Como usar a análise de integridade de segurança

>

Gerencie as descobertas do Security Health Analytics usando o Security Command Center. O Security Health Analytics é um serviço integrado no Security Command Center. Para ver as descobertas do Security Health Analytics, ela precisa estar ativada nas configurações dos Serviços do Security Command Center.

O vídeo a seguir mostra as etapas para configurar a Security Health Analytics e fornece informações sobre como usar o painel. Saiba mais sobre como visualizar e gerenciar as descobertas do Security Health Analytics em texto mais adiante nesta página.

As descobertas dos detectores do Security Health Analytics são pesquisáveis no painel do Security Command Center e usando a API Security Command Center.

As verificações começam aproximadamente uma hora depois que o Security Command Center é ativado e são executadas em dois modos: modo em lote, que executa automaticamente as verificações duas vezes por dia, a cada 12 horas de diferença e em tempo real, que executa verificações nas alterações das configurações de recursos. Os detectores do Security Health Analytics que não são compatíveis com o modo de verificação em tempo real são listados na Visão geral da latência do Security Command Center.

Como filtrar descobertas no Security Command Center

Uma organização de grande porte pode ter muitas descobertas de vulnerabilidades em toda a implantação para análise, triagem e rastreamento. Ao usar o Security Command Center com os filtros disponíveis, você pode se concentrar nas vulnerabilidades mais graves da organização e analisar vulnerabilidades por tipo de recurso, marcação de segurança e muito mais.

Para ver uma lista completa de detectores e descobertas do Security Health Analytics, consulte a página Descobertas do .

Como ver as descobertas do Security Health Analytics por projeto

Para ver as descobertas do Security Health Analytics por projeto:

  1. Acesse o Security Command Center no Console do Cloud.

    Acessar o Security Command Center

  2. Para exibir os resultados do Security Health Analytics, clique na guia Vulnerabilidades.

  3. Em Filtro de projetos, clique em Adicionar um projeto ao filtro de projetos ().

  4. Na caixa de diálogo de pesquisa exibida, selecione o projeto para o qual você quer exibir as descobertas.

A guia Vulnerabilidades exibe uma lista de descobertas para o projeto selecionado.

Como visualizar as descobertas do Security Health Analytics por tipo de localização

Para visualizar as descobertas do Security Health Analytics por categoria:

  1. Acesse o Security Command Center no Console do Cloud.
    Acessar o Security Command Center
  2. Para exibir os resultados do Security Health Analytics, clique na guia Vulnerabilidades.
  3. Na coluna Categoria, selecione o tipo de descoberta para o qual você quer exibir descobertas.

A guia Descobertas é carregada e exibe uma lista de descobertas que correspondem ao tipo selecionado.

Como visualizar descobertas por tipo de recurso

Para ver as descobertas do Security Health Analytics para um tipo de recurso específico:

  1. Acesse a página Descobertas do Security Command Center no Console do Cloud.
    Acessar a página "Descobertas"
  2. Ao lado de Ver por, clique em Tipo de fonte e selecione Security Health Analytics.
  3. Na caixa de filtro, digite resourceName: asset-type. Por exemplo, para exibir as descobertas do Security Health Analytics para todos os projetos, insira resourceName: projects.

A lista de descobertas é atualizada para exibir todas as descobertas do tipo de recurso especificado.

Como visualizar as descobertas do Security Health Analytics por gravidade

Para ver as descobertas do Security Health Analytics por gravidade:

  1. Acesse o Security Command Center no Console do Cloud.
    Acessar o Security Command Center
  2. Para exibir os resultados do Security Health Analytics, clique na guia Vulnerabilidades.
  3. Para classificar as descobertas por gravidade, clique no cabeçalho da coluna Gravidade. Os valores de descoberta são HIGH, MEDIUM, LOW.

Para mais informações sobre como encontrar tipos, consulte Descobertas de vulnerabilidades. O Security Command Center também oferece muitas propriedades integradas, incluindo propriedades personalizadas, como marcações de segurança.

Depois de filtrar por vulnerabilidades que são importantes para você, será possível visualizar informações detalhadas sobre a descoberta selecionando a vulnerabilidade no Security Command Center. Essas informações incluem uma descrição da vulnerabilidade e do risco, além das recomendações de correção.

Como marcar recursos e descobertas com marcações de segurança

É possível adicionar propriedades personalizadas a descobertas e recursos no Security Command Center usando marcações de segurança. As marcações de segurança permitem identificar áreas de interesse de alta prioridade, como projetos de produção, marcar descobertas com números de rastreamento de bugs e incidentes e muito mais.

Detector de caso especial: chaves de criptografia fornecidas pelo cliente

O detector DISK_CSEK_DISABLED não se aplica a todos os usuários. Para usar esse detector, você precisa marcar os recursos para os quais quer usar chaves de criptografia autogerenciadas.

Para ativar o detector DISK_CSEK_DISABLED para recursos específicos, aplique a marcação de segurança enforce_customer_supplied_disk_encryption_keys ao recurso com um valor true.

Como colocar descobertas do Security Health Analytics na lista de permissões usando marcações de segurança

Você pode colocar recursos na lista de permissões do Security Health Analytics para que o detector não crie uma descoberta de segurança para o recurso. Quando você autoriza um recurso, a descoberta é marcada como resolvida quando a próxima verificação é executada. Isso pode ser útil quando você não quer analisar as descobertas de segurança de projetos que estão isolados ou se enquadram em parâmetros comerciais aceitáveis.

Para colocar um recurso na lista de permissões, adicione uma marcação de segurança allow_finding-type para um tipo de descoberta específico. Por exemplo, no tipo de descoberta SSL_NOT_ENFORCED, use a marcação de segurança allow_ssl_not_enforced:true.

Para ver uma lista completa dos tipos de localização, consulte a lista do Security Health Analytics incluída anteriormente nesta página. Para saber mais sobre marcações de segurança e técnicas para usá-las, consulte Como usar marcações de segurança do Security Command Center.

Como visualizar a contagem de descobertas ativa por tipo de descoberta

É possível usar o Console do Cloud ou os comandos da ferramenta de linha de comando gcloud para ver as contagens de descobertas ativas ao encontrar o tipo.

Console

O painel do Security Health Analytics permite que você visualize uma contagem de descobertas ativas para cada tipo de descoberta.

Para ver os resultados do Security Health Analytics, localize o tipo:

  1. Acesse o Security Command Center no Console do Cloud.
    Acessar o Security Command Center
  2. Para exibir os resultados do Security Health Analytics, clique na guia Vulnerabilidades.
  3. Para classificar as descobertas pelo número de descobertas ativas por tipo, clique no cabeçalho da coluna Ativas.

gcloud

Para usar a ferramenta gcloud para conseguir uma contagem de todas as descobertas ativas, consulte o Security Command Center para conseguir o ID de origem do Security Health Analytics. Em seguida, use o ID de origem para consultar a contagem de descobertas ativas.

Etapa 1: conseguir o ID da origem

Você precisa do ID da organização para concluir esta etapa. Para conseguir o ID da organização, execute gcloud organizations list e anote o número ao lado do nome da organização.

Para conseguir o ID da origem do Security Health Analytics, execute:

gcloud scc sources describe organizations/your-organization-id
--source-display-name='Security Health Analytics'

Se ainda não tiver ativado a API Security Command Center, você receberá uma solicitação para ativá-la. Quando a API Security Command Center estiver ativada, execute o comando anterior novamente. O comando exibirá uma saída semelhante a esta:

description: Scans for deviations from a GCP security baseline.
displayName: Security Health Analytics
name: organizations/your-organization-id/sources/source-id

Observe o source-id a ser usado na próxima etapa.

Etapa 2: receber a contagem de descobertas ativas

Use o source-id que você anotou na etapa anterior para filtrar as descobertas do Security Health Analytics. O seguinte comando de ferramenta gcloud retorna uma contagem de descobertas por categoria:

gcloud scc findings group organizations/your-organization-id/sources/source-id \
 --group-by=category --page-size=page-size

É possível definir o tamanho da página em qualquer valor como 1.000. O comando exibe uma saída como a seguinte, com os resultados da sua organização específica:

groupByResults:
- count: '1'
  properties:
    category: 2SV_NOT_ENFORCED
- count: '3'
  properties:
    category: ADMIN_SERVICE_ACCOUNT
- count: '2'
  properties:
    category: API_KEY_APIS_UNRESTRICTED
- count: '1'
  properties:
    category: API_KEY_APPS_UNRESTRICTED
- count: '2'
  properties:
    category: API_KEY_EXISTS
- count: '10'
  properties:
    category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
  properties:
    category: AUDIT_LOGGING_DISABLED
- count: '1'
  properties:
    category: AUTO_UPGRADE_DISABLED
- count: '10'
  properties:
    category: BUCKET_IAM_NOT_MONITORED
- count: '10'
  properties:
    category: BUCKET_LOGGING_DISABLED
nextPageToken: token
      readTime: '2019-08-05T21:56:13.862Z'
      totalSize: 50

Gerenciar descobertas de maneira programática

Usar a ferramenta de linha de comando gcloud com o SDK do Security Command Center permite automatizar tudo o que você pode fazer no painel do Security Command Center. Você também pode corrigir muitas descobertas usando a ferramenta gcloud. Para mais informações, consulte a documentação dos tipos de recursos descritos em cada descoberta:

A seguir