Questa pagina fornisce una panoramica della procedura di attivazione che si svolge quando abiliti Security Command Center. Ha lo scopo di rispondere alle domande più comuni:
- Cosa succede quando Security Command Center è abilitato?
- Perché si verifica un ritardo prima dell'avvio delle prime scansioni?
- Qual è il runtime previsto per le prime scansioni e le scansioni continue?
- In che modo la modifica di risorse e impostazioni influisce sulle prestazioni?
Panoramica
Quando abiliti Security Command Center per la prima volta, deve essere completata una procedura di attivazione prima che Security Command Center possa iniziare a eseguire la scansione delle risorse. Le scansioni devono essere completate prima di poter visualizzare un set completo di risultati per il tuo Google Cloud ambiente.
Il tempo necessario per completare la procedura di attivazione e le scansioni dipende da una serie di fattori, tra cui il numero di asset e risorse nel tuo ambiente e se Security Command Center è attivato a livello di organizzazione o a livello di progetto.
Con le attivazioni a livello di organizzazione, Security Command Center deve ripetere alcuni passaggi della procedura di attivazione per ogni progetto dell'organizzazione. A seconda del numero di progetti in un'organizzazione, il tempo necessario per la procedura di attivazione può variare da minuti a ore. Per le organizzazioni con più di 100.000 progetti, molte risorse in ogni progetto e altri fattori che complicano la situazione, l'abilitazione e le scansioni iniziali possono richiedere fino a 24 ore o più.
Con le attivazioni di Security Command Center a livello di progetto, la procedura di attivazione è molto più rapida, perché è limitata al singolo progetto in cui è attivato Security Command Center.
I fattori che possono introdurre latenza nell'avvio delle scansioni, nell'elaborazione delle modifiche alle impostazioni e nel runtime delle scansioni sono descritti nelle sezioni seguenti.
Latenza nell'onboarding
Prima dell'avvio delle scansioni, Security Command Center rileva e indicizza le risorse.
I servizi indicizzati includono App Engine, BigQuery, Cloud SQL, Cloud Storage, Compute Engine, Identity and Access Management e Google Kubernetes Engine.
Per le attivazioni di Security Command Center a livello di progetto, il rilevamento e l'indicizzazione sono limitati al singolo progetto in cui è attivato Security Command Center.
Per le attivazioni a livello di organizzazione, Security Command Center rileva e indicizza le risorse in tutta l'organizzazione.
Durante questa procedura di onboarding, vengono eseguiti due passaggi fondamentali.
Scansione degli asset
Security Command Center esegue una scansione iniziale degli asset per identificare il numero totale, la posizione e lo stato di progetti, cartelle, file, cluster, identità, policy di accesso, utenti registrati e altre risorse. Questa procedura viene in genere completata in pochi minuti.
Attivazione dell'API
Man mano che le risorse vengono rilevate, Security Command Center abilita le parti necessarie per il funzionamento di Security Health Analytics, Event Threat Detection, Container Threat Detection, e Web Security Scanner.Google Cloud Alcuni servizi di rilevamento richiedono l'abilitazione di API specifiche sui progetti protetti per funzionare.
Quando attivi Security Command Center a livello di progetto, l'attivazione dell'API richiede in genere meno di un minuto.
Con le attivazioni a livello di organizzazione, Security Command Center scorre tutti i progetti selezionati per la scansione per abilitare le API necessarie.
Il numero di progetti in un'organizzazione determina in gran parte la durata delle procedure di onboarding e abilitazione. Poiché le API devono essere attivate per i progetti uno alla volta, l'attivazione dell'API è in genere l'attività più dispendiosa in termini di tempo, in particolare per le organizzazioni con più di 100.000 progetti.
Il tempo necessario per abilitare i servizi nei progetti aumenta in modo lineare. Ciò significa che, in genere, l'abilitazione dei servizi e delle impostazioni di sicurezza in un'organizzazione con 30.000 progetti richiede il doppio del tempo rispetto a un'organizzazione con 15.000 progetti.
Per un'organizzazione con 100.000 progetti, l'onboarding e l'abilitazione dei livelli di servizio Premium ed Enterprise devono essere completati in meno di cinque ore. Il tempo può variare a seconda di molti fattori, tra cui il numero di progetti o container che utilizzi e il numero di servizi Security Command Center che scegli di abilitare.
Latenza della scansione iniziale
Quando configuri Security Command Center, decidi quali servizi integrati e integrati abilitare e seleziona le Google Cloud risorse che vuoi analizzare o sottoporre a scansione per rilevare minacce e vulnerabilità. Man mano che le API vengono attivate per i progetti, i servizi selezionati iniziano le scansioni. La durata di queste scansioni dipende anche dal numero di progetti in un'organizzazione.
I risultati dei servizi integrati sono disponibili al termine delle scansioni iniziali. I servizi riscontrano la latenza descritta nelle sezioni seguenti.
- Agent Platform Threat Detection (anteprima) presenta le seguenti latenze:
- Latenza di attivazione fino a 3,5 ore per progetti o organizzazioni di cui è stato eseguito l'onboarding di recente.
- Latenza di rilevamento di minuti.
- Cloud Run Threat Detection presenta le seguenti latenze:
- Latenza di attivazione fino a 3,5 ore per progetti o organizzazioni di cui è stato eseguito l'onboarding di recente.
- Latenza di rilevamento di minuti.
- Compliance Manager: consulta Latenza di scansione di Compliance Manager per i controlli di rilevamento.
- Container Threat Detection presenta le seguenti latenze:
- Latenza di attivazione fino a 3,5 ore per progetti o organizzazioni di cui è stato eseguito l'onboarding di recente.
- Latenza di attivazione di minuti per i cluster appena creati.
- Latenza di rilevamento di minuti per le minacce nei cluster attivati.
L'attivazione di Event Threat Detection avviene in pochi secondi per i rilevatori integrati. Per i rilevatori personalizzati nuovi o aggiornati, l'applicazione delle modifiche può richiedere fino a 15 minuti. In pratica, in genere richiede meno di 5 minuti.
Per i rilevatori integrati e personalizzati, le latenze di rilevamento sono in genere inferiori a 15 minuti, dal momento in cui viene scritto un log a quando un risultato è disponibile in Security Command Center.
I dati relativi ai problemi per i livelli Security Command Center Premium ed Enterprise possono richiedere circa 6 ore per essere visualizzati.
I dati del grafico di sicurezza per i livelli Security Command Center Premium ed Enterprise possono richiedere circa 2 ore per essere visualizzati.
Security Health Analytics: consulta Latenza di scansione di Security Health Analytics.
VM Threat Detection ha una latenza di attivazione fino a 48 ore per le organizzazioni di cui è stato eseguito l'onboarding di recente. Per i progetti, la latenza di attivazione è di massimo 15 minuti.
Valutazione di vulnerabilità per Google Cloud: per informazioni sulla frequenza delle scansioni dopo l'abilitazione, consulta Risultati generati dalla valutazione di vulnerabilità per Google Cloud.
La valutazione di vulnerabilità per Amazon Web Services (AWS) inizia a eseguire la scansione delle risorse in un account AWS circa 15 minuti dopo la prima distribuzione del modello CloudFormation richiesto nell'account. Quando viene rilevata una vulnerabilità software nell'account AWS, il risultato corrispondente diventa disponibile in Security Command Center circa 10 minuti dopo.
Il tempo necessario per completare una scansione dipende dal numero di istanze EC2. In genere, la scansione di una singola istanza EC2 richiede meno di 5 minuti.
L'avvio delle scansioni di Web Security Scanner può richiedere fino a 24 ore dopo l'abilitazione del servizio e vengono eseguite settimanalmente dopo la prima scansione.
L'avvio delle scansioni di Data Security Posture Management (DSPM) può richiedere fino a 24 ore dopo l'abilitazione del servizio.
Security Command Center esegue rilevatori di errori, che rilevano errori di configurazione relativi a Security Command Center e ai relativi servizi. Questi rilevatori di errori sono attivati per impostazione predefinita e non possono essere disattivati. Le latenze di rilevamento variano a seconda del rilevatore di errori. Per saperne di più, consulta Errori di Security Command Center.
I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, cartella o progetto. La possibilità di visualizzare, modificare, creare o aggiornare risultati, asset e origini di sicurezza dipende dal livello per il quale ti è stato concesso l'accesso. Per saperne di più sui ruoli di Security Command Center, consulta Controllo dell'accesso.
Visualizzazione dei risultati preliminari
Potresti visualizzare alcuni risultati nella Google Cloud console durante l'esecuzione delle scansioni iniziali , ma prima del completamento della procedura di onboarding. I risultati preliminari sono accurati e utilizzabili, ma non sono completi. Non è consigliabile utilizzare questi risultati per una valutazione della conformità entro le prime 24 ore.
Scansioni successive
Le modifiche apportate all'interno dell'organizzazione o del progetto, ad esempio lo spostamento delle risorse o, per le attivazioni a livello di organizzazione, l'aggiunta di nuove cartelle e progetti, in genere non influiscono in modo significativo sul tempo di rilevamento delle risorse o sul runtime delle scansioni. Tuttavia, alcune scansioni vengono eseguite in base a pianificazioni prestabilite, che determinano la velocità con cui Security Command Center rileva le modifiche.
- Agent Platform Threat Detection (anteprima) utilizza una procedura di controllo per raccogliere informazioni sugli eventi durante l'esecuzione del carico di lavoro agentless. L' avvio e la raccolta delle informazioni da parte della procedura di controllo possono richiedere fino a un minuto.
- Simulazioni del percorso di attacco: per informazioni, consulta la sezione Simulazioni del percorso di attacco.
- Cloud Run Threat Detection utilizza una procedura di controllo per raccogliere informazioni su container ed eventi per l'intera durata di un carico di lavoro Cloud Run. L'avvio e la raccolta delle informazioni da parte della procedura di controllo possono richiedere fino a un minuto.
- Event Threat Detection e Container Threat Detection: questi servizi vengono eseguiti in tempo reale quando sono attivati e rilevano immediatamente le risorse nuove o modificate, come cluster, bucket o log, nei progetti abilitati.
- Security Health Analytics: per informazioni sui tipi di scansione, consulta Tipi di scansione di Security Health Analytics. Per informazioni sulla latenza di rilevamento, consulta Scansioni successive di Security Health Analytics.
- VM Threat Detection: per la scansione della memoria, VM Threat Detection esegue la scansione di ogni istanza VM
immediatamente dopo la
creazione dell'istanza. Inoltre, VM Threat Detection esegue la scansione di ogni istanza VM ogni 30 minuti.
- Per il rilevamento del mining di criptovalute, VM Threat Detection genera un risultato per processo, per VM, al giorno. Ogni risultato include solo le minacce associate al processo che è identificato dal risultato. Se VM Threat Detection rileva minacce ma non riesce ad associarle a nessun processo, per ogni VM raggruppa tutte le minacce non associate in un unico risultato che genera una volta ogni 24 ore. Per le minacce che persistono per più di 24 ore, VM Threat Detection genera nuovi risultati una volta ogni 24 ore.
- Per il rilevamento di rootkit in modalità kernel, VM Threat Detection genera un risultato per categoria, per VM, ogni tre giorni.
Per la scansione disco permanente, che rileva la presenza di malware noti, VM Threat Detection esegue la scansione di ogni istanza VM almeno una volta al giorno.
La valutazione di vulnerabilità per AWS esegue le scansioni tre volte al giorno.
Il tempo necessario per completare una scansione dipende dal numero di istanze EC2. In genere, la scansione di una singola istanza EC2 richiede meno di 5 minuti.
Quando viene rilevata una vulnerabilità software in un account AWS, il risultato corrispondente diventa disponibile in Security Command Center circa 10 minuti dopo.
Web Security Scanner: Web Security Scanner viene eseguito settimanalmente, lo stesso giorno della scansione iniziale. Poiché viene eseguito settimanalmente, Web Security Scanner non rileva le modifiche in tempo reale. Se sposti una risorsa o modifichi un'applicazione, la modifica potrebbe non essere rilevata per un massimo di una settimana. Puoi eseguire scansioni on demand per controllare le risorse nuove o modificate tra le scansioni pianificate.
DSPM: i risultati generati da DSPM vengono visualizzati quasi in tempo reale nella dashboard DSPM.
I rilevatori di errori di Security Command Center vengono eseguiti periodicamente in modalità batch. Le frequenze di scansione batch variano a seconda del rilevatore di errori. Per saperne di più, consulta Errori di Security Command Center.
Simulazioni del percorso di attacco
Le simulazioni del percorso di attacco vengono eseguite ogni sei ore circa. Man mano che le dimensioni o la complessità dell'organizzazione Google Cloud aumentano, il tempo tra gli intervalli può aumentare.
Quando attivi Security Command Center per la prima volta, le simulazioni del percorso di attacco utilizzano un set di risorse di alto valore predefinito, che si concentra su un sottoinsieme dei tipi di risorse supportati presenti nella tua organizzazione. Per saperne di più, consulta l' elenco dei tipi di risorse supportati.
Quando inizi a definire il tuo set di risorse di alto valore creando una configurazione del valore delle risorse, potresti notare una riduzione del tempo tra gli intervalli di simulazione se il numero di istanze di risorse nel tuo set di risorse di alto valore è significativamente inferiore al set predefinito.
Passaggi successivi
- Scopri come utilizzare Security Command Center nella console Google Cloud .
- Scopri di più sui servizi di rilevamento.