Utilizzo di Security Health Analytics

Questa pagina spiega come gestire i risultati di Security Health Analytics utilizzando Security Command Center.

Security Health Analytics è un servizio integrato in Security Command Center che esegue la scansione delle risorse nel tuo ambiente cloud e genera risultati per eventuali configurazioni errate rilevate.

Per ricevere i risultati di Security Health Analytics, il servizio deve essere attivato nelle impostazioni Servizi di Security Command Center.

Per ricevere i risultati per un'altra piattaforma cloud, Security Command Center deve essere collegato all'altra piattaforma cloud.

I risultati dei rilevatori di Security Health Analytics sono disponibili nella console Google Cloud, utilizzando l'API Security Command Center e, se utilizzi il livello Enterprise di Security Command Center, nella console Security Operations.

Le scansioni iniziano circa un'ora dopo l'attivazione di Security Command Center. Su Google Cloud, viene eseguito in due modalità: modalità batch, che viene eseguita automaticamente una volta al giorno, e modalità in tempo reale, che esegue le scansioni in base alle modifiche alla configurazione degli asset.

I rilevatori di Security Health Analytics che non supportano la modalità di scansione in tempo reale sono elencati nella Panoramica della latenza di Security Command Center.

Security Health Analytics esegue la scansione di altre piattaforme cloud solo in modalità batch.

Prima di iniziare

Per ottenere le autorizzazioni necessarie per gestire i risultati di Security Health Analytics, chiedi all'amministratore di concederti i seguenti ruoli IAM per la tua organizzazione, la tua cartella o il tuo progetto:

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Attivare e disattivare i rilevatori

La disattivazione dei rilevatori può influire sullo stato dei risultati attivi. Quando un rilevatore viene disabilitato, i risultati esistenti vengono contrassegnati automaticamente come inattivi.

Quando attivi Security Command Center a livello di organizzazione, puoi disattivare Security Health Analytics o rilevatori specifici per cartelle o progetti specifici. Se Security Health Analytics o i rilevatori sono disattivati per le cartelle e i progetti, tutti i risultati esistenti associati agli asset in queste risorse vengono contrassegnati come inattivi.

I seguenti rilevatori di Security Health Analytics per Google Cloud sono disabilitati per impostazione predefinita:

  • ALLOYDB_AUTO_BACKUP_DISABLED
  • ALLOYDB_CMEK_DISABLED
  • BIGQUERY_TABLE_CMEK_DISABLED
  • BUCKET_CMEK_DISABLED
  • CLOUD_ASSET_API_DISABLED
  • DATAPROC_CMEK_DISABLED
  • DATASET_CMEK_DISABLED
  • DISK_CMEK_DISABLED
  • DISK_CSEK_DISABLED
  • NODEPOOL_BOOT_CMEK_DISABLED
  • PUBSUB_CMEK_DISABLED
  • SQL_CMEK_DISABLED
  • SQL_NO_ROOT_PASSWORD
  • SQL_WEAK_ROOT_PASSWORD
  • VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Per attivare o disattivare un modulo di rilevamento di Security Health Analytics:

Console

Puoi attivare o disattivare i rilevatori nella scheda Moduli della pagina Security Health Analytics in Impostazioni di Security Command Center nella console Google Cloud. I rilevatori possono essere attivati o disattivati a livello di organizzazione o di progetto.

gcloud

Per attivare un rilevatore, noto anche come modulo, esegui il comando gcloud alpha scc settings services modules enable.

Se hai attivato Security Command Center a livello di organizzazione, esegui il seguente comando:

gcloud alpha scc settings services modules enable \
    --organization=ORGANIZATION_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID della tua organizzazione
  • DETECTOR_NAME: il nome del rilevatore da attivare

Se hai attivato Security Command Center a livello di progetto, esegui il seguente comando:

gcloud alpha scc settings services modules enable \
    --project=PROJECT_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

Sostituisci quanto segue:

  • PROJECT_ID: il tuo ID progetto
  • DETECTOR_NAME: il nome del rilevatore da attivare

Per disattivare un rilevatore, esegui il comando gcloud alpha scc settings services modules disable.

Se hai attivato Security Command Center a livello di organizzazione, esegui il seguente comando:

gcloud alpha scc settings services modules disable \
    --organization=ORGANIZATION_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID della tua organizzazione
  • DETECTOR_NAME: il nome del rilevatore da disattivare

Se hai attivato Security Command Center a livello di progetto, esegui il seguente comando:

gcloud alpha scc settings services modules disable \
    --project=PROJECT_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

Sostituisci quanto segue:

  • PROJECT_ID: il tuo ID progetto
  • DETECTOR_NAME: il nome del rilevatore da disattivare

Filtrare i risultati nella console Google Cloud

Un'organizzazione di grandi dimensioni potrebbe avere molti risultati relativi a vulnerabilità nel proprio deployment da esaminare, classificare e monitorare. Utilizzando i filtri disponibili nelle pagine Vulnerabilità e Risultati di Security Command Center nella console Google Cloud, puoi concentrarti sulle vulnerabilità con gravità più elevata nella tua organizzazione ed esaminarle in base al tipo di asset, al progetto e altro ancora.

Per ulteriori informazioni sul filtro dei risultati delle vulnerabilità, consulta Filtrare i risultati delle vulnerabilità in Security Command Center.

Gestire i risultati con le richieste

Security Command Center apre automaticamente una richiesta nella console Security Operations per i risultati relativi a vulnerabilità e configurazioni errate con un livello di gravità di HIGH o CRITICAL. Una singola richiesta può contenere più risultati correlati.

Utilizza la richiesta, che può essere integrata con il tuo sistema di gestione dei ticket preferito, per gestire l'indagine e la correzione dei risultati assegnando i proprietari, esaminando le informazioni correlate e, con i playbook, automatizzando il flusso di lavoro di risposta.

Se un rilevamento ha una richiesta corrispondente, puoi trovare un link alla richiesta nella pagina dei dettagli del rilevamento. Apri la pagina dei dettagli di un rilevamento dalla pagina Rilevamenti nella console Google Cloud. Puoi anche visualizzare il numero totale di richieste relative a vulnerabilità aperte nella pagina Panoramica dei rischi della console Google Cloud.

Per saperne di più sulle richieste, consulta la panoramica delle richieste.

Disattiva risultati

Per controllare il volume dei risultati nella console Google Cloud, puoi disattivare manualmente o tramite programmazione i singoli risultati oppure creare regole di disattivazione che disattivano automaticamente i risultati in base ai filtri che definisci. Esistono due tipi di regole di disattivazione audio che puoi utilizzare per controllare il volume delle ricerche:

  • Regole di disattivazione statiche che disattivano indefinitamente i risultati futuri.
  • Regole di disattivazione dinamiche che contengono un'opzione per disattivare temporaneamente i risultati attuali e futuri.

Ti consigliamo di utilizzare le regole di disattivazione audio dinamiche esclusivamente per ridurre il numero di risultati da esaminare manualmente. Per evitare confusione, non è consigliabile utilizzare contemporaneamente le regole di disattivazione audio statiche e dinamiche. Per un confronto tra i due tipi di regole, vedi Tipi di regole di disattivazione.

I risultati che disattivi nella console Google Cloud vengono nascosti e ignorati, ma continuano a essere registrati a fini di audit e conformità. Puoi visualizzare i risultati silenziati o riattivarli in qualsiasi momento. Per approfondire, consulta Disattivare i risultati in Security Command Center.

Contrassegnare asset e risultati con contrassegni di sicurezza

Puoi aggiungere proprietà personalizzate a risultati e asset in Security Command Center utilizzando i contrassegni di sicurezza. I segni di sicurezza ti consentono di identificare aree di interesse di alta priorità come i progetti di produzione, taggare i risultati con numeri di monitoraggio di bug e incidenti e altro ancora.

Per le risorse, puoi aggiungere indicatori di sicurezza solo a quelle supportate da Security Command Center. Per l'elenco degli asset supportati, consulta Tipi di asset supportati in Security Command Center.

Aggiungere asset alle liste consentite

Anche se non è un metodo consigliato, puoi eliminare i risultati non necessari aggiungendo agli asset indicatori di sicurezza dedicati in modo che i rilevatori di Security Health Analytics non creino risultati di sicurezza per questi asset.

L'approccio consigliato e più efficace per controllare il volume dei risultati è Disattivare l'audio dei risultati. Disattiva i risultati che non devi esaminare perché si riferiscono ad asset isolati o perché rientrano nei parametri aziendali accettabili.

Quando applichi indicatori di sicurezza dedicati agli asset, questi vengono aggiunti a una lista consentita in Security Health Analytics, che contrassegna eventuali risultati relativi a questi asset come risolti durante la scansione batch successiva.

I segni di sicurezza dedicati devono essere applicati direttamente alle risorse, non ai risultati, come descritto in Come funzionano le liste consentite più avanti in questa pagina. Se applichi un indicatore a un rilevamento, l'asset sottostante può comunque generare rilevamenti.

Come funzionano le liste consentite

Ogni rilevatore di Security Health Analytics ha un tipo di indicatore dedicato per le liste consentite, sotto forma di allow_FINDING_TYPE:true. L'aggiunta di questo marchio dedicato a una risorsa supportata da Security Command Center consente di escluderla dal criterio di rilevamento.

Ad esempio, per escludere il tipo di rilevamento SSL_NOT_ENFORCED, imposta il contrassegno di sicurezza allow_ssl_not_enforced:true sull'istanza Cloud SQL correlata. Il rilevatore specificato non creerà risultati per le risorse contrassegnate.

Per un elenco completo dei tipi di risultati, consulta l'elenco dei rilevatori di Security Health Analytics. Per scoprire di più sui segni di sicurezza e sulle tecniche per utilizzarli, consulta Utilizzare i segni di sicurezza.

Tipi di asset

Questa sezione descrive il funzionamento dei segni di sicurezza per asset diversi.

  • Asset nella lista consentita:quando aggiungi un indicatore dedicato a una risorsa, ad esempio un bucket Cloud Storage o una firewall, il rilevamento associato viene contrassegnato come risolto al termine della scansione batch successiva. Il rilevatore non genererà nuovi risultati o aggiornerà quelli esistenti per la risorsa finché il segno non viene rimosso.

  • Progetti nella lista consentita: quando aggiungi un segno a una risorsa di progetto, i risultati per i quali il progetto stesso è la risorsa sottoposta a scansione o di destinazione vengono risolti. Tuttavia, gli asset contenuti nel progetto, come le macchine virtuali o le chiavi di crittografia, possono comunque generare risultati. Questo contrassegno di sicurezza è disponibile solo se attivi il livello Security Command Center Premium a livello di organizzazione.

  • Cartelle nella lista consentita: quando aggiungi un segno a una risorsa cartella, i risultati per i quali la cartella stessa è la risorsa sottoposta a scansione o di destinazione vengono risolti. Tuttavia, gli asset contenuti nella cartella, inclusi i progetti, possono comunque generare risultati. Questo contrassegno di sicurezza è disponibile solo se attivi il livello Security Command Center Premium a livello di organizzazione.

  • Rilevatori che supportano più asset: se un rilevatore supporta più di un tipo di asset, devi applicare il marchio dedicato a ogni asset. Ad esempio, il rilevatore KMS_PUBLIC_KEY supporta le risorse CryptoKey e KeyRing di Cloud Key Management Service. Se applichi il segno allow_kms_public_key:true alla risorsa CryptoKey, i risultati KMS_PUBLIC_KEY relativi alla risorsa vengono risolti. Tuttavia, è comunque possibile generare risultati per la risorsa KeyRing.

I contrassegni di sicurezza vengono aggiornati solo durante le scansioni collettive, non in tempo reale. Se viene rimosso un contrassegno di sicurezza dedicato e la risorsa presenta una vulnerabilità, potrebbero essere necessarie fino a 24 ore prima che il contrassegno venga eliminato e venga redatto un rilevamento.

Rilevamento di casi speciali: chiavi di crittografia fornite dal cliente

Il rilevatore DISK_CSEK_DISABLED non è attivo per impostazione predefinita. Per utilizzare questo rilevatore, devi contrassegnare gli asset per i quali vuoi utilizzare le chiavi di crittografia autogestite.

Per attivare il rilevatore DISK_CSEK_DISABLED per risorse specifiche, applica il segno di sicurezza enforce_customer_supplied_disk_encryption_keys alla risorsa con un valore di true.

Visualizzazione del numero di risultati attivi per tipo di risultato

Puoi utilizzare la console Google Cloud o i comandi Google Cloud CLI per visualizzare i conteggi dei risultati attivi in base al tipo di risultato.

Console

La console Google Cloud ti consente di visualizzare un conteggio dei risultati attivi per ogni tipo di risultato.

Per visualizzare i risultati di Security Health Analytics per tipo di risultato:

  1. Vai a Security Command Center nella console Google Cloud.

    Andare a Security Command Center

  2. Per visualizzare i risultati di Security Health Analytics, fai clic sulla pagina Vulnerabilità.

  3. Per ordinare i risultati in base al numero di risultati attivi per ciascun tipo di risultato, fai clic sull'intestazione della colonna Attivo.

gcloud

Per utilizzare la gcloud CLI per ottenere un conteggio di tutti i risultati attivi, esegui una query su Security Command Center per ottenere l'ID origine Security Health Analytics. Poi utilizza l'ID origine per eseguire una query sul conteggio dei risultati attivi.

Passaggio 1: ottieni l'ID origine

Per ottenere l'ID origine, esegui uno dei seguenti comandi:

  • Se hai attivato Security Command Center a livello di organizzazione, esegui il seguente comando:

    gcloud scc sources describe organizations/ORGANIZATION_ID \
        --source-display-name="Security Health Analytics"
    
  • Se hai attivato Security Command Center a livello di progetto, esegui il seguente comando:

    gcloud scc sources describe projects/PROJECT_ID \
        --source-display-name="Security Health Analytics"
    

Se non l'hai ancora fatto, ti viene chiesto di abilitare l'API Security Command Center. Quando l'API Security Command Center è abilitata, esegui di nuovo il comando precedente. Il comando dovrebbe visualizzare un output simile al seguente:

description: Scans for deviations from a GCP security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

Prendi nota del valore SOURCE_ID da utilizzare nel passaggio successivo.

Passaggio 2: ottieni il conteggio dei risultati attivi

Utilizza il valore SOURCE_ID annotato nel passaggio precedente per filtrare i risultati di Security Health Analytics. I seguenti comandi gcloud CLI retituisono un conteggio dei risultati per categoria.

  • Se hai attivato Security Command Center a livello di organizzazione, esegui il seguente comando:

    gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
        --group-by=category --page-size=PAGE_SIZE
    
  • Se hai attivato Security Command Center a livello di progetto, esegui il seguente comando:

    gcloud scc findings group projects/PROJECT_ID/sources/SOURCE_ID \
        --group-by=category --page-size=PAGE_SIZE
    

Puoi impostare le dimensioni della pagina su qualsiasi valore fino a 1000. Il comando dovrebbe visualizzare un output simile al seguente, con i risultati della tua organizzazione:

groupByResults:
- count: '1'
properties:
  category: MFA_NOT_ENFORCED
- count: '3'
properties:
  category: ADMIN_SERVICE_ACCOUNT
- count: '2'
properties:
  category: API_KEY_APIS_UNRESTRICTED
- count: '1'
properties:
  category: API_KEY_APPS_UNRESTRICTED
- count: '2'
properties:
  category: API_KEY_EXISTS
- count: '10'
properties:
  category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
properties:
  category: AUDIT_LOGGING_DISABLED
- count: '1'
properties:
  category: AUTO_UPGRADE_DISABLED
- count: '10'
properties:
  category: BUCKET_IAM_NOT_MONITORED
- count: '10'
properties:
  category: BUCKET_LOGGING_DISABLED
nextPageToken: TOKEN
readTime: '2023-08-05T21:56:13.862Z'
totalSize: 50

Gestire i risultati in modo programmatico

L'utilizzo dell'Google Cloud CLI con l'SDK Security Command Center ti consente di eseguire automaticamente quasi tutto ciò che puoi fare con Security Command Center nella console Google Cloud. Puoi anche rimediare a molti risultati utilizzando gcloud CLI. Per ulteriori informazioni, consulta la documentazione relativa ai tipi di risorse descritti in ogni risultato:

Per esportare o elencare le risorse in modo programmatico, utilizza l'API Cloud Asset Inventory. Per ulteriori informazioni, consulta Esportare la cronologia e i metadati delle risorse.

I metodi e i campi degli asset dell'API Security Command Center sono deprecati e verranno rimossi a partire dal 26 giugno 2024.

Fino alla rimozione, gli utenti che hanno attivato Security Command Center prima del 26 giugno 2023 possono utilizzare i metodi asset dell'API Security Command Center per elencare gli asset, ma questi metodi supportano solo gli asset supportati da Security Command Center.

Per informazioni sull'utilizzo dei metodi dell'API asset non più supportati, consulta Asset elenco.

Scansione dei progetti protetti da un perimetro di servizio

Questa funzionalità è disponibile solo se attivi il livello Security Command Center Premium a livello di organizzazione.

Se hai un perimetro di servizio che blocca l'accesso a determinati progetti e servizi, devi concedere all'account di servizio Security Command Center l'accesso in entrata a quel perimetro di servizio. In caso contrario, Security Health Analytics non può produrre risultati relativi ai progetti e ai servizi protetti.

L'identificatore dell'account di servizio è un indirizzo email con il seguente formato:

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

Sostituisci ORGANIZATION_ID con l'identificatore numerico della tua organizzazione.

Per concedere a un account di servizio l'accesso in entrata a un perimetro di servizio, segui questi passaggi.

  1. Vai a Controlli di servizio VPC.

    Vai a Controlli di servizio VPC

  2. Nella barra degli strumenti, seleziona la tua organizzazione Google Cloud.

    Selettore di progetti

  3. Nell'elenco a discesa, seleziona il criterio di accesso che contiene il perimetro del servizio a cui vuoi concedere l'accesso.

    Elenco dei criteri di accesso

    I perimetri di servizio associati al criterio di accesso vengono visualizzati nell'elenco.

  4. Fai clic sul nome del perimetro di servizio.

  5. Fai clic su Modifica perimetro.

  6. Nel menu di navigazione, fai clic su Criterio in entrata.

  7. Fai clic su Aggiungi regola.

  8. Configura la regola nel seguente modo:

    Attributi FROM del client API

    1. In Origine, seleziona Tutte le origini.
    2. Per Identità, seleziona Identità selezionate.
    3. Nel campo Aggiungi utente/account di servizio, fai clic su Seleziona.
    4. Inserisci l'indirizzo email dell'account di servizio. Se hai account di servizio sia a livello di organizzazione sia a livello di progetto, aggiungili entrambi.
    5. Fai clic su Salva.

    Attributi TO di servizi/risorse Google Cloud

    1. In Progetto, seleziona Tutti i progetti.

    2. In Servizi, seleziona Tutti i servizi o seleziona ciascuno dei seguenti singoli servizi richiesti da Security Health Analytics:

      • API BigQuery
      • API Binary Authorization
      • API Cloud Logging
      • API Cloud Monitoring
      • API Compute Engine
      • API Kubernetes Engine

    Se un perimetro di servizio limita l'accesso a un servizio richiesto, Security Health Analytics non può produrre risultati per quel servizio.

  9. Nel menu di navigazione, fai clic su Salva.

Per ulteriori informazioni, consulta la pagina Configurare i criteri di ingresso e di uscita.

Passaggi successivi