Security Health Analytics – Übersicht

Security Health Analytics ist ein verwalteter Dienst von Security Command Center, der Ihre Cloud-Umgebungen nach häufigen Fehlkonfigurationen durchsucht, die Sie Angriffen aussetzen könnten.

Security Health Analytics wird automatisch aktiviert, wenn Sie Security Command Center aktivieren.

Security Health Analytics-Funktionen nach Aboversion

Die für Sie verfügbaren Security Health Analytics-Funktionen hängen von der Dienststufe ab, in der Security Command Center aktiviert ist. Unter Ergebnisse von Security Health Analytics können Sie sehen, welche Ergebnisse in den einzelnen Stufen verfügbar sind.

Funktionen der Standard-Stufe

In der Standard-Stufe kann Security Health Analytics nur eine einfache Gruppe von Sicherheitslücken mit mittlerem und hohem Schweregrad erkennen.

Funktionen der Premium-Stufe

Die Premium-Stufe umfasst die folgenden Funktionen:

  • Alle Detektoren für Google Cloudsowie eine Reihe anderer Funktionen zur Erkennung von Sicherheitslücken, z. B. die Möglichkeit, benutzerdefinierte Erkennungsmodule zu erstellen.
  • Ergebnisse werden für die Compliance-Berichterstellung Compliance-Kontrollen zugeordnet. Weitere Informationen finden Sie unter Detektoren und Compliance.
  • Bei Angriffspfadsimulationen in Security Command Center werden Angriffsrisikobewertungen und potenzielle Angriffspfade für die meisten Security Health Analytics-Ergebnisse berechnet. Weitere Informationen finden Sie unter Übersicht über Angriffsrisikobewertungen und Angriffspfade.

Funktionen der Enterprise-Stufe

Die Enterprise-Stufe umfasst alle Funktionen der Premium-Stufe sowie Detektoren für andere Cloud-Dienstanbieterplattformen.

Stufen wechseln

Die meisten Detektoren von Security Health Analytics sind nur in der Premium- und Enterprise-Stufe von Security Command Center verfügbar. Wenn Sie die Premium- oder Enterprise-Stufe verwenden und zur Standardstufe wechseln möchten, empfehlen wir, alle Ergebnisse zu beheben, bevor Sie die Stufe ändern.

Wenn ein Premium- oder Enterprise-Testzeitraum endet oder Sie ein Downgrade von der Premium- oder Enterprise-Stufe auf die Standard-Stufe durchführen, wird der Status der Ergebnisse, die auf der höheren Stufe generiert wurden, auf INACTIVE gesetzt.

Unterstützung von Multi-Cloud

Security Health Analytics kann Fehlkonfigurationen in Ihren Bereitstellungen auf anderen Cloud-Plattformen erkennen.

Security Health Analytics unterstützt die folgenden anderen Cloud-Dienstanbieter:

Unterstützte Google Cloud Cloud-Dienste

Das von Security Health Analytics verwaltete Scannen der Sicherheitslückenbewertung für Google Cloudkann häufige Sicherheitslücken und Fehlkonfigurationen in den folgenden Google Cloud Diensten automatisch erkennen:

  • Cloud Monitoring und Cloud Logging
  • Compute Engine
  • Google Kubernetes Engine-Container und -Netzwerke
  • cl
  • Cloud SQL
  • Identitäts- und Zugriffsverwaltung
  • Cloud Key Management Service (Cloud KMS)
  • Cloud DNS

Security Health Analytics – Scantypen

Security Health Analytics-Scans werden in drei Modi ausgeführt:

  • Batch-Scan:Die Ausführung aller Detektoren wird für alle registrierten Organisationen oder Projekte einmal täglich geplant.

  • Echtzeit-Scan:Nur für Google Cloud Bereitstellungen starten unterstützte Detektoren Scans, wenn eine Änderung in der Konfiguration einer Ressource erkannt wird. Die Ergebnisse werden in Security Command Center geschrieben. Echtzeitscans werden für Bereitstellungen auf anderen Cloud-Plattformen nicht unterstützt.

  • Gemischter Modus: Einige Detektoren, die Echtzeit-Scans unterstützen, erkennen möglicherweise nicht für alle unterstützten Ressourcentypen Änderungen in Echtzeit. In diesen Fällen werden die Konfigurationsänderungen für einige Ressourcentypen sofort und andere in Batch-Scans erfasst. Ausnahmen sind in den Tabellen mit den Ergebnissen von Security Health Analytics aufgeführt.

Security Health Analytics – Detektoren

Security Health Analytics verwendet Detektoren, um Sicherheitslücken und Fehlkonfigurationen in Ihrer Cloud-Umgebung zu identifizieren. Jeder Detector entspricht einer Ergebniskategorie.

Security Health Analytics bietet viele integrierte Detektoren, die in einer Vielzahl von Kategorien und Ressourcentypen nach Sicherheitslücken und Fehlkonfigurationen suchen.

Sie können auch eigene benutzerdefinierte Detektoren erstellen, die nach Sicherheitslücken oder Fehlkonfigurationen suchen, die nicht von den integrierten Detektoren abgedeckt werden oder die spezifisch für Ihre Umgebung sind.

Weitere Informationen zu den integrierten Security Health Analytics-Detektoren finden Sie unter Integrierte Security Health Analytics-Detektoren.

Weitere Informationen zum Erstellen und Verwenden benutzerdefinierter Module finden Sie unter Benutzerdefinierte Module für Security Health Analytics.

Detektor aktivieren

Nicht alle integrierten Security Health Analytics-Detektoren für Google Cloudsind standardmäßig aktiviert.

Wenn Sie die Enterprise-Stufe mit Multicloud-Unterstützung verwenden, sind alle Detektoren für AWS standardmäßig aktiviert.

Informationen zum Aktivieren inaktiver integrierter Detektoren finden Sie unter Detektoren aktivieren und deaktivieren.

Wenn Sie ein benutzerdefiniertes Security Health Analytics-Erkennungsmodul aktivieren oder deaktivieren möchten, können Sie das benutzerdefinierte Modul über die Google Cloud Console, die gcloud CLI oder die Security Command Center API aktualisieren.

Weitere Informationen zum Aktualisieren von benutzerdefinierten Security Health Analytics-Modulen finden Sie unter Benutzerdefiniertes Modul aktualisieren.

Unterstützung von Detektoren bei Aktivierungen auf Projektebene

Mit den Standard- und Premium-Stufen können Sie Security Command Center für eine gesamte Organisation oder für ein oder mehrere Projekte innerhalb einer Organisation aktivieren.

Aktivierungen auf Projektebene werden in der Enterprise-Version nicht unterstützt.

Integrierte Detektoren und Aktivierungen auf Projektebene

Wenn Sie Security Command Center nur für ein Projekt aktivieren, werden bestimmte integrierte Security Health Analytics-Detektoren nicht unterstützt, da sie Berechtigungen auf Organisationsebene erfordern.

Von den integrierten Detektoren, für die eine Aktivierung auf Organisationsebene erforderlich ist, können Sie diejenigen aktivieren, die mit der Standardstufe von Security Command Center für Aktivierungen auf Projektebene verfügbar sind, indem Sie die Standardstufe für Ihre Organisation aktivieren. Diese ist kostenlos.

Integrierte Detektoren, für die sowohl die Premium-Stufe als auch Berechtigungen auf Organisationsebene erforderlich sind, werden bei Aktivierungen auf Projektebene nicht unterstützt.

Eine Liste der integrierten Detektoren der Standardstufe, für die eine Aktivierung von Security Command Center Standard auf Organisationsebene erforderlich ist, bevor sie mit einer Aktivierung auf Projektebene verwendet werden können, finden Sie unter Ergebniskategorien der Standardstufe auf Organisationsebene.

Eine Liste der integrierten Detektoren der Premium-Stufe, die bei Aktivierungen auf Projektebene nicht unterstützt werden, finden Sie unter Nicht unterstützte Security Health Analytics-Ergebnisse.

Detektoren für benutzerdefinierte Module und Aktivierungen auf Projektebene

Die Scans von benutzerdefinierten Moduldetektoren, die Sie in einem Projekt erstellen, sind auf den Umfang des Projekts beschränkt, unabhängig von der Aktivierungsstufe von Security Command Center. Benutzerdefinierte Modul-Detectors können nur die Ressourcen scannen, die für das Projekt verfügbar sind, in dem sie erstellt werden.

Weitere Informationen zu benutzerdefinierten Modulen finden Sie unter Benutzerdefinierte Module für Security Health Analytics.

Integrierte Detektoren von Security Health Analytics

In diesem Abschnitt werden die allgemeinen Kategorien der Detektoren nach Cloud-Plattform und der Ergebniskategorie beschrieben, die sie generieren.

Integrierte Detektoren für Google Cloud nach Kategorie der obersten Ebene

Die Security Health Analytics-Detektoren für Google Cloudund die von ihnen generierten Ergebnisse sind in die folgenden übergeordneten Kategorien unterteilt.

Detektoren von Security Health Analytics überwachen eine Teilmenge der Google CloudRessourcentypen, die von Cloud Asset Inventory unterstützt werden.

Wenn Sie die einzelnen Detektoren sehen möchten, die in jeder Kategorie enthalten sind, klicken Sie auf den Namen der Kategorie.

Integrierte Detektoren für AWS

Eine Liste aller Security Health Analytics-Detektoren für AWS finden Sie unter AWS-Ergebnisse.

Benutzerdefinierte Module für Security Health Analytics

Benutzerdefinierte Module für Security Health Analytics sind benutzerdefinierte Detektoren fürGoogle Cloud , die die Erkennungsfunktionen von Security Health Analytics über die von den integrierten Detektoren hinaus erweitern.

Benutzerdefinierte Module werden für andere Cloud-Plattformen nicht unterstützt.

Sie können benutzerdefinierte Module mit dem geführten Workflow in derGoogle Cloud -Konsole erstellen. Alternativ können Sie die Definition des benutzerdefinierten Moduls selbst in einer YAML-Datei erstellen und dann mit Google Cloud CLI-Befehlen oder der Security Command Center API in Security Command Center hochladen.

Weitere Informationen finden Sie unter Übersicht über benutzerdefinierte Module für Security Health Analytics.

Detektoren und Compliance

Die Security Command Center-Messung der Einhaltung von Sicherheitsbenchmarks basiert zum großen Teil auf den Ergebnissen der Security Health Analytics-Schwachstellendetektoren.

Security Health Analytics überwacht Ihre Compliance mit Detektoren, die den Kontrollen einer Vielzahl von Sicherheitsstandards zugeordnet sind.

Für jeden unterstützten Sicherheitsstandard prüft Security Health Analytics eine Teilmenge der Steuerelemente. Für die geprüften Steuerelemente zeigt Security Command Center an, wie viele bestanden wurden. Für die Kontrollen, die nicht bestanden wurden, zeigt Security Command Center eine Liste von Ergebnissen an, in denen die Kontrollfehler beschrieben werden.

CIS prüft und zertifiziert die Zuordnungen von Security Health Analytics-Detektoren zu jeder unterstützten Version des CIS Google Cloud Foundations Benchmark. Zusätzliche Compliance-Zuordnungen sind nur zu Referenzzwecken enthalten.

Security Health Analytics unterstützt regelmäßig neue Benchmark-Versionen und ‑Standards. Ältere Versionen werden weiterhin unterstützt, aber irgendwann eingestellt. Wir empfehlen, die neueste unterstützte Benchmark oder den neuesten unterstützten Standard zu verwenden.

Mit dem Dienst für den Sicherheitsstatus können Sie Organisationsrichtlinien und Security Health Analytics-Detektoren den Standards und Kontrollen zuordnen, die für Ihr Unternehmen gelten. Nachdem Sie eine Sicherheitskonfiguration erstellt haben, können Sie die Umgebung auf Änderungen überwachen, die sich auf die Compliance Ihres Unternehmens auswirken könnten.

Mit Compliance Manager (Vorschau) können Sie Frameworks bereitstellen, die regulatorische Kontrollen Cloud-Kontrollen zuordnen. Nachdem Sie ein Framework erstellt haben, können Sie die Umgebung auf Änderungen überwachen, die sich auf die Compliance Ihres Unternehmens auswirken könnten, und Ihre Umgebung prüfen.

Weitere Informationen zum Verwalten der Compliance finden Sie unter Compliance mit Sicherheitsstandards bewerten und melden.

Unterstützte Sicherheitsstandards

Google Cloud

Security Health Analytics ordnet Detektoren für Google Cloud einem oder mehreren der folgenden Compliancestandards zu:

AWS

Security Health Analytics ordnet Detektoren für Amazon Web Services (AWS) einem oder mehreren der folgenden Compliancestandards zu:

Weitere Informationen zur Compliance finden Sie unter Compliance mit Sicherheitsbenchmarks bewerten und melden.