Auf dieser Seite wird erläutert, wie Sie Ergebnisse von Security Health Analytics mit Security Command Center verwalten.
Security Health Analytics ist ein in Security Command Center integrierter Dienst, der die Ressourcen in Ihrer Cloud-Umgebung scannt und Ergebnisse für erkannte Fehlkonfigurationen ausgibt.
Damit Security Health Analytics-Ergebnisse empfangen werden können, muss der Dienst in den Einstellungen für Dienste von Security Command Center aktiviert sein.
Damit Sie Ergebnisse für eine andere Cloud-Plattform erhalten, muss Security Command Center mit der anderen Cloud-Plattform verbunden sein.
Ergebnisse von Security Health Analytics-Detektoren können in der Google Cloud Console über die Security Command Center API und, wenn Sie die Enterprise-Stufe von Security Command Center verwenden, auch in der Security Operations Console gesucht werden. Bei Ergebnissen mit der Wichtigkeitsstufe HIGH oder CRITICAL öffnet Security Command Center einen Fall in der Security Operations Console.
Scans beginnen etwa eine Stunde nach der Aktivierung von Security Command Center. Führen Sie die Ausführung in Google Cloud in zwei Modi aus: im Batchmodus, der automatisch einmal täglich ausgeführt wird, und im Echtzeitmodus, in dem Scans auf Asset-Konfigurationsänderungen ausgeführt werden.
Security Health Analytics-Detektoren, die den Echtzeitscan-Modus nicht unterstützen, sind in der Latenzübersicht von Security Command Center aufgeführt.
Security Health Analytics scannt andere Cloud-Plattformen nur im Batchmodus.
Die IAM-Rollen für Security Command Center können auf Organisations-, Ordner- oder Projektebene gewährt werden. Die Möglichkeit, Ergebnisse, Assets und Sicherheitsquellen anzusehen, zu bearbeiten, zu erstellen oder zu aktualisieren, hängt von der Ebene ab, auf die Ihnen Zugriff gewährt wurde. Weitere Informationen zu Security Command Center-Rollen finden Sie unter Zugriffssteuerung.
Detektoren aktivieren und deaktivieren
Die Deaktivierung von Detektoren kann sich auf den Status aktiver Ergebnisse auswirken. Wenn ein Detektor deaktiviert ist, werden vorhandene Ergebnisse automatisch als inaktiv markiert.
Wenn Sie Security Command Center auf Organisationsebene aktivieren, können Sie Security Health Analytics oder bestimmte Detektoren für bestimmte Ordner oder Projekte deaktivieren. Wenn Security Health Analytics oder Detektoren für Ordner und Projekte deaktiviert sind, werden alle vorhandenen Ergebnisse, die mit Assets in diesen Ressourcen verknüpft sind, als inaktiv markiert.
Weitere Informationen zum Aktivierungsstatus von
Die folgenden Security Health Analytics-Detektoren für Google Cloud sind standardmäßig deaktiviert:
BIGQUERY_TABLE_CMEK_DISABLEDBUCKET_CMEK_DISABLEDCLOUD_ASSET_API_DISABLEDDATAPROC_CMEK_DISABLEDDATASET_CMEK_DISABLEDDISK_CMEK_DISABLEDDISK_CSEK_DISABLEDNODEPOOL_BOOT_CMEK_DISABLEDPUBSUB_CMEK_DISABLEDSQL_CMEK_DISABLEDSQL_NO_ROOT_PASSWORDSQL_WEAK_ROOT_PASSWORDVPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED
Klicken Sie zum Aktivieren oder Deaktivieren eines Security Health Analytics-Erkennungsmoduls auf den Tab für Ihre bevorzugte Methode.
Google Cloud Console
Sie können Detektoren in der Google Cloud Console in den Einstellungen von Security Command Center auf dem Tab Module der Seite Security Health Analytics aktivieren oder deaktivieren. Die Detektoren können auf Organisations- oder Projektebene aktiviert oder deaktiviert werden.
gcloud
Zum Aktivieren eines Detektors (auch als Modul bezeichnet) führen Sie den gcloud alpha-Befehl modulesenable in der Google Cloud CLI auf Organisationsebene oder Projektebene aus.
Wenn Sie Security Command Center auf Organisationsebene aktiviert haben, führen Sie folgenden Befehl aus:
gcloud alpha scc settings services modules enable \
--organization=ORGANIZATION_ID \
--service=SECURITY_HEALTH_ANALYTICS \
--module=DETECTOR_NAME
Ersetzen Sie Folgendes:
- ORGANIZATION_ID: Ihre Organisations-ID.
- DETECTOR_NAME: der Name des Detektors, den Sie aktivieren möchten
Wenn Sie Security Command Center auf Projektebene aktiviert haben, führen Sie folgenden Befehl aus:
gcloud alpha scc settings services modules enable \
--project=PROJECT_ID \
--service=SECURITY_HEALTH_ANALYTICS \
--module=DETECTOR_NAME
Ersetzen Sie Folgendes:
- PROJECT_ID: Ihre Projekt-ID.
- DETECTOR_NAME: der Name des Detektors, den Sie aktivieren möchten
Führen Sie zum Deaktivieren eines Detektors den Befehl modules disable auf Organisationsebene oder auf Projektebene aus.
Wenn Sie Security Command Center auf Organisationsebene aktiviert haben, führen Sie folgenden Befehl aus:
gcloud alpha scc settings services modules disable \
--organization=ORGANIZATION_ID \
--service=SECURITY_HEALTH_ANALYTICS \
--module=DETECTOR_NAME
Ersetzen Sie Folgendes:
- ORGANIZATION_ID: Ihre Organisations-ID.
- DETECTOR_NAME: der Name des Detektors, den Sie deaktivieren möchten
Wenn Sie Security Command Center auf Projektebene aktiviert haben, führen Sie folgenden Befehl aus:
gcloud alpha scc settings services modules disable \
--project=PROJECT_ID \
--service=SECURITY_HEALTH_ANALYTICS \
--module=DETECTOR_NAME
Ersetzen Sie Folgendes:
- PROJECT_ID: Ihre Projekt-ID.
- DETECTOR_NAME: der Name des Detektors, den Sie deaktivieren möchten
Ergebnisse in der Google Cloud Console filtern
Große Organisationen können über ihr System hinweg viele Sicherheitslücken prüfen, untersuchen und verfolgen müssen. Wenn Sie Filter verwenden, die in der Google Cloud Console auf den Seiten Sicherheitslücken und Ergebnisse in Security Command Center verfügbar sind, können Sie sich auf die Sicherheitslücken mit dem höchsten Schweregrad in Ihrer Organisation konzentrieren und Sicherheitslücken nach Asset-Typ, Projekt usw. überprüfen.
Weitere Informationen zum Filtern von Ergebnissen zu Sicherheitslücken finden Sie unter Ergebnisse zu Sicherheitslücken in Security Command Center filtern.
Ergebnisse mit Fällen verwalten
Security Command Center öffnet in der Security Operations Console automatisch einen Fall für Ergebnisse von Sicherheitslücken und Fehlkonfigurationen mit dem Schweregrad HIGH oder CRITICAL. Ein einzelner Fall kann mehrere zusammengehörige Ergebnisse enthalten.
Verwenden Sie den Fall, der in Ihr bevorzugtes Ticketing-System eingebunden werden kann, um die Untersuchung und Behebung von Ergebnissen zu verwalten, indem Sie Inhaber zuweisen, zugehörige Informationen überprüfen und mit Playbooks Ihren Antwortworkflow automatisieren.
Wenn es für ein Ergebnis einen entsprechenden Fall gibt, finden Sie auf der Detailseite des Ergebnisses einen Link zum entsprechenden Fall. Öffnen Sie in der Google Cloud Console auf der Seite Ergebnisse die Detailseite für ein Ergebnis. Sie können auch die Gesamtzahl der offenen Fälle von Sicherheitslücken in der Google Cloud Console auf der Seite Risikoübersicht sehen.
Weitere Informationen zu Supportanfragen finden Sie in der Übersicht zu Supportanfragen.
Ergebnisse ausblenden
Um die Anzahl der Ergebnisse in der Google Cloud Console zu steuern, können Sie einzelne Ergebnisse manuell oder programmatisch ausblenden oder Ausblendungsregeln erstellen, die aktuelle und zukünftige Ergebnisse anhand von von Ihnen definierten Filtern automatisch ausblenden.
Ergebnisse, die Sie in der Google Cloud Console stummgeschaltet haben, werden ausgeblendet und stummgeschaltet, werden aber zu Audit- und Compliance-Zwecken weiterhin protokolliert. Sie können ausgeblendete Ergebnisse aufrufen und ihre Ausblendung jederzeit aufheben. Weitere Informationen finden Sie unter Ergebnisse in Security Command Center ausblenden.
Assets und Ergebnisse mit Sicherheitsmarkierungen versehen
Mithilfe von Sicherheitsmarkierungen können Sie Ergebnissen und Assets im Security Command Center benutzerdefinierte Attribute hinzufügen. Mit Sicherheitsmarkierungen können Sie wichtige Bereiche wie Produktionsprojekte, Tag-Ergebnisse mit Fehler- und Vorfallverfolgungsnummern kennzeichnen, und vieles mehr.
Bei Assets können Sie Sicherheitsmarkierungen nur für die Assets hinzufügen, die von Security Command Center unterstützt werden. Eine Liste der unterstützten Assets finden Sie unter Unterstützte Asset-Typen in Security Command Center.
Assets zu Zulassungslisten hinzufügen
Obwohl dies keine empfohlene Methode ist, können Sie unnötige Ergebnisse unterdrücken, indem Sie den Assets spezielle Sicherheitsmarkierungen hinzufügen, damit die Detektoren von Security Health Analytics keine Sicherheitsergebnisse für diese Assets erstellen.
Der empfohlene und effektivste Ansatz zur Steuerung des Ergebnisvolumens ist Ergebnisse ausblenden. Blenden Sie Ergebnisse aus, die Sie nicht überprüfen müssen, da sie entweder für isolierte Assets oder in akzeptable Geschäftsparameter fallen.
Wenn Sie bestimmte Sicherheitsmarkierungen auf Assets anwenden, werden die Assets einer Zulassungsliste in Security Health Analytics hinzugefügt, wodurch alle Ergebnisse für diese Assets beim nächsten Batch-Scan als gelöst markiert werden.
Dedizierte Sicherheitsmarkierungen müssen direkt auf Assets angewendet werden, nicht auf Ergebnisse. Weitere Informationen finden Sie weiter unten auf der Seite unter Funktionsweise von Zulassungslisten. Wenn Sie eine Markierung auf ein Ergebnis anwenden, kann das zugrunde liegende Asset dennoch Ergebnisse generieren.
Funktionsweise von Zulassungslisten
Jeder Detektor für Security Health Analytics hat einen dedizierten Markentyp für die Zulassungsliste im Format allow_FINDING_TYPE:true. Wenn Sie diese dedizierte Markierung einem Asset hinzufügen, das von Security Command Center unterstützt wird, können Sie das Asset von der Erkennungsrichtlinie ausschließen.
Wenn Sie beispielsweise den Ergebnistyp SSL_NOT_ENFORCED ausschließen möchten, setzen Sie das Sicherheitskennzeichen allow_ssl_not_enforced:true auf der zugehörigen Cloud SQL-Instanz.
Der angegebene Detektor erstellt keine Ergebnisse für markierte Assets.
Eine vollständige Liste der Ergebnistypen finden Sie in der Liste der Security Health Analytics-Detektoren. Weitere Informationen zu Sicherheitsmarkierungen und -techniken finden Sie unter Sicherheitsmarkierungen verwenden.
Asset-Typ
In diesem Abschnitt wird beschrieben, wie Sicherheitsmarkierungen für verschiedene Assets funktionieren.
Assets auf Zulassungsliste setzen: Wenn Sie einem Asset (z. B. ein Cloud Storage-Bucket oder einer Firewall) eine dedizierte Markierung hinzufügen, wird das zugehörige Ergebnis beim Ausführen des nächsten Batchscans als aufgelöst markiert. Der Detektor generiert erst neue Ergebnisse und aktualisiert vorhandene Ergebnisse für das Asset, bis die Markierung entfernt wird.
Projekte auf die Zulassungsliste setzen: Wenn Sie einer Projektressource eine Markierung hinzufügen, werden die Ergebnisse aufgelöst, für die das Projekt selbst gescannt wurde oder das Ziel ist. Inhalte innerhalb des Projekts, z. B. virtuelle Maschinen oder kryptografische Schlüssel, können jedoch weiterhin Ergebnisse generieren. Dieses Sicherheitszeichen ist nur verfügbar, wenn Sie die Premium-Stufe von Security Command Center auf Organisationsebene aktivieren.
Ordner auf die Zulassungsliste setzen: Wenn Sie einer Ordnerressource eine Markierung hinzufügen, werden die Ergebnisse aufgelöst, für die der Ordner selbst die Zielressource ist. Inhalte innerhalb des Ordners, einschließlich Projekten, können jedoch weiterhin Ergebnisse generieren. Dieses Sicherheitszeichen ist nur verfügbar, wenn Sie die Premium-Stufe von Security Command Center auf Organisationsebene aktivieren.
Detektoren, die mehrere Assets unterstützen: Wenn ein Detektor mehr als einen Asset-Typ unterstützt, müssen Sie die dedizierte Markierung auf jedes Asset anwenden. Der Detektor
KMS_PUBLIC_KEYunterstützt beispielsweise zwei Cloud Key Management Service-Assets: CryptoKey und KeyRing. Wenn Sie das Zeichenallow_kms_public_key:trueauf das CryptoKey-Asset anwenden, werden dieKMS_PUBLIC_KEY-Ergebnisse für dieses Asset aufgelöst, können aber trotzdem für das KeyRing-Asset generiert werden.
Sicherheitsmarkierungen werden nur während Batch-Scans aktualisiert, nicht in Echtzeit. Wenn also eine dedizierte Sicherheitsmarkierung entfernt wird und das Asset eine Sicherheitslücke aufweist, kann es bis zu 24 Stunden dauern, bis die Markierung gelöscht und ein Ergebnis geschrieben wird.
Sonderfall-Detektor: Vom Kunden bereitgestellte Verschlüsselungsschlüssel
Der Detektor DISK_CSEK_DISABLED ist standardmäßig nicht aktiviert. Damit Sie diesen Detektor verwenden können, müssen Sie die Assets markieren, für die Sie selbstverwaltete Verschlüsselungsschlüssel verwenden möchten.
Wenn Sie den Detektor DISK_CSEK_DISABLED für bestimmte Assets aktivieren möchten, wenden Sie die Sicherheitsmarkierung enforce_customer_supplied_disk_encryption_keys auf das Asset mit dem Wert true an.
Anzahl der aktiven Ergebnisse nach Ergebnistyp ansehen
Mit der Google Cloud Console oder den Befehlen der Google Cloud CLI können Sie die Anzahl aktiver Ergebnisse nach Typ anzeigen.
Google Cloud Console
Mit der Google Cloud Console können Sie die Anzahl der aktiven Ergebnisse für jeden Ergebnistyp anzeigen lassen.
So rufen Sie Ergebnisse von Security Health Analytics nach Art des Ergebnisses auf:
Gehen Sie in der Google Cloud Console zum Security Command Center.
Klicken Sie auf die Seite Vulnerabilities (Sicherheitslücken), um die Ergebnisse von Security Health Analytics aufzurufen.
Klicken Sie auf dem Spaltenheader Aktiv, um die Ergebnisse nach der Anzahl der aktiven Ergebnisse für jeden Suchtyp zu sortieren.
gcloud-Befehlszeilenbefehle
Wenn Sie mit der gcloud CLI die Anzahl aller aktiven Ergebnisse abrufen möchten, fragen Sie Security Command Center ab, um die Quell-ID von Security Health Analytics abzurufen. Anschließend verwenden Sie die Quell-ID, um die Anzahl der aktiven Ergebnisse abzufragen.
Schritt 1: Quell-ID abrufen
Für diesen Schritt benötigen Sie Ihre Organisations-ID. Führen Sie gcloud organizations list aus und notieren Sie sich die Nummer neben dem Namen der Organisation, um Ihre Organisations-ID abzurufen.
Führen Sie einen der folgenden Befehle aus, um die ID der Security Health Analytics-Quelle abzurufen, je nachdem, ob Sie Security Command Center auf Organisationsebene oder auf Projektebene aktiviert haben:
gcloud scc sources describe organizations/ORGANIZATION_ID \
--source-display-name='Security Health Analytics'
gcloud scc sources describe projects/PROJECT_ID \
--source-display-name='Security Health Analytics'
Wenn Sie die Security Command Center API noch nicht aktiviert haben, werden Sie jetzt dazu aufgefordert. Wenn die Security Command Center API aktiviert ist, führen Sie den vorherigen Befehl noch einmal aus. Die Ausgabe sollte so aussehen:
description: Scans for deviations from a GCP security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID
Notieren Sie sich die SOURCE_ID, die Sie im nächsten Schritt benötigen.
Schritt 2: Anzahl der aktiven Ergebnisse abrufen
Verwenden Sie die im vorherigen Schritt notierte SOURCE_ID, um Ergebnisse aus Security Health Analytics zu filtern. Die folgenden gcloud CLI-Befehle geben eine Anzahl von Ergebnissen nach Kategorie zurück.
Wenn Sie Security Command Center auf Organisationsebene aktiviert haben, führen Sie folgenden Befehl aus:
gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
--group-by=category --page-size=PAGE_SIZE
Wenn Sie Security Command Center auf Projektebene aktiviert haben, führen Sie folgenden Befehl aus:
gcloud scc findings group projects/PROJECT_ID/sources/SOURCE_ID \
--group-by=category --page-size=PAGE_SIZE
Die Seitengröße kann auf einen Wert von maximal 1.000 festgelegt werden. Der Befehl sollte in etwa folgende Ausgabe mit den Ergebnissen Ihrer Organisation zurückgeben:
groupByResults:
- count: '1'
properties:
category: MFA_NOT_ENFORCED
- count: '3'
properties:
category: ADMIN_SERVICE_ACCOUNT
- count: '2'
properties:
category: API_KEY_APIS_UNRESTRICTED
- count: '1'
properties:
category: API_KEY_APPS_UNRESTRICTED
- count: '2'
properties:
category: API_KEY_EXISTS
- count: '10'
properties:
category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
properties:
category: AUDIT_LOGGING_DISABLED
- count: '1'
properties:
category: AUTO_UPGRADE_DISABLED
- count: '10'
properties:
category: BUCKET_IAM_NOT_MONITORED
- count: '10'
properties:
category: BUCKET_LOGGING_DISABLED
nextPageToken: TOKEN
readTime: '2019-08-05T21:56:13.862Z'
totalSize: 50
Ergebnisse programmgesteuert verwalten
Wenn Sie die Google Cloud CLI mit dem Security Command Center SDK verwenden, können Sie nahezu alles automatisieren, was mit Security Command Center in der Google Cloud Console möglich ist. Mit der gcloud CLI können Sie viele Ergebnisse beheben. Weitere Informationen finden Sie in der Dokumentation zu den Ressourcentypen, die in den einzelnen Ergebnissen beschrieben werden:
- Sicherheitsergebnisse auflisten
- Sicherheitsmarkierungen erstellen, ändern und abfragen
- Sicherheitsergebnisse erstellen und aktualisieren
- Ergebnisquellen erstellen, aktualisieren und auflisten
- Organisationseinstellungen konfigurieren
Verwenden Sie die Cloud Asset Inventory API, um Assets programmatisch zu exportieren oder aufzulisten. Weitere Informationen findest du unter Asset-Verlauf und Metadaten exportieren.
Die Assetmethoden und Felder der Security Command Center API wurden verworfen und werden am oder nach dem 26. Juni 2024 entfernt.
Bis sie entfernt werden, können Nutzer, die Security Command Center vor dem 26. Juni 2023 aktiviert haben, die Asset-Methoden der Security Command Center API zum Auflisten von Assets verwenden. Diese Methoden unterstützen jedoch nur die Assets, die von Security Command Center unterstützt werden.
Informationen zur Verwendung der verworfenen Asset API-Methoden finden Sie unter Assets auflisten.
Von einem Dienstperimeter geschützte Projekte scannen
Diese Funktion ist nur verfügbar, wenn Sie die Premium-Stufe von Security Command Center auf Organisationsebene aktivieren.
Wenn SieDienstperimeter die den Zugriff auf bestimmte Projekte undDienste müssen Sie dem Security Command Center-Dienstkonto eingehenden Zugriff auf diesen Dienstperimeter gewähren. Andernfalls kann Security Health Analytics keine Ergebnisse zu den geschützten Projekten und Diensten erstellen.
Die ID des Dienstkontos ist eine E-Mail-Adresse im folgenden Format:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Ersetzen Sie ORGANIZATION_ID durch die numerische ID Ihrer Organisation.
Führen Sie die folgenden Schritte aus, um einem Dienstkonto eingehenden Zugriff auf einen Dienstperimeter zu gewähren.
Rufen Sie VPC Service Controls auf.
Wählen Sie in der Symbolleiste Ihre Google Cloud-Organisation aus.
Wählen Sie in der Drop-down-Liste die Zugriffsrichtlinie aus, die den Dienstperimeter enthält, auf den Sie Zugriff gewähren möchten.
Die mit der Zugriffsrichtlinie verknüpften Dienstperimeter werden in der Liste angezeigt.
Klicken Sie auf den Namen des Dienstes.
Klicken Sie auf Perimeter bearbeiten.
Klicken Sie im Navigationsmenü auf Richtlinie für eingehenden Traffic.
Klicken Sie auf Regel hinzufügen.
Konfigurieren Sie die Regel so:
FROM-Attribute des API-Clients
- Wählen Sie für Quelle die Option Alle Quellen aus.
- Wählen Sie unter Identität die Option Ausgewählte Identitäten aus.
- Klicken Sie im Feld Add User/Service Account (Nutzer/Dienstkonto hinzufügen) auf Select (Auswählen).
- Geben Sie die E-Mail-Adresse des Dienstkontos ein. Wenn Sie sowohl Dienstkonten auf Organisationsebene als auch auf Projektebene haben, fügen Sie beide hinzu.
- Klicken Sie auf Speichern.
TO-Attribute von GCP-Diensten/-Ressourcen
-
Wählen Sie für Projekt die Option Alle Projekte aus.
Wählen Sie unter Dienste die Option Alle Dienste oder jeden der folgenden Dienste aus, die für Security Health Analytics erforderlich sind:
- BigQuery API
- Binary Authorization API
- Cloud Logging API
- Cloud Monitoring API
- Compute Engine API
- Kubernetes Engine API
Wenn ein Dienstperimeter den Zugriff auf einen erforderlichen Dienst einschränkt, kann Security Health Analytics keine Ergebnisse für diesen Dienst generieren.
Klicken Sie im Navigationsmenü auf Speichern.
Weitere Informationen finden Sie unter Richtlinien für eingehenden und ausgehenden Traffic konfigurieren.
Nächste Schritte
- Weitere Informationen zu Detektoren und Ergebnissen von Security Health Analytics
- Lesen Sie die Empfehlungen zum Korrigieren von Security Health Analytics-Ergebnissen.
- Weitere Informationen zur Verwendung von Security Command Center-Sicherheitsmarkierungen
- Weitere Informationen zu Supportanfragen
- Weitere Informationen zur Verwendung von Security Command Center in der Google Cloud Console zum Überprüfen von Assets und Ergebnissen.