Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

תיקון הממצאים

במאמר הזה מוסבר איך לטפל בממצאים בדוחות.

הדוח משלב ממצאים מצטברים מ-Security Command Center ונתוני מלאי מ-מאגר משאבי ענן כדי לספק תצוגה מצטברת של הסיכון בארגון. הדוחות האלה תואמים למדד ההשוואה של CIS Google Cloud Computing Foundations v1.2.0. מידע נוסף על המסגרת הזו זמין במאמר בנושא CIS Benchmarks.

מומלץ להתחיל בתיקון הממצאים שההשפעה שלהם הכי גבוהה, כפי שמצוין בדוח של Cyber Insurance Hub.

לפני שמתחילים

איך יוצרים דוח

תיקון ממצאים של CIS Benchmark

השילוב של Cyber Insurance Hub עם Security Command Center במהדורות Premium ו-Enterprise מאפשר לפשט את תהליך התיקון של ממצאי CIS Benchmark. אם אתם לקוחות של Security Command Center במסלול Standard, אתם לא יכולים להשתמש ב-Security Command Center כדי לבדוק ולתקן את כל הממצאים של CIS Benchmark במשאבי Google Cloud שלכם. כדי לקבל תמיכה מלאה, צריך לשדרג למסלול Premium או למסלול Enterprise. במאמר סקירה כללית על הפעלה יש מידע מפורט יותר על הפעלת כל מהדורה של Security Command Center.

Remediating CIS Benchmark findings with Security Command Center Premium or Enterprise tier

כדי לבדוק ממצאים ספציפיים ולתקן אותם באמצעות Security Command Center, פועלים לפי השלבים הבאים:

בדוח, בטבלה של נושאי השוואה לשוק של CIS, מרחיבים נושא של השוואה לשוק של CIS כדי לראות את ההשוואות לשוק של CIS עבור אותו נושא.
בשורה בטבלת CIS Benchmark, לוחצים על מספר הממצאים.

הקישור הזה מוביל אל Security Command Center כדי להציג את הממצאים הפעילים שקשורים ל-CIS Benchmark.
ב-Security Command Center, בטבלת הממצאים, לוחצים על הקטגוריה של הממצא שרוצים לטפל בו.

ייפתח חלונית עם מידע על אופן הטיפול בממצא.

Remediating CIS Benchmarks with Security Command Center Standard tier

בדוחות של Cyber Insurance Hub מוצגת טבלה של נושאי CIS Benchmark שזוהו בארגון, אבל ב-Security Command Center ברמה Standard אי אפשר לעבור ישירות לממצאים הקשורים ב-Security Command Center.

כדי לראות הוראות לתיקון בעיות כלליות ב-CIS Benchmarks, פועלים לפי השלבים הבאים:

בדוח, בטבלה של נושאי השוואה לשוק של CIS, מרחיבים נושא של השוואה לשוק של CIS כדי לראות את ההשוואות לשוק של CIS עבור אותו נושא.
בשורה בטבלת CIS Benchmark, לוחצים על התיאור של CIS Benchmark.

הקישור הזה מוביל להוראות הכלליות לתיקון הבעיות שמופיעות ב-CIS Benchmark.

אפשר גם להשתמש בהוראות הבאות כדי לטפל בממצאים של CIS Benchmarks שנתמכים על ידי Cyber Insurance Hub:

ניהול זהויות והרשאות גישה
‫1.1 חשוב לוודא שמשתמשים בפרטי כניסה ארגוניים
‫1.2 מוודאים שהאימות הרב-שלבי מופעל בכל החשבונות שאינם חשבונות שירות
‫1.4 מוודאים שיש רק מפתחות של חשבונות שירות שמנוהלים על ידי GCP לכל חשבון שירות
‫1.5 מוודאים שלחשבון השירות אין הרשאות אדמין
‫1.6 מוודאים שלמשתמשי IAM לא מוקצים התפקידים 'משתמש בחשבון שירות' או 'יצירת אסימונים בחשבון שירות' ברמת הפרויקט
‫1.7 מוודאים שמפתחות חיצוניים או מפתחות שחשבונות השירות מנהלים מוחלפים כל 90 יום או פחות
‫1.8 מוודאים שהפרדת תפקידים נאכפת כשמקצים תפקידים שקשורים לחשבונות שירות למשתמשים
‫1.9 מוודאים שאין גישה אנונימית או ציבורית למפתחות קריפטוגרפיים של Cloud KMS
‫1.10 לוודא שמפתחות ההצפנה של KMS עוברים רוטציה בתוך תקופה של 90 יום
‫1.11 מוודאים שהפרדת תפקידים נאכפת כשמקצים למשתמשים תפקידים שקשורים ל-KMS
‫1.12 מוודאים שלא נוצרים מפתחות API לפרויקט
‫1.13 מוודאים שמפתחות API מוגבלים לשימוש רק על ידי מארחים ואפליקציות ספציפיים
‫1.14 מוודאים שמפתחות ה-API מוגבלים רק לממשקי API שהאפליקציה צריכה לגשת אליהם
‫1.15 מוודאים שמפתחות ה-API עוברים רוטציה כל 90 יום
רישום ביומן ומעקב
‫2.1 מוודאים ש-Cloud Audit Logging מוגדר בצורה נכונה בכל השירותים ובכל המשתמשים מפרויקט
‫2.2 מוודאים שאובייקטים מסוג sink מוגדרים לכל רשומות היומן
‫2.3 מוודאים שמדיניות שמירת הנתונים בקטגוריות של יומנים מוגדרת באמצעות נעילת קטגוריה
‫2.4 מוודאים שקיימים מסנן של מדדי יומן והתראות להקצאות או לשינויים של בעלות על פרויקט
‫2.5 מוודאים שהמסנן של מדד היומן וההתראות קיימים לשינויים בהגדרת הביקורת
‫2.6 מוודאים שהמסנן וההתראות של מדדי היומן קיימים לשינויים בתפקיד בהתאמה אישית
‫2.7 מוודאים שהמסנן וההתראות של מדדי היומן קיימים לשינויים בכללי חומת האש של רשת VPC
‫2.8 מוודאים שהמסנן של מדדי היומן וההתראות קיימים לשינויים במסלול של רשת VPC
‫2.9 מוודאים שהמסנן וההתראות של מדדי היומן קיימים לשינויים ברשת VPC
‫2.10 מוודאים שקיימים מסנן מדדי יומן והתראות לשינויים בהרשאות IAM ב-Cloud Storage
‫2.11 מוודאים שהמסנן של מדדי היומן וההתראות קיימים לשינויים בהגדרות של מופע SQL
‫2.12 מוודאים שהרישום ביומן של Cloud DNS מופעל בכל רשתות ה-VPC
Networking
‫3.1 מוודאים שרשת ברירת המחדל לא קיימת בפרויקט
‫3.2 מוודאים שרשת מדור קודם לא קיימת בפרויקט
‫3.3 מוודאים ש-DNSSEC מופעל ב-Cloud DNS
‫3.4 מוודאים ש-RSASHA1 לא משמש כמפתח לחתימת מפתח ב-DNSSEC של Cloud DNS
‫3.5 מוודאים שלא נעשה שימוש ב-RSASHA1 עבור מפתח החתימה של האזור ב-DNSSEC של Cloud DNS
‫3.6 מוודאים שגישת SSH מוגבלת מהאינטרנט
‫3.7 מוודאים שהגישה ל-RDP מוגבלת מהאינטרנט
‫3.8 מוודאים ש-VPC Flow Logs מופעל לכל תת-רשת ברשת VPC
‫3.9 מוודאים שאף איזון עומסים בשרת proxy של HTTPS או SSL לא מאפשר מדיניות SSL עם חבילות הצפנה חלשות
מכונות וירטואליות
‫4.1 מוודאים שהמופעים לא מוגדרים לשימוש בחשבון השירות שמוגדר כברירת מחדל
‫4.2 מוודאים שהמופעים לא מוגדרים לשימוש בחשבון השירות שמוגדר כברירת מחדל עם גישה מלאה לכל ממשקי Cloud API
‫4.3 מוודאים שהאפשרות 'חסימת מפתחות SSH ברמת הפרויקט' מופעלת למכונות וירטואליות
‫4.4 מוודאים ש-oslogin מופעל בפרויקט
‫4.5 מוודאים שהאפשרות 'הפעלת חיבור ליציאות טוריות' לא מופעלת במכונת ה-VM
‫4.6 מוודאים שהעברת כתובות IP לא מופעלת במופעים
‫4.7 מוודאים שהדיסקים של מכונות וירטואליות קריטיות מוצפנים באמצעות מפתחות הצפנה באספקת הלקוח (CSEK)
‫4.8 מוודאים שמכונות Compute מופעלות עם מכונה וירטואלית מוגנת
‫4.9 מוודאים שלמכונות Compute אין כתובות IP ציבוריות
‫4.11 מוודאים שהתכונה Confidential Computing מופעלת במכונות של Compute
אחסון
‫5.1 מוודאים שאין גישה אנונימית או ציבורית לקטגוריה של Cloud Storage
‫5.2 מוודאים שהופעלה גישה אחידה ברמת הקטגוריה בקטגוריות של Cloud Storage
שירותי מסד נתונים של Cloud SQL
‫6.1.1 מוודאים שאף אחד לא יכול להתחבר למופע של מסד נתונים מסוג MySQL עם הרשאות אדמין
‫6.1.2 מוודאים שהאפשרות skip_show_database (דילוג על הצגת מסד הנתונים) מסומנת כ'מופעל' בדגל מסד הנתונים של מכונת Cloud SQL MySQL
‫6.1.3 מוודאים שהערך של הדגל local_infile במסד הנתונים של מופע Cloud SQL MySQL מוגדר כ-off
‫6.2.1 מוודאים שהדגל log_checkpoints של מסד הנתונים במופע Cloud SQL PostgreSQL מוגדר כ-on
‫6.2.2 מוודאים שהערך של הדגל log_error_verbosity במסד הנתונים של מופע Cloud SQL PostgreSQL מוגדר ל-DEFAULT או לערך מחמיר יותר
‫6.2.3 מוודאים שההגדרה של האפשרות log_connections במסד הנתונים של מופע Cloud SQL PostgreSQL היא on
‫6.2.4 מוודאים שהאפשרות log_disconnections במסד הנתונים של מופע Cloud SQL PostgreSQL מוגדרת כ-on
‫6.2.5 מוודאים שהדגל log_duration של מסד הנתונים של מופע Cloud SQL PostgreSQL מוגדר ל-on
‫6.2.6 מוודאים שהאפשרות log_lock_waits במסד הנתונים של מופע Cloud SQL PostgreSQL מוגדרת כ-on
‫6.2.7 מוודאים שההגדרה של הדגל log_statement במסד הנתונים של מופע Cloud SQL PostgreSQL מוגדרת בצורה מתאימה
‫6.2.8 מוודאים שהדגל log_hostname של מסד הנתונים עבור מופע Cloud SQL PostgreSQL מוגדר בצורה מתאימה
‫6.2.9 מוודאים שהדגל log_parser_stats של מסד הנתונים במופע Cloud SQL PostgreSQL מוגדר כ-off
‫6.2.10 מוודאים שהאפשרות 'log_planner_stats' במסד הנתונים של מופע Cloud SQL PostgreSQL מוגדרת כ-'off'
‫6.2.11 מוודאים שהסימון log_executor_stats במסד הנתונים של מופע Cloud SQL PostgreSQL מוגדר כ-off
‫6.2.12 מוודאים שההגדרה של הדגל log_statement_stats במסד הנתונים של מופע Cloud SQL PostgreSQL היא off
‫6.2.13 מוודאים שהדגל log_min_messages של מסד הנתונים עבור מופע Cloud SQL PostgreSQL מוגדר בצורה מתאימה
‫6.2.14 מוודאים שהערך של הדגל log_min_error_statement במסד הנתונים של מופע Cloud SQL PostgreSQL מוגדר כ-Error או כערך מחמיר יותר
‫6.2.15 מוודאים שהערך של הדגל log_temp_files במסד הנתונים של מופע Cloud SQL PostgreSQL מוגדר ל-0
‫6.2.16 מוודאים שהערך של הדגל log_min_duration_statement במסד הנתונים של מופע Cloud SQL PostgreSQL מוגדר ל-‎-1
‫6.3.1 מוודאים שדגל מסד הנתונים external scripts enabled (הפעלת סקריפטים חיצוניים) עבור מופע Cloud SQL SQL Server מוגדר ל-off (מושבת)
‫6.3.2 מוודאים שההגדרה של הדגל cross db ownership chaining (שרשור בעלות בין מסדי נתונים) במופע Cloud SQL SQL Server מוגדרת כ-off (מושבתת)
‫6.3.3 מוודאים שהדגל 'חיבורי משתמשים' במסד הנתונים של מכונת Cloud SQL SQL Server מוגדר בצורה מתאימה
‫6.3.4 מוודאים שאפשרות מסד הנתונים user options עבור מופע Cloud SQL SQL Server לא מוגדרת
‫6.3.5 מוודאים שהסימון של מסד הנתונים 'גישה מרחוק' עבור מופע Cloud SQL SQL Server מוגדר כ'מושבת'
‫6.3.6 מוודאים שדגל מסד הנתונים '3625 (דגל מעקב)' עבור מופע Cloud SQL SQL Server מוגדר כ'מושבת'
‫6.3.7 מוודאים שהסימון של מסד הנתונים 'אימות מסד נתונים מוכל' ב-Cloud SQL במופע SQL Server מוגדר כ'מושבת'
‫6.4 מוודאים שכל החיבורים הנכנסים למופע של מסד הנתונים Cloud SQL מחייבים שימוש ב-SSL
‫6.5 מוודאים שמופעים של מסדי נתונים ב-Cloud SQL לא פתוחים לכל העולם
‫6.6 מוודאים שלמכונות מסד הנתונים של Cloud SQL אין כתובות IP ציבוריות
‫6.7 מוודאים שמכונות מסד נתונים ב-Cloud SQL מוגדרות עם גיבויים אוטומטיים
BigQuery
‫7.1 מוודאים שאין גישה אנונימית או ציבורית למערכי נתונים ב-BigQuery
‫7.2 מוודאים שכל הטבלאות ב-BigQuery מוצפנות באמצעות מפתח הצפנה בניהול הלקוח (CMEK)
‫7.3 מוודאים שמצוין מפתח הצפנה בניהול הלקוח (CMEK) שמוגדר כברירת מחדל לכל מערכי הנתונים ב-BigQuery