Questa pagina spiega come gestire i risultati di Security Health Analytics utilizzando Security Command Center.
Security Health Analytics è un servizio integrato in Security Command Center che esegue la scansione delle risorse nel tuo ambiente cloud e genera risultati per eventuali configurazioni errate rilevate.
Per ricevere i risultati di Security Health Analytics, il servizio deve essere attivato nelle impostazioni Servizi di Security Command Center.
Per ricevere i risultati per un'altra piattaforma cloud, Security Command Center deve essere collegato all'altra piattaforma cloud.
I risultati dei rilevatori di Security Health Analytics sono disponibili nella console Google Cloud, utilizzando l'API Security Command Center e, se utilizzi il livello Enterprise di Security Command Center, nella console Security Operations.
Le scansioni iniziano circa un'ora dopo l'attivazione di Security Command Center. Su Google Cloud, viene eseguito in due modalità: modalità batch, che viene eseguita automaticamente una volta al giorno, e modalità in tempo reale, che esegue le scansioni in base alle modifiche alla configurazione degli asset.
I rilevatori di Security Health Analytics che non supportano la modalità di scansione in tempo reale sono elencati nella Panoramica della latenza di Security Command Center.
Security Health Analytics esegue la scansione di altre piattaforme cloud solo in modalità batch.
Prima di iniziare
Per ottenere le autorizzazioni necessarie per gestire i risultati di Security Health Analytics, chiedi all'amministratore di concederti i seguenti ruoli IAM per la tua organizzazione, la tua cartella o il tuo progetto:
-
Attivare e disattivare i rilevatori:
Editor delle impostazioni di Centro sicurezza (
roles/securitycenter.settingsEditor
) -
Visualizza e filtra i risultati:
Security Center Findings Viewer (
roles/securitycenter.findingsViewer
) -
Gestisci le regole di disattivazione:
Security Center Mute Configurations Editor (
roles/securitycenter.muteConfigsEditor
) -
Gestire i contrassegni di sicurezza:
Security Center Finding Security Marks Writer (
roles/securitycenter.findingSecurityMarksWriter
) -
Gestire i risultati in modo programmatico:
Editor risultati Centro sicurezza (
roles/securitycenter.findingsEditor
) -
Concedi l'accesso in entrata a un perimetro di servizio Controlli di servizio VPC:
Access Context Manager Editor (
roles/accesscontextmanager.policyEditor
) -
Completa qualsiasi attività in questa pagina:
Amministratore delle impostazioni del Centro sicurezza (
roles/securitycenter.settingsAdmin
)
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Attivare e disattivare i rilevatori
La disattivazione dei rilevatori può influire sullo stato dei risultati attivi. Quando un rilevatore viene disabilitato, i risultati esistenti vengono contrassegnati automaticamente come inattivi.
Quando attivi Security Command Center a livello di organizzazione, puoi disattivare Security Health Analytics o rilevatori specifici per cartelle o progetti specifici. Se Security Health Analytics o i rilevatori sono disattivati per le cartelle e i progetti, tutti i risultati esistenti associati agli asset in queste risorse vengono contrassegnati come inattivi.
I seguenti rilevatori di Security Health Analytics per Google Cloud sono disabilitati per impostazione predefinita:
ALLOYDB_AUTO_BACKUP_DISABLED
ALLOYDB_CMEK_DISABLED
BIGQUERY_TABLE_CMEK_DISABLED
BUCKET_CMEK_DISABLED
CLOUD_ASSET_API_DISABLED
DATAPROC_CMEK_DISABLED
DATASET_CMEK_DISABLED
DISK_CMEK_DISABLED
DISK_CSEK_DISABLED
NODEPOOL_BOOT_CMEK_DISABLED
PUBSUB_CMEK_DISABLED
SQL_CMEK_DISABLED
SQL_NO_ROOT_PASSWORD
SQL_WEAK_ROOT_PASSWORD
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED
Per attivare o disattivare un modulo di rilevamento di Security Health Analytics:
Console
Puoi attivare o disattivare i rilevatori nella scheda Moduli della pagina Security Health Analytics in Impostazioni di Security Command Center nella console Google Cloud. I rilevatori possono essere attivati o disattivati a livello di organizzazione o di progetto.
gcloud
Per attivare un rilevatore, noto anche come modulo, esegui il comando
gcloud alpha scc settings services modules enable
.
Se hai attivato Security Command Center a livello di organizzazione, esegui il seguente comando:
gcloud alpha scc settings services modules enable \
--organization=ORGANIZATION_ID \
--service=SECURITY_HEALTH_ANALYTICS \
--module=DETECTOR_NAME
Sostituisci quanto segue:
ORGANIZATION_ID
: l'ID della tua organizzazioneDETECTOR_NAME
: il nome del rilevatore da attivare
Se hai attivato Security Command Center a livello di progetto, esegui il seguente comando:
gcloud alpha scc settings services modules enable \
--project=PROJECT_ID \
--service=SECURITY_HEALTH_ANALYTICS \
--module=DETECTOR_NAME
Sostituisci quanto segue:
PROJECT_ID
: il tuo ID progettoDETECTOR_NAME
: il nome del rilevatore da attivare
Per disattivare un rilevatore, esegui il comando
gcloud alpha scc settings services modules disable
.
Se hai attivato Security Command Center a livello di organizzazione, esegui il seguente comando:
gcloud alpha scc settings services modules disable \
--organization=ORGANIZATION_ID \
--service=SECURITY_HEALTH_ANALYTICS \
--module=DETECTOR_NAME
Sostituisci quanto segue:
ORGANIZATION_ID
: l'ID della tua organizzazioneDETECTOR_NAME
: il nome del rilevatore da disattivare
Se hai attivato Security Command Center a livello di progetto, esegui il seguente comando:
gcloud alpha scc settings services modules disable \
--project=PROJECT_ID \
--service=SECURITY_HEALTH_ANALYTICS \
--module=DETECTOR_NAME
Sostituisci quanto segue:
PROJECT_ID
: il tuo ID progettoDETECTOR_NAME
: il nome del rilevatore da disattivare
Filtrare i risultati nella console Google Cloud
Un'organizzazione di grandi dimensioni potrebbe avere molti risultati relativi a vulnerabilità nel proprio deployment da esaminare, classificare e monitorare. Utilizzando i filtri disponibili nelle pagine Vulnerabilità e Risultati di Security Command Center nella console Google Cloud, puoi concentrarti sulle vulnerabilità con gravità più elevata nella tua organizzazione ed esaminarle in base al tipo di asset, al progetto e altro ancora.
Per ulteriori informazioni sul filtro dei risultati delle vulnerabilità, consulta Filtrare i risultati delle vulnerabilità in Security Command Center.
Gestire i risultati con le richieste
Security Command Center apre automaticamente una richiesta nella console Security Operations per i risultati relativi a vulnerabilità e configurazioni errate con un livello di gravità di HIGH
o CRITICAL
. Una singola richiesta può contenere più risultati correlati.
Utilizza la richiesta, che può essere integrata con il tuo sistema di gestione dei ticket preferito, per gestire l'indagine e la correzione dei risultati assegnando i proprietari, esaminando le informazioni correlate e, con i playbook, automatizzando il flusso di lavoro di risposta.
Se un rilevamento ha una richiesta corrispondente, puoi trovare un link alla richiesta nella pagina dei dettagli del rilevamento. Apri la pagina dei dettagli di un rilevamento dalla pagina Rilevamenti nella console Google Cloud. Puoi anche visualizzare il numero totale di richieste relative a vulnerabilità aperte nella pagina Panoramica dei rischi della console Google Cloud.
Per saperne di più sulle richieste, consulta la panoramica delle richieste.
Disattiva risultati
Per controllare il volume dei risultati nella console Google Cloud, puoi disattivare manualmente o tramite programmazione i singoli risultati oppure creare regole di disattivazione che disattivano automaticamente i risultati in base ai filtri che definisci. Esistono due tipi di regole di disattivazione audio che puoi utilizzare per controllare il volume delle ricerche:
- Regole di disattivazione statiche che disattivano indefinitamente i risultati futuri.
- Regole di disattivazione dinamiche che contengono un'opzione per disattivare temporaneamente i risultati attuali e futuri.
Ti consigliamo di utilizzare le regole di disattivazione audio dinamiche esclusivamente per ridurre il numero di risultati da esaminare manualmente. Per evitare confusione, non è consigliabile utilizzare contemporaneamente le regole di disattivazione audio statiche e dinamiche. Per un confronto tra i due tipi di regole, vedi Tipi di regole di disattivazione.
I risultati che disattivi nella console Google Cloud vengono nascosti e ignorati, ma continuano a essere registrati a fini di audit e conformità. Puoi visualizzare i risultati silenziati o riattivarli in qualsiasi momento. Per approfondire, consulta Disattivare i risultati in Security Command Center.
Contrassegnare asset e risultati con contrassegni di sicurezza
Puoi aggiungere proprietà personalizzate a risultati e asset in Security Command Center utilizzando i contrassegni di sicurezza. I segni di sicurezza ti consentono di identificare aree di interesse di alta priorità come i progetti di produzione, taggare i risultati con numeri di monitoraggio di bug e incidenti e altro ancora.
Per le risorse, puoi aggiungere indicatori di sicurezza solo a quelle supportate da Security Command Center. Per l'elenco degli asset supportati, consulta Tipi di asset supportati in Security Command Center.
Aggiungere asset alle liste consentite
Anche se non è un metodo consigliato, puoi eliminare i risultati non necessari aggiungendo agli asset indicatori di sicurezza dedicati in modo che i rilevatori di Security Health Analytics non creino risultati di sicurezza per questi asset.
L'approccio consigliato e più efficace per controllare il volume dei risultati è Disattivare l'audio dei risultati. Disattiva i risultati che non devi esaminare perché si riferiscono ad asset isolati o perché rientrano nei parametri aziendali accettabili.
Quando applichi indicatori di sicurezza dedicati agli asset, questi vengono aggiunti a una lista consentita in Security Health Analytics, che contrassegna eventuali risultati relativi a questi asset come risolti durante la scansione batch successiva.
I segni di sicurezza dedicati devono essere applicati direttamente alle risorse, non ai risultati, come descritto in Come funzionano le liste consentite più avanti in questa pagina. Se applichi un indicatore a un rilevamento, l'asset sottostante può comunque generare rilevamenti.
Come funzionano le liste consentite
Ogni rilevatore di Security Health Analytics ha un tipo di indicatore dedicato per le liste consentite, sotto forma di allow_FINDING_TYPE:true
. L'aggiunta di questo marchio dedicato a una risorsa supportata da Security Command Center consente di escluderla dal criterio di rilevamento.
Ad esempio, per escludere il tipo di rilevamento SSL_NOT_ENFORCED
, imposta il contrassegno di sicurezza allow_ssl_not_enforced:true
sull'istanza Cloud SQL correlata.
Il rilevatore specificato non creerà risultati per le risorse contrassegnate.
Per un elenco completo dei tipi di risultati, consulta l'elenco dei rilevatori di Security Health Analytics. Per scoprire di più sui segni di sicurezza e sulle tecniche per utilizzarli, consulta Utilizzare i segni di sicurezza.
Tipi di asset
Questa sezione descrive il funzionamento dei segni di sicurezza per asset diversi.
Asset nella lista consentita:quando aggiungi un indicatore dedicato a una risorsa, ad esempio un bucket Cloud Storage o una firewall, il rilevamento associato viene contrassegnato come risolto al termine della scansione batch successiva. Il rilevatore non genererà nuovi risultati o aggiornerà quelli esistenti per la risorsa finché il segno non viene rimosso.
Progetti nella lista consentita: quando aggiungi un segno a una risorsa di progetto, i risultati per i quali il progetto stesso è la risorsa sottoposta a scansione o di destinazione vengono risolti. Tuttavia, gli asset contenuti nel progetto, come le macchine virtuali o le chiavi di crittografia, possono comunque generare risultati. Questo contrassegno di sicurezza è disponibile solo se attivi il livello Security Command Center Premium a livello di organizzazione.
Cartelle nella lista consentita: quando aggiungi un segno a una risorsa cartella, i risultati per i quali la cartella stessa è la risorsa sottoposta a scansione o di destinazione vengono risolti. Tuttavia, gli asset contenuti nella cartella, inclusi i progetti, possono comunque generare risultati. Questo contrassegno di sicurezza è disponibile solo se attivi il livello Security Command Center Premium a livello di organizzazione.
Rilevatori che supportano più asset: se un rilevatore supporta più di un tipo di asset, devi applicare il marchio dedicato a ogni asset. Ad esempio, il rilevatore
KMS_PUBLIC_KEY
supporta le risorseCryptoKey
eKeyRing
di Cloud Key Management Service. Se applichi il segnoallow_kms_public_key:true
alla risorsaCryptoKey
, i risultatiKMS_PUBLIC_KEY
relativi alla risorsa vengono risolti. Tuttavia, è comunque possibile generare risultati per la risorsaKeyRing
.
I contrassegni di sicurezza vengono aggiornati solo durante le scansioni collettive, non in tempo reale. Se viene rimosso un contrassegno di sicurezza dedicato e la risorsa presenta una vulnerabilità, potrebbero essere necessarie fino a 24 ore prima che il contrassegno venga eliminato e venga redatto un rilevamento.
Rilevamento di casi speciali: chiavi di crittografia fornite dal cliente
Il rilevatore
DISK_CSEK_DISABLED
non è attivo per impostazione predefinita. Per utilizzare questo rilevatore, devi contrassegnare gli asset per i quali vuoi utilizzare le chiavi di crittografia autogestite.
Per attivare il rilevatore DISK_CSEK_DISABLED
per risorse specifiche,
applica il segno di sicurezza
enforce_customer_supplied_disk_encryption_keys
alla risorsa con un valore di
true
.
Visualizzazione del numero di risultati attivi per tipo di risultato
Puoi utilizzare la console Google Cloud o i comandi Google Cloud CLI per visualizzare i conteggi dei risultati attivi in base al tipo di risultato.
Console
La console Google Cloud ti consente di visualizzare un conteggio dei risultati attivi per ogni tipo di risultato.
Per visualizzare i risultati di Security Health Analytics per tipo di risultato:
Vai a Security Command Center nella console Google Cloud.
Per visualizzare i risultati di Security Health Analytics, fai clic sulla pagina Vulnerabilità.
Per ordinare i risultati in base al numero di risultati attivi per ciascun tipo di risultato, fai clic sull'intestazione della colonna Attivo.
gcloud
Per utilizzare la gcloud CLI per ottenere un conteggio di tutti i risultati attivi, esegui una query su Security Command Center per ottenere l'ID origine Security Health Analytics. Poi utilizza l'ID origine per eseguire una query sul conteggio dei risultati attivi.
Passaggio 1: ottieni l'ID origine
Per ottenere l'ID origine, esegui uno dei seguenti comandi:
Se hai attivato Security Command Center a livello di organizzazione, esegui il seguente comando:
gcloud scc sources describe organizations/ORGANIZATION_ID \ --source-display-name="Security Health Analytics"
Se hai attivato Security Command Center a livello di progetto, esegui il seguente comando:
gcloud scc sources describe projects/PROJECT_ID \ --source-display-name="Security Health Analytics"
Se non l'hai ancora fatto, ti viene chiesto di abilitare l'API Security Command Center. Quando l'API Security Command Center è abilitata, esegui di nuovo il comando precedente. Il comando dovrebbe visualizzare un output simile al seguente:
description: Scans for deviations from a GCP security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID
Prendi nota del valore SOURCE_ID
da utilizzare nel passaggio successivo.
Passaggio 2: ottieni il conteggio dei risultati attivi
Utilizza il valore SOURCE_ID
annotato nel passaggio precedente per filtrare i risultati di Security Health Analytics. I seguenti comandi gcloud CLI
retituisono un conteggio dei risultati per categoria.
Se hai attivato Security Command Center a livello di organizzazione, esegui il seguente comando:
gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \ --group-by=category --page-size=PAGE_SIZE
Se hai attivato Security Command Center a livello di progetto, esegui il seguente comando:
gcloud scc findings group projects/PROJECT_ID/sources/SOURCE_ID \ --group-by=category --page-size=PAGE_SIZE
Puoi impostare le dimensioni della pagina su qualsiasi valore fino a 1000. Il comando dovrebbe visualizzare un output simile al seguente, con i risultati della tua organizzazione:
groupByResults:
- count: '1'
properties:
category: MFA_NOT_ENFORCED
- count: '3'
properties:
category: ADMIN_SERVICE_ACCOUNT
- count: '2'
properties:
category: API_KEY_APIS_UNRESTRICTED
- count: '1'
properties:
category: API_KEY_APPS_UNRESTRICTED
- count: '2'
properties:
category: API_KEY_EXISTS
- count: '10'
properties:
category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
properties:
category: AUDIT_LOGGING_DISABLED
- count: '1'
properties:
category: AUTO_UPGRADE_DISABLED
- count: '10'
properties:
category: BUCKET_IAM_NOT_MONITORED
- count: '10'
properties:
category: BUCKET_LOGGING_DISABLED
nextPageToken: TOKEN
readTime: '2023-08-05T21:56:13.862Z'
totalSize: 50
Gestire i risultati in modo programmatico
L'utilizzo dell'Google Cloud CLI con l'SDK Security Command Center ti consente di eseguire automaticamente quasi tutto ciò che puoi fare con Security Command Center nella console Google Cloud. Puoi anche rimediare a molti risultati utilizzando gcloud CLI. Per ulteriori informazioni, consulta la documentazione relativa ai tipi di risorse descritti in ogni risultato:
- Elenco dei risultati di sicurezza
- Creare, modificare e eseguire query sui segni di sicurezza
- Creare e aggiornare i risultati sulla sicurezza
- Creare, aggiornare e elencare le origini dei risultati
- Configurare le impostazioni dell'organizzazione
Per esportare o elencare le risorse in modo programmatico, utilizza l'API Cloud Asset Inventory. Per ulteriori informazioni, consulta Esportare la cronologia e i metadati delle risorse.
I metodi e i campi degli asset dell'API Security Command Center sono deprecati e verranno rimossi a partire dal 26 giugno 2024.
Fino alla rimozione, gli utenti che hanno attivato Security Command Center prima del 26 giugno 2023 possono utilizzare i metodi asset dell'API Security Command Center per elencare gli asset, ma questi metodi supportano solo gli asset supportati da Security Command Center.
Per informazioni sull'utilizzo dei metodi dell'API asset non più supportati, consulta Asset elenco.
Scansione dei progetti protetti da un perimetro di servizio
Questa funzionalità è disponibile solo se attivi il livello Security Command Center Premium a livello di organizzazione.
Se hai un perimetro di servizio che blocca l'accesso a determinati progetti e servizi, devi concedere all'account di servizio Security Command Center l'accesso in entrata a quel perimetro di servizio. In caso contrario, Security Health Analytics non può produrre risultati relativi ai progetti e ai servizi protetti.
L'identificatore dell'account di servizio è un indirizzo email con il seguente formato:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Sostituisci ORGANIZATION_ID
con l'identificatore numerico della tua organizzazione.
Per concedere a un account di servizio l'accesso in entrata a un perimetro di servizio, segui questi passaggi.
Vai a Controlli di servizio VPC.
Nella barra degli strumenti, seleziona la tua organizzazione Google Cloud.
Nell'elenco a discesa, seleziona il criterio di accesso che contiene il perimetro del servizio a cui vuoi concedere l'accesso.
I perimetri di servizio associati al criterio di accesso vengono visualizzati nell'elenco.
Fai clic sul nome del perimetro di servizio.
Fai clic su
Modifica perimetro.Nel menu di navigazione, fai clic su Criterio in entrata.
Fai clic su Aggiungi regola.
Configura la regola nel seguente modo:
Attributi FROM del client API
- In Origine, seleziona Tutte le origini.
- Per Identità, seleziona Identità selezionate.
- Nel campo Aggiungi utente/account di servizio, fai clic su Seleziona.
- Inserisci l'indirizzo email dell'account di servizio. Se hai account di servizio sia a livello di organizzazione sia a livello di progetto, aggiungili entrambi.
- Fai clic su Salva.
Attributi TO di servizi/risorse Google Cloud
-
In Progetto, seleziona Tutti i progetti.
In Servizi, seleziona Tutti i servizi o seleziona ciascuno dei seguenti singoli servizi richiesti da Security Health Analytics:
- API BigQuery
- API Binary Authorization
- API Cloud Logging
- API Cloud Monitoring
- API Compute Engine
- API Kubernetes Engine
Se un perimetro di servizio limita l'accesso a un servizio richiesto, Security Health Analytics non può produrre risultati per quel servizio.
Nel menu di navigazione, fai clic su Salva.
Per ulteriori informazioni, consulta la pagina Configurare i criteri di ingresso e di uscita.
Passaggi successivi
- Scopri di più su rivelatori e risultati di Security Health Analytics.
- Leggi i consigli per la correzione dei risultati di Security Health Analytics.
- Scopri come utilizzare i segni di sicurezza di Security Command Center.
- Scopri di più sulle richieste.
- Scopri di più su come utilizzare Security Command Center nella console Google Cloud per esaminare gli asset e i risultati.