Nesta página, explicamos como gerenciar as descobertas do Security Health Analytics usando o Security Command Center.
O Security Health Analytics é um serviço integrado do Security Command Center que verifica os recursos no seu ambiente de nuvem e emite resultados para qualquer configuração incorreta detectada.
Para receber as descobertas do Security Health Analytics, o serviço precisa estar ativado nas configurações de Serviços do Security Command Center.
Para receber descobertas de outra plataforma de nuvem, o Security Command Center precisa estar conectado a ela.
As descobertas dos detectores do Security Health Analytics são pesquisáveis no console do Google Cloud usando a API Security Command Center e, se você estiver usando o nível Enterprise do Security Command Center, no console de operações de segurança.
As verificações começam aproximadamente uma hora depois que o Security Command Center é ativado. No Google Cloud, execute em dois modos: modo em lote, que é executado automaticamente uma vez por dia, e o modo em tempo real, que executa verificações de alterações na configuração de recursos.
Os detectores do Security Health Analytics que não são compatíveis com o modo de verificação em tempo real são listados na Visão geral da latência do Security Command Center.
A Análise de integridade da segurança verifica outras plataformas de nuvem apenas no modo de lote.
Antes de começar
Para receber as permissões necessárias para gerenciar as descobertas da Análise de integridade de segurança, peça ao administrador para conceder a você os seguintes papéis do IAM na sua organização, pasta ou projeto:
-
Ativar e desativar detectores:
Editor de configurações da Central de segurança (
roles/securitycenter.settingsEditor
) -
Acessar e filtrar descobertas:
Leitor de descobertas da Central de segurança (
roles/securitycenter.findingsViewer
) -
Gerenciar regras de silenciamento:
Editor de configurações de desativação de sons da Central de segurança (
roles/securitycenter.muteConfigsEditor
) -
Gerenciar marcações de segurança:
Gravador de marcações de segurança da Central de segurança (
roles/securitycenter.findingSecurityMarksWriter
) -
Gerenciar descobertas de forma programática:
Editor de descobertas da Central de segurança (
roles/securitycenter.findingsEditor
) -
Conceder acesso de entrada a um perímetro de serviço do VPC Service Controls:
Editor do Access Context Manager (
roles/accesscontextmanager.policyEditor
) -
Conclua qualquer tarefa desta página:
Administrador de configurações da Central de segurança (
roles/securitycenter.settingsAdmin
)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
Ativar e desativar detectores
Desativar detectores pode afetar o estado das descobertas ativas. Quando um detector é desativado, as descobertas existentes são marcadas automaticamente como inativas.
Ao ativar o Security Command Center no nível da organização, é possível desativar o Security Health Analytics ou detectores específicos para pastas ou projetos específicos. Se o Security Health Analytics ou os detectores estiverem desativados para pastas e projetos, todas as descobertas existentes anexadas a recursos nesses recursos serão marcadas como inativas.
Os seguintes detectores do Security Health Analytics para o Google Cloud estão desativados por padrão:
ALLOYDB_AUTO_BACKUP_DISABLED
ALLOYDB_CMEK_DISABLED
BIGQUERY_TABLE_CMEK_DISABLED
BUCKET_CMEK_DISABLED
CLOUD_ASSET_API_DISABLED
DATAPROC_CMEK_DISABLED
DATASET_CMEK_DISABLED
DISK_CMEK_DISABLED
DISK_CSEK_DISABLED
NODEPOOL_BOOT_CMEK_DISABLED
PUBSUB_CMEK_DISABLED
SQL_CMEK_DISABLED
SQL_NO_ROOT_PASSWORD
SQL_WEAK_ROOT_PASSWORD
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED
Para ativar ou desativar um módulo de detecção do Security Health Analytics, faça o seguinte:
Console
É possível ativar ou desativar os detectores na guia Módulos da página Security Health Analytics nas Configurações do Security Command Center no console do Google Cloud. Os detectores podem ser ativados ou desativados no nível da organização ou do projeto.
gcloud
Para ativar um detector, também conhecido como módulo, execute o comando
gcloud alpha scc settings services modules enable
.
Se você ativou o Security Command Center no nível da organização, execute o comando a seguir:
gcloud alpha scc settings services modules enable \
--organization=ORGANIZATION_ID \
--service=SECURITY_HEALTH_ANALYTICS \
--module=DETECTOR_NAME
Substitua:
ORGANIZATION_ID
: o ID da organizaçãoDETECTOR_NAME
: o nome do detector que você quer ativar.
Se você ativou o Security Command Center no nível do projeto, execute o seguinte comando:
gcloud alpha scc settings services modules enable \
--project=PROJECT_ID \
--service=SECURITY_HEALTH_ANALYTICS \
--module=DETECTOR_NAME
Substitua:
PROJECT_ID
: ID do projeto;DETECTOR_NAME
: o nome do detector que você quer ativar.
Para desativar um detector, execute o comando
gcloud alpha scc settings services modules disable
.
Se você ativou o Security Command Center no nível da organização, execute o comando a seguir:
gcloud alpha scc settings services modules disable \
--organization=ORGANIZATION_ID \
--service=SECURITY_HEALTH_ANALYTICS \
--module=DETECTOR_NAME
Substitua:
ORGANIZATION_ID
: o ID da organizaçãoDETECTOR_NAME
: o nome do detector que você quer desativar.
Se você ativou o Security Command Center no nível do projeto, execute o seguinte comando:
gcloud alpha scc settings services modules disable \
--project=PROJECT_ID \
--service=SECURITY_HEALTH_ANALYTICS \
--module=DETECTOR_NAME
Substitua:
PROJECT_ID
: ID do projeto;DETECTOR_NAME
: o nome do detector que você quer desativar.
Como filtrar descobertas no console do Google Cloud
Uma organização de grande porte pode ter muitas descobertas de vulnerabilidades em toda a implantação para análise, triagem e rastreamento. Ao usar os filtros disponíveis nas páginas Vulnerabilidades e Descobertas do Security Command Center no console do Google Cloud, você pode se concentrar nas vulnerabilidades mais graves da organização e analisá-las por tipo de recurso, projeto e muito mais.
Para mais informações sobre como filtrar descobertas de vulnerabilidade, consulte Filtrar descobertas de vulnerabilidade no Security Command Center.
Gerenciar descobertas com casos
O Security Command Center abre automaticamente um caso no console da Security Operations
para descobertas de vulnerabilidade e configuração incorreta que tenham um nível de gravidade
de HIGH
ou CRITICAL
. Um único caso pode conter várias descobertas relacionadas.
Use o caso, que pode ser integrado ao seu sistema de tíquetes preferido, para gerenciar a investigação e a correção das descobertas, atribuindo proprietários, analisando informações relacionadas e, com os manuais, automatizando seu fluxo de resposta.
Se uma descoberta tiver um caso correspondente, você poderá encontrar um link para o caso na página de detalhes da descoberta. Abra a página de detalhes de uma descoberta na página Descobertas no console do Google Cloud. Também é possível ver o número total de casos de vulnerabilidade abertos na página Visão geral de riscos no console do Google Cloud.
Para mais informações sobre casos, consulte Visão geral dos casos.
Silenciar descobertas
Para controlar o volume de descobertas no console do Google Cloud, você pode silenciar de maneira manual ou programática as descobertas individuais ou criar regras de silenciamento que desativam automaticamente as descobertas com base nos filtros definidos. Há dois tipos de regras de silenciamento que podem ser usadas para controlar o volume de descoberta:
- Regras de silenciamento estáticas que silenciam indefinidamente as descobertas futuras.
- Regras de silenciamento dinâmico que contêm uma opção para silenciar temporariamente as descobertas e futuras.
Recomendamos o uso de regras de silenciamento dinâmico exclusivamente para reduzir o número de resultados que você analisa manualmente. Para evitar confusão, não recomendamos usar regras de silenciamento estáticas e dinâmicas simultaneamente. Para comparar os dois tipos de regra, consulte Tipos de regras de mudança de voz.
As descobertas silenciadas no console do Google Cloud são ocultas e silenciadas, mas continuam sendo registradas para fins de auditoria e conformidade. Você pode ver as descobertas silenciadas ou ativá-las a qualquer momento. Para saber mais, consulte Desativar descobertas no Security Command Center.
Como marcar recursos e descobertas com marcações de segurança
É possível adicionar propriedades personalizadas a descobertas e recursos no Security Command Center usando marcações de segurança. As marcações de segurança permitem identificar áreas de interesse de alta prioridade, como projetos de produção, marcar descobertas com números de rastreamento de bugs e incidentes e muito mais.
Para recursos, só é possível adicionar marcações de segurança aos recursos compatíveis com o Security Command Center. Para ver a lista de recursos compatíveis, consulte Tipos de recursos compatíveis no Security Command Center.
Adicionar recursos a listas de permissões
Embora não seja um método recomendado, é possível impedir descobertas desnecessárias adicionando marcações de segurança dedicadas aos recursos de modo que os detectores da Análise de integridade da segurança não criem descobertas de segurança para esses recursos.
A abordagem recomendada e mais eficaz para controlar o volume de descobertas é Desativar descobertas. Desative descobertas que você não precisa analisar, seja porque elas são destinadas a recursos isolados ou porque as descobertas se enquadram em parâmetros de negócios aceitáveis.
Quando você aplica marcações de segurança dedicadas aos recursos, eles são adicionados a uma lista de permissões Análise de integridade da segurança, que marca todas as descobertas desses recursos como resolvidas durante a próxima verificação em lote.
As marcações de segurança dedicadas precisam ser aplicadas diretamente aos recursos, não às descobertas, conforme descrito em Como as listas de permissões funcionam mais adiante nesta página. Se você aplicar uma marca a uma descoberta, o recurso subjacente ainda poderá gerar descobertas.
Como as listas de permissões funcionam
Cada detector do Security Health Analytics tem um tipo de marcação dedicada para a lista de permissões, na
forma de allow_FINDING_TYPE:true
. Adicionar essa marcação dedicada a um recurso compatível com o Security Command Center permite excluir o recurso da política de detecção.
Por exemplo, para excluir o tipo de descoberta SSL_NOT_ENFORCED
, defina a marcação de segurança, allow_ssl_not_enforced:true
, na instância do Cloud SQL relacionada.
O detector especificado não criará descobertas para os recursos marcados.
Para ver uma lista completa dos tipos de descobertas, consulte a lista de detectores do Security Health Analytics. Para saber mais sobre marcações de segurança e técnicas para usá-las, consulte Como usar marcações de segurança.
Tipos de recurso
Esta seção descreve como as marcações de segurança funcionam para diferentes recursos.
Recursos da lista de permissões: quando você adiciona uma marcação dedicada a um recurso, como um bucket ou firewall do Cloud Storage, a descoberta associada é marcada como resolvida quando a próxima verificação em lote é executada. O detector não vai gerar novas descobertas nem atualizar as descobertas existentes do recurso até que a marcação seja removida.
Projetos da lista de permissões: quando você adiciona uma marcação a um recurso do projeto, as descobertas para que o próprio projeto é verificado ou de destino são resolvidas. No entanto, os recursos contidos no projeto, como máquinas virtuais ou chaves de criptografia, ainda podem gerar descobertas. Essa marca de segurança só estará disponível se você ativar o nível Premium do Security Command Center Premium no nível da organização.
Pastas da lista de permissões: quando você adiciona uma marcação a um recurso de pasta, as descobertas para as quais a própria pasta é o recurso verificado ou de destino são resolvidas. No entanto, os recursos contidos na pasta, incluindo projetos, ainda poderão gerar descobertas. Essa marca de segurança só estará disponível se você ativar o nível Premium do Security Command Center Premium no nível da organização.
Detectores compatíveis com vários recursos: se um detector for compatível com mais de um tipo de recurso, você precisará aplicar a marcação dedicada a cada um deles. Por exemplo, o detector
KMS_PUBLIC_KEY
é compatível com os recursosCryptoKey
eKeyRing
do Cloud Key Management Service. Se você aplicar a marcaçãoallow_kms_public_key:true
ao recursoCryptoKey
, as descobertasKMS_PUBLIC_KEY
desse recurso serão resolvidas. No entanto, as descobertas ainda podem ser geradas para o recursoKeyRing
.
As marcações de segurança só são atualizadas durante as verificações em lote, não nas verificações em tempo real. Se uma marcações de segurança dedicada for removida e o recurso tiver uma vulnerabilidade, poderá levar até 24 horas para que a marcação seja excluída e uma descoberta seja gravada.
Detector de caso especial: chaves de criptografia fornecidas pelo cliente
O detector
DISK_CSEK_DISABLED
não está ativado por padrão. Para usar esse detector, você precisa marcar os
recursos para os quais quer usar chaves de criptografia autogerenciadas.
Para ativar o detector DISK_CSEK_DISABLED
para recursos específicos,
aplique a marcação de segurança
enforce_customer_supplied_disk_encryption_keys
ao recurso com um valor de
true
.
Como visualizar a contagem de descobertas ativa por tipo de descoberta
Use o Console do Google Cloud ou os comandos da Google Cloud CLI para ver as contagens de descobertas ativas por tipo de descoberta.
Console
O console do Google Cloud permite que você visualize uma contagem de descobertas ativas para cada tipo de descoberta.
Para ver as descobertas do Security Health Analytics por tipo de descoberta:
Acesse o Security Command Center no console do Google Cloud.
Para exibir os resultados do Security Health Analytics, clique na página Vulnerabilidades.
Para classificar as descobertas pelo número de descobertas ativas por tipo, clique no cabeçalho da coluna Ativas.
gcloud
Para usar a CLI gcloud para conseguir uma contagem de todas as descobertas ativas, consulte o Security Command Center para conseguir o ID de origem do Security Health Analytics. Em seguida, use o ID de origem para consultar a contagem de descobertas ativas.
Etapa 1: conseguir o ID da origem
Para conferir o ID da origem, execute um dos seguintes comandos:
Se você ativou o Security Command Center no nível da organização, execute o comando a seguir:
gcloud scc sources describe organizations/ORGANIZATION_ID \ --source-display-name="Security Health Analytics"
Se você ativou o Security Command Center no nível do projeto, execute o seguinte comando:
gcloud scc sources describe projects/PROJECT_ID \ --source-display-name="Security Health Analytics"
Se ainda não tiver ativado a API Security Command Center, você receberá uma solicitação para ativá-la. Quando a API Security Command Center estiver ativada, execute o comando anterior novamente. O comando exibirá uma saída semelhante a esta:
description: Scans for deviations from a GCP security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID
Observe o SOURCE_ID
a ser usado na próxima etapa.
Etapa 2: receber a contagem de descobertas ativas
Use o SOURCE_ID
que você anotou na etapa anterior para
filtrar as descobertas do Security Health Analytics. Os comandos da CLI gcloud
abaixo retornam uma contagem de descobertas por categoria.
Se você ativou o Security Command Center no nível da organização, execute o comando a seguir:
gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \ --group-by=category --page-size=PAGE_SIZE
Se você ativou o Security Command Center no nível do projeto, execute o seguinte comando:
gcloud scc findings group projects/PROJECT_ID/sources/SOURCE_ID \ --group-by=category --page-size=PAGE_SIZE
É possível definir o tamanho da página em qualquer valor até 1.000. O comando precisa mostrar uma saída como a seguinte, com os resultados da sua organização:
groupByResults:
- count: '1'
properties:
category: MFA_NOT_ENFORCED
- count: '3'
properties:
category: ADMIN_SERVICE_ACCOUNT
- count: '2'
properties:
category: API_KEY_APIS_UNRESTRICTED
- count: '1'
properties:
category: API_KEY_APPS_UNRESTRICTED
- count: '2'
properties:
category: API_KEY_EXISTS
- count: '10'
properties:
category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
properties:
category: AUDIT_LOGGING_DISABLED
- count: '1'
properties:
category: AUTO_UPGRADE_DISABLED
- count: '10'
properties:
category: BUCKET_IAM_NOT_MONITORED
- count: '10'
properties:
category: BUCKET_LOGGING_DISABLED
nextPageToken: TOKEN
readTime: '2023-08-05T21:56:13.862Z'
totalSize: 50
Gerenciar descobertas de maneira programática
O uso da CLI do Google Cloud com o SDK do Security Command Center permite automatizar quase tudo que pode ser feito com o Security Command Center no console do Google Cloud. Você também pode corrigir muitas descobertas usando a CLI gcloud. Para mais informações, consulte a documentação dos tipos de recursos descritos em cada descoberta:
- Como listar descobertas de segurança
- Como criar, modificar e consultar marcações de segurança
- Como criar e atualizar descobertas de segurança
- Como criar, atualizar e listar fontes de descoberta
- Como definir as configurações da organização
Para exportar ou listar recursos de modo programático, use a API Inventário de recursos do Cloud. Para mais informações, consulte Exportar histórico de recursos e metadados.
Os métodos e campos de recursos da API Security Command Center estão descontinuados e serão removidos em 26 de junho de 2024 ou após essa data.
Até a remoção, os usuários que ativaram o Security Command Center antes de 26 de junho de 2023 poderão usar os métodos da API Security Command Center para listar recursos, mas esses métodos só são compatíveis com os recursos que o Security Command Center aceita.
Para mais informações sobre como usar os métodos da API de recursos descontinuados, consulte Como listar recursos.
Verificar projetos protegidos por um perímetro de serviço
Esse recurso só estará disponível se você ativar o nível Premium do Security Command Center Premium no nível da organização.
Se você tiver um perímetro de serviço que bloqueia o acesso a determinados projetos e serviços, você precisa conceder à conta de serviço do Security Command Center acesso de acesso a esse perímetro de serviço. Caso contrário, o Security Health Analytics não pode produzir descobertas relacionadas a projetos e serviços protegidos.
O identificador da conta de serviço é um endereço de e-mail com o seguinte formato:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Substitua ORGANIZATION_ID
pelo identificador
numérico da sua organização.
Para conceder acesso de entrada a um perímetro de serviço a uma conta de serviço, siga estas etapas.
Acesse o VPC Service Controls.
Na barra de ferramentas, selecione sua organização do Google Cloud.
Na lista suspensa, selecione a política de acesso que contém o perímetro de serviço a que você quer conceder acesso.
Os perímetros de serviço associados à política de acesso aparecem na lista.
Clique no nome do serviço.
Clique em
Editar perímetro.No menu de navegação, clique em Política de entrada.
Clique em Adicionar regra.
Configure a regra da seguinte maneira:
Atributos FROM do cliente da API
- Em Origem, selecione Todas as fontes.
- Em Identidade, selecione Identidades selecionadas.
- No campo Add User/Service Account, clique em Select.
- Insira o endereço de e-mail da conta de serviço. Se você tiver contas de serviço no nível da organização e do projeto, adicione ambas.
- Clique em Save.
Atributos TO de serviços/recursos do GCP
-
Em Projeto, selecione Todos os projetos.
Em Serviços, selecione Todos os serviços ou selecione cada um dos seguintes serviços individuais que o Security Health Analytics exige:
- API BigQuery
- API Binary Authorization
- API Cloud Logging
- API Cloud Monitoring
- API Compute Engine
- API Kubernetes Engine
Se um perímetro de serviço restringir o acesso a um serviço obrigatório, o Security Health Analytics não poderá produzir descobertas para esse serviço.
No menu de navegação, clique em Salvar.
Para mais informações, consulte Como configurar políticas de entrada e saída.
A seguir
- Saiba mais sobre detectores e descobertas da Análise de integridade da segurança.
- Leia recomendações sobre como corrigir descobertas da Análise de integridade da segurança.
- Saiba como usar marcações de segurança do Security Command Center.
- Saiba mais sobre casos.
- Saiba mais sobre como usar o Security Command Center no console do Google Cloud para analisar recursos e descobertas.