Questa pagina fornisce una panoramica del processo di attivazione che si verifica quando abiliti Security Command Center. Il suo scopo è rispondere a domande comuni:
- Cosa succede quando Security Command Center è abilitato?
- Perché c'è un ritardo prima dell'inizio delle prime scansioni?
- Qual è il runtime previsto per le prime scansioni e per quelle successive?
- In che modo la modifica delle risorse e delle impostazioni influisce sul rendimento?
Panoramica
Quando abiliti Security Command Center per la prima volta, deve essere completato un processo di attivazione prima che Security Command Center possa iniziare a eseguire la scansione delle tue risorse. Le scansioni devono essere completate prima che tu possa visualizzare un insieme completo di risultati per il tuo ambienteGoogle Cloud .
Il tempo necessario per completare il processo di attivazione e le scansioni dipende da una serie di fattori, tra cui il numero di asset e risorse nell'ambiente e se Security Command Center è attivato a livello di organizzazione o di progetto.
Con le attivazioni a livello di organizzazione, Security Command Center deve ripetere determinati passaggi della procedura di attivazione per ogni progetto dell'organizzazione. A seconda del numero di progetti in un'organizzazione, il tempo necessario per la procedura di attivazione può variare da minuti a ore. Per le organizzazioni con più di 100.000 progetti, molte risorse in ogni progetto e altri fattori che complicano la situazione, l'attivazione e le scansioni iniziali possono richiedere fino a 24 ore o più per essere completate.
Con le attivazioni di Security Command Center a livello di progetto, il processo di attivazione è molto più rapido, perché è limitato al singolo progetto in cui è attivato Security Command Center.
I fattori che possono introdurre latenza nell'avvio delle scansioni, nell'elaborazione delle modifiche alle impostazioni e nella durata delle scansioni sono discussi nelle sezioni seguenti.
Topologia
La figura seguente fornisce un'illustrazione di alto livello della procedura di onboarding e attivazione.
Latenza nell'onboarding
Prima dell'inizio delle scansioni, Security Command Center rileva e indicizza le tue risorse.
I servizi indicizzati includono App Engine, BigQuery, Cloud SQL, Cloud Storage, Compute Engine, Identity and Access Management e Google Kubernetes Engine.
Per le attivazioni di Security Command Center a livello di progetto, l'individuazione e l'indicizzazione sono limitate al singolo progetto in cui è attivato Security Command Center.
Per le attivazioni a livello di organizzazione, Security Command Center rileva e indicizza le risorse dell'organizzazione.
Durante questa procedura di onboarding, si svolgono due passaggi fondamentali.
Scansione degli asset
Security Command Center esegue una scansione iniziale degli asset per identificare il numero totale, la posizione e lo stato di progetti, cartelle, file, cluster, identità, policy di accesso, utenti registrati e altre risorse. Di solito, questa procedura viene completata in pochi minuti.
Attivazione dell'API
Man mano che le risorse vengono rilevate, Security Command Center abilita le parti di Google Cloud necessarie per il funzionamento di Security Health Analytics, Event Threat Detection, Container Threat Detection e Web Security Scanner. Alcuni servizi di rilevamento richiedono l'attivazione di API specifiche sui progetti protetti per funzionare.
Quando attivi Security Command Center a livello di progetto, l'attivazione dell'API di solito richiede meno di un minuto.
Con le attivazioni a livello di organizzazione, Security Command Center esamina tutti i progetti selezionati per la scansione per abilitare le API necessarie.
Il numero di progetti in un'organizzazione determina in gran parte la durata dei processi di onboarding e attivazione. Poiché le API devono essere attivate per i progetti uno alla volta, l'attivazione delle API è in genere l'attività più dispendiosa in termini di tempo, in particolare per le organizzazioni con più di 100.000 progetti.
Il tempo necessario per abilitare i servizi nei progetti aumenta in modo lineare. Ciò significa che, in genere, l'attivazione dei servizi e delle impostazioni di sicurezza in un'organizzazione con 30.000 progetti richiede il doppio del tempo rispetto a un'organizzazione con 15.000 progetti.
Per un'organizzazione con 100.000 progetti, l'onboarding e l'attivazione del livello Premium devono essere completati in meno di cinque ore. Il tempo può variare a seconda di molti fattori, tra cui il numero di progetti o container che utilizzi e il numero di servizi Security Command Center che scegli di attivare.
Latenza di scansione
Quando configuri Security Command Center, decidi quali servizi integrati e integrati abilitare e seleziona le risorse che vuoi analizzare o scansionare per rilevare minacce e vulnerabilità. Google Cloud Man mano che le API vengono attivate per i progetti, i servizi selezionati iniziano le scansioni. La durata di queste scansioni dipende anche dal numero di progetti in un'organizzazione.
I risultati dei servizi integrati sono disponibili al termine delle scansioni iniziali. I servizi riscontrano una latenza come descritto di seguito.
- Container Threat Detection ha le seguenti latenze:
- Latenza di attivazione fino a 3 ore e mezza per i progetti o le organizzazioni appena registrati.
- Latenza di attivazione di minuti per i cluster appena creati.
- Latenza di rilevamento di minuti per le minacce nei cluster che sono stati attivati.
L'attivazione di Event Threat Detection avviene in pochi secondi per i rilevatori integrati. Per i rilevatori personalizzati nuovi o aggiornati, possono essere necessari fino a 15 minuti prima che le modifiche diventino effettive. In pratica, in genere richiede meno di 5 minuti.
Per i rilevatori integrati e personalizzati, le latenze di rilevamento sono in genere inferiori a 15 minuti, dal momento in cui viene scritto un log a quando un risultato è disponibile in Security Command Center.
Le scansioni di Security Health Analytics iniziano circa un'ora dopo l'abilitazione del servizio. Il completamento delle prime scansioni di Security Health Analytics può richiedere fino a 12 ore. Dopodiché, la maggior parte dei rilevamenti viene eseguita in tempo reale in base alle modifiche alla configurazione degli asset (le eccezioni sono descritte in Latenza di rilevamento di Security Health Analytics).
VM Threat Detection ha una latenza di attivazione fino a 48 ore per le organizzazioni di cui è stato eseguito l'onboarding di recente. Per i progetti, la latenza di attivazione è fino a 15 minuti.
La valutazione delle vulnerabilità per Amazon Web Services (AWS) inizia a scansionare le risorse in un account AWS circa 15 minuti dopo il primo deployment del modello CloudFormation richiesto nell'account. Quando viene rilevata una vulnerabilità del software nell'account AWS, il risultato corrispondente diventa disponibile in Security Command Center circa 10 minuti dopo.
Il tempo necessario per completare una scansione dipende dal numero di istanze EC2. In genere, la scansione di una singola istanza EC2 richiede meno di 5 minuti.
L'avvio delle scansioni di Web Security Scanner può richiedere fino a 24 ore dopo l'abilitazione del servizio e vengono eseguite settimanalmente dopo la prima scansione.
Security Command Center esegue rilevatori di errori, che rilevano errori di configurazione correlati a Security Command Center e ai relativi servizi. Questi rilevatori di errori sono attivi per impostazione predefinita e non possono essere disattivati. Le latenze di rilevamento variano a seconda del rilevatore di errori. Per saperne di più, vedi Errori di Security Command Center.
I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, cartella o progetto. La possibilità di visualizzare, modificare, creare o aggiornare risultati, asset e origini di sicurezza dipende dal livello per cui ti è stato concesso l'accesso. Per scoprire di più sui ruoli di Security Command Center, consulta Controllo dell'accesso.
Risultati preliminari
Potresti visualizzare alcuni risultati nella console Google Cloud durante le scansioni iniziali, ma prima che la procedura di onboarding sia completata.
I risultati preliminari sono accurati e fruibili, ma non esaustivi. Non è consigliabile utilizzare questi risultati per una valutazione della conformità entro le prime 24 ore.
Scansioni successive
Le modifiche apportate all'interno dell'organizzazione o del progetto, ad esempio lo spostamento di risorse o, per le attivazioni a livello di organizzazione, l'aggiunta di nuove cartelle e progetti, di solito non influiscono in modo significativo sul tempo di rilevamento delle risorse o sul runtime delle scansioni. Tuttavia, alcune scansioni vengono eseguite in base a pianificazioni prestabilite, che determinano la velocità con cui Security Command Center rileva le modifiche.
- Event Threat Detection e Container Threat Detection: questi servizi vengono eseguiti in tempo reale quando sono attivi e rilevano immediatamente risorse nuove o modificate, come cluster, bucket o log, nei progetti abilitati.
- Security Health Analytics: Security Health Analytics viene eseguito in tempo reale quando è attivato e rileva risorse nuove o modificate in pochi minuti, escluse le rilevazioni elencate di seguito.
- VM Threat Detection: per la scansione della memoria, VM Threat Detection esegue la scansione di ogni istanza VM
immediatamente dopo la
creazione dell'istanza. Inoltre, VM Threat Detection esegue la scansione di ogni istanza VM ogni 30 minuti.
- Per il rilevamento del mining di criptovalute, VM Threat Detection genera un risultato per processo, per VM, al giorno. Ogni risultato include solo le minacce associate al processo identificato dal risultato. Se VM Threat Detection rileva minacce, ma non riesce ad associarle a nessun processo, raggruppa tutte le minacce non associate in un unico risultato che genera una volta ogni 24 ore per ogni VM. Per le minacce che persistono per più di 24 ore, VM Threat Detection genera nuovi risultati una volta ogni 24 ore.
- Per il rilevamento di rootkit in modalità kernel, che è in anteprima, VM Threat Detection genera un risultato per categoria, per VM, ogni tre giorni.
Per l'analisi disco permanente, che rileva la presenza di malware noti, VM Threat Detection analizza ogni istanza VM almeno una volta al giorno.
La valutazione delle vulnerabilità per AWS esegue scansioni tre volte al giorno.
Il tempo necessario per completare una scansione dipende dal numero di istanze EC2. In genere, la scansione di una singola istanza EC2 richiede meno di 5 minuti.
Quando viene rilevata una vulnerabilità del software in un account AWS, il risultato corrispondente diventa disponibile in Security Command Center circa 10 minuti dopo.
Web Security Scanner: Web Security Scanner viene eseguito settimanalmente, lo stesso giorno della scansione iniziale. Poiché viene eseguito settimanalmente, Web Security Scanner non rileva le modifiche in tempo reale. Se sposti una risorsa o modifichi un'applicazione, la modifica potrebbe non essere rilevata per un massimo di una settimana. Puoi eseguire scansioni on demand per controllare le risorse nuove o modificate tra le scansioni pianificate.
I rilevatori di errori di Security Command Center vengono eseguiti periodicamente in modalità batch. Le frequenze di scansione batch variano a seconda del rilevatore di errori. Per maggiori informazioni, vedi Errori di Security Command Center.
Latenza di rilevamento di Security Health Analytics
I rilevamenti di Security Health Analytics vengono eseguiti periodicamente in modalità batch dopo l'attivazione del servizio, nonché quando cambia la configurazione di un asset correlato. Una volta attivato Security Health Analytics, qualsiasi modifica alla configurazione delle risorse pertinente comporta risultati di configurazione errata aggiornati. In alcuni casi, gli aggiornamenti potrebbero richiedere diversi minuti, a seconda del tipo di asset e della modifica.
Alcuni rilevatori di Security Health Analytics non supportano la modalità di scansione immediata se, ad esempio, un rilevamento viene eseguito su informazioni esterne alla configurazione di una risorsa. Questi rilevamenti, elencati nella tabella seguente, vengono eseguiti periodicamente e identificano le configurazioni errate entro 12 ore. Leggi Vulnerabilità e risultati per saperne di più sui detector di Security Health Analytics.
| Rilevamenti di Security Health Analytics che non supportano la modalità di scansione in tempo reale |
|---|
| COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
| MFA_NOT_ENFORCED (in precedenza denominato 2SV_NOT_ENFORCED) |
| OS_LOGIN_DISABLED |
| SQL_NO_ROOT_PASSWORD |
| SQL_WEAK_ROOT_PASSWORD |
Simulazioni del percorso di attacco
Le simulazioni del percorso di attacco vengono eseguite ogni sei ore circa. Man mano che le dimensioni o la complessità della tua organizzazioneGoogle Cloud aumentano, l'intervallo di tempo tra gli intervalli può aumentare.
Quando attivi per la prima volta Security Command Center, le simulazioni dei percorsi di attacco utilizzano un set di risorse di valore elevato predefinito, che si concentra su un sottoinsieme dei tipi di risorse supportati trovati nella tua organizzazione. Per ulteriori informazioni, consulta l'elenco dei tipi di risorse supportati.
Quando inizi a definire il tuo set di risorse di alto valore creando una configurazione dei valori delle risorse, potresti notare una riduzione del tempo tra gli intervalli di simulazione se il numero di istanze delle risorse nel tuo set di risorse di alto valore è significativamente inferiore al set predefinito.
Passaggi successivi
- Scopri come utilizzare Security Command Center nella console Google Cloud .
- Scopri di più sui servizi di rilevamento.