Security Health Analytics est un service géré de Security Command Center qui analyse vos environnements cloud à la recherche d'erreurs de configuration courantes qui pourraient vous exposer à des attaques.
Security Health Analytics est automatiquement activé lorsque vous activez Security Command Center.
Fonctionnalités de Security Health Analytics par niveau
Les fonctionnalités Security Health Analytics disponibles varient selon le niveau de service auquel Security Command Center est activé.
Fonctionnalités du niveau Standard
Au niveau Standard, Security Health Analytics ne peut détecter qu'un groupe de base de failles de gravité moyenne et élevée. Pour obtenir la liste des catégories de résultats détectées par Security Health Analytics avec le niveau de service standard, consultez la section Niveau de service standard.
Fonctionnalités du niveau Premium
Le niveau Premium inclut les fonctionnalités suivantes:
- Tous les détecteurs pour Google Cloud, ainsi que de nombreuses autres fonctionnalités de détection des failles, telles que la possibilité de créer des modules de détection personnalisés.
- Les résultats sont mappés aux contrôles de conformité pour les rapports de conformité. Pour en savoir plus, consultez la section Détecteurs et conformité.
- Les simulations de chemins d'attaque de Security Command Center calculent les scores d'exposition aux attaques et les chemins d'attaque potentiels pour la plupart des résultats de Security Health Analytics. Pour en savoir plus, consultez la section Présentation des scores d'exposition aux attaques et des chemins d'attaque.
Pour obtenir la liste de toutes les fonctionnalités du niveau Premium, consultez la section Niveau Premium.
Fonctionnalités du niveau Enterprise
Le niveau Enterprise inclut toutes les fonctionnalités du niveau Premium, ainsi que des détecteurs pour d'autres plates-formes de fournisseurs de services cloud.
Changer de niveau
La plupart des détecteurs Security Health Analytics ne sont disponibles que dans les niveaux Premium et Enterprise de Security Command Center. Si vous utilisez le niveau Premium ou Enterprise et que vous prévoyez de passer au niveau Standard, nous vous recommandons de résoudre tous les problèmes avant de modifier votre niveau.
À la fin d'un essai Premium ou Enterprise, ou lorsque vous passez du niveau Premium ou Enterprise au niveau Standard, l'état des résultats générés au niveau supérieur est défini sur INACTIVE.
Prise en charge du multicloud
Security Health Analytics peut détecter les erreurs de configuration dans vos déploiements sur d'autres plates-formes cloud.
Security Health Analytics est compatible avec les autres fournisseurs de services cloud suivants:
- Amazon Web Services (AWS)
Pour exécuter les détecteurs sur AWS, vous devez d'abord connecter Security Command Center à AWS, comme décrit dans la section Se connecter à AWS pour la détection des failles et l'évaluation des risques.
Services cloud Google Cloud compatibles
L'analyse d'évaluation des failles gérée par Security Health Analytics pour Google Cloud peut détecter automatiquement les failles courantes et les erreurs de configuration dans les services Google Cloud suivants:
- Cloud Monitoring et Cloud Logging
- Compute Engine
- Conteneurs et réseaux Google Kubernetes Engine
- Cloud Storage
- Cloud SQL
- Gestion de l'authentification et des accès (IAM)
- Cloud Key Management Service (Cloud KMS)
- Cloud DNS
Types d'analyses Security Health Analytics
Security Health Analytics s'exécute dans trois modes :
Analyse par lots:tous les détecteurs sont programmés pour s'exécuter pour toutes les organisations ou tous les projets enregistrés, une fois par jour.
Analyse en temps réel:pour les déploiements Google Cloud uniquement, les détecteurs compatibles lancent des analyses chaque fois qu'une modification est détectée dans la configuration d'une ressource. Les résultats sont écrits dans Security Command Center. Les analyses en temps réel ne sont pas compatibles avec les déploiements sur d'autres plates-formes cloud.
Mode mixte:certains détecteurs compatibles avec les analyses en temps réel peuvent ne pas détecter les modifications en temps réel pour tous les types de ressources compatibles. Dans ce cas, les modifications de configuration de certains types de ressources sont capturées immédiatement, tandis que d'autres sont capturées lors des analyses par lot. Les exceptions sont indiquées dans les tableaux des résultats de Security Health Analytics.
Détecteurs Security Health Analytics
Security Health Analytics utilise des détecteurs pour identifier les failles et les erreurs de configuration dans votre environnement cloud. Chaque détecteur correspond à une catégorie de résultats.
Security Health Analytics est fourni avec de nombreux détecteurs intégrés qui recherchent des failles et des erreurs de configuration dans un grand nombre de catégories et de types de ressources.
Vous pouvez également créer vos propres détecteurs personnalisés qui peuvent rechercher des failles ou des configurations incorrectes qui ne sont pas couvertes par les détecteurs intégrés ou qui sont spécifiques à votre environnement.
Pour en savoir plus sur les détecteurs intégrés de Security Health Analytics, consultez la page Détecteurs intégrés de Security Health Analytics.
Pour en savoir plus sur la création et l'utilisation de modules personnalisés, consultez la section Modules personnalisés Security Health Analytics.
Activation du détecteur
Tous les détecteurs intégrés de Security Health Analytics pour Google Cloud ne sont pas activés par défaut.
Si vous utilisez le niveau Enterprise avec la prise en charge du multicloud, tous les détecteurs pour AWS sont activés par défaut.
Pour activer les détecteurs intégrés inactifs, consultez la section Activer et désactiver des détecteurs.
Pour activer ou désactiver un module de détection personnalisé Security Health Analytics, vous pouvez mettre à jour le module personnalisé à l'aide de la console Google Cloud, de la gcloud CLI ou de l'API Security Command Center.
Pour en savoir plus sur la mise à jour des modules personnalisés de Security Health Analytics, consultez la section Mettre à jour un module personnalisé.
Compatibilité avec les détecteurs avec des activations au niveau du projet
Avec les niveaux Standard et Premium, vous pouvez activer Security Command Center pour l'ensemble d'une organisation, ou pour un ou plusieurs projets au sein d'une organisation.
Le niveau Enterprise n'est pas compatible avec les activations au niveau du projet.
Détecteurs intégrés et activations au niveau du projet
Lorsque vous activez Security Command Center pour un projet uniquement, certains détecteurs intégrés de Security Health Analytics ne sont pas compatibles, car ils nécessitent des autorisations au niveau de l'organisation.
Parmi les détecteurs intégrés qui nécessitent une activation au niveau de l'organisation, vous pouvez activer ceux qui sont disponibles avec le niveau Standard de Security Command Center pour les activations au niveau du projet en activant le niveau Standard pour votre organisation, qui est gratuit.
Les détecteurs intégrés qui nécessitent à la fois le niveau Premium et les autorisations au niveau de l'organisation ne sont pas compatibles avec les activations au niveau du projet.
Pour obtenir la liste des détecteurs intégrés de niveau Standard qui nécessitent une activation de Security Command Center Standard au niveau de l'organisation avant de pouvoir être utilisés avec une activation au niveau du projet, consultez la section Catégories de résultats de niveau Standard au niveau de l'organisation.
Pour obtenir la liste des détecteurs intégrés de niveau Premium qui ne sont pas compatibles avec les activations au niveau du projet, consultez la section Résultats de Security Health Analytics non compatibles.
Détecteurs de modules personnalisés et activations au niveau du projet
Les analyses des détecteurs de modules personnalisés que vous créez dans un projet sont limitées à la portée du projet, quel que soit le niveau d'activation de Security Command Center. Les détecteurs de modules personnalisés ne peuvent analyser que les ressources disponibles pour le projet dans lequel ils sont créés.
Pour en savoir plus sur les modules personnalisés, consultez la page Modules personnalisés de Security Health Analytics.
Détecteurs intégrés de Security Health Analytics
Cette section décrit les catégories générales des détecteurs, listées par plate-forme cloud et par catégorie de résultats qu'elles génèrent.
Détecteurs intégrés pour Google Cloud par catégorie de haut niveau
Les détecteurs Security Health Analytics pour Google Cloud et les résultats qu'ils génèrent sont regroupés dans les catégories générales suivantes.
Les détecteurs Security Health Analytics surveillent un sous-ensemble des types de ressources Google Cloud compatibles avec Cloud Asset Inventory.
Pour afficher les détecteurs individuels inclus dans chaque catégorie, cliquez sur le nom de la catégorie.
- Résultats de failles de clé API
- Résultats de failles d'image Compute
- Résultats de failles d'instance Compute
- Résultats de failles de conteneur
- Résultats de failles Dataproc
- Résultats de failles d'ensemble de données
- Résultats de failles DNS
- Résultats de failles de pare-feu
- Résultats de failles IAM
- Résultats de failles KMS
- Résultats de failles de journalisation
- Résultats de failles de surveillance
- Détection de failles de l'authentification multifacteur
- Résultats de failles de réseau
- Résultats de failles liées aux règles d'administration
- Résultats de failles Pub/Sub
- Résultats de failles SQL
- Résultats de failles de stockage
- Résultats de failles de sous-réseau
Détecteurs intégrés pour AWS
Pour obtenir la liste de tous les détecteurs de Security Health Analytics pour AWS, consultez la page Résultats AWS.
Modules personnalisés pour Security Health Analytics
Les modules personnalisés Security Health Analytics sont des détecteurs personnalisés pour Google Cloud qui étendent les fonctionnalités de détection de Security Health Analytics au-delà de celles fournies par les détecteurs intégrés.
Les modules personnalisés ne sont pas compatibles avec d'autres plates-formes cloud.
Vous pouvez créer des modules personnalisés à l'aide du workflow guidé dans la console Google Cloud, ou vous pouvez créer vous-même la définition du module personnalisé dans un fichier YAML, puis l'importer dans Security Command Center à l'aide de commandes Google Cloud CLI ou de l'API Security Command Center.
Pour en savoir plus, consultez la page Présentation des modules personnalisés pour Security Health Analytics.
Détecteurs et conformité
La mesure de la conformité aux benchmarks de sécurité par Security Command Center repose en grande partie sur les résultats produits par les détecteurs de failles de Security Health Analytics.
Security Health Analytics surveille votre conformité à l'aide de détecteurs mappés sur les contrôles de nombreux standards de sécurité.
Pour chaque norme de sécurité compatible, Security Health Analytics vérifie un sous-ensemble des commandes. Pour les contrôles cochés, Security Command Center indique le nombre de contrôles réussis. Pour les contrôles qui ne sont pas acceptés, Security Command Center affiche une liste de résultats qui décrivent les échecs de contrôle.
Le CIS examine et certifie les mises en correspondance des détecteurs Security Health Analytics avec chaque version compatible du benchmark CIS Google Cloud Foundations. Des mises en correspondance de conformité supplémentaires sont incluses à titre de référence uniquement.
Security Health Analytics ajoute régulièrement de nouvelles versions et normes de référence. Les anciennes versions restent compatibles, mais sont finalement abandonnées. Nous vous recommandons d'utiliser le dernier benchmark ou la dernière norme compatible disponible.
Avec le service d'évaluation de l'état de sécurité, vous pouvez mapper les règles d'administration et les détecteurs Security Health Analytics aux normes et contrôles qui s'appliquent à votre entreprise. Une fois que vous avez créé une posture de sécurité, vous pouvez surveiller toute modification de l'environnement pouvant affecter la conformité de votre entreprise.
Pour en savoir plus sur la gestion de la conformité, consultez la section Évaluer et signaler la conformité aux normes de sécurité.
Normes de sécurité acceptées
Google Cloud
Security Health Analytics mappe les détecteurs de Google Cloud à une ou plusieurs des normes de conformité suivantes:
- CIS Controls 8.0 (Centre for Information Security)
- Benchmark CIS Google Cloud Computing Foundations v2.0.0, v1.3.0, v1.2.0, v1.1.0 et v1.0.0
- Benchmark CIS de Kubernetes v1.5.1
- Cloud Controls Matrix (CCM) 4
- Loi HIPAA (Health Insurance Portability and Accountability Act)
- International Organization for Standardization (ISO) 27001, 2022 et 2013
- National Institute of Standards and Technology (NIST) 800-53 R5 et R4
- NIST CSF 1.0
- Top 10 de l'OWASP (Open Web Application Security Project) pour 2021 et 2017
- Normes PCI DSS (Payment Card Industry Data Security Standard) 4.0 et 3.2.1
- SOC 2 TSC 2017
AWS
Security Health Analytics mappe les détecteurs d'Amazon Web Services (AWS) à une ou plusieurs des normes de conformité suivantes:
Pour en savoir plus sur la conformité, consultez la section Évaluer et signaler la conformité aux benchmarks de sécurité.