Utiliser Security Health Analytics

Cette page explique comment gérer les résultats Security Health Analytics à l'aide de Security Command Center.

Security Health Analytics est un service intégré à Security Command Center qui analyse les ressources de votre environnement cloud et renvoie les résultats à la recherche d'éventuelles erreurs de configuration.

Pour recevoir les résultats de Security Health Analytics, le service doit être activé dans les paramètres des services de Security Command Center.

Afin de recevoir les résultats pour une autre plate-forme cloud, Security Command Center doit être connecté à l'autre plate-forme cloud.

Vous pouvez rechercher les résultats des détecteurs Security Health Analytics dans la console Google Cloud à l'aide de l'API Security Command Center et, si vous utilisez le niveau Entreprise de Security Command Center, dans la console Security Operations. Pour les résultats dont le niveau de gravité est HIGH ou CRITICAL, Security Command Center ouvre une demande dans la console Security Operations.

Les analyses commencent environ une heure après l'activation de Security Command Center. Sur Google Cloud, exécutez deux modes: le mode de traitement par lot, qui s'exécute automatiquement une fois par jour, et le mode en temps réel, qui analyse les modifications de la configuration des éléments.

Les détecteurs Security Health Analytics qui ne sont pas compatibles avec le mode d'analyse en temps réel sont listés sur la page Présentation de la latence de Security Command Center.

Security Health Analytics analyse les autres plates-formes cloud en mode de traitement par lot uniquement.

Les rôles IAM pour Security Command Center peuvent être attribués au niveau de l'organisation, d'un dossier ou d'un projet. Votre capacité à afficher, modifier, créer ou mettre à jour des résultats, des éléments et des sources de sécurité dépend du niveau d'accès qui vous est accordé. Pour en savoir plus sur les rôles Security Command Center, consultez la page Contrôle des accès.

Activer et désactiver des détecteurs

La désactivation des détecteurs peut avoir un impact sur l'état des résultats actifs. Lorsqu'un détecteur est désactivé, les résultats existants sont automatiquement marqués comme inactifs.

Lorsque vous activez Security Command Center au niveau de l'organisation, vous pouvez désactiver Security Health Analytics ou des détecteurs spécifiques pour des dossiers ou des projets spécifiques. Si Security Health Analytics ou les détecteurs sont désactivés pour les dossiers et les projets, tous les résultats existants associés aux éléments de ces ressources sont marqués comme inactifs.

Pour en savoir plus sur l'état d'activation de

Les détecteurs suivants de Security Health Analytics pour Google Cloud sont désactivés par défaut:

• BIGQUERY_TABLE_CMEK_DISABLED
• BUCKET_CMEK_DISABLED
• CLOUD_ASSET_API_DISABLED
• DATAPROC_CMEK_DISABLED
• DATASET_CMEK_DISABLED
• DISK_CMEK_DISABLED
• DISK_CSEK_DISABLED
• NODEPOOL_BOOT_CMEK_DISABLED
• PUBSUB_CMEK_DISABLED
• SQL_CMEK_DISABLED
• SQL_NO_ROOT_PASSWORD
• SQL_WEAK_ROOT_PASSWORD
• VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Pour activer ou désactiver un module de détection Security Health Analytics, cliquez sur l'onglet de votre méthode préférée.

gcloud alpha scc settings services modules enable \
  --organization=ORGANIZATION_ID \
  --service=SECURITY_HEALTH_ANALYTICS \
  --module=DETECTOR_NAME

gcloud alpha scc settings services modules enable \
  --project=PROJECT_ID \
  --service=SECURITY_HEALTH_ANALYTICS \
  --module=DETECTOR_NAME

gcloud alpha scc settings services modules disable \
  --organization=ORGANIZATION_ID \
  --service=SECURITY_HEALTH_ANALYTICS \
  --module=DETECTOR_NAME

gcloud alpha scc settings services modules disable \
  --project=PROJECT_ID \
  --service=SECURITY_HEALTH_ANALYTICS \
  --module=DETECTOR_NAME

Filtrer les résultats dans la console Google Cloud

Une grande organisation peut avoir de nombreux résultats de failles à examiner, trier et suivre dans tout son déploiement. En utilisant les filtres disponibles sur les pages Failles et Résultats de Security Command Center dans la console Google Cloud, vous pouvez vous concentrer sur les failles les plus graves de votre organisation et les examiner par type d'élément, projet, etc.

Pour en savoir plus sur le filtrage des résultats de failles, consultez Filtrer les résultats de failles dans Security Command Center.

Gérer les résultats avec des demandes

Security Command Center ouvre automatiquement une demande dans la console Security Operations pour les résultats de failles et d'erreurs de configuration dont le niveau de gravité est HIGH ou CRITICAL. Un même cas peut contenir plusieurs résultats associés.

Utilisez le cas, qui peut être intégré au système de suivi de votre choix, pour gérer l'investigation et la correction des résultats, en attribuant des propriétaires, en examinant les informations associées et en automatisant votre workflow de réponse à l'aide de playbooks.

Si un résultat est associé à un cas correspondant, vous trouverez un lien vers sa demande sur la page d'informations du résultat. Ouvrez la page d'informations d'un résultat sur la page Résultats de la console Google Cloud. Vous pouvez également consulter le nombre total de cas de faille ouverts sur la page Présentation des risques de la console Google Cloud.

Pour en savoir plus sur les demandes, consultez Présentation des demandes.

Ignorer les résultats

Pour contrôler le volume des résultats dans la console Google Cloud, vous pouvez ignorer manuellement ou automatiquement certains résultats, ou créer des règles de masquage qui ignorent automatiquement les résultats actuels et futurs en fonction des filtres que vous définissez.

Les résultats que vous ignorez dans la console Google Cloud sont masqués et mis sous silence, mais ils restent consignés à des fins d'audit et de conformité. Vous pouvez afficher les résultats ignorés ou les réactiver à tout moment. Pour en savoir plus, consultez la section Ignorer les résultats dans Security Command Center.

Marquer des éléments et des résultats avec des marques de sécurité

Dans Security Command Center, vous pouvez ajouter des propriétés personnalisées aux résultats et aux éléments à l'aide de marques de sécurité. Celles-ci vous permettent d'identifier les domaines d'intérêt prioritaires, tels que les projets de production, les résultats de tags avec des numéros de suivi des bugs et des incidents, etc.

Vous ne pouvez ajouter des marques de sécurité qu'aux éléments compatibles avec Security Command Center. Pour obtenir la liste des éléments compatibles, consultez la section Types d'éléments compatibles dans Security Command Center.

Ajouter des éléments à des listes d'autorisation

Bien qu'il ne s'agisse pas d'une méthode recommandée, vous pouvez supprimer les résultats inutiles en ajoutant des marques de sécurité dédiées aux éléments afin que les détecteurs Security Health Analytics ne créent pas de résultats de sécurité pour ces éléments.

L'approche recommandée et la plus efficace pour contrôler le volume des résultats consiste à ignorer les résultats. Ignorez les résultats que vous n'avez pas besoin d'examiner, car ils concernent des éléments isolés ou parce qu'ils correspondent à des paramètres métier acceptables.

Lorsque vous appliquez des marques de sécurité dédiées à des éléments, ceux-ci sont ajoutés à une liste d'autorisation dans Security Health Analytics, qui marque tous les résultats pour ces éléments comme résolus lors de la prochaine analyse par lot.

Les marques de sécurité dédiées doivent être appliquées directement aux éléments, et non aux résultats, comme décrit dans la section Fonctionnement des listes d'autorisation plus loin sur cette page. Si vous appliquez une marque à un résultat, l'élément sous-jacent peut toujours générer des résultats.

Fonctionnement des listes d'autorisation

Chaque détecteur Security Health Analytics possède un type de marque dédié pour la liste d'autorisation, sous la forme allow_FINDING_TYPE:true. L'ajout de cette marque dédiée à un élément compatible avec Security Command Center vous permet d'exclure cet élément de la règle de détection.

Par exemple, pour exclure le type de résultat SSL_NOT_ENFORCED, définissez la marque de sécurité allow_ssl_not_enforced:true sur l'instance Cloud SQL associée. Le détecteur spécifié ne crée pas de résultats pour les éléments marqués.

Pour obtenir la liste complète des types de résultats, consultez la liste des détecteurs d'analyse de l'état de sécurité. Pour en savoir plus sur les marques de sécurité et techniques liées à leur utilisation, consultez la page Utiliser des marques de sécurité.

Types d'élément

Cette section décrit le fonctionnement des marques de sécurité pour différents éléments.

• Éléments d'une liste d'autorisation:lorsque vous ajoutez une marque dédiée à un élément, tel qu'un bucket Cloud Storage ou un pare-feu, le résultat associé est marqué comme résolu lors de l'exécution de la prochaine analyse par lot. Le détecteur ne génère pas de nouveaux résultats ni ne met à jour les résultats existants pour l'élément tant que la marque n'est pas supprimée.

• Projets de liste d'autorisation: lorsque vous ajoutez une marque à une ressource de projet, les résultats pour lesquels le projet lui-même est la ressource analysée ou cible sont résolus. Toutefois, les éléments contenus dans le projet, tels que les machines virtuelles ou les clés cryptographiques, peuvent toujours générer des résultats. Cette marque de sécurité n'est disponible que si vous activez le niveau Premium de Security Command Center au niveau de l'organisation.

• Dossiers de liste d'autorisation: lorsque vous ajoutez une marque à une ressource de dossier, les résultats pour lesquels le dossier lui-même est la ressource analysée ou cible sont résolus. Toutefois, les éléments contenus dans le dossier, y compris les projets, peuvent toujours générer des résultats. Cette marque de sécurité n'est disponible que si vous activez le niveau Premium de Security Command Center au niveau de l'organisation.

• Détecteurs compatibles avec plusieurs éléments: si un détecteur est compatible avec plusieurs types d'éléments, vous devez appliquer la marque dédiée à chaque élément. Par exemple, le détecteur KMS_PUBLIC_KEY permet de gérer deux éléments Cloud Key Management Service: CryptoKey et le KeyRing. Si vous appliquez la marque allow_kms_public_key:true à l'élément CryptoKey, les résultats KMS_PUBLIC_KEY de cet élément sont résolus, mais peuvent toujours être générés pour l'élément KeyRing.

Les marques de sécurité ne sont mises à jour que lors des analyses par lot, et non en temps réel. Ainsi, si une marque de sécurité dédiée est supprimée et qu'un élément présente une faille, un délai de 24 heures peut être nécessaire pour que la marque soit supprimée et qu'un résultat soit écrit.

Détecteur de cas particulier : clés de chiffrement fournies par le client

Le détecteur DISK_CSEK_DISABLED n'est pas activé par défaut. Pour utiliser ce détecteur, vous devez marquer les éléments pour lesquels vous souhaitez utiliser des clés de chiffrement autogérées.

Pour activer le détecteur DISK_CSEK_DISABLED pour des éléments spécifiques, appliquez la marque de sécurité enforce_customer_supplied_disk_encryption_keys à l'élément ayant la valeur true.

Afficher le nombre de résultats actifs par type de résultat

Vous pouvez utiliser la console Google Cloud ou les commandes Google Cloud CLI pour afficher le nombre de résultats actifs par type de résultat.

gcloud scc sources describe organizations/ORGANIZATION_ID \
  --source-display-name='Security Health Analytics'

gcloud scc sources describe projects/PROJECT_ID \
  --source-display-name='Security Health Analytics'

description: Scans for deviations from a GCP security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
 --group-by=category --page-size=PAGE_SIZE

gcloud scc findings group projects/PROJECT_ID/sources/SOURCE_ID \
 --group-by=category --page-size=PAGE_SIZE

groupByResults:
- count: '1'
  properties:
    category: MFA_NOT_ENFORCED
- count: '3'
  properties:
    category: ADMIN_SERVICE_ACCOUNT
- count: '2'
  properties:
    category: API_KEY_APIS_UNRESTRICTED
- count: '1'
  properties:
    category: API_KEY_APPS_UNRESTRICTED
- count: '2'
  properties:
    category: API_KEY_EXISTS
- count: '10'
  properties:
    category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
  properties:
    category: AUDIT_LOGGING_DISABLED
- count: '1'
  properties:
    category: AUTO_UPGRADE_DISABLED
- count: '10'
  properties:
    category: BUCKET_IAM_NOT_MONITORED
- count: '10'
  properties:
    category: BUCKET_LOGGING_DISABLED
nextPageToken: TOKEN
      readTime: '2019-08-05T21:56:13.862Z'
      totalSize: 50

Gérer les résultats de manière

L'utilisation de Google Cloud CLI avec le SDK Security Command Center vous permet d'automatiser presque tout ce que vous pouvez faire avec Security Command Center dans la console Google Cloud. Vous pouvez également corriger de nombreux résultats à l'aide de la gcloud CLI. Pour en savoir plus, consultez la documentation sur les types de ressources décrits dans chaque résultat :

• Répertorier les résultats relatifs à la sécurité
• Créer, modifier et interroger des marques de sécurité
• Créer et mettre à jour des résultats de sécurité
• Créer, mettre à jour et répertorier des sources de résultats
• Configurer les paramètres de l'organisation

Pour exporter ou répertorier des éléments de manière automatisée, utilisez l'API inventaire des éléments cloud. Pour en savoir plus, consultez Exporter l'historique et les métadonnées d'éléments.

Les méthodes et champs d'éléments de l'API Security Command Center sont obsolètes et seront supprimés le 26 juin 2024 ou après cette date.

Jusqu'à leur suppression, les utilisateurs ayant activé Security Command Center avant le 26 juin 2023 peuvent utiliser les méthodes d'élément de l'API Security Command Center pour répertorier les éléments, mais ces méthodes ne sont compatibles qu'avec les éléments compatibles avec Security Command Center.

Pour en savoir plus sur l'utilisation des méthodes obsolètes de l'API Asset, consultez Répertorier les éléments.

Analyser des projets protégés par un périmètre de service

Cette fonctionnalité n'est disponible que si vous activez le niveau Premium de Security Command Center au niveau de l'organisation.

Si un périmètre de service bloque l'accès à certains de vos projets et services, vous devez accorder au compte de service Security Command Center un accès entrant à ce périmètre de service. Sinon, Security Health Analytics ne peut pas produire de résultats liés aux projets et services protégés.

L'identifiant du compte de service est une adresse e-mail au format suivant :

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

Remplacez ORGANIZATION_ID par l'identifiant numérique de votre organisation.

Pour accorder à un compte de service un accès entrant à un périmètre de service, procédez comme suit.

1. Accédez à VPC Service Controls.

   Accéder à VPC Service Controls

2. Dans la barre d'outils, sélectionnez votre organisation Google Cloud.

   

3. Dans la liste déroulante, sélectionnez la règle d'accès contenant le périmètre de service auquel vous souhaitez accorder l'accès.

   

   Les périmètres de service associés à la règle d'accès apparaissent dans la liste.

4. Cliquez sur le nom du périmètre de service.

5. Cliquez sur edit Modifier le périmètre.

6. Dans le menu de navigation, cliquez sur Règle d'entrée.

7. Cliquez sur Add rule (Ajouter une règle).

8. Configurez la règle comme suit :

   Attributs "FROM" du client API

   1. Pour Source, sélectionnez Toutes les sources.
   2. Pour Identité, sélectionnez Identités sélectionnées.
   3. Dans le champ Ajouter un utilisateur/compte de service, cliquez sur Sélectionner.
   4. Saisissez l'adresse e-mail du compte de service. Si vous disposez à la fois de comptes de service au niveau de l'organisation et au niveau du projet, ajoutez les deux.
   5. Cliquez sur Enregistrer.

   Attributs "TO" des services/ressources GCP

   1. Pour Projet, sélectionnez Tous les projets.

   2. Pour Services, sélectionnez Tous les services ou choisissez chacun des services suivants requis par Security Health Analytics:

      • API BigQuery
      • API Binary Authorization
      • API Cloud Logging
      • API Cloud Monitoring
      • API Compute Engine
      • API Kubernetes Engine

   Si un périmètre de service restreint l'accès à un service requis, Security Health Analytics ne peut pas produire de résultats pour ce service.

9. Dans le menu de navigation, cliquez sur Enregistrer.

Pour plus d'informations, consultez la section Configurer les règles d'entrée et de sortie.

Étapes suivantes

• En savoir plus sur les détecteurs et les résultats de Security Health Analytics
• Consultez les recommandations pour corriger les problèmes liés aux résultats de Security Health Analytics.
• Découvrez comment utiliser les marques de sécurité Security Command Center.
• En savoir plus sur les demandes
• Découvrez comment utiliser Security Command Center dans la console Google Cloud pour examiner les éléments et les résultats.