מתי אפשר לצפות לממצאים ב-Security Command Center

‫

בדף הזה מובאת סקירה כללית של תהליך ההפעלה שמתרחש כשמפעילים את Security Command Center. היא נועדה לענות על שאלות נפוצות:

• מה קורה כשמפעילים את Security Command Center?
• למה יש השהיה לפני שהסריקות הראשונות מתחילות?
• מהו זמן הריצה הצפוי לסריקות הראשונות ולסריקות השוטפות?
• איך שינוי המשאבים וההגדרות ישפיע על הביצועים?

סקירה כללית

כשמפעילים את Security Command Center בפעם הראשונה, צריך להשלים תהליך הפעלה לפני ש-Security Command Center יתחיל לסרוק את המשאבים. לאחר מכן, הסריקות צריכות להסתיים כדי שתוכלו לראות את כל הממצאים לגבי סביבתGoogle Cloud .

משך התהליך של ההפעלה והסריקות תלוי במספר גורמים, כולל מספר הנכסים והמשאבים בסביבה שלכם והאם Security Command Center מופעל ברמת הארגון או ברמת הפרויקט.

בהפעלות ברמת הארגון, Security Command Center צריך לחזור על שלבים מסוימים בתהליך ההפעלה עבור כל פרויקט בארגון. בהתאם למספר הפרויקטים בארגון, משך הזמן הנדרש לתהליך ההפעלה יכול לנוע בין דקות לשעות. בארגונים עם יותר מ-100,000 פרויקטים, הרבה משאבים בכל פרויקט וגורמים מסובכים אחרים, ההפעלה והסריקות הראשוניות עשויות להימשך עד 24 שעות או יותר.

כשמפעילים את Security Command Center ברמת הפרויקט, תהליך ההפעלה מהיר הרבה יותר, כי הוא מוגבל לפרויקט היחיד שבו מפעילים את Security Command Center.

בקטעים הבאים מוסבר על הגורמים שיכולים לגרום לזמן אחזור בהתחלת הסריקות, בעיבוד שינויים בהגדרות ובזמן הריצה של הסריקות.

זמן האחזור בתהליך ההצטרפות

לפני שהסריקות מתחילות, מערכת Security Command Center מאתרת את המשאבים שלכם ומוסיפה אותם לאינדקס.

השירותים שמסומנים באינדקס כוללים את App Engine,‏ BigQuery,‏ Cloud SQL,‏ Cloud Storage,‏ Compute Engine,‏ Identity and Access Management ו-Google Kubernetes Engine.

בהפעלות של Security Command Center ברמת הפרויקט, הגילוי והוספה לאינדקס מוגבלים לפרויקט היחיד שבו Security Command Center מופעל.

בהפעלות ברמת הארגון, Security Command Center מגלה משאבים ומבצע אינדוקס שלהם בכל הארגון.

במהלך תהליך ההצטרפות, מתבצעים שני שלבים חשובים.

סריקת נכסים

ב-Security Command Center מתבצע סריקת נכסים ראשונית כדי לזהות את המספר הכולל, המיקום והמצב של פרויקטים, תיקיות, קבצים, אשכולות, זהויות, מדיניות גישה, משתמשים רשומים ומשאבים אחרים. התהליך הזה בדרך כלל מסתיים תוך דקות.

הפעלת ה-API

כשמתגלים משאבים, Security Command Center מפעיל חלקים מ-Google Cloud שנחוצים כדי להפעיל את Security Health Analytics,‏ Event Threat Detection,‏ זיהוי איומים בקונטיינר ו-Web Security Scanner. כדי ששירותי זיהוי מסוימים יפעלו, צריך להפעיל ממשקי API ספציפיים בפרויקטים מוגנים.

כשמפעילים את Security Command Center ברמת הפרויקט, הפעלת ה-API בדרך כלל אורכת פחות מדקה.

כשמפעילים את התכונה ברמת הארגון, Security Command Center מבצע איטרציה בכל הפרויקטים שבוחרים לסריקה כדי להפעיל את ממשקי ה-API הנדרשים.

מספר הפרויקטים בארגון קובע במידה רבה את משך תהליכי ההצטרפות וההפעלה. מכיוון שצריך להפעיל ממשקי API בפרויקטים בזה אחר זה, הפעלת ממשקי API היא בדרך כלל המשימה שלוקחת הכי הרבה זמן, במיוחד בארגונים עם יותר מ-100,000 פרויקטים.

הזמן שנדרש להפעלת שירותים בפרויקטים גדל באופן ליניארי. כלומר, בדרך כלל, הפעלת שירותים והגדרות אבטחה בארגון עם 30,000 פרויקטים אורכת פי שניים יותר זמן מאשר בארגון עם 15,000 פרויקטים.

בארגון עם 100,000 פרויקטים, תהליך ההצטרפות וההפעלה של רמות השירות Premium ו-Enterprise אמור להסתיים תוך פחות מחמש שעות. הזמן שיידרש לכם תלוי בגורמים רבים, כולל מספר הפרויקטים או המאגדים שבהם אתם משתמשים ומספר השירותים של Security Command Center שאתם בוחרים להפעיל.

זמן האחזור של הסריקה

כשמגדירים את Security Command Center, מחליטים אילו שירותים מובנים ומשולבים להפעיל, ובוחרים את המשאבים שרוצים לנתח או לסרוק כדי לזהות איומים ונקודות חולשה. Google Cloud כשמפעילים ממשקי API בפרויקטים, השירותים שנבחרו מתחילים לסרוק. משך הסריקות האלה תלוי גם במספר הפרויקטים בארגון.

הממצאים משירותים מובנים זמינים אחרי שהסריקות הראשוניות מסתיימות. השיהוי בחוויית השימוש בשירותים מתואר בקטעים הבאים.

• זמני האחזור של Agent Engine Threat Detection (תצוגה מקדימה) הם:
  • זמן ההשהיה בהפעלה יכול להגיע ל-3.5 שעות בפרויקטים או בארגונים חדשים.
  • זמן האחזור של הזיהוי הוא דקות.
• זמני האחזור של Cloud Run Threat Detection הם:
  • זמן ההשהיה בהפעלה יכול להגיע ל-3.5 שעות בפרויקטים או בארגונים חדשים.
  • זמן האחזור של הזיהוי הוא דקות.
• יכול להיות שיחלפו עד 48 שעות עד שהנתונים של Compliance Manager יופיעו אחרי הפעלת השירות ברמות Premium ו-Enterprise. במינוי Standard, יכול להיות שיחלפו עד 96 שעות לפני שהנתונים יופיעו.
• ל-Container Threat Detection (זיהוי איומים בקונטיינר) יש את זמני האחזור הבאים:
  • זמן ההשהיה בהפעלה יכול להגיע ל-3.5 שעות בפרויקטים או בארגונים חדשים.
  • זמן האחזור של ההפעלה הוא כמה דקות עבור אשכולות שנוצרו לאחרונה.
  • השהיית זיהוי של דקות לאיומים באשכולות שהופעלו.

• ההפעלה של Event Threat Detection מתבצעת תוך שניות עבור גלאים מובנים. במקרה של גלאים חדשים או גלאים בהתאמה אישית שעברו עדכון, יכול להיות שיחלפו עד 15 דקות עד שהשינויים ייכנסו לתוקף. בפועל, התהליך בדרך כלל נמשך פחות מ-5 דקות.

  בדרך כלל, זמן האחזור של זיהוי על ידי מזהים מובנים ומותאמים אישית הוא פחות מ-15 דקות, מהרגע שבו נכתב יומן ועד שהממצא זמין ב-Security Command Center.

• יכול להיות שיחלפו כ-6 שעות עד שנתוני הבעיות יופיעו ב-Security Command Center במהדורות Premium ו-Enterprise.

• יכול להיות שיעברו שעתיים עד שיוצגו נתונים של Security Graph ברמות Security Command Center Premium ו-Enterprise של Security Command Center.

• ‫Security Health Analytics סריקות של Security Health Analytics מתחילות כשעה אחרי שהשירות מופעל. הסריקות הראשונות של Security Health Analytics עשויות להימשך עד 12 שעות ב-Security Command Center Premium וב-Enterprise, ועד 48 שעות ב-Security Command Center Standard. לאחר מכן, רוב הזיהויים מופעלים בזמן אמת מול שינויים בהגדרות הנכסים (חריגים מפורטים במאמר השהיה של זיהויים ב-Security Health Analytics).

• ל-VM Threat Detection יש זמן השהיה של עד 48 שעות בהפעלה בארגונים חדשים. בפרויקטים, זמן ההשהיה בהפעלה הוא עד 15 דקות.

• הערכת נקודות חולשה עבור Google Cloud: מידע על תדירות הסריקות אחרי ההפעלה מופיע בקטע ממצאים שנוצרו על ידי הערכת נקודות חולשה עבור Google Cloud.

• הערכת נקודות חולשה ב-Amazon Web Services‏ (AWS) מתחילה לסרוק את המשאבים בחשבון AWS כ-15 דקות אחרי הפריסה הראשונה של תבנית CloudFormation הנדרשת בחשבון. כשמתגלה נקודת חולשה בתוכנה בחשבון AWS, הממצא המתאים הופך לזמין ב-Security Command Center כ-10 דקות לאחר מכן.

  משך הזמן שנדרש להשלמת הסריקה תלוי במספר המופעים של EC2. בדרך כלל, סריקה של מופע EC2 יחיד נמשכת פחות מ-5 דקות.

• יכולות לחלוף עד 24 שעות עד שהסריקות של Web Security Scanner יתחילו אחרי שהשירות יופעל, והן יופעלו מדי שבוע אחרי הסריקה הראשונה.

• יכול להיות שיחלפו עד 24 שעות מרגע הפעלת השירות ועד שתתחיל סריקה של Data Security Posture Management (DSPM).

ב-Security Command Center פועלים גלאי שגיאות שמזהים שגיאות בהגדרות שקשורות ל-Security Command Center ולשירותים שלו. הגלאים האלה מופעלים כברירת מחדל ואי אפשר להשבית אותם. זמני האחזור של הזיהוי משתנים בהתאם לגלאי השגיאות. מידע נוסף זמין במאמר בנושא שגיאות ב-Security Command Center.

אפשר להעניק את תפקידי ה-IAM של Security Command Center ברמת הארגון, התיקייה או הפרויקט. היכולת שלכם להציג, לערוך, ליצור או לעדכן ממצאים, נכסים ומקורות אבטחה תלויה ברמת הגישה שניתנה לכם. מידע נוסף על תפקידים ב-Security Command Center זמין במאמר בקרת גישה.

ממצאים ראשוניים

יכול להיות שתראו ממצאים מסוימים במסוף Google Cloud בזמן הסריקות הראשוניות, אבל לפני השלמת תהליך ההצטרפות.

הממצאים הראשוניים מדויקים וניתן לפעול לפיהם, אבל הם לא מקיפים. לא מומלץ להשתמש בממצאים האלה להערכת התאימות במהלך 24 השעות הראשונות.

סריקות נוספות

שינויים שמתבצעים בארגון או בפרויקט, כמו העברת משאבים או, בהפעלות ברמת הארגון, הוספה של תיקיות ופרויקטים חדשים, בדרך כלל לא משפיעים באופן משמעותי על זמן איתור המשאבים או על זמן הריצה של הסריקות. עם זאת, חלק מהסריקות מתבצעות לפי לוחות זמנים מוגדרים, שקובעים את מהירות זיהוי השינויים ב-Security Command Center.

• ‫Agent Engine Threat Detection (תצוגה מקדימה) משתמש בתהליך מעקב כדי לאסוף מידע על אירועים בזמן שעומס העבודה של הסוכן פועל. יכולות לעבור עד דקה עד שתהליך המעקב יתחיל לאסוף מידע.
• הכלי Cloud Run Threat Detection משתמש בתהליך מעקב כדי לאסוף מידע על קונטיינרים ואירועים למשך כל משך העבודה בעומס ב-Cloud Run. תהליך הצפייה יכול להימשך עד דקה עד שהוא מתחיל לאסוף מידע.
• ‫Event Threat Detection ו-זיהוי איומים בקונטיינר: השירותים האלה פועלים בזמן אמת כשהם מופעלים ומזהים באופן מיידי משאבים חדשים או משאבים שהשתנו, כמו אשכולות, מאגרי מידע או יומנים, בפרויקטים שבהם הם מופעלים.
• ‫Security Health Analytics: הכלי Security Health Analytics פועל בזמן אמת כשהוא מופעל, ומזהה משאבים חדשים או משאבים שהשתנו תוך דקות, לא כולל הזיהויים שמפורטים בהמשך.
• זיהוי איומים במכונות וירטואליות: כדי לסרוק את הזיכרון, התכונה 'זיהוי איומים במכונות וירטואליות' סורקת כל מופע של מכונה וירטואלית מיד אחרי שהמופע נוצר. בנוסף, התכונה 'זיהוי איומים במכונות וירטואליות' סורקת כל מכונה וירטואלית כל 30 דקות.
  • לזיהוי כריית מטבעות קריפטוגרפיים, התכונה 'זיהוי איומים במכונות וירטואליות' יוצרת ממצא אחד לכל תהליך, לכל מכונה וירטואלית, לכל יום. כל ממצא כולל רק את האיומים שמשויכים לתהליך שמזוהה על ידי הממצא. אם התכונה 'זיהוי איומים במכונות וירטואליות' מוצאת איומים אבל לא מצליחה לשייך אותם לתהליך כלשהו, היא מקבצת את כל האיומים הלא משויכים לממצא יחיד לכל מכונה וירטואלית, ומפיקה אותו פעם אחת בכל תקופה של 24 שעות. אם יש איומים שנמשכים יותר מ-24 שעות, התכונה 'זיהוי איומים במכונות וירטואליות' יוצרת ממצאים חדשים כל 24 שעות.
  • לזיהוי של ערכות Rootkit במצב ליבה, התכונה 'זיהוי איומים במכונות וירטואליות' יוצרת ממצא אחד לכל קטגוריה, לכל מכונה וירטואלית, כל שלושה ימים.

  לסריקת דיסקי אחסון מתמידים (persistent disk), שנועדה לזהות נוכחות של תוכנות זדוניות מוכרות, התכונה 'זיהוי איומים במכונות וירטואליות' סורקת כל מכונה וירטואלית לפחות פעם ביום.

• הערכת נקודות חולשה ב-AWS מריצה סריקות שלוש פעמים ביום.

  משך הזמן שנדרש להשלמת הסריקה תלוי במספר המופעים של EC2. בדרך כלל, סריקה של מופע EC2 יחיד נמשכת פחות מ-5 דקות.

  כשמזוהה נקודת חולשה בתוכנה בחשבון AWS, הממצא המתאים הופך לזמין ב-Security Command Center כ-10 דקות לאחר מכן.

• ‫Web Security Scanner: ‏ Web Security Scanner פועל מדי שבוע, באותו יום שבו בוצעה הסריקה הראשונית. מכיוון שהסורק פועל מדי שבוע, הוא לא יזהה שינויים בזמן אמת. אם מעבירים משאב או משנים אפליקציה, יכול להיות שיעבור עד שבוע עד שהשינוי יזוהה. אתם יכולים להריץ סריקות לפי דרישה כדי לבדוק משאבים חדשים או משאבים שהשתנו בין סריקות מתוזמנות.

• ‫DSPM: הממצאים שנוצרים על ידי DSPM מופיעים כמעט בזמן אמת בלוח הבקרה של DSPM.

גלאי השגיאות של Security Command Center פועלים מעת לעת במצב אצווה. תדירויות הסריקה של קבוצות משתנות בהתאם לגלאי השגיאות. מידע נוסף זמין במאמר שגיאות ב-Security Command Center.

זמן האחזור של זיהוי ב-Security Health Analytics

הזיהויים של Security Health Analytics מופעלים מעת לעת במצב אצווה אחרי שהשירות מופעל, וגם כשמתבצע שינוי בהגדרות של נכס קשור. אחרי שמפעילים את Security Health Analytics, כל שינוי רלוונטי בהגדרת משאב מוביל לממצאים מעודכנים של הגדרות שגויות. במקרים מסוימים, העדכונים עשויים להימשך כמה דקות, בהתאם לסוג הנכס ולשינוי.

חלק מהגלאים של Security Health Analytics לא תומכים במצב סריקה מיידית, למשל אם הגלאי מופעל על מידע מחוץ להגדרות של משאב. הזיהויים האלה, שמפורטים בטבלה הבאה, מתבצעים מעת לעת ומזהים הגדרות שגויות תוך 12 שעות. למידע נוסף על גלאי Security Health Analytics, קראו את Vulnerabilities and findings (נקודות חולשה וממצאים).

זיהויים ב-Security Health Analytics שלא תומכים במצב סריקה בזמן אמת
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED
MFA_NOT_ENFORCED (לשעבר 2SV_NOT_ENFORCED)
OS_LOGIN_DISABLED
SQL_NO_ROOT_PASSWORD
SQL_WEAK_ROOT_PASSWORD

סימולציות של נתיבי תקיפה

סימולציות של נתיבי תקיפה מופעלות בערך כל שש שעות. ככל שהארגון גדל בגודל או במורכבות, הזמן בין המרווחים יכול להתארך.Google Cloud

כשמפעילים את Security Command Center בפעם הראשונה, הסימולציות של נתיבי התקפה משתמשות בקבוצת ברירת מחדל של משאבים בעלי ערך גבוה, שמתמקדת בקבוצת משנה של סוגי המשאבים הנתמכים שנמצאים בארגון. מידע נוסף מופיע ברשימת סוגי המשאבים הנתמכים.

כשמתחילים להגדיר קבוצה משלכם של משאבים בעלי ערך גבוה על ידי יצירת הגדרת ערך משאב, יכול להיות שתראו ירידה בזמן בין מרווחי הסימולציה אם מספר מופעי המשאבים בקבוצת המשאבים בעלי הערך הגבוה נמוך משמעותית מהקבוצה שמוגדרת כברירת מחדל.

המאמרים הבאים

• מידע נוסף על שימוש ב-Security Command Center ב- Google Cloud Console
• מידע על שירותי זיהוי