En esta página, se proporciona una descripción general del proceso de activación que se lleva a cabo cuando habilitas Security Command Center. El objetivo es responder preguntas habituales como las que se indican a continuación:
- ¿Qué sucede cuando se habilita Security Command Center?
- ¿Por qué se produce una demora antes de que inicien los primeros análisis?
- ¿Cuál es el entorno de ejecución previsto para el primer análisis y los análisis continuos?
- ¿Cómo afectará el cambio de los recursos y de la configuración al rendimiento?
Descripción general
Cuando habilitas Security Command Center por primera vez, se debe completar un proceso de activación antes de que este pueda empezar a analizar tus recursos. Luego, los análisis deben completarse antes de que veas un conjunto completo de hallazgos sobre el entorno deGoogle Cloud .
El tiempo que tardan en completarse el proceso de activación y los análisis depende de una serie de factores, como la cantidad de recursos presentes en tu entorno, y si Security Command Center está activado a nivel de la organización o del proyecto.
Con las activaciones a nivel de la organización, Security Command Center debe repetir ciertos pasos del proceso de activación para cada proyecto de la organización. Según la cantidad de proyectos que haya en una organización, el tiempo necesario para el proceso de activación puede variar de minutos a horas. En el caso de organizaciones con más de 100,000 proyectos, muchos recursos en cada uno y otros factores que complican el proceso, la habilitación y los análisis iniciales pueden tardar hasta 24 horas en completarse.
Con las activaciones de Security Command Center a nivel del proyecto, el proceso de activación es mucho más rápido, ya que se limita al único proyecto en el que se activa Security Command Center.
En las secciones siguientes, se analizan los factores que pueden generar latencia en los análisis iniciales, el procesamiento de cambios en la configuración y el entorno de ejecución de los análisis.
Latencia en la incorporación
Antes de que se inicien los análisis, Security Command Center descubre e indexa los recursos.
Los servicios indexados incluyen App Engine, BigQuery, Cloud SQL, Cloud Storage, Compute Engine, Identity and Access Management y Google Kubernetes Engine.
En el caso de las activaciones de Security Command Center a nivel del proyecto, el descubrimiento y la indexación se limitan al único proyecto en el que se activa Security Command Center.
En cuanto a las activaciones a nivel de la organización, Security Command Center descubre e indexa los recursos de toda tu organización.
Durante este proceso de incorporación, se llevan a cabo dos pasos fundamentales.
Análisis de recursos
Security Command Center realiza un análisis inicial de recursos para identificar la cantidad total y ubicación, además del estado de los proyectos, las carpetas, los archivos, los clústeres, las identidades, las políticas de acceso, los usuarios inscritos y otros recursos. Este proceso suele completarse en cuestión de minutos.
Activación de las APIs
A medida que se descubren los recursos, Security Command Center habilita las partes de Google Cloud necesarias para que Security Health Analytics, Event Threat Detection, Container Threat Detection y Web Security Scanner funcionen. Algunos servicios de detección requieren que se habiliten APIs específicas en proyectos protegidos para funcionar.
Cuando Security Command Center se activa a nivel del proyecto, la activación de la API suele tardar menos de un minuto.
Con las activaciones a nivel de la organización, Security Command Center itera a través de todos los proyectos que elijas para el análisis con el objetivo de habilitar las APIs necesarias.
La cantidad de proyectos que haya en una organización determina en gran medida cuánto duran los procesos de incorporación y habilitación. Debido a que las APIs deben activarse en los proyectos una por una, esta suele ser la tarea que conlleva más tiempo, sobre todo en el caso de organizaciones que tienen más de 100,000 proyectos.
El tiempo necesario para habilitar los servicios entre proyectos aumenta de manera lineal. Esto significa que, en general, habilitar la configuración de los servicios y la seguridad de una organización tarda el doble en una organización que tiene 30,000 proyectos que en una que tiene 15,000 proyectos.
En el caso de una organización que tiene 100,000 proyectos, la incorporación y la habilitación del nivel Premium deberían completarse en menos de cinco horas. El tiempo puede variar en función de muchos factores, como la cantidad de proyectos o contenedores que uses y la cantidad de servicios de Security Command Center que elijas habilitar.
Latencia del análisis
Cuando configuras Security Command Center, debes decidir qué servicios integrados quieres habilitar y elegir los recursos de Google Cloud que necesitas analizar en busca de amenazas y vulnerabilidades. A medida que se activan las APIs para los proyectos, los servicios seleccionados inician sus análisis. La duración de estos análisis también depende de la cantidad de proyectos que tenga la organización.
Los hallazgos provenientes de los servicios integrados se ponen a disposición a medida que se completan los análisis iniciales. Los servicios experimentan latencia tal y como se describe en las secciones siguientes.
- Agent Engine Threat Detection (versión preliminar) tiene las latencias siguientes:
- Latencia de activación de hasta 3.5 horas para organizaciones o proyectos recién incorporados
- Latencia de detección de minutos
- La detección de amenazas de Cloud Run tiene las siguientes latencias:
- Latencia de activación de hasta 3.5 horas para organizaciones o proyectos recién incorporados
- Latencia de detección de minutos
- Container Threat Detection tiene las latencias siguientes:
- Latencia de activación de hasta 3.5 horas para organizaciones o proyectos recién incorporados
- Latencia de activación de minutos para clústeres recién creados
- Latencia de detección de minutos para las amenazas en los clústeres que se activaron
Event Threat Detection se activa en cuestión de segundos para los detectores integrados. En el caso de detectores personalizados nuevos o actualizados, los cambios pueden tardar hasta 15 minutos en surtir efecto. En la práctica, suelen tardar menos de 5 minutos.
En cuanto a los detectores integrados y personalizados, las latencias de detección suelen ser inferiores a 15 minutos desde el momento en que se escribe un registro hasta que un hallazgo se pone a disposición en Security Command Center.
En los niveles Premium y Enterprise de Security Command Center, los datos sobre problemas pueden tardar alrededor de 6 horas en aparecer.
Los datos del gráfico de seguridad de los niveles Premium y Enterprise de Security Command Center pueden tardar alrededor de 2 horas en aparecer.
Security Health Analytics: Los análisis de Security Health Analytics empiezan aproximadamente una hora después de habilitarse el servicio. Los primeros análisis de Security Health Analytics pueden tardar hasta 12 horas en completarse en Security Command Center Premium y Enterprise, y hasta 48 horas en Security Command Center Standard. Después, la mayoría de las detecciones se ejecutan en tiempo real en función de los cambios de configuración de los recursos (las excepciones se detallan en Latencia en las detecciones de Security Health Analytics).
VM Threat Detection tiene una latencia de activación de hasta 48 horas en el caso de las organizaciones recién incorporadas. En cuanto a los proyectos, la latencia de activación es de hasta 15 minutos.
La Evaluación de vulnerabilidades de Amazon Web Services (AWS) empieza por analizar los recursos de una cuenta de AWS alrededor de 15 minutos después de que se implemente por primera vez la plantilla de CloudFormation requerida en la cuenta. Cuando se detecta una vulnerabilidad de software en la cuenta de AWS, el hallazgo correspondiente se pone a disposición en Security Command Center unos 10 minutos más tarde.
El tiempo que tarda en completar un análisis depende de la cantidad de instancias de EC2. En general, analizar una sola instancia de EC2 lleva menos de 5 minutos.
Los análisis de Web Security Scanner pueden tardar hasta 24 horas en iniciarse después de habilitarse el servicio y se ejecutan de manera semanal después del primer análisis.
Los análisis de Administración de la postura de seguridad de los datos (DSPM) pueden tardar hasta 24 horas en iniciarse después de habilitarse el servicio.
Security Command Center ejecuta detectores de errores que identifican problemas de configuración relacionados con Security Command Center y sus servicios. Estos detectores de errores están activados de forma predeterminada y no se pueden desactivar. Las latencias de detección varían según el detector de errores. Para obtener más información, consulta Errores de Security Command Center.
Los roles de IAM para Security Command Center se pueden otorgar a nivel de organización, carpeta o proyecto. Tu capacidad para ver, editar, crear o actualizar hallazgos, recursos y fuentes de seguridad depende del nivel al que se te otorga acceso. Para obtener más información sobre los roles de Security Command Center, consulta Control de acceso.
Hallazgos preliminares
Es posible que veas algunos hallazgos en la consola de Google Cloud mientras se ejecutan los análisis iniciales, pero antes de que se complete el proceso de incorporación.
Los hallazgos preliminares son precisos y prácticos, pero carecen de ciertos datos. No se recomienda usar estos hallazgos para realizar una evaluación de cumplimiento en las primeras 24 horas.
Análisis posteriores
En general, los cambios que se realizan dentro de tu organización o proyecto, como mover recursos o, en el caso de las activaciones a nivel de la organización, agregar carpetas y proyectos nuevos, no afectarán de manera significativa el tiempo de detección de recursos ni el entorno de ejecución de los análisis. Sin embargo, algunos análisis siguen cronogramas establecidos, los cuales determinan la rapidez con la que Security Command Center detecta cambios.
- Agent Engine Threat Detection (versión preliminar) ejecuta un proceso de supervisión para recopilar datos sobre eventos mientras se ejecuta la carga de trabajo de agente. El proceso de supervisión puede tardar hasta un minuto en iniciarse y recopilar información.
- Cloud Run Threat Detection ejecuta un proceso de supervisión para recopilar datos sobre contenedores y eventos durante todo el tiempo que dure una carga de trabajo de Cloud Run. El proceso de supervisión puede tardar hasta un minuto en iniciarse y recopilar información.
- Event Threat Detection y Container Threat Detection: Estos servicios se ejecutan en tiempo real cuando se activan y detectan de inmediato recursos nuevos o modificados, como clústeres, buckets o registros en proyectos habilitados.
- Security Health Analytics: Se ejecuta en tiempo real cuando se activa y detecta recursos nuevos o modificados en cuestión de minutos, sin incluir las detecciones que se enumeran más adelante.
- VM Threat Detection: Para revisar la memoria, VM Threat Detection analiza cada instancia de VM
inmediatamente después
de que se crea. Además, analiza cada una de ellas cada 30 minutos.
- Para la detección de minería de criptomonedas, VM Threat Detection genera un hallazgo por proceso, por VM y por día. Cada hallazgo incluye solo las amenazas asociadas con el proceso que se identifica en el hallazgo. Si VM Threat Detection encuentra amenazas, pero no puede asociarlas con ningún proceso, agrupa todas las amenazas no asociadas en un único hallazgo que genera una vez cada 24 horas. En el caso de las amenazas que persisten durante más de 24 horas, VM Threat Detection genera hallazgos nuevos cada 24 horas.
- En el caso de la detección de rootkits en modo kernel, VM Threat Detection genera un hallazgo por categoría y por VM cada tres días.
En cuanto al análisis del disco persistente, que detecta la presencia de malware conocido, VM Threat Detection analiza cada instancia de VM una vez al día como mínimo.
La Evaluación de vulnerabilidades de AWS ejecuta análisis tres veces al día.
El tiempo que tarda en completar un análisis depende de la cantidad de instancias de EC2. En general, analizar una sola instancia de EC2 lleva menos de 5 minutos.
Cuando se detecta una vulnerabilidad de software en una cuenta de AWS, el hallazgo correspondiente se pone a disposición en Security Command Center unos 10 minutos más tarde.
Web Security Scanner: Se ejecuta de forma semanal, el mismo día que el análisis inicial. Debido a que se ejecuta una vez por semana, Web Security Scanner no detecta cambios en tiempo real. Si mueves un recurso o modificas una aplicación, es posible que el cambio no se detecte hasta por una semana. Puedes ejecutar análisis a pedido para revisar los recursos nuevos o modificados entre los análisis programados.
DSPM: Los hallazgos que genera DSPM aparecen casi en tiempo real en el panel de DSPM.
Los detectores de errores de Security Command Center se ejecutan de forma periódica en modo por lotes. Las frecuencias de los análisis por lotes varían según el detector de errores. Para obtener más información, consulta Errores de Security Command Center.
Latencia de detección de Security Health Analytics
Las detecciones de Security Health Analytics se ejecutan de forma periódica en modo por lotes después de habilitarse el servicio y cuando cambia la configuración de un recurso relacionado. Una vez que se habilita Security Health Analytics, cualquier cambio en la configuración de recursos pertinentes genera hallazgos actualizados sobre errores de configuración. En algunos casos, las actualizaciones pueden tardar varios minutos según el tipo de recurso y el cambio.
Algunos detectores de Security Health Analytics no son compatibles con el modo de análisis inmediato en tiempo real si, por ejemplo, una detección se ejecuta con base en información externa a la configuración de un recurso. Estas detecciones, que se enumeran en la tabla siguiente, se ejecutan de forma periódica y, además, identifican errores de configuración en un plazo de 12 horas. Para obtener más detalles sobre los detectores de Security Health Analytics, consulta Vulnerabilidades y hallazgos.
| Detecciones de Security Health Analytics que no admiten el modo de análisis en tiempo real |
|---|
| COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
| MFA_NOT_ENFORCED (antes llamado 2SV_NOT_ENFORCED) |
| OS_LOGIN_DISABLED |
| SQL_NO_ROOT_PASSWORD |
| SQL_WEAK_ROOT_PASSWORD |
Simulaciones de rutas de ataque
Las simulaciones de rutas de ataque se ejecutan aproximadamente cada seis horas. A medida que tu organización deGoogle Cloud crece en tamaño o complejidad, el tiempo entre los intervalos puede aumentar.
Cuando activas Security Command Center por primera vez, las simulaciones de rutas de ataque usan un conjunto predeterminado de recursos de alto valor, que se enfoca en un subconjunto de los tipos de recursos compatibles que se encuentran en tu organización. Para obtener más información, consulta la lista de tipos de recursos compatibles.
Cuando empiezas a definir tu propio conjunto de recursos de alto valor creando una configuración de valor para recursos, el tiempo entre los intervalos de simulación disminuye si la cantidad de instancias de recursos de ese conjunto es considerablemente menor que la del conjunto predeterminado.
¿Qué sigue?
- Obtén más información para usar Security Command Center en la consola de Google Cloud .
- Obtén más información sobre los servicios de detección.