Panoramica di Security Health Analytics

Security Health Analytics è un servizio gestito di Security Command Center che esegue la scansione degli ambienti cloud alla ricerca di errori di configurazione comuni che potrebbero esporre agli attacchi.

Security Health Analytics è disabilitato per le nuove attivazioni di Security Command Center nei livelli Standard-legacy, Premium ed Enterprise. Per queste organizzazioni, utilizza Compliance Manager per eseguire la scansione dell'ambiente alla ricerca di errori di configurazione.

Funzionalità di Security Health Analytics per livello

Le funzionalità di Security Health Analytics a tua disposizione variano a seconda del livello di servizio in cui è abilitato Security Command Center. Puoi visualizzare i risultati disponibili con i vari livelli in Risultati di Security Health Analytics.

Funzionalità del livello Standard-legacy

Nel livello Standard-legacy, Security Health Analytics può rilevare solo un gruppo di base di vulnerabilità di gravità media ed elevata.

Funzionalità del livello Standard

Se il livello Standard è stato attivato di recente nella tua organizzazione, il che significa che l'organizzazione non è stata migrata dal livello Standard-legacy, Security Health Analytics non è disponibile. Utilizza il framework Security Essentials di Compliance Manager e la valutazione di vulnerabilità Google Cloud per eseguire la scansione dell'ambiente alla ricerca di errori di configurazione e vulnerabilità che potrebbero esporre agli attacchi.

Se la tua organizzazione è stata migrata dal livello Standard-legacy al livello Standard, i seguenti rilevatori di Security Health Analytics vengono migrati ai controlli di Compliance Manager nel framework Security Essentials:

• DATAPROC_IMAGE_OUTDATED
• LEGACY_AUTHORIZATION_ENABLED
• OPEN_CISCOSECURE_WEBSM_PORT
• OPEN_DIRECTORY_SERVICES_PORT
• OPEN_FIREWALL
• OPEN_RDP_PORT
• OPEN_SSH_PORT
• OPEN_TELNET_PORT
• PUBLIC_DATASET
• PUBLIC_IP_ADDRESS
• PUBLIC_SQL_INSTANCE
• SSL_NOT_ENFORCED
• WEB_UI_ENABLED

Security Health Analytics è abilitato e tutti i rilevatori continuano a generare risultati, ma i risultati creati dalla versione di Security Health Analytics dei rilevatori migrati sono etichettati con l'identificatore del valore del campo: launch_state="LAUNCH_STATE_DEPRECATED" e non vengono visualizzati in alcune Google Cloud pagine della console.

La maggior parte dei rilevatori SHA ha controlli di Compliance Manager equivalenti. Per saperne di più, consulta Mappatura dei rilevatori di Security Health Analytics ai controlli cloud.

Per visualizzare i risultati creati dalla versione di Compliance Manager dei rilevatori migrati, utilizza quanto segue:

• Pagina Risultati
• Pagina Conformità > scheda Monitora

Per visualizzare i risultati generati dalla versione di Security Health Analytics dei rilevatori migrati, utilizza quanto segue:

• Pagina Risultati e rimuovi il launch_state="LAUNCH_STATE_DEPRECATED" termine dalla query.
• Vulnerabilità legacy

I seguenti rilevatori non vengono migrati al framework Security Essentials in Compliance Manager:

• MFA_NOT_ENFORCED
• NON_ORG_IAM_MEMBER
• OPEN_GROUP_IAM_MEMBER
• PUBLIC_BUCKET_ACL
• PUBLIC_COMPUTE_IMAGE
• PUBLIC_LOG_BUCKET

Puoi abilitare questi rilevatori nella scheda Impostazioni > Security Health Analytics > Moduli.

Per visualizzare i risultati creati da questi rilevatori di Security Health Analytics, utilizza quanto segue:

• Pagina Risultati

• Panoramica dei rischi > Tutti i rischi dashboard:

  • Riquadro Principali errori di configurazione
  • Riquadro Errori di configurazione per data

I risultati generati da questi rilevatori di Security Health Analytics non vengono visualizzati nella pagina Conformità.

Funzionalità del livello Premium

Se il livello Premium è stato attivato di recente nella tua organizzazione, il che significa che l'organizzazione non è stata migrata dal livello Standard, Security Health Analytics non è disponibile e non può essere abilitato. Per queste organizzazioni, utilizza Compliance Manager per eseguire la scansione dell'ambiente alla ricerca di errori di configurazione.

Se il livello Premium viene migrato dal livello Standard, Security Health Analytics include le seguenti funzionalità:

• Tutti i rilevatori per Google Cloud, nonché una serie di altre funzionalità di rilevamento delle vulnerabilità, come la possibilità di creare moduli di rilevamento personalizzati.
• I risultati vengono mappati ai controlli di conformità per i report sulla conformità. Per saperne di più, consulta Rilevatori e conformità.
• Le simulazioni dei percorsi di attacco di Security Command Center calcolano i punteggi di esposizione agli attacchi e i potenziali percorsi di attacco per la maggior parte dei risultati di Security Health Analytics. Per saperne di più, consulta Panoramica dei punteggi di esposizione agli attacchi e dei percorsi di attacco.

Se la tua organizzazione ha eseguito l'upgrade dal livello Standard al livello Premium, consulta Cambio di livelli per informazioni sul set modificato di funzionalità dei rilevatori di Security Health Analytics.

Funzionalità del livello Enterprise

Se il livello Enterprise è stato attivato di recente nella tua organizzazione, il che significa che l'organizzazione non è stata migrata dal livello Standard, Security Health Analytics non è disponibile e non può essere abilitato. Per queste organizzazioni, utilizza Compliance Manager per eseguire la scansione dell'ambiente alla ricerca di errori di configurazione.

Se la tua organizzazione ha eseguito l'upgrade dal livello Standard al livello Enterprise, consulta Cambio di livelli per informazioni sul set modificato di funzionalità dei rilevatori di Security Health Analytics.

Cambio di livelli

Security Command Center nei livelli Premium ed Enterprise ha più rilevatori rispetto al livello Standard-legacy. Se utilizzi il livello Premium o Enterprise e prevedi di eseguire il downgrade al livello Standard o Standard-legacy, ti consigliamo di risolvere tutti i risultati prima di cambiare livello.

Quando termina una prova Premium o Enterprise o esegui il downgrade da uno di questi livelli al livello Standard o Standard-legacy, lo stato dei risultati generati al livello superiore viene impostato su INACTIVE.

Se la tua organizzazione non aveva Security Command Center ed è stata attivata automaticamente con il livello Standard, quindi hai eseguito l'upgrade al livello Premium o Enterprise, utilizza il framework Security Essentials in Compliance Manager per configurare i rilevamenti.

Se la tua organizzazione è stata migrata al livello Standard dal livello Standard-legacy e poi hai eseguito l'upgrade al livello Premium o Enterprise, Security Health Analytics rimane parzialmente abilitato. Non puoi abilitare i rilevatori di Security Health Analytics del livello Premium o Enterprise. Devi utilizzare i framework di Compliance Manager disponibili con i livelli Premium ed Enterprise per configurare i rilevamenti.

La maggior parte dei rilevatori di Security Health Analytics nel livello Premium ed Enterprise viene migrata al framework Security Essentials in Compliance Manager.

Per saperne di più sui framework di Compliance Manager e sui controlli cloud, consulta Framework di Compliance Manager.

Per informazioni su come i rilevatori di Security Health Analytics vengono mappati ai controlli cloud di Compliance Manager, consulta Mappatura dei rilevatori di Security Health Analytics ai controlli cloud.

Supporto multi-cloud

Security Health Analytics può rilevare errori di configurazione nei deployment su altre piattaforme cloud.

Security Health Analytics supporta i seguenti altri cloud provider:

• Amazon Web Services (AWS): per eseguire i rilevatori sui dati AWS, devi prima connettere Security Command Center ad AWS, come descritto in Connettere Security Command Center ad AWS per la raccolta di dati di configurazione e risorse.

• Microsoft Azure: per eseguire i rilevatori sui dati di Microsoft Azure, devi prima connettere Security Command Center a Microsoft Azure, come descritto in Connettere Security Command Center a Microsoft Azure per il rilevamento delle vulnerabilità e la valutazione dei rischi.

Servizi cloud supportati Google Cloud

La scansione gestita della valutazione di vulnerabilità di Security Health Analytics per Google Cloud può rilevare automaticamente le vulnerabilità e gli errori di configurazione comuni nei seguenti Google Cloud servizi:

• Cloud Monitoring e Cloud Logging
• Compute Engine
• Container e reti di Google Kubernetes Engine
• Cloud Storage
• Cloud SQL
• Identity and Access Management (IAM)
• Cloud Key Management Service (Cloud KMS)

Tipi di scansione di Security Health Analytics

Le scansioni di Security Health Analytics vengono eseguite in tre modalità:

• Scansione batch: tutti i rilevatori sono pianificati per essere eseguiti periodicamente per tutte le organizzazioni o i progetti registrati.

  Per informazioni sulla frequenza delle scansioni, consulta Latenza delle scansioni di Security Health Analytics.

• Scansione in tempo reale: solo per i Google Cloud deployment, i rilevatori supportati avviano le scansioni ogni volta che viene rilevata una modifica nella configurazione di una risorsa. I risultati vengono scritti in Security Command Center. Le scansioni in tempo reale non sono supportate per i deployment su altre piattaforme cloud.

• Modalità mista: alcuni rilevatori che supportano le scansioni in tempo reale potrebbero non rilevare le modifiche in tempo reale per tutti i tipi di risorse supportati. In questi casi, le modifiche alla configurazione per alcuni tipi di risorse vengono acquisite immediatamente, mentre altre vengono acquisite nelle scansioni batch. Le eccezioni sono indicate nelle tabelle dei risultati di Security Health Analytics.

Security Health Analytics esegue la scansione delle risorse su altre piattaforme cloud solo in modalità batch.

Latenza delle scansioni di Security Health Analytics

Le sezioni seguenti descrivono il tempo necessario prima che i risultati vengano generati dalla scansione iniziale e la frequenza delle scansioni successive.

Scansione iniziale

Nei livelli Premium ed Enterprise, la scansione iniziale viene avviata circa un'ora dopo l'abilitazione del servizio. Il completamento delle prime scansioni di Security Health Analytics può richiedere fino a 12 ore.

Nei livelli Security Command Center Standard e Standard-legacy, le scansioni vengono eseguite ogni 48 ore, il che può comportare una latenza iniziale dei risultati di 72 ore.

Potresti visualizzare alcuni risultati nella Google Cloud console durante l'esecuzione delle scansioni iniziali , ma prima del completamento della procedura di onboarding. I risultati preliminari sono accurati e utilizzabili, ma non sono esaustivi. Non è consigliabile utilizzare questi risultati per una valutazione di conformità entro le prime 24 ore.

Scansioni successive

Dopo la scansione iniziale, i rilevamenti vengono eseguiti periodicamente in modalità batch.

• Nei livelli Premium ed Enterprise, le scansioni batch vengono eseguite ogni giorno.
• Nei livelli Standard e Standard-legacy, le scansioni batch vengono eseguite ogni 48 ore.

Un rilevatore può essere eseguito in modalità batch, in tempo reale o mista. Per saperne di più su queste modalità, consulta Tipi di scansione di Security Health Analytics.

Con la scansione in tempo reale, le modifiche alla configurazione delle risorse pertinenti Google Cloud potrebbero comportare risultati aggiornati. L'aggiornamento potrebbe richiedere alcuni minuti, a seconda del tipo di asset e della modifica. Un rilevatore potrebbe non supportare la scansione in tempo reale se il rilevamento utilizza informazioni esterne alla configurazione di una risorsa.

Per informazioni sul fatto che un rilevatore supporti o meno la scansione in tempo reale, consulta la colonna Impostazioni di scansione degli asset per il rilevatore nella sezione di riferimento dei risultati di Security Health Analytics di Risultati di vulnerabilità.

Abilitazione dei rilevatori di Security Health Analytics

Security Health Analytics utilizza i rilevatori per identificare vulnerabilità ed errori di configurazione nell'ambiente cloud. Ogni rilevatore corrisponde a una categoria di risultati.

Security Health Analytics include molti rilevatori integrati che verificano la presenza di vulnerabilità ed errori di configurazione in un numero elevato di categorie e tipi di risorse.

Per i livelli di servizio Premium ed Enterprise, puoi anche creare rilevatori personalizzati che possono verificare la presenza di vulnerabilità o errori di configurazione non coperti dai rilevatori integrati o specifici per il tuo ambiente.

Per saperne di più sui rilevatori integrati di Security Health Analytics, consulta Rilevatori integrati di Security Health Analytics.

Per saperne di più sulla creazione e sull'utilizzo di moduli personalizzati, consulta Moduli personalizzati di Security Health Analytics.

Abilitare e disabilitare i rilevatori

Non tutti i rilevatori integrati di Security Health Analytics sono abilitati per impostazione predefinita.

Per attivare i rilevatori integrati inattivi, consulta Abilitare e disabilitare i rilevatori.

Per abilitare o disabilitare un modulo di rilevamento personalizzato di Security Health Analytics, puoi aggiornare il modulo personalizzato utilizzando la Google Cloud console, gcloud CLI o l'API Security Command Center.

Per saperne di più sull'aggiornamento dei moduli personalizzati di Security Health Analytics, consulta Aggiornare un modulo personalizzato.

Rilevatori integrati e attivazioni a livello di progetto

Quando attivi Security Command Center solo per un progetto, alcuni rilevatori integrati di Security Health Analytics non sono supportati perché richiedono autorizzazioni a livello di organizzazione.

Tra i rilevatori integrati che richiedono un'attivazione a livello di organizzazione, puoi abilitare quelli disponibili con il livello Standard-legacy di Security Command Center per le attivazioni a livello di progetto abilitando il livello Standard-legacy per la tua organizzazione.

I rilevatori integrati che richiedono sia il livello Premium sia le autorizzazioni a livello di organizzazione non sono supportati con le attivazioni a livello di progetto.

Per un elenco dei rilevatori integrati del livello Standard-legacy che richiedono un attivazione a livello di organizzazione di Security Command Center Standard-legacy prima di poter essere utilizzati con un'attivazione a livello di progetto, consulta Categorie di risultati del livello Standard a livello di organizzazione.

Per un elenco dei rilevatori integrati del livello Premium non supportati con le attivazioni a livello di progetto, consulta Risultati di Security Health Analytics non supportati.

Rilevatori di moduli personalizzati e attivazioni a livello di progetto

Le scansioni dei rilevatori di moduli personalizzati creati in un progetto sono limitate all'ambito del progetto, indipendentemente dal livello di attivazione di Security Command Center. I rilevatori di moduli personalizzati possono eseguire la scansione solo delle risorse disponibili per il progetto in cui vengono creati.

Per saperne di più sui moduli personalizzati, consulta Moduli personalizzati di Security Health Analytics.

Rilevatori integrati di Security Health Analytics

Questa sezione descrive le categorie di alto livello dei rilevatori, elencate per piattaforma cloud e la categoria di risultati che generano.

Rilevatori integrati per Google Cloud categoria di alto livello

I rilevatori di Security Health Analytics per Google Cloud, e i risultati che generano, sono raggruppati nelle seguenti categorie di alto livello.

I rilevatori di Security Health Analytics monitorano un sottoinsieme dei Google Cloud tipi di risorse supportati da Cloud Asset Inventory.

Per visualizzare i singoli rilevatori inclusi in ogni categoria, fai clic sul nome della categoria.

• Risultati di vulnerabilità della chiave API
• Risultati di vulnerabilità delle immagini di Compute
• Risultati di vulnerabilità delle istanze di Compute
• Risultati di vulnerabilità dei container
• Risultati di vulnerabilità di Managed Service for Apache Spark
• Risultati di vulnerabilità dei set di dati
• Risultati di vulnerabilità DNS
• Risultati di vulnerabilità del firewall
• Risultati di vulnerabilità IAM
• Risultati di vulnerabilità KMS
• Risultati di vulnerabilità di Logging
• Risultati di vulnerabilità di Monitoring
• Risultati di vulnerabilità dell'autenticazione a più fattori
• Risultati di vulnerabilità di rete
• Risultati di vulnerabilità delle policy dell'organizzazione
• Risultati di vulnerabilità di Pub/Sub
• Risultati di vulnerabilità SQL
• Risultati di vulnerabilità di Storage
• Risultati di vulnerabilità delle subnet

Rilevatori integrati per AWS

Per un elenco di tutti i rilevatori di Security Health Analytics per AWS, consulta Risultati di AWS.

Moduli personalizzati di Security Health Analytics

I moduli personalizzati di Security Health Analytics sono rilevatori personalizzati per Google Cloud che estendono le funzionalità di rilevamento di Security Health Analytics oltre quelle fornite dai rilevatori integrati.

I moduli personalizzati non sono supportati per altre piattaforme cloud.

Puoi creare moduli personalizzati utilizzando il flusso di lavoro guidato nella Google Cloud console oppure creare tu stesso la definizione del modulo personalizzato in un file YAML e poi caricarlo in Security Command Center utilizzando i comandi di Google Cloud CLI o l'API Security Command Center.

Per saperne di più, consulta Panoramica dei moduli personalizzati per Security Health Analytics.

Rilevatori e conformità

La misurazione della conformità di Security Command Center ai benchmark di sicurezza si basa in gran parte sui risultati prodotti dai rilevatori di vulnerabilità di Security Health Analytics.

Security Health Analytics monitora la conformità con i rilevatori mappati ai controlli di un'ampia gamma di standard di sicurezza.

Per ogni standard di sicurezza supportato, Security Health Analytics controlla un sottoinsieme dei controlli. Per i controlli verificati, Security Command Center mostra quanti sono superati. Per i controlli non superati, Security Command Center mostra un elenco di risultati che descrivono gli errori di controllo.

CIS esamina e certifica le mappature dei rilevatori di Security Health Analytics a ogni versione supportata del benchmark CIS Google Cloud Foundations. Le mappature di conformità aggiuntive sono incluse solo a scopo di riferimento.

Security Health Analytics aggiunge periodicamente il supporto per nuove versioni e standard di benchmark. Le versioni precedenti rimangono supportate, ma alla fine vengono ritirate. Ti consigliamo di utilizzare il benchmark o lo standard supportato più recente disponibile.

Con il servizio di security posture, puoi mappare le policy dell'organizzazione e i rilevatori di Security Health Analytics agli standard e ai controlli applicabili alla tua attività. Dopo aver creato una security posture, puoi monitorare eventuali modifiche all'ambiente che potrebbero influire sulla conformità della tua attività.

Con Compliance Manager, puoi eseguire il deployment di framework che mappano i controlli normativi ai controlli cloud controlli. Dopo aver creato un framework, puoi monitorare eventuali modifiche all'ambiente che potrebbero influire sulla conformità della tua attività ed eseguire l'audit dell'ambiente.

Per saperne di più sulla gestione della conformità, consulta Valutare e segnalare la conformità agli standard di sicurezza.

Standard di sicurezza supportati

Google Cloud

Security Health Analytics mappa i rilevatori per Google Cloud a uno o più dei seguenti standard di conformità:

• Center for Information Security (CIS) Controls 8.0
• Benchmark CIS Google Cloud Computing Foundations v2.0.0, v1.3.0, v1.2.0, v1.1.0 e v1.0.0
• Benchmark CIS per Kubernetes v1.5.1
• Cloud Controls Matrix (CCM) 4
• Health Insurance Portability and Accountability Act (HIPAA)
• International Organization for Standardization (ISO) 27001, 2022 e 2013
• National Institute of Standards and Technology (NIST) 800-53 R5 e R4
• National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) 1.0
• Open Web Application Security Project (OWASP) Top Ten, 2021 e 2017
• Payment Card Industry Data Security Standard (PCI DSS) 4.0 e 3.2.1
• System and Organization Controls (SOC) 2 2017 Trust Services Criteria (TSC)

AWS

Nel livello di servizio Enterprise, Security Health Analytics mappa i rilevatori per Amazon Web Services (AWS) a uno o più dei seguenti standard di conformità standards:

• CIS Amazon Web Services Foundations 2.0.0
• CIS Critical Security Controls versione 8.0
• Cloud Controls Matrix (CCM) 4
• Health Insurance Portability and Accountability Act (HIPAA)
• International Organization for Standardization (ISO) 27001, 2022
• National Institute of Standards and Technology (NIST) 800-53 R5
• National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) 1.0
• Payment Card Industry Data Security Standard (PCI DSS) 4.0 e 3.2.1
• System and Organization Controls (SOC) 2 2017 Trusted Services Criteria (TSC)

Per saperne di più sulla conformità, consulta Valutare e segnalare la conformità ai benchmark di sicurezza.