Utiliser Security Health Analytics

Cette page explique comment gérer les résultats Security Health Analytics à l'aide de Security Command Center.

Security Health Analytics est un service intégré de Security Command Center. Pour afficher les résultats de Security Health Analytics, ce service doit être activé dans les paramètres Services de Security Command Center.

La vidéo suivante explique les étapes à suivre pour configurer Security Health Analytics et fournit des informations sur l'utilisation du tableau de bord. Pour en savoir plus sur l'affichage et la gestion des résultats de Security Health Analytics, consultez les sections suivantes de cette page.

Il est possible de faire une recherche dans les résultats des détecteurs Security Health Analytics dans le tableau de bord de Security Command Center et via l'API Security Command Center.

Les analyses commencent environ une heure après l'activation de Security Command Center et s'exécutent selon deux modes : le mode de traitement par lot, qui effectue automatiquement des analyses deux fois par jour, à 12 heures d'intervalle, et le mode en temps réel, qui effectue des analyses en fonction des modifications de la configuration des éléments. Les détecteurs de Security Health Analytics qui ne sont pas compatibles avec le mode d'analyse en temps réel sont répertoriés dans la page Présentation de la latence de Security Command Center.

Les rôles Security Command Center sont attribués au niveau de l'organisation, du dossier ou du projet. Votre capacité à afficher, modifier, créer ou mettre à jour les résultats, les éléments, les sources de sécurité et les marques de sécurité dépend du niveau pour lequel vous disposez d'un accès. Pour en savoir plus sur les rôles Security Command Center, consultez la page Contrôle des accès.

Fonctionnalités par niveau de tarification

L'analyse de l'état de sécurité propose une analyse gérée de l'évaluation des failles qui détecte automatiquement les failles et les erreurs de configuration les plus graves liées à vos éléments Google Cloud.

Au niveau Standard de Security Command Center, Security Health Analytics n'inclut qu'un groupe de base des détecteurs de gravité élevée. Le niveau Premium inclut tous les détecteurs de Security Health Analytics et ajoute des rapports de conformité pour les bonnes pratiques et les analyses comparatives du secteur.

Changer de niveau

La plupart des détecteurs Security Health Analytics ne sont disponibles que dans Security Command Center Premium. Si vous êtes un client Premium et que vous souhaitez passer au niveau Standard, nous vous recommandons de résoudre tous les problèmes avant de modifier votre abonnement.

Les résultats générés par les détecteurs Premium ne peuvent pas être automatiquement résolus dans le niveau Standard, car après la rétrogradation ou la fin d'un essai Premium, Security Health Analytics n'exécute plus les détecteurs Premium dans votre organisation. Ces résultats ne seront pas mis à jour et resteront actifs. Pour marquer manuellement les résultats inactifs, accédez à l'onglet Résultats du tableau de bord Security Command Center.

Activer et désactiver des détecteurs

Les détecteurs de Security Health Analytics suivants ne sont pas activés par défaut :

  • BUCKET_CMEK_DISABLED
  • DATASET_CMEK_DISABLED
  • DISK_CMEK_DISABLED
  • DISK_CSEK_DISABLED
  • NODEPOOL_BOOT_CMEK_DISABLED
  • PUBSUB_CMEK_DISABLED
  • SQL_CMEK_DISABLED
  • SQL_NO_ROOT_PASSWORD
  • SQL_WEAK_ROOT_PASSWORD

Pour activer un détecteur (également appelé module), exécutez la commande gcloud alpha modulesenable dans l'outil de ligne de commande gcloud.

  gcloud alpha scc settings services modules enable \
    --organization=ORGANIZATION_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de votre organisation.
  • DETECTOR_NAME : nom du détecteur que vous souhaitez activer

Pour désactiver un détecteur, exécutez la commande modulesdisable.

  gcloud alpha scc settings services modules disable \
    --organization=ORGANIZATION_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de votre organisation.
  • DETECTOR_NAME : nom du détecteur que vous souhaitez désactiver

La désactivation des détecteurs peut avoir un impact sur l'état des résultats actifs. Lorsqu'un détecteur est désactivé, les résultats existants sont marqués comme inactifs.

Security Health Analytics ou des détecteurs spécifiques peuvent également être désactivés pour des dossiers ou des projets spécifiques. Si Security Health Analytics ou les détecteurs sont désactivés pour les dossiers et les projets, tous les résultats existants associés aux éléments de ces ressources sont marqués comme inactifs.

Filtrer les résultats dans Security Command Center

Une grande organisation peut avoir de nombreux résultats de failles à examiner, trier et suivre dans tout son déploiement. En utilisant Security Command Center avec les filtres disponibles, vous pouvez vous concentrer sur les failles les plus critiques de votre organisation, et examiner les failles par type d'élément, marque de sécurité, etc.

Pour afficher la liste complète des détecteurs et des résultats de Security Health Analytics, consultez la page Résultats de Security Health Analytics.

Afficher les résultats de Security Health Analytics par projet

Pour afficher les résultats de Security Health Analytics par projet, procédez comme suit :

  1. Accédez à Security Command Center dans Cloud Console.

    Accéder à Security Command Center

  2. Pour afficher les résultats de Security Health Analytics, cliquez sur l'onglet Failles.

  3. Sous Filtre de projets, cliquez sur Ajouter un projet au filtre de projets ().

  4. Dans la boîte de dialogue de recherche qui s'affiche, sélectionnez le projet pour lequel vous souhaitez afficher les résultats.

L'onglet Failles affiche la liste des résultats du projet que vous avez sélectionné.

Afficher les résultats de Security Health Analytics par type de résultat

Pour afficher les résultats Security Health Analytics par catégorie, procédez comme suit :

  1. Accédez à Security Command Center dans Cloud Console.

    Accéder à Security Command Center

  2. Pour afficher les résultats de Security Health Analytics, cliquez sur l'onglet Failles.

  3. Dans la colonne Catégorie, sélectionnez le type de résultat que vous souhaitez afficher.

L'onglet Résultats charge et affiche la liste des résultats correspondant au type que vous avez sélectionné.

Afficher les résultats par type d'élément

Pour afficher les résultats de Security Health Analytics pour un type d'élément spécifique, procédez comme suit :

  1. Accédez à la page Résultats de Security Command Center dans Cloud Console.

    Accéder

  2. À côté de Afficher par, cliquez sur Type de source, puis sélectionnez Security Health Analytics.

  3. Dans la zone Filtre, saisissez resourceName: ASSET_TYPE. Par exemple, pour afficher les résultats de Security Health Analytics pour tous les projets, saisissez resourceName: projects.

La liste des résultats est mise à jour et affiche tous les résultats correspondant au type d'élément que vous avez spécifié.

Afficher les résultats de Security Health Analytics par niveau de gravité

Pour afficher les résultats de Security Health Analytics par gravité, procédez comme suit :

  1. Accédez à Security Command Center dans Cloud Console.

    Accéder à Security Command Center

  2. Pour afficher les résultats de Security Health Analytics, cliquez sur l'onglet Failles.

  3. Pour trier les résultats par gravité, cliquez sur l'en-tête de colonne Gravité. Les valeurs possibles sont HIGH, MEDIUM et LOW.

Pour en savoir plus sur les types de résultats, consultez la page Résultats concernant les failles. Security Command Center fournit également de nombreuses propriétés intégrées, y compris des propriétés personnalisées telles que des marques de sécurité.

Après avoir filtré les failles qui vous intéressent, vous pouvez afficher des informations détaillées sur le résultat en sélectionnant la faille dans Security Command Center. Cela inclut une description de la faille et du risque, ainsi que des recommandations pour y remédier.

Ignorer les résultats

Pour contrôler le volume des résultats dans Security Command Center, vous pouvez désactiver manuellement ou automatiquement des résultats individuels, ou créer des règles de blocage qui désactivent automatiquement les résultats actuels et futurs en fonction des filtres que vous définissez.

Les résultats ignorés sont masqués et mis sous silence, mais ils sont toujours consignés à des fins d'audit et de conformité. Vous pouvez afficher les résultats ignorés ou les réactiver à tout moment. Pour en savoir plus, consultez la section Ignorer les résultats dans Security Command Center.

Marquer des éléments et des résultats avec des marques de sécurité

Dans Security Command Center, vous pouvez ajouter des propriétés personnalisées aux résultats et aux éléments à l'aide de marques de sécurité. Celles-ci vous permettent d'identifier les domaines d'intérêt prioritaires, tels que les projets de production, les résultats de tags avec des numéros de suivi des bugs et des incidents, etc.

Ajouter des éléments à des listes d'autorisation

La désactivation des résultats est l'approche recommandée et la plus efficace pour contrôler le volume de résultats. Il est recommandé d'ignorer les résultats lorsque vous ne souhaitez pas examiner les résultats de sécurité des éléments isolés ou relevant de paramètres d'entreprise acceptables.

Vous pouvez également ajouter des marques de sécurité dédiées aux éléments afin que les détecteurs ne créent pas de résultats de sécurité pour ces éléments.

Lorsque des marques dédiées sont appliquées aux éléments, ils sont ajoutés à une liste d'autorisation dans Security Health Analytics et les résultats de ces éléments sont marqués comme résolus lors de la prochaine analyse par lot.

Les marques de sécurité dédiées doivent être appliquées directement aux éléments, et non aux résultats, comme décrit dans la section Fonctionnement des listes d'autorisation plus loin sur cette page. Si vous appliquez une marque à un résultat, l'élément sous-jacent peut toujours générer des résultats.

Fonctionnement des listes d'autorisation

Chaque détecteur Security Health Analytics possède un type de marque dédié pour la liste d'autorisation, sous la forme allow_FINDING_TYPE:true. L'ajout de cette marque dédiée à un élément vous permet de l'exclure de la règle de détection. Par exemple, pour exclure le type de résultat SSL_NOT_ENFORCED, définissez la marque de sécurité allow_ssl_not_enforced:true sur l'instance Cloud SQL associée. Le détecteur spécifié ne crée pas de résultats pour les éléments marqués.

Pour obtenir la liste complète des types de résultats, consultez la liste des détecteurs de Security Health Analytics présentée précédemment sur cette page. Pour en savoir plus sur les marques de sécurité et techniques liées à leur utilisation, consultez la page Utiliser des marques de sécurité.

Types d'élément

Cette section décrit le fonctionnement des marques de sécurité pour différents éléments.

  • Éléments d'une liste d'autorisation:lorsque vous ajoutez une marque dédiée à un élément, tel qu'un bucket Cloud Storage ou un pare-feu, le résultat associé est marqué comme résolu lors de l'exécution de la prochaine analyse par lot. Le détecteur ne génère pas de nouveaux résultats ni ne met à jour les résultats existants pour l'élément tant que la marque n'est pas supprimée.

  • Projets de liste d'autorisation: lorsque vous ajoutez une marque à une ressource de projet, les résultats pour lesquels le projet lui-même est la ressource analysée ou cible sont résolus. Toutefois, les éléments contenus dans le projet, tels que les machines virtuelles ou les clés cryptographiques, peuvent toujours générer des résultats.

  • Dossiers de liste d'autorisation: lorsque vous ajoutez une marque à une ressource de dossier, les résultats pour lesquels le dossier lui-même est la ressource analysée ou cible sont résolus. Toutefois, les éléments contenus dans le dossier, y compris les projets, peuvent toujours générer des résultats.

  • Détecteurs compatibles avec plusieurs éléments: si un détecteur est compatible avec plusieurs types d'éléments, vous devez appliquer la marque dédiée à chaque élément. Par exemple, le détecteur KMS_PUBLIC_KEY permet de gérer deux éléments Cloud Key Management Service: CryptoKey et le KeyRing. Si vous appliquez la marque allow_kms_public_key:true à l'élément CryptoKey, les résultats KMS_PUBLIC_KEY de cet élément sont résolus, mais peuvent toujours être générés pour l'élément KeyRing.

Les marques de sécurité ne sont mises à jour que lors des analyses par lot, et non en temps réel. Ainsi, si une marque de sécurité dédiée est supprimée et qu'un élément présente une faille, un délai de 24 heures peut être nécessaire pour que la marque soit supprimée et qu'un résultat soit écrit.

Détecteur de cas particulier : clés de chiffrement fournies par le client

Le détecteur DISK_CSEK_DISABLED n'est pas activé par défaut. Pour utiliser ce détecteur, vous devez marquer les éléments pour lesquels vous souhaitez utiliser des clés de chiffrement autogérées.

Pour activer le détecteur DISK_CSEK_DISABLED pour des éléments spécifiques, appliquez la marque de sécurité enforce_customer_supplied_disk_encryption_keys à l'élément ayant la valeur true.

Afficher le nombre de résultats actifs par type de résultat

Vous pouvez utiliser Cloud Console ou les commandes de l'outil de ligne de commande gcloud pour afficher le nombre de résultats actifs par type de résultat.

Console

Le tableau de bord de Security Health Analytics vous permet d'afficher le nombre de résultats actifs pour chaque type de résultat.

Pour afficher les résultats de Security Health Analytics par type de résultat, procédez comme suit :

  1. Accédez à Security Command Center dans Cloud Console.

    Accéder à Security Command Center

  2. Pour afficher les résultats de Security Health Analytics, cliquez sur l'onglet Failles.

  3. Pour trier les résultats en fonction du nombre de résultats actifs pour chaque type de résultat, cliquez sur l'en-tête de colonne Actif.

gcloud

Pour utiliser l'outil gcloud afin d'obtenir le décompte de tous les résultats actifs, interrogez Security Command Center pour obtenir l'ID source de Security Health Analytics. Utilisez ensuite l'ID source pour interroger le nombre de résultats actifs.

Étape 1 : Obtenir l'ID source

Pour effectuer cette étape, vous devez disposer de l'ID de votre organisation. Pour obtenir l'ID de votre organisation, exécutez la commande gcloud organizations list et notez le numéro affiché à côté du nom de l'organisation.

Pour obtenir l'ID source de Security Health Analytics, exécutez la commande suivante :

gcloud scc sources describe organizations/ORGANIZATION_ID \
  --source-display-name='Security Health Analytics'

Si vous ne l'avez pas encore fait, vous êtes invité à activer l'API Security Command Center. Lorsque l'API Security Command Center est activée, exécutez à nouveau la commande précédente. La commande doit afficher un résultat semblable au suivant :

description: Scans for deviations from a GCP security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

Notez la valeur de SOURCE_ID afin de pouvoir l'utiliser à l'étape suivante.

Étape 2 : Obtenir le nombre de résultats actifs

Utilisez le SOURCE_ID que vous avez noté à l'étape précédente pour filtrer les résultats de Security Health Analytics. La commande d'outil gcloud suivante renvoie un nombre de résultats par catégorie :

gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
 --group-by=category --page-size=PAGE_SIZE

Vous pouvez définir une taille de page d'une valeur de 1 000 maximum. La commande doit afficher un résultat semblable à celui-ci, avec des résultats provenant de votre organisation :

groupByResults:
- count: '1'
  properties:
    category: MFA_NOT_ENFORCED
- count: '3'
  properties:
    category: ADMIN_SERVICE_ACCOUNT
- count: '2'
  properties:
    category: API_KEY_APIS_UNRESTRICTED
- count: '1'
  properties:
    category: API_KEY_APPS_UNRESTRICTED
- count: '2'
  properties:
    category: API_KEY_EXISTS
- count: '10'
  properties:
    category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
  properties:
    category: AUDIT_LOGGING_DISABLED
- count: '1'
  properties:
    category: AUTO_UPGRADE_DISABLED
- count: '10'
  properties:
    category: BUCKET_IAM_NOT_MONITORED
- count: '10'
  properties:
    category: BUCKET_LOGGING_DISABLED
nextPageToken: TOKEN
      readTime: '2019-08-05T21:56:13.862Z'
      totalSize: 50

Gérer les résultats de manière automatisée

L'utilisation de l'outil de ligne de commande gcloud avec le SDK Security Command Center vous permet d'automatiser toutes les actions que vous pouvez effectuer dans le tableau de bord Security Command Center. Vous pouvez également corriger de nombreux résultats à l'aide de l'outil gcloud. Pour en savoir plus, consultez la documentation sur les types de ressources décrits dans chaque résultat :

Étape suivante