata (o di destinazione). Tuttavia, gli asset contenuti nella cartella, inclusi i progetti, possono per generare risultati. Questo contrassegno di sicurezza è disponibile solo se si attiva il livello Premium di Security Command Center a livello di organizzazione.
Rilevatori che supportano più asset: se un rilevatore supporta più di devi applicare un contrassegno dedicato a ciascuna risorsa. Ad esempio, il rilevatore
KMS_PUBLIC_KEY
supporta due asset Cloud Key Management Service: CryptoKey e KeyRing. Se applichi il contrassegnoallow_kms_public_key:true
ai Asset CryptoKey.KMS_PUBLIC_KEY
risultati per l'asset sono stati risolti, ma possono verrà comunque generato per l'asset KeyRing.
I contrassegni di sicurezza vengono aggiornati solo durante le analisi batch, non in tempo reale. Quindi, se viene rimosso un contrassegno di sicurezza dedicato e l'asset presenta una vulnerabilità, Potrebbero essere necessarie fino a 24 ore prima che il contrassegno venga eliminato e venga scritto un risultato.
Rilevatore per casi speciali: chiavi di crittografia fornite dal cliente
Il comando DISK_CSEK_DISABLED non è attivo per impostazione predefinita. Per utilizzare questo rilevatore, devi contrassegnare la per i quali vuoi utilizzare chiavi di crittografia autogestite.
Per attivare il rilevatore DISK_CSEK_DISABLED per risorse specifiche, applica il
contrassegno di sicurezza
enforce_customer_supplied_disk_encryption_keys
alla risorsa con valore pari a
true
.
Visualizzazione del numero di risultati attivi per tipo di risultato
Puoi utilizzare la console Google Cloud o i comandi di Google Cloud CLI per visualizza il numero di risultati attivi per tipo di risultato.
Console Google Cloud
La console Google Cloud ti consente di visualizzare il conteggio per ogni tipo di risultato.
Per visualizzare i risultati di Security Health Analytics per tipo di risultato:
Vai a Security Command Center nella console Google Cloud.
Per visualizzare i risultati di Security Health Analytics, fai clic sulla pagina Vulnerabilità.
Per ordinare i risultati in base al numero di risultati attivi per ogni tipo di risultato, Fai clic sull'intestazione di colonna Attivo.
Comandi gcloud CLI
Per utilizzare gcloud CLI al fine di ottenere un conteggio di tutti i risultati attivi, esegui una query su Security Command Center per ottenere l'ID origine di Security Health Analytics. Poi usa l'ID origine per eseguire query sul conteggio dei risultati attivi.
Passaggio 1: recupera l'ID origine
Per completare questo passaggio, devi avere l'ID organizzazione. Per ricevere
organizzazione ID, esegui gcloud organizations list
e prendi nota del numero accanto
il nome dell'organizzazione.
Per ottenere l'ID origine di Security Health Analytics, esegui uno dei comandi seguenti, a seconda che tu abbia attivato Security Command Center a livello di organizzazione o di progetto:
gcloud scc sources describe organizations/ORGANIZATION_ID \
--source-display-name='Security Health Analytics'
gcloud scc sources describe projects/PROJECT_ID \
--source-display-name='Security Health Analytics'
Se non hai già abilitato l'API Security Command Center, ti viene richiesto di abilitarlo. Quando l'API Security Command Center è abilitata, esegui il comando precedente di nuovo. Il comando dovrebbe visualizzare un output simile al seguente:
description: Scans for deviations from a GCP security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID
Prendi nota di SOURCE_ID da utilizzare nel passaggio successivo.
Passaggio 2: recupera il numero dei risultati attivi
Utilizza il SOURCE_ID che hai annotato nel passaggio precedente per filtrare i risultati da Security Health Analytics. I seguenti comandi della gcloud CLI restituiscono un dei risultati per categoria.
Se hai attivato Security Command Center a livello di organizzazione, esegui questo comando:
gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
--group-by=category --page-size=PAGE_SIZE
Se hai attivato Security Command Center a livello di progetto, esegui questo comando:
gcloud scc findings group projects/PROJECT_ID/sources/SOURCE_ID \
--group-by=category --page-size=PAGE_SIZE
Puoi impostare le dimensioni della pagina su qualsiasi valore fino a 1000. Il comando dovrebbe visualizzare simile al seguente, con i risultati della tua particolare organizzazione:
groupByResults:
- count: '1'
properties:
category: MFA_NOT_ENFORCED
- count: '3'
properties:
category: ADMIN_SERVICE_ACCOUNT
- count: '2'
properties:
category: API_KEY_APIS_UNRESTRICTED
- count: '1'
properties:
category: API_KEY_APPS_UNRESTRICTED
- count: '2'
properties:
category: API_KEY_EXISTS
- count: '10'
properties:
category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
properties:
category: AUDIT_LOGGING_DISABLED
- count: '1'
properties:
category: AUTO_UPGRADE_DISABLED
- count: '10'
properties:
category: BUCKET_IAM_NOT_MONITORED
- count: '10'
properties:
category: BUCKET_LOGGING_DISABLED
nextPageToken: TOKEN
readTime: '2019-08-05T21:56:13.862Z'
totalSize: 50
Gestisci i risultati a livello di programmazione
L'utilizzo di Google Cloud CLI con l'SDK Security Command Center ti consente di: automatizzare quasi tutto ciò che puoi fare con Security Command Center nella console Google Cloud. Puoi anche correggere molti risultati utilizzando gcloud CLI. Per maggiori informazioni informazioni, consulta la documentazione per i tipi di risorse descritti in ogni risultato:
- Elenco dei risultati sulla sicurezza
- Creare, modificare e interrogare i contrassegni di sicurezza
- Creazione e aggiornamento dei risultati sulla sicurezza
- Creare, aggiornare ed elencare le origini dei risultati
- Configurare le impostazioni dell'organizzazione
Per esportare o elencare gli asset in modo programmatico, utilizza Cloud Asset Inventory tramite Google Cloud CLI o tramite l'API Compute Engine. Per maggiori informazioni, consulta l'articolo Esportare la cronologia e i metadati delle risorse.
I metodi degli asset e i campi dell'API Security Command Center sono deprecati e verrà rimossa a partire dal 26 giugno 2024.
Finché non verranno rimossi, gli utenti che hanno attivato Security Command Center in precedenza Il 26 giugno 2023 è possibile utilizzare i metodi degli asset dell'API Security Command Center per elencare gli asset, ma questi metodi supportano solo quelli che supporti di Security Command Center.
Per informazioni sull'utilizzo dei metodi ritirati dell'API degli asset, consulta asset delle schede.
Scansione dei progetti protetti da un perimetro di servizio
Questa funzionalità è disponibile solo se si attiva il livello Premium di Security Command Center a livello di organizzazione.
Se hai un perimetro di servizio blocca l'accesso a determinati progetti e servizi, devi concedi all'account di servizio di Security Command Center l'accesso in entrata a quel servizio perimetrale. In caso contrario, Security Health Analytics non può produrre risultati relativi di progetti e servizi protetti.
L'identificatore dell'account di servizio è un indirizzo email nel seguente formato:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Sostituisci ORGANIZATION_ID
con il numero
identificatore della tua organizzazione.
Per concedere a un account di servizio l'accesso in entrata a un perimetro di servizio: questi passaggi.
Vai a Controlli di servizio VPC.
Nella barra degli strumenti, seleziona la tua organizzazione Google Cloud.
Nell'elenco a discesa, seleziona il criterio di accesso che contiene il servizio a cui vuoi concedere l'accesso.
I perimetri di servizio associati al criterio di accesso sono visualizzati nella dall'elenco di lettura.
Fai clic sul nome del perimetro di servizio.
Fai clic su
Modifica perimetroNel menu di navigazione, fai clic su Criterio in entrata.
Fai clic su Aggiungi regola.
Configura la regola come segue:
Attributi FROM del client API
- In Origine, seleziona Tutte le fonti.
- In Identità, seleziona Identità selezionate.
- Nel campo Add User/Service Account (Aggiungi account utente/servizio), fai clic su Select (Seleziona).
- Inserisci l'indirizzo email dell'account di servizio. Se hai entrambi a livello di organizzazione e di progetto, aggiungili entrambi.
- Fai clic su Salva.
Attributi TO di servizi/risorse Google Cloud
-
In Progetto, seleziona Tutti i progetti.
In Servizi, seleziona Tutti i servizi oppure seleziona una delle seguenti opzioni singoli servizi richiesti da Security Health Analytics:
- API BigQuery
- API Binary Authorization
- API Cloud Logging
- API Cloud Monitoring
- API Compute Engine
- API Kubernetes Engine
Se un perimetro di servizio limita l'accesso a un servizio richiesto, Security Health Analytics non può produrre risultati per il servizio.
Nel menu di navigazione, fai clic su Salva.
Per ulteriori informazioni, consulta Configurazione dei criteri di traffico in entrata e in uscita.
Passaggi successivi
- Scopri di più sui rilevatori e i risultati di Security Health Analytics.
- Leggi i consigli per correggere i risultati di Security Health Analytics.
- Scopri come utilizza i contrassegni di sicurezza di Security Command Center.
- Scopri di più sulle richieste.
- Scopri di più sull'utilizzo di Security Command Center nella console Google Cloud per esaminare gli asset e i risultati.