Utilizzo di Security Health Analytics

Questa pagina spiega come gestire i risultati di Security Health Analytics utilizzando Security Command Center.

Security Health Analytics è un servizio integrato in Security Command Center che analizza le risorse nel tuo ambiente cloud e segnala i risultati per rilevare eventuali configurazioni errate.

Per ricevere i risultati di Security Health Analytics, il servizio deve essere abilitato nelle impostazioni dei servizi di Security Command Center.

Per ricevere i risultati per un'altra piattaforma cloud, Security Command Center deve essere connesso all'altra piattaforma cloud.

I risultati dei rilevatori di Security Health Analytics sono disponibili per la ricerca nella console Google Cloud utilizzando l'API Security Command Center e, se utilizzi il livello Enterprise di Security Command Center, nella console operativa di sicurezza. Per i risultati con un livello di gravità HIGH o CRITICAL, Security Command Center apre una richiesta nella console operativa di sicurezza.

Le scansioni vengono avviate circa un'ora dopo l'abilitazione di Security Command Center. Su Google Cloud vengono eseguite due modalità: batch, che viene eseguito automaticamente una volta al giorno, e modalità in tempo reale, che esegue scansioni in base alle modifiche alla configurazione degli asset.

I rilevatori di Security Health Analytics che non supportano la modalità di analisi in tempo reale sono elencati in Panoramica della latenza di Security Command Center.

Security Health Analytics analizza altre piattaforme cloud solo in modalità batch.

I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, cartella o progetto. La possibilità di visualizzare, modificare, creare o aggiornare risultati, asset e origini di sicurezza dipende dal livello per cui ti viene concesso l'accesso. Per saperne di più sui ruoli di Security Command Center, consulta Controllo dell'accesso.

Abilita e disabilita i rilevatori

La disabilitazione dei rilevatori può influire sullo stato dei risultati attivi. Quando un rilevatore è disabilitato, i risultati esistenti vengono contrassegnati automaticamente come non attivi.

Quando attivi Security Command Center a livello di organizzazione, puoi disabilitare Security Health Analytics o rilevatori specifici per cartelle o progetti specifici. Se i rilevatori o i rilevatori Security Health Analytics sono disattivati per cartelle e progetti, tutti i risultati esistenti associati agli asset in queste risorse vengono contrassegnati come non attivi.

Per ulteriori informazioni sullo stato di attivazione

I seguenti rilevatori di Security Health Analytics per Google Cloud sono disabilitati per impostazione predefinita:

  • BIGQUERY_TABLE_CMEK_DISABLED
  • BUCKET_CMEK_DISABLED
  • CLOUD_ASSET_API_DISABLED
  • DATAPROC_CMEK_DISABLED
  • DATASET_CMEK_DISABLED
  • DISK_CMEK_DISABLED
  • DISK_CSEK_DISABLED
  • NODEPOOL_BOOT_CMEK_DISABLED
  • PUBSUB_CMEK_DISABLED
  • SQL_CMEK_DISABLED
  • SQL_NO_ROOT_PASSWORD
  • SQL_WEAK_ROOT_PASSWORD
  • VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Per abilitare o disabilitare un modulo di rilevamento di Security Health Analytics, fai clic sulla scheda relativa al metodo preferito.

Console Google Cloud

Puoi abilitare o disabilitare i rilevatori nella scheda Moduli della pagina Security Health Analytics nelle Impostazioni di Security Command Center nella console Google Cloud. I rilevatori possono essere abilitati o disabilitati a livello di organizzazione o di progetto.

gcloud

Per attivare un rilevatore, chiamato anche modulo, esegui il comando gcloud alpha modules enable in Google Cloud CLI a livello di organizzazione o di progetto.

Se hai attivato Security Command Center a livello di organizzazione, esegui questo comando:

gcloud alpha scc settings services modules enable \
  --organization=ORGANIZATION_ID \
  --service=SECURITY_HEALTH_ANALYTICS \
  --module=DETECTOR_NAME

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID della tua organizzazione
  • DETECTOR_NAME: il nome del rilevatore che vuoi attivare

Se hai attivato Security Command Center a livello di progetto, esegui questo comando:

gcloud alpha scc settings services modules enable \
  --project=PROJECT_ID \
  --service=SECURITY_HEALTH_ANALYTICS \
  --module=DETECTOR_NAME

Sostituisci quanto segue:

  • PROJECT_ID: il tuo ID progetto
  • DETECTOR_NAME: il nome del rilevatore che vuoi attivare

Per disabilitare un rilevatore, esegui il comando modulesdisable a livello di organizzazione o di progetto.

Se hai attivato Security Command Center a livello di organizzazione, esegui questo comando:

gcloud alpha scc settings services modules disable \
  --organization=ORGANIZATION_ID \
  --service=SECURITY_HEALTH_ANALYTICS \
  --module=DETECTOR_NAME

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID della tua organizzazione
  • DETECTOR_NAME: il nome del rilevatore che vuoi disattivare

Se hai attivato Security Command Center a livello di progetto, esegui questo comando:

gcloud alpha scc settings services modules disable \
  --project=PROJECT_ID \
  --service=SECURITY_HEALTH_ANALYTICS \
  --module=DETECTOR_NAME

Sostituisci quanto segue:

  • PROJECT_ID: il tuo ID progetto
  • DETECTOR_NAME: il nome del rilevatore che vuoi disattivare

Applicazione di filtri ai risultati nella console Google Cloud

Una grande organizzazione potrebbe avere molti risultati di vulnerabilità nell'implementazione per la revisione, la classificazione e il tracciamento. Utilizzando i filtri disponibili nelle pagine Vulnerabilità e Risultati di Security Command Center nella console Google Cloud, puoi concentrarti sulle vulnerabilità con la massima gravità nella tua organizzazione ed esaminare le vulnerabilità per tipo di asset, progetto e altro ancora.

Per ulteriori informazioni sul filtro dei risultati di vulnerabilità, consulta Filtrare i risultati di vulnerabilità in Security Command Center.

Gestisci i risultati con le richieste

Security Command Center apre automaticamente una richiesta nella console operativa di sicurezza per i risultati relativi a vulnerabilità ed errori di configurazione con un livello di gravità HIGH o CRITICAL. Un singolo caso può contenere più risultati correlati.

Usa il caso, che può essere integrato con il tuo sistema di gestione dei ticket preferito, per gestire l'indagine e la correzione dei risultati, assegnando proprietari, esaminando le informazioni correlate e, con i playbook, automatizzare il flusso di lavoro delle risposte.

Se un risultato ha un caso corrispondente, puoi trovare un link alla sua richiesta nella pagina dei dettagli del risultato. Apri la pagina dei dettagli di un risultato nella pagina Risultati della console Google Cloud. Puoi anche vedere il numero totale di casi di vulnerabilità aperti nella pagina Panoramica dei rischi della console Google Cloud.

Per saperne di più sulle richieste, consulta la Panoramica delle richieste.

Disattiva risultati

Per controllare il volume dei risultati nella console Google Cloud, puoi disattivare manualmente o in modo programmatico i singoli risultati o creare regole di disattivazione che disattivano automaticamente i risultati attuali e futuri in base ai filtri che definisci.

I risultati disattivati nella console Google Cloud vengono nascosti e silenziati, ma continuano a essere registrati per scopi di controllo e conformità. Puoi visualizzare i risultati disattivati o riattivarli in qualsiasi momento. Per scoprire di più, consulta Disattivare i risultati in Security Command Center.

Contrassegnare gli asset e i risultati con contrassegni di sicurezza

Puoi aggiungere proprietà personalizzate ai risultati e agli asset in Security Command Center utilizzando i contrassegni di sicurezza. I contrassegni di sicurezza consentono di identificare le aree di interesse ad alta priorità come i progetti di produzione, contrassegnare i risultati con numeri di monitoraggio dei bug e degli incidenti e altro ancora.

Per gli asset, puoi aggiungere contrassegni di sicurezza solo a quelli supportati da Security Command Center. Per l'elenco degli asset supportati, vedi Tipi di asset supportati in Security Command Center.

Aggiungere asset alle liste consentite

Sebbene non sia un metodo consigliato, puoi eliminare i risultati non necessari aggiungendo contrassegni di sicurezza dedicati agli asset in modo che i rilevatori di Security Health Analytics non creino risultati di sicurezza per questi asset.

L'approccio consigliato e più efficace per controllare il volume dei risultati è Disattivare i risultati. Disattiva i risultati che non è necessario esaminare, perché si riferiscono ad asset isolati o perché rientrano in parametri aziendali accettabili.

Quando applichi contrassegni di sicurezza dedicati agli asset, questi vengono aggiunti a una lista consentita in Security Health Analytics, contrassegnando i risultati relativi agli asset come risolti durante la successiva scansione del batch.

I contrassegni di sicurezza dedicati devono essere applicati direttamente agli asset, non ai risultati, come descritto in Come funzionano le liste consentite più avanti in questa pagina. Se applichi un contrassegno a un risultato, l'asset sottostante può comunque generare risultati.

Come funzionano le liste consentite

Ogni rilevatore di Security Health Analytics dispone di un tipo di contrassegno dedicato per le liste consentite, sotto forma di allow_FINDING_TYPE:true. L'aggiunta di questo contrassegno dedicato a un asset supportato da Security Command Center consente di escludere l'asset dal criterio di rilevamento.

Ad esempio, per escludere il tipo di risultato SSL_NOT_ENFORCED, imposta il contrassegno di sicurezza allow_ssl_not_enforced:true sulla relativa istanza Cloud SQL. Il rilevatore specificato non creerà risultati per gli asset contrassegnati.

Per un elenco completo dei tipi di risultati, consulta l'elenco dei rilevatori di Security Health Analytics. Per scoprire di più sui contrassegni di sicurezza e sulle tecniche per utilizzarli, consulta Utilizzo dei contrassegni di sicurezza.

Tipi di asset

Questa sezione descrive il funzionamento dei contrassegni di sicurezza per asset diversi.

  • Asset della lista consentita: quando aggiungi un contrassegno dedicato a un asset, ad esempio un bucket Cloud Storage o un firewall, il risultato associato viene contrassegnato come risolto all'esecuzione della successiva scansione del batch. Il rilevatore non genera nuovi risultati né aggiorna i risultati esistenti per l'asset finché il segno non viene rimosso.

  • Progetti nella lista consentita: quando aggiungi un contrassegno a una risorsa di progetto, i risultati per i quali il progetto stesso è la risorsa analizzata o di destinazione vengono risolti. Tuttavia, gli asset contenuti all'interno del progetto, ad esempio le macchine virtuali o le chiavi di crittografia, possono comunque generare risultati. Questo contrassegno di sicurezza è disponibile solo se attivi il livello Premium di Security Command Center a livello di organizzazione.

  • Cartelle della lista consentita: quando aggiungi un contrassegno a una risorsa cartella, i risultati per cui la cartella stessa è la risorsa analizzata o di destinazione vengono risolti. Tuttavia, gli asset contenuti all'interno della cartella, inclusi i progetti, possono comunque generare risultati. Questo contrassegno di sicurezza è disponibile solo se attivi il livello Premium di Security Command Center a livello di organizzazione.

  • Rilevatori che supportano più asset: se un rilevatore supporta più di un tipo di asset, devi applicare il contrassegno dedicato a ogni asset. Ad esempio, il rilevatore KMS_PUBLIC_KEY supporta due asset Cloud Key Management Service: CryptoKey e KeyRing. Se applichi il contrassegno allow_kms_public_key:true all'asset CryptoKey, KMS_PUBLIC_KEY risultati per quell'asset sono stati risolti, ma puoi comunque generare per l'asset KeyRing.

I contrassegni di sicurezza vengono aggiornati solo durante le scansioni batch, non le scansioni in tempo reale. Pertanto, se viene rimosso un contrassegno di sicurezza dedicato e l'asset presenta una vulnerabilità, potrebbero essere necessarie fino a 24 ore prima che il contrassegno venga eliminato e venga scritto un risultato.

Rilevatore di casi speciali: chiavi di crittografia fornite dal cliente

Il rilevatore DISK_CSEK_DISABLED non è attivo per impostazione predefinita. Per utilizzare questo rilevatore, devi contrassegnare gli asset per i quali vuoi utilizzare chiavi di crittografia autogestite.

Per abilitare il rilevatore DISK_CSEK_DISABLED per risorse specifiche, applica il contrassegno di sicurezza enforce_customer_supplied_disk_encryption_keys alla risorsa con valore true.

Visualizzazione del numero di risultati attivi per tipo di risultato

Puoi utilizzare la console Google Cloud o i comandi dellGoogle Cloud CLI per visualizzare i conteggi di risultati attivi per tipo di risultato.

Console Google Cloud

La console Google Cloud consente di visualizzare un conteggio dei risultati attivi per ogni tipo di risultato.

Per visualizzare i risultati di Security Health Analytics per tipo di risultato:

  1. Vai a Security Command Center nella console Google Cloud.

    Vai a Security Command Center

  2. Per visualizzare i risultati di Security Health Analytics, fai clic sulla pagina Vulnerabilità.

  3. Per ordinare i risultati in base al numero di risultati attivi per ogni tipo di risultato, fai clic sull'intestazione di colonna Attivo.

Comandi gcloud CLI

Per utilizzare gcloud CLI per ottenere un conteggio di tutti i risultati attivi, esegui una query su Security Command Center per ottenere l'ID origine di Security Health Analytics. Quindi, potrai utilizzare l'ID origine per eseguire query sul conteggio dei risultati attivi.

Passaggio 1: recupera l'ID origine

Per completare questo passaggio, devi avere l'ID organizzazione. Per ottenere l'ID organizzazione, esegui gcloud organizations list e prendi nota del numero accanto al nome dell'organizzazione.

Per ottenere l'ID origine di Security Health Analytics, esegui uno dei comandi seguenti, a seconda che tu abbia attivato Security Command Center a livello di organizzazione o di progetto:

gcloud scc sources describe organizations/ORGANIZATION_ID \
  --source-display-name='Security Health Analytics'

gcloud scc sources describe projects/PROJECT_ID \
  --source-display-name='Security Health Analytics'

Se non hai già abilitato l'API Security Command Center, ti verrà chiesto di farlo. Quando l'API Security Command Center è abilitata, esegui di nuovo il comando precedente. L'output del comando dovrebbe essere simile al seguente:

description: Scans for deviations from a GCP security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

Prendi nota del SOURCE_ID da utilizzare nel passaggio successivo.

Passaggio 2: recupera il numero dei risultati attivi

Utilizza il SOURCE_ID che hai annotato nel passaggio precedente per filtrare i risultati di Security Health Analytics. I seguenti comandi dellgcloud CLI restituiscono un numero di risultati per categoria.

Se hai attivato Security Command Center a livello di organizzazione, esegui questo comando:

gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
 --group-by=category --page-size=PAGE_SIZE

Se hai attivato Security Command Center a livello di progetto, esegui questo comando:

gcloud scc findings group projects/PROJECT_ID/sources/SOURCE_ID \
 --group-by=category --page-size=PAGE_SIZE

Puoi impostare qualsiasi valore fino a 1000 per le dimensioni della pagina. Il comando dovrebbe visualizzare l'output come segue, con i risultati della tua organizzazione specifica:

groupByResults:
- count: '1'
  properties:
    category: MFA_NOT_ENFORCED
- count: '3'
  properties:
    category: ADMIN_SERVICE_ACCOUNT
- count: '2'
  properties:
    category: API_KEY_APIS_UNRESTRICTED
- count: '1'
  properties:
    category: API_KEY_APPS_UNRESTRICTED
- count: '2'
  properties:
    category: API_KEY_EXISTS
- count: '10'
  properties:
    category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
  properties:
    category: AUDIT_LOGGING_DISABLED
- count: '1'
  properties:
    category: AUTO_UPGRADE_DISABLED
- count: '10'
  properties:
    category: BUCKET_IAM_NOT_MONITORED
- count: '10'
  properties:
    category: BUCKET_LOGGING_DISABLED
nextPageToken: TOKEN
      readTime: '2019-08-05T21:56:13.862Z'
      totalSize: 50

Gestisci i risultati a livello di programmazione

L'utilizzo di Google Cloud CLI con l'SDK di Security Command Center ti consente di automatizzare quasi tutto ciò che puoi fare con Security Command Center nella console Google Cloud. Puoi anche risolvere molti risultati utilizzando gcloud CLI. Per ulteriori informazioni, consulta la documentazione relativa ai tipi di risorse descritti in ogni risultato:

Per esportare o elencare gli asset in modo programmatico, utilizza l'API Cloud Asset Inventory. Per ulteriori informazioni, vedi Esportare la cronologia delle risorse e i metadati.

I metodi e i campi degli asset dell'API Security Command Center sono deprecati e verranno rimossi il 26 giugno 2024 o in una data successiva.

Fino alla rimozione, gli utenti che hanno attivato Security Command Center prima del 26 giugno 2023 possono utilizzare i metodi degli asset dell'API Security Command Center per elencare gli asset, ma questi metodi supportano solo gli asset supportati da Security Command Center.

Per informazioni sull'utilizzo dei metodi dell'API per gli asset deprecati, consulta la pagina relativa agli elenchi degli asset.

Scansione dei progetti protetti da un perimetro di servizio

Questa funzionalità è disponibile solo se attivi il livello Premium di Security Command Center a livello di organizzazione.

Se hai un perimetro di servizio che blocca l'accesso a determinati progetti e servizi, devi concedere all'account di servizio Security Command Center l'accesso in entrata a quel perimetro di servizio. In caso contrario, Security Health Analytics non può produrre risultati relativi ai progetti e ai servizi protetti.

L'identificatore dell'account di servizio è un indirizzo email con il seguente formato:

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

Sostituisci ORGANIZATION_ID con l'identificatore numerico della tua organizzazione.

Per concedere a un account di servizio l'accesso in entrata a un perimetro di servizio, segui questi passaggi.

  1. Vai a Controlli di servizio VPC.

    Vai a Controlli di servizio VPC

  2. Nella barra degli strumenti, seleziona la tua organizzazione Google Cloud.

    Selettore progetto

  3. Nell'elenco a discesa, seleziona il criterio di accesso contenente il perimetro di servizio a cui vuoi concedere l'accesso.

    Elenco dei criteri di accesso

    I perimetri di servizio associati al criterio di accesso vengono visualizzati nell'elenco.

  4. Fai clic sul nome del perimetro di servizio.

  5. Fai clic su Modifica perimetro.

  6. Nel menu di navigazione, fai clic su Criterio in entrata.

  7. Fai clic su Aggiungi regola.

  8. Configura la regola nel seguente modo:

    Attributi FROM del client API

    1. Per Origine, seleziona Tutte le origini.
    2. Per Identità, seleziona Identità selezionate.
    3. Nel campo Aggiungi account utente/di servizio, fai clic su Seleziona.
    4. Inserisci l'indirizzo email dell'account di servizio. Se disponi di account di servizio sia a livello di organizzazione che a livello di progetto, aggiungili entrambi.
    5. Fai clic su Salva.

    Attributi TO di servizi/risorse Google Cloud

    1. Per Progetto, seleziona Tutti i progetti.

    2. In Servizi, seleziona Tutti i servizi o seleziona ciascuno dei seguenti servizi individuali richiesti da Security Health Analytics:

      • API BigQuery
      • API Binary Authorization
      • API Cloud Logging
      • API Cloud Monitoring
      • API Compute Engine
      • API Kubernetes Engine

    Se un perimetro di servizio limita l'accesso a un servizio richiesto, Security Health Analytics non può produrre risultati per quel servizio.

  9. Nel menu di navigazione, fai clic su Salva.

Per ulteriori informazioni, consulta Configurazione dei criteri per il traffico in entrata e in uscita.

Passaggi successivi