Security Health Analytics verwenden

>

Ergebnisse von Security Health Analytics mit Security Command Center verwalten. Security Health Analytics ist ein integrierter Dienst im Security Command Center. Ergebnisse von Security Health Analytics müssen in den Einstellungen der Security Command Center-Dienste aktiviert werden.

Das folgende Video zeigt die Schritte zur Einrichtung von Security Health Analytics und bietet Informationen zum Verwenden des Dashboards. Weitere Informationen zum Ansehen und Verwalten von Security Health Analytics-Ergebnissen finden Sie weiter unten auf dieser Seite.

Ergebnisse von Security Health Analytics-Detektoren können im Security Command Center-Dashboard und mit der Security Command Center API durchsucht werden.

Scans werden etwa eine Stunde gestartet, nachdem Security Command Center aktiviert ist, und werden in zwei Modi ausgeführt: Dem Batchmodus, der täglich automatisch 12 Stunden Scans durchführt, und dem Echtzeitmodus, der Scans auf Änderungen der Asset-Konfiguration ausführt. Detektoren von Security Health Analytics, die den Echtzeitscanmodus nicht unterstützen, finden Sie unter Latenz des Security Command Center-Latenzbereichs.

Ergebnisse in Security Command Center filtern

Große Organisationen müssen für die Bereitstellung möglicherweise viele Sicherheitslücken prüfen, untersuchen und verfolgen. Wenn Sie die im Security Command Center verfügbaren Filter verwenden, können Sie sich auf die Probleme mit den höchsten Schweregraden in Ihrem Unternehmen konzentrieren und Sicherheitslücken nach Asset-Typ, Sicherheitsmarkierung und mehr prüfen.

Eine vollständige Liste der Detektoren und Ergebnisse von Security Health Analytics finden Sie auf der Seite Ergebnisse von Security Health Analytics.

Ergebnisse von Security Health Analytics nach Projekt ansehen

So listen Sie Security Health Analytics-Ergebnisse nach Projekt auf:

  1. Gehen Sie in der Cloud Console zum Security Command Center.

    Zum Security Command Center.

  2. Klicken Sie zum Aufrufen der Ergebnisse von Security Health Analytics auf den Tab Sicherheitslücken.

  3. Klicken Sie unter Projektfilter auf Ein Projekt zum Projektfilter hinzufügen ().

  4. Wählen Sie im angezeigten Suchdialog das Projekt aus, für das Sie Ergebnisse anzeigen möchten.

Der Tab Sicherheitslücken zeigt eine Liste der Ergebnisse für das ausgewählte Projekt an.

Ergebnisse von Security Health Analytics nach Ergebnistyp ansehen

So listen Sie Security Health Analytics-Ergebnisse nach Kategorie auf:

  1. Gehen Sie in der Cloud Console zum Security Command Center.
    Zu Security Command Center
  2. Klicken Sie zum Aufrufen der Ergebnisse von Security Health Analytics auf den Tab Sicherheitslücken.
  3. Wählen Sie in der Spalte Kategorie den Ergebnistyp aus, für den Sie Ergebnisse aufrufen möchten.

Im Tab Ergebnisse wird eine Liste mit Ergebnissen angezeigt, die der ausgewählten Kategorie entsprechen.

Ergebnisse nach Asset-Typ ansehen

So rufen Sie die Security Health Analytics-Ergebnisse für einen bestimmten Asset-Typ auf:

  1. Rufen Sie in der Cloud Console die Seite Ergebnisse des Security Command Center auf.
    Zur Seite "Ergebnisse"
  2. Klicken Sie neben Anzeigen nach auf Quelltyp und wählen Sie Security Health Analytics aus.
  3. Geben Sie im Feld Filtern resourceName: asset-type ein. Geben Sie beispielsweise resourceName: projects ein, um die Ergebnisse von Security Health Analytics für alle Projekte anzusehen.

Die Liste der Ergebnisse wird aktualisiert und zeigt alle Ergebnisse für den angegebenen Assettyp an.

Ergebnisse von Security Health Analytics nach Schweregrad ansehen

So listen Sie Security Health Analytics-Ergebnisse nach Schweregrad auf:

  1. Gehen Sie in der Cloud Console zum Security Command Center.
    Zu Security Command Center
  2. Klicken Sie zum Aufrufen der Ergebnisse von Security Health Analytics auf den Tab Sicherheitslücken.
  3. Klicken Sie auf die Spaltenüberschrift Schweregrad, um die Ergebnisse nach Schweregrad zu sortieren. Die Ergebniswerte sind HIGH, MEDIUM und LOW.

Weitere Informationen zu Ergebnistypen finden Sie unter Sicherheitslücken. Security Command Center bietet außerdem viele integrierte Attribute, einschließlich benutzerdefinierter Attribute wie Sicherheitsmarkierungen.

Nachdem Sie nach den für Sie wichtigen Sicherheitslücken gefiltert haben, können Sie detaillierte Informationen zum Ergebnis anzeigen lassen. Dazu wählen Sie die Sicherheitslücke in Security Command Center aus. Diese Information enthält beispielsweise eine Beschreibung der Sicherheitslücke und des Risikos sowie Empfehlungen zur Behebung.

Assets und Ergebnisse mit Sicherheitsmarkierungen versehen

Mithilfe von Sicherheitsmarkierungen können Sie Ergebnissen und Assets im Security Command Center benutzerdefinierte Attribute hinzufügen. Mit Sicherheitsmarkierungen können Sie wichtige Bereiche wie Produktionsprojekte, Tag-Ergebnisse mit Fehler- und Vorfallverfolgungsnummern kennzeichnen, und vieles mehr.

Sonderfall-Detektor: Vom Kunden bereitgestellte Verschlüsselungsschlüssel

Der Detektor DISK_CSEK_DISABLED gilt nicht für alle Nutzer. Damit Sie diesen Detektor verwenden können, müssen Sie die Assets markieren, für die Sie selbstverwaltete Verschlüsselungsschlüssel verwenden möchten.

Wenn Sie den Detektor DISK_CSEK_DISABLED für bestimmte Assets aktivieren möchten, wenden Sie die Sicherheitsmarkierung enforce_customer_supplied_disk_encryption_keys auf das Asset mit dem Wert true an.

Security Health Analytics-Ergebnisse mithilfe von Sicherheitsmarkierungen auf die Zulassungsliste setzen

Sie können Assets in Security Health Analytics auf die Zulassungsliste setzen, damit ein Detektor keine Warnung für das Asset erstellt. Wenn Sie ein Asset auf eine Zulassungsliste setzen, wird das Ergebnis beim nächsten Scan als geklärt gekennzeichnet. Dies kann nützlich sein, wenn Sie nicht die Warnungen von Projekten prüfen möchten, die isoliert sind oder unter akzeptable Geschäftsparameter fallen.

Wenn Sie einer Zulassungsliste ein Asset hinzufügen möchten, fügen Sie für einen bestimmten Ergebnistyp ein Sicherheitsmarkierung allow_finding-type hinzu. Beispiel: Verwenden Sie für den Ergebnistyp SSL_NOT_ENFORCED die Sicherheitsmarkierung allow_ssl_not_enforced:true.

Eine vollständige Liste der Ergebnistypen finden Sie in der Liste der Security Health Analytics-Detektoren weiter oben auf dieser Seite. Weitere Informationen zu Sicherheitsmarkierungen und -techniken finden Sie unter Security Command Center-Sicherheitsmarkierungen verwenden.

Anzahl der aktiven Ergebnisse nach Ergebnistyp ansehen

Mit der Cloud Console oder den Befehlen des gcloud-Befehlszeilentools können Sie die Anzahl aktiver Ergebnisse nach Typ anzeigen.

Console

Mit dem Security Health Analytics-Dashboard können Sie die Anzahl der aktiven Ergebnisse pro Ergebnistyp anzeigen.

So rufen Sie die Ergebnisse von Security Health Analytics auf, indem Sie nach dem Typ suchen:

  1. Gehen Sie in der Cloud Console zum Security Command Center.
    Zu Security Command Center
  2. Klicken Sie zum Aufrufen der Ergebnisse von Security Health Analytics auf den Tab Sicherheitslücken.
  3. Klicken Sie auf dem Spaltenheader Aktiv, um die Ergebnisse nach der Anzahl der aktiven Ergebnisse für jeden Suchtyp zu sortieren.

gcloud

Wenn Sie mit dem gcloud-Tool die Anzahl aller aktiven Ergebnisse abrufen möchten, fragen Sie Security Command Center ab, um die Quell-ID der Security Health Analytics abzurufen. Anschließend verwenden Sie die Quell-ID, um die Anzahl der aktiven Ergebnisse abzufragen.

Schritt 1: Quell-ID abrufen

Für diesen Schritt benötigen Sie Ihre Organisations-ID. Führen Sie gcloud organizations list aus und notieren Sie sich die Nummer neben dem Namen der Organisation, um Ihre Organisations-ID abzurufen.

Mit folgendem Befehl rufen Sie die ID der Security Health Analytics-Quelle ab:

gcloud scc-Quellen beschreiben Organisationen/your-organization-id
--source-display-name='Security Health Analytics'

Wenn Sie die Security Command Center API noch nicht aktiviert haben, werden Sie jetzt dazu aufgefordert. Wenn die Security Command Center API aktiviert ist, führen Sie den vorherigen Befehl noch einmal aus. Die Ausgabe sollte so aussehen:

description: Scans for deviations from a GCP security baseline.
displayName: Security Health Analytics
name: organizations/your-organization-id/sources/source-id

Notieren Sie sich die source-id, die Sie im nächsten Schritt benötigen.

Schritt 2: Anzahl der aktiven Ergebnisse abrufen

Verwenden Sie die im vorherigen Schritt notierte source-id, um Ergebnisse aus Security Health Analytics zu filtern. Der folgende Befehl des gcloud-Tools gibt die Anzahl der Ergebnisse nach Kategorie zurück:

gcloud scc findings group organizations/your-organization-id/sources/source-id \
 --group-by=category --page-size=page-size

Die Seitengröße kann auf einen Wert von maximal 1.000 festgelegt werden. Der Befehl sollte in etwa folgende Ausgabe mit den Ergebnissen Ihrer Organisation zurückgeben:

groupByResults:
- count: '1'
  properties:
    category: MFA_NOT_ENFORCED
- count: '3'
  properties:
    category: ADMIN_SERVICE_ACCOUNT
- count: '2'
  properties:
    category: API_KEY_APIS_UNRESTRICTED
- count: '1'
  properties:
    category: API_KEY_APPS_UNRESTRICTED
- count: '2'
  properties:
    category: API_KEY_EXISTS
- count: '10'
  properties:
    category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
  properties:
    category: AUDIT_LOGGING_DISABLED
- count: '1'
  properties:
    category: AUTO_UPGRADE_DISABLED
- count: '10'
  properties:
    category: BUCKET_IAM_NOT_MONITORED
- count: '10'
  properties:
    category: BUCKET_LOGGING_DISABLED
nextPageToken: token
      readTime: '2019-08-05T21:56:13.862Z'
      totalSize: 50

Ergebnisse programmgesteuert verwalten

Wenn Sie das gcloud-Befehlszeilentool mit dem Security Command Center SDK verwenden, können Sie alle Aktionen im Security Command Center-Dashboard automatisieren. Mit dem gcloud-Tool können Sie viele Ergebnisse beheben. Weitere Informationen finden Sie in der Dokumentation zu den Ressourcentypen, die in den einzelnen Ergebnissen beschrieben werden:

Nächste Schritte