Cette page explique comment gérer les résultats Security Health Analytics à l'aide de Security Command Center.
Security Health Analytics est un service intégré à Security Command Center qui analyse les ressources de votre environnement cloud et émet des résultats les erreurs de configuration détectées.
Pour recevoir les résultats de Security Health Analytics, le service doit être activé dans les paramètres Services de Security Command Center.
Afin de recevoir des résultats pour une autre plate-forme cloud, Security Command Center doit être connecté à l'autre plate-forme cloud.
Les résultats des détecteurs Security Health Analytics sont inclus dans l'index de recherche
console Google Cloud à l'aide de l'API Security Command Center et, si vous utilisez
au niveau Entreprise de Security Command Center,
Console Opérations de sécurité. Pour les résultats présentant un niveau de gravité
de HIGH
ou CRITICAL
, Security Command Center ouvre un
dans la console Opérations de sécurité.
Les analyses commencent environ une heure après l'activation de Security Command Center. Sur Google Cloud, l'exécution peut s'effectuer dans deux modes: le mode de traitement par lot, qui permet s’exécute une fois par jour ; et le mode "Temps réel", qui analyse les ressources les modifications de configuration.
Les détecteurs Security Health Analytics qui ne sont pas compatibles avec le mode d'analyse en temps réel sont répertorié dans Présentation de la latence de Security Command Center
Security Health Analytics analyse les autres plates-formes cloud en mode de traitement par lot uniquement.
Avant de commencer
Pour obtenir les autorisations nécessaires pour gérer les résultats de Security Health Analytics, demandez à votre administrateur de vous accorder le les rôles IAM suivants sur votre organisation, dossier ou projet:
-
Activer et désactiver les détecteurs:
Éditeur des paramètres du centre de sécurité (
roles/securitycenter.settingsEditor
) -
Afficher et filtrer les résultats:
Lecteur de résultats du centre de sécurité (
roles/securitycenter.findingsViewer
) -
Gérer les règles Ignorer:
Éditeur des configurations Ignorer du centre de sécurité (
roles/securitycenter.muteConfigsEditor
) -
Gérer les marques de sécurité:
Rédacteur de marques de sécurité pour les résultats du centre de sécurité (
roles/securitycenter.findingSecurityMarksWriter
) -
Gérez les résultats de manière programmatique:
Éditeur de résultats du centre de sécurité (
roles/securitycenter.findingsEditor
) -
Accordez un accès entrant à un périmètre de service VPC Service Controls:
Éditeur Access Context Manager (
roles/accesscontextmanager.policyEditor
) -
Effectuez l'une des tâches de cette page:
Administrateur des paramètres du centre de sécurité (
roles/securitycenter.settingsAdmin
)
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.
Activer et désactiver des détecteurs
La désactivation des détecteurs peut avoir un impact sur l'état des résultats actifs. Lorsqu’un détecteur est désactivé, les résultats existants sont automatiquement marqués comme inactifs.
Lorsque vous activez Security Command Center au niveau de l'organisation, pouvez désactiver Security Health Analytics ou des détecteurs spécifiques pour des dossiers ou projets. Si Security Health Analytics ou les détecteurs sont désactivés pour les dossiers et les projets, tous les résultats existants associés aux éléments de ces ressources sont marqués comme inactifs.
Les détecteurs Security Health Analytics suivants pour Google Cloud sont désactivées par défaut:
ALLOYDB_AUTO_BACKUP_DISABLED
ALLOYDB_CMEK_DISABLED
BIGQUERY_TABLE_CMEK_DISABLED
BUCKET_CMEK_DISABLED
CLOUD_ASSET_API_DISABLED
DATAPROC_CMEK_DISABLED
DATASET_CMEK_DISABLED
DISK_CMEK_DISABLED
DISK_CSEK_DISABLED
NODEPOOL_BOOT_CMEK_DISABLED
PUBSUB_CMEK_DISABLED
SQL_CMEK_DISABLED
SQL_NO_ROOT_PASSWORD
SQL_WEAK_ROOT_PASSWORD
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED
Pour activer ou désactiver un module de détection Security Health Analytics, procédez comme suit:
Console
Vous pouvez activer ou désactiver les détecteurs dans l'onglet Modules de la Page Security Health Analytics dans les paramètres Security Command Center dans la console Google Cloud. Les détecteurs peuvent être activés ou désactivés au niveau de l'organisation ou du projet.
gcloud
Pour activer un détecteur (également appelé module), exécutez la commande gcloud alpha scc settings services modules enable
.
Si vous avez activé Security Command Center au niveau de l'organisation, exécutez la la commande suivante:
gcloud alpha scc settings services modules enable \
--organization=ORGANIZATION_ID \
--service=SECURITY_HEALTH_ANALYTICS \
--module=DETECTOR_NAME
Remplacez les éléments suivants :
ORGANIZATION_ID
: ID de votre organisation.DETECTOR_NAME
: nom du détecteur que vous souhaitez activer
Si vous avez activé Security Command Center au niveau du projet, exécutez la commande suivante : commande:
gcloud alpha scc settings services modules enable \
--project=PROJECT_ID \
--service=SECURITY_HEALTH_ANALYTICS \
--module=DETECTOR_NAME
Remplacez les éléments suivants :
PROJECT_ID
: ID de votre projet.DETECTOR_NAME
: nom du détecteur que vous souhaitez activer
Pour désactiver un détecteur, exécutez la
gcloud alpha scc settings services modules disable
.
Si vous avez activé Security Command Center au niveau de l'organisation, exécutez la la commande suivante:
gcloud alpha scc settings services modules disable \
--organization=ORGANIZATION_ID \
--service=SECURITY_HEALTH_ANALYTICS \
--module=DETECTOR_NAME
Remplacez les éléments suivants :
ORGANIZATION_ID
: ID de votre organisation.DETECTOR_NAME
: nom du détecteur souhaité pour désactiver
Si vous avez activé Security Command Center au niveau du projet, exécutez la commande suivante : commande:
gcloud alpha scc settings services modules disable \
--project=PROJECT_ID \
--service=SECURITY_HEALTH_ANALYTICS \
--module=DETECTOR_NAME
Remplacez les éléments suivants :
PROJECT_ID
: ID de votre projet.DETECTOR_NAME
: nom du détecteur souhaité pour désactiver
Filtrer les résultats dans la console Google Cloud
Une grande organisation peut avoir de nombreux résultats de failles à examiner, trier et suivre dans tout son déploiement. En utilisant les filtres disponibles sur les pages Failles et Résultats de Security Command Center. dans la console Google Cloud, vous pouvez vous concentrer sur le niveau de gravité le plus élevé les failles de votre entreprise et les examiner le type d'asset, le projet, etc.
Pour en savoir plus sur le filtrage des résultats de failles, consultez la section Filtrer les résultats de failles dans Security Command Center.
Gérer les résultats à l'aide de cas
Security Command Center ouvre automatiquement une demande dans la console Security Operations pour les résultats de failles et de configuration incorrecte dont le niveau de gravité est HIGH
ou CRITICAL
. Une demande peut contenir plusieurs résultats associés.
Le cas d'utilisation, qui peut être intégré votre système de billetterie préféré, afin de gérer l'enquête et la remédiation ; des résultats, en affectant des propriétaires, en examinant les informations connexes et, playbooks, automatisez votre workflow de réponse.
Si un résultat est associé à une demande d'assistance, vous trouverez un lien vers sa demande sur la des détails du résultat. Ouvrez la page d'informations d'un résultat de la la page Résultats de la console Google Cloud. Vous pouvez également consulter le nombre total de cas de failles ouverts sur la page Présentation des risques de la console Google Cloud.
Pour en savoir plus sur les demandes, consultez Présentation des demandes
Ignorer les résultats
Pour contrôler le volume des résultats dans la console Google Cloud, vous pouvez ignorer de façon programmatique des résultats individuels ou créer des règles Ignorer ignorer automatiquement les résultats en fonction des filtres que vous définissez. Il existe deux types de règles de coupure du son que vous pouvez utiliser pour contrôler le volume de recherche:
- Règles Ignorer statiques qui ignorent indéfiniment les résultats futurs.
- Règles Ignorer dynamiques proposant une option permettant de désactiver temporairement les notifications et actuelles les résultats futurs.
Nous vous recommandons d'utiliser exclusivement des règles Ignorer dynamiques afin de réduire le nombre les résultats que vous examinez manuellement. Pour éviter toute confusion, nous vous déconseillons d'utiliser les deux les règles de coupure du son statiques et dynamiques simultanément. Pour comparer les deux règles consultez la section Types de notifications règles.
Les résultats que vous ignorez dans la console Google Cloud sont masqués et mises sous silence, mais qui sont consignées pour l'audit et à des fins de conformité. Vous pouvez afficher les résultats ignorés ou les réactiver à tout moment. À Pour en savoir plus, consultez Ignorez des résultats dans Security Command Center.
Marquer des éléments et des résultats avec des marques de sécurité
Dans Security Command Center, vous pouvez ajouter des propriétés personnalisées aux résultats et aux éléments à l'aide de marques de sécurité. Celles-ci vous permettent d'identifier les domaines d'intérêt prioritaires, tels que les projets de production, les résultats de tags avec des numéros de suivi des bugs et des incidents, etc.
Pour les éléments, vous ne pouvez ajouter des marques de sécurité qu'aux éléments qui Compatibilité avec Security Command Center. Pour obtenir la liste des éléments acceptés, consultez Types d'éléments compatibles avec Security Command Center
Ajouter des éléments à des listes d'autorisation
Bien que ce ne soit pas une méthode recommandée, vous pouvez supprimer les résultats inutiles en ajoutant des marques de sécurité dédiées aux éléments afin que les détecteurs Security Health Analytics ne génèrent pas de résultats de sécurité pour ces ressources.
L'approche recommandée et la plus efficace pour contrôler le volume des résultats consiste à ignorer des résultats. Ignorez les résultats dont vous n'avez pas besoin soit pour des éléments isolés, soit pour les résultats entrent dans des paramètres métier acceptables.
Lorsque vous appliquez des marques de sécurité dédiées à des éléments, ceux-ci sont ajouté à une liste d'autorisation dans Security Health Analytics, qui marque tous les résultats pour ces éléments comme résolu lors de la prochaine analyse de lot.
Les marques de sécurité dédiées doivent être appliquées directement aux éléments, et non aux résultats, comme décrit dans la section Fonctionnement des listes d'autorisation plus loin sur cette page. Si vous appliquez une marque à un résultat, l'élément sous-jacent peut toujours générer des résultats.
Fonctionnement des listes d'autorisation
Chaque détecteur Security Health Analytics possède un type de marque dédié pour la liste d'autorisation, sous la forme allow_FINDING_TYPE:true
. Ajout de
marque dédiée à un élément compatible avec Security Command Center
vous permet d'exclure l'élément de la règle de détection.
Par exemple, pour exclure le type de résultat SSL_NOT_ENFORCED
, définissez la valeur
allow_ssl_not_enforced:true
sur l'instance Cloud SQL associée.
Le détecteur spécifié ne crée pas de résultats pour les éléments marqués.
Pour obtenir la liste complète des types de résultats, consultez la Liste des détecteurs Security Health Analytics Pour en savoir plus sur les marques de sécurité et les techniques d’utilisation, consultez Utiliser des marques de sécurité
Types d'éléments
Cette section décrit le fonctionnement des marques de sécurité pour différents éléments.
Éléments d'une liste d'autorisation:lorsque vous ajoutez une marque dédiée à un élément, tel qu'un bucket Cloud Storage ou un pare-feu, le résultat associé est marqué comme résolu lors de l'exécution de la prochaine analyse par lot. Le détecteur ne génère pas ou mettre à jour des résultats existants pour l'élément jusqu'à ce que la marque soit supprimée.
Projets de liste d'autorisation: lorsque vous ajoutez une marque à une ressource de projet, les résultats pour lesquels le projet lui-même est la ressource analysée ou cible sont résolus. Toutefois, les éléments contenus dans le projet, tels que les machines virtuelles ou les clés cryptographiques, peuvent toujours générer des résultats. Cette marque de sécurité n'est disponible que si vous activez le niveau Premium de Security Command Center au niveau de l'organisation.
Dossiers de liste d'autorisation: lorsque vous ajoutez une marque à une ressource de dossier, les résultats pour lesquels le dossier lui-même est la ressource analysée ou cible sont résolus. Toutefois, les éléments contenus dans le dossier, y compris les projets, peuvent toujours générer des résultats. Cette marque de sécurité est uniquement disponible si vous activez le niveau Premium de Security Command Center au niveau de l'organisation.
Détecteurs compatibles avec plusieurs éléments: si un détecteur est compatible avec plusieurs types d'éléments, vous devez appliquer la marque dédiée à chaque élément. Par exemple, le détecteur
KMS_PUBLIC_KEY
est compatible avec les éléments Cloud Key Management ServiceCryptoKey
etKeyRing
. Si vous appliquez la marqueallow_kms_public_key:true
àCryptoKey
l'élément, puisKMS_PUBLIC_KEY
résultats pour cet élément sont résolus. Toutefois, des résultats peuvent toujours être générés pour l'élémentKeyRing
.
Les marques de sécurité ne sont mises à jour que lors des analyses par lot, et non en temps réel. Si un la marque de sécurité dédiée est supprimée et que l'élément présente une faille, il peut s'écouler jusqu'à 24 heures avant que la marque soit supprimée et qu'un résultat soit écrit.
Détecteur de cas particulier : clés de chiffrement fournies par le client
La
DISK_CSEK_DISABLED
n'est pas activé par défaut. Pour utiliser ce détecteur, vous devez marquer les éléments pour lesquels vous souhaitez utiliser des clés de chiffrement autogérées.
Pour activer le détecteur DISK_CSEK_DISABLED
pour des assets spécifiques, procédez comme suit :
appliquer la marque de sécurité
enforce_customer_supplied_disk_encryption_keys
à l'élément dont la valeur est
true
Afficher le nombre de résultats actifs par type de résultat
Vous pouvez utiliser la console Google Cloud ou les commandes Google Cloud CLI pour afficher le nombre de résultats actifs par type de résultat.
Console
La console Google Cloud vous permet d'afficher le nombre de résultats actifs pour chaque type de résultat.
Pour afficher les résultats de Security Health Analytics par type de résultat, procédez comme suit :
Accédez à Security Command Center dans la console Google Cloud.
Pour afficher les résultats de Security Health Analytics, cliquez sur la page Vulnerabilities (Failles).
Pour trier les résultats en fonction du nombre de résultats actifs pour chaque type de résultat, cliquez sur l'en-tête de colonne Actif.
gcloud
Pour utiliser gcloud CLI afin d'obtenir le décompte de tous les résultats actifs, interrogez Security Command Center pour obtenir l'ID source de Security Health Analytics. Utilisez ensuite l'ID source pour interroger le nombre de résultats actifs.
Étape 1 : Obtenir l'ID source
Pour effectuer cette étape, vous devez disposer de l'ID de votre organisation. Pour obtenir l'ID de votre organisation, exécutez la commande gcloud organizations list
et notez le numéro affiché à côté du nom de l'organisation.
Pour obtenir l'ID source de Security Health Analytics, exécutez la commande suivante:
gcloud scc sources describe organizations/ORGANIZATION_ID \
--source-display-name="Security Health Analytics"
Si vous ne l'avez pas encore fait, vous êtes invité à activer l'API Security Command Center. Lorsque l'API Security Command Center est activée, exécutez à nouveau la commande précédente. La commande doit afficher un résultat semblable au suivant :
description: Scans for deviations from a GCP security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID
Notez la valeur de SOURCE_ID
afin de pouvoir l'utiliser à l'étape suivante.
Étape 2 : Obtenir le nombre de résultats actifs
Utilisez le SOURCE_ID
que vous avez noté à l'étape précédente pour
filtrer les résultats de Security Health Analytics. La gcloud CLI suivante
renvoient un nombre de résultats par catégorie.
Si vous avez activé Security Command Center au niveau de l'organisation, exécutez la la commande suivante:
gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
--group-by=category --page-size=PAGE_SIZE
Si vous avez activé Security Command Center au niveau du projet, exécutez la commande suivante : commande:
gcloud scc findings group projects/PROJECT_ID/sources/SOURCE_ID \
--group-by=category --page-size=PAGE_SIZE
Vous pouvez définir la taille de la page sur n'importe quelle valeur jusqu'à 1 000. La commande doit afficher un résultat semblable à celui-ci, avec les résultats de votre organisation:
groupByResults:
- count: '1'
properties:
category: MFA_NOT_ENFORCED
- count: '3'
properties:
category: ADMIN_SERVICE_ACCOUNT
- count: '2'
properties:
category: API_KEY_APIS_UNRESTRICTED
- count: '1'
properties:
category: API_KEY_APPS_UNRESTRICTED
- count: '2'
properties:
category: API_KEY_EXISTS
- count: '10'
properties:
category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
properties:
category: AUDIT_LOGGING_DISABLED
- count: '1'
properties:
category: AUTO_UPGRADE_DISABLED
- count: '10'
properties:
category: BUCKET_IAM_NOT_MONITORED
- count: '10'
properties:
category: BUCKET_LOGGING_DISABLED
nextPageToken: TOKEN
readTime: '2023-08-05T21:56:13.862Z'
totalSize: 50
Gérer les résultats de manière
L'utilisation de la CLI Google Cloud avec le SDK Security Command Center vous permet d'automatiser presque tout ce que vous pouvez faire avec Security Command Center dans la console Google Cloud. Vous pouvez également corriger de nombreux résultats à l'aide de la gcloud CLI. Pour en savoir plus, consultez la documentation sur les types de ressources décrits dans chaque résultat :
- Répertorier les résultats relatifs à la sécurité
- Créer, modifier et interroger des marques de sécurité
- Créer et mettre à jour des résultats de sécurité
- Créer, mettre à jour et répertorier des sources de résultats
- Configurer les paramètres de l'organisation
Pour exporter ou répertorier des éléments par programmation, utilisez l'inventaire des éléments cloud API. Pour en savoir plus, consultez Exporter l'historique et les métadonnées d'un élément.
Les méthodes et les champs d'éléments de l'API Security Command Center sont obsolètes et seront supprimés à partir du 26 juin 2024 ou après cette date.
Tant qu'ils ne sont pas supprimés, les utilisateurs ayant activé Security Command Center auparavant Possibilité d'utiliser les méthodes d'élément de l'API Security Command Center à partir du 26 juin 2023 mais ces méthodes ne prennent en charge que les éléments Compatibilité avec Security Command Center.
Pour en savoir plus sur l'utilisation des méthodes obsolètes de l'API Asset, consultez les éléments des fiches.
Analyser des projets protégés par un périmètre de service
Cette fonctionnalité n'est disponible si vous activez le niveau Premium de Security Command Center au niveau de l'organisation.
Si un périmètre de service bloque l'accès à certains de vos projets et services, vous devez accorder au compte de service Security Command Center un accès entrant à ce périmètre de service. Sinon, Security Health Analytics ne peut pas produire de résultats liés aux projets et services protégés.
L'identifiant du compte de service est une adresse e-mail au format suivant :
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Remplacez ORGANIZATION_ID
par la valeur numérique.
identifiant de votre organisation.
Pour accorder à un compte de service un accès entrant à un périmètre de service, procédez comme suit : ces étapes.
Accédez à VPC Service Controls.
Dans la barre d'outils, sélectionnez votre organisation Google Cloud.
Dans la liste déroulante, sélectionnez la règle d'accès contenant le périmètre de service auquel vous souhaitez accorder l'accès.
Les périmètres de service associés à la règle d'accès apparaissent dans la liste.
Cliquez sur le nom du périmètre de service.
Cliquez sur
Modifier le périmètre.Dans le menu de navigation, cliquez sur Règle d'entrée.
Cliquez sur Add rule (Ajouter une règle).
Configurez la règle comme suit :
Attributs "FROM" du client API
- Pour Source, sélectionnez Toutes les sources.
- Pour Identité, sélectionnez Identités sélectionnées.
- Dans le champ Ajouter un utilisateur/compte de service, cliquez sur Sélectionner.
- Saisissez l'adresse e-mail du compte de service. Si vous avez à la fois des comptes de service au niveau de l'organisation et du projet, ajoutez-les tous les deux.
- Cliquez sur Enregistrer.
Attributs "TO" des services/ressources GCP
-
Pour Projet, sélectionnez Tous les projets.
Pour Services, sélectionnez Tous les services ou les options suivantes : services individuels dont Security Health Analytics a besoin:
- API BigQuery
- API Binary Authorization
- API Cloud Logging
- API Cloud Monitoring
- API Compute Engine
- API Kubernetes Engine
Si un périmètre de service limite l'accès à un service requis, Security Health Analytics ne peut pas produire de résultats pour ce service.
Dans le menu de navigation, cliquez sur Enregistrer.
Pour plus d'informations, consultez la section Configurer les règles d'entrée et de sortie.
Étape suivante
- En savoir plus Détecteurs et résultats Security Health Analytics.
- Lire les recommandations pour corriger les résultats de Security Health Analytics.
- Découvrez comment utiliser les marques de sécurité Security Command Center.
- En savoir plus sur les demandes
- En savoir plus sur à l'aide de Security Command Center dans la console Google Cloud pour examiner les éléments et les résultats.