Usa las estadísticas de estado de seguridad

Administra los resultados de las estadísticas de estado de seguridad mediante Security Command Center. Las estadísticas de estado de seguridad es un servicio integrado en Security Command Center. Para ver los hallazgos de las estadísticas del estado de la seguridad, debe estar habilitado en la configuración de Servicios del Security Command Center.

En el siguiente video, se muestran los pasos para configurar las estadísticas de estado de seguridad y se proporciona información sobre cómo usar el panel. Más adelante en esta página, encontrarás más información sobre cómo ver y administrar los resultados de las estadísticas de estado de seguridad.

Los resultados de los detectores de estadísticas de estado de seguridad se pueden buscar en el panel de Security Command Center y mediante la API de Security Command Center.

Los análisis comienzan aproximadamente una hora después de que se habilita Security Command Center y se ejecutan en dos modos: modo por lotes, que ejecuta análisis automáticamente dos veces al día, con 12 horas de diferencia; y en tiempo real, que se ejecutan en función de los cambios de configuración de los elementos. Los detectores de Security Health Analytics que no admiten el modo de análisis en tiempo real se enumeran en la Descripción general de la latencia de Security Command Center.

Las funciones de Security Command Center se otorgan a nivel de organización, carpeta o proyecto. Tu capacidad para ver, editar, crear o actualizar hallazgos, elementos, fuentes de seguridad y marcas de seguridad depende del nivel para el que se te otorga acceso. Para obtener más información sobre las funciones de Security Command Center, consulta Control de acceso.

Funciones por nivel de precios

Security Health Analytics proporciona un análisis de evaluación de vulnerabilidades administrado que detecta de forma automática las vulnerabilidades de mayor gravedad y las configuraciones incorrectas de tus elementos de Google Cloud.

En el nivel Estándar de Security Command Center, Security Health Analytics solo incluye un grupo básico de detectores de gravedad alta. El nivel Premium incluye todos los detectores de Security Health Analytics y agrega informes de cumplimiento de las prácticas recomendadas y comparativas de la industria.

Cambia los niveles

La mayoría de los detectores de estadísticas del estado de la seguridad solo están disponibles en Security Command Center Premium. Si eres cliente Premium y planeas cambiar al nivel Estándar, se recomienda resolver todos los resultados antes de cambiar la suscripción.

Los resultados que generan los detectores Premium no se pueden resolver de forma automática en el nivel Estándar porque, después de cambiar a una versión inferior o al final de una prueba premium, las estadísticas del estado de la seguridad ya no ejecuta los detectores Premium en tu organización. Estos resultados no se actualizarán y permanecerán activos. Para marcar los resultados como inactivos de forma manual, ve a la pestaña Resultados en el panel de Security Command Center.

Inhabilita y habilita los detectores

Los siguientes detectores de Security Health Analytics no están habilitados de forma predeterminada:

  • BUCKET_CMEK_DISABLED
  • DATASET_CMEK_DISABLED
  • DISK_CMEK_DISABLED
  • DISK_CSEK_DISABLED
  • NODEPOOL_BOOT_CMEK_DISABLED
  • PUBSUB_CMEK_DISABLED
  • SQL_CMEK_DISABLED
  • SQL_NO_ROOT_PASSWORD
  • SQL_WEAK_ROOT_PASSWORD

Para activar un detector, también conocido como módulo, ejecuta el comando alfa de gcloud modules enable en la herramienta de línea de comandos de gcloud.

  gcloud alpha scc settings services modules enable \
    --organization=ORGANIZATION_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

Reemplaza lo siguiente:

  • ORGANIZATION_ID: El ID de tu organización.
  • DETECTOR_NAME: El nombre del detector que deseas habilitar

Para inhabilitar un detector, ejecuta el comando modules disable.

  gcloud alpha scc settings services modules disable \
    --organization=ORGANIZATION_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

Reemplaza lo siguiente:

  • ORGANIZATION_ID: El ID de tu organización.
  • DETECTOR_NAME: El nombre del detector que deseas inhabilitar

Inhabilitar los detectores puede afectar el estado de los resultados activos. Cuando un detector está inhabilitado, los resultados existentes se marcan como inactivos.

Security Health Analytics o los detectores específicos también se pueden inhabilitar para carpetas o proyectos específicos. Si Security Health Analytics o los detectores están desactivados para las carpetas y los proyectos, todos los resultados existentes adjuntos a los elementos en esos recursos se marcan como inactivos.

Filtra resultados en Security Command Center

Una organización grande podría tener muchos resultados de vulnerabilidad en su implementación para revisar, clasificar y hacer un seguimiento. Si usas Security Command Center con los filtros disponibles, puedes enfocarte en las vulnerabilidades de mayor gravedad en toda la organización y revisar las vulnerabilidades por tipo de recurso, marca de seguridad y mucho más.

Para ver una lista completa de los detectores de estadísticas de estado de seguridad, consulta la página Resultados de las estadísticas de estado de seguridad.

Visualiza los resultados de las estadísticas de estado de seguridad por proyecto

Para ver los resultados de Security Health Analytics por proyecto, haz lo siguiente:

  1. Ve a Security Command Center en Cloud Console.

    Ir a Security Command Center

  2. Para ver los resultados de estadísticas de estado de seguridad, haz clic en la pestaña Vulnerabilidades.

  3. En Filtro de proyectos, haz clic en Agregar un proyecto al filtro de proyectos ().

  4. En el cuadro de diálogo de búsqueda que aparece, selecciona el proyecto en el que deseas mostrar los resultados.

En la pestaña Vulnerabilidades, se muestra una lista de resultados para el proyecto que seleccionaste.

Visualiza los resultados de las estadísticas de estado de seguridad por tipo de resultados

Para ver los resultados de Security Health Analytics por categoría, haz lo siguiente:

  1. Ve a Security Command Center en Cloud Console.

    Ir a Security Command Center

  2. Para ver los resultados de estadísticas de estado de seguridad, haz clic en la pestaña Vulnerabilidades.

  3. En la columna Categoría, selecciona el tipo de resultado que deseas mostrar.

La pestaña Resultados carga y muestra una lista de resultados que coincide con el tipo que seleccionaste.

Visualiza resultados por tipo de elemento

Para ver los resultados de Security Health Analytics de un tipo de elemento específico, sigue estos pasos:

  1. Ve a la página Resultados de Security Command Center en Cloud Console.

    Ir a hallazgos

  2. Junto a Ver por, haz clic en Tipo de fuente y, luego, selecciona Estadísticas del estado de la seguridad.

  3. En la casilla de filtro, ingresa resourceName: ASSET_TYPE. Por ejemplo, a fin de mostrar los resultados de las estadísticas de estado de seguridad de todos los proyectos, ingresa resourceName: projects.

La lista de resultados se actualiza y muestra todos los resultados para el tipo de recurso que especificaste.

Visualiza los resultados de las estadísticas de estado de seguridad por gravedad

Para ver los resultados de Security Health Analytics por gravedad, haz lo siguiente:

  1. Ve a Security Command Center en Cloud Console.

    Ir a Security Command Center

  2. Para ver los resultados de estadísticas de estado de seguridad, haz clic en la pestaña Vulnerabilidades.

  3. Para ordenar los resultados por gravedad, haz clic en el encabezado de la columna Gravedad. Los valores de los resultados son HIGH, MEDIUM y LOW.

Para obtener más información sobre los tipos de resultados, consulta Hallazgos de vulnerabilidades. Security Command Center también proporciona varias propiedades integradas, incluidas propiedades personalizadas como las marcas de seguridad.

Después de filtrar por las vulnerabilidades que son importantes para ti, puedes ver información detallada sobre los resultados si seleccionas la vulnerabilidad en Security Command Center. Esto incluye una descripción de la vulnerabilidad y el riesgo y las recomendaciones de solución.

Marca elementos y resultados con marcas de seguridad

Puedes agregar propiedades personalizadas a los resultados y a los recursos en Security Command Center mediante marcas de seguridad. Las marcas de seguridad te permiten identificar áreas de interés de alta prioridad, como los proyectos de producción, el descubrimiento de etiquetas con números de seguimiento de incidentes y errores, y mucho más.

Agrega elementos a las listas de entidades permitidas

Puedes agregar marcas de seguridad específicas a los recursos para que los detectores no creen resultados de seguridad para esos elementos. Cuando se aplican marcas específicas a los elementos, estos se agregan a una lista entidades permitidas en Security Health Analytics y los resultados de esos elementos se marcan como resueltos cuando se ejecuta el análisis por lotes siguiente. Las listas de entidades permitidas pueden ser útiles cuando no quieres revisar los resultados de seguridad de los proyectos aislados o que están dentro de los parámetros comerciales aceptables.

Las marcas de seguridad dedicadas deben aplicarse directamente a los recursos, no a los resultados, como se describe en Cómo funcionan las listas de anunciantes permitidos más adelante en esta página. Si aplicas una marca a un resultado, el elemento subyacente puede generar resultados.

Cómo funcionan las listas de entidades permitidas

Cada detector de estadísticas del estado de la seguridad tiene un tipo de marca dedicado para incluir en la lista de anunciantes permitidos, en la forma de allow_FINDING_TYPE:true. Agregar esta marca dedicada a un recurso te permite excluir el elemento de la política de detección. Por ejemplo, para excluir el tipo de resultado SSL_NOT_ENFORCED, configura la marca de seguridad, allow_ssl_not_enforced:true, en la instancia de Cloud SQL relacionada. El detector especificado no creará resultados para los elementos marcados.

Para obtener una lista completa de los tipos de resultados, consulta la lista de detectores de estadísticas del estado de la seguridad que se incluyó antes en esta página. Si deseas obtener más información sobre las marcas de seguridad y las técnicas para usarlas, consulta Usa marcas de seguridad.

Tipos de activos

En esta sección, se describe cómo funcionan las marcas de seguridad en diferentes elementos.

  • Elementos de lista de anunciantes permitidos: Cuando agregas una marca dedicada a un elemento, como un bucket o firewall de Cloud Storage, el resultado asociado se marca como resuelto cuando se ejecuta el análisis por lotes siguiente. El detector no generará resultados nuevos ni actualizará los resultados existentes para el recurso hasta que se quite la marca.

  • Proyectos de lista de entidades permitidas: Cuando agregas una marca a un recurso de proyecto, se resuelven los resultados para los que el proyecto en sí es el recurso analizado o de destino. Sin embargo, los elementos contenidos en el proyecto, como las máquinas virtuales o las claves criptográficas, aún pueden generar resultados.

  • Carpetas de lista de entidades permitidas: Cuando agregas una marca a un recurso de carpeta, los resultados para los que la carpeta en sí se analiza, o el destino, se resuelven. Sin embargo, los elementos que se encuentran dentro de las carpetas, incluidos los proyectos, aún pueden generar resultados.

  • Detectores que admiten varios elementos: Si un detector admite más de un tipo de elemento, debes aplicar la marca específica a cada uno. Por ejemplo, el detector KMS_PUBLIC_KEY admite dos recursos de Cloud Key Management Service: CryptoKey y KeyRing. Si aplicas la marca allow_kms_public_key:true al elemento de CryptoKey, se resuelven los resultados de KMS_PUBLIC_KEY de ese recurso, pero se pueden seguir generando para el recurso de llavero de claves.

Las marcas de seguridad solo se actualizan durante los análisis por lotes, no en tiempo real. Por lo tanto, si se quita una marca de seguridad dedicada y el recurso tiene una vulnerabilidad, pueden pasar hasta 24 horas antes de que se borre la marca y se escriba un resultado.

Detector de casos especiales: Claves de encriptación proporcionadas por el cliente

El detector DISK_CSEK_DISABLED no está activado de forma predeterminada. Si quieres usar este detector, debes marcar los recursos para los que quieres usar claves de encriptación autoadministradas.

A fin de habilitar el detector DISK_CSEK_DISABLED para activos específicos, aplica la marca de seguridad enforce_customer_supplied_disk_encryption_keys al activo con un valor de true.

Visualiza el recuento de resultados activos por tipo de resultado

Puedes usar Cloud Console o los comandos de la herramienta de línea de comandos de gcloud para ver los recuentos de resultados elementos mediante el tipo de búsqueda.

Console

El panel de las estadísticas de estado de seguridad te permite ver un recuento de resultados activos para cada tipo de resultado.

Para ver los resultados de Security Health Analytics según el tipo de resultado, haz lo siguiente:

  1. Ve a Security Command Center en Cloud Console.

    Ir a Security Command Center

  2. Para ver los resultados de estadísticas de estado de seguridad, haz clic en la pestaña Vulnerabilidades.

  3. Haz clic en el encabezado de la columna Activa a fin de ordenar los resultados por cantidad de resultados activos para cada tipo de resultado.

gcloud

Si deseas usar la herramienta de gcloud a fin de obtener un recuento de todos los resultados activos, consulta el Security Command Center para obtener el ID de la fuente de las estadísticas de estado de seguridad. Luego, usa el ID de la fuente para consultar el recuento de resultados activos.

Paso 1: obtén el ID de la fuente

Para completar este paso, necesitarás el ID de tu organización. Para obtener el ID de tu organización, ejecuta gcloud organizations list y toma nota el número junto al nombre de la organización.

Para obtener el ID de la fuente de estadísticas de estado de seguridad, ejecuta el siguiente comando:

gcloud scc sources describe organizations/ORGANIZATION_ID \
  --source-display-name='Security Health Analytics'

Si aún no habilitaste la API de Security Command Center, se te solicitará que la habilites. Cuando se habilite la API de Security Command Center, vuelve a ejecutar el comando anterior. El comando debería mostrar un resultado como el siguiente:

description: Scans for deviations from a GCP security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

Toma nota de SOURCE_ID para usar en el siguiente paso.

Paso 2: Obtén la cantidad de resultados activos

Usa el SOURCE_ID que anotaste en el paso anterior para filtrar los resultados de las estadísticas de estado de seguridad. El siguiente comando de la herramienta de gcloud muestra un recuento de resultados por categoría:

gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
 --group-by=category --page-size=PAGE_SIZE

Puedes establecer el tamaño de la página en hasta un valor de hasta 1,000. El comando debe mostrar un resultado como el siguiente, con los resultados de tu organización en particular:

groupByResults:
- count: '1'
  properties:
    category: MFA_NOT_ENFORCED
- count: '3'
  properties:
    category: ADMIN_SERVICE_ACCOUNT
- count: '2'
  properties:
    category: API_KEY_APIS_UNRESTRICTED
- count: '1'
  properties:
    category: API_KEY_APPS_UNRESTRICTED
- count: '2'
  properties:
    category: API_KEY_EXISTS
- count: '10'
  properties:
    category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
  properties:
    category: AUDIT_LOGGING_DISABLED
- count: '1'
  properties:
    category: AUTO_UPGRADE_DISABLED
- count: '10'
  properties:
    category: BUCKET_IAM_NOT_MONITORED
- count: '10'
  properties:
    category: BUCKET_LOGGING_DISABLED
nextPageToken: TOKEN
      readTime: '2019-08-05T21:56:13.862Z'
      totalSize: 50

Administra los resultados de manera programática

La herramienta de línea de comandos de gcloud con el SDK de Security Command Center te permite automatizar todo lo que puedes hacer en el panel de Security Command Center. También puedes solucionar varios resultados con la herramienta gcloud. Para obtener más información, revisa la documentación acerca de los tipos de recursos descritos en cada resultado:

¿Qué sigue?