Utiliser l'analyse de l'état de la sécurité

>

Gérez les résultats de l'analyse de l'état de la sécurité à l'aide de Security Command Center. L'analyse de l'état de la sécurité est un service intégré de Security Command Center. Pour afficher les résultats de l'analyse de l'état de la sécurité, ce service doit être activé dans les paramètres Services de Security Command Center.

La vidéo suivante explique les étapes à suivre pour configurer l'analyse de l'état de la sécurité et fournit des informations sur l'utilisation du tableau de bord. Pour en savoir plus sur l'affichage et la gestion des résultats de l'analyse de l'état de la sécurité, consultez les sections suivantes de cette page.

Les résultats des détecteurs d'analyse de l'état de la sécurité peuvent faire l'objet d'une recherche dans le tableau de bord de Security Command Center et via l'API Security Command Center.

Les analyses commencent environ une heure après l'activation de Security Command Center et s'exécutent selon deux modes : le mode de traitement par lot, qui effectue automatiquement des analyses deux fois par jour, à 12 heures d'intervalle, et le mode en temps réel, qui effectue des analyses en fonction des modifications de la configuration des éléments. Les détecteurs de l'analyse de l'état de la sécurité qui ne sont pas compatibles avec le mode d'analyse en temps réel sont répertoriés dans la page Présentation de la latence de Security Command Center.

Les rôles Security Command Center sont attribués au niveau de l'organisation, du dossier ou du projet. Votre capacité à afficher, modifier, créer ou mettre à jour les résultats, les éléments, les sources de sécurité et les marques de sécurité dépend du niveau auquel vous avez accès. Pour en savoir plus sur les rôles Security Command Center, consultez la page Contrôle des accès.

Filtrer les résultats dans Security Command Center

Une grande organisation peut avoir de nombreux résultats de failles à examiner, trier et suivre dans tout son déploiement. En utilisant Security Command Center avec les filtres disponibles, vous pouvez vous concentrer sur les failles les plus critiques de votre organisation, et examiner les failles par type d'élément, marque de sécurité, etc.

Pour afficher la liste complète des détecteurs et des résultats de l'analyse de l'état de la sécurité, consultez la page Résultats de l'analyse de l'état de la sécurité.

Afficher les résultats de Security Health Analytics par projet

Pour afficher les résultats de l'analyse de l'état de la sécurité par projet, procédez comme suit:

  1. Accédez à Security Command Center dans Cloud Console.

    Accéder à Security Command Center

  2. Pour afficher les résultats de l'analyse de l'état de la sécurité, cliquez sur l'onglet Failles.

  3. Sous Filtre de projets, cliquez sur Ajouter un projet au filtre de projets ().

  4. Dans la boîte de dialogue de recherche qui s'affiche, sélectionnez le projet pour lequel vous souhaitez afficher les résultats.

L'onglet Failles affiche la liste des résultats du projet que vous avez sélectionné.

Afficher les résultats de l'analyse de l'état de la sécurité par type de résultat

Pour afficher les résultats de l'analyse de l'état de la sécurité par catégorie, procédez comme suit:

  1. Accédez à Security Command Center dans Cloud Console.

    Accéder à Security Command Center

  2. Pour afficher les résultats de l'analyse de l'état de la sécurité, cliquez sur l'onglet Failles.

  3. Dans la colonne Catégorie, sélectionnez le type de résultat que vous souhaitez afficher.

L'onglet Résultats charge et affiche la liste des résultats correspondant au type que vous avez sélectionné.

Afficher les résultats par type d'élément

Pour afficher les résultats de l'analyse de l'état de la sécurité pour un type d'élément spécifique, procédez comme suit:

  1. Accédez à la page Résultats de Security Command Center dans Cloud Console.

    Accéder

  2. À côté de Afficher par, cliquez sur Type de source, puis sélectionnez Analyse de l'état de la sécurité.

  3. Dans la zone Filtre, saisissez resourceName: ASSET_TYPE. Par exemple, pour afficher les résultats de l'analyse de l'état de la sécurité pour tous les projets, saisissez resourceName: projects.

La liste des résultats est mise à jour et affiche tous les résultats correspondant au type d'élément que vous avez spécifié.

Afficher les résultats de l'analyse de l'état de la sécurité par niveau de gravité

Pour afficher les résultats de l'analyse de l'état de la sécurité par gravité, procédez comme suit:

  1. Accédez à Security Command Center dans Cloud Console.

    Accéder à Security Command Center

  2. Pour afficher les résultats de l'analyse de l'état de la sécurité, cliquez sur l'onglet Failles.

  3. Pour trier les résultats par gravité, cliquez sur l'en-tête de colonne Gravité. Les valeurs possibles sont HIGH, MEDIUM et LOW.

Pour en savoir plus sur les types de résultats, consultez la page Résultats concernant les failles. Security Command Center fournit également de nombreuses propriétés intégrées, y compris des propriétés personnalisées telles que des marques de sécurité.

Après avoir filtré les failles qui vous intéressent, vous pouvez afficher des informations détaillées sur le résultat en sélectionnant la faille dans Security Command Center. Cela inclut une description de la faille et du risque, ainsi que des recommandations pour y remédier.

Marquer des éléments et des résultats avec des marques de sécurité

Dans Security Command Center, vous pouvez ajouter des propriétés personnalisées aux résultats et aux éléments à l'aide de marques de sécurité. Celles-ci vous permettent d'identifier les domaines d'intérêt prioritaires, tels que les projets de production, les résultats de tags avec des numéros de suivi des bugs et des incidents, etc.

Détecteur de cas particulier : clés de chiffrement fournies par le client

Le détecteur DISK_CSEK_DISABLED ne s'applique pas à tous les utilisateurs. Pour utiliser ce détecteur, vous devez marquer les éléments pour lesquels vous souhaitez utiliser des clés de chiffrement autogérées.

Pour activer le détecteur DISK_CSEK_DISABLED pour des éléments spécifiques, appliquez la marque de sécurité enforce_customer_supplied_disk_encryption_keys à l'élément ayant la valeur true.

Ajouter des éléments à des listes d'autorisations

Vous pouvez ajouter des éléments à des listes d'autorisation dans l'analyse de l'état de la sécurité de sorte qu'un détecteur ne crée pas de résultat de sécurité pour l'élément. Lorsque vous ajoutez un élément à une liste d'autorisations, le résultat est marqué comme résolu lors de la prochaine analyse par lot. Cela peut être utile lorsque vous ne souhaitez pas examiner les résultats de sécurité des éléments isolés ou compris dans des paramètres commerciaux acceptables.

Fonctionnement des listes d'autorisations

Chaque détecteur d'analyse de l'état de la sécurité dispose d'un type de marque dédié pour allowlist, sous la forme allow_FINDING_TYPE:true. Vous pouvez exclure un élément des règles de détection en les ajoutant à une marque. Par exemple, pour exclure le type de résultat SSL_NOT_ENFORCED, définissez le point de sécurité allow_ssl_not_enforced:true sur l'instance Cloud SQL associée. Le détecteur spécifié ne crée pas de résultats pour les éléments marqués.

Pour obtenir la liste complète des types de résultats, consultez la liste des détecteurs de l'analyse de l'état de la sécurité présentée précédemment sur cette page. Pour en savoir plus sur les marques et les marques de sécurité, consultez la page Utiliser des marques de sécurité.

Types d'éléments

Cette section décrit le fonctionnement des marques de sécurité pour différents éléments.

  • Éléments de liste allow:lorsque vous ajoutez une marque dédiée à un élément, telle qu'un bucket Cloud Storage ou un pare-feu, les résultats associés sont marqués comme résolus lors de la prochaine analyse par lot. Le détecteur ne génère pas de nouveaux résultats ni ne met à jour les résultats existants de l'élément qu'une fois la marque supprimée.

  • Autoriser les projets: lorsque vous ajoutez une marque à une ressource de projet, les résultats pour lesquels le projet lui-même est une ressource numérisée ou cible sont résolus. Toutefois, les éléments contenus dans le projet, tels que les machines virtuelles ou les clés de chiffrement, peuvent toujours générer des résultats.

  • Dossiers de liste autorisés: lorsque vous ajoutez une marque à une ressource de dossier, les résultats pour lesquels le dossier est lui-même analysé, ou cible, sont résolus. Toutefois, les éléments contenus dans le dossier, y compris les projets, peuvent toujours générer des résultats.

  • Détecteurs compatibles avec plusieurs éléments: si un détecteur accepte plusieurs types d'éléments, vous devez appliquer le marquage dédié à chaque élément. Par exemple, le détecteur, KMS_PUBLIC_KEY, accepte deux éléments Cloud Key Management Service: CryptoKey et KeyRing. Si vous appliquez la marque allow_kms_public_key:true à l'élément CryptoKey, les résultats KMS_PUBLIC_KEY de cet élément sont résolus, mais peuvent toujours être générés pour l'élément KeyRing.

Les marques de sécurité ne sont mises à jour que lors de l'analyse par lots, et non en temps réel. Par conséquent, si une marque de sécurité dédiée est supprimée et que l'élément présente une faille, un délai de 24 heures peut être nécessaire pour que la marque soit supprimée et qu'un résultat soit écrit.

Afficher le nombre de résultats actifs par type de résultat

Vous pouvez utiliser Cloud Console ou les commandes de l'outil de ligne de commande gcloud pour afficher le nombre de résultats actifs par type de résultat.

Console

Le tableau de bord de Security Health Analytics vous permet d'afficher le nombre de résultats actifs pour chaque type de résultat.

Pour afficher les résultats de l'analyse de l'état de la sécurité par type de résultat, procédez comme suit:

  1. Accédez à Security Command Center dans Cloud Console.

    Accéder à Security Command Center

  2. Pour afficher les résultats de l'analyse de l'état de la sécurité, cliquez sur l'onglet Failles.

  3. Pour trier les résultats en fonction du nombre de résultats actifs pour chaque type de résultat, cliquez sur l'en-tête de colonne Actif.

gcloud

Pour utiliser l'outil gcloud afin d'obtenir le décompte de tous les résultats actifs, interrogez Security Command Center pour obtenir l'ID source de l'analyse de l'état de la sécurité. Utilisez ensuite l'ID source pour interroger le nombre de résultats actifs.

Étape 1 : Obtenir l'ID source

Pour effectuer cette étape, vous devez disposer de l'ID de votre organisation. Pour obtenir l'ID de votre organisation, exécutez la commande gcloud organizations list et notez le numéro affiché à côté du nom de l'organisation.

Pour obtenir l'ID source de l'analyse de l'état de la sécurité, exécutez la commande suivante :

gcloud scc sources describe organizations/ORGANIZATION_ID \
  --source-display-name='Security Health Analytics'

Si vous ne l'avez pas encore fait, vous êtes invité à activer l'API Security Command Center. Lorsque l'API Security Command Center est activée, exécutez à nouveau la commande précédente. La commande doit afficher un résultat semblable au suivant :

description: Scans for deviations from a GCP security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

Notez la valeur de SOURCE_ID afin de pouvoir l'utiliser à l'étape suivante.

Étape 2 : Obtenir le nombre de résultats actifs

Utilisez le SOURCE_ID que vous avez noté à l'étape précédente pour filtrer les résultats de l'analyse de l'état de la sécurité. La commande d'outil gcloud suivante renvoie un nombre de résultats par catégorie :

gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
 --group-by=category --page-size=PAGE_SIZE

Vous pouvez définir une taille de page d'une valeur de 1 000 maximum. La commande doit afficher un résultat semblable à celui-ci, avec des résultats provenant de votre organisation :

groupByResults:
- count: '1'
  properties:
    category: MFA_NOT_ENFORCED
- count: '3'
  properties:
    category: ADMIN_SERVICE_ACCOUNT
- count: '2'
  properties:
    category: API_KEY_APIS_UNRESTRICTED
- count: '1'
  properties:
    category: API_KEY_APPS_UNRESTRICTED
- count: '2'
  properties:
    category: API_KEY_EXISTS
- count: '10'
  properties:
    category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
  properties:
    category: AUDIT_LOGGING_DISABLED
- count: '1'
  properties:
    category: AUTO_UPGRADE_DISABLED
- count: '10'
  properties:
    category: BUCKET_IAM_NOT_MONITORED
- count: '10'
  properties:
    category: BUCKET_LOGGING_DISABLED
nextPageToken: TOKEN
      readTime: '2019-08-05T21:56:13.862Z'
      totalSize: 50

Gérer les résultats de manière automatisée

L'utilisation de l'outil de ligne de commande gcloud avec le SDK Security Command Center vous permet d'automatiser toutes les actions que vous pouvez effectuer dans le tableau de bord Security Command Center. Vous pouvez également corriger de nombreux résultats à l'aide de l'outil gcloud. Pour en savoir plus, consultez la documentation sur les types de ressources décrits dans chaque résultat :

Étape suivante