Como usar a análise de integridade de segurança

Nesta página, explicamos como gerenciar as descobertas do Security Health Analytics usando o Security Command Center.

O Security Health Analytics é um serviço integrado no Security Command Center que verifica os recursos no seu ambiente de nuvem e emite descobertas para todas as configurações incorretas detectadas.

Para receber descobertas da Análise de integridade da segurança, o serviço precisa estar ativado nas configurações de Serviços do Security Command Center.

Para receber descobertas de outra plataforma de nuvem, o Security Command Center precisa estar conectado a essa outra plataforma de nuvem.

As descobertas dos detectores do Security Health Analytics podem ser pesquisadas no console do Google Cloud usando a API Security Command Center e, se você estiver usando o nível Enterprise do Security Command Center, no console de Operações de Segurança. Para descobertas com um nível de gravidade de HIGH ou CRITICAL, o Security Command Center abre um caso no console do Security Operations.

As verificações começam aproximadamente uma hora após a ativação do Security Command Center. No Google Cloud, ela é executada em dois modos: o modo em lote, que é executado automaticamente uma vez por dia, e o modo em tempo real, que executa verificações em relação às alterações de configuração de recursos.

Os detectores da Análise de integridade da segurança que não oferecem suporte ao modo de verificação em tempo real estão listados na Visão geral de latência do Security Command Center.

A Análise de integridade da segurança verifica outras plataformas de nuvem apenas no modo em lote.

Os papéis do IAM para o Security Command Center podem ser concedidos no nível da organização, da pasta ou do projeto. A capacidade de ver, editar, criar ou atualizar descobertas, recursos e fontes de segurança depende do nível a que você tem acesso. Para saber mais sobre os papéis do Security Command Center, consulte Controle de acesso.

Ativar e desativar detectores

Desativar detectores pode afetar o estado das descobertas ativas. Quando um detector é desativado, as descobertas atuais são automaticamente marcadas como inativas.

Quando você ativa o Security Command Center no nível da organização, é possível desativar a Análise de integridade da segurança ou detectores específicos para pastas ou projetos específicos. Se o Security Health Analytics ou os detectores estiverem desativados para pastas e projetos, todas as descobertas existentes anexadas a recursos nesses recursos serão marcadas como inativas.

Para mais informações sobre o estado de ativação de

Os seguintes detectores da Análise de integridade da segurança para o Google Cloud estão desativados por padrão:

  • BIGQUERY_TABLE_CMEK_DISABLED
  • BUCKET_CMEK_DISABLED
  • CLOUD_ASSET_API_DISABLED
  • DATAPROC_CMEK_DISABLED
  • DATASET_CMEK_DISABLED
  • DISK_CMEK_DISABLED
  • DISK_CSEK_DISABLED
  • NODEPOOL_BOOT_CMEK_DISABLED
  • PUBSUB_CMEK_DISABLED
  • SQL_CMEK_DISABLED
  • SQL_NO_ROOT_PASSWORD
  • SQL_WEAK_ROOT_PASSWORD
  • VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Para ativar ou desativar um módulo de detecção do Security Health Analytics, clique na guia do seu método preferido.

Console do Google Cloud

É possível ativar ou desativar os detectores na guia Módulos da página Análise de integridade da segurança nas Configurações do Security Command Center no console do Google Cloud. Eles podem ser ativados ou desativados no nível da organização ou do projeto.

gcloud

Para ativar um detector, também conhecido como módulo, execute o comando Alfa gcloud modules na Google Cloud CLI no nível da organização ou na nível do projeto.

Se você ativou o Security Command Center no nível da organização, execute o seguinte:

gcloud alpha scc settings services modules enable \
  --organization=ORGANIZATION_ID \
  --service=SECURITY_HEALTH_ANALYTICS \
  --module=DETECTOR_NAME

Substitua:

  • ORGANIZATION_ID: o ID da organização
  • DETECTOR_NAME: o nome do detector que você quer ativar.

Se você ativou o Security Command Center para envolvidos no projeto, execute o seguinte:

gcloud alpha scc settings services modules enable \
  --project=PROJECT_ID \
  --service=SECURITY_HEALTH_ANALYTICS \
  --module=DETECTOR_NAME

Substitua:

  • PROJECT_ID: ID do projeto;
  • DETECTOR_NAME: o nome do detector que você quer ativar.

Para desativar um detector, execute o comando modules disable no nível da organização ou do projeto.

Se você ativou o Security Command Center no nível da organização, execute o seguinte:

gcloud alpha scc settings services modules disable \
  --organization=ORGANIZATION_ID \
  --service=SECURITY_HEALTH_ANALYTICS \
  --module=DETECTOR_NAME

Substitua:

  • ORGANIZATION_ID: o ID da organização
  • DETECTOR_NAME: o nome do detector que você quer desativar

Se você ativou o Security Command Center para envolvidos no projeto, execute o seguinte:

gcloud alpha scc settings services modules disable \
  --project=PROJECT_ID \
  --service=SECURITY_HEALTH_ANALYTICS \
  --module=DETECTOR_NAME

Substitua:

  • PROJECT_ID: ID do projeto
  • DETECTOR_NAME: o nome do detector que você quer desativar

Como filtrar descobertas no console do Google Cloud

Uma organização de grande porte pode ter muitas descobertas de vulnerabilidades em toda a implantação para análise, triagem e rastreamento. Ao usar os filtros disponíveis nas páginas Vulnerabilidades e Descobertas do Security Command Center no console do Google Cloud, é possível se concentrar nas vulnerabilidades mais graves da sua organização e analisá-las por tipo de recurso, projeto e muito mais.

Para mais informações sobre como filtrar descobertas de vulnerabilidade, consulte Filtrar descobertas de vulnerabilidade no Security Command Center.

Gerenciar descobertas com casos

O Security Command Center abre automaticamente um caso no Console do Security Operations para descobertas de vulnerabilidade e configuração incorreta com um nível de gravidade de HIGH ou CRITICAL. Um único caso pode conter várias descobertas relacionadas.

Use o caso, que pode ser integrado ao seu sistema de tíquete preferido, para gerenciar a investigação e a correção de descobertas, atribuindo proprietários, analisando informações relacionadas e, com os manuais, automatizando seu fluxo de trabalho de resposta.

Se uma descoberta tiver um caso correspondente, será possível encontrar um link para o caso na página de detalhes da descoberta. Abra a página de detalhes de uma descoberta na página Descobertas no console do Google Cloud. Também é possível ver o número total de casos de vulnerabilidade abertos na página Visão geral do risco no console do Google Cloud.

Para mais informações sobre casos, consulte Visão geral de casos.

Silenciar descobertas

Para controlar o volume de descobertas no console do Google Cloud, é possível silenciar de maneira manual ou programática as descobertas individuais, ou criar regras de silenciamento que silenciam automaticamente as descobertas atuais e futuras com base nos filtros definidos.

As descobertas silenciadas no console do Google Cloud são ocultadas e silenciadas, mas continuam sendo registradas para fins de auditoria e conformidade. Você pode ver as descobertas silenciadas ou ativá-las a qualquer momento. Para saber mais, consulte Ignorar descobertas no Security Command Center.

Como marcar recursos e descobertas com marcações de segurança

É possível adicionar propriedades personalizadas a descobertas e recursos no Security Command Center usando marcações de segurança. As marcações de segurança permitem identificar áreas de interesse de alta prioridade, como projetos de produção, marcar descobertas com números de rastreamento de bugs e incidentes e muito mais.

Para recursos, só é possível adicionar marcações de segurança aos recursos compatíveis com o Security Command Center. Para ver a lista de recursos compatíveis, consulte Tipos de recursos compatíveis no Security Command Center.

Adicionar recursos a listas de permissões

Embora não seja um método recomendado, é possível impedir descobertas desnecessárias adicionando marcações de segurança dedicadas aos recursos de modo que os detectores da Análise de integridade da segurança não criem descobertas de segurança para esses recursos.

A abordagem recomendada e mais eficaz para controlar o volume de descobertas é Desativar descobertas. Desative descobertas que você não precisa analisar, seja porque elas são destinadas a recursos isolados ou porque as descobertas se enquadram em parâmetros de negócios aceitáveis.

Quando você aplica marcações de segurança dedicadas aos recursos, eles são adicionados a uma lista de permissões Análise de integridade da segurança, que marca todas as descobertas desses recursos como resolvidas durante a próxima verificação em lote.

As marcações de segurança dedicadas precisam ser aplicadas diretamente aos recursos, não às descobertas, conforme descrito em Como as listas de permissões funcionam mais adiante nesta página. Se você aplicar uma marca a uma descoberta, o recurso subjacente ainda poderá gerar descobertas.

Como as listas de permissões funcionam

Cada detector do Security Health Analytics tem um tipo de marcação dedicada para a lista de permissões, na forma de allow_FINDING_TYPE:true. Adicionar essa marcação dedicada a um recurso compatível com o Security Command Center permite excluir o recurso da política de detecção.

Por exemplo, para excluir o tipo de descoberta SSL_NOT_ENFORCED, defina a marcação de segurança, allow_ssl_not_enforced:true, na instância do Cloud SQL relacionada. O detector especificado não criará descobertas para os recursos marcados.

Para ver uma lista completa dos tipos de descobertas, consulte a lista de detectores do Security Health Analytics. Para saber mais sobre marcações de segurança e técnicas para usá-las, consulte Como usar marcações de segurança.

Tipos de recurso

Esta seção descreve como as marcações de segurança funcionam para diferentes recursos.

  • Recursos da lista de permissões: quando você adiciona uma marcação dedicada a um recurso, como um bucket ou firewall do Cloud Storage, a descoberta associada é marcada como resolvida quando a próxima verificação em lote é executada. O detector não gerará novas descobertas nem atualizará as descobertas existentes do recurso até que a marcação seja removida.

  • Projetos da lista de permissões: quando você adiciona uma marcação a um recurso do projeto, as descobertas para que o próprio projeto é verificado ou de destino são resolvidas. No entanto, os recursos contidos no projeto, como máquinas virtuais ou chaves de criptografia, ainda podem gerar descobertas. Essa marca de segurança só estará disponível se você ativar o nível Premium do Security Command Center Premium no nível da organização.

  • Pastas da lista de permissões: quando você adiciona uma marcação a um recurso de pasta, as descobertas para as quais a própria pasta é o recurso verificado ou de destino são resolvidas. No entanto, os recursos contidos na pasta, incluindo projetos, ainda poderão gerar descobertas. Essa marca de segurança só estará disponível se você ativar o nível Premium do Security Command Center Premium no nível da organização.

  • Detectores compatíveis com vários recursos: se um detector for compatível com mais de um tipo de recurso, você precisará aplicar a marcação dedicada a cada um deles. Por exemplo, o detector, KMS_PUBLIC_KEY, é compatível com dois recursos do Cloud Key Management Service: CryptoKey e KeyRing. Se você aplicar a marcação allow_kms_public_key:true ao recurso CryptoKey, as descobertas KMS_PUBLIC_KEY desse recurso serão resolvidas, mas ainda vão poder ser geradas para o recurso KeyRing.

As marcações de segurança só são atualizadas durante as verificações em lote, não nas verificações em tempo real. Portanto, se uma marcação de segurança dedicada for removida e o recurso tiver uma vulnerabilidade, poderá levar até 24 horas para que a marcação seja excluída e uma descoberta seja gravada.

Detector de caso especial: chaves de criptografia fornecidas pelo cliente

O detector DISK_CSEK_DISABLED não está ativado por padrão. Para usar esse detector, você precisa marcar os recursos para os quais quer usar chaves de criptografia autogerenciadas.

Para ativar o detector DISK_CSEK_DISABLED para recursos específicos, aplique a marcação de segurança enforce_customer_supplied_disk_encryption_keys ao recurso com um valor true.

Como visualizar a contagem de descobertas ativa por tipo de descoberta

Use o Console do Google Cloud ou os comandos da Google Cloud CLI para ver as contagens de descobertas ativas por tipo de descoberta.

Console do Google Cloud

O console do Google Cloud permite que você visualize uma contagem de descobertas ativas para cada tipo de descoberta.

Para ver as descobertas do Security Health Analytics por tipo de descoberta:

  1. Acesse o Security Command Center no console do Google Cloud.

    Acesse Security Command Center

  2. Para exibir os resultados do Security Health Analytics, clique na página Vulnerabilidades.

  3. Para classificar as descobertas pelo número de descobertas ativas por tipo, clique no cabeçalho da coluna Ativas.

Comandos da CLI gcloud

Para usar a CLI gcloud para conseguir uma contagem de todas as descobertas ativas, consulte o Security Command Center para conseguir o ID de origem do Security Health Analytics. Em seguida, use o ID de origem para consultar a contagem de descobertas ativas.

Etapa 1: conseguir o ID da origem

Você precisa do ID da organização para concluir esta etapa. Para conseguir o ID da organização, execute gcloud organizations list e anote o número ao lado do nome da organização.

Para ver o ID da origem do Security Health Analytics, execute um dos seguintes comandos, dependendo se você ativou o Security Command Center no nível da organização ou do projeto:

gcloud scc sources describe organizations/ORGANIZATION_ID \
  --source-display-name='Security Health Analytics'

gcloud scc sources describe projects/PROJECT_ID \
  --source-display-name='Security Health Analytics'

Se ainda não tiver ativado a API Security Command Center, você receberá uma solicitação para ativá-la. Quando a API Security Command Center estiver ativada, execute o comando anterior novamente. O comando exibirá uma saída semelhante a esta:

description: Scans for deviations from a GCP security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

Observe o SOURCE_ID a ser usado na próxima etapa.

Etapa 2: receber a contagem de descobertas ativas

Use o SOURCE_ID que você anotou na etapa anterior para filtrar as descobertas do Security Health Analytics. Os seguintes comandos da CLI gcloud retornam uma contagem de descobertas por categoria.

Se você ativou o Security Command Center no nível da organização, execute o seguinte:

gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
 --group-by=category --page-size=PAGE_SIZE

Se você ativou o Security Command Center para envolvidos no projeto, execute o seguinte:

gcloud scc findings group projects/PROJECT_ID/sources/SOURCE_ID \
 --group-by=category --page-size=PAGE_SIZE

É possível definir o tamanho da página em qualquer valor como 1.000. O comando exibe uma saída como a seguinte, com os resultados da sua organização específica:

groupByResults:
- count: '1'
  properties:
    category: MFA_NOT_ENFORCED
- count: '3'
  properties:
    category: ADMIN_SERVICE_ACCOUNT
- count: '2'
  properties:
    category: API_KEY_APIS_UNRESTRICTED
- count: '1'
  properties:
    category: API_KEY_APPS_UNRESTRICTED
- count: '2'
  properties:
    category: API_KEY_EXISTS
- count: '10'
  properties:
    category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
  properties:
    category: AUDIT_LOGGING_DISABLED
- count: '1'
  properties:
    category: AUTO_UPGRADE_DISABLED
- count: '10'
  properties:
    category: BUCKET_IAM_NOT_MONITORED
- count: '10'
  properties:
    category: BUCKET_LOGGING_DISABLED
nextPageToken: TOKEN
      readTime: '2019-08-05T21:56:13.862Z'
      totalSize: 50

Gerenciar descobertas de maneira programática

O uso da CLI do Google Cloud com o SDK do Security Command Center permite automatizar quase tudo que pode ser feito com o Security Command Center no console do Google Cloud. Você também pode corrigir muitas descobertas usando a CLI gcloud. Para mais informações, consulte a documentação dos tipos de recursos descritos em cada descoberta:

Para exportar ou listar recursos de modo programático, use a API Inventário de recursos do Cloud. Para mais informações, consulte Exportar histórico de recursos e metadados.

Os métodos e campos de recursos da API Security Command Center estão descontinuados e serão removidos em 26 de junho de 2024 ou após essa data.

Até a remoção, os usuários que ativaram o Security Command Center antes de 26 de junho de 2023 poderão usar os métodos da API Security Command Center para listar recursos, mas esses métodos só são compatíveis com os recursos que o Security Command Center aceita.

Para mais informações sobre como usar os métodos da API de recursos descontinuados, consulte Como listar recursos.

Verificar projetos protegidos por um perímetro de serviço

Esse recurso só estará disponível se você ativar o nível Premium do Security Command Center Premium no nível da organização.

Se você tiver um perímetro de serviço que bloqueia o acesso a determinados projetos e serviços, você precisa conceder à conta de serviço do Security Command Center acesso de acesso a esse perímetro de serviço. Caso contrário, o Security Health Analytics não pode produzir descobertas relacionadas a projetos e serviços protegidos.

O identificador da conta de serviço é um endereço de e-mail com o seguinte formato:

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

Substitua ORGANIZATION_ID pelo identificador numérico da organização.

Para conceder a uma conta de serviço acesso de entrada a um perímetro de serviço, siga estas etapas.

  1. Acesse o VPC Service Controls.

    Acessar o VPC Service Controls

  2. Na barra de ferramentas, selecione sua organização do Google Cloud.

    Seletor de projetos

  3. Na lista suspensa, selecione a política de acesso que contém o perímetro de serviço a que você quer conceder acesso.

    Lista de políticas de acesso

    Os perímetros de serviço associados à política de acesso aparecem na lista.

  4. Clique no nome do serviço.

  5. Clique em Editar perímetro.

  6. No menu de navegação, clique em Política de entrada.

  7. Clique em Adicionar regra.

  8. Configure a regra da seguinte maneira:

    Atributos FROM do cliente da API

    1. Em Origem, selecione Todas as fontes.
    2. Em Identidade, selecione Identidades selecionadas.
    3. No campo Add User/Service Account, clique em Select.
    4. Insira o endereço de e-mail da conta de serviço. Se você tiver contas de serviço no nível da organização e do projeto, adicione ambas.
    5. Clique em Salvar.

    Atributos TO de serviços/recursos do GCP

    1. Em Projeto, selecione Todos os projetos.

    2. Para Serviços, selecione Todos os serviços ou selecione cada um dos seguintes serviços individuais exigidos pela Análise de integridade da segurança:

      • API BigQuery
      • API Binary Authorization
      • API Cloud Logging
      • API Cloud Monitoring
      • API Compute Engine
      • API Kubernetes Engine

    Se um perímetro de serviço restringir o acesso a um serviço obrigatório, a Análise de integridade da segurança não poderá produzir descobertas para esse serviço.

  9. No menu de navegação, clique em Salvar.

Para mais informações, consulte Como configurar políticas de entrada e saída.

A seguir