Cette page explique comment utiliser les fonctionnalités d'analyse gérées de Web Security Scanner et examiner les résultats dans la console Google Cloud. Des exemples de résultats de Web Security Scanner sont également présentés.
Web Security Scanner est un service intégré pour le niveau Security Command Center Premium qui identifie les failles de sécurité courantes dans vos applications Web App Engine, Google Kubernetes Engine (GKE) et Compute Engine. Pour afficher les résultats de Web Security Scanner, vous devez l'activer dans les paramètres Services de Security Command Center.
Découvrez le fonctionnement de Web Security Scanner.
Examiner les résultats
La fonctionnalité d'analyse gérée de Web Security Scanner configure et planifie automatiquement les analyses pour chacun de vos projets couverts. Un délai maximal de 24 heures peut être nécessaire pour que les analyses de Web Security Scanner se lancent après l'activation du service et son exécution hebdomadaire suivant l'analyse initiale. Les résultats sont affichés dans Security Command Center.
Examiner les résultats dans la console Google Cloud
Les rôles IAM pour Security Command Center peuvent être attribués au niveau de l'organisation, d'un dossier ou d'un projet. La possibilité d'afficher, de modifier, de créer ou de mettre à jour des résultats, des éléments et des sources de sécurité dépend du niveau auquel vous avez accès. Pour en savoir plus sur les rôles de Security Command Center, consultez la page Contrôle des accès.
Pour examiner les résultats de Web Security Scanner dans Security Command Center, procédez comme suit :
Accédez à la page Résultats de Security Command Center dans Google Cloud Console.
Si nécessaire, sélectionnez votre projet ou votre organisation GooglenCloud.
Dans la sous-section Nom à afficher pour la source de la section Filtres rapides, sélectionnez Web Security Scanner.
Le panneau Résultats de la requête de résultats a été mis à jour pour n'afficher que les résultats de Web Security Scanner.
Pour afficher les détails d'un résultat spécifique, cliquez sur le nom du résultat sous Catégorie. Le panneau des détails du résultat se développe pour afficher des informations telles que les suivantes:
- Un résumé généré par IAAperçu du résultat
- Quand l'événement a eu lieu
- La source des données de résultat
- Le niveau de gravité de détection ; par exemple, Élevé
- La ressource concernée.
Afficher tous les résultats associés à une URL spécifique
Une analyse peut produire des résultats à partir de plusieurs URL de base. Pour afficher tous les résultats associés à une URL donnée dans une analyse, procédez comme suit:
Dans la console Google Cloud, accédez à la page Résultats de Security Command Center.
Si nécessaire, sélectionnez votre projet ou votre organisation GooglenCloud.
Dans la sous-section Nom à afficher pour la source de la section Filtres rapides, sélectionnez Web Security Scanner.
Le panneau Résultats de la requête de résultats a été mis à jour pour n'afficher que les résultats de Web Security Scanner.
Cliquez sur le nom du résultat sous Catégorie.
Dans le volet des détails du résultat, cliquez sur l'onglet JSON.
Copiez l'URL à côté de
externalUri.Fermez le volet des détails du résultat.
Dans l'éditeur de requête, saisissez la requête suivante:
externalUri:"AFFECTED_URI"Remplacez AFFECTED_URI par l'URL que vous avez précédemment copiée.
Security Command Center affiche tous les résultats associés à l'URL.
Exemples de résultats
Voici quelques exemples de résultats d'analyse gérée de Web Security Scanner :
| Faille | Description |
|---|---|
| Contenu mixte | Une page diffusée via HTTPS diffuse également des ressources via HTTP. Un pirate informatique à l'origine d'une attaque MITM ("man in the middle") peut être en mesure de manipuler la ressource HTTP et d'obtenir un accès intégral au site Web qui charge la ressource, ou de surveiller les actions effectuées par les utilisateurs. |
| Mot de passe en texte clair |
Une application renvoie du contenu sensible avec un type de contenu non valide ou sans en-tête X-Content-Type-Options: nosniff.
|
| Bibliothèque obsolète |
La version d’une bibliothèque incluse est connue pour présenter un risque de sécurité. Scanner vérifie la version de la bibliothèque utilisée et la compare à une liste connue de bibliothèques vulnérables. L'analyse peut renvoyer des faux positifs si la détection de la version échoue ou si la bibliothèque a été corrigée manuellement. Web Security Scanner identifie certaines versions vulnérables des bibliothèques populaires suivantes :
Cette liste est régulièrement mise à jour avec les nouvelles bibliothèques et les failles mises à jour, le cas échéant. |
Découvrez comment utiliser Security Command Center dans la console Google Cloud.
Filtrer les résultats dans la console Google Cloud
Une grande organisation peut avoir de nombreux résultats de failles à examiner, trier et suivre dans tout son déploiement. En utilisant les filtres disponibles sur les pages Failles et Résultats de Security Command Center dans la console Google Cloud, vous pouvez vous concentrer sur les failles les plus graves de votre organisation et les examiner par type d'élément, projet, etc.
Pour en savoir plus sur le filtrage des résultats de failles, consultez Filtrer les résultats de failles dans Security Command Center.
Ignorer les résultats
Pour contrôler le volume des résultats dans Security Command Center, vous pouvez désactiver manuellement ou automatiquement des résultats individuels, ou créer des règles de blocage qui désactivent automatiquement les résultats actuels et futurs en fonction des filtres que vous définissez.
Les résultats ignorés sont masqués et mis sous silence, mais ils sont toujours consignés à des fins d'audit et de conformité. Vous pouvez afficher les résultats ignorés ou les réactiver à tout moment. Pour en savoir plus, consultez la section Ignorer les résultats dans Security Command Center.
Configurations d'analyse
Si Web Security Scanner reçoit des identifiants d'accès, il effectue toutes les actions en utilisant ce niveau d'accès. Pour réduire les risques liés à vos ressources de production et détecter les failles avant qu'elles n'atteignent la production, nous vous recommandons d'exécuter les analyses dans des environnements de développement, de test, de préproduction ou d'assurance qualité.
L'analyse des ressources de production est utile, car même de petites modifications des ressources entre les tests et la production peuvent introduire des failles. Toutefois, il peut s'avérer préférable de limiter l'accès pour les analyses de production. Pour en savoir plus, consultez la section Bonnes pratiques.
Pour consulter les configurations d'analyse gérée et lancer des analyses manuellement, utilisez la console Google Cloud.
Pour afficher la configuration d'analyse gérée associée à un projet, procédez comme suit :
- Accédez à la page Web Security Scanner dans la console Google Cloud.
Accéder à la page Web Security Scanner - Sélectionnez un projet. Une page contenant la liste de vos analyses gérées et personnalisées s'affiche.
- Sous Configurations d'analyse, cliquez sur
managed_scan. La page qui apparaît affiche les résultats de la dernière analyse gérée, y compris l'état de l'analyse, les URL explorées et les failles détectées. Utilisez la liste déroulante pour afficher les résultats des analyses précédentes.
Web Security Scanner gère et conserve les analyses gérées, de sorte que vous ne pouvez pas modifier les configurations d'analyse. Les analyses gérées peuvent uniquement être modifiées ou supprimées dans Security Command Center, comme indiqué dans la section Désactiver les analyses gérées.
Plages d'adresses IP statiques pour les analyses gérées
Lorsque Web Security Scanner est activé dans Security Command Center, les analyses gérées commencent automatiquement en utilisant les adresses IP statiques dans les plages 34.66.18.0/26 et 34.66.114.64/26.
Analyses à la demande
Les analyses gérées s'exécutent automatiquement selon un calendrier défini. Toutefois, vous pouvez utiliser l'interface Web Security Scanner pour exécuter des analyses gérées à la demande :
- Accédez à la page Web Security Scanner dans la console Google Cloud.
Accéder à la page Web Security Scanner - Sélectionnez un projet. Une page contenant la liste de vos analyses gérées et personnalisées s'affiche.
- Sous Configurations d'analyse, cliquez sur
managed_scan. - Sur la page suivante, cliquez sur Exécuter en haut de la page, ou
- cliquez sur Relancer l'analyse dans l'onglet Résultats.
L'analyse commence et les résultats sont mis à jour dans Security Command Center une fois l'opération terminée. Les analyses gérées à la demande sont utiles lorsque vous souhaitez capturer les résultats des projets nouveaux ou mis à jour entre des analyses planifiées. Les analyses à la demande n'ont pas d'impact sur la planification des analyses hebdomadaires.
Pour en savoir plus sur l'analyse, consultez la page des journaux du projet.
Désactiver les analyses gérées
Nous vous recommandons de laisser Web Security Scanner activé pour tous les projets couverts. Toutefois, vous pouvez désactiver Web Security Scanner dans Security Command Center ou, si Security Command Center est activé au niveau de l'organisation, désactiver les analyses gérées par Web Security Scanner pour des projets ou dossiers spécifiques.
Désactiver les analyses Web Security Scanner pour un projet ou un dossier
Pour désactiver les analyses gérées pour un dossier ou un projet:
Accédez à la page Services dans Security Command Center.
Sélectionnez votre projet ou votre organisation.
Sur la fiche Web Security Scanner, cliquez sur Gérer les paramètres. La page Activation des services s'ouvre pour Web Security Scanner.
Dans le panneau Activation des services, désactivez Web Security Scanner pour le projet ou le dossier en utilisant l'une des méthodes suivantes:
- Accédez au projet ou au dossier :
- Dans le panneau Activation des services, accédez au projet ou au dossier en faisant défiler et en développant l'organisation ou les dossiers parents si nécessaire.
- Sur la ligne correspondant au projet ou au dossier, sélectionnez Désactiver dans le menu de la colonne Web Security Scanner.
- Pour les projets et les dossiers uniquement, recherchez le projet ou le dossier par nom :
- Cliquez sur Rechercher un dossier ou un projet.
- Dans la boîte de dialogue Search resources (Rechercher des ressources), saisissez le nom du projet, du dossier ou de l'organisation. Le projet s'affiche dans la boîte de dialogue.
- Dans la boîte de dialogue, sélectionnez Désactiver dans le menu de la colonne Web Security Scanner.
- Accédez au projet ou au dossier :
Les projets désactivés ne sont plus inclus dans les analyses gérées.
Désactiver Web Security Scanner dans Security Command Center
Pour désactiver le service Web Security Scanner dans Security Command Center, procédez comme suit:
Accédez à la page Services dans Security Command Center.
Sélectionnez votre projet ou votre organisation.
Sur la fiche Web Security Scanner, cliquez sur Gérer les paramètres. La page Activation des services s'ouvre pour Web Security Scanner.
Sous Activation des services, sur la ligne du projet ou de l'organisation de premier niveau, sélectionnez Désactiver dans le menu de la colonne Web Security Scanner.
Web Security Scanner est désactivé dans Security Command Center, et les analyses gérées ne seront plus exécutées.
Vous pouvez continuer à utiliser Web Security Scanner en tant que produit autonome via l'interface Web Security Scanner de la console Google Cloud, avec les modifications suivantes :
- Vous devez configurer et gérer des analyses personnalisées pour chacun de vos projets.
- Les configurations d'analyse gérées sont archivées, et les résultats d'analyses gérées existantes restent visibles dans la console Google Cloud.
- Comme les analyses gérées ne sont disponibles que dans Security Command Center Premium, les configurations et les résultats d'analyse gérée existants sont supprimés de l'interface Web Security Scanner.
Si Web Security Scanner est réactivé dans Security Command Center, les configurations et les résultats d'analyse gérée réapparaissent dans l'interface Web Security Scanner. En règle générale, si les mêmes failles sont détectées lors de nouvelles analyses, les résultats existants sont mis à jour. Si votre application ou votre site Web a considérablement changé depuis la dernière analyse, de nouveaux résultats peuvent être créés.
Étapes suivantes
- Découvrez comment résoudre les problèmes liés à Web Security Scanner.