Security Health Analytics 概览

Security Health Analytics 是 Security Command Center 的一项代管式服务，可扫描您的云环境，找出可能会导致您遭到攻击的常见配置错误。

激活 Security Command Center 后，系统会自动启用 Security Health Analytics。

Security Health Analytics 功能（按层级）

您可以使用哪些 Security Health Analytics 功能取决于您启用了哪个层级的 Security Command Center 服务。

标准层级功能

在标准层级中，Security Health Analytics 只能检测一组基本的中等严重级别和高严重级别漏洞。如需查看 Security Health Analytics 在标准层级检测到的发现结果类别的列表，请参阅标准服务层级。

高级层级功能

高级层级包含以下功能：

• 适用于 Google Cloud 的所有检测器，以及许多其他漏洞检测功能，例如创建自定义检测模块的功能。
• 系统会将发现结果映射到合规性控制项，以便生成合规性报告。如需了解详情，请参阅检测器和合规性。
• Security Command Center 攻击路径模拟会计算大多数 Security Health Analytics 发现结果的攻击风险得分和潜在攻击路径。如需了解详情，请参阅攻击风险得分和攻击路径概览。

如需查看所有 Premium 层级功能的列表，请参阅Premium 层级。

Enterprise 层级功能

企业层级包含所有高级层级功能，以及适用于其他云服务提供商平台的检测器。

切换层级

大多数 Security Health Analytics 检测器仅在 Security Command Center 高级层级和企业层级中提供。如果您使用的是高级或企业层级，并计划改用标准层级，建议您在更改层级之前先解决所有发现结果。

高级版或企业版试用期结束后，或您从高级版或企业版降级到标准版后，在更高层级生成的发现的状态会设为 INACTIVE。

多云支持

Security Health Analytics 可以检测您在其他云平台上的部署中的配置错误。

Security Health Analytics 支持以下其他云服务提供商：

• Amazon Web Services (AWS)

如需在 AWS 上运行检测器，您首先需要将 Security Command Center 连接到 AWS，如连接到 AWS 以进行漏洞检测和风险评估中所述。

支持的 Google Cloud 云服务

Security Health Analytics 可为 Google Cloud 提供代管式漏洞评估扫描服务，该功能可以自动检测以下各项 Google Cloud 服务中的通用漏洞和配置错误：

• Cloud Monitoring 和 Cloud Logging
• Compute Engine
• Google Kubernetes Engine 容器和网络
• Cloud Storage
• Cloud SQL
• Identity and Access Management (IAM)
• Cloud Key Management Service (Cloud KMS)
• Cloud DNS

Security Health Analytics 扫描类型

Security Health Analytics 扫描会以三种模式运行：

• 批量扫描：所有检测器针对所有已注册组织或项目每天运行一次。

• 实时扫描：仅限 Google Cloud 部署，每当检测到资源配置更改时，支持的检测器就会开始扫描。发现结果会写入 Security Command Center。其他云平台上的部署不支持实时扫描。

• 混合模式：某些支持实时扫描的检测器可能无法实时检测所有受支持资源类型的更改。在这些情况下，某些资源类型的配置更改会立即被捕获，其他更改会在批量扫描中捕获。Security Health Analytics 发现结果表格中会注明例外情况。

Security Health Analytics 检测器

Security Health Analytics 使用检测器来识别您的云环境中的漏洞和配置错误。每个检测器都对应于一个发现结果类别。

Security Health Analytics 附带许多内置检测器，可检查大量类别和资源类型中的漏洞和错误配置。

您还可以创建自己的自定义检测器，这些检测器可以检查内置检测器未涵盖的漏洞或配置错误，或者特定于您的环境的漏洞或配置错误。

如需详细了解内置的 Security Health Analytics 检测器，请参阅 Security Health Analytics 内置检测器。

如需详细了解如何创建和使用自定义模块，请参阅 Security Health Analytics 自定义模块。

检测器启用

默认情况下，并非所有适用于 Google Cloud 的 Security Health Analytics 内置检测器都处于启用状态。

如果您使用的是支持多云的企业版，则默认启用适用于 AWS 的所有检测器。

如需启用非活跃的内置检测器，请参阅启用和停用检测器。

如需启用或停用 Security Health Analytics 自定义检测模块，您可以使用 Google Cloud 控制台、gcloud CLI 或 Security Command Center API 更新自定义模块。

如需详细了解如何更新 Security Health Analytics 自定义模块，请参阅更新自定义模块。

项目级激活的检测器支持

借助标准层级和高级层级，您可以为整个组织或组织中的一个或多个项目激活 Security Command Center。

企业版不支持项目级激活。

内置检测器和项目级激活

仅为项目启用 Security Command Center 时，某些内置 Security Health Analytics 检测器不受支持，因为它们需要组织级权限。

在需要组织级激活的内置检测器中，您可以通过为您的组织免费启用标准层级来为项目级激活启用 Security Command Center 标准层级可用的检测器。

项目级激活不支持同时需要高级层级和组织级权限的内置检测器。

如需查看需要组织级激活 Security Command Center 标准层级然后才能与项目级层激活一起使用的内置标准层级检测器的列表，请参阅组织级层标准层级发现结果类别。

如需查看项目级激活不支持的内置高级层级检测器的列表，请参阅不受支持的 Security Health Analytics 发现结果。

自定义模块检测器和项目级激活

无论 Security Command Center 的激活级别如何，您在项目中创建的自定义模块检测器的扫描都仅限于项目范围。自定义模块检测器只能扫描其所创建的项目可用的资源。

如需详细了解自定义模块，请参阅 Security Health Analytics 自定义模块。

Security Health Analytics 内置检测器

本部分介绍了检测器的大致类别（按云平台列出）以及它们生成的发现结果类别。

Google Cloud 的内置检测器（按大类）

Google Cloud 的 Security Health Analytics 检测器及其发出的发现结果分为以下简要类别。

Security Health Analytics 检测器监控 Cloud Asset Inventory 支持的部分 Google Cloud 资源类型。

如需查看每个类别中包含的各个检测器，请点击相应类别名称。

• API 密钥漏洞发现结果
• 计算映像漏洞发现结果
• 计算实例漏洞发现结果
• 容器漏洞发现结果
• Dataproc 漏洞发现结果
• 数据集漏洞发现结果
• DNS 漏洞发现结果
• 防火墙漏洞发现结果
• IAM 漏洞发现结果
• KMS 漏洞发现结果
• 日志记录漏洞发现结果
• 监控漏洞发现结果
• 多重身份验证漏洞发现结果
• 网络漏洞发现结果
• 组织政策漏洞发现结果
• Pub/Sub 漏洞发现结果
• SQL 漏洞发现结果
• 存储漏洞发现结果
• 子网漏洞发现结果

适用于 AWS 的内置检测器

如需查看适用于 AWS 的所有 Security Health Analytics 检测器的列表，请参阅 AWS 发现结果。

Security Health Analytics 自定义模块

Security Health Analytics 自定义模块是 Google Cloud 的自定义检测器，可扩展 Security Health Analytics 的检测功能，使其超越内置检测器提供的功能。

其他云平台不支持自定义模块。

您可以使用 Google Cloud 控制台中的引导式工作流创建自定义模块，也可以在 YAML 文件中自行创建自定义模块定义，然后使用 Google Cloud CLI 命令或 Security Command Center API 将其上传到 Security Command Center。

如需了解详情，请参阅 Security Health Analytics 的自定义模块概览。

检测器与合规性

Security Command Center 衡量与安全基准的合规性在很大程度上取决于 Security Health Analytics 漏洞检测器生成的发现结果。

Security Health Analytics 会使用与各种安全标准的控件对应的检测器来监控您的合规性。

对于每个受支持的安全标准，Security Health Analytics 都会检查一部分控制项。对于已检查的控制项，Security Command Center 会显示通过的控制项数量。对于未通过的控制，Security Command Center 会显示一个发现结果列表，其中会说明控制失败的原因。

CIS 已审核并认证了 Security Health Analytics 检测器与 CIS Google Cloud Foundations 的各个受支持基准版本的映射。其他合规性映射仅供参考。

Security Health Analytics 会定期添加对新基准版本和标准的支持。旧版本仍然受支持，但最终将会被弃用。我们建议您使用当前受支持的最新基准或标准。

借助安全状况服务，您可以将组织政策和 Security Health Analytics 检测器映射到适用于贵业务的标准和控制措施。创建安全状况后，您可以监控环境中可能影响贵商家合规性的任何变化。

如需详细了解如何管理合规性，请参阅评估和报告是否符合安全标准。

支持的安全标准

Google Cloud

Security Health Analytics 会将 Google Cloud 的检测器映射到以下一个或多个合规性标准：

• Center for Information Security (CIS) Controls 8.0
• CIS Google Cloud Computing Foundations Benchmark v2.0.0、v1.3.0、v1.2.0、v1.1.0 和 v1.0.0
• CIS Kubernetes 基准 v1.5.1
• Cloud Controls Matrix (CCM) 4
• 《健康保险流通与责任法案》(HIPAA)
• 国际标准化组织 (ISO) 27001、2022 和 2013
• 美国国家标准与技术研究院 (NIST) 800-53 R5 和 R4
• NIST CSF 1.0
• 2021 年和 2017 年开放式 Web 应用安全项目 (OWASP) 十大风险
• 支付卡行业数据安全标准 (PCI DSS) 4.0 和 3.2.1
• 系统和组织控制 (SOC) 2 2017 年信任服务标准 (TSC)

AWS

Security Health Analytics 会将 Amazon Web Services (AWS) 的检测器映射到以下一个或多个合规性标准：

• CIS Amazon Web Services Foundations 2.0.0
• CIS Controls 8.0
• CCM 4
• HIPAA
• ISO 27001 2022
• NIST 800-53 R5
• NIST CSF 1.0
• PCI DSS 4.0 和 3.2.1
• SOC 2 2017 TSC

如需详细了解合规性，请参阅评估和报告安全基准合规性。