Utilizzo di Security Health Analytics

Questa pagina spiega come gestire i risultati di Security Health Analytics utilizzando Security Command Center.

Security Health Analytics è un servizio integrato in Security Command Center che analizza le risorse nel tuo ambiente cloud e genera risultati per qualsiasi e gli errori di configurazione rilevati.

Per ricevere i risultati di Security Health Analytics, il servizio deve essere attivato nelle impostazioni Servizi di Security Command Center.

Per ricevere risultati per un'altra piattaforma cloud, Security Command Center deve essere connesso all'altra piattaforma cloud.

I risultati dei rilevatori di Security Health Analytics sono disponibili per la ricerca nel nella console Google Cloud, utilizzando l'API Security Command Center e, se usi al livello Enterprise di Security Command Center, Security Operations Console.

Le scansioni iniziano circa un'ora dopo l'attivazione di Security Command Center. Su Google Cloud, puoi usare due modalità: batch, che automaticamente viene eseguita una volta al giorno, e in tempo reale, che esegue scansioni sugli asset modifiche alla configurazione.

I rilevatori di Security Health Analytics che non supportano la modalità di scansione in tempo reale sono elencati nella Panoramica della latenza di Security Command Center.

Security Health Analytics analizza altre piattaforme cloud solo in modalità batch.

Prima di iniziare

Per ottenere le autorizzazioni necessarie per gestire i risultati di Security Health Analytics, chiedi all'amministratore di concederti i seguenti ruoli IAM per la tua organizzazione, la tua cartella o il tuo progetto:

• Attivare e disattivare i rilevatori: Editor delle impostazioni di Centro sicurezza (roles/securitycenter.settingsEditor)
• Visualizza e filtra i risultati: Security Center Findings Viewer (roles/securitycenter.findingsViewer)
• Gestisci le regole di disattivazione: Security Center Mute Configurations Editor (roles/securitycenter.muteConfigsEditor)
• Gestire i contrassegni di sicurezza: Security Center Finding Security Marks Writer (roles/securitycenter.findingSecurityMarksWriter)
• Gestisci i risultati a livello di programmazione: Editor risultati Centro sicurezza (roles/securitycenter.findingsEditor)
• Concedi l'accesso in entrata a un perimetro di servizio Controlli di servizio VPC: Editor Gestore contesto accesso (roles/accesscontextmanager.policyEditor)
• Completa qualsiasi attività in questa pagina: Amministratore delle impostazioni del Centro sicurezza (roles/securitycenter.settingsAdmin)

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Abilita e disabilita i rilevatori

La disattivazione dei rilevatori può influire sullo stato dei risultati attivi. Quando un rilevatore viene disattivata, i risultati esistenti vengono contrassegnati automaticamente come non attivi.

Quando attivi Security Command Center a livello di organizzazione, puoi disattivare Security Health Analytics o rilevatori specifici per cartelle o progetti specifici. Se Security Health Analytics o i rilevatori sono disattivati per cartelle e progetti, eventuali risultati esistenti associati agli asset in le risorse sono contrassegnate come inattive.

I seguenti rilevatori di Security Health Analytics per Google Cloud sono disabilitati per impostazione predefinita:

• ALLOYDB_AUTO_BACKUP_DISABLED
• ALLOYDB_CMEK_DISABLED
• BIGQUERY_TABLE_CMEK_DISABLED
• BUCKET_CMEK_DISABLED
• CLOUD_ASSET_API_DISABLED
• DATAPROC_CMEK_DISABLED
• DATASET_CMEK_DISABLED
• DISK_CMEK_DISABLED
• DISK_CSEK_DISABLED
• NODEPOOL_BOOT_CMEK_DISABLED
• PUBSUB_CMEK_DISABLED
• SQL_CMEK_DISABLED
• SQL_NO_ROOT_PASSWORD
• SQL_WEAK_ROOT_PASSWORD
• VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Per attivare o disattivare un modulo di rilevamento di Security Health Analytics:

gcloud alpha scc settings services modules enable \
    --organization=ORGANIZATION_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

gcloud alpha scc settings services modules enable \
    --project=PROJECT_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

gcloud alpha scc settings services modules disable \
    --organization=ORGANIZATION_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

gcloud alpha scc settings services modules disable \
    --project=PROJECT_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

Applicazione di filtri ai risultati nella console Google Cloud

Una grande organizzazione potrebbe avere molti risultati di vulnerabilità nei da esaminare, classificare e tracciare. Utilizzando i filtri disponibili nelle pagine Vulnerabilità e Risultati di Security Command Center nella console Google Cloud, puoi concentrarti sulla gravità più alta le vulnerabilità all'interno dell'organizzazione ed esaminarle tipo di asset, progetto e altro.

Per ulteriori informazioni sul filtro dei risultati delle vulnerabilità, consulta Filtrare i risultati delle vulnerabilità in Security Command Center.

Gestire i risultati con le richieste

Security Command Center apre automaticamente una richiesta nella console Security Operations per i risultati relativi a vulnerabilità e configurazioni errate con un livello di gravità di HIGH o CRITICAL. Un singolo caso può contenere più risultati correlati.

Utilizza la richiesta, che può essere integrata con il tuo sistema di gestione dei ticket preferito, per gestire l'indagine e la correzione dei risultati assegnando i proprietari, esaminando le informazioni correlate e, con i playbook, automatizzando il flusso di lavoro di risposta.

Se un risultato ha un caso corrispondente, puoi trovare un link al suo caso nella pagina dei dettagli del risultato. Apri la pagina dei dettagli di un rilevamento dalla pagina Rilevamenti nella console Google Cloud. Puoi anche vedrai il numero totale di casi di vulnerabilità aperti sulla pagina Panoramica dei rischi nella console Google Cloud.

Per saperne di più sulle richieste, consulta la panoramica delle richieste.

Disattiva risultati

Per controllare il volume dei risultati nella console Google Cloud, puoi disattivare manualmente o tramite programmazione i singoli risultati oppure creare regole di disattivazione che disattivano automaticamente i risultati in base ai filtri che definisci. Esistono due tipi di regole di disattivazione che puoi utilizzare per controllare il volume delle ricerche:

• Regole di disattivazione statiche che disattivano in modo permanente i risultati futuri.
• Regole di disattivazione dinamica che contengono un'opzione per disattivare temporaneamente l'audio corrente e risultati futuri.

Ti consigliamo di utilizzare le regole di disattivazione audio dinamiche esclusivamente per ridurre il numero di risultati da esaminare manualmente. Per evitare confusione, ti consigliamo di non utilizzare entrambi regole di disattivazione statiche e dinamiche contemporaneamente. Per un confronto tra i due tipi di regole, vedi Tipi di regole di disattivazione.

I risultati che disattivi nella console Google Cloud vengono nascosti e ignorati, ma continuano a essere registrati a fini di audit e conformità. Puoi visualizzare i risultati disattivati o riattivarli in qualsiasi momento. A per saperne di più, consulta Disattivazione dei risultati in Security Command Center.

Contrassegnare asset e risultati con contrassegni di sicurezza

Puoi aggiungere proprietà personalizzate a risultati e asset in Security Command Center utilizzando i contrassegni di sicurezza. I segni di sicurezza ti consentono di identificare aree di interesse di alta priorità come i progetti di produzione, taggare i risultati con numeri di monitoraggio di bug e incidenti e altro ancora.

Per le risorse, puoi aggiungere indicatori di sicurezza solo a quelle supportate da Security Command Center. Per l'elenco degli asset supportati, consulta Tipi di asset supportati in Security Command Center.

Aggiungi asset alle liste consentite

Sebbene non sia un metodo consigliato, puoi eliminare i risultati non necessari aggiungendo indicatori di sicurezza dedicati agli asset in modo che i rilevatori di Security Health Analytics non creino risultati relativi alla sicurezza per questi asset.

L'approccio consigliato e più efficace per controllare il volume dei risultati è Disattivare l'audio dei risultati. Disattiva i risultati che non devi esaminare perché si riferiscono ad asset isolati o perché rientrano nei parametri aziendali accettabili.

Quando applichi indicatori di sicurezza dedicati agli asset, questi vengono aggiunti a una lista consentita in Security Health Analytics, che contrassegna eventuali risultati relativi a questi asset come risolti durante la scansione batch successiva.

I contrassegni di sicurezza dedicati devono essere applicati direttamente alle risorse, non ai risultati, descritto in Come funzionano le liste consentite più avanti in questa pagina. Se applichi un segno a un risultato, la risorsa sottostante può comunque generare risultati.

Come funzionano le liste consentite

Ogni rilevatore di Security Health Analytics ha un tipo di indicatore dedicato per le liste consentite, sotto forma di allow_FINDING_TYPE:true. Aggiunta di questo elemento contrassegno dedicato a un asset supportato da Security Command Center consente di escludere l'asset dalle norme di rilevamento.

Ad esempio, per escludere il tipo di risultato SSL_NOT_ENFORCED, imposta la sicurezza allow_ssl_not_enforced:true, sull'istanza Cloud SQL correlata. Il rilevatore specificato non creerà risultati per le risorse contrassegnate.

Per un elenco completo dei tipi di risultati, consulta Elenco dei rilevatori di Security Health Analytics. Per scoprire di più sui segni di sicurezza e sulle tecniche per utilizzarli, consulta Utilizzare i segni di sicurezza.

Tipi di asset

Questa sezione descrive il funzionamento dei segni di sicurezza per asset diversi.

• Asset nella lista consentita: quando aggiungi un indicatore dedicato a una risorsa, ad esempio un bucket Cloud Storage o una firewall, il rilevamento associato viene contrassegnato come risolto al termine della scansione batch successiva. Il rilevatore non genererà nuovi o aggiornare quelli esistenti per l'asset finché il contrassegno non viene rimosso.

• Inserisci i progetti nella lista consentita: quando aggiungi un contrassegno a una risorsa di progetto, i risultati per cui il progetto stesso è la risorsa analizzata (o di destinazione). Tuttavia, gli asset contenuti nel progetto, ad esempio macchine virtuali di crittografia, possono comunque generare risultati. Questo contrassegno di sicurezza è disponibile solo se si attiva il livello Premium di Security Command Center a livello di organizzazione.

• Cartelle nella lista consentita: quando aggiungi un segno a una risorsa cartella, i risultati per i quali la cartella stessa è la risorsa sottoposta a scansione o di destinazione vengono risolti. Tuttavia, gli asset contenuti nella cartella, inclusi i progetti, possono per generare risultati. Questo contrassegno di sicurezza è disponibile solo se si attiva il livello Premium di Security Command Center a livello di organizzazione.

• Rilevatori che supportano più asset: se un rilevatore supporta più di un tipo di asset, devi applicare il marchio dedicato a ogni asset. Ad esempio: il rilevatore KMS_PUBLIC_KEY supporta CryptoKey e KeyRing Cloud Key Management Service asset. Se applichi il contrassegno allow_kms_public_key:true alla CryptoKey asset, verranno risolti KMS_PUBLIC_KEY risultati per quell'asset. Tuttavia, È comunque possibile generare risultati per l'asset KeyRing.

I contrassegni di sicurezza vengono aggiornati solo durante le scansioni collettive, non durante quelle in tempo reale. Se viene rimosso un contrassegno di sicurezza dedicato e la risorsa presenta una vulnerabilità, potrebbero essere necessarie fino a 24 ore prima che il contrassegno venga eliminato e venga redatto un rilevamento.

Rilevatore per casi speciali: chiavi di crittografia fornite dal cliente

La DISK_CSEK_DISABLED non è attivo per impostazione predefinita. Per utilizzare questo rilevatore, devi contrassegnare gli asset per i quali vuoi utilizzare le chiavi di crittografia autogestite.

Per attivare il rilevatore DISK_CSEK_DISABLED per asset specifici: applicare il contrassegno di sicurezza enforce_customer_supplied_disk_encryption_keys alla risorsa con valore pari a true.

Visualizzazione del numero di risultati attivi per tipo di risultato

Puoi utilizzare la console Google Cloud o i comandi di Google Cloud CLI per visualizza il numero di risultati attivi per tipo di risultato.

description: Scans for deviations from a GCP security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

groupByResults:
- count: '1'
properties:
  category: MFA_NOT_ENFORCED
- count: '3'
properties:
  category: ADMIN_SERVICE_ACCOUNT
- count: '2'
properties:
  category: API_KEY_APIS_UNRESTRICTED
- count: '1'
properties:
  category: API_KEY_APPS_UNRESTRICTED
- count: '2'
properties:
  category: API_KEY_EXISTS
- count: '10'
properties:
  category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
properties:
  category: AUDIT_LOGGING_DISABLED
- count: '1'
properties:
  category: AUTO_UPGRADE_DISABLED
- count: '10'
properties:
  category: BUCKET_IAM_NOT_MONITORED
- count: '10'
properties:
  category: BUCKET_LOGGING_DISABLED
nextPageToken: TOKEN
readTime: '2023-08-05T21:56:13.862Z'
totalSize: 50

Gestire i risultati in modo programmatico

L'utilizzo dell'interfaccia a riga di comando Google Cloud con l'SDK Security Command Center ti consente di automatizzare quasi tutto ciò che puoi fare con Security Command Center nella console Google Cloud. Puoi anche correggere molti risultati utilizzando gcloud CLI. Per ulteriori informazioni, consulta la documentazione relativa ai tipi di risorse descritti in ogni risultato:

• Elenco dei risultati sulla sicurezza
• Creare, modificare e eseguire query sui segni di sicurezza
• Creare e aggiornare i risultati sulla sicurezza
• Creare, aggiornare e elencare le origini dei risultati
• Configurare le impostazioni dell'organizzazione

Per esportare o elencare gli asset in modo programmatico, utilizza Cloud Asset Inventory tramite Google Cloud CLI o tramite l'API Compute Engine. Per ulteriori informazioni, consulta Esportare la cronologia e i metadati delle risorse.

I metodi degli asset e i campi dell'API Security Command Center sono deprecati e verrà rimossa il 26 giugno 2024 o in una data successiva.

Finché non verranno rimossi, gli utenti che hanno attivato Security Command Center in precedenza Il 26 giugno 2023 è possibile utilizzare i metodi degli asset dell'API Security Command Center per elencare gli asset, ma questi metodi supportano solo quelli che supporti di Security Command Center.

Per informazioni sull'utilizzo dei metodi dell'API asset non più supportati, consulta Asset elenco.

Scansione dei progetti protetti da un perimetro di servizio

Questa funzionalità è disponibile solo se si attiva il livello Premium di Security Command Center a livello di organizzazione.

Se hai un perimetro di servizio che blocca l'accesso a determinati progetti e servizi, devi concedere all'account di servizio Security Command Center l'accesso in entrata a quel perimetro di servizio. In caso contrario, Security Health Analytics non può produrre risultati relativi ai progetti e ai servizi protetti.

L'identificatore dell'account di servizio è un indirizzo email nel seguente formato:

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

Sostituisci ORGANIZATION_ID con il numero identificatore della tua organizzazione.

Per concedere a un account di servizio l'accesso in entrata a un perimetro di servizio: questi passaggi.

1. Vai a Controlli di servizio VPC.

   Vai a Controlli di servizio VPC

2. Nella barra degli strumenti, seleziona la tua organizzazione Google Cloud.

   

3. Nell'elenco a discesa, seleziona il criterio di accesso che contiene il servizio a cui vuoi concedere l'accesso.

   

   Nell'elenco vengono visualizzati i perimetri di servizio associati al criterio di accesso.

4. Fai clic sul nome del perimetro di servizio.

5. Fai clic su edit Modifica perimetro.

6. Nel menu di navigazione, fai clic su Criterio in entrata.

7. Fai clic su Aggiungi regola.

8. Configura la regola nel seguente modo:

   Attributi FROM del client API

   1. In Origine, seleziona Tutte le fonti.
   2. In Identità, seleziona Identità selezionate.
   3. Nel campo Aggiungi account utente/di servizio, fai clic su Seleziona.
   4. Inserisci l'indirizzo email dell'account di servizio. Se hai account di servizio sia a livello di organizzazione sia a livello di progetto, aggiungili entrambi.
   5. Fai clic su Salva.

   Attributi TO di servizi/risorse Google Cloud

   1. In Progetto, seleziona Tutti i progetti.

   2. In Servizi, seleziona Tutti i servizi o seleziona ciascuno dei seguenti singoli servizi richiesti da Security Health Analytics:

      • API BigQuery
      • API Binary Authorization
      • API Cloud Logging
      • API Cloud Monitoring
      • API Compute Engine
      • API Kubernetes Engine

   Se un perimetro di servizio limita l'accesso a un servizio richiesto, Security Health Analytics non può produrre risultati per il servizio.

9. Nel menu di navigazione, fai clic su Salva.

Per ulteriori informazioni, consulta la pagina Configurare i criteri di ingresso e di uscita.

Passaggi successivi

• Informazioni su Rilevatori e risultati di Security Health Analytics.
• Leggi i consigli per la correzione dei risultati di Security Health Analytics.
• Scopri come utilizzare i segni di sicurezza di Security Command Center.
• Scopri di più sulle richieste.
• Scopri di più su usando Security Command Center nella console Google Cloud per esaminare gli asset e i risultati.