Usa las estadísticas de estado de seguridad

En esta página, se explica cómo administrar los resultados de las estadísticas de estado de seguridad mediante Security Command Center.

Security Health Analytics es un servicio integrado en Security Command Center que analiza los recursos de tu entorno de nube y emite hallazgos para cualquier de configuración incorrecta que detecta.

Para recibir los resultados de Security Health Analytics, el servicio debe estar habilitado en los Servicios de Security Command Center configuración.

Para recibir resultados de otra plataforma en la nube, Security Command Center debe Estar conectados a la otra plataforma en la nube.

Los resultados de los detectores de Security Health Analytics se pueden buscar en la la consola de Google Cloud con la API de Security Command Center y, si usas el nivel Enterprise de Security Command Center, en Consola de operaciones de seguridad. Para los resultados que tienen un nivel de gravedad de HIGH o CRITICAL, Security Command Center abre un en la consola de operaciones de seguridad.

Los análisis comienzan aproximadamente una hora después de que se habilita Security Command Center. En Google Cloud, se ejecutan en dos modos: por lotes, que automáticamente se ejecuta una vez al día; y el modo en tiempo real, que ejecuta análisis cambios de configuración.

Detectores de Security Health Analytics que no admiten el modo de análisis en tiempo real se enumeran en Descripción general de la latencia de Security Command Center.

Security Health Analytics analiza otras plataformas en la nube solo en modo por lotes.

Los roles de IAM para Security Command Center se pueden otorgar a nivel de la organización, a nivel de carpeta o proyecto. Tu capacidad para ver, editar, crear o actualizar resultados, recursos, y las fuentes de seguridad dependen del nivel al que se te otorgue acceso. Para aprender para obtener más información sobre los roles de Security Command Center, consulta Control de acceso.

Inhabilita y habilita los detectores

Inhabilitar los detectores puede afectar el estado de los resultados activos. Cuando se activa un detector inhabilitada, los resultados existentes se marcan automáticamente como inactivos.

Cuando activas Security Command Center a nivel de la organización, puede inhabilitar Security Health Analytics o detectores específicos carpetas o proyectos. Si Security Health Analytics o los detectores están desactivados para las carpetas y los proyectos, todos los resultados existentes adjuntos a los elementos en esos recursos se marcan como inactivos.

Para obtener más información sobre el estado de activación de

Los siguientes detectores de Security Health Analytics para Google Cloud son inhabilitado de forma predeterminada:

  • ALLOYDB_AUTO_BACKUP_DISABLED
  • ALLOYDB_CMEK_DISABLED
  • BIGQUERY_TABLE_CMEK_DISABLED
  • BUCKET_CMEK_DISABLED
  • CLOUD_ASSET_API_DISABLED
  • DATAPROC_CMEK_DISABLED
  • DATASET_CMEK_DISABLED
  • DISK_CMEK_DISABLED
  • DISK_CSEK_DISABLED
  • NODEPOOL_BOOT_CMEK_DISABLED
  • PUBSUB_CMEK_DISABLED
  • SQL_CMEK_DISABLED
  • SQL_NO_ROOT_PASSWORD
  • SQL_WEAK_ROOT_PASSWORD
  • VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Para habilitar o inhabilitar un módulo de detección de Security Health Analytics, haz clic en para ver el método que prefieras.

Consola de Google Cloud

Puedes habilitar o inhabilitar los detectores en la pestaña Módulos de la Página Security Health Analytics en la Configuración de Security Command Center en la consola de Google Cloud. Los detectores se pueden habilitar o inhabilitar a nivel de la organización o del proyecto.

gcloud

Para activar un detector, también conocido como módulo, ejecuta los módulos habilitar gcloud comando alfa de Google Cloud CLI a nivel de la organización o del proyecto.

Si activaste Security Command Center a nivel de la organización, ejecuta lo siguiente:

gcloud alpha scc settings services modules enable \
  --organization=ORGANIZATION_ID \
  --service=SECURITY_HEALTH_ANALYTICS \
  --module=DETECTOR_NAME

Reemplaza lo siguiente:

  • ORGANIZATION_ID: El ID de tu organización.
  • DETECTOR_NAME: El nombre del detector que deseas habilitar

Si activaste Security Command Center a nivel de proyecto, ejecuta lo siguiente:

gcloud alpha scc settings services modules enable \
  --project=PROJECT_ID \
  --service=SECURITY_HEALTH_ANALYTICS \
  --module=DETECTOR_NAME

Reemplaza lo siguiente:

  • PROJECT_ID: El ID de tu proyecto
  • DETECTOR_NAME: El nombre del detector que deseas habilitar

Para inhabilitar un detector, ejecuta los módulos inhabilitar comando a nivel de la organización o del proyecto.

Si activaste Security Command Center a nivel de la organización, ejecuta lo siguiente:

gcloud alpha scc settings services modules disable \
  --organization=ORGANIZATION_ID \
  --service=SECURITY_HEALTH_ANALYTICS \
  --module=DETECTOR_NAME

Reemplaza lo siguiente:

  • ORGANIZATION_ID: El ID de tu organización.
  • DETECTOR_NAME: El nombre del detector que deseas inhabilitar

Si activaste Security Command Center a nivel de proyecto, ejecuta lo siguiente:

gcloud alpha scc settings services modules disable \
  --project=PROJECT_ID \
  --service=SECURITY_HEALTH_ANALYTICS \
  --module=DETECTOR_NAME

Reemplaza lo siguiente:

  • PROJECT_ID: El ID de tu proyecto
  • DETECTOR_NAME: El nombre del detector que deseas inhabilitar

Filtra los resultados en la consola de Google Cloud

Una organización grande podría tener muchos resultados de vulnerabilidad en su implementación para revisar, clasificar y hacer un seguimiento. Usando filtros disponibles en las páginas Vulnerabilidades y Hallazgos de Security Command Center en la consola de Google Cloud, puedes enfocarte en los eventos de las vulnerabilidades en tu organización y las revisas el tipo de activo, el proyecto y mucho más.

Para obtener más información sobre cómo filtrar hallazgos de vulnerabilidades, consulta Filtrar los hallazgos de vulnerabilidades en Security Command Center.

Administra los resultados con casos

Security Command Center abre automáticamente un caso en la consola de operaciones de seguridad de vulnerabilidades y parámetros de configuración incorrectos que tienen un nivel de gravedad de HIGH o CRITICAL. Un solo caso puede contener varios resultados relacionados.

Usa el caso, que se puede integrar en tu sistema de tickets preferido, para administrar la investigación y la solución de los resultados, al asignar propietarios, revisar la información relacionada y, con automatiza tu flujo de trabajo de respuestas.

Si un hallazgo tiene un caso correspondiente, puedes encontrar un vínculo a su caso en la la página de detalles del hallazgo. Abrir la página de detalles de un hallazgo del Hallazgos de la consola de Google Cloud. También puedes ver la cantidad total de casos de vulnerabilidad abiertos en En la página Descripción general de riesgos de la consola de Google Cloud.

Para obtener más información sobre los casos, consulta la Descripción general de casos.

Silenciar resultados

Para controlar el volumen de resultados en la consola de Google Cloud, puedes puede oscilar manualmente silenciar resultados individuales de manera programática o crear reglas de silencio que silenciar automáticamente los resultados actuales y futuros según los filtros que definas.

Los resultados que silenciaste en la consola de Google Cloud están ocultos y silenciadas, pero seguirán registrándose para su auditoría y con fines de cumplimiento. Puedes ver los resultados silenciados o dejar de silenciarlos en cualquier momento. Para obtener más información, consulta Silencia resultados en Security Command Center.

Marca elementos y resultados con marcas de seguridad

Puedes agregar propiedades personalizadas a los resultados y a los recursos en Security Command Center mediante marcas de seguridad. Las marcas de seguridad te permiten identificar áreas de interés de alta prioridad, como los proyectos de producción, el descubrimiento de etiquetas con números de seguimiento de incidentes y errores, y mucho más.

En el caso de los recursos, puedes agregar marcas de seguridad solo a aquellos Security Command Center es compatible. Para ver la lista de recursos compatibles, consulta Tipos de recursos admitidos en Security Command Center.

Agrega elementos a las listas de entidades permitidas

Aunque no es un método recomendado, puedes suprimir hallazgos innecesarios añadiendo marcas de seguridad dedicadas a los recursos para que los detectores de Security Health Analytics no crean resultados de seguridad para esos recursos.

El enfoque recomendado y más eficaz para controlar el volumen de resultados es Silenciar los resultados. Silencia los resultados que no necesitas porque son para elementos aislados los resultados se encuentran dentro de parámetros comerciales aceptables.

Cuando aplicas marcas de seguridad dedicadas a los recursos, estos se se agregó a una lista de entidades permitidas de Security Health Analytics, en la que se marcan esos recursos como resueltos en el siguiente análisis por lotes.

Las marcas de seguridad específicas se deben aplicar directamente a los recursos, no a los resultados, como se describe en Cómo funcionan las listas de entidades permitidas más adelante en esta página. Si aplicas una marca a un resultado, el recurso subyacente puede generar resultados.

Cómo funcionan las listas de entidades permitidas

Cada detector de Security Health Analytics tiene un tipo de marca dedicado para las listas de entidades permitidas, con el formato allow_FINDING_TYPE:true. Agregando esto una marca exclusiva en un recurso compatible con Security Command Center te permite excluir el recurso de la política de detección.

Por ejemplo, para excluir el tipo de hallazgo SSL_NOT_ENFORCED, configura el parámetro de marca, allow_ssl_not_enforced:true, en la instancia de Cloud SQL relacionada. El detector especificado no creará resultados para los recursos marcados.

Para obtener una lista completa de los tipos de hallazgos, consulta la Lista de detectores de Security Health Analytics. Si deseas obtener más información sobre las marcas de seguridad y las técnicas para usarlas, consulta Usa marcas de seguridad.

Tipos de activos

En esta sección, se describe cómo funcionan las marcas de seguridad en diferentes recursos.

  • Recursos de lista de entidades permitidas: Cuando agregas una marca específica a un recurso, como un firewall o un bucket de Cloud Storage, el resultado asociado se marca como resuelto cuando se ejecuta el análisis por lotes siguiente. El detector no generará resultados nuevos ni actualizará los resultados existentes para el recurso hasta que se quite la marca.

  • Proyectos de lista de entidades permitidas: Cuando agregas una marca a un recurso de proyecto, se resuelven los resultados para los que el proyecto en sí es el recurso analizado o de destino. Sin embargo, los elementos contenidos en el proyecto, como las máquinas virtuales o las claves criptográficas, aún pueden generar resultados. Esta marca de seguridad solo está disponible si activas el nivel Premium de Security Command Center a nivel de la organización.

  • Carpetas de lista de entidades permitidas: Cuando agregas una marca a un recurso de carpeta, los resultados para los que la carpeta en sí se analiza, o el destino, se resuelven. Sin embargo, los elementos que se encuentran dentro de las carpetas, incluidos los proyectos, aún pueden generar resultados. Esta marca de seguridad solo está disponible si activas el nivel Premium de Security Command Center a nivel de la organización.

  • Detectores que admiten varios elementos: Si un detector admite más de un tipo de activo, debes aplicarle una marca específica a cada uno. Por ejemplo, el detector KMS_PUBLIC_KEY admite dos recursos de Cloud Key Management Service: CryptoKey y KeyRing. Si aplicas la marca allow_kms_public_key:true al Recurso de CryptoKey: se resolvieron KMS_PUBLIC_KEY hallazgos de ese recurso, pero se pueden para el recurso del llavero de claves.

Las marcas de seguridad solo se actualizan durante los análisis por lotes, no en tiempo real. Por lo tanto, si se quita una marca de seguridad dedicada y el recurso tiene una vulnerabilidad, pueden pasar hasta 24 horas antes de que se borre la marca y se escriba un resultado.

Detector de casos especiales: Claves de encriptación proporcionadas por el cliente

El detector DISK_CSEK_DISABLED no está activado de forma predeterminada. Si quieres usar este detector, debes marcar los recursos para los que quieres usar claves de encriptación autoadministradas.

A fin de habilitar el detector DISK_CSEK_DISABLED para activos específicos, aplica la marca de seguridad enforce_customer_supplied_disk_encryption_keys al activo con un valor de true.

Visualiza el recuento de resultados activos por tipo de resultado

Puedes usar la consola de Google Cloud o los comandos de Google Cloud CLI para ver los recuentos de resultados elementos mediante el tipo de búsqueda.

Consola de Google Cloud

La consola de Google Cloud te permite ver un recuento resultados para cada tipo de hallazgo.

Para ver los resultados de Security Health Analytics según el tipo de resultado, haz lo siguiente:

  1. Ve a Security Command Center en la consola de Google Cloud.

    Ir a Security Command Center

  2. Para mostrar los resultados de Security Health Analytics, haz clic en la página Vulnerabilidades.

  3. Haz clic en el encabezado de la columna Activa a fin de ordenar los resultados por cantidad de resultados activos para cada tipo de resultado.

Comandos de la CLI de gcloud

Si deseas usar la CLI de gcloud a fin de obtener un recuento de todos los resultados activos, consulta el Security Command Center para obtener el ID de la fuente de las estadísticas de estado de seguridad. Luego, usa el ID de la fuente para consultar el recuento de resultados activos.

Paso 1: obtén el ID de la fuente

Para completar este paso, necesitarás el ID de tu organización. Para obtener el ID de tu organización, ejecuta gcloud organizations list y toma nota el número junto al nombre de la organización.

Para obtener el ID de fuente de Security Health Analytics, ejecuta uno de los siguientes comandos, según si activaste Security Command Center a nivel de la organización o a nivel del proyecto:

gcloud scc sources describe organizations/ORGANIZATION_ID \
  --source-display-name='Security Health Analytics'

gcloud scc sources describe projects/PROJECT_ID \
  --source-display-name='Security Health Analytics'

Si aún no habilitaste la API de Security Command Center, se te solicitará que la habilites. Cuando se habilite la API de Security Command Center, vuelve a ejecutar el comando anterior. El comando debería mostrar un resultado como el siguiente:

description: Scans for deviations from a GCP security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

Toma nota de SOURCE_ID para usar en el siguiente paso.

Paso 2: Obtén la cantidad de resultados activos

Usa el SOURCE_ID que anotaste en el paso anterior para filtrar los resultados de las estadísticas de estado de seguridad. Los siguientes comandos de gcloud CLI muestran un recuento de resultados por categoría.

Si activaste Security Command Center a nivel de la organización, ejecuta lo siguiente:

gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
 --group-by=category --page-size=PAGE_SIZE

Si activaste Security Command Center a nivel de proyecto, ejecuta lo siguiente:

gcloud scc findings group projects/PROJECT_ID/sources/SOURCE_ID \
 --group-by=category --page-size=PAGE_SIZE

Puedes establecer el tamaño de la página en hasta un valor de hasta 1,000. El comando debe mostrar un resultado como el siguiente, con los resultados de tu organización en particular:

groupByResults:
- count: '1'
  properties:
    category: MFA_NOT_ENFORCED
- count: '3'
  properties:
    category: ADMIN_SERVICE_ACCOUNT
- count: '2'
  properties:
    category: API_KEY_APIS_UNRESTRICTED
- count: '1'
  properties:
    category: API_KEY_APPS_UNRESTRICTED
- count: '2'
  properties:
    category: API_KEY_EXISTS
- count: '10'
  properties:
    category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
  properties:
    category: AUDIT_LOGGING_DISABLED
- count: '1'
  properties:
    category: AUTO_UPGRADE_DISABLED
- count: '10'
  properties:
    category: BUCKET_IAM_NOT_MONITORED
- count: '10'
  properties:
    category: BUCKET_LOGGING_DISABLED
nextPageToken: TOKEN
      readTime: '2019-08-05T21:56:13.862Z'
      totalSize: 50

Administra los resultados de manera programática

Usar Google Cloud CLI con el SDK de Security Command Center te permite automatizar casi todo lo que puedes hacer con Security Command Center en Consola de Google Cloud También puedes solucionar varios resultados con la CLI de gcloud. Para obtener más información, revisa la documentación acerca de los tipos de recursos descritos en cada resultado:

Para exportar o enumerar recursos de manera programática, usa Cloud Asset Inventory API. Para obtener más información, consulta Cómo exportar el historial de activos y los metadatos.

Los métodos y campos de recursos de la API de Security Command Center dejaron de estar disponibles. se quitarán a partir del 26 de junio de 2024.

Hasta que se quiten, los usuarios que hayan activado Security Command Center antes 26 de junio de 2023 Puede usar los métodos de recursos de la API de Security Command Center para enumerar recursos, pero estos métodos solo admiten aquellos Compatibilidad con Security Command Center.

Para obtener información sobre el uso de los métodos de la API de recursos obsoletos, consulta de fichas.

Analiza proyectos protegidos por un perímetro de servicio

Esta función solo está disponible si activas el nivel Premium de Security Command Center a nivel de la organización.

Si tienes un perímetro de servicio que bloquea el acceso a ciertos proyectos y servicios, debes otorgar a la cuenta de servicio de Security Command Center acceso entrante a ese perímetro de servicio. De lo contrario, las estadísticas del estado de seguridad no pueden producir resultados relacionados con los proyectos y servicios protegidos.

El identificador de la cuenta de servicio es una dirección de correo electrónico con el siguiente formato:

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

Reemplaza ORGANIZATION_ID por el valor numérico. identificador de tu organización.

Para otorgar a una cuenta de servicio acceso entrante a un perímetro de servicio, sigue estos pasos.

  1. Ve a los Controles del servicio de VPC.

    Ir a los Controles del servicio de VPC

  2. En la barra de herramientas, selecciona tu organización de Google Cloud.

    Selector de proyectos

  3. En la lista desplegable, selecciona la política de acceso que contiene el perímetro de servicio al que deseas otorgar acceso.

    Lista de políticas de acceso

    Los perímetros de servicio asociados con la política de acceso aparecen en la lista.

  4. Haz clic en el nombre del perímetro de servicio.

  5. Haz clic en Editar perímetro.

  6. En el menú de navegación, haz clic en Política de entrada.

  7. Haga clic en Agregar regla.

  8. Configura la regla de la siguiente manera:

    Atributos FROM del cliente de la API

    1. En Fuente, selecciona Todas las fuentes.
    2. En Identidad, selecciona Identidades seleccionadas.
    3. En el campo Agregar usuario o cuenta de servicio, haz clic en Seleccionar.
    4. Ingresa la dirección de correo electrónico de la cuenta de servicio. Si tienes tanto a nivel de organización y de proyecto, agrega ambas.
    5. Haz clic en Guardar.

    Atributos TO de los recursos y servicios de GCP

    1. En Proyecto, selecciona Todos los proyectos.

    2. En Servicios, selecciona Todos los servicios o cada una de las siguientes opciones: servicios individuales que Security Health Analytics requiere:

      • API de BigQuery
      • API de Autorización Binaria
      • API de Cloud Logging
      • Cloud Monitoring API
      • API de Compute Engine
      • API de Kubernetes Engine

    Si un perímetro de servicio restringe el acceso a un servicio Security Health Analytics no puede generar resultados para ese servicio.

  9. En el menú de navegación, haz clic en Guardar.

Para obtener más información, consulta Configura políticas de entrada y salida.

¿Qué sigue?