Utilizzo di Security Health Analytics

Questa pagina spiega come gestire i risultati di Security Health Analytics utilizzando Security Command Center.

Security Health Analytics è un servizio integrato in Security Command Center che analizza le risorse nel tuo ambiente cloud e genera risultati per qualsiasi e gli errori di configurazione rilevati.

Per ricevere i risultati di Security Health Analytics, il servizio deve essere abilitato nei servizi di Security Command Center impostazioni.

Per ricevere risultati per un'altra piattaforma cloud, Security Command Center deve connettersi all'altra piattaforma cloud.

I risultati dei rilevatori di Security Health Analytics sono disponibili per la ricerca nel nella console Google Cloud, utilizzando l'API Security Command Center e, se usi al livello Enterprise di Security Command Center, Security Operations Console. Per i risultati con un livello di gravità di HIGH o CRITICAL, Security Command Center apre nella Security Operations Console.

Le analisi vengono avviate circa un'ora dopo l'abilitazione di Security Command Center. Su Google Cloud, puoi usare due modalità: batch, che automaticamente viene eseguita una volta al giorno, e in tempo reale, che esegue scansioni sugli asset modifiche alla configurazione.

Rilevatori di Security Health Analytics che non supportano la modalità di scansione in tempo reale sono elencate in Panoramica della latenza di Security Command Center.

Security Health Analytics analizza altre piattaforme cloud solo in modalità batch.

I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, a livello di cartella o di progetto. Puoi visualizzare, modificare, creare o aggiornare risultati, asset e le origini di sicurezza dipendono dal livello a cui ti viene concesso l'accesso. Per ulteriori informazioni Per saperne di più sui ruoli di Security Command Center, consulta Controllo dell'accesso.

Abilita e disabilita i rilevatori

La disabilitazione dei rilevatori può influire sullo stato dei risultati attivi. Quando un rilevatore viene disattivata, i risultati esistenti vengono contrassegnati automaticamente come non attivi.

Quando attivi Security Command Center a livello di organizzazione, può disabilitare Security Health Analytics o rilevatori specifici per cartelle o progetti. Se Security Health Analytics o i rilevatori sono disattivati per cartelle e progetti, eventuali risultati esistenti associati agli asset in le risorse sono contrassegnate come inattive.

Per ulteriori informazioni sullo stato di attivazione

I seguenti rilevatori di Security Health Analytics per Google Cloud sono disattivata per impostazione predefinita:

  • ALLOYDB_AUTO_BACKUP_DISABLED
  • ALLOYDB_CMEK_DISABLED
  • BIGQUERY_TABLE_CMEK_DISABLED
  • BUCKET_CMEK_DISABLED
  • CLOUD_ASSET_API_DISABLED
  • DATAPROC_CMEK_DISABLED
  • DATASET_CMEK_DISABLED
  • DISK_CMEK_DISABLED
  • DISK_CSEK_DISABLED
  • NODEPOOL_BOOT_CMEK_DISABLED
  • PUBSUB_CMEK_DISABLED
  • SQL_CMEK_DISABLED
  • SQL_NO_ROOT_PASSWORD
  • SQL_WEAK_ROOT_PASSWORD
  • VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Per abilitare o disabilitare un modulo di rilevamento di Security Health Analytics, fai clic sull'icona tab per il metodo che preferisci.

Console Google Cloud

Puoi abilitare o disabilitare i rilevatori nella scheda Moduli di Pagina Security Health Analytics nelle Impostazioni di Security Command Center nella console Google Cloud. I rilevatori possono essere attivati o disattivati a livello di organizzazione o di progetto.

gcloud

Per attivare un rilevatore, chiamato anche modulo, esegui i moduli abilita gcloud comando alpha in Google Cloud CLI a livello di organizzazione o di progetto.

Se hai attivato Security Command Center a livello di organizzazione, esegui questo comando:

gcloud alpha scc settings services modules enable \
  --organization=ORGANIZATION_ID \
  --service=SECURITY_HEALTH_ANALYTICS \
  --module=DETECTOR_NAME

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID della tua organizzazione
  • DETECTOR_NAME: il nome del rilevatore che vuoi attivare

Se hai attivato Security Command Center a livello di progetto, esegui questo comando:

gcloud alpha scc settings services modules enable \
  --project=PROJECT_ID \
  --service=SECURITY_HEALTH_ANALYTICS \
  --module=DETECTOR_NAME

Sostituisci quanto segue:

  • PROJECT_ID: il tuo ID progetto
  • DETECTOR_NAME: il nome del rilevatore che vuoi attivare

Per disabilitare un rilevatore, esegui i moduli disattiva a livello di organizzazione o di progetto.

Se hai attivato Security Command Center a livello di organizzazione, esegui questo comando:

gcloud alpha scc settings services modules disable \
  --organization=ORGANIZATION_ID \
  --service=SECURITY_HEALTH_ANALYTICS \
  --module=DETECTOR_NAME

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID della tua organizzazione
  • DETECTOR_NAME: il nome del rilevatore che vuoi disattivare

Se hai attivato Security Command Center a livello di progetto, esegui questo comando:

gcloud alpha scc settings services modules disable \
  --project=PROJECT_ID \
  --service=SECURITY_HEALTH_ANALYTICS \
  --module=DETECTOR_NAME

Sostituisci quanto segue:

  • PROJECT_ID: il tuo ID progetto
  • DETECTOR_NAME: il nome del rilevatore che vuoi disattivare

Applicazione di filtri ai risultati nella console Google Cloud

Una grande organizzazione potrebbe avere molti risultati di vulnerabilità nei da esaminare, classificare e tracciare. Utilizzando i filtri disponibili nelle pagine Vulnerabilità e Risultati di Security Command Center nella console Google Cloud, puoi concentrarti sulla gravità più alta le vulnerabilità all'interno dell'organizzazione ed esaminarle tipo di asset, progetto e altro.

Per ulteriori informazioni su come filtrare i risultati delle vulnerabilità, consulta Filtra i risultati relativi alle vulnerabilità in Security Command Center.

Gestisci i risultati con casi

Security Command Center apre automaticamente una richiesta nella Security Operations Console per i risultati relativi a vulnerabilità ed errori di configurazione con un livello di gravità di HIGH o CRITICAL. Un singolo caso può contenere più risultati correlati.

Usa la custodia, che può essere integrata il tuo sistema di gestione delle richieste di assistenza preferito, per gestire le indagini e i rimedi dei risultati, assegnando proprietari, esaminando le informazioni correlate e, automatizzando il flusso di lavoro di risposta.

Se un risultato ha un caso corrispondente, puoi trovare un link al suo caso nella pagina dei dettagli del risultato. Apri la pagina dei dettagli di un risultato dalla Pagina Risultati della console Google Cloud. Puoi anche vedrai il numero totale di casi di vulnerabilità aperti sulla pagina Panoramica dei rischi nella console Google Cloud.

Per ulteriori informazioni sulle richieste, consulta la panoramica delle richieste.

Disattiva risultati

Per controllare il volume dei risultati nella console Google Cloud, manualmente disattivare in modo programmatico singoli risultati o creare regole di disattivazione disattivare automaticamente i risultati attuali e futuri in base ai filtri che definisci.

I risultati disattivati nella console Google Cloud sono nascosti e silenziati, ma continuano a essere registrati per i controlli e ai fini della conformità. Puoi visualizzare i risultati disattivati o riattivarli in qualsiasi momento. A Per saperne di più, vedi Disattivazione dei risultati in Security Command Center.

Contrassegno di asset e risultati con contrassegni di sicurezza

Puoi aggiungere proprietà personalizzate a risultati e asset in Security Command Center mediante contrassegni di sicurezza. I contrassegni di sicurezza ti consentono di identificare aree di interesse come progetti di produzione, tagga i risultati con bug e incidente numeri di tracciamento e altro.

Per gli asset, puoi aggiungere contrassegni di sicurezza solo a quelli che Security Command Center supporta. Per l'elenco degli asset supportati, consulta Tipi di asset supportati in Security Command Center.

Aggiungi asset alle liste consentite

Sebbene non sia un metodo consigliato, puoi eliminare risultati non necessari aggiungendo contrassegni di sicurezza dedicati agli asset i rilevatori di Security Health Analytics non creano risultati sulla sicurezza per questi asset.

L'approccio consigliato e più efficace per controllare il volume dei risultati è Disattiva risultati. Disattiva i risultati che non ti servono da esaminare, perché riguardano asset isolati oppure i risultati rientrano in parametri aziendali accettabili.

Quando applichi contrassegni di sicurezza dedicati agli asset, questi vengono aggiunto a una lista consentita in Security Health Analytics, che contrassegna eventuali risultati per come vengono risolti durante la successiva scansione batch.

I contrassegni di sicurezza dedicati devono essere applicati direttamente alle risorse, non ai risultati, descritto in Come funzionano le liste consentite più avanti in questa pagina. Se applichi un segno a un risultato, la risorsa sottostante può comunque generare risultati.

Come funzionano le liste consentite

Ogni rilevatore di Security Health Analytics ha un tipo di contrassegno dedicato per le liste consentite, in sotto forma di allow_FINDING_TYPE:true. Aggiunta di questo elemento contrassegno dedicato a un asset supportato da Security Command Center consente di escludere l'asset dalle norme di rilevamento.

Ad esempio, per escludere il tipo di risultato SSL_NOT_ENFORCED, imposta la sicurezza allow_ssl_not_enforced:true, sull'istanza Cloud SQL correlata. Il rilevatore specificato non creerà risultati per gli asset contrassegnati.

Per un elenco completo dei tipi di risultati, consulta Elenco dei rilevatori di Security Health Analytics. Per saperne di più su tecniche e marchi di sicurezza per per il loro utilizzo, vedi Utilizzo dei contrassegni di sicurezza.

Tipi di asset

Questa sezione descrive il funzionamento dei contrassegni di sicurezza per i diversi asset.

  • Asset nella lista consentita:quando aggiungi un contrassegno dedicato a un asset, ad esempio un Bucket o firewall Cloud Storage, il risultato associato è contrassegnato come risolti all'esecuzione della successiva scansione batch. Il rilevatore non genererà nuovi o aggiornare quelli esistenti per l'asset finché il contrassegno non viene rimosso.

  • Inserisci i progetti nella lista consentita: quando aggiungi un contrassegno a una risorsa di progetto, i risultati per cui il progetto stesso è la risorsa analizzata (o di destinazione). Tuttavia, gli asset contenuti nel progetto, ad esempio macchine virtuali di crittografia, possono comunque generare risultati. Questo contrassegno di sicurezza è disponibile solo se si attiva il livello Premium di Security Command Center a livello di organizzazione.

  • Cartelle consentite: quando aggiungi un contrassegno a una risorsa cartella, i risultati per cui la cartella stessa è la risorsa analizzata (o di destinazione). Tuttavia, gli asset contenuti nella cartella, inclusi i progetti, possono per generare risultati. Questo contrassegno di sicurezza è disponibile solo se si attiva il livello Premium di Security Command Center a livello di organizzazione.

  • Rilevatori che supportano più asset: se un rilevatore supporta più di devi applicare un contrassegno dedicato a ciascuna risorsa. Ad esempio, il rilevatore KMS_PUBLIC_KEY supporta due asset Cloud Key Management Service: CryptoKey e KeyRing. Se applichi il contrassegno allow_kms_public_key:true ai Asset CryptoKey. KMS_PUBLIC_KEY risultati per l'asset sono stati risolti, ma possono verrà comunque generato per l'asset KeyRing.

I contrassegni di sicurezza vengono aggiornati solo durante le analisi batch, non in tempo reale. Quindi, se viene rimosso un contrassegno di sicurezza dedicato e l'asset presenta una vulnerabilità, Potrebbero essere necessarie fino a 24 ore prima che il contrassegno venga eliminato e venga scritto un risultato.

Rilevatore per casi speciali: chiavi di crittografia fornite dal cliente

Il comando DISK_CSEK_DISABLED non è attivo per impostazione predefinita. Per utilizzare questo rilevatore, devi contrassegnare la per i quali vuoi utilizzare chiavi di crittografia autogestite.

Per attivare il rilevatore DISK_CSEK_DISABLED per risorse specifiche, applica il contrassegno di sicurezza enforce_customer_supplied_disk_encryption_keys alla risorsa con valore pari a true.

Visualizzazione del numero di risultati attivi per tipo di risultato

Puoi utilizzare la console Google Cloud o i comandi di Google Cloud CLI per visualizza il numero di risultati attivi per tipo di risultato.

Console Google Cloud

La console Google Cloud ti consente di visualizzare il conteggio per ogni tipo di risultato.

Per visualizzare i risultati di Security Health Analytics per tipo di risultato:

  1. Vai a Security Command Center nella console Google Cloud.

    Vai a Security Command Center

  2. Per visualizzare i risultati di Security Health Analytics, fai clic sulla pagina Vulnerabilità.

  3. Per ordinare i risultati in base al numero di risultati attivi per ogni tipo di risultato, Fai clic sull'intestazione di colonna Attivo.

Comandi gcloud CLI

Per utilizzare gcloud CLI al fine di ottenere un conteggio di tutti i risultati attivi, esegui una query su Security Command Center per ottenere l'ID origine di Security Health Analytics. Poi usa l'ID origine per eseguire query sul conteggio dei risultati attivi.

Passaggio 1: recupera l'ID origine

Per completare questo passaggio, devi avere l'ID organizzazione. Per ricevere organizzazione ID, esegui gcloud organizations list e prendi nota del numero accanto il nome dell'organizzazione.

Per ottenere l'ID origine di Security Health Analytics, esegui uno dei comandi seguenti, a seconda che tu abbia attivato Security Command Center a livello di organizzazione o di progetto:

gcloud scc sources describe organizations/ORGANIZATION_ID \
  --source-display-name='Security Health Analytics'

gcloud scc sources describe projects/PROJECT_ID \
  --source-display-name='Security Health Analytics'

Se non hai già abilitato l'API Security Command Center, ti viene richiesto di abilitarlo. Quando l'API Security Command Center è abilitata, esegui il comando precedente di nuovo. Il comando dovrebbe visualizzare un output simile al seguente:

description: Scans for deviations from a GCP security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

Prendi nota di SOURCE_ID da utilizzare nel passaggio successivo.

Passaggio 2: recupera il numero dei risultati attivi

Utilizza il SOURCE_ID che hai annotato nel passaggio precedente per filtrare i risultati da Security Health Analytics. I seguenti comandi della gcloud CLI restituiscono un dei risultati per categoria.

Se hai attivato Security Command Center a livello di organizzazione, esegui questo comando:

gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
 --group-by=category --page-size=PAGE_SIZE

Se hai attivato Security Command Center a livello di progetto, esegui questo comando:

gcloud scc findings group projects/PROJECT_ID/sources/SOURCE_ID \
 --group-by=category --page-size=PAGE_SIZE

Puoi impostare le dimensioni della pagina su qualsiasi valore fino a 1000. Il comando dovrebbe visualizzare simile al seguente, con i risultati della tua particolare organizzazione:

groupByResults:
- count: '1'
  properties:
    category: MFA_NOT_ENFORCED
- count: '3'
  properties:
    category: ADMIN_SERVICE_ACCOUNT
- count: '2'
  properties:
    category: API_KEY_APIS_UNRESTRICTED
- count: '1'
  properties:
    category: API_KEY_APPS_UNRESTRICTED
- count: '2'
  properties:
    category: API_KEY_EXISTS
- count: '10'
  properties:
    category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
  properties:
    category: AUDIT_LOGGING_DISABLED
- count: '1'
  properties:
    category: AUTO_UPGRADE_DISABLED
- count: '10'
  properties:
    category: BUCKET_IAM_NOT_MONITORED
- count: '10'
  properties:
    category: BUCKET_LOGGING_DISABLED
nextPageToken: TOKEN
      readTime: '2019-08-05T21:56:13.862Z'
      totalSize: 50

Gestisci i risultati a livello di programmazione

L'utilizzo di Google Cloud CLI con l'SDK Security Command Center ti consente di: automatizzare quasi tutto ciò che puoi fare con Security Command Center nella console Google Cloud. Puoi anche correggere molti risultati utilizzando gcloud CLI. Per ulteriori informazioni informazioni, consulta la documentazione per i tipi di risorse descritti in ogni risultato:

Per esportare o elencare gli asset in modo programmatico, utilizza Cloud Asset Inventory API. Per maggiori informazioni, consulta l'articolo Esportare la cronologia e i metadati delle risorse.

I metodi degli asset e i campi dell'API Security Command Center sono deprecati e verrà rimossa a partire dal 26 giugno 2024.

Finché non verranno rimossi, gli utenti che hanno attivato Security Command Center in precedenza Il 26 giugno 2023 è possibile utilizzare i metodi degli asset dell'API Security Command Center per elencare gli asset, ma questi metodi supportano solo quelli che supporti di Security Command Center.

Per informazioni sull'utilizzo dei metodi ritirati dell'API degli asset, consulta asset delle schede.

Scansione dei progetti protetti da un perimetro di servizio

Questa funzionalità è disponibile solo se si attiva il livello Premium di Security Command Center a livello di organizzazione.

Se hai un perimetro di servizio blocca l'accesso a determinati progetti e servizi, devi concedi all'account di servizio di Security Command Center l'accesso in entrata a quel servizio perimetrale. In caso contrario, Security Health Analytics non può produrre risultati relativi di progetti e servizi protetti.

L'identificatore dell'account di servizio è un indirizzo email nel seguente formato:

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

Sostituisci ORGANIZATION_ID con il numero identificatore della tua organizzazione.

Per concedere a un account di servizio l'accesso in entrata a un perimetro di servizio: questi passaggi.

  1. Vai a Controlli di servizio VPC.

    Vai a Controlli di servizio VPC

  2. Nella barra degli strumenti, seleziona la tua organizzazione Google Cloud.

    Selettore progetti

  3. Nell'elenco a discesa, seleziona il criterio di accesso che contiene il servizio a cui vuoi concedere l'accesso.

    Elenco dei criteri di accesso

    I perimetri di servizio associati al criterio di accesso sono visualizzati nella dall'elenco di lettura.

  4. Fai clic sul nome del perimetro di servizio.

  5. Fai clic su Modifica perimetro

  6. Nel menu di navigazione, fai clic su Criterio in entrata.

  7. Fai clic su Aggiungi regola.

  8. Configura la regola come segue:

    Attributi FROM del client API

    1. In Origine, seleziona Tutte le fonti.
    2. In Identità, seleziona Identità selezionate.
    3. Nel campo Add User/Service Account (Aggiungi account utente/servizio), fai clic su Select (Seleziona).
    4. Inserisci l'indirizzo email dell'account di servizio. Se hai entrambi a livello di organizzazione e di progetto, aggiungili entrambi.
    5. Fai clic su Salva.

    Attributi TO di servizi/risorse Google Cloud

    1. In Progetto, seleziona Tutti i progetti.

    2. In Servizi, seleziona Tutti i servizi oppure seleziona una delle seguenti opzioni singoli servizi richiesti da Security Health Analytics:

      • API BigQuery
      • API Binary Authorization
      • API Cloud Logging
      • API Cloud Monitoring
      • API Compute Engine
      • API Kubernetes Engine

    Se un perimetro di servizio limita l'accesso a un servizio richiesto, Security Health Analytics non può produrre risultati per il servizio.

  9. Nel menu di navigazione, fai clic su Salva.

Per ulteriori informazioni, consulta Configurazione dei criteri di traffico in entrata e in uscita.

Passaggi successivi