Security Health Analytics – Übersicht

Security Health Analytics ist ein verwalteter Dienst des Security Command Center, der Ihre Cloud-Umgebungen auf häufige Fehlkonfigurationen prüft, die Sie anfällig für Angriffe machen könnten.

Security Health Analytics wird automatisch aktiviert, wenn Sie Security Command Center aktivieren.

Security Health Analytics-Funktionen nach Stufe

Die für Sie verfügbaren Security Health Analytics-Funktionen unterscheiden sich je nach Dienstebene, auf der Security Command Center aktiviert ist.

Funktionen der Standardstufe

In der Standard-Stufe kann Security Health Analytics nur eine einfache Gruppe von Sicherheitslücken mit mittlerem und hohem Schweregrad erkennen. Eine Liste der Ergebniskategorien, die Security Health Analytics mit der Standardebene erkennt, finden Sie unter Standarddienstebene.

Funktionen der Premium-Stufe

Die Premium-Stufe umfasst die folgenden Funktionen:

• Alle Detektoren für Google Cloud sowie eine Reihe weiterer Funktionen zur Erkennung von Sicherheitslücken, z. B. die Möglichkeit, benutzerdefinierte Erkennungsmodule zu erstellen.
• Die Ergebnisse werden Compliance-Kontrollen für die Compliance-Berichterstattung zugeordnet. Weitere Informationen finden Sie unter Detektoren und Compliance.
• Bei den Angriffspfadsimulationen in Security Command Center werden Angriffsrisikobewertungen und potenzielle Angriffspfade für die meisten Ergebnisse von Security Health Analytics berechnet. Weitere Informationen finden Sie unter Übersicht über Risikowerte für Angriffsrisiken und Angriffspfade.

Eine Liste aller Premium-Funktionen findest du unter Premium-Stufe.

Funktionen der Enterprise-Stufe

Die Enterprise-Stufe umfasst alle Funktionen der Premium-Stufe sowie Detektoren für andere Cloud-Anbieterplattformen.

Stufen wechseln

Die meisten Security Health Analytics-Detektoren sind nur in der Premium- und Enterprise-Stufe von Security Command Center verfügbar. Wenn Sie die Premium- oder Enterprise-Stufe verwenden und zur Standardstufe wechseln möchten, sollten Sie alle Ergebnisse beheben, bevor Sie Ihr Abo ändern.

Wenn ein Premium- oder Enterprise-Probeabo endet oder Sie von der Premium- oder Enterprise-Stufe auf die Standardstufe downgraden, wird der Status der Ergebnisse, die in der höheren Stufe generiert wurden, auf INACTIVE gesetzt.

Multi-Cloud-Unterstützung

Mit Security Health Analytics können Fehlkonfigurationen in Ihren Bereitstellungen auf anderen Cloud-Plattformen erkannt werden.

Security Health Analytics unterstützt die folgenden anderen Cloud-Dienstanbieter:

• Amazon Web Services (AWS)

Wenn Sie die Erkennungstools in AWS ausführen möchten, müssen Sie zuerst Security Command Center mit AWS verbinden, wie unter Verbindung zu AWS für die Sicherheitslückenerkennung und Risikobewertung herstellen beschrieben.

Unterstützte Google Cloud-Dienste

Das von Security Health Analytics verwaltete Scannen der Sicherheitslückenbewertung für Google Cloud kann häufige Sicherheitslücken und Fehlkonfigurationen automatisch in den folgenden Google Cloud-Diensten erkennen:

• Cloud Monitoring und Cloud Logging
• Compute Engine
• Google Kubernetes Engine-Container und -Netzwerke
• cl
• Cloud SQL
• Identitäts- und Zugriffsverwaltung
• Cloud Key Management Service (Cloud KMS)
• Cloud DNS

Security Health Analytics-Scantypen

Security Health Analytics-Scans werden in drei Modi ausgeführt:

• Batch-Scan: Die Ausführung aller Detektoren wird für alle registrierten Organisationen oder Projekte einmal täglich geplant.

• Echtzeit-Scan: Nur bei Google Cloud-Bereitstellungen starten unterstützte Detektoren Scans, wenn eine Änderung in der Konfiguration einer Ressource erkannt wird. Die Ergebnisse werden in Security Command Center geschrieben. Echtzeitscans werden für Bereitstellungen auf anderen Cloud-Plattformen nicht unterstützt.

• Gemischter Modus: Einige Detektoren, die Echtzeit-Scans unterstützen, erkennen möglicherweise Änderungen nicht in allen unterstützten Ressourcentypen in Echtzeit. In diesen Fällen werden die Konfigurationsänderungen für einige Ressourcentypen sofort und andere in Batch-Scans erfasst. Ausnahmen werden in den Tabellen mit den Ergebnissen von Security Health Analytics vermerkt.

Security Health Analytics – Detektoren

In Security Health Analytics werden Detektoren verwendet, um Sicherheitslücken und Fehlkonfigurationen in Ihrer Cloud-Umgebung zu identifizieren. Jedem Detektor entspricht eine Ergebniskategorie.

Security Health Analytics bietet viele integrierte Detektoren, die in einer großen Anzahl von Kategorien und Ressourcentypen nach Sicherheitslücken und Fehlkonfigurationen suchen.

Sie können auch eigene benutzerdefinierte Prüfprogramme erstellen, mit denen nach Sicherheitslücken oder Fehlkonfigurationen gesucht werden kann, die nicht von den integrierten Prüfprogrammen abgedeckt werden oder für Ihre Umgebung spezifisch sind.

Weitere Informationen zu den integrierten Security Health Analytics-Detektoren finden Sie unter Integrierte Security Health Analytics-Detektoren.

Weitere Informationen zum Erstellen und Verwenden benutzerdefinierter Module finden Sie unter Benutzerdefinierte Security Health Analytics-Module.

Detektor aktivieren

Nicht alle integrierten Security Health Analytics-Detektoren für Google Cloud sind standardmäßig aktiviert.

Wenn Sie die Enterprise-Stufe mit Multi-Cloud-Unterstützung verwenden, sind alle AWS-Detektoren standardmäßig aktiviert.

Informationen zum Aktivieren inaktiver integrierter Detektoren finden Sie unter Detektoren aktivieren und deaktivieren.

Wenn Sie ein benutzerdefiniertes Erkennungsmodul für Security Health Analytics aktivieren oder deaktivieren möchten, können Sie das benutzerdefinierte Modul über die Google Cloud Console, die gcloud CLI oder die Security Command Center API aktualisieren.

Weitere Informationen zum Aktualisieren von benutzerdefinierten Security Health Analytics-Modulen finden Sie unter Benutzerdefiniertes Modul aktualisieren.

Unterstützung von Sensoren mit Aktivierung auf Projektebene

Mit den Stufen „Standard“ und „Premium“ können Sie Security Command Center für eine gesamte Organisation oder für ein oder mehrere Projekte innerhalb einer Organisation aktivieren.

Die Enterprise-Stufe unterstützt keine Aktivierung auf Projektebene.

Integrierte Detektoren und Aktivierungen auf Projektebene

Wenn Sie Security Command Center nur für ein Projekt aktivieren, werden bestimmte integrierte Security Health Analytics-Detektoren nicht unterstützt, da sie Berechtigungen auf Organisationsebene erfordern.

Von den integrierten Detectoren, die eine Aktivierung auf Organisationsebene erfordern, können Sie diejenigen aktivieren, die mit der Standardstufe von Security Command Center für Aktivierungen auf Projektebene verfügbar sind. Aktivieren Sie dazu die Standardstufe für Ihre Organisation. Diese ist kostenlos.

Integrierte Erkennungstools, für die sowohl die Premium-Stufe als auch Berechtigungen auf Organisationsebene erforderlich sind, werden bei Aktivierung auf Projektebene nicht unterstützt.

Eine Liste der integrierten Erkennungsmechanismen der Standardstufe, für die Security Command Center Standard auf Organisationsebene aktiviert werden muss, bevor sie mit einer Aktivierung auf Projektebene verwendet werden können, finden Sie unter Ergebniskategorien der Standardstufe auf Organisationsebene.

Eine Liste der integrierten Premium-Detektoren, die bei Aktivierungen auf Projektebene nicht unterstützt werden, finden Sie unter Nicht unterstützte Security Health Analytics-Ergebnisse.

Benutzerdefinierte Moduldetektoren und Aktivierungen auf Projektebene

Die Scans von benutzerdefinierten Modul-Detektoren, die Sie in einem Projekt erstellen, sind unabhängig von der Aktivierungsstufe von Security Command Center auf den Umfang des Projekts beschränkt. Mit benutzerdefinierten Modul-Detektoren können nur die Ressourcen gescannt werden, die für das Projekt verfügbar sind, in dem sie erstellt wurden.

Weitere Informationen zu benutzerdefinierten Modulen finden Sie unter Benutzerdefinierte Module für Security Health Analytics.

Integrierte Security Health Analytics-Detektoren

In diesem Abschnitt werden die Kategorien der Prüfprogramme beschrieben, aufgelistet nach Cloud-Plattform und der Kategorie der Ergebnisse, die sie generieren.

Integrierte Detektoren für Google Cloud nach übergeordneter Kategorie

Die Security Health Analytics-Detektoren für Google Cloud und die von ihnen gemeldeten Ergebnisse sind in die folgenden allgemeinen Kategorien unterteilt.

Security Health Analytics-Detektoren überwachen einen Teil der Google Cloud-Ressourcentypen, die von Cloud Asset Inventory unterstützt werden.

Klicken Sie auf den Namen der Kategorie, um die einzelnen Sensoren aufzurufen, die in jeder Kategorie enthalten sind.

• Ergebnisse zu Sicherheitslücken bei API-Schlüsseln
• Ergebnisse zu Sicherheitslücken bei Compute-Images
• Ergebnisse zu Sicherheitslücken bei Compute-Instanzen
• Ergebnisse zu Container-Sicherheitslücken
• Ergebnisse zu Dataproc-Sicherheitslücken
• Ergebnisse zu Dataset-Sicherheitslücken
• Ergebnisse zu DNS-Sicherheitslücken
• Ergebnisse zu Firewall-Sicherheitslücken
• Ergebnisse zu IAM-Sicherheitslücken
• Ergebnisse zu KMS-Sicherheitslücken
• Ergebnisse zu Logging-Sicherheitslücken
• Ergebnisse zu Monitoring-Sicherheitslücken
• Ergebnisse zu Sicherheitslücken bei der Multi-Faktor-Authentifizierung
• Ergebnisse zu Netzwerksicherheitslücken
• Ergebnisse zu Sicherheitslücken bei Organisationsrichtlinien
• Ergebnisse zu Pub/Sub-Sicherheitslücken
• Ergebnisse zu SQL-Sicherheitslücken
• Ergebnisse zu Speichersicherheitslücken
• Ergebnisse zu Subnetzwerk-Sicherheitslücken

Integrierte Erkennungsmechanismen für AWS

Eine Liste aller Security Health Analytics-Detektoren für AWS finden Sie unter AWS-Ergebnisse.

Benutzerdefinierte Module für Security Health Analytics

Benutzerdefinierte Security Health Analytics-Module sind benutzerdefinierte Detektoren für Google Cloud, die die Erkennungsmöglichkeiten von Security Health Analytics über die der integrierten Detektoren hinaus erweitern.

Benutzerdefinierte Module werden für andere Cloud-Plattformen nicht unterstützt.

Sie können benutzerdefinierte Module mithilfe des interaktiven Workflows in der Google Cloud Console erstellen. Alternativ können Sie die Definition des benutzerdefinierten Moduls selbst in einer YAML-Datei erstellen und dann mithilfe von Google Cloud CLI-Befehlen oder der Security Command Center API in Security Command Center hochladen.

Weitere Informationen finden Sie unter Übersicht über benutzerdefinierte Module für Security Health Analytics.

Detektoren und Compliance

Die Messung der Compliance mit Sicherheitsstandards im Security Command Center basiert zu einem großen Teil auf den Ergebnissen der Sicherheitslücken-Detektoren von Security Health Analytics.

Security Health Analytics überwacht Ihre Compliance mithilfe von Detektoren, die den Steuerelementen einer Vielzahl von Sicherheitsstandards zugeordnet sind.

Für jeden unterstützten Sicherheitsstandard prüft Security Health Analytics einen Teil der Steuerelemente. Für die aktivierten Steuerelemente sehen Sie im Security Command Center, wie viele davon bestanden haben. Für die Kontrollen, die nicht bestanden haben, wird in Security Command Center eine Liste mit Ergebnissen angezeigt, die die Kontrollfehler beschreiben.

Das CIS prüft und zertifiziert die Zuordnungen der Security Health Analytics-Detektoren zu den einzelnen unterstützten Versionen des CIS Google Cloud Foundations Benchmarks. Zusätzliche Compliance-Zuordnungen sind nur zu Referenzzwecken enthalten.

In Security Health Analytics werden regelmäßig neue Benchmarkversionen und -standards unterstützt. Ältere Versionen werden weiterhin unterstützt, aber irgendwann eingestellt. Wir empfehlen, den neuesten unterstützten Benchmark oder Standard zu verwenden.

Mit dem Dienst zum Bestimmen des Sicherheitsstatus können Sie Organisationsrichtlinien und Security Health Analytics-Detektoren den Standards und Kontrollen zuordnen, die für Ihr Unternehmen gelten. Nachdem Sie eine Sicherheitskonfiguration erstellt haben, können Sie Änderungen an der Umgebung überwachen, die sich auf die Compliance Ihres Unternehmens auswirken könnten.

Weitere Informationen zum Verwalten der Compliance finden Sie unter Compliance mit Sicherheitsstandards prüfen und melden.

Unterstützte Sicherheitsstandards

Google Cloud

In Security Health Analytics werden Detektoren für Google Cloud einem oder mehreren der folgenden Compliancestandards zugeordnet:

• CIS Controls 8.0 (Center for Information Security)
• CIS Google Cloud Computing Foundations Benchmark v2.0.0, v1.3.0, v1.2.0, v1.1.0 und v1.0.0
• CIS Kubernetes Benchmark v1.5.1
• Cloud Controls Matrix (CCM) 4
• US-Gesetz zur Übertragbarkeit von Krankenversicherungen und Verantwortlichkeit von Versicherern (Health Insurance Portability and Accountability Act, HIPAA)
• ISO 27001, 2022 und 2013 (International Organization for Standardization)
• National Institute of Standards and Technology (NIST) 800-53 R5 und R4
• NIST CSF 1.0
• Open Web Application Security Project (OWASP) Top Ten, 2021 und 2017
• Payment Card Industry Data Security Standard (PCI DSS) 4.0 und 3.2.1
• System and Organization Controls (SOC) 2 2017 Trust Services Criteria (TSC)

AWS

In Security Health Analytics werden Detektoren für Amazon Web Services (AWS) einem oder mehreren der folgenden Compliance-Standards zugeordnet:

• CIS Amazon Web Services Foundations 2.0.0
• CIS Controls 8.0
• CCM 4
• HIPAA
• ISO 27001:2022
• NIST 800-53 R5
• NIST CSF 1.0
• PCI DSS 4.0 und 3.2.1
• SOC 2 2017 TSC

Weitere Informationen zur Compliance finden Sie unter Compliance mit Sicherheitsbenchmarks prüfen und melden.