Utiliser Security Command Center dans la console Google Cloud

Cette page présente Security Command Center dans la console Google Cloud et les actions que vous pouvez effectuer sur les pages de premier niveau de Security Command Center.

Si Security Command Center n'est pas déjà configuré pour votre organisation ou un projet de votre organisation, vous devez l'activer avant de pouvoir l'utiliser dans la console Google Cloud. Pour en savoir plus sur l'activation, consultez la section Présentation de l'activation de Security Command Center.

Pour obtenir une présentation générale de Security Command Center, consultez la section Présentation de Security Command Center.

Autorisations IAM requises

Pour utiliser Security Command Center, vous devez disposer d'un rôle IAM (Identity and Access Management) comprenant les autorisations appropriées :

  • Le lecteur administrateur du centre de sécurité vous permet d'afficher Security Command Center.
  • L'éditeur de l'administrateur du centre de sécurité vous permet d'afficher Security Command Center et d'y apporter des modifications.

Si vos règles d'administration sont définies sur restreindre les identités par domaine, vous devez être connecté à la console Google Cloud avec un compte appartenant à un domaine autorisé.

Les rôles IAM pour Security Command Center peuvent être attribués au niveau de l'organisation, du dossier ou du projet. Votre capacité à afficher, modifier, créer ou mettre à jour les résultats, les éléments et les sources de sécurité dépend du niveau pour lequel vous disposez d'un accès. Pour en savoir plus sur les rôles Security Command Center, consultez la page Contrôle des accès.

Accéder à Security Command Center dans la console Google Cloud

Pour accéder à Security Command Center dans la console Google Cloud:

  1. Accédez à Security Command Center:

    Accéder à Security Command Center

  2. Sélectionnez le projet ou l'organisation que vous souhaitez afficher.

    Si Security Command Center est actif dans l'organisation ou le projet que vous sélectionnez, la page Vue d'ensemble des risques s'affiche avec un aperçu des nouvelles menaces détectées et des failles actives détectées au cours des sept derniers jours.

    Si Security Command Center n'est pas actif, vous êtes invité à l'activer. Pour en savoir plus sur l'activation de Security Command Center, consultez la page Présentation de l'activation de Security Command Center.

Security Command Center dans la console Google Cloud

En plus de la page Présentation des risques, vous pouvez surveiller et gérer les problèmes de sécurité dans votre environnement Google Cloud via les pages Security Command Center suivantes de la console Google Cloud. Cliquez sur le nom d'une page pour obtenir une explication.

Page "Aperçu des risques"

La page Vue d'ensemble des risques fournit un aperçu rapide des nouvelles menaces et du nombre total de failles actives dans votre environnement Google Cloud à partir de tous les services intégrés et intégrés. Vous pouvez modifier la période affichée dans l'ensemble de cette page selon une plage allant d'une heure à six mois.

La page Vue d'ensemble des risques comprend plusieurs tableaux de bord, dont les suivants:

  • Principales failles constatées affiche les dix résultats ayant les scores d'exposition aux attaques les plus élevés.
  • Nouvelles menaces au fil du temps affiche un graphique des nouvelles menaces détectées par jour, avec des totaux horaires. Après le graphique de la page, vous trouverez des vues des résultats des menaces par catégorie, ressource et projet. Vous pouvez trier chaque vue par gravité de la recherche.
  • Principals résultats CVE (niveaux Premium et Enterprise uniquement) affiche les résultats des failles regroupés par exploitabilité et impact des CVE. Cliquez sur un bloc de la carte thermique pour afficher les résultats correspondants listés par ID CVE.
  • Failles par type de ressource est un écran graphique qui affiche les failles actives pour les ressources de votre projet ou de votre organisation.
  • Failles actives fournit des vues par onglet des résultats de failles par nom de catégorie, par ressource affectée et par projet. Vous pouvez trier chaque vue par gravité des résultats.
  • Résultats liés à l'identité et à l'accès affiche les résultats de configuration incorrecte liés aux comptes principaux (identités) mal configurés ou auxquels des autorisations excessives ou sensibles sont accordées pour les ressources Google Cloud (accès). La gestion des contrôles d'identité et d'accès est parfois appelée gestion des droits d'accès de l'infrastructure cloud.
  • Résultats liés à la sécurité des données affiche les résultats du service de découverte Sensitive Data Protection. Ce résumé inclut toutes les conclusions sur les failles qui indiquent la présence de secrets dans les variables d'environnement et les conclusions d'observation qui indiquent les niveaux de sensibilité et de risque des données.

Cliquez sur le nom de la catégorie d'un résultat sur la page Vue d'ensemble des risques pour accéder à la page Résultats, où vous pouvez consulter les détails du résultat.

Page sur les menaces

La page Menaces vous permet d'examiner les événements potentiellement dangereux dans vos ressources Google Cloud sur une période que vous spécifiez. La période par défaut est de sept jours.

Sur la page "Menaces", vous pouvez consulter les résultats dans les sections suivantes:

  • La section Menaces par niveau de gravité indique le nombre de menaces dans chaque niveau de gravité.
  • La section Menaces par catégorie indique le nombre de résultats dans chaque catégorie pour tous les projets.
  • La section Menaces par ressource indique le nombre de résultats pour chaque ressource de votre projet ou de votre organisation.

Vous pouvez spécifier la période pour laquelle afficher les menaces à l'aide de la liste déroulante du champ Période. La liste déroulante présente plusieurs options comprises entre une heure et "depuis le début", qui affiche tous les résultats depuis l'activation du service. La période sélectionnée est enregistrée entre les sessions.

Page sur les failles

La page Failles répertorie tous les détecteurs de failles logicielles et de configuration incorrecte que les services de détection intégrés de Security Command Center exécutent dans vos environnements cloud. Pour chaque détecteur listé, le nombre de résultats actifs s'affiche.

Services de détection des failles

La page Faille liste les détecteurs des services de détection intégrés suivants de Security Command Center:

D'autres services Google Cloud intégrés à Security Command Center détectent également les failles logicielles et les erreurs de configuration. Les résultats d'une sélection de ces services sont également affichés sur la page Failles. Pour en savoir plus sur les services qui génèrent des résultats de failles dans Security Command Center, consultez la section Services de détection.

Informations sur les catégories de détecteurs de failles

Pour chaque détecteur de mauvaise configuration ou de faille logicielle, la page Failles affiche les informations suivantes:

  • État : une icône indique si le détecteur est actif et s'il a trouvé un résultat à corriger. Lorsque vous placez le pointeur de la souris sur l'icône d'état, une info-bulle indique la date et l'heure auxquelles le détecteur a trouvé le résultat ou des informations permettant de valider la recommandation.
  • Dernière analyse : date et heure de la dernière analyse du détecteur.
  • Catégorie: catégorie ou type de faille. Pour obtenir la liste des catégories détectées par chaque service Security Command Center, consultez les documents suivants :
  • Recommandation : résumé indiquant comment corriger le résultat. Pour en savoir plus, consultez la page Corriger les résultats de Security Health Analytics.
  • Actif : nombre total de résultats dans la catégorie.
  • Standards : analyse comparative de conformité pour laquelle la catégorie de résultat s'applique, le cas échéant. Pour en savoir plus sur les analyses comparatives, consultez la page Résultats concernant les failles.

Filtrer les résultats de failles

Une grande organisation peut avoir de nombreux résultats de failles à examiner, trier et suivre dans tout son déploiement. En utilisant les filtres disponibles sur les pages Failles et Résultats de Security Command Center dans la console Google Cloud, vous pouvez vous concentrer sur les failles les plus critiques de votre organisation, et examiner les failles par type d'élément, projet, etc.

Pour en savoir plus sur le filtrage des résultats de failles, consultez la section Filtrer les résultats de failles dans Security Command Center.

Page sur la conformité

La page Compliance (Conformité) vous aide à évaluer et à prendre des mesures pour vous conformer aux normes ou benchmarks de sécurité courants. La page affiche tous les benchmarks compatibles avec Security Command Center, ainsi que le pourcentage de contrôles de référence réussis.

Pour chaque benchmark, vous pouvez ouvrir une page Détails de la conformité qui fournit des informations supplémentaires sur les contrôles que Security Command Center vérifie pour le benchmark, le nombre d'infractions détectées pour chaque contrôle et la possibilité d'exporter un rapport de conformité pour le benchmark.

Les outils d'analyse des failles de Security Command Center surveillent les cas de non-respect des contrôles de conformité courants grâce à un mappage optimisé fourni par Google. Les rapports de conformité de Security Command Center ne remplacent pas un audit de conformité, mais peuvent vous aider à maintenir votre conformité et à détecter les cas de non-respect en amont.

Pour en savoir plus sur la façon dont Security Command Center facilite la gestion de la conformité, consultez les pages suivantes:

Page sur les éléments

La page Éléments fournit un affichage détaillé de toutes les ressources Google Cloud, également appelées éléments, de votre projet ou de votre organisation.

Pour en savoir plus sur l'utilisation des composants sur la page Composants, consultez Utiliser les ressources dans la console.

Page sur les résultats

Sur la page Résultats, vous pouvez interroger, examiner, ignorer et marquer les résultats de Security Command Center, qui sont les enregistrements que les services Security Command Center créent lorsqu'ils détectent un problème de sécurité dans votre environnement.

Pour en savoir plus sur l'utilisation des résultats sur la page Résultats, consultez Examiner et gérer les résultats.

Page sur les sources

La page Sources contient des fiches récapitulant les éléments et les résultats issus des sources de sécurité que vous avez activées. La fiche de chaque source de sécurité indique certains des résultats de cette source. Vous pouvez cliquer sur le nom de la catégorie de résultats pour afficher tous les résultats de cette catégorie.

Récapitulatif des résultats

La fiche Récapitulatif des résultats affiche le nombre de catégories de résultats que fournissent vos sources de sécurité activées.

  • Pour afficher les détails des résultats d'une source spécifique, cliquez sur le nom de la source concernée.
  • Pour afficher les détails de tous les résultats, cliquez sur la page Résultats, qui vous permet de regrouper les résultats ou d'afficher les détails d'un résultat spécifique.

Récapitulatifs des sources

Sous la fiche Récapitulatif des résultats, les fiches apparaissent pour toutes les sources intégrées et tierces que vous avez activées. Chaque fiche indique le nombre de résultats actifs pour cette source.

Page "Posture"

Sur la page Posture, vous pouvez consulter des informations sur les postures de sécurité que vous avez créées dans votre organisation et les appliquer à une organisation, un dossier ou un projet. Vous pouvez également afficher les modèles de posture prédéfinis disponibles.

Étape suivante