Questa pagina fornisce una panoramica della procedura di attivazione che avviene quando attivi Security Command Center. Il suo scopo è rispondere alle domande più comuni:
- Cosa succede quando Security Command Center è attivato?
- Perché c'è un ritardo prima dell'inizio delle prime scansioni?
- Qual è il tempo di esecuzione previsto per le prime scansioni e per quelle in corso?
- In che modo la modifica delle risorse e delle impostazioni influirà sul rendimento?
Panoramica
Quando attivi Security Command Center per la prima volta, deve essere completata una procedura di attivazione prima che Security Command Center possa iniziare a eseguire la scansione delle risorse. Le scansioni devono essere completate prima che tu possa visualizzare un insieme completo di risultati per il tuo ambiente Google Cloud.
Il tempo necessario per completare la procedura di attivazione e le analisi dipende da una serie di fattori, tra cui il numero di asset e risorse nel tuo ambiente e se Security Command Center è attivato a livello di organizzazione o a livello di progetto.
Con le attivazioni a livello di organizzazione, Security Command Center deve ripetere alcuni passaggi della procedura di attivazione per ogni progetto dell'organizzazione. A seconda del numero di progetti in un'organizzazione, il tempo necessario per la procedura di attivazione può variare da alcuni minuti a diverse ore. Per le organizzazioni con più di 100.000 progetti, molte risorse in ogni progetto e altri fattori complicati, l'attivazione e le prime scansioni possono richiedere fino a 24 ore o più.
Con le attivazioni di Security Command Center a livello di progetto, il processo di attivazione è molto più rapido, in quanto è limitato al singolo progetto in cui è attivato Security Command Center.
I fattori che possono introdurre latenza nell'avvio delle analisi, nell'elaborazione delle modifiche alle impostazioni e nel tempo di esecuzione delle analisi sono descritti nelle sezioni seguenti.
Topologia
La figura seguente fornisce un'illustrazione di alto livello della procedura di onboarding e attivazione.
Latenza durante l'onboarding
Prima dell'inizio delle scansioni, Security Command Center rileva e indicizza le risorse.
I servizi indicizzati includono App Engine, BigQuery, Cloud SQL, Cloud Storage, Compute Engine, Identity and Access Management e Google Kubernetes Engine.
Per le attivazioni di Security Command Center a livello di progetto, il rilevamento e l'indicizzazione sono limitati al singolo progetto in cui è attivato Security Command Center.
Per le attivazioni a livello di organizzazione, Security Command Center rileva e indicizza le risorse dell'intera organizzazione.
Durante questo processo di onboarding, vengono eseguiti due passaggi critici.
Scansione degli asset
Security Command Center esegue una scansione iniziale degli asset per identificare il numero totale, la posizione e lo stato di progetti, cartelle, file, cluster, identità, criteri di accesso, utenti registrati e altre risorse. Di solito, questa procedura viene completata entro pochi minuti.
Attivazione dell'API
Man mano che le risorse vengono rilevate, Security Command Center attiva le parti di Google Cloud necessarie per il funzionamento di Security Health Analytics, Event Threat Detection, Container Threat Detection e Web Security Scanner. Per funzionare, alcuni servizi di rilevamento richiedono l'attivazione di API specifiche nei progetti protetti.
Quando attivi Security Command Center a livello di progetto, l'attivazione dell'API solitamente richiede meno di un minuto.
Con le attivazioni a livello di organizzazione, Security Command Center esegue l'iterazione di tutti i progetti selezionati per la scansione per abilitare le API necessarie.
Il numero di progetti in un'organizzazione determina in gran parte la durata delle procedure di onboarding e attivazione. Poiché le API devono essere attivate per i progetti singolarmente, l'attivazione delle API è in genere l'attività più dispendiosa in termini di tempo, in particolare per le organizzazioni con più di 100.000 progetti.
Il tempo necessario per attivare i servizi nei vari progetti è proporzionale al numero di progetti. Ciò significa che, in genere, per attivare i servizi e le impostazioni di sicurezza in un'organizzazione con 30.000 progetti è necessario il doppio del tempo rispetto a un'organizzazione con 15.000 progetti.
Per un'organizzazione con 100.000 progetti, l'onboarding e l'attivazione del livello Premium dovrebbero essere completati in meno di cinque ore. Il tempo può variare in base a molti fattori, tra cui il numero di progetti o contenitori in uso e il numero di servizi di Security Command Center che scegli di attivare.
Latenza di scansione
Quando configuri Security Command Center, decidi quali servizi integrati e integrati da attivare e selezioni le risorse Google Cloud di cui vuoi eseguire l'analisi o la scansione per rilevare minacce e vulnerabilità. Quando le API vengono attivate per i progetti, i servizi selezionati avviano le scansioni. La durata di queste analisi dipende anche dal numero di progetti in un'organizzazione.
I risultati dei servizi integrati sono disponibili al termine delle scansioni iniziali. I servizi presentano una latenza come descritto di seguito.
- Container Threat Detection presenta le seguenti latenze:
- Latenza di attivazione fino a 3,5 ore per progetti o organizzazioni appena integrati.
- Latenza di attivazione di alcuni minuti per i cluster appena creati.
- Latenza di rilevamento di alcuni minuti per le minacce nei cluster che sono stati attivati.
L'attivazione di Event Threat Detection avviene entro pochi secondi per i rilevatori integrati. Per i rilevatori personalizzati nuovi o aggiornati, l'applicazione delle modifiche può richiedere fino a 15 minuti. In pratica, in genere sono necessari meno di 5 minuti.
Per i rilevatori integrati e personalizzati, le latenze di rilevamento sono in genere inferiori a 15 minuti, dal momento in cui viene scritto un log fino al momento in cui un risultato è disponibile in Security Command Center.
Le analisi di Security Health Analytics iniziano circa un'ora dopo l'attivazione del servizio. Il completamento delle prime scansioni di Security Health Analytics può richiedere fino a 12 ore. In seguito, la maggior parte dei rilevamenti viene eseguita in tempo reale in base alle modifiche alla configurazione delle risorse (le eccezioni sono descritte in Latenza del rilevamento di Security Health Analytics).
VM Threat Detection ha una latenza di attivazione fino a 48 ore per le organizzazioni appena integrate. Per i progetti, la latenza di attivazione può arrivare fino a 15 minuti.
Vulnerability Assessment per Amazon Web Services (AWS) inizia a eseguire la scansione delle risorse in un account AWS circa 15 minuti dopo il primo deployment del modello CloudFormation richiesto nell'account. Quando viene rilevata una vulnerabilità del software nell'account AWS, il risultato corrispondente diventa disponibile in Security Command Center circa 10 minuti dopo.
Il tempo necessario per completare una scansione dipende dal numero di istanze EC2. In genere, una scansione di una singola istanza EC2 richiede meno di 5 minuti.
L'avvio delle scansioni di Web Security Scanner può richiedere fino a 24 ore dopo l'attivazione del servizio e vengono eseguite settimanalmente dopo la prima scansione.
Security Command Center esegue rilevatori di errori, che rilevano gli errori di configurazione relativi a Security Command Center e ai suoi servizi. Questi rilevatori di errori sono attivati per impostazione predefinita e non possono essere disattivati. Le latenze di rilevamento variano in base al rilevatore di errori. Per ulteriori informazioni, consulta Errori di Security Command Center.
I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, cartella o progetto. La possibilità di visualizzare, modificare, creare o aggiornare risultati, asset e origini di sicurezza dipende dal livello per cui ti è stato concesso l'accesso. Per scoprire di più sui ruoli di Security Command Center, consulta Controllo degli accessi.
Risultati preliminari
Potresti notare alcuni risultati nella console Google Cloud durante le prime ricerche, ma prima del completamento della procedura di onboarding.
I risultati preliminari sono accurati e utili, ma non sono comprehensivi. Non è consigliabile utilizzare questi risultati per una valutazione della conformità nelle prime 24 ore.
Scansioni successive
Le modifiche apportate all'interno dell'organizzazione o del progetto, come lo spostamento delle risorse o, per le attivazioni a livello di organizzazione, l'aggiunta di nuove cartelle e progetti, solitamente non influiscono in modo significativo sul tempo di rilevamento delle risorse o sul tempo di esecuzione delle analisi. Tuttavia, alcune scansioni vengono eseguite secondo programmazioni predefinite, che determinano la velocità con cui Security Command Center rileva le modifiche.
- Event Threat Detection e Container Threat Detection: questi servizi vengono eseguiti in tempo reale quando sono attivati e rilevano immediatamente le risorse nuove o modificate, ad esempio cluster, bucket o log, nei progetti abilitati.
- Security Health Analytics: Security Health Analytics viene eseguito in tempo reale se attivato e consente di rilevare risorse nuove o modificate in pochi minuti, esclusi i rilevamenti elencati di seguito.
- VM Threat Detection: per la scansione della memoria, VM Threat Detection esegue la scansione di ogni istanza VM
immediatamente dopo la sua creazione. Inoltre, VM Threat Detection esegue la scansione di ogni istanza VM ogni 30 minuti.
- Per il rilevamento del mining di criptovalute, VM Threat Detection genera un rilevamento per processo, per VM e per giorno. Ogni risultato include solo le minacce associate al processo identificato dal risultato. Se Virtual Machine Threat Detection rileva minacce, ma non riesce ad associarle a nessun processo, per ogni VM raggruppa tutte le minacce non associate in un singolo rilevamento che viene emesso una volta ogni 24 ore. Per le minacce che persistono per più di 24 ore, il rilevamento delle minacce VM genera nuovi risultati ogni 24 ore.
- Per il rilevamento dei rootkit in modalità kernel, che è in anteprima, VM Threat Detection genera un risultato per categoria e per VM ogni tre giorni.
Per la scansione disco permanente, che rileva la presenza di malware noti, VM Threat Detection esamina ogni istanza VM almeno una volta al giorno.
Vulnerability Assessment per AWS esegue le scansioni tre volte al giorno.
Il tempo necessario per completare una scansione dipende dal numero di istanze EC2. In genere, una scansione di una singola istanza EC2 richiede meno di 5 minuti.
Quando viene rilevata una vulnerabilità del software in un account AWS, il risultato corrispondente diventa disponibile in Security Command Center circa 10 minuti dopo.
Web Security Scanner: Web Security Scanner viene eseguito settimanalmente, lo stesso giorno della scansione iniziale. Poiché viene eseguito settimanalmente, Web Security Scanner non rileva le modifiche in tempo reale. Se sposti una risorsa o modifichi un'applicazione, la modifica potrebbe non essere rilevata per un massimo di una settimana. Puoi eseguire analisi on demand per controllare le risorse nuove o modificate tra un'analisi pianificata e l'altra.
I rilevatori di errori di Security Command Center vengono eseguiti periodicamente in modalità batch. Le frequenze di scansione del batch variano a seconda del rilevatore di errori. Per ulteriori informazioni, consulta Errori di Security Command Center.
Latenza di rilevamento di Security Health Analytics
I rilevamenti di Security Health Analytics vengono eseguiti periodicamente in modalità batch dopo l'attivazione del servizio e quando cambia la configurazione di un asset correlato. Una volta attivato Security Health Analytics, eventuali modifiche alla configurazione delle risorse pertinenti comportano l'aggiornamento dei risultati relativi alle configurazioni errate. In alcuni casi, gli aggiornamenti potrebbero richiedere diversi minuti, a seconda del tipo di risorsa e della modifica.
Alcuni rilevatori di Security Health Analytics non supportano la modalità di scansione immediata se, ad esempio, un rilevamento viene eseguito su informazioni esterne alla configurazione di una risorsa. Questi rilevamenti, elencati nella tabella di seguito, vengono eseguiti periodicamente e identificano le configurazioni errate entro 12 ore. Leggi la sezione Vulnerabilità e risultati per ulteriori dettagli sui rilevatori di Security Health Analytics.
| Rilevamenti di Security Health Analytics che non supportano la modalità di scansione in tempo reale |
|---|
| COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
| MFA_NOT_ENFORCED (in precedenza 2SV_NOT_ENFORCED) |
| OS_LOGIN_DISABLED |
| SQL_NO_ROOT_PASSWORD |
| SQL_WEAK_ROOT_PASSWORD |
Simulazioni del percorso di attacco
Le simulazioni del percorso di attacco vengono eseguite ogni sei ore circa. Man mano che la tua organizzazione Google Cloud aumenta di dimensioni o complessità, il tempo tra gli intervalli può aumentare.
Quando attivi per la prima volta Security Command Center, le simulazioni dei percorsi di attacco utilizzano un set di risorse di valore elevato predefinito, che include tutti i tipi di risorse supportati nella tua organizzazione.
Quando inizi a definire il tuo set di risorse di alto valore creando una configurazione del valore della risorsa, potresti notare una diminuzione del tempo tra gli intervalli di simulazione se il numero di istanze di risorse nel set di risorse di alto valore è notevolmente inferiore a quello predefinito.
Passaggi successivi
- Scopri come utilizzare Security Command Center nella console Google Cloud.
- Scopri di più sui servizi di rilevamento.