Security Health Analytics verwenden

>

Ergebnisse von Security Health Analytics mit Security Command Center verwalten. Security Health Analytics ist ein integrierter Dienst in Security Command Center. Damit Security Health Analytics-Ergebnisse angezeigt werden, muss der Dienst unter Quellen und Dienste von Security Command Center aktiviert sein.

Das folgende Video zeigt die Schritte zur Einrichtung von Security Health Analytics und bietet Informationen zum Verwenden des Dashboards. Weitere Informationen zum Ansehen und Verwalten von Security Health Analytics-Ergebnissen finden Sie weiter unten auf dieser Seite.

Ergebnisse von Security Health Analytics-Detektoren können im Security Command Center-Dashboard und mit der Security Command Center API durchsucht werden. Wenn Security Health Analytics aktiviert ist, werden Scans jeden Tag automatisch im Abstand von zwölf Stunden ausgeführt. Security Health Analytics-Scans starten ca. eine Stunde nach der Aktivierung des Dienstes. Security Health Analytics-Scans können bei der ersten Ausführung bis zu 12 Stunden dauern.

Ergebnisse in Security Command Center filtern

Große Organisationen müssen für die Bereitstellung möglicherweise viele Sicherheitslücken prüfen, untersuchen und verfolgen. Wenn Sie Security Command Center mit den verfügbaren Filtern verwenden, können Sie sich auf die Probleme mit den höchsten Schweregraden in Ihrer Organisation konzentrieren und Sicherheitslücken nach Asset-Typ, Sicherheitsmarkierung und mehr prüfen.

Eine vollständige Liste der Detektoren und Ergebnisse von Security Health Analytics finden Sie auf der Seite Ergebnisse von Security Health Analytics.

Ergebnisse von Security Health Analytics nach Projekt ansehen

So listen Sie Security Health Analytics-Ergebnisse nach Projekt auf:

  1. Gehen Sie in der Cloud Console zum Security Command Center.

    Zum Security Command Center.

  2. Klicken Sie zum Aufrufen der Ergebnisse von Security Health Analytics auf den Tab Sicherheitslücken.

  3. Klicken Sie im Feld Projektfilter auf Projekt zum Projektfilter hinzufügen und wählen Sie das Projekt aus, für das Sie Ergebnisse aufrufen möchten.

Der Tab Sicherheitslücken zeigt eine Liste der Ergebnisse für das ausgewählte Projekt an.

Ergebnisse von Security Health Analytics nach Ergebnistyp ansehen

So listen Sie Security Health Analytics-Ergebnisse nach Kategorie auf:

  1. Gehen Sie in der Cloud Console zum Security Command Center.
    Zu Security Command Center
  2. Klicken Sie zum Aufrufen der Ergebnisse von Security Health Analytics auf den Tab Sicherheitslücken.
  3. Wählen Sie in der Spalte Ergebnistyp den Ergebnistyp aus, zu dem Sie Ergebnisse ansehen möchten.

Im Tab Ergebnisse wird eine Liste mit Ergebnissen angezeigt, die der ausgewählten Kategorie entsprechen.

Ergebnisse nach Asset-Typ ansehen

So rufen Sie die Security Health Analytics-Ergebnisse für einen bestimmten Asset-Typ auf:

  1. Rufen Sie in der Cloud Console die Seite Assets von Security Command Center auf.
    Zur Seite "Ergebnisse"
  2. Klicken Sie neben Anzeigen nach auf Quelltyp und wählen Sie Security Health Analytics aus.
  3. Geben Sie im Feld Filtern resourceName: asset-type ein. Geben Sie beispielsweise resourceName: projects ein, um die Ergebnisse von Security Health Analytics für alle Projekte anzusehen.

Die Liste der Ergebnisse wird aktualisiert und zeigt alle Ergebnisse für den angegebenen Assettyp an.

Ergebnisse von Security Health Analytics nach Schweregrad ansehen

So listen Sie Security Health Analytics-Ergebnisse nach Schweregrad auf:

  1. Gehen Sie in der Cloud Console zum Security Command Center.
    Zu Security Command Center
  2. Klicken Sie zum Aufrufen der Ergebnisse von Security Health Analytics auf den Tab Sicherheitslücken.
  3. Klicken Sie auf die Spaltenüberschrift Schweregrad, um die Ergebnisse nach den folgenden Werten zu sortieren: HIGH, MEDIUM, LOW.

Weitere Informationen zu Ergebnistypen finden Sie unter Ergebnisse zu Sicherheitslücken. Security Command Center bietet außerdem viele integrierte Attribute, einschließlich benutzerdefinierter Attribute wie Sicherheitsmarkierungen.

Nachdem Sie nach den für Sie wichtigen Sicherheitslücken gefiltert haben, können Sie detaillierte Informationen zum Ergebnis anzeigen lassen. Dazu wählen Sie die Sicherheitslücke in Security Command Center aus. Sie können beispielsweise eine Beschreibung der Sicherheitslücke und des Risikos sowie Empfehlungen zur Behebung anzeigen lassen.

Assets und Ergebnisse mit Sicherheitsmarkierungen kennzeichnen

Mithilfe von Sicherheitsmarkierungen können Sie Ergebnissen und Assets im Security Command Center benutzerdefinierte Attribute hinzufügen. Mit Sicherheitsmarkierungen können Sie wichtige Bereiche wie Produktionsprojekte, Tag-Ergebnisse mit Fehler- und Vorfallverfolgungsnummern kennzeichnen, und vieles mehr.

Sonderfall-Detektor: Vom Kunden bereitgestellte Verschlüsselungsschlüssel

Der Detektor DISK_CSEK_DISABLED gilt nicht für alle Nutzer. Damit Sie diesen Detektor verwenden können, müssen Sie die Assets markieren, für die Sie selbstverwaltete Verschlüsselungsschlüssel verwenden möchten.

Wenn Sie den Detektor DISK_CSEK_DISABLED für bestimmte Assets aktivieren möchten, wenden Sie die Sicherheitsmarkierung enforce_customer_supplied_disk_encryption_keys auf das Asset mit dem Wert true an.

Security Health Analytics-Ergebnisse mithilfe von Sicherheitsmarkierungen auf die Zulassungsliste setzen

Sie können Assets in Security Health Analytics auf die Zulassungsliste setzen, damit ein Detektor keine Warnung für das Asset erstellt. Wenn Sie ein Asset auf eine Zulassungsliste setzen, wird das Ergebnis beim nächsten Scan als geklärt gekennzeichnet. Dies kann nützlich sein, wenn Sie nicht die Warnungen von Projekten prüfen möchten, die isoliert sind oder unter akzeptable Geschäftsparameter fallen.

Wenn Sie einer Zulassungsliste ein Asset hinzufügen möchten, fügen Sie für einen bestimmten Ergebnistyp ein Sicherheitsmarkierung allow_finding-type hinzu. Beispiel: Verwenden Sie für den Ergebnistyp SSL_NOT_ENFORCED die Sicherheitsmarkierung allow_ssl_not_enforced:true.

Eine vollständige Liste der Ergebnistypen finden Sie in der Liste der Security Health Analytics-Detektoren weiter oben auf dieser Seite. Weitere Informationen zu Sicherheitsmarkierungen und -techniken finden Sie unter Security Command Center-Sicherheitsmarkierungen verwenden.

Anzahl der aktiven Ergebnisse nach Ergebnistyp ansehen

Mit der Cloud Console oder den Befehlen des gcloud-Befehlszeilentools können Sie die Anzahl aktiver Ergebnisse nach Typ anzeigen.

Console

Mit dem Security Health Analytics-Dashboard können Sie die Anzahl der aktiven Ergebnisse pro Ergebnistyp anzeigen.

So zeigen Sie die Ergebnisse von Security Health Analytics nach Typ an:

  1. Gehen Sie in der Cloud Console zum Security Command Center.
    Zu Security Command Center
  2. Klicken Sie zum Aufrufen der Ergebnisse von Security Health Analytics auf den Tab Sicherheitslücken.
  3. Klicken Sie auf die Spaltenüberschrift Aktiv, um die Ergebnisse nach der Anzahl aktiver Ergebnisse pro Ergebnistyp zu sortieren.

gcloud

Wenn Sie mit dem gcloud-Tool die Anzahl aller aktiven Ergebnisse abrufen möchten, fragen Sie Security Command Center ab, um die Quell-ID von Security Health Analytics abzurufen. Anschließend verwenden Sie die Quell-ID, um die Anzahl der aktiven Ergebnisse abzufragen.

Schritt 1: Quell-ID abrufen

Für diesen Schritt benötigen Sie Ihre Organisations-ID. Um Ihre Organisations-ID abzurufen, führen Sie gcloud organizations list aus und beachten Sie die Nummer neben dem Namen der Organisation.

Mit folgendem Befehl rufen Sie die ID der Security Health Analytics-Quelle ab:

gcloud scc-Quellen beschreiben Organisationen/your-organization-id
--source-display-name='Security Health Analytics'

Falls die Security Command Center API noch nicht aktiviert wurde, werden Sie zu deren Aktivierung aufgefordert. Wenn die Security Command Center API aktiviert ist, führen Sie den vorherigen Befehl noch einmal aus. Die Ausgabe des Befehls sollte so aussehen:

description: Scans for deviations from a GCP security baseline.
displayName: Security Health Analytics
name: organizations/your-organization-id/sources/source-id

Notieren Sie sich die source-id, die Sie im nächsten Schritt benötigen.

Schritt 2: Anzahl der aktiven Ergebnisse abrufen

Verwenden Sie die im vorherigen Schritt notierte source-id, um Ergebnisse aus Security Health Analytics zu filtern. Der folgende Befehl des gcloud-Tools gibt die Anzahl der Ergebnisse nach Kategorie zurück:

gcloud scc findings group organizations/your-organization-id/sources/source-id \
 --group-by=category --page-size=page-size

Die Seitengröße kann auf einen Wert von maximal 1.000 festgelegt werden. Der Befehl sollte in etwa folgende Ausgabe mit den Ergebnissen Ihrer Organisation zurückgeben:

groupByResults:
- count: '1'
  properties:
    category: 2SV_NOT_ENFORCED
- count: '3'
  properties:
    category: ADMIN_SERVICE_ACCOUNT
- count: '2'
  properties:
    category: API_KEY_APIS_UNRESTRICTED
- count: '1'
  properties:
    category: API_KEY_APPS_UNRESTRICTED
- count: '2'
  properties:
    category: API_KEY_EXISTS
- count: '10'
  properties:
    category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
  properties:
    category: AUDIT_LOGGING_DISABLED
- count: '1'
  properties:
    category: AUTO_UPGRADE_DISABLED
- count: '10'
  properties:
    category: BUCKET_IAM_NOT_MONITORED
- count: '10'
  properties:
    category: BUCKET_LOGGING_DISABLED
nextPageToken: token
      readTime: '2019-08-05T21:56:13.862Z'
      totalSize: 50

Ergebnisse programmgesteuert verwalten

Wenn Sie das gcloud-Befehlszeilentool mit dem Security Command Center SDK verwenden, können Sie alle Aktionen im Security Command Center-Dashboard automatisieren. Mit dem gcloud-Tool können Sie viele Ergebnisse beheben. Weitere Informationen finden Sie in der Dokumentation zu den Ressourcentypen, die in den einzelnen Ergebnissen beschrieben werden:

Nächste Schritte