Présentation de Security Health Analytics

Security Health Analytics est un service géré de Security Command Center qui analyse vos environnements cloud pour détecter les erreurs de configuration courantes susceptibles de vous exposer à des attaques.

Security Health Analytics est automatiquement activé lors des nouvelles activations de Security Command Center aux niveaux Standard (ancienne version), Premium et Enterprise.

Fonctionnalités de Security Health Analytics par niveau

Les fonctionnalités Security Health Analytics dont vous disposez varient en fonction du niveau de service auquel Security Command Center est activé. Pour savoir quels résultats sont disponibles avec chaque niveau, consultez Résultats de Security Health Analytics.

Fonctionnalités du forfait Standard (ancien)

Au niveau Standard (ancienne version), Security Health Analytics ne peut détecter qu'un groupe de base de failles de gravité moyenne et élevée.

Fonctionnalités du niveau Standard

Si le niveau Standard vient d'être activé dans votre organisation (c'est-à-dire que l'organisation n'a pas été migrée depuis l'ancien niveau Standard), Security Health Analytics n'est pas disponible. Utilisez le framework Principes de base de la sécurité du Gestionnaire de conformité et l'évaluation des failles pour Google Cloud afin d'analyser votre environnement et d'identifier les erreurs de configuration et les failles qui pourraient vous exposer à des attaques.

Si votre organisation a été migrée du niveau Standard (ancienne version) vers le niveau Standard, les détecteurs Security Health Analytics suivants sont migrés vers les contrôles Compliance Manager du framework "Principes de base de la sécurité" :

• DATAPROC_IMAGE_OUTDATED
• LEGACY_AUTHORIZATION_ENABLED
• OPEN_CISCOSECURE_WEBSM_PORT
• OPEN_DIRECTORY_SERVICES_PORT
• OPEN_FIREWALL
• OPEN_RDP_PORT
• OPEN_SSH_PORT
• OPEN_TELNET_PORT
• PUBLIC_DATASET
• PUBLIC_IP_ADDRESS
• PUBLIC_SQL_INSTANCE
• SSL_NOT_ENFORCED
• WEB_UI_ENABLED

Security Health Analytics est activé et tous les détecteurs continuent de générer des résultats, mais ceux créés par la version Security Health Analytics des détecteurs migrés sont associés à l'identifiant de valeur de champ launch_state="LAUNCH_STATE_DEPRECATED" et ne s'affichent pas sur certaines pages de la console Google Cloud .

La plupart des détecteurs SHA ont des contrôles Compliance Manager équivalents. Pour en savoir plus, consultez Mappage des détecteurs Security Health Analytics aux contrôles cloud.

Pour afficher les résultats créés par la version Compliance Manager des détecteurs migrés, procédez comme suit :

• Page Résultats
• Page Conformité > onglet Surveiller

Pour afficher les résultats générés par la version Security Health Analytics des détecteurs migrés, procédez comme suit :

• page Résultats et supprimez le terme launch_state="LAUNCH_STATE_DEPRECATED" de la requête.
• Ancienne section Failles

Les détecteurs suivants ne sont pas migrés vers le framework Principes de base de la sécurité dans Compliance Manager :

• MFA_NOT_ENFORCED
• NON_ORG_IAM_MEMBER
• OPEN_GROUP_IAM_MEMBER
• PUBLIC_BUCKET_ACL
• PUBLIC_COMPUTE_IMAGE
• PUBLIC_LOG_BUCKET

Vous pouvez activer ces détecteurs dans l'onglet Paramètres > Security Health Analytics > Modules.

Pour afficher les résultats créés par ces détecteurs Security Health Analytics, procédez comme suit :

• Page Résultats

• Tableau de bord Aperçu des risques > Tous les risques :

  • Panneau Principales erreurs de configuration
  • Panneau Erreurs de configuration par date

Les résultats générés par ces détecteurs Security Health Analytics n'apparaissent pas sur la page Conformité.

Fonctionnalités du niveau Premium

Si le niveau Premium vient d'être activé dans votre organisation (c'est-à-dire que l'organisation n'a pas été migrée depuis le niveau Standard), Security Health Analytics inclut les fonctionnalités suivantes :

• Tous les détecteurs pour Google Cloud, ainsi qu'un certain nombre d'autres fonctionnalités de détection des failles, comme la possibilité de créer des modules de détection personnalisés.
• Les résultats sont associés à des contrôles de conformité pour les rapports de conformité. Pour en savoir plus, consultez Détecteurs et conformité.
• Les simulations de chemins d'attaque de Security Command Center calculent les scores d'exposition aux attaques et les chemins d'attaque potentiels pour la plupart des résultats de l'analyse de l'état de la sécurité. Pour en savoir plus, consultez Présentation des scores d'exposition aux attaques et des chemins d'attaque.

Si votre organisation est passée du niveau Standard au niveau Premium, consultez Changer de niveau pour en savoir plus sur l'ensemble modifié des fonctionnalités de détecteur Security Health Analytics.

Fonctionnalités du niveau Enterprise

Si le niveau Enterprise vient d'être activé dans votre organisation (c'est-à-dire que l'organisation n'a pas été migrée depuis le niveau Standard), Security Health Analytics inclut toutes les fonctionnalités du niveau Premium, ainsi que des détecteurs pour d'autres plates-formes de fournisseurs de services cloud.

Si votre organisation est passée du niveau Standard au niveau Premium, consultez Changer de niveau pour en savoir plus sur l'ensemble modifié des fonctionnalités de détecteur Security Health Analytics.

Changer de niveau

Security Command Center dans les niveaux Premium et Enterprise comporte plus de détecteurs que dans le niveau Standard (ancienne version). Si vous utilisez le niveau Premium ou Enterprise et que vous prévoyez de passer au niveau Standard ou Standard (ancienne version), nous vous recommandons de résoudre tous les résultats avant de changer de niveau.

Lorsqu'un essai Premium ou Enterprise se termine, ou que vous passez de l'un de ces niveaux au niveau Standard ou Standard (ancienne version), l'état des résultats générés au niveau supérieur est défini sur INACTIVE.

Si votre organisation ne disposait pas de Security Command Center et qu'il a été automatiquement activé avec le niveau Standard, puis que vous êtes passé au niveau Premium ou Enterprise, utilisez le framework Security Essentials dans Compliance Manager pour configurer les détections.

Si votre organisation a été migrée du niveau Standard-legacy vers le niveau Standard, puis que vous êtes passé au niveau Premium ou Enterprise, vous ne pouvez pas activer les détecteurs Security Health Analytics de niveau Premium ou Enterprise. Utilisez les frameworks du Gestionnaire de conformité disponibles avec les niveaux Premium et Enterprise pour configurer les détections.

La plupart des détecteurs Security Health Analytics des niveaux Premium et Enterprise sont migrés vers le framework Principes de base de la sécurité dans Compliance Manager.

Pour en savoir plus sur les frameworks et les contrôles cloud de Compliance Manager, consultez Frameworks Compliance Manager.

Pour savoir comment les détecteurs Security Health Analytics sont mappés aux contrôles cloud Compliance Manager, consultez Mappage des détecteurs Security Health Analytics aux contrôles cloud.

Prise en charge du multicloud

Security Health Analytics peut détecter les erreurs de configuration dans vos déploiements sur d'autres plates-formes cloud.

Security Health Analytics est compatible avec les autres fournisseurs de services cloud suivants :

• Amazon Web Services (AWS) : pour exécuter les détecteurs sur les données AWS, vous devez d'abord connecter Security Command Center à AWS, comme décrit dans Se connecter à AWS pour collecter des données de configuration et de ressources.

• Microsoft Azure : pour exécuter les détecteurs sur les données Microsoft Azure, vous devez d'abord connecter Security Command Center à Microsoft Azure, comme décrit dans Se connecter à Microsoft Azure pour détecter les failles et évaluer les risques.

Services cloud Google Cloud pris en charge

L'analyse d'évaluation des failles gérée par Security Health Analytics pour Google Cloudpeut détecter automatiquement les failles courantes et les erreurs de configuration dans les services Google Cloud suivants :

• Cloud Monitoring et Cloud Logging
• Compute Engine
• Conteneurs et réseaux Google Kubernetes Engine
• Cloud Storage
• Cloud SQL
• Gestion de l'authentification et des accès (IAM)
• Cloud Key Management Service (Cloud KMS)

Types d'analyses Security Health Analytics

Security Health Analytics s'exécute dans trois modes :

• Analyse par lots : tous les détecteurs sont programmés pour s'exécuter pour toutes les organisations ou tous les projets enregistrés, une fois par jour. Pour Security Command Center Standard (ancienne version), l'analyse d'ingestion s'exécute toutes les 48 heures, ce qui peut entraîner une latence de mise à jour des résultats de 72 heures.

• Analyse en temps réel : pour les déploiements Google Cloud uniquement, les détecteurs compatibles lancent des analyses chaque fois qu'une modification est détectée dans la configuration d'une ressource. Les résultats sont écrits dans Security Command Center. Les analyses en temps réel ne sont pas compatibles avec les déploiements sur d'autres plates-formes cloud.

• Mode mixte : certains détecteurs compatibles avec les analyses en temps réel peuvent ne pas détecter les modifications en temps réel pour tous les types de ressources compatibles. Dans ce cas, les modifications de configuration de certains types de ressources sont capturées immédiatement, tandis que d'autres sont capturées lors des analyses par lot. Les exceptions sont indiquées dans les tableaux des résultats de Security Health Analytics.

Activation des détecteurs Security Health Analytics

Security Health Analytics utilise des détecteurs pour identifier les failles et les erreurs de configuration dans votre environnement cloud. Chaque détecteur correspond à une catégorie de résultats.

Security Health Analytics est fourni avec de nombreux détecteurs intégrés qui recherchent les failles et les erreurs de configuration dans un grand nombre de catégories et de types de ressources.

Pour les niveaux de service Premium et Enterprise, vous pouvez également créer vos propres détecteurs personnalisés. Ils peuvent rechercher des failles ou des erreurs de configuration qui ne sont pas couvertes par les détecteurs intégrés ou qui sont spécifiques à votre environnement.

Pour en savoir plus sur les détecteurs intégrés de Security Health Analytics, consultez Détecteurs intégrés de Security Health Analytics.

Pour en savoir plus sur la création et l'utilisation de modules personnalisés, consultez Modules personnalisés Security Health Analytics.

Activer et désactiver des détecteurs

Tous les détecteurs intégrés de Security Health Analytics ne sont pas activés par défaut.

Pour activer les détecteurs intégrés inactifs, consultez Activer et désactiver des détecteurs.

Pour activer ou désactiver un module de détection personnalisé Security Health Analytics, vous pouvez mettre à jour le module personnalisé à l'aide de la console Google Cloud , de gcloud CLI ou de l'API Security Command Center.

Pour en savoir plus sur la mise à jour des modules personnalisés Security Health Analytics, consultez Mettre à jour un module personnalisé.

Détecteurs intégrés et activations au niveau du projet

Lorsque vous activez Security Command Center pour un projet uniquement, certains détecteurs Security Health Analytics intégrés ne sont pas compatibles, car ils nécessitent des autorisations au niveau de l'organisation.

Parmi les détecteurs intégrés qui nécessitent une activation au niveau de l'organisation, vous pouvez activer ceux qui sont disponibles avec le niveau Standard (ancienne version) de Security Command Center pour les activations au niveau du projet en activant le niveau Standard (ancienne version) pour votre organisation.

Les détecteurs intégrés qui nécessitent à la fois le niveau Premium et des autorisations au niveau de l'organisation ne sont pas compatibles avec les activations au niveau du projet.

Pour obtenir la liste des détecteurs intégrés au niveau Standard (ancienne version) qui nécessitent une activation au niveau de l'organisation de Security Command Center Standard (ancienne version) avant de pouvoir être utilisés avec une activation au niveau du projet, consultez Catégories de résultats du niveau Standard au niveau de l'organisation.

Pour obtenir la liste des détecteurs intégrés du niveau Premium qui ne sont pas compatibles avec les activations au niveau du projet, consultez Résultats Security Health Analytics non compatibles.

Détecteurs de modules personnalisés et activations au niveau du projet

Les analyses des détecteurs de modules personnalisés que vous créez dans un projet sont limitées à la portée du projet, quel que soit le niveau d'activation de Security Command Center. Les détecteurs de modules personnalisés ne peuvent analyser que les ressources disponibles pour le projet dans lequel ils sont créés.

Pour en savoir plus sur les modules personnalisés, consultez Modules personnalisés Security Health Analytics.

Détecteurs intégrés de Security Health Analytics

Cette section décrit les catégories générales de détecteurs, listées par plate-forme cloud et par catégorie de résultats qu'ils génèrent.

Détecteurs intégrés pour Google Cloud par catégorie générale

Les détecteurs Security Health Analytics pour Google Cloudet les résultats qu'ils génèrent sont regroupés dans les catégories générales suivantes.

Les détecteurs Security Health Analytics surveillent un sous-ensemble des types de ressources Google Cloudcompatibles avec l'inventaire des éléments cloud.

Pour afficher les détecteurs individuels inclus dans chaque catégorie, cliquez sur le nom de la catégorie.

• Résultats de failles de clé API
• Résultats de failles d'image Compute
• Résultats de failles d'instance Compute
• Résultats de failles de conteneur
• Résultats de failles Dataproc
• Résultats de failles d'ensemble de données
• Résultats de failles DNS
• Résultats de failles de pare-feu
• Résultats de failles IAM
• Résultats de failles KMS
• Résultats de failles de journalisation
• Surveillance des résultats de failles
• Détection de failles de l'authentification multifacteur
• Résultats de failles de réseau
• Résultats de failles liées aux règles d'administration
• Résultats de failles Pub/Sub
• Résultats de failles SQL
• Résultats de failles de stockage
• Résultats de failles de sous-réseau

Détecteurs intégrés pour AWS

Pour obtenir la liste de tous les détecteurs Security Health Analytics pour AWS, consultez Résultats AWS.

Modules personnalisés pour Security Health Analytics

Les modules personnalisés Security Health Analytics sont des détecteurs personnalisés pourGoogle Cloud qui étendent les capacités de détection de Security Health Analytics au-delà de celles fournies par les détecteurs intégrés.

Les modules personnalisés ne sont pas compatibles avec les autres plates-formes cloud.

Vous pouvez créer des modules personnalisés à l'aide du workflow guidé dans la consoleGoogle Cloud , ou vous pouvez créer vous-même la définition du module personnalisé dans un fichier YAML, puis l'importer dans Security Command Center à l'aide des commandes Google Cloud CLI ou de l'API Security Command Center.

Pour en savoir plus, consultez Présentation des modules personnalisés pour Security Health Analytics.

Détecteurs et conformité

La mesure de la conformité aux benchmarks de sécurité dans Security Command Center repose en grande partie sur les résultats produits par les détecteurs de failles Security Health Analytics.

Security Health Analytics surveille votre conformité à l'aide de détecteurs mappés aux contrôles d'une grande variété de normes de sécurité.

Pour chaque norme de sécurité acceptée, Security Health Analytics vérifie un sous-ensemble de contrôles. Pour les contrôles vérifiés, Security Command Center indique le nombre de contrôles réussis. Pour les contrôles qui ne sont pas conformes, Security Command Center affiche une liste de résultats décrivant les échecs des contrôles.

Le CIS examine et certifie les mappages des détecteurs Security Health Analytics à chaque version compatible du benchmark CIS Google Cloud Foundations. D'autres mappages de conformité sont inclus à titre de référence uniquement.

Security Health Analytics ajoute régulièrement la compatibilité avec de nouvelles versions de benchmarks et de normes. Les anciennes versions restent compatibles, mais sont finalement abandonnées. Nous vous recommandons d'utiliser le dernier benchmark ou la dernière norme compatible disponible.

Le service de stratégie de sécurité vous permet de mapper les règles d'administration et les détecteurs Security Health Analytics aux normes et aux contrôles qui s'appliquent à votre entreprise. Une fois que vous avez créé une posture de sécurité, vous pouvez surveiller les modifications apportées à l'environnement qui pourraient affecter la conformité de votre entreprise.

Avec le Gestionnaire de conformité, vous pouvez déployer des frameworks qui mappent les contrôles réglementaires aux contrôles cloud. Une fois que vous avez créé un framework, vous pouvez surveiller les modifications apportées à l'environnement qui pourraient affecter la conformité de votre entreprise et auditer votre environnement.

Pour en savoir plus sur la gestion de la conformité, consultez Évaluer et signaler la conformité aux normes de sécurité.

Normes de sécurité acceptées

Google Cloud

Security Health Analytics mappe les détecteurs pour Google Cloud avec une ou plusieurs des normes de conformité suivantes :

• CIS (Center for Information Security) Controls 8.0
• Benchmark CIS Google Cloud Computing Foundations v2.0.0, v1.3.0, v1.2.0, v1.1.0 et v1.0.0
• Benchmark CIS de Kubernetes v1.5.1
• Cloud Controls Matrix (CCM) 4
• Health Insurance Portability and Accountability Act (HIPAA)
• Normes ISO (Organisation internationale de normalisation) 27001, 2022 et 2013
• NIST (National Institute of Standards and Technology) 800-53 R5 et R4
• Cybersecurity Framework (CSF) 1.0 du National Institute of Standards and Technology (NIST)
• Top 10 de l'OWASP (Open Web Application Security Project), 2021 et 2017
• Norme PCI DSS (Payment Card Industry Data Security Standard) 4.0 et 3.2.1
• Contrôles des systèmes et des organisations (SOC) 2 Critères des services de confiance (TSC) de 2017

AWS

Au niveau de service Enterprise, Security Health Analytics mappe les détecteurs pour Amazon Web Services (AWS) à une ou plusieurs des normes de conformité suivantes :

• CIS Amazon Web Services Foundations 2.0.0
• CIS Critical Security Controls version 8.0
• Cloud Controls Matrix (CCM) 4
• Health Insurance Portability and Accountability Act (HIPAA)
• Norme ISO (Organisation internationale de normalisation) 27001, 2022
• NIST (National Institute of Standards and Technology) 800-53 R5
• National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) 1.0
• Normes PCI DSS (Payment Card Industry Data Security Standard) 4.0 et 3.2.1
• System and Organization Controls (SOC) 2 Critères de services fiables (TSC) 2017

Pour en savoir plus sur la conformité, consultez Évaluer et signaler la conformité aux benchmarks de sécurité.