Utiliser Web Security Scanner

Cette page explique comment utiliser les fonctionnalités d'analyse gérée de Web Security Scanner et examiner les résultats dans la console Google Cloud. Des exemples de résultats de Web Security Scanner sont également présentés.

Web Security Scanner est un service intégré pour le niveau Security Command Center Premium qui identifie les failles de sécurité courantes dans vos applications Web App Engine, Google Kubernetes Engine (GKE) et Compute Engine. Pour afficher les résultats de Web Security Scanner, vous devez l'activer dans les paramètres Services de Security Command Center.

Découvrez le fonctionnement de Web Security Scanner.

Examiner les résultats

La fonctionnalité d'analyse gérée de Web Security Scanner configure et planifie automatiquement les analyses pour chacun de vos projets couverts. Un délai maximal de 24 heures peut être nécessaire pour que les analyses de Web Security Scanner se lancent après l'activation du service et son exécution hebdomadaire suivant l'analyse initiale. Les résultats sont affichés dans Security Command Center.

Examiner les résultats dans la console

Les rôles IAM pour Security Command Center peuvent être attribués au niveau de l'organisation, du dossier ou du projet. Votre capacité à afficher, modifier, créer ou mettre à jour les résultats, les éléments et les sources de sécurité dépend du niveau pour lequel vous disposez d'un accès. Pour en savoir plus sur les rôles Security Command Center, consultez la page Contrôle des accès.

Pour examiner les résultats de Web Security Scanner dans Security Command Center, procédez comme suit :

Console Google Cloud

  1. Dans la console Google Cloud, accédez à la page Résultats de Security Command Center.

    Accéder

  2. Sélectionnez votre projet ou votre organisation Google Cloud.
  3. Dans la sous-section Nom à afficher pour la source de la section Filtres rapides, sélectionnez Web Security Scanner. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats de cette source.
  4. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau d'informations du résultat s'ouvre et affiche l'onglet Résumé.
  5. Dans l'onglet Récapitulatif, examinez les détails de l'anomalie, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les mesures que vous pouvez prendre pour corriger l'anomalie.
  6. Facultatif: Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.

Console Security Operations

  1. Dans la console Security Operations, accédez à la page Résultats.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Remplacez CUSTOMER_SUBDOMAIN par votre identifiant client.

  2. Dans la section Agrégations, cliquez pour développer la sous-section Nom à afficher de la source.
  3. Sélectionnez Web Security Scanner. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats de cette source.
  4. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau d'informations du résultat s'ouvre et affiche l'onglet Résumé.
  5. Dans l'onglet Récapitulatif, examinez les détails de l'anomalie, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les mesures que vous pouvez prendre pour corriger l'anomalie.
  6. Facultatif: Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.

Afficher tous les résultats associés à une URL spécifique

Une analyse peut produire des résultats à partir de plusieurs URL de base. Pour afficher tous les résultats associés à une URL donnée dans une analyse, procédez comme suit:

  1. Ouvrez le résultat et affichez sa définition JSON.
  2. Copiez l'URL à côté de externalUri.
  3. Fermez le volet des détails du résultat.
  4. Dans l'éditeur de requêtes, saisissez la requête suivante:

    externalUri:"AFFECTED_URI"
    

    Remplacez AFFECTED_URI par l'URL que vous avez précédemment copiée.

Security Command Center affiche tous les résultats associés à l'URL.

Exemples de résultats

Voici quelques exemples de résultats d'analyse gérée de Web Security Scanner :

Tableau A. Types de résultats de recherche gérés de Web Security Scanner
Faille Description
Contenu mixte Une page diffusée via HTTPS diffuse également des ressources via HTTP. Un pirate informatique à l'origine d'une attaque MITM ("man in the middle") peut être en mesure de manipuler la ressource HTTP et d'obtenir un accès intégral au site Web qui charge la ressource, ou de surveiller les actions effectuées par les utilisateurs.
Mot de passe en texte clair Une application renvoie du contenu sensible avec un type de contenu non valide ou sans en-tête X-Content-Type-Options: nosniff.
Bibliothèque obsolète

La version d’une bibliothèque incluse est connue pour présenter un risque de sécurité. Scanner vérifie la version de la bibliothèque utilisée et la compare à une liste connue de bibliothèques vulnérables. L'analyse peut renvoyer des faux positifs si la détection de la version échoue ou si la bibliothèque a été corrigée manuellement.

Web Security Scanner identifie certaines versions vulnérables des bibliothèques populaires suivantes :

Cette liste est régulièrement mise à jour avec les nouvelles bibliothèques et les failles mises à jour, le cas échéant.

Découvrez comment utiliser Security Command Center dans la console Google Cloud.

Filtrer les résultats dans la console Google Cloud

Une grande organisation peut avoir de nombreux résultats de failles à examiner, trier et suivre dans tout son déploiement. En utilisant les filtres disponibles sur les pages Failles et Résultats de Security Command Center dans la console Google Cloud, vous pouvez vous concentrer sur les failles les plus critiques de votre organisation, et examiner les failles par type d'élément, projet, etc.

Pour en savoir plus sur le filtrage des résultats de failles, consultez la section Filtrer les résultats de failles dans Security Command Center.

Ignorer les résultats

Pour contrôler le volume des résultats dans Security Command Center, vous pouvez désactiver manuellement ou automatiquement des résultats individuels, ou créer des règles de blocage qui désactivent automatiquement les résultats actuels et futurs en fonction des filtres que vous définissez.

Les résultats ignorés sont masqués et mis sous silence, mais ils sont toujours consignés à des fins d'audit et de conformité. Vous pouvez afficher les résultats ignorés ou les réactiver à tout moment. Pour en savoir plus, consultez la section Ignorer les résultats dans Security Command Center.

Configurations d'analyse

Si Web Security Scanner reçoit des identifiants d'accès, il effectue toutes les actions en utilisant ce niveau d'accès. Pour réduire les risques liés à vos ressources de production et détecter les failles avant qu'elles n'atteignent la production, nous vous recommandons d'exécuter les analyses dans des environnements de développement, de test, de préproduction ou d'assurance qualité.

L'analyse des ressources de production est utile, car même de petites modifications des ressources entre les tests et la production peuvent introduire des failles. Toutefois, il peut s'avérer préférable de limiter l'accès pour les analyses de production. Pour en savoir plus, consultez les bonnes pratiques.

Pour consulter les configurations d'analyse gérée et lancer des analyses manuellement, utilisez la console Google Cloud.

Pour afficher la configuration d'analyse gérée associée à un projet, procédez comme suit :

  1. Accédez à la page Web Security Scanner dans la console Google Cloud.
    Accéder à la page Web Security Scanner
  2. Sélectionnez un projet. Une page contenant la liste de vos analyses gérées et personnalisées s'affiche.
  3. Sous Configurations d'analyse, cliquez sur managed_scan. La page qui apparaît affiche les résultats de la dernière analyse gérée, y compris l'état de l'analyse, les URL explorées et les failles détectées. Utilisez la liste déroulante pour afficher les résultats des analyses précédentes.

Web Security Scanner gère et conserve les analyses gérées, de sorte que vous ne pouvez pas modifier les configurations d'analyse. Les analyses gérées ne peuvent être modifiées ou supprimées que dans Security Command Center, comme indiqué dans la section Désactiver les analyses gérées.

Plages d'adresses IP statiques pour les analyses gérées

Lorsque Web Security Scanner est activé dans Security Command Center, les analyses gérées commencent automatiquement en utilisant les adresses IP statiques dans les plages 34.66.18.0/26 et 34.66.114.64/26.

Analyses à la demande

Les analyses gérées s'exécutent automatiquement selon un calendrier défini. Toutefois, vous pouvez utiliser l'interface Web Security Scanner pour exécuter des analyses gérées à la demande :

  1. Accédez à la page Web Security Scanner dans la console Google Cloud.
    Accéder à la page Web Security Scanner
  2. Sélectionnez un projet. Une page contenant la liste de vos analyses gérées et personnalisées s'affiche.
  3. Sous Configurations d'analyse, cliquez sur managed_scan.
  4. Sur la page suivante, cliquez sur Exécuter en haut de la page, ou
  5. cliquez sur Relancer l'analyse dans l'onglet Résultats.

L'analyse commence et les résultats sont mis à jour dans Security Command Center une fois l'opération terminée. Les analyses gérées à la demande sont utiles lorsque vous souhaitez capturer les résultats des projets nouveaux ou mis à jour entre des analyses planifiées. Les analyses à la demande n'ont pas d'impact sur la planification des analyses hebdomadaires.

Pour en savoir plus sur l'analyse, consultez la page des journaux du projet.

Désactiver les analyses gérées

Nous vous recommandons de laisser Web Security Scanner activé pour tous les projets couverts. Toutefois, vous pouvez désactiver Web Security Scanner dans Security Command Center ou, si Security Command Center est activé au niveau de l'organisation, désactiver les analyses gérées de Web Security Scanner pour des projets ou des dossiers spécifiques.

Désactiver les analyses Web Security Scanner pour un projet ou un dossier

Pour désactiver les analyses gérées pour un dossier ou un projet:

  1. Accédez à la page Services dans Security Command Center.

    Accéder à la page "Service"

  2. Sélectionnez votre projet ou votre organisation.

  3. Sur la fiche Web Security Scanner, cliquez sur Gérer les paramètres. La page Service enablement (Activation du service) s'ouvre pour Web Security Scanner.

  4. Dans le panneau Activation du service, désactivez Web Security Scanner pour le projet ou le dossier à l'aide de l'une des méthodes suivantes:

    • Accédez au projet ou au dossier :
      1. Dans le panneau Activation du service, accédez au projet ou au dossier en faisant défiler l'écran et en développant toute organisation ou tout dossier parent si nécessaire.
      2. Sur la ligne du projet ou du dossier, dans le menu de la colonne Web Security Scanner, sélectionnez Désactiver.
    • Pour les projets et les dossiers uniquement, recherchez le projet ou le dossier par nom :
      1. Cliquez sur Rechercher un dossier ou un projet.
      2. Dans la boîte de dialogue Search resources (Rechercher des ressources), saisissez le nom du projet, du dossier ou de l'organisation. Le projet s'affiche dans la boîte de dialogue.
      3. Dans la boîte de dialogue, dans le menu de la colonne Web Security Scanner, sélectionnez Désactiver.

Les projets désactivés ne sont plus inclus dans les analyses gérées.

Désactiver Web Security Scanner dans Security Command Center

Pour désactiver le service Web Security Scanner dans Security Command Center:

  1. Accédez à la page Services dans Security Command Center.

    Accéder à la page "Service"

  2. Sélectionnez votre projet ou votre organisation.

  3. Sur la fiche Web Security Scanner, cliquez sur Gérer les paramètres. La page Service enablement (Activation du service) s'ouvre pour Web Security Scanner.

  4. Sous Service enablement (Activation du service), sur la ligne du projet ou de l'organisation racine, dans le menu de la colonne Web Security Scanner (Web Security Scanner), sélectionnez Disable (Désactiver).

Web Security Scanner est désactivé dans Security Command Center, et les analyses gérées ne seront plus exécutées.

Vous pouvez continuer à utiliser Web Security Scanner en tant que produit autonome via l'interface Web Security Scanner de la console Google Cloud, avec les modifications suivantes :

  • Vous devez configurer et gérer les analyses personnalisées pour chacun de vos projets.
  • Les configurations d'analyse gérée sont archivées et les résultats d'analyse gérée existants restent visibles dans la console Google Cloud.
  • Comme les analyses gérées ne sont disponibles que dans Security Command Center Premium, les configurations et les résultats d'analyse gérée existants sont supprimés de l'interface Web Security Scanner.

Si Web Security Scanner est réactivé dans Security Command Center, les configurations et les résultats d'analyse gérée réapparaissent dans l'interface Web Security Scanner. En règle générale, si les mêmes failles sont détectées lors de nouvelles analyses, les résultats existants sont mis à jour. Si votre application ou votre site Web a considérablement changé depuis la dernière analyse, de nouveaux résultats peuvent être créés.

Étape suivante