Utiliser Security Command Center Standard ou Premium dans la console Google Cloud

Cette page présente Security Command Center Standard et Premium dans la consoleGoogle Cloud , ainsi que les actions que vous pouvez effectuer sur les pages de premier niveau de Security Command Center. Si vous utilisez Security Command Center Enterprise, consultez Consoles Security Command Center Enterprise.

Si Security Command Center n'est pas déjà configuré, vous devez l'activer avant de pouvoir l'utiliser dans la console Google Cloud .

• Pour activer le niveau Standard ou Premium, consultez Présentation de l'activation de Security Command Center.
• Pour activer le niveau Enterprise, consultez Activer Security Command Center Enterprise Center.

Pour obtenir une présentation générale de Security Command Center, consultez la page Présentation de Security Command Center.

Autorisations IAM requises

Pour utiliser Security Command Center avec tous les niveaux de service, vous devez disposer d'un rôle IAM (Identity and Access Management) comprenant les autorisations appropriées :

• Le lecteur administrateur du centre de sécurité (roles/securitycenter.adminViewer) vous permet d'afficher Security Command Center.
• L'éditeur administrateur du centre de sécurité (roles/securitycenter.adminEditor) vous permet d'afficher Security Command Center et d'y apporter des modifications.

Si les règles de votre organisation sont définies sur restreindre les identités par domaine, vous devez être connecté à la console Google Cloud avec un compte appartenant à un domaine autorisé.

Les rôles IAM pour Security Command Center peuvent être accordés au niveau de l'organisation, du dossier ou du projet. Votre capacité à afficher, modifier, créer ou mettre à jour les résultats, les éléments et les sources de sécurité dépend du niveau pour lequel vous disposez d'un accès. Pour en savoir plus sur les rôles Security Command Center, consultez la page Contrôle des accès.

Accéder à Security Command Center dans la console Google Cloud

Pour accéder à Security Command Center dans la console Google Cloud  :

1. Accédez à Security Command Center :

   Accéder à Security Command Center

2. Sélectionnez le projet ou l'organisation que vous souhaitez afficher.

   Si Security Command Center est actif dans l'organisation ou le projet que vous sélectionnez, la page Présentation des risques s'affiche avec un aperçu des nouveaux résultats de menace et des résultats de vulnérabilité actifs au cours des sept derniers jours.

   Si Security Command Center n'est pas actif, vous êtes invité à l'activer. Pour en savoir plus sur l'activation de Security Command Center, consultez l'une des pages suivantes, en fonction de votre niveau de service :

   • Standard ou Premium : Présentation de l'activation de Security Command Center
   • Enterprise : activez le niveau Security Command Center Enterprise.

Fonctionnalités et navigation dans Security Command Center

Les tâches que vous pouvez effectuer dépendent de vos niveaux de service Security Command Center, des services activés et des autorisations IAM qui vous sont accordées.

Au-delà de la page Présentation des risques, vous pouvez surveiller et gérer les problèmes de sécurité dans votre environnement Google Cloud grâce aux pages Security Command Center suivantes de la console Google Cloud .

La section suivante décrit la navigation dans Security Command Center Standard et Premium. Cliquez sur une entrée de navigation pour obtenir une explication de la page.

• Page "Aperçu des risques"
• Page "Menaces"
• Page "Failles"
• Page sur la conformité
• Page "Composants"
• Page "Résultats"
• Page "Sources"
• Page "Posture"

Page "Aperçu des risques"

La page Aperçu des risques offre une vue rapide des nouvelles menaces et du nombre total de failles actives dans votre environnementGoogle Cloud , à partir de tous les services intégrés et intégrés. Vous pouvez modifier la période affichée dans l'ensemble de cette page selon une plage allant d'une heure à six mois.

La page Présentation des risques comprend différents tableaux de bord, dont les suivants :

• La section Principales failles constatées affiche les dix résultats qui présentent les scores d'exposition aux attaques les plus élevés.
• Nouvelles menaces au fil du temps (niveau Premium uniquement) : affiche un graphique des nouvelles menaces détectées par jour, avec les totaux horaires. Sous le graphique de la page, vous trouverez des vues des résultats des menaces par catégorie, ressource et projet. Vous pouvez trier chaque vue par gravité des résultats.
• Les principaux résultats CVE (niveaux Premium et Enterprise uniquement) affichent les résultats des failles groupés par exploitabilité et impact des CVE. Cliquez sur un bloc de la heat map pour afficher les résultats correspondants listés par ID CVE.
• La section Failles par type de ressource est un écran graphique qui montre les failles actives pour les ressources de votre projet ou de votre organisation.
• L'onglet Failles actives fournit des vues par onglets des résultats de l'analyse des failles par nom de catégorie, par ressource concernée et par projet. Vous pouvez trier chaque vue par gravité des résultats.
• La section Résultats sur l'identité et l'accès (niveau Premium uniquement) affiche les résultats de mauvaise configuration liés aux comptes principaux (identités) qui sont mal configurés ou qui se voient accorder des autorisations excessives ou sensibles sur les ressources Google Cloud, AWS ou Azure (accès). La gestion des identités et des contrôles d'accès est parfois appelée gestion des droits d'accès de l'infrastructure cloud.
• Les résultats liés à la sécurité des données affichent les résultats du service de découverte Sensitive Data Protection. Ce récapitulatif inclut les résultats d'analyse des failles indiquant la présence de secrets dans les variables d'environnement et les résultats d'observation indiquant les niveaux de sensibilité et de risque des données.

Si vous cliquez sur le nom de la catégorie d'un résultat sur la page Présentation des risques, vous êtes redirigé vers la page Résultats, où vous pouvez consulter les détails du résultat.

Page sur les menaces

La page Menaces vous permet d'examiner les événements potentiellement dangereux dans vos ressources Google Cloud sur une période que vous spécifiez. La période par défaut est de sept jours.

Sur la page "Menaces", vous pouvez consulter les résultats dans les sections suivantes :

• La section Menaces par niveau de gravité indique le nombre de menaces dans chaque niveau de gravité.
• La section Menaces par catégorie indique le nombre de résultats dans chaque catégorie pour tous les projets.
• La section Menaces par ressource indique le nombre de résultats pour chaque ressource de votre projet ou organisation.

Vous pouvez spécifier la période pour laquelle afficher les menaces à l'aide de la liste déroulante du champ Période. La liste déroulante présente plusieurs options comprises entre une heure et "depuis le début", qui affiche tous les résultats depuis l'activation du service. La période sélectionnée est enregistrée entre les sessions.

Page sur les failles

La page Failles liste tous les détecteurs d'erreurs de configuration et de failles logicielles que les services de détection intégrés de Security Command Center exécutent dans vos environnements cloud. Le nombre de résultats actifs s'affiche pour chaque détecteur listé.

Services de détection des failles

La page Vulnérabilité liste les détecteurs pour les services de détection intégrés suivants de Security Command Center :

• Notebook Security Scanner (preview)
• Analyse de l'état de la sécurité
• Évaluation des failles pour Amazon Web Services (AWS)
• Web Security Scanner

D'autres services Google Cloud intégrés à Security Command Center détectent également les failles logicielles et les erreurs de configuration. Les résultats d'une sélection de ces services sont également affichés sur la page Failles. Pour en savoir plus sur les services qui génèrent des résultats de failles dans Security Command Center, consultez Services de détection.

Informations sur les catégories de détecteurs de failles

Pour chaque détecteur de mauvaise configuration ou de faille logicielle, la page Failles affiche les informations suivantes :

• État : une icône indique si le détecteur est actif et s'il a trouvé un résultat à corriger. Lorsque vous placez le pointeur de la souris sur l'icône d'état, une info-bulle indique la date et l'heure auxquelles le détecteur a trouvé le résultat ou des informations permettant de valider la recommandation.
• Dernière analyse : date et heure de la dernière analyse du détecteur.
• Catégorie : catégorie ou type de faille. Pour obtenir la liste des catégories détectées par chaque service Security Command Center, consultez les pages suivantes :
  • Résultats de Notebook Security Scanner (bêta)
  • Résultats de l'analyse de l'état de la sécurité
  • Résultats de l'évaluation des failles pour AWS
  • Résultats de Web Security Scanner
• Recommandation : résumé indiquant comment corriger le résultat. Pour en savoir plus, consultez la page Corriger les résultats de Security Health Analytics.
• Actif : nombre total de résultats dans la catégorie.
• Standards : analyse comparative de conformité pour laquelle la catégorie de résultat s'applique, le cas échéant. Pour en savoir plus sur les analyses comparatives, consultez la page Résultats concernant les failles.

Filtrer les résultats de failles

Une grande organisation peut avoir de nombreux résultats de failles à examiner, trier et suivre dans tout son déploiement. En utilisant les filtres disponibles sur les pages Failles et Résultats de Security Command Center dans la console Google Cloud , vous pouvez vous concentrer sur les failles les plus critiques de votre organisation, et examiner les failles par type d'élément, projet, etc.

Pour en savoir plus sur le filtrage des résultats de failles, consultez Filtrer les résultats de failles dans Security Command Center.

Page sur la conformité

La page Conformité vous aide à évaluer et à prendre des mesures concernant la conformité avec les normes ou benchmarks de sécurité courants. La page affiche tous les benchmarks compatibles avec Security Command Center, ainsi que le pourcentage de contrôles de benchmark réussis.

Pour chaque benchmark, vous pouvez ouvrir une page Détails de la conformité qui fournit des informations supplémentaires sur les contrôles vérifiés par Security Command Center, le nombre de non-conformités détectées pour chaque contrôle et la possibilité d'exporter un rapport de conformité pour ce benchmark.

Les scanners de failles Security Command Center surveillent les cas de non-respect des contrôles de conformité courants grâce à un mappage optimisé fourni par Google. Les rapports de conformité Security Command Center ne remplacent pas un audit de conformité, mais peuvent vous aider à maintenir votre conformité et à détecter les violations en amont.

Pour en savoir plus sur la façon dont Security Command Center vous aide à gérer la conformité, consultez Gérer la conformité.

Page sur les éléments

La page Éléments fournit un affichage détaillé de toutes les ressources Google Cloud , également appelées éléments, de votre projet ou de votre organisation.

Pour en savoir plus sur l'utilisation des composants sur la page Composants, consultez Utiliser les ressources dans la console.

Page sur les résultats

Sur la page Résultats, vous pouvez interroger, examiner, désactiver et marquer les résultats Security Command Center, c'est-à-dire les enregistrements que créent les services Security Command Center lorsqu'ils détectent un problème de sécurité dans votre environnement. Pour en savoir plus sur l'utilisation des résultats sur la page Résultats, consultez Examiner et gérer les résultats.

Page sur les sources

La page Sources contient des fiches récapitulant les éléments et les résultats issus des sources de sécurité que vous avez activées. La fiche de chaque source de sécurité indique certains des résultats de cette source. Vous pouvez cliquer sur le nom de la catégorie de résultats pour afficher tous les résultats de cette catégorie.

Récapitulatif des résultats

La fiche Récapitulatif des résultats affiche le nombre de catégories de résultats que fournissent vos sources de sécurité activées.

• Pour afficher les détails des résultats d'une source spécifique, cliquez sur le nom de la source concernée.
• Pour afficher les détails de tous les résultats, cliquez sur la page Résultats, qui vous permet de regrouper les résultats ou d'afficher les détails d'un résultat spécifique.

Récapitulatifs des sources

Sous la fiche Récapitulatif des résultats, les fiches apparaissent pour toutes les sources intégrées et tierces que vous avez activées. Chaque fiche indique le nombre de résultats actifs pour cette source.

Page "Stratégie"

Sur la page Posture, vous pouvez afficher des informations sur les postures de sécurité que vous avez créées dans votre organisation et les appliquer à une organisation, un dossier ou un projet. Vous pouvez également afficher les modèles de posture prédéfinis disponibles.

Étapes suivantes

• En savoir plus sur les services de détection
• Découvrez comment utiliser des marques de sécurité.
• Découvrez comment configurer les services Security Command Center.