Utiliser l'analyse de l'état de la sécurité

>

Gérez les résultats de l'analyse de l'état de la sécurité à l'aide de Security Command Center. L'analyse de l'état de la sécurité est un service intégré de Security Command Center. Pour afficher les résultats de l'analyse de l'état de la sécurité, ce service doit être activé dans les paramètres Services de Security Command Center.

La vidéo suivante explique les étapes à suivre pour configurer l'analyse de l'état de la sécurité et fournit des informations sur l'utilisation du tableau de bord. Pour en savoir plus sur l'affichage et la gestion des résultats de l'analyse de l'état de la sécurité, consultez les sections suivantes de cette page.

Les résultats des détecteurs d'analyse de l'état de la sécurité peuvent faire l'objet d'une recherche dans le tableau de bord de Security Command Center et via l'API Security Command Center.

Les analyses commencent environ une heure après l'activation de Security Command Center et s'exécutent selon deux modes : le mode de traitement par lot, qui effectue automatiquement des analyses deux fois par jour, à 12 heures d'intervalle, et le mode en temps réel, qui effectue des analyses en fonction des modifications de la configuration des éléments. Les détecteurs de l'analyse de l'état de la sécurité qui ne sont pas compatibles avec le mode d'analyse en temps réel sont répertoriés dans la page Présentation de la latence de Security Command Center.

Filtrer les résultats dans Security Command Center

Une grande organisation peut avoir de nombreux résultats de failles à examiner, trier et suivre dans tout son déploiement. En utilisant Security Command Center avec les filtres disponibles, vous pouvez vous concentrer sur les failles les plus critiques de votre organisation, et examiner les failles par type d'élément, marque de sécurité, etc.

Pour afficher la liste complète des détecteurs et des résultats de l'analyse de l'état de la sécurité, consultez la page Résultats de l'analyse de l'état de la sécurité.

Afficher les résultats de l'analyse de l'état de la sécurité par projet

Pour afficher les résultats de l'analyse de l'état de la sécurité par projet, procédez comme suit :

  1. Accédez à Security Command Center dans Cloud Console.

    Accéder à Security Command Center

  2. Pour afficher les résultats de l'analyse de l'état de la sécurité, cliquez sur l'onglet Failles.

  3. Sous Filtre de projets, cliquez sur Ajouter un projet au filtre de projets ().

  4. Dans la boîte de dialogue de recherche qui s'affiche, sélectionnez le projet pour lequel vous souhaitez afficher les résultats.

L'onglet Failles affiche la liste des résultats du projet que vous avez sélectionné.

Afficher les résultats de l'analyse de l'état de la sécurité par type de résultat

Pour afficher les résultats de l'analyse de l'état de la sécurité par catégorie :

  1. Accédez à Security Command Center dans Cloud Console.
    Accéder à Security Command Center
  2. Pour afficher les résultats de l'analyse de l'état de la sécurité, cliquez sur l'onglet Failles.
  3. Dans la colonne Catégorie, sélectionnez le type de résultat que vous souhaitez afficher.

L'onglet Résultats charge et affiche la liste des résultats correspondant au type que vous avez sélectionné.

Afficher les résultats par type d'élément

Pour afficher les résultats de l'analyse de l'état de la sécurité pour un type d'élément spécifique, procédez comme suit :

  1. Accédez à la page Résultats de Security Command Center dans Cloud Console.
    Accéder à la page Résultats
  2. À côté de Afficher par, cliquez sur Type de source, puis sélectionnez Analyse de l'état de la sécurité.
  3. Dans la zone Filtre, saisissez resourceName: asset-type. Par exemple, pour afficher les résultats de l'analyse de l'état de la sécurité pour tous les projets, saisissez resourceName: projects.

La liste des résultats est mise à jour et affiche tous les résultats correspondant au type d'élément que vous avez spécifié.

Afficher les résultats de l'analyse de l'état de la sécurité par niveau de gravité

Pour afficher les résultats de l'analyse de l'état de la sécurité par niveau de gravité :

  1. Accédez à Security Command Center dans Cloud Console.
    Accéder à Security Command Center
  2. Pour afficher les résultats de l'analyse de l'état de la sécurité, cliquez sur l'onglet Failles.
  3. Pour trier les résultats par gravité, cliquez sur l'en-tête de colonne Gravité. Les valeurs possibles sont HIGH, MEDIUM et LOW.

Pour en savoir plus sur les types de résultats, consultez la page Résultats concernant les failles. Security Command Center fournit également de nombreuses propriétés intégrées, y compris des propriétés personnalisées telles que des marques de sécurité.

Après avoir filtré les failles qui vous intéressent, vous pouvez afficher des informations détaillées sur le résultat en sélectionnant la faille dans Security Command Center. Cela inclut une description de la faille et du risque, ainsi que des recommandations pour y remédier.

Marquer des éléments et des résultats avec des marques de sécurité

Dans Security Command Center, vous pouvez ajouter des propriétés personnalisées aux résultats et aux éléments à l'aide de marques de sécurité. Celles-ci vous permettent d'identifier les domaines d'intérêt prioritaires, tels que les projets de production, les résultats de tags avec des numéros de suivi des bugs et des incidents, etc.

Détecteur de cas particulier : clés de chiffrement fournies par le client

Le détecteur DISK_CSEK_DISABLED ne s'applique pas à tous les utilisateurs. Pour utiliser ce détecteur, vous devez marquer les éléments pour lesquels vous souhaitez utiliser des clés de chiffrement autogérées.

Pour activer le détecteur DISK_CSEK_DISABLED pour des éléments spécifiques, appliquez la marque de sécurité enforce_customer_supplied_disk_encryption_keys à l'élément ayant la valeur true.

Ajouter à la liste d'autorisation des résultats de Security Health Analytics à l'aide de marques de sécurité

Vous pouvez ajouter des éléments à des listes d'autorisation dans l'analyse de l'état de la sécurité de sorte qu'un détecteur ne crée pas de résultat de sécurité pour l'élément. Lorsque vous ajoutez un élément sur une liste d'autorisation, le résultat est marqué comme résolu lors de l'exécution de la prochaine analyse. Cela peut être utile lorsque vous ne souhaitez pas examiner les résultats de sécurité des projets isolés ou relevant de paramètres d'entreprise acceptables.

Pour ajouter un élément à une liste d'autorisation, ajoutez une marque de sécurité allow_finding-type pour un type de résultat spécifique. Par exemple, pour le type de résultat SSL_NOT_ENFORCED, utilisez la marque de sécurité allow_ssl_not_enforced:true.

Pour obtenir la liste complète des types de résultats, consultez la liste des détecteurs de l'analyse de l'état de la sécurité présentée précédemment sur cette page. Pour en savoir plus sur les marques de sécurité et les techniques permettant de les utiliser, consultez la page Utiliser les marques de sécurité Security Command Center.

Afficher le nombre de résultats actifs par type de résultat

Vous pouvez utiliser Cloud Console ou les commandes de l'outil de ligne de commande gcloud pour afficher le nombre de résultats actifs par type de résultat.

Console

Le tableau de bord de Security Health Analytics vous permet d'afficher le nombre de résultats actifs pour chaque type de résultat.

Pour afficher les résultats de l'analyse de l'état de sécurité par type de résultat, procédez comme suit :

  1. Accédez à Security Command Center dans Cloud Console.
    Accéder à Security Command Center
  2. Pour afficher les résultats de l'analyse de l'état de la sécurité, cliquez sur l'onglet Failles.
  3. Pour trier les résultats en fonction du nombre de résultats actifs pour chaque type de résultat, cliquez sur l'en-tête de colonne Actif.

gcloud

Pour utiliser l'outil gcloud afin d'obtenir le décompte de tous les résultats actifs, interrogez Security Command Center pour obtenir l'ID source de l'analyse de l'état de la sécurité. Utilisez ensuite l'ID source pour interroger le nombre de résultats actifs.

Étape 1 : Obtenir l'ID source

Pour effectuer cette étape, vous devez disposer de l'ID de votre organisation. Pour obtenir l'ID de votre organisation, exécutez la commande gcloud organizations list et notez le numéro affiché à côté du nom de l'organisation.

Pour obtenir l'ID source de l'analyse de l'état de la sécurité, exécutez la commande suivante :

gcloud scc sources describe organizations/your-organization-id
--source-display-name='Security Health Analytics'

Si vous ne l'avez pas encore fait, vous êtes invité à activer l'API Security Command Center. Lorsque l'API Security Command Center est activée, exécutez à nouveau la commande précédente. La commande doit afficher un résultat semblable au suivant :

description: Scans for deviations from a GCP security baseline.
displayName: Security Health Analytics
name: organizations/your-organization-id/sources/source-id

Notez la valeur de source-id afin de pouvoir l'utiliser à l'étape suivante.

Étape 2 : Obtenir le nombre de résultats actifs

Utilisez le source-id que vous avez noté à l'étape précédente pour filtrer les résultats de l'analyse de l'état de la sécurité. La commande d'outil gcloud suivante renvoie un nombre de résultats par catégorie :

gcloud scc findings group organizations/your-organization-id/sources/source-id \
 --group-by=category --page-size=page-size

Vous pouvez définir une taille de page d'une valeur de 1 000 maximum. La commande doit afficher un résultat semblable à celui-ci, avec des résultats provenant de votre organisation :

groupByResults:
- count: '1'
  properties:
    category: 2SV_NOT_ENFORCED
- count: '3'
  properties:
    category: ADMIN_SERVICE_ACCOUNT
- count: '2'
  properties:
    category: API_KEY_APIS_UNRESTRICTED
- count: '1'
  properties:
    category: API_KEY_APPS_UNRESTRICTED
- count: '2'
  properties:
    category: API_KEY_EXISTS
- count: '10'
  properties:
    category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
  properties:
    category: AUDIT_LOGGING_DISABLED
- count: '1'
  properties:
    category: AUTO_UPGRADE_DISABLED
- count: '10'
  properties:
    category: BUCKET_IAM_NOT_MONITORED
- count: '10'
  properties:
    category: BUCKET_LOGGING_DISABLED
nextPageToken: token
      readTime: '2019-08-05T21:56:13.862Z'
      totalSize: 50

Gérer les résultats de manière automatisée

L'utilisation de l'outil de ligne de commande gcloud avec le SDK Security Command Center vous permet d'automatiser toutes les actions que vous pouvez effectuer dans le tableau de bord Security Command Center. Vous pouvez également corriger de nombreux résultats à l'aide de l'outil gcloud. Pour en savoir plus, consultez la documentation sur les types de ressources décrits dans chaque résultat :

Étape suivante