Security Health Analytics adalah layanan terkelola Security Command Center yang memindai lingkungan cloud Anda untuk mencari kesalahan konfigurasi umum yang dapat membuat Anda rentan terhadap serangan.
Security Health Analytics diaktifkan secara otomatis dengan aktivasi baru Security Command Center di paket Standard-legacy, Premium, dan Enterprise.
Fitur Security Health Analytics menurut tingkat
Fitur Analisis Kondisi Keamanan yang tersedia untuk Anda berbeda-beda, bergantung pada tingkat layanan tempat Security Command Center diaktifkan. Anda dapat melihat temuan mana yang tersedia dengan tingkat mana di Temuan Security Health Analytics.
Fitur paket standar lama
Standard-legacyDi tingkat Standard-legacy, Security Health Analytics hanya dapat mendeteksi grup dasar kerentanan tingkat keparahan sedang dan tinggi.
Fitur tingkat standar
StandarJika paket Standard baru diaktifkan di organisasi Anda, yang berarti organisasi tidak dimigrasikan dari paket Standard lama, Security Health Analytics tidak akan tersedia. Gunakan framework Dasar-Dasar Keamanan Compliance Manager dan Penilaian Kerentanan untuk Google Cloud guna memindai lingkungan Anda untuk menemukan kesalahan konfigurasi dan kerentanan yang dapat membuat Anda rentan terhadap serangan.
Jika organisasi Anda dimigrasikan dari paket Standard lama ke paket Standard, detektor Security Health Analytics berikut dimigrasikan ke kontrol Pengelola Kepatuhan dalam framework Dasar-Dasar Keamanan:
DATAPROC_IMAGE_OUTDATEDLEGACY_AUTHORIZATION_ENABLEDOPEN_CISCOSECURE_WEBSM_PORTOPEN_DIRECTORY_SERVICES_PORTOPEN_FIREWALLOPEN_RDP_PORTOPEN_SSH_PORTOPEN_TELNET_PORTPUBLIC_DATASETPUBLIC_IP_ADDRESSPUBLIC_SQL_INSTANCESSL_NOT_ENFORCEDWEB_UI_ENABLED
Security Health Analytics diaktifkan dan semua detektor terus menghasilkan temuan, tetapi
temuan yang dibuat oleh detektor yang dimigrasikan versi Security Health Analytics diberi
label dengan ID nilai kolom: launch_state="LAUNCH_STATE_DEPRECATED"
dan tidak ditampilkan di beberapa halaman konsol Google Cloud .
Sebagian besar detektor SHA memiliki kontrol Compliance Manager yang setara. Untuk mengetahui informasi selengkapnya, lihat Pemetaan detektor Security Health Analytics ke kontrol cloud.
Untuk melihat temuan yang dibuat oleh versi Compliance Manager dari detektor yang dimigrasikan, gunakan perintah berikut:
- Halaman Findings
- Halaman Kepatuhan > tab Pantau
Untuk melihat temuan yang dihasilkan oleh detektor yang dimigrasikan versi Security Health Analytics, gunakan perintah berikut:
- Temuan dan menghapus istilah
launch_state="LAUNCH_STATE_DEPRECATED"dari kueri. - Kerentanan Lama
Detektor berikut tidak dimigrasikan ke framework Dasar-Dasar Keamanan di Compliance Manager:
MFA_NOT_ENFORCEDNON_ORG_IAM_MEMBEROPEN_GROUP_IAM_MEMBERPUBLIC_BUCKET_ACLPUBLIC_COMPUTE_IMAGEPUBLIC_LOG_BUCKET
Anda dapat mengaktifkan detektor ini di tab Setelan > Analisis Kesehatan Keamanan > Modul.
Untuk melihat temuan yang dibuat oleh detektor Security Health Analytics ini, gunakan perintah berikut:
- Halaman Findings
Ringkasan Risiko > Dasbor Semua risiko:
- Panel Kesalahan konfigurasi teratas
- Panel Kesalahan konfigurasi menurut tanggal
Temuan yang dihasilkan oleh detektor Security Health Analytics ini tidak muncul di halaman Compliance.
Fitur paket premium
PremiumJika paket Premium baru diaktifkan di organisasi Anda, yang berarti organisasi tidak dimigrasikan dari paket Standard, Security Health Analytics menyertakan fitur berikut:
- Semua pendeteksi untuk Google Cloud, serta sejumlah fitur deteksi kerentanan lainnya, seperti kemampuan untuk membuat modul deteksi kustom.
- Temuan dipetakan ke kontrol kepatuhan untuk pelaporan kepatuhan. Untuk mengetahui informasi selengkapnya, lihat Detektor dan kepatuhan.
- Simulasi jalur serangan Security Command Center menghitung skor eksposur serangan dan potensi jalur serangan untuk sebagian besar temuan Security Health Analytics. Untuk mengetahui informasi selengkapnya, lihat Ringkasan skor eksposur serangan dan jalur serangan.
Jika organisasi Anda diupgrade dari tingkat Standar ke tingkat Premium, lihat Beralih tingkat untuk mengetahui informasi tentang kemampuan detektor Security Health Analytics yang diubah.
Fitur paket Enterprise
Jika tingkat Enterprise baru diaktifkan di organisasi Anda, yang berarti organisasi tidak dimigrasikan dari tingkat Standard, Security Health Analytics mencakup semua fitur tingkat Premium, serta detektor untuk platform penyedia layanan cloud lainnya.
Jika organisasi Anda diupgrade dari paket Standar ke paket Premium, lihat Beralih paket untuk mengetahui informasi tentang kemampuan detektor Security Health Analytics yang diubah.
Mengganti tingkat
Security Command Center di paket Premium dan Enterprise memiliki lebih banyak detektor daripada di paket Standard lama. Jika Anda menggunakan tingkat Premium atau Enterprise dan berencana untuk melakukan downgrade ke tingkat Standard atau Standard-legacy, sebaiknya selesaikan semua temuan sebelum mengubah tingkat Anda.
Saat uji coba Premium atau Enterprise berakhir, atau Anda melakukan downgrade dari salah satu paket ini ke paket Standard atau Standard lama, status temuan yang dihasilkan di paket yang lebih tinggi akan ditetapkan ke INACTIVE.
Jika organisasi Anda tidak memiliki Security Command Center dan diaktifkan secara otomatis dengan paket Standar, lalu Anda mengupgrade ke paket Premium atau Enterprise, gunakan framework Security Essentials di Compliance Manager untuk mengonfigurasi deteksi.
Jika organisasi Anda dimigrasikan ke paket Standard dari paket Standard lama, lalu Anda mengupgrade ke paket Premium atau Enterprise, Anda tidak dapat mengaktifkan detektor Analisis Kesehatan Keamanan paket Premium atau Enterprise. Gunakan framework Compliance Manager yang tersedia dengan tingkat Premium dan Enterprise untuk mengonfigurasi deteksi.
Sebagian besar detektor Security Health Analytics di tingkat Premium dan Enterprise dimigrasikan ke framework Security Essentials di Compliance Manager.
Untuk mengetahui informasi selengkapnya tentang framework Compliance Manager dan kontrol cloud, lihat Framework Compliance Manager.
Untuk mengetahui informasi tentang cara pemetaan detektor Security Health Analytics ke kontrol cloud Compliance Manager, lihat Pemetaan detektor Security Health Analytics ke kontrol cloud.
Dukungan multicloud
Security Health Analytics dapat mendeteksi kesalahan konfigurasi dalam deployment Anda di platform cloud lain.
Security Health Analytics mendukung penyedia layanan cloud lainnya berikut:
Amazon Web Services (AWS): Untuk menjalankan detektor pada data AWS, Anda harus menghubungkan Security Command Center ke AWS terlebih dahulu, seperti yang dijelaskan dalam Menghubungkan ke AWS untuk pengumpulan data konfigurasi dan resource.
Microsoft Azure: Untuk menjalankan detektor pada data Microsoft Azure, Anda harus terlebih dahulu menghubungkan Security Command Center ke Microsoft Azure, seperti yang dijelaskan dalam Menghubungkan ke Microsoft Azure untuk deteksi kerentanan dan penilaian risiko.
Layanan cloud Google Cloud yang didukung
Pemindaian penilaian kerentanan yang dikelola Security Health Analytics untuk Google Cloud dapat secara otomatis mendeteksi kerentanan dan kesalahan konfigurasi umum di seluruh layanan Google Cloud berikut:
- Cloud Monitoring dan Cloud Logging
- Compute Engine
- Container dan jaringan Google Kubernetes Engine
- Cloud Storage
- Cloud SQL
- Identity and Access Management (IAM)
- Cloud Key Management Service (Cloud KMS)
Jenis pemindaian Security Health Analytics
Pemindaian Security Health Analytics berjalan dalam tiga mode:
Pemindaian batch: Semua detektor dijadwalkan untuk dijalankan untuk semua organisasi atau project yang terdaftar sekali sehari. Untuk Security Command Center Standard-legacy, pemindaian penyerapan berjalan setiap 48 jam yang dapat menyebabkan latensi pembaruan temuan selama 72 jam.
Pemindaian real-time: Khusus untuk deployment, detektor yang didukung memulai pemindaian setiap kali perubahan terdeteksi dalam konfigurasi resource. Google Cloud Temuan ditulis ke Security Command Center. Pemindaian real-time tidak didukung untuk deployment di platform cloud lainnya.
Mode campuran: Beberapa detektor yang mendukung pemindaian real-time mungkin tidak mendeteksi perubahan secara real-time untuk semua jenis resource yang didukung. Dalam kasus tersebut, perubahan konfigurasi untuk beberapa jenis resource langsung dicatat dan yang lainnya dicatat dalam pemindaian batch. Pengecualian dicatat dalam tabel temuan Security Health Analytics.
Pengaktifan detektor Security Health Analytics
Security Health Analytics menggunakan detektor untuk mengidentifikasi kerentanan dan kesalahan konfigurasi di lingkungan cloud Anda. Setiap detektor sesuai dengan kategori temuan.
Security Health Analytics dilengkapi dengan banyak detektor bawaan yang memeriksa kerentanan dan miskonfigurasi di berbagai kategori dan jenis resource.
Untuk tingkat layanan Premium dan Enterprise, Anda juga dapat membuat detektor kustom sendiri yang dapat memeriksa kerentanan atau kesalahan konfigurasi yang tidak tercakup oleh detektor bawaan atau yang khusus untuk lingkungan Anda.
Untuk mengetahui informasi selengkapnya tentang detektor Security Health Analytics bawaan, lihat Detektor bawaan Security Health Analytics.
Untuk mengetahui informasi selengkapnya tentang cara membuat dan menggunakan modul kustom, lihat Modul kustom Security Health Analytics.
Mengaktifkan dan menonaktifkan detektor
Tidak semua detektor bawaan Security Health Analytics diaktifkan secara default.
Untuk mengaktifkan detektor bawaan yang tidak aktif, lihat Mengaktifkan dan menonaktifkan detektor.
Untuk mengaktifkan atau menonaktifkan modul deteksi kustom Security Health Analytics, Anda dapat memperbarui modul kustom menggunakan konsol Google Cloud , gcloud CLI, atau Security Command Center API.
Untuk mengetahui informasi selengkapnya tentang cara memperbarui modul kustom Security Health Analytics, lihat Memperbarui modul kustom.
Detektor bawaan dan aktivasi level project
Jika Anda mengaktifkan Security Command Center hanya untuk project, detektor Analisis Kondisi Keamanan bawaan tertentu tidak didukung karena memerlukan izin tingkat organisasi.
Dari detektor bawaan yang memerlukan aktivasi level organisasi, Anda dapat mengaktifkan detektor yang tersedia dengan paket Standard lama Security Command Center untuk aktivasi level project dengan mengaktifkan paket Standard lama untuk organisasi Anda.
Detektor bawaan yang memerlukan izin tingkat organisasi dan paket Premium tidak didukung dengan aktivasi tingkat project.
Untuk mengetahui daftar detektor bawaan paket Standar lama yang memerlukan aktivasi Security Command Center Standar lama di tingkat organisasi sebelum dapat digunakan dengan aktivasi tingkat project, lihat Kategori temuan paket Standar tingkat organisasi.
Untuk mengetahui daftar detektor bawaan tingkat Premium yang tidak didukung dengan aktivasi tingkat project, lihat Temuan Security Health Analytics yang tidak didukung.
Detektor modul kustom dan aktivasi level project
Premium
Pemindaian detektor modul kustom yang Anda buat dalam project terbatas pada cakupan project, terlepas dari tingkat aktivasi Security Command Center. Detektor modul kustom hanya dapat memindai resource yang tersedia untuk project tempat detektor tersebut dibuat.
Untuk mengetahui informasi selengkapnya tentang modul kustom, lihat Modul kustom Security Health Analytics.
Detektor bawaan Security Health Analytics
Bagian ini menjelaskan kategori umum detektor, yang tercantum menurut platform cloud dan kategori temuan yang dihasilkan.
Detektor bawaan untuk Google Cloud menurut kategori tingkat tinggi
Detektor Security Health Analytics untuk Google Cloud, dan temuan yang dihasilkan, dikelompokkan ke dalam kategori tingkat tinggi berikut.
Detektor Security Health Analytics memantau subset jenis resource yang didukung oleh Cloud Asset Inventory. Google Cloud
Untuk melihat masing-masing detektor yang disertakan dalam setiap kategori, klik nama kategori.
- Temuan kerentanan kunci API
- Temuan kerentanan gambar Compute
- Temuan kerentanan instance Compute
- Temuan kerentanan container
- Temuan kerentanan Dataproc
- Dataset vulnerability findings
- Temuan kerentanan DNS
- Temuan kerentanan firewall
- Temuan kerentanan IAM
- Temuan kerentanan KMS
- Mencatat temuan kerentanan
- Memantau temuan kerentanan
- Temuan kerentanan autentikasi multi-faktor
- Temuan kerentanan jaringan
- Temuan kerentanan kebijakan organisasi
- Temuan kerentanan Pub/Sub
- Temuan kerentanan SQL
- Storage vulnerability findings
- Temuan kerentanan subnetwork
Detektor bawaan untuk AWS
Untuk mengetahui daftar semua detektor Security Health Analytics untuk AWS, lihat Temuan AWS.
Modul kustom Security Health Analytics
Modul kustom Security Health Analytics adalah detektor kustom untuk Google Cloud yang memperluas kemampuan deteksi Security Health Analytics di luar yang disediakan oleh detektor bawaan.
Modul kustom tidak didukung untuk platform cloud lainnya.
Anda dapat membuat modul kustom menggunakan alur kerja terpandu di konsolGoogle Cloud , atau Anda dapat membuat definisi modul kustom sendiri dalam file YAML, lalu menguploadnya ke Security Command Center menggunakan perintah Google Cloud CLI atau Security Command Center API.
Untuk mengetahui informasi selengkapnya, lihat Ringkasan modul kustom untuk Security Health Analytics.
Detektor dan kepatuhan
Pengukuran kepatuhan terhadap tolok ukur keamanan oleh Security Command Center sebagian besar didasarkan pada temuan yang dihasilkan oleh detektor kerentanan Security Health Analytics.
Security Health Analytics memantau kepatuhan Anda terhadap detektor yang dipetakan ke kontrol berbagai standar keamanan.
Untuk setiap standar keamanan yang didukung, Security Health Analytics akan memeriksa subset kontrol. Untuk kontrol yang diperiksa, Security Command Center menunjukkan berapa banyak yang lulus. Untuk kontrol yang tidak lulus, Security Command Center akan menampilkan daftar temuan yang menjelaskan kegagalan kontrol.
CIS meninjau dan mensertifikasi pemetaan detektor Security Health Analytics ke setiap versi Tolok Ukur Fondasi CIS yang didukung. Google Cloud Pemetaan kepatuhan tambahan disertakan hanya untuk tujuan referensi.
Security Health Analytics menambahkan dukungan untuk versi dan standar tolok ukur baru secara berkala. Versi lama tetap didukung, tetapi pada akhirnya tidak akan digunakan lagi. Sebaiknya gunakan tolok ukur atau standar terbaru yang didukung.
Dengan layanan postur keamanan, Anda dapat memetakan kebijakan organisasi dan detektor Security Health Analytics ke standar dan kontrol yang berlaku untuk bisnis Anda. Setelah membuat postur keamanan, Anda dapat memantau perubahan apa pun pada lingkungan yang dapat memengaruhi kepatuhan bisnis Anda.
Dengan Compliance Manager, Anda dapat men-deploy framework yang memetakan kontrol peraturan ke kontrol cloud. Setelah membuat framework, Anda dapat memantau setiap perubahan pada lingkungan yang dapat memengaruhi kepatuhan bisnis Anda dan mengaudit lingkungan Anda.
Untuk mengetahui informasi selengkapnya tentang cara mengelola kepatuhan, lihat Menilai dan melaporkan kepatuhan terhadap standar keamanan.
Standar keamanan yang didukung
Google Cloud
Security Health Analytics memetakan detektor untuk Google Cloud ke satu atau beberapa standar kepatuhan berikut:
- Center for Information Security (CIS) Controls 8.0
- CIS Google Cloud Computing Foundations Benchmark v2.0.0, v1.3.0, v1.2.0, v1.1.0, dan v1.0.0
- CIS Kubernetes Benchmark v1.5.1
- Cloud Controls Matrix (CCM) 4
- Health Insurance Portability and Accountability Act (HIPAA)
- International Organization for Standardization (ISO) 27001, 2022 dan 2013
- National Institute of Standards and Technology (NIST) 800-53 R5 dan R4
- National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) 1.0
- Open Web Application Security Project (OWASP) Top Ten, 2021 dan 2017
- Payment Card Industry Data Security Standard (PCI DSS) 4.0 dan 3.2.1
- System and Organization Controls (SOC) 2 2017 Trust Services Criteria (TSC)
AWS
Di tingkat layanan Enterprise, Security Health Analytics memetakan detektor untuk Amazon Web Services (AWS) ke satu atau beberapa standar kepatuhan berikut:
- CIS Amazon Web Services Foundations 2.0.0
- CIS Critical Security Controls Versi 8.0
- Cloud Controls Matrix (CCM) 4
- Health Insurance Portability and Accountability Act (HIPAA)
- International Organization for Standardization (ISO) 27001, 2022
- National Institute of Standards and Technology (NIST) 800-53 R5
- National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) 1.0
- Payment Card Industry Data Security Standard (PCI DSS) 4.0 dan 3.2.1
- System and Organization Controls (SOC) 2 2017 Trusted Services Criteria (TSC)
Untuk mengetahui informasi selengkapnya tentang kepatuhan, lihat Menilai dan melaporkan kepatuhan terhadap tolok ukur keamanan.