Usa las estadísticas de estado de seguridad

En esta página, se explica cómo administrar los resultados de las estadísticas de estado de seguridad mediante Security Command Center.

Security Health Analytics es un servicio integrado en Security Command Center que analiza los recursos de tu entorno de nube y genera hallazgos para cualquier configuración incorrecta que detecte.

Para recibir los resultados de Security Health Analytics, el servicio debe estar habilitado en la configuración de Servicios de Security Command Center.

Para crear hallazgos relacionados con los recursos de Amazon Web Services (AWS), Security Command Center debe estar conectado a AWS.

Los resultados de los detectores de estadísticas de estado de seguridad se pueden buscar en la consola deGoogle Cloud y con la API de Security Command Center.

Los análisis comienzan aproximadamente una hora después de que se habilita Security Command Center. En Google Cloud, se ejecuta en dos modos: modo por lotes, que se ejecuta automáticamente una vez al día, y modo en tiempo real, que ejecuta análisis en función de los cambios de configuración de los activos.

Los detectores de Security Health Analytics que no admiten el modo de análisis en tiempo real se enumeran en la Descripción general de la latencia de Security Command Center.

Security Health Analytics analiza otras plataformas en la nube solo en modo de lote.

Antes de comenzar

Para obtener los permisos que necesitas para administrar los resultados de Security Health Analytics, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu organización, carpeta o proyecto:

• Habilitar y, luego, inhabilitar detectores: Editor de configuración del centro de seguridad (roles/securitycenter.settingsEditor)
• Visualiza y filtra los hallazgos: Visualizador de hallazgos del centro de seguridad (roles/securitycenter.findingsViewer)
• Administra las reglas de silenciamiento: Editor de parámetros de configuración de elementos silenciados del centro de seguridad (roles/securitycenter.muteConfigsEditor)
• Administrar marcas de seguridad: Escritor de marcas de seguridad de hallazgos del centro de seguridad (roles/securitycenter.findingSecurityMarksWriter)
• Administrar hallazgos de forma programática: Editor de hallazgos del Centro de seguridad (roles/securitycenter.findingsEditor)
• Otorga acceso entrante a un perímetro de servicio de los Controles del servicio de VPC: Editor de Access Context Manager (roles/accesscontextmanager.policyEditor)
• Completar cualquier tarea en esta página: Administrador de configuración del Centro de seguridad (roles/securitycenter.settingsAdmin)

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Inhabilita y habilita los detectores

Inhabilitar los detectores puede afectar el estado de los resultados activos. Cuando un detector está inhabilitado, los resultados existentes se marcan automáticamente como inactivos.

Cuando activas Security Command Center a nivel de la organización, puedes inhabilitar Security Health Analytics o detectores específicos para carpetas o proyectos específicos. Si Security Health Analytics o los detectores están desactivados para las carpetas y los proyectos, todos los resultados existentes adjuntos a los elementos en esos recursos se marcan como inactivos.

Los siguientes detectores de Security Health Analytics para Google Cloud están inhabilitados de forma predeterminada:

• ALLOYDB_AUTO_BACKUP_DISABLED
• ALLOYDB_CMEK_DISABLED
• BIGQUERY_TABLE_CMEK_DISABLED
• BUCKET_CMEK_DISABLED
• CLOUD_ASSET_API_DISABLED
• DATAPROC_CMEK_DISABLED
• DATASET_CMEK_DISABLED
• DISK_CMEK_DISABLED
• DISK_CSEK_DISABLED
• NODEPOOL_BOOT_CMEK_DISABLED
• PUBSUB_CMEK_DISABLED
• SQL_CMEK_DISABLED
• SQL_NO_ROOT_PASSWORD
• SQL_WEAK_ROOT_PASSWORD
• VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Para habilitar o inhabilitar un módulo de detección de Security Health Analytics, haz lo siguiente:

gcloud alpha scc settings services modules enable \
    --organization=ORGANIZATION_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

gcloud alpha scc settings services modules enable \
    --project=PROJECT_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

gcloud alpha scc settings services modules disable \
    --organization=ORGANIZATION_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

gcloud alpha scc settings services modules disable \
    --project=PROJECT_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

Para obtener más información sobre los estados en Security Health Analytics, consulta Estados de los resultados.

Cómo filtrar resultados en la consola de Google Cloud

Una organización grande podría tener muchos resultados de vulnerabilidad en su implementación para revisar, clasificar y hacer un seguimiento. Si usas los filtros disponibles en las páginas Vulnerabilidades y Resultados de Security Command Center en la consola de Google Cloud , puedes enfocarte en las vulnerabilidades de mayor gravedad en toda la organización y revisar las vulnerabilidades por tipo de recurso, proyecto y mucho más.

Para obtener más información sobre cómo filtrar los resultados de vulnerabilidades, consulta Cómo filtrar los resultados de vulnerabilidades en Security Command Center.

Administra los hallazgos con casos

Security Command Center abre automáticamente un caso en la consola de Security Operations para las amenazas, las combinaciones tóxicas y los resultados relacionados con las combinaciones tóxicas. Un solo caso puede contener varios hallazgos relacionados.

Usa el caso, que se puede integrar con tu sistema de venta de entradas preferido, para administrar la investigación y la corrección de los hallazgos. Para ello, asigna propietarios, revisa la información relacionada y, con las guías, automatiza tu flujo de trabajo de respuesta.

Si un hallazgo tiene un caso correspondiente, puedes encontrar un vínculo a él en la página de detalles del hallazgo. Abre la página de detalles de un hallazgo desde la página Hallazgos.

Para obtener más información sobre los casos, consulta Descripción general de los casos.

Silenciar resultados

Para controlar el volumen de resultados en la consola de Google Cloud , puedes silenciar de forma manual o programática resultados individuales o crear reglas de silenciamiento que silencien automáticamente los resultados según los filtros que definas. Existen dos tipos de reglas de silencio que puedes usar para controlar el volumen de la búsqueda:

• Reglas de silenciamiento estáticas que silencian indefinidamente los resultados futuros.
• Reglas de silenciamiento dinámico que contienen una opción para silenciar temporalmente los resultados actuales y futuros.

Te recomendamos que uses las reglas de silencio dinámico de forma exclusiva para reducir la cantidad de hallazgos que revisas de forma manual. Para evitar confusiones, no recomendamos usar reglas de silencio estáticas y dinámicas de forma simultánea. Para ver una comparación de los dos tipos de reglas, consulta Tipos de reglas de silencio.

Los resultados que silencias en la consola de Google Cloud se ocultan y silencian, pero se siguen registrando con fines de auditoría y cumplimiento. Puedes ver los resultados silenciados o dejar de silenciarlos en cualquier momento. Para obtener más información, consulta Silencia resultados en Security Command Center.

Marca elementos y resultados con marcas de seguridad

Puedes agregar propiedades personalizadas a los resultados y a los recursos en Security Command Center mediante marcas de seguridad. Las marcas de seguridad te permiten identificar áreas de interés de alta prioridad, como los proyectos de producción, el descubrimiento de etiquetas con números de seguimiento de incidentes y errores, y mucho más.

En el caso de los recursos, solo puedes agregar marcas de seguridad a aquellos que sean compatibles con Security Command Center. Para obtener la lista de los recursos admitidos, consulta Tipos de recursos admitidos en Security Command Center.

Agrega elementos a las listas de entidades permitidas

Si bien no es un método recomendado, puedes suprimir los resultados innecesarios agregando marcas de seguridad específicas a los recursos para que los detectores de Security Health Analytics no creen resultados de seguridad para esos recursos.

El enfoque recomendado y más eficaz para controlar el volumen de los resultados es silenciarlos. Silencia los resultados que no necesites revisar, ya sea porque son de recursos aislados o porque se encuentran dentro de los parámetros comerciales aceptables.

Cuando aplicas marcas de seguridad específicas a los recursos, estos se agregan a una lista de entidades permitidas en Security Health Analytics, que marca los resultados de esos recursos como resueltos durante el siguiente análisis por lotes.

Las marcas de seguridad específicas se deben aplicar directamente a los recursos, no a los resultados, como se describe en Cómo funcionan las listas de entidades permitidas más adelante en esta página. Si aplicas una marca a un resultado, el recurso subyacente puede generar resultados.

Cómo funcionan las listas de entidades permitidas

Cada detector de Security Health Analytics tiene un tipo de marca dedicado para las listas de entidades permitidas, con el formato allow_FINDING_TYPE:true. Agregar esta marca específica a un recurso compatible con Security Command Center te permite excluirlo de la política de detección.

Por ejemplo, para excluir el tipo de resultado SSL_NOT_ENFORCED, configura la marca de seguridad allow_ssl_not_enforced:true en la instancia de Cloud SQL relacionada. El detector especificado no creará resultados para los recursos marcados.

Para obtener una lista completa de los tipos de resultados, consulta la lista de detectores de estadísticas del estado de la seguridad. Si deseas obtener más información sobre las marcas de seguridad y las técnicas para usarlas, consulta Usa marcas de seguridad.

Tipos de recursos

En esta sección, se describe cómo funcionan las marcas de seguridad en diferentes recursos.

• Recursos de lista de entidades permitidas: Cuando agregas una marca específica a un recurso, como un firewall o un bucket de Cloud Storage, el resultado asociado se marca como resuelto cuando se ejecuta el análisis por lotes siguiente. El detector no generará resultados nuevos ni actualizará los resultados existentes para el recurso hasta que se quite la marca.

• Proyectos de lista de entidades permitidas: Cuando agregas una marca a un recurso de proyecto, se resuelven los resultados para los que el proyecto en sí es el recurso analizado o de destino. Sin embargo, los elementos contenidos en el proyecto, como las máquinas virtuales o las claves criptográficas, aún pueden generar resultados. Esta marca de seguridad solo está disponible si activas el nivel Premium de Security Command Center a nivel de la organización.

• Carpetas de lista de entidades permitidas: Cuando agregas una marca a un recurso de carpeta, los resultados para los que la carpeta en sí se analiza, o el destino, se resuelven. Sin embargo, los elementos que se encuentran dentro de las carpetas, incluidos los proyectos, aún pueden generar resultados. Esta marca de seguridad solo está disponible si activas el nivel Premium de Security Command Center a nivel de la organización.

• Detectores que admiten varios recursos: Si un detector admite más de un tipo de recurso, debes aplicar la marca dedicada a cada recurso. Por ejemplo, el detector KMS_PUBLIC_KEY admite los recursos CryptoKey y KeyRing de Cloud Key Management Service. Si aplicas la marca allow_kms_public_key:true al recurso CryptoKey, se resolverán los resultados de KMS_PUBLIC_KEY para ese recurso. Sin embargo, aún se pueden generar resultados para el recurso KeyRing.

Las marcas de seguridad solo se actualizan durante los análisis por lotes, no en tiempo real. Si se quita una marca de seguridad dedicada y el recurso tiene una vulnerabilidad, pueden pasar hasta 24 horas antes de que se borre la marca y se escriba un resultado.

Detector de casos especiales: Claves de encriptación proporcionadas por el cliente

El detector DISK_CSEK_DISABLED no está activado de forma predeterminada. Si quieres usar este detector, debes marcar los recursos para los que quieres usar claves de encriptación autoadministradas.

Para habilitar el detector DISK_CSEK_DISABLED para activos específicos, aplica la marca de seguridad enforce_customer_supplied_disk_encryption_keys al activo con un valor de true.

Visualiza el recuento de resultados activos por tipo de resultado en los niveles Estándar o Premium

Puedes usar la Google Cloud consola o los comandos de Google Cloud CLI para ver los recuentos de resultados activos por tipo de resultado.

description: Scans for deviations from a GCP security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

groupByResults:
- count: '1'
properties:
  category: MFA_NOT_ENFORCED
- count: '3'
properties:
  category: ADMIN_SERVICE_ACCOUNT
- count: '2'
properties:
  category: API_KEY_APIS_UNRESTRICTED
- count: '1'
properties:
  category: API_KEY_APPS_UNRESTRICTED
- count: '2'
properties:
  category: API_KEY_EXISTS
- count: '10'
properties:
  category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
properties:
  category: AUDIT_LOGGING_DISABLED
- count: '1'
properties:
  category: AUTO_UPGRADE_DISABLED
- count: '10'
properties:
  category: BUCKET_IAM_NOT_MONITORED
- count: '10'
properties:
  category: BUCKET_LOGGING_DISABLED
nextPageToken: TOKEN
readTime: '2023-08-05T21:56:13.862Z'
totalSize: 50

Administra los resultados de manera programática

Usar Google Cloud CLI con el SDK de Security Command Center te permite automatizar casi todo lo que puedes hacer con Security Command Center en la consola deGoogle Cloud . También puedes solucionar varios resultados con la CLI de gcloud. Para obtener más información, revisa la documentación acerca de los tipos de recursos descritos en cada resultado:

• Mostrar una lista de hallazgos de seguridad
• Crea, modifica y consulta marcas de seguridad
• Crea y actualiza resultados de seguridad
• Crea, actualiza y enumera las fuentes de resultados
• Establece la configuración de la organización

Para exportar o enumerar recursos de forma programática, usa la API de Cloud Asset Inventory. Para obtener más información, consulta Cómo exportar el historial y los metadatos de los recursos.

Los métodos y campos de recursos de la API de Security Command Center están obsoletos y se quitarán a partir del 26 de junio de 2024.

Hasta que se quiten, los usuarios que activaron Security Command Center antes del 26 de junio de 2023 pueden usar los métodos de recursos de la API de Security Command Center para enumerar recursos, pero estos métodos solo admiten los recursos que admite Security Command Center.

Para obtener información sobre el uso de los métodos de la API de Asset que dejaron de estar disponibles, consulta cómo enumerar recursos.

Analiza proyectos protegidos por un perímetro de servicio

Esta función solo está disponible si activas el nivel Premium de Security Command Center a nivel de la organización.

Si tienes un perímetro de servicio que bloquea el acceso a ciertos proyectos y servicios, debes otorgar a la cuenta de servicio de Security Command Center acceso entrante a ese perímetro de servicio. De lo contrario, las estadísticas del estado de seguridad no pueden producir resultados relacionados con los proyectos y servicios protegidos.

El identificador de la cuenta de servicio es una dirección de correo electrónico con el siguiente formato:

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

Reemplaza ORGANIZATION_ID por el identificador numérico de tu organización.

Para otorgar acceso entrante a una cuenta de servicio a un perímetro de servicio, sigue estos pasos.

1. Ve a los Controles del servicio de VPC.

   Ir a los Controles del servicio de VPC

2. En la barra de herramientas, selecciona tu organización Google Cloud .

3. En la lista desplegable, selecciona la política de acceso que contiene el perímetro de servicio al que deseas otorgar acceso.

   

   Los perímetros de servicio asociados con la política de acceso aparecen en la lista.

4. Haz clic en el nombre del perímetro de servicio.

5. Haz clic en edit Editar perímetro.

6. En el menú de navegación, haz clic en Política de entrada.

7. Haga clic en Agregar regla.

8. Configura la regla de la siguiente manera:

   Atributos FROM del cliente de la API

   1. En Fuente, selecciona Todas las fuentes.
   2. En Identidad, selecciona Identidades seleccionadas.
   3. En el campo Agregar usuario o cuenta de servicio, haz clic en Seleccionar.
   4. Ingresa la dirección de correo electrónico de la cuenta de servicio. Si tienes cuentas de servicio a nivel de la organización y del proyecto, agrega ambas.
   5. Haz clic en Guardar.

   Atributos TO de los recursos y servicios de GCP

   1. En Proyecto, selecciona Todos los proyectos.

   2. En Servicios, selecciona Todos los servicios o selecciona servicios específicos para los que aparecen incumplimientos de los Controles del servicio de VPC.

   Si un perímetro de servicio restringe el acceso a un servicio requerido, Security Health Analytics no puede producir resultados para ese servicio.

9. En el menú de navegación, haz clic en Guardar.

Para obtener más información, consulta Configura políticas de entrada y salida.

¿Qué sigue?

• Obtén información sobre los detectores y resultados de las estadísticas del estado de la seguridad.
• Lee las recomendaciones para solucionar los problemas de las estadísticas de estado de seguridad.
• Aprende a usar las marcas de seguridad de Security Command Center.
• Obtén más información sobre los casos.
• Obtén más información para usar Security Command Center Standard o Premium en la Google Cloud consola para revisar activos y resultados.
• Obtén más información para usar Security Command Center Enterprise en la consola de Google Cloud .