Security Health Analytics 概览

Security Health Analytics 是 Security Command Center 的一项托管式服务，可扫描您的云环境，以查找可能导致您遭受攻击的常见配置错误。

当您激活 Security Command Center 时，系统会自动启用 Security Health Analytics。

各层级的 Security Health Analytics 功能

您可使用的 Security Health Analytics 功能因启用 Security Command Center 的服务层级而异。如需查看哪些层级提供哪些发现结果，请参阅 Security Health Analytics 发现结果。

标准层级功能

在标准层级中，Security Health Analytics 只能检测一组严重程度为“中”和“高”的基本漏洞。

高级层级功能

高级层级包含以下功能：

• Google Cloud的所有检测器，以及许多其他漏洞检测功能，例如创建自定义检测模块的功能。
• 发现结果会映射到合规性控制措施，以用于生成合规性报告。 如需了解详情，请参阅检测器和合规性。
• Security Command Center 攻击路径模拟会计算大多数 Security Health Analytics 发现结果的攻击风险得分和潜在攻击路径。如需了解详情，请参阅攻击风险得分和攻击路径概览。

企业层级功能

企业层级包含高级层级的所有功能，以及针对其他云服务提供商平台的检测器。

切换层级

大多数 Security Health Analytics 检测器仅在 Security Command Center 高级层级和企业层级中提供。如果您使用的是高级层级或企业层级，并计划改用标准层级，建议您在更改层级之前先解决所有发现结果。

当高级版或企业版试用期结束，或者您从高级版或企业版降级到标准版时，在较高层级生成的发现结果的状态会设置为 INACTIVE。

多云支持

Security Health Analytics 可以检测您在其他云平台上的部署中的配置错误。

Security Health Analytics 支持以下其他云服务提供商：

• Amazon Web Services (AWS)：如需在 AWS 数据上运行检测器，您需要先将 Security Command Center 连接到 AWS，如连接到 AWS 以收集配置和资源数据中所述。

• Microsoft Azure：如需在 Microsoft Azure 数据上运行检测器，您首先需要将 Security Command Center 连接到 Microsoft Azure，如连接到 Microsoft Azure 以进行漏洞检测和风险评估中所述。

支持的 Google Cloud 云服务

Security Health Analytics 可为 Google Cloud提供托管式漏洞评估扫描服务，该功能可以自动检测以下 Google Cloud 服务中的常见漏洞和配置错误：

• Cloud Monitoring 和 Cloud Logging
• Compute Engine
• Google Kubernetes Engine 容器和网络
• Cloud Storage
• Cloud SQL
• Identity and Access Management (IAM)
• Cloud Key Management Service (Cloud KMS)
• Cloud DNS

Security Health Analytics 扫描类型

Security Health Analytics 扫描会以三种模式运行：

• 批量扫描：所有检测器针对所有已注册组织或项目每天运行一次。

• 实时扫描：仅针对 Google Cloud 部署，只要检测到资源配置发生更改，支持的检测器就会开始扫描。发现结果会写入 Security Command Center。对于在其他云平台上的部署，不支持实时扫描。

• 混合模式：某些支持实时扫描的检测器可能无法实时检测所有受支持资源类型的更改。在这些情况下，某些资源类型的配置更改会立即被捕获，其他更改会在批量扫描中捕获。例外情况会在 Security Health Analytics 发现结果表格中注明。

Security Health Analytics 检测器

Security Health Analytics 使用检测器来识别您的云环境中的漏洞和配置错误。每个检测器都对应一个发现结果类别。

Security Health Analytics 随附许多内置检测器，可检查大量类别和资源类型中的漏洞和配置错误。

您还可以创建自己的自定义检测器，这些检测器可以检查内置检测器未涵盖的漏洞或配置错误，或者特定于您的环境的漏洞或配置错误。

如需详细了解内置的 Security Health Analytics 检测器，请参阅 Security Health Analytics 内置检测器。

如需详细了解如何创建和使用自定义模块，请参阅 Security Health Analytics 自定义模块。

检测器启用

并非所有适用于 Google Cloud的 Security Health Analytics 内置检测器都默认处于启用状态。

如果您使用的是支持多云的 Enterprise 层级，则默认情况下会启用所有 AWS 检测器。

如需启用非活跃的内置检测器，请参阅启用和停用检测器。

如需启用或停用 Security Health Analytics 自定义检测模块，您可以使用 Google Cloud 控制台、gcloud CLI 或 Security Command Center API 更新自定义模块。

如需详细了解如何更新 Security Health Analytics 自定义模块，请参阅更新自定义模块。

项目级激活的检测器支持

通过标准层级和高级层级，您可以为整个组织或组织内的一个或多个项目激活 Security Command Center。

企业层级不支持项目级激活。

内置检测器和项目级激活

如果您仅为项目启用 Security Command Center，则不支持某些内置 Security Health Analytics 检测器，因为它们需要组织级权限。

在需要组织级激活的内置检测器中，您可以通过为您的组织免费启用标准层级来为项目级激活启用 Security Command Center 标准层级可用的检测器。

项目级激活不支持同时需要高级层级和组织级权限的内置检测器。

如需查看需要组织级激活 Security Command Center 标准层级然后才能与项目级层激活一起使用的内置标准层级检测器的列表，请参阅组织级层标准层级发现结果类别。

如需查看项目级激活不支持的内置高级层级检测器的列表，请参阅不受支持的 Security Health Analytics 发现结果。

自定义模块检测器和项目级激活

无论 Security Command Center 的激活级别如何，您在项目中创建的自定义模块检测器的扫描范围都仅限于该项目。自定义模块检测器只能扫描创建它们的项目可用的资源。

如需详细了解自定义模块，请参阅 Security Health Analytics 自定义模块。

Security Health Analytics 内置检测器

本部分介绍了检测器的高级类别，按云平台和它们生成的发现结果类别列出。

内置检测器（按简要类别划分） Google Cloud

Google Cloud的 Security Health Analytics 检测器及其生成的发现结果分为以下简要类别。

Security Health Analytics 检测器监控 Cloud Asset Inventory 支持的部分 Google Cloud资源类型。

如需查看每个类别中包含的各个检测器，请点击相应类别名称。

• API 密钥漏洞发现结果
• 计算映像漏洞发现结果
• 计算实例漏洞发现结果
• 容器漏洞发现结果
• Dataproc 漏洞发现结果
• 数据集漏洞发现结果
• DNS 漏洞发现结果
• 防火墙漏洞发现结果
• IAM 漏洞发现结果
• KMS 漏洞发现结果
• 日志记录漏洞发现结果
• 监控漏洞发现结果
• 多重身份验证漏洞发现结果
• 网络漏洞发现结果
• 组织政策漏洞发现结果
• Pub/Sub 漏洞发现结果
• SQL 漏洞发现结果
• 存储漏洞发现结果
• 子网漏洞发现结果

适用于 AWS 的内置检测器

如需查看适用于 AWS 的所有 Security Health Analytics 检测器的列表，请参阅 AWS 发现结果。

Security Health Analytics 自定义模块

Security Health Analytics 自定义模块是Google Cloud 的自定义检测器，可将 Security Health Analytics 的检测功能扩展到内置检测器提供的功能之外。

其他云平台不支持自定义模块。

您可以使用Google Cloud 控制台中的引导式工作流创建自定义模块，也可以在 YAML 文件中自行创建自定义模块定义，然后使用 Google Cloud CLI 命令或 Security Command Center API 将其上传到 Security Command Center。

如需了解详情，请参阅 Security Health Analytics 自定义模块概览。

检测器与合规性

Security Command Center 对安全基准合规性的衡量在很大程度上取决于 Security Health Analytics 漏洞检测器生成的发现结果。

Security Health Analytics 会监控您是否符合各种安全标准的控制项所对应的检测器。

对于每项受支持的安全标准，Security Health Analytics 会检查其中的一部分控制项。对于已检查的控制项，Security Command Center 会显示通过的控制项数量。对于未通过的控制，Security Command Center 会显示一列发现结果，其中描述了控制失败情况。

CIS 已审核并认证了 Security Health Analytics 检测器与 CIS Google Cloud Foundations Benchmark 的各个受支持版本的映射。 其他合规性映射仅供参考。

Security Health Analytics 会定期添加对新的基准版本和标准的支持。旧版本仍然受支持，但最终会被弃用。我们建议您使用当前受支持的最新基准或标准。

借助安全状况服务，您可以将组织政策和 Security Health Analytics 检测器映射到适用于您业务的标准和控制措施。创建安全状况后，您可以监控环境的任何更改，以确保不会影响贵组织的合规性。

借助合规管理器（预览版），您可以部署将监管控制措施映射到云控制措施的框架。创建框架后，您可以监控对环境所做的任何更改，以确保不会影响您的业务合规性，并审核您的环境。

如需详细了解如何管理合规性，请参阅评估并报告是否符合安全标准。

支持的安全标准

Google Cloud

Security Health Analytics 将 Google Cloud 的检测器映射到以下一个或多个合规性标准：

• Center for Information Security (CIS) Controls 8.0
• CIS Google Cloud Computing Foundations Benchmark v2.0.0、v1.3.0、v1.2.0、v1.1.0 和 v1.0.0
• CIS Kubernetes 基准 v1.5.1
• Cloud Controls Matrix (CCM) 4
• 健康保险流通与责任法案 (HIPAA)
• 国际标准化组织 (ISO) 27001、2022 和 2013
• 美国国家标准与技术研究院 (NIST) 800-53 R5 和 R4
• 美国国家标准与技术研究院 (NIST) 网络安全框架 (CSF) 1.0
• 开放式 Web 应用安全项目 (OWASP) 十大风险，2021 年和 2017 年
• 支付卡行业数据安全标准 (PCI DSS) 4.0 和 3.2.1
• 系统和组织控制 (SOC) 2 2017 年信任服务标准 (TSC)

AWS

Security Health Analytics 将 Amazon Web Services (AWS) 的检测器映射到以下一个或多个合规性标准：

• CIS Amazon Web Services Foundations 2.0.0
• CIS 关键安全控制措施版本 8.0
• Cloud Controls Matrix (CCM) 4
• 健康保险流通与责任法案 (HIPAA)
• 国际标准化组织 (ISO) 27001，2022
• 美国国家标准与技术研究院 (NIST) 800-53 R5
• 美国国家标准与技术研究院 (NIST) 网络安全框架 (CSF) 1.0
• 支付卡行业数据安全标准 (PCI DSS) 4.0 和 3.2.1
• 系统和组织控制 (SOC) 2 2017 年可信服务标准 (TSC)

如需详细了解合规性，请参阅评估并报告安全基准合规性。