Utilizzo di Security Health Analytics

Questa pagina spiega come gestire i risultati di Security Health Analytics utilizzando Security Command Center.

Security Health Analytics è un servizio integrato in Security Command Center che analizza le risorse nel tuo ambiente cloud e individua i risultati per eventuali configurazioni errate rilevate.

Per ricevere i risultati di Security Health Analytics, il servizio deve essere abilitato nelle impostazioni dei servizi di Security Command Center.

Per ricevere risultati per un'altra piattaforma cloud, Security Command Center deve essere collegato all'altra piattaforma cloud.

I risultati dei rilevatori di Security Health Analytics sono disponibili per la ricerca nella console Google Cloud, utilizzando l'API Security Command Center e, se utilizzi il livello Enterprise di Security Command Center, nella console Security Operations Console. Per i risultati con un livello di gravità pari a HIGH o CRITICAL, Security Command Center apre una richiesta nella console Security Operations Console.

Le analisi vengono avviate circa un'ora dopo l'abilitazione di Security Command Center. Su Google Cloud puoi scegliere tra due modalità di esecuzione: batch, che viene eseguita automaticamente una volta al giorno, e modalità in tempo reale, che esegue le analisi rispetto alle modifiche alla configurazione degli asset.

I rilevatori di Security Health Analytics che non supportano la modalità di scansione in tempo reale sono elencati nella panoramica della latenza di Security Command Center.

Security Health Analytics analizza altre piattaforme cloud solo in modalità batch.

I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, cartella o progetto. La possibilità di visualizzare, modificare, creare o aggiornare risultati, asset e origini di sicurezza dipende dal livello a cui ti viene concesso l'accesso. Per scoprire di più sui ruoli di Security Command Center, consulta Controllo dell'accesso.

Abilita e disabilita i rilevatori

La disabilitazione dei rilevatori può influire sullo stato dei risultati attivi. Quando un rilevatore viene disabilitato, i risultati esistenti vengono contrassegnati automaticamente come non attivi.

Quando attivi Security Command Center a livello di organizzazione, puoi disabilitare Security Health Analytics o rilevatori specifici per cartelle o progetti specifici. Se Security Health Analytics o i rilevatori sono disattivati per cartelle e progetti, eventuali risultati esistenti associati agli asset in quelle risorse vengono contrassegnati come inattivi.

Per ulteriori informazioni sullo stato di attivazione

I seguenti rilevatori di Security Health Analytics per Google Cloud sono disabilitati per impostazione predefinita:

• ALLOYDB_CMEK_DISABLED
• BIGQUERY_TABLE_CMEK_DISABLED
• BUCKET_CMEK_DISABLED
• CLOUD_ASSET_API_DISABLED
• DATAPROC_CMEK_DISABLED
• DATASET_CMEK_DISABLED
• DISK_CMEK_DISABLED
• DISK_CSEK_DISABLED
• NODEPOOL_BOOT_CMEK_DISABLED
• PUBSUB_CMEK_DISABLED
• SQL_CMEK_DISABLED
• SQL_NO_ROOT_PASSWORD
• SQL_WEAK_ROOT_PASSWORD
• VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Per abilitare o disabilitare un modulo di rilevamento di Security Health Analytics, fai clic sulla scheda relativa al tuo metodo preferito.

gcloud alpha scc settings services modules enable \
  --organization=ORGANIZATION_ID \
  --service=SECURITY_HEALTH_ANALYTICS \
  --module=DETECTOR_NAME

gcloud alpha scc settings services modules enable \
  --project=PROJECT_ID \
  --service=SECURITY_HEALTH_ANALYTICS \
  --module=DETECTOR_NAME

gcloud alpha scc settings services modules disable \
  --organization=ORGANIZATION_ID \
  --service=SECURITY_HEALTH_ANALYTICS \
  --module=DETECTOR_NAME

gcloud alpha scc settings services modules disable \
  --project=PROJECT_ID \
  --service=SECURITY_HEALTH_ANALYTICS \
  --module=DETECTOR_NAME

Applicazione di filtri ai risultati nella console Google Cloud

Un'organizzazione di grandi dimensioni potrebbe avere molti risultati di vulnerabilità nel deployment da esaminare, classificare e monitorare. Utilizzando i filtri disponibili nelle pagine Vulnerabilità e Risultati di Security Command Center nella console Google Cloud, puoi concentrarti sulle vulnerabilità con la gravità più alta nella tua organizzazione ed esaminare le vulnerabilità per tipo di asset, progetto e altro ancora.

Per maggiori informazioni su come filtrare i risultati di vulnerabilità, consulta Filtrare i risultati di vulnerabilità in Security Command Center.

Gestisci i risultati con casi

Security Command Center apre automaticamente una richiesta nella Security Operations Console per trovare risultati relativi a vulnerabilità ed errori di configurazione con un livello di gravità pari a HIGH o CRITICAL. Un singolo caso può contenere più risultati correlati.

Utilizza la richiesta, che può essere integrata con il tuo sistema di gestione delle richieste di assistenza preferito, per gestire l'indagine e la correzione dei risultati, assegnando proprietari, esaminando le informazioni correlate e, con i playbook, automatizza il flusso di lavoro di risposta.

Se un risultato ha un caso corrispondente, puoi trovare un link alla richiesta nella pagina dei dettagli del risultato. Apri la pagina dei dettagli di un risultato dalla pagina Risultati della console Google Cloud. Puoi anche visualizzare il numero totale di casi di vulnerabilità aperti nella pagina Panoramica dei rischi della console Google Cloud.

Per ulteriori informazioni sulle richieste, consulta la panoramica delle richieste.

Disattiva risultati

Per controllare il volume dei risultati nella console Google Cloud, puoi disattivare manualmente o in modo programmatico i singoli risultati o creare regole di disattivazione che disattivano automaticamente i risultati attuali e futuri in base ai filtri che definisci.

I risultati disattivati nella console Google Cloud vengono nascosti e silenziati, ma continuano a essere registrati a scopo di controllo e conformità. Puoi visualizzare i risultati disattivati o riattivarli in qualsiasi momento. Per scoprire di più, consulta Disattivazione dei risultati in Security Command Center.

Contrassegno di asset e risultati con contrassegni di sicurezza

Puoi aggiungere proprietà personalizzate a risultati e asset in Security Command Center utilizzando i contrassegni di sicurezza. I contrassegni di sicurezza consentono di identificare le aree di interesse ad alta priorità come i progetti di produzione, i tag dei risultati con i numeri di monitoraggio di bug e incidenti e altro ancora.

Per gli asset, puoi aggiungere contrassegni di sicurezza solo a quelli supportati da Security Command Center. Per l'elenco degli asset supportati, vedi Tipi di asset supportati in Security Command Center.

Aggiungi asset alle liste consentite

Sebbene non sia un metodo consigliato, puoi eliminare i risultati non necessari aggiungendo contrassegni di sicurezza dedicati agli asset in modo che i rilevatori di Security Health Analytics non creino risultati sulla sicurezza per questi asset.

L'approccio consigliato e più efficace per controllare il volume dei risultati è Disattivare i risultati. Disattiva i risultati che non devi esaminare, perché riguardano asset isolati o perché rientrano in parametri aziendali accettabili.

Quando applichi contrassegni di sicurezza dedicati agli asset, questi vengono aggiunti a una lista consentita in Security Health Analytics, che contrassegna tutti i risultati per quegli asset come risolti durante la successiva scansione batch.

I contrassegni di sicurezza dedicati devono essere applicati direttamente agli asset, non ai risultati, come descritto in Come funzionano le liste consentite più avanti in questa pagina. Se applichi un contrassegno a un risultato, l'asset sottostante può comunque generare risultati.

Come funzionano le liste consentite

Ogni rilevatore di Security Health Analytics ha un tipo di contrassegno dedicato per le liste consentite, sotto forma di allow_FINDING_TYPE:true. L'aggiunta di questo segno dedicato a un asset supportato da Security Command Center ti consente di escludere l'asset dal criterio di rilevamento.

Ad esempio, per escludere il tipo di risultato SSL_NOT_ENFORCED, imposta il contrassegno di sicurezza allow_ssl_not_enforced:true sull'istanza Cloud SQL correlata. Il rilevatore specificato non creerà risultati per gli asset contrassegnati.

Per un elenco completo dei tipi di risultati, consulta l'elenco dei rilevatori di Security Health Analytics. Per scoprire di più sui contrassegni di sicurezza e sulle tecniche per utilizzarli, consulta Utilizzare i contrassegni di sicurezza.

Tipi di asset

Questa sezione descrive il funzionamento dei contrassegni di sicurezza per i diversi asset.

• Asset alla lista consentita: quando aggiungi un contrassegno dedicato a un asset, ad esempio un bucket Cloud Storage o un firewall, il risultato associato viene contrassegnato come risolto all'esecuzione della successiva scansione batch. Il rilevatore non genererà nuovi risultati né aggiornerà quelli esistenti per l'asset finché il contrassegno non verrà rimosso.

• Includi progetti nella lista consentita: quando aggiungi un contrassegno a una risorsa di progetto, vengono risolti i risultati per i quali la risorsa analizzata o di destinazione è il progetto stesso. Tuttavia, gli asset contenuti nel progetto, ad esempio macchine virtuali o chiavi di crittografia, possono comunque generare risultati. Questo contrassegno di sicurezza è disponibile solo se attivi il livello Premium di Security Command Center a livello di organizzazione.

• Cartelle consentite: quando aggiungi un contrassegno a una risorsa cartella, vengono risolti i risultati per i quali la cartella stessa è la risorsa analizzata o la destinazione. Tuttavia, gli asset contenuti nella cartella, inclusi i progetti, possono comunque generare risultati. Questo contrassegno di sicurezza è disponibile solo se attivi il livello Premium di Security Command Center a livello di organizzazione.

• Rilevatori che supportano più asset: se un rilevatore supporta più di un tipo di asset, devi applicare il contrassegno dedicato a ciascun asset. Ad esempio, il rilevatore KMS_PUBLIC_KEY supporta due asset Cloud Key Management Service: CryptoKey e KeyRing. Se applichi il contrassegno allow_kms_public_key:true all'asset CryptoKey, i risultati di KMS_PUBLIC_KEY per l'asset sono stati risolti, ma è comunque possibile generarli per l'asset KeyRing.

I contrassegni di sicurezza vengono aggiornati solo durante le analisi batch, non in tempo reale. Pertanto, se viene rimosso un contrassegno di sicurezza dedicato e l'asset presenta una vulnerabilità, potrebbero essere necessarie fino a 24 ore prima che il contrassegno venga eliminato e venga scritto un risultato.

Rilevatore per casi speciali: chiavi di crittografia fornite dal cliente

Il rilevatore DISK_CSEK_DISABLED non è attivo per impostazione predefinita. Per utilizzare questo rilevatore, devi contrassegnare gli asset per cui vuoi utilizzare le chiavi di crittografia autogestite.

Per attivare il rilevatore DISK_CSEK_DISABLED per asset specifici, applica il segno di sicurezza enforce_customer_supplied_disk_encryption_keys all'asset con il valore true.

Visualizzazione del numero di risultati attivi per tipo di risultato

Puoi utilizzare la console Google Cloud o i comandi di Google Cloud CLI per visualizzare il numero di risultati attivi per tipo di risultato.

gcloud scc sources describe organizations/ORGANIZATION_ID \
  --source-display-name='Security Health Analytics'

gcloud scc sources describe projects/PROJECT_ID \
  --source-display-name='Security Health Analytics'

description: Scans for deviations from a GCP security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
 --group-by=category --page-size=PAGE_SIZE

gcloud scc findings group projects/PROJECT_ID/sources/SOURCE_ID \
 --group-by=category --page-size=PAGE_SIZE

groupByResults:
- count: '1'
  properties:
    category: MFA_NOT_ENFORCED
- count: '3'
  properties:
    category: ADMIN_SERVICE_ACCOUNT
- count: '2'
  properties:
    category: API_KEY_APIS_UNRESTRICTED
- count: '1'
  properties:
    category: API_KEY_APPS_UNRESTRICTED
- count: '2'
  properties:
    category: API_KEY_EXISTS
- count: '10'
  properties:
    category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
  properties:
    category: AUDIT_LOGGING_DISABLED
- count: '1'
  properties:
    category: AUTO_UPGRADE_DISABLED
- count: '10'
  properties:
    category: BUCKET_IAM_NOT_MONITORED
- count: '10'
  properties:
    category: BUCKET_LOGGING_DISABLED
nextPageToken: TOKEN
      readTime: '2019-08-05T21:56:13.862Z'
      totalSize: 50

Gestisci i risultati a livello di programmazione

Se utilizzi Google Cloud CLI con l'SDK Security Command Center, puoi automatizzare quasi tutto ciò che puoi fare con Security Command Center nella console Google Cloud. Puoi anche correggere molti risultati utilizzando gcloud CLI. Per ulteriori informazioni, consulta la documentazione relativa ai tipi di risorse descritti in ciascun risultato:

• Elenco dei risultati sulla sicurezza
• Creare, modificare e interrogare i contrassegni di sicurezza
• Creazione e aggiornamento dei risultati sulla sicurezza
• Creare, aggiornare ed elencare le origini dei risultati
• Configurare le impostazioni dell'organizzazione

Per esportare o elencare gli asset in modo programmatico, utilizza l'API Cloud Asset Inventory. Per maggiori informazioni, consulta l'articolo Esportare la cronologia e i metadati delle risorse.

I metodi e i campi degli asset dell'API Security Command Center sono deprecati e verranno rimossi a partire dal 26 giugno 2024.

Finché non verranno rimossi, gli utenti che hanno attivato Security Command Center prima del 26 giugno 2023 possono utilizzare i metodi degli asset dell'API Security Command Center per elencare gli asset, ma questi metodi supportano solo gli asset supportati da Security Command Center.

Per informazioni sull'utilizzo dei metodi ritirati dell'API degli asset, consulta la pagina Elencare gli asset.

Scansione dei progetti protetti da un perimetro di servizio

Questa funzionalità è disponibile solo se attivi il livello Premium di Security Command Center a livello di organizzazione.

Se hai un perimetro di servizio che blocca l'accesso a determinati progetti e servizi, devi concedere all'account di servizio Security Command Center l'accesso in entrata a quel perimetro di servizio. In caso contrario, Security Health Analytics non può produrre risultati relativi ai progetti e servizi protetti.

L'identificatore dell'account di servizio è un indirizzo email nel seguente formato:

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

Sostituisci ORGANIZATION_ID con l'identificatore numerico della tua organizzazione.

Per concedere a un account di servizio l'accesso in entrata a un perimetro di servizio, segui questi passaggi.

1. Vai a Controlli di servizio VPC.

   Vai a Controlli di servizio VPC

2. Nella barra degli strumenti, seleziona la tua organizzazione Google Cloud.

   

3. Nell'elenco a discesa, seleziona il criterio di accesso che contiene il perimetro di servizio a cui vuoi concedere l'accesso.

   

   I perimetri di servizio associati al criterio di accesso vengono visualizzati nell'elenco.

4. Fai clic sul nome del perimetro di servizio.

5. Fai clic su edit Modifica perimetro

6. Nel menu di navigazione, fai clic su Criterio in entrata.

7. Fai clic su Aggiungi regola.

8. Configura la regola come segue:

   Attributi FROM del client API

   1. In Origine, seleziona Tutte le fonti.
   2. In Identità, seleziona Identità selezionate.
   3. Nel campo Add User/Service Account (Aggiungi account utente/servizio), fai clic su Select (Seleziona).
   4. Inserisci l'indirizzo email dell'account di servizio. Se hai account di servizio sia a livello di organizzazione che di progetto, aggiungili entrambi.
   5. Fai clic su Salva.

   Attributi TO di servizi/risorse Google Cloud

   1. In Progetto, seleziona Tutti i progetti.

   2. In Servizi, seleziona Tutti i servizi o seleziona ciascuno dei seguenti servizi individuali richiesti da Security Health Analytics:

      • API BigQuery
      • API Binary Authorization
      • API Cloud Logging
      • API Cloud Monitoring
      • API Compute Engine
      • API Kubernetes Engine

   Se un perimetro di servizio limita l'accesso a un servizio richiesto, Security Health Analytics non può generare risultati per quel servizio.

9. Nel menu di navigazione, fai clic su Salva.

Per ulteriori informazioni, consulta Configurazione dei criteri di traffico in entrata e in uscita.

Passaggi successivi

• Scopri di più sui rilevatori e i risultati di Security Health Analytics.
• Leggi i suggerimenti per correggere i risultati di Security Health Analytics.
• Scopri come utilizzare i contrassegni di sicurezza di Security Command Center.
• Scopri di più sulle richieste.
• Scopri di più sull'utilizzo di Security Command Center nella console Google Cloud per esaminare asset e risultati.