使用 Security Health Analytics

>

使用 Security Command Center 管理 Security Health Analytics 发现结果。Security Health Analytics 是 Security Command Center 中的内置服务。要查看 Security Health Analytics 的发现结果,必须在 Security Command Center 来源和服务中启用它。

以下视频介绍了设置 Security Health Analytics 的步骤,并提供了有关如何使用信息中心的信息。本页面稍后部分将以文字介绍如何查看和管理 Analytics Health Analytics 发现结果。

在 Security Command Center 信息中心并使用 Security Command Center API 可以搜索 Security Command Analytics 检测器的发现结果。启用 Security Health Analytics 后,扫描每天会自动运行两次,间隔时间为 12 小时。Security Health Analytics 大约会在服务启用一小时后开始扫描。首次运行 Security Health Analytics 扫描时,最长可能需要 12 小时才能完成。

在 Security Command Center 中过滤发现结果

大型组织在其部署过程中可能有很多漏洞发现结果,以进行审核、分类和跟踪。通过将 Security Command Center 与可用的过滤条件结合使用,您可以专注于整个组织内最严重的漏洞,并按资源类型、安全标记等审核漏洞。

如需查看 Security Health Analytics 检测器和发现结果的完整列表,请参阅 Security Health Analytics 发现结果页面。

按项目查看 Security Health Analytics 发现结果

要按项目查看 Security Health Analytics 发现结果,请执行以下操作:

  1. 转到 Cloud Console 中的 Security Command Center 页面。

    转到 Security Command Center

  2. 要显示 Security Health Analytics 的发现结果,请点击漏洞标签页。

  3. 项目过滤条件框中,点击将项目添加到项目过滤条件,然后选择要显示发现结果的项目。

漏洞标签页会显示您选择的项目的发现结果列表。

按发现结果类型查看 Security Health Analytics 发现结果

要按类别查看 Security Health Analytics 发现结果,请执行以下操作:

  1. 转到 Cloud Console 中的 Security Command Center 页面。
    转到 Security Command Center
  2. 要显示 Security Health Analytics 的发现结果,请点击漏洞标签页。
  3. 发现结果类型列中,选择要显示其发现结果的发现结果类型。

发现结果标签页会加载并显示与您选择的类型匹配的发现结果列表。

按资源类型查看发现结果

如需查看特定资源类型的 Security Health Analytics 发现结果,请执行以下操作:

  1. 转到 Cloud Console 中的 Security Command Center 资源 页面。
    转到“发现结果”页面
  2. 点击查看方式旁边的来源类型,然后选择 Security Health Analytics
  3. 过滤条件框中,输入 resourceName: asset-type。例如,要显示所有项目的 Security Health Analytics 发现结果,请输入 resourceName: projects

发现结果列表会更新,以显示您指定的资源类型的所有发现结果。

按严重性查看 Security Health Analytics 发现结果

要按严重程度查看 Security Health Analytics 发现结果,请执行以下操作:

  1. 转到 Cloud Console 中的 Security Command Center 页面。
    转到 Security Command Center
  2. 要显示 Security Health Analytics 的发现结果,请点击漏洞标签页。
  3. 点击严重程度列标题,使用以下值对发现结果进行排序:HIGHMEDIUMLOW

如需详细了解发现结果类型,请参阅漏洞发现结果。Security Command Center 还提供许多内置属性,包括安全标记等自定义属性。

过滤出对您重要的漏洞之后,您可以在 Security Command Center 中选择漏洞,查看有关发现结果的详细信息。其中包括对漏洞和风险的说明以及修复建议。

使用安全标记标记资源和发现结果

您可以使用安全标记在 Security Command Center 中将自定义属性添加到发现结果和资源。安全标记使您能够识别优先级高的感兴趣的地区,如生产项目、使用错误和突发事件跟踪编号标记发现结果等。

特殊案例检测器:客户提供的加密密钥

DISK_CSEK_DISABLED 检测器并非适用于所有用户。要使用此检测器,您必须标记要使用自行管理的加密密钥的资源。

如需为特定资源启用 DISK_CSEK_DISABLED 检测器,请将安全标记 enforce_customer_supplied_disk_encryption_keys 应用于值为 true 的资源。

使用安全标记列出 Security Health Analytics 发现结果

您可以将资源添加到 Security Health Analytics 中的许可名单,这样检测器就不会为资源创建安全发现结果。将资源添加到许可名单后,发现结果会在下一次运行扫描时被标记为已解决。这将帮助您免于查看隔离或在可接受的业务参数范围内失败的项目的安全性发现结果。

如要将资源添加到许可名单,请为特定发现类型添加安全标记 allow_finding-type。例如,对于发现结果类型 SSL_NOT_ENFORCED,请使用安全标记 allow_ssl_not_enforced:true

如需查看发现结果类型的完整列表,请参阅本页前面提供的 Security Health Analytics 检测器列表。要详细了解安全标记及其使用技巧,请参阅使用 Security Command Center 安全标记

按发现结果类型查看有效的发现结果数量

您可以使用 Cloud Console 或 gcloud 命令行工具命令,通过发现结果类型来查看有效的发现结果数量。

控制台

借助 Security Health Analytics 信息中心,您可以查看每种发现类型的有效发现结果数量。

要按发现结果类型查看 Security Health Analytics 发现结果,请按以下步骤操作:

  1. 转到 Cloud Console 中的 Security Command Center 页面。
    转到 Security Command Center
  2. 要显示 Security Health Analytics 的发现结果,请点击漏洞标签页。
  3. 点击 有效 列标题,根据发现结果类型的有效发现结果数量对发现结果排序。

gcloud

要使用 gcloud 工具获取所有有效发现结果的数量,请查询 Security Command Center 以获取 Security Health Analytics 来源 ID。然后使用来源 ID 来查询有效发现结果数量。

第 1 步:获取来源 ID

要完成此步骤,您需要提供您的组织 ID。要获取您的组织 ID,请运行 gcloud organizations list 并记下组织名称旁边的编号。

要获取 Security Health Analytics 来源 ID,请运行:

gcloud scc 来源说明组织/your-organization-id
--source-display-name='Security Health Analytics'

如果您尚未启用 Security Command Center API,系统将提示您启用 Security Command Center API。启用 Security Command Center API 后,再次运行上一个命令。该命令应显示如下输出:

description: Scans for deviations from a GCP security baseline.
displayName: Security Health Analytics
name: organizations/your-organization-id/sources/source-id

请记下要在下一步中使用的 source-id

第 2 步:获取有效的发现结果数量

使用您在上一步中记下的 source-id 以过滤来自 Security Health Analytics 的发现结果。以下 gcloud 工具命令会按类别返回发现结果数:

gcloud scc findings group organizations/your-organization-id/sources/source-id \
 --group-by=category --page-size=page-size

您可以将页面大小设置为不超过 1000 的任意值。该命令应显示如下所示的输出,其中包含来自特定组织的结果:

groupByResults:
- count: '1'
  properties:
    category: 2SV_NOT_ENFORCED
- count: '3'
  properties:
    category: ADMIN_SERVICE_ACCOUNT
- count: '2'
  properties:
    category: API_KEY_APIS_UNRESTRICTED
- count: '1'
  properties:
    category: API_KEY_APPS_UNRESTRICTED
- count: '2'
  properties:
    category: API_KEY_EXISTS
- count: '10'
  properties:
    category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
  properties:
    category: AUDIT_LOGGING_DISABLED
- count: '1'
  properties:
    category: AUTO_UPGRADE_DISABLED
- count: '10'
  properties:
    category: BUCKET_IAM_NOT_MONITORED
- count: '10'
  properties:
    category: BUCKET_LOGGING_DISABLED
nextPageToken: token
      readTime: '2019-08-05T21:56:13.862Z'
      totalSize: 50

以编程方式管理发现结果

通过将 gcloud 命令行工具与 Security Command Center SDK 配合使用,您可以自动在 Security Command Center 信息中心执行任何操作。您还可以使用 gcloud 工具修复许多发现结果。如需了解详情,请查看每个发现结果中所述资源类型的文档:

后续步骤