Security Health Analytics es un servicio administrado de Security Command Center que analiza de tus entornos de nube en busca de parámetros de configuración incorrectos comunes que podrían exponerte a ataques.
Security Health Analytics se habilita automáticamente cuando la activas Security Command Center.
Funciones de Security Health Analytics por nivel
Las funciones de Security Health Analytics disponibles para ti varían según sobre el nivel de servicio en el que está habilitado Security Command Center.
Funciones del nivel Estándar
En el nivel Estándar, Security Health Analytics solo puede detectar un grupo básico de vulnerabilidades de gravedad media y alta. Para obtener una lista de los para encontrar las categorías que detecta Security Health Analytics con el nivel Standard, consulta Nivel de servicio Estándar.
Funciones del nivel Premium
El nivel Premium incluye las siguientes funciones:
- Todas detectores para Google Cloud, y otras funciones de funciones de detección, tales como la capacidad de crear modelos de detección de intrusiones.
- Los hallazgos se asignan a los controles de cumplimiento para los informes de cumplimiento. Para obtener más información, consulta Detectores y cumplimiento.
- Las simulaciones de rutas de ataque de Security Command Center calculan las puntuaciones de exposición a ataques y las posibles rutas de ataque para la mayoría de los resultados de Estadísticas del estado de la seguridad. Para obtener más información, consulta Descripción general de las puntuaciones de exposición a ataques y las rutas de ataque.
Para ver una lista de todas las funciones del nivel Premium, consulta Nivel Premium.
Funciones del nivel Enterprise
El nivel Enterprise incluye todas las funciones del nivel Premium, así como detectores para otras plataformas de proveedores de servicios en la nube.
Cambia de niveles
La mayoría de los detectores de Security Health Analytics solo están disponibles en los niveles Premium y Enterprise de Security Command Center. Si usas el nivel Premium o Enterprise y planeas cambiar al nivel Estándar, te recomendamos que resuelvas todos los resultados antes de cambiar de nivel.
Cuando finaliza una prueba Premium o Enterprise, o cuando cambias a la versión inferior Standard
desde el nivel Premium o el nivel Enterprise,
el estado de los hallazgos que se generaron en el nivel superior es
se establece en INACTIVE.
Compatibilidad con múltiples nubes
Security Health Analytics puede detectar parámetros de configuración incorrectos en tus implementaciones en otras plataformas en la nube.
Security Health Analytics admite los siguientes proveedores de servicios en la nube:
- Amazon Web Services (AWS)
Para ejecutar los detectores en AWS, primero debes conectar Security Command Center a AWS, como se describe en Conéctate a AWS para detectar vulnerabilidades y evaluar riesgos.
Servicios en la nube de Google Cloud compatibles
Análisis de la evaluación de vulnerabilidades administrada de Security Health Analytics para Google Cloud puede detectar automáticamente vulnerabilidades y parámetros de configuración incorrectos comunes en los siguientes servicios de Google Cloud:
- Cloud Monitoring y Cloud Logging
- Compute Engine
- Contenedores y redes de Google Kubernetes Engine
- Cloud Storage
- Cloud SQL
- Administración de identidades y accesos (IAM)
- Cloud Key Management Service (Cloud KMS)
- Cloud DNS
Tipos de análisis de las estadísticas del estado de la seguridad
Los análisis de las estadísticas de estado de seguridad se ejecutan en tres modos:
Análisis por lotes: Todos los detectores están programados para ejecutarse en todas las organizaciones o proyectos inscritos una vez al día.
Análisis en tiempo real: Para implementaciones de Google Cloud los detectores compatibles inician los análisis cuando se detecta un cambio en la configuración de un recurso. Los resultados son en Security Command Center. Los escaneos en tiempo real no son compatibles con para implementar implementaciones en otras plataformas en la nube.
Modo mixto: algunos detectores que admiten análisis en tiempo real podría no detectar cambios en tiempo real para todos los tipos de recursos admitidos. En en esos casos, se registran los cambios de configuración para algunos tipos de recursos de inmediato y otros se capturan en análisis por lotes. Se observan excepciones en la tablas de resultados de Security Health Analytics.
Detectores de estadísticas de estado de seguridad
Security Health Analytics usa detectores para identificar vulnerabilidades y de configuración incorrecta en tu entorno de nube. Cada detector corresponde a una categoría de hallazgo.
Security Health Analytics incluye muchos detectores integrados que buscar vulnerabilidades y parámetros de configuración incorrectos en una gran cantidad categorías y tipos de recursos.
También puedes crear tus propios detectores personalizados que puedan comprobar errores de configuración o vulnerabilidades que no están cubiertas detectores o que son específicos de tu entorno.
Para obtener más información sobre los detectores integrados de Security Health Analytics, consulta Detectores integrados de Security Health Analytics.
Para obtener más información sobre cómo crear y usar módulos personalizados, consulta Módulos personalizados de Security Health Analytics.
Habilitación del detector
No todos los detectores integrados de Security Health Analytics para Google Cloud están habilitados de forma predeterminada.
Si usas el nivel empresarial con compatibilidad con múltiples nubes, todos los detectores de AWS están habilitados de forma predeterminada.
Para activar los detectores integrados inactivos, consulta lo siguiente: Habilita o inhabilita los detectores.
Para habilitar o inhabilitar un módulo de detección personalizada de Security Health Analytics, puedes actualizar el módulo personalizado con la consola de Google Cloud, gcloud CLI o la API de Security Command Center.
Si quieres obtener más información para actualizar los módulos personalizados de Security Health Analytics, consulta Actualiza un módulo personalizado.
Compatibilidad con el detector con activaciones a nivel de proyecto
Con los niveles Estándar y Premium, puedes activar Security Command Center para una organización completa o para uno o más proyectos dentro de una organización.
El nivel Enterprise no admite activaciones a nivel de proyecto.
Detectores integrados y activaciones a nivel del proyecto
Cuando habilitas Security Command Center solo para un proyecto, ciertos Los detectores de Security Health Analytics no son compatibles porque requieren permisos a nivel de la organización.
De los detectores integrados que requieren un sistema de administración puedes habilitar las que están disponibles con el nivel Estándar de Security Command Center para activaciones a nivel de proyecto habilita el nivel Estándar para tu organización sin costo.
Los detectores integrados que requieren el nivel Premium y los permisos a nivel de la organización no son compatibles activaciones.
Para obtener una lista de los detectores de nivel Estándar integrados que requieren un a nivel de organización de Security Command Center Standard antes de se puede usar con una activación a nivel de proyecto, consulta Categorías de hallazgos del nivel Estándar a nivel de la organización.
Para obtener una lista de los detectores integrados de nivel Premium que no son compatibles con activaciones a nivel de proyecto, consulta Resultados no admitidos de Security Health Analytics.
Detectores de módulos personalizados y activaciones a nivel del proyecto
Los análisis de los detectores de módulos personalizados que creas en un proyecto se limitado al alcance del proyecto, independientemente del nivel de activación del Security Command Center. Los detectores de módulos personalizados solo pueden analizar los recursos que están disponibles para el proyecto en el que se crean.
Para obtener más información sobre los módulos personalizados, consulta Módulos personalizados de las estadísticas del estado de la seguridad.
Detectores integrados de Security Health Analytics
En esta sección, se describen las categorías de alto nivel de los detectores que enumera la plataforma de nube y la categoría de hallazgo que generan.
Detectores integrados para Google Cloud por categoría de alto nivel
Los detectores de Security Health Analytics para Google Cloud y los resultados que emiten se agrupan en las siguientes categorías de alto nivel.
Los detectores de Security Health Analytics supervisan un subconjunto de Google Cloud tipos de recursos compatibles con Cloud Asset Inventory.
Para ver los detectores individuales que se incluyen de cada categoría, haz clic en el nombre de la categoría.
- API hallazgos clave de vulnerabilidades
- Procesamiento hallazgos de vulnerabilidades de imágenes
- Procesamiento hallazgos de vulnerabilidades de instancias
- Contenedor hallazgos de vulnerabilidades
- Dataproc hallazgos de vulnerabilidades
- Conjunto de datos hallazgos de vulnerabilidades
- DNS hallazgos de vulnerabilidades
- Firewall hallazgos de vulnerabilidades
- IAM hallazgos de vulnerabilidades
- KMS hallazgos de vulnerabilidades
- Registro hallazgos de vulnerabilidades
- Supervisión hallazgos de vulnerabilidades
- Varios factores hallazgos de vulnerabilidades de autenticación
- Red hallazgos de vulnerabilidades
- Organización hallazgos de vulnerabilidades de políticas
- Pub/Sub, hallazgos de vulnerabilidades
- SQL hallazgos de vulnerabilidades
- Resultados de las vulnerabilidades de almacenamiento
- Resultados de las vulnerabilidades de la subred
Detectores integrados para AWS
Si quieres obtener una lista de todos los detectores de Security Health Analytics para AWS, consulta Hallazgos de AWS.
Módulos personalizados de Security Health Analytics
Los módulos personalizados de las estadísticas del estado de la seguridad son detectores personalizados para Google Cloud que extienden las capacidades de detección de las estadísticas del estado de la seguridad más allá de las que proporcionan los detectores integrados.
Los módulos personalizados no son compatibles con otras plataformas en la nube.
Puedes crear módulos personalizados con el flujo de trabajo guiado en el la consola de Google Cloud o puedes crear la definición en un archivo YAML y, luego, subirlo a Security Command Center con comandos de Google Cloud CLI o la API de Security Command Center.
Para obtener más información, consulta Descripción general de los módulos personalizados para Security Health Analytics.
Detectores y cumplimiento
La medición de Security Command Center en cuanto al cumplimiento de las comparativas de seguridad se basa en gran medida en los hallazgos producidos por Security Health Analytics detectores de vulnerabilidades.
Estadísticas del estado de seguridad el cumplimiento con detectores asignados a los controles de una amplia varios estándares de seguridad.
Para cada estándar de seguridad admitido, Estadísticas del estado de seguridad verifica un subconjunto de los controles. En el caso de los controles que se marcaron, Security Command Center te muestra cuántos cumplen con los requisitos. Para el que no se aprueban, Security Command Center te muestra una lista de los hallazgos y se describen las fallas de control.
CIS revisa y certifica las asignaciones de Estadísticas del estado de seguridad detectores a cada nodo compatible de la comparativa de CIS para Google Cloud Foundations. Las asignaciones de cumplimiento adicionales se incluyen solo a modo de referencia.
Estadísticas del estado de seguridad agrega compatibilidad periódicamente con nuevos estándares y versiones de comparativas. Más antigua siguen siendo compatibles, pero con el tiempo quedan obsoletos. Te recomendamos que uses las comparativas o los estándares más recientes disponibles.
Con la servicio de postura de seguridad puedes asignar las políticas de la organización y los detectores de Security Health Analytics a los estándares y controles que se aplican a tu empresa. Luego de crear una postura de seguridad, puedes supervisar sobre cualquier cambio en el entorno que pueda afectar el cumplimiento de la empresa.
Para obtener más información sobre la administración del cumplimiento, consulta Evalúe el cumplimiento de las normas de seguridad y genere informes al respecto con los estándares necesarios.
Estándares de seguridad compatibles con Google Cloud
Estadísticas del estado de seguridad asigna detectores de Google Cloud a uno o más de los siguientes tipos de cumplimiento estándares:
- Centro para la Seguridad de la Información (CIS) Controles 8.0
- CIS para Google Cloud Comparativa de las bases de computación v2.0.0, v1.3.0, v1.2.0, v1.1.0 y v1.0.0
- Comparativa de CIS para Kubernetes v1.5.1
- Controles de Cloud Matriz (CCM) 4
- Seguro médico Ley de Responsabilidad y Portabilidad (HIPAA)
- Organización Internacional de Normalización (ISO) 27001, 2022 y 2013
- Nacional Instituto de Estándares y Tecnología (NIST) 800-53 R5 y R4
- NIST CSF 1.0
- Proyecto abierto de seguridad para aplicaciones web (OWASP) Top 10, 2021 y 2017
- Datos de la industria de tarjetas de pago Estándar de Seguridad (PCI DSS) 4.0 y 3.2.1
- Controles de sistemas y de la organización (SOC) 2 Criterios de servicios de confianza (TSC) de 2017
Estándares de seguridad compatibles con AWS
Estadísticas del estado de seguridad asigna detectores de Amazon Web Services (AWS) a una o más de las siguientes instancias de cumplimiento estándares:
- CIS para Amazon Web Services Foundations 2.0.0
- CIS Controls 8.0
- CCM 4
- HIPAA
- ISO 27001‐2022
- NIST 800-53 R5
- NIST CSF 1.0
- PCI DSS 4.0 y 3.2.1
- SOC 2 2017 TSC
Para obtener más información sobre el cumplimiento, consulta Cómo evaluar y generar informes sobre el cumplimiento de las comparativas de seguridad.