Security Health Analytics – Übersicht

Security Health Analytics ist ein verwalteter Dienst von Security Command Center, der Ihre Cloud-Umgebungen auf häufige Fehlkonfigurationen scannt, die Sie Angriffen aussetzen könnten.

Security Health Analytics wird bei neuen Aktivierungen von Security Command Center in den Dienststufen Standard-Legacy, Premium und Enterprise automatisch aktiviert.

Security Health Analytics-Funktionen nach Stufe

Die für Sie verfügbaren Security Health Analytics-Funktionen variieren je nach Dienststufe, in der Security Command Center aktiviert ist. Unter Ergebnisse von Security Health Analyticskönnen Sie sehen, welche Ergebnisse in welcher Stufe verfügbar sind.

Funktionen der Standard-Legacy-Stufe

In der Standard-Legacy-Stufe kann Security Health Analytics nur eine einfache Gruppe von Sicherheitslücken mit mittlerem und hohem Schweregrad erkennen.

Funktionen der Standardstufe

Wenn die Standardstufe neu in Ihrer Organisation aktiviert wird, d. h. die Organisation nicht von der Standard-Legacy-Stufe migriert wurde, ist Security Health Analytics nicht verfügbar. Verwenden Sie das Framework „Security Essentials“ des Compliance-Managers und die Sicherheitslückenbewertung für Google Cloud , um Ihre Umgebung auf Fehlkonfigurationen und Sicherheitslücken zu scannen, die Sie Angriffen aussetzen könnten.

Wenn Ihre Organisation von der Standard-Legacy-Stufe zur Standardstufe migriert wurde, werden die folgenden Security Health Analytics-Detektoren zu Compliance-Manager-Kontrollen im Framework „Security Essentials“ migriert:

• DATAPROC_IMAGE_OUTDATED
• LEGACY_AUTHORIZATION_ENABLED
• OPEN_CISCOSECURE_WEBSM_PORT
• OPEN_DIRECTORY_SERVICES_PORT
• OPEN_FIREWALL
• OPEN_RDP_PORT
• OPEN_SSH_PORT
• OPEN_TELNET_PORT
• PUBLIC_DATASET
• PUBLIC_IP_ADDRESS
• PUBLIC_SQL_INSTANCE
• SSL_NOT_ENFORCED
• WEB_UI_ENABLED

Security Health Analytics ist aktiviert und alle Detektoren generieren weiterhin Ergebnisse. Ergebnisse, die von der Security Health Analytics-Version der migrierten Detektoren erstellt wurden, sind jedoch mit dem Feldwert-Identifier: launch_state="LAUNCH_STATE_DEPRECATED" gekennzeichnet und werden auf einigen Google Cloud Konsolenseiten nicht angezeigt.

Die meisten SHA-Detektoren haben entsprechende Compliance-Manager-Kontrollen. Weitere Informationen finden Sie unter Zuordnung von Security Health Analytics-Detektoren zu Cloud-Kontrollen.

So rufen Sie Ergebnisse auf, die von der Compliance-Manager-Version der migrierten Detektoren erstellt wurden:

• Seite Ergebnisse
• Seite Compliance > Tab Überwachen

So rufen Sie Ergebnisse auf, die von der Security Health Analytics-Version der migrierten Detektoren erstellt wurden:

• Seite Ergebnisse und entfernen Sie den launch_state="LAUNCH_STATE_DEPRECATED" Begriff aus der Abfrage.
• Legacy Sicherheitslücken

Die folgenden Detektoren werden nicht zum Framework „Security Essentials“ im Compliance-Manager migriert:

• MFA_NOT_ENFORCED
• NON_ORG_IAM_MEMBER
• OPEN_GROUP_IAM_MEMBER
• PUBLIC_BUCKET_ACL
• PUBLIC_COMPUTE_IMAGE
• PUBLIC_LOG_BUCKET

Sie können diese Detektoren auf dem Tab > Einstellungen > Security Health Analytics Module aktivieren.

So rufen Sie Ergebnisse auf, die von diesen Security Health Analytics-Detektoren erstellt wurden:

• Seite Ergebnisse

• Dashboard Risikoübersicht > Gesamtes Risiko:

  • Bereich Häufigste Fehlkonfigurationen
  • Bereich Fehlkonfigurationen nach Datum

Ergebnisse, die von diesen Security Health Analytics-Detektoren generiert wurden, werden auf der Seite Compliance nicht angezeigt.

Funktionen der Premium-Stufe

Wenn die Premium-Stufe neu in Ihrer Organisation aktiviert wird, d. h. die Organisation nicht von der Standardstufe migriert wurde, umfasst Security Health Analytics die folgenden Funktionen:

• Alle Detektoren für Google Cloud, sowie eine Reihe anderer Funktionen zur Erkennung von Sicherheitslücken, z. B. die Möglichkeit, benutzerdefinierte Erkennungsmodule zu erstellen.
• Ergebnisse werden für die Complianceberichterstellung Compliance-Kontrollen zugeordnet. Weitere Informationen finden Sie unter Detektoren und Compliance.
• Bei Angriffspfadsimulationen von Security Command Center werden Angriffsrisikobewertungen und potenzielle Angriffspfade für die meisten Security Health Analytics-Ergebnisse berechnet. Weitere Informationen finden Sie unter Übersicht über Angriffsrisikobewertungen und Angriffspfade.

Wenn Ihre Organisation von der Standardstufe auf die Premiumstufe aktualisiert wurde, finden Sie unter Stufen wechseln Informationen zum geänderten Satz von Security Health Analytics-Detektorfähigkeiten.

Funktionen der Enterprise-Stufe

Wenn die Enterprise-Stufe neu in Ihrer Organisation aktiviert wird, d. h. die Organisation nicht von der Standardstufe migriert wurde, umfasst Security Health Analytics alle Funktionen der Premium-Stufe sowie Detektoren für andere Cloud-Dienstanbieterplattformen.

Wenn Ihre Organisation von der Standardstufe auf die Premiumstufe aktualisiert wurde, finden Sie unter Stufen wechseln Informationen zum geänderten Satz von Security Health Analytics-Detektorfähigkeiten.

Stufen wechseln

Security Command Center in der Premium- und Enterprise-Stufe hat mehr Detektoren als in der Standard-Legacy-Stufe. Wenn Sie die Premium- oder Enterprise-Stufe verwenden und ein Downgrade auf die Standard- oder Standard-Legacy-Stufe planen, empfehlen wir, alle Ergebnisse zu beheben, bevor Sie die Stufe ändern.

Wenn eine Premium- oder Enterprise-Testversion endet oder Sie ein Downgrade von einer dieser Stufen auf die Standard- oder Standard-Legacy-Stufe durchführen, wird der Status der Ergebnisse, die in der höheren Stufe generiert wurden, auf INACTIVE gesetzt.

Wenn Ihre Organisation Security Command Center nicht hatte und automatisch mit der Standardstufe aktiviert wurde, und Sie dann auf die Premium- oder Enterprise-Stufe aktualisiert haben, verwenden Sie das Framework „Security Essentials“ in Compliance Manager , um Erkennungen zu konfigurieren.

Wenn Ihre Organisation von der Standard-Legacy-Stufe zur Standardstufe migriert wurde und Sie dann auf die Premium- oder Enterprise-Stufe aktualisiert haben, können Sie keine Security Health Analytics-Detektoren der Premium- oder Enterprise-Stufe aktivieren. Verwenden Sie die Compliance Manager Frameworks, die in den Premium- und Enterprise-Stufen verfügbar sind, um Erkennungen zu konfigurieren.

Die meisten Security Health Analytics-Detektoren in der Premium- und Enterprise-Stufe werden zum Framework „Security Essentials“ im Compliance-Manager migriert.

Weitere Informationen zu Compliance-Manager-Frameworks und Cloud Kontrollen finden Sie unter Compliance-Manager-Frameworks.

Informationen zur Zuordnung von Security Health Analytics-Detektoren zu Compliance-Manager Cloud-Kontrollen finden Sie unter Zuordnung von Security Health Analytics-Detektoren zu Cloud-Kontrollen.

Unterstützung für Multi-Cloud

Security Health Analytics kann Fehlkonfigurationen in Ihren Bereitstellungen auf anderen Cloud-Plattformen erkennen.

Security Health Analytics unterstützt die folgenden anderen Cloud-Dienstanbieter:

• Amazon Web Services (AWS): Wenn Sie die Detektoren für AWS-Daten ausführen möchten, müssen Sie zuerst Security Command Center mit AWS verbinden. Eine Anleitung dazu finden Sie unter Verbindung zu AWS für die Erfassung von Konfigurations- und Ressourcendaten herstellen.

• Microsoft Azure: Wenn Sie die Detektoren für Microsoft Azure-Daten ausführen möchten, müssen Sie zuerst Security Command Center mit Microsoft Azure verbinden. Eine Anleitung dazu finden Sie unter Verbindung zu Microsoft Azure für die Erkennung von Sicherheitslücken und die Risikobewertung herstellen.

Unterstützte Google Cloud Cloud-Dienste

Das von Security Health Analytics verwaltete Scannen der Sicherheitslückenbewertung für Google Cloud kann häufige Sicherheitslücken und Fehlkonfigurationen in den folgenden Google Cloud Diensten automatisch erkennen:

• Cloud Monitoring und Cloud Logging
• Compute Engine
• Google Kubernetes Engine-Container und -Netzwerke
• cl
• Cloud SQL
• Identitäts- und Zugriffsverwaltung
• Cloud Key Management Service (Cloud KMS)

Security Health Analytics-Scantypen

Security Health Analytics-Scans werden in drei Modi ausgeführt:

• Batch-Scan:Die Ausführung aller Detektoren wird für alle registrierten Organisationen oder Projekte regelmäßig geplant.

  Informationen zur Häufigkeit von Scans finden Sie unter Security Health Analytics-Scanlatenz.

• Echtzeit-Scan: Nur für Google Cloud Bereitstellungen Unterstützte Detektoren starten Scans, wenn eine Änderung in der Konfiguration einer Ressource erkannt wird. Die Ergebnisse werden in Security Command Center geschrieben. Echtzeit-Scans werden für Bereitstellungen auf anderen Cloud-Plattformen nicht unterstützt.

• Gemischter Modus:Einige Detektoren, die Echtzeit-Scans unterstützen, erkennen möglicherweise Änderungen nicht in allen unterstützten Ressourcentypen in Echtzeit. In diesen Fällen werden die Konfigurationsänderungen für einige Ressourcentypen sofort und andere in Batch-Scans erfasst. Ausnahmen sind aufgeführt in den Tabellen der Security Health Analytics-Ergebnisse.

Security Health Analytics scannt Ressourcen auf anderen Cloud-Plattformen nur im Batchmodus.

Security Health Analytics-Scanlatenz

In den folgenden Abschnitten wird beschrieben, wie viel Zeit vergeht, bis die Ergebnisse des ersten Scans generiert werden, und wie häufig nachfolgende Scans ausgeführt werden.

Erster Scan

In der Premium- und Enterprise-Stufe beginnt der erste Scan etwa eine Stunde nach der Aktivierung des Dienstes. Die ersten Security Health Analytics-Scans können bis zu 12 Stunden dauern.

In den Stufen Security Command Center Standard und Standard-Legacy werden Scans alle 48 Stunden ausgeführt, was zu einer anfänglichen Ergebnislatenz von 72 Stunden führen kann.

Während der erste Scan durchgeführt wird, können Sie jedoch einige Ergebnisse in der Google Cloud Konsole sehen, noch bevor der Einrichtungsprozess abgeschlossen ist. Vorläufige Ergebnisse sind präzise und praktisch, aber sie sind nicht aussagekräftig. Die Verwendung dieser Ergebnisse für eine Complianceprüfung innerhalb der ersten 24 Stunden wird nicht empfohlen.

Nachfolgende Scans

Nach dem ersten Scan werden Erkennungen regelmäßig im Batchmodus ausgeführt.

• In der Premium- und Enterprise-Stufe werden Batch-Scans täglich ausgeführt.
• In der Standard- und Standard-Legacy-Stufe werden Batch-Scans alle 48 Stunden ausgeführt.

Ein Detektor kann im Batchmodus, im Echtzeitmodus oder im gemischten Modus ausgeführt werden. Weitere Informationen zu diesen Modi finden Sie unter Security Health Analytics-Scantypen.

Bei Echtzeit-Scans können relevante Google Cloud Änderungen an der Ressourcenkonfiguration zu aktualisierten Ergebnissen führen. Die Aktualisierung kann je nach Asset-Typ und Änderung einige Minuten dauern. Ein Detektor unterstützt möglicherweise keine Echtzeit-Scans, wenn die Erkennung Informationen außerhalb der Konfiguration einer Ressource verwendet.

Informationen dazu, ob ein Detektor Echtzeit-Scans unterstützt, finden Sie in der Spalte Asset-Scaneinstellungen für den Detektor im Security Health Analytics-Ergebnisreferenz Abschnitt unter Ergebnisse zu Sicherheitslücken.

Security Health Analytics-Detektoren aktivieren

Security Health Analytics verwendet Detektoren , um Sicherheitslücken und Fehlkonfigurationen in Ihrer Cloud-Umgebung zu erkennen. Jeder Detektor entspricht einer Ergebniskategorie.

Security Health Analytics enthält viele integrierte Detektoren, die in einer Vielzahl von Kategorien und Ressourcentypen nach Sicherheitslücken und Fehlkonfigurationen suchen.

In den Dienststufen Premium und Enterprise können Sie auch eigene benutzerdefinierte Detektoren erstellen, die nach Sicherheitslücken oder Fehlkonfigurationen suchen, die nicht von den integrierten Detektoren abgedeckt werden oder die spezifisch für Ihre Umgebung sind.

Weitere Informationen zu den integrierten Security Health Analytics-Detektoren finden Sie unter Integrierte Security Health Analytics-Detektoren.

Weitere Informationen zum Erstellen und Verwenden benutzerdefinierter Module finden Sie unter Benutzerdefinierte Module von Security Health Analytics.

Detektoren aktivieren und deaktivieren

Nicht alle integrierten Security Health Analytics-Detektoren sind standardmäßig aktiviert.

Informationen zum Aktivieren inaktiver integrierter Detektoren finden Sie unter Detektoren aktivieren und deaktivieren.

Wenn Sie ein benutzerdefiniertes Erkennungsmodul von Security Health Analytics aktivieren oder deaktivieren möchten, können Sie das benutzerdefinierte Modul über die Google Cloud Konsole, die gcloud CLI oder die Security Command Center API aktualisieren.

Weitere Informationen zum Aktualisieren benutzerdefinierter Security Health Analytics-Module finden Sie unter Benutzerdefiniertes Modul aktualisieren.

Integrierte Detektoren und Aktivierungen auf Projektebene

Wenn Sie Security Command Center nur für ein Projekt aktivieren, werden bestimmte integrierte Security Health Analytics-Detektoren nicht unterstützt, da sie Berechtigungen auf Organisationsebene erfordern.

Von den integrierten Detektoren, die eine Aktivierung auf Organisationsebene erfordern, können Sie diejenigen aktivieren, die in der Standard-Legacy-Stufe von Security Command Center für Aktivierungen auf Projektebene verfügbar sind, indem Sie die Standard-Legacy-Stufe für Ihre Organisation aktivieren.

Integrierte Detektoren, die sowohl die Premium-Stufe als auch Berechtigungen auf Organisationsebene erfordern, werden bei Aktivierungen auf Projektebene nicht unterstützt.

Eine Liste der integrierten Detektoren der Standard-Legacy-Stufe, die eine Aktivierung von Security Command Center Standard-Legacy auf Organisationsebene erfordern, bevor sie mit einer Aktivierung auf Projektebene verwendet werden können, finden Sie unter Ergebniskategorien der Standardstufe auf Organisationsebene.

Eine Liste der integrierten Detektoren der Premium-Stufe, die bei Aktivierungen auf Projektebene nicht unterstützt werden, finden Sie unter Nicht unterstützte Security Health Analytics-Ergebnisse.

Detektoren für benutzerdefinierte Module und Aktivierungen auf Projektebene

Die Scans von Detektoren für benutzerdefinierte Module, die Sie in einem Projekt erstellen, sind auf den Umfang des Projekts beschränkt, unabhängig von der Aktivierungsstufe von Security Command Center. Detektoren für benutzerdefinierte Module können nur die Ressourcen scannen, die für das Projekt verfügbar sind, in dem sie erstellt wurden.

Weitere Informationen zu benutzerdefinierten Modulen finden Sie unter Benutzerdefinierte Module von Security Health Analytics.

Integrierte Security Health Analytics-Detektoren

In diesem Abschnitt werden die allgemeinen Kategorien der Detektoren nach Cloud-Plattform und der Ergebniskategorie beschrieben, die sie generieren.

Integrierte Detektoren für Google Cloud nach allgemeiner Kategorie

Die Security Health Analytics-Detektoren für Google Cloud, und die Ergebnisse, die sie generieren, sind in die folgenden allgemeinen Kategorien gruppiert.

Security Health Analytics-Detektoren überwachen eine Teilmenge der Google Cloud Ressourcentypen, die von Cloud Asset Inventory unterstützt werden.

Wenn Sie die einzelnen Detektoren sehen möchten, die in jeder Kategorie enthalten sind, klicken Sie auf den Kategorienamen.

• Ergebnisse zu Sicherheitslücken bei API-Schlüsseln
• Ergebnisse zu Sicherheitslücken bei Compute Image
• Ergebnisse zu Sicherheitslücken bei Compute-Instanzen
• Ergebnisse zu Container Sicherheitslücken
• Ergebnisse zu Sicherheitslücken bei Managed Service for Apache Spark
• Ergebnisse zu Dataset-Sicherheitslücken
• DNS Ergebnisse zu Sicherheitslücken
• Ergebnisse zu Firewall-Sicherheitslücken
• IAM Ergebnisse zu Sicherheitslücken
• Ergebnisse zu KMS-Sicherheitslücken
• Ergebnisse zu Logging-Sicherheitslücken
• Ergebnisse zu Monitoring-Sicherheitslücken
• Ergebnisse zu Sicherheitslücken bei der Multi-Faktor-Authentifizierung
• Netzwerk Ergebnisse zu Sicherheitslücken
• Ergebnisse zu Sicherheitslücken bei Organisationsrichtlinien
• Ergebnisse zu Pub/Sub-Sicherheitslücken
• SQL Ergebnisse zu Sicherheitslücken
• Ergebnisse zu Speichersicherheitslücken
• Ergebnisse zu Subnetzwerk-Sicherheitslücken

Integrierte Detektoren für AWS

Eine Liste aller Security Health Analytics-Detektoren für AWS finden Sie unter AWS-Ergebnisse.

Benutzerdefinierte Module von Security Health Analytics

Benutzerdefinierte Module von Security Health Analytics sind benutzerdefinierte Detektoren für Google Cloud die die Erkennungsfunktionen von Security Health Analytics über die der integrierten Detektoren hinaus erweitern.

Benutzerdefinierte Module werden für andere Cloud-Plattformen nicht unterstützt.

Sie können benutzerdefinierte Module mit dem geführten Workflow in der Google Cloud Konsole erstellen oder die Definition des benutzerdefinierten Moduls selbst in einer YAML-Datei erstellen und sie dann mit Google Cloud CLI-Befehlen oder der Security Command Center API in Security Command Center hochladen.

Weitere Informationen finden Sie unter Übersicht über benutzerdefinierte Module für Security Health Analytics.

Detektoren und Compliance

Die Security Command Center-Messung der Einhaltung von Sicherheitsbenchmarks basiert zu einem großen Teil auf den Ergebnissen der Security Health Analytics-Detektoren für Sicherheitslücken.

Security Health Analytics überwacht Ihre Compliance mit Detektoren, die den Kontrollen einer Vielzahl von Sicherheits standards zugeordnet sind.

Für jeden unterstützten Sicherheitsstandard, Security Health Analytics prüft eine Teilmenge der Kontrollen. Für die geprüften Kontrollen zeigt Security Command Center an, wie viele erfolgreich sind. Für die Kontrollen, die nicht erfolgreich sind, zeigt Security Command Center eine Liste der Ergebnisse an, in denen die Kontrollfehler beschrieben werden.

CIS prüft und zertifiziert die Zuordnungen von Security Health Analytics Detektoren zu jeder unterstützten Version des CIS Google Cloud Foundations Benchmark. Zusätzliche Compliance-Zuordnungen sind nur zu Referenzzwecken enthalten.

Security Health Analytics fügt regelmäßig Unterstützung für neue Benchmark-Versionen und -Standards hinzu. Ältere Versionen werden weiterhin unterstützt, aber schließlich eingestellt. Wir empfehlen, die neueste unterstützte Benchmark oder den neuesten unterstützten Standard zu verwenden.

Mit dem Dienst für den Sicherheitsstatus, können Sie Organisationsrichtlinien und Security Health Analytics-Detektoren den Standards und Kontrollen zuordnen, die für Ihr Unternehmen gelten. Nachdem Sie einen Sicherheitsstatus erstellt haben, können Sie alle Änderungen an der Umgebung überwachen, die sich auf die Compliance Ihres Unternehmens auswirken könnten.

Mit dem Compliance-Manager können Sie Frameworks bereitstellen, die regulatorische Kontrollen Cloud- Kontrollen zuordnen. Nachdem Sie ein Framework erstellt haben, können Sie alle Änderungen an der Umgebung überwachen, die sich auf die Compliance Ihres Unternehmens auswirken könnten, und Ihre Umgebung prüfen.

Weitere Informationen zum Verwalten der Compliance finden Sie unter Compliance mit Sicherheitsstandards bewerten und melden.

Unterstützte Sicherheitsstandards

Google Cloud

Security Health Analytics ordnet Detektoren für Google Cloud einem oder mehreren der folgenden Compliance standards zu:

• Center for Information Security (CIS) Controls 8.0
• CIS Google Cloud Computing Foundations Benchmark v2.0.0, v1.3.0, v1.2.0, v1.1.0 und v1.0.0
• CIS Kubernetes Benchmark v1.5.1
• Cloud Controls Matrix (CCM) 4
• Health Insurance Portability and Accountability Act (HIPAA)
• International Organization for Standardization (ISO) 27001, 2022 und 2013
• National Institute of Standards and Technology (NIST) 800-53 R5 und R4
• National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) 1.0
• Open Web Application Security Project (OWASP) Top Ten, 2021 und 2017
• Payment Card Industry Data Security Standard (PCI DSS) 4.0 und 3.2.1
• System and Organization Controls (SOC) 2 2017 Trust Services Criteria (TSC)

AWS

In der Enterprise-Dienststufe ordnet Security Health Analytics Detektoren für Amazon Web Services (AWS) einem oder mehreren der folgenden Compliancestandards zu:

• CIS Amazon Web Services Foundations 2.0.0
• CIS Critical Security Controls Version 8.0
• Cloud Controls Matrix (CCM) 4
• Health Insurance Portability and Accountability Act (HIPAA)
• International Organization for Standardization (ISO) 27001, 2022
• National Institute of Standards and Technology (NIST) 800-53 R5
• National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) 1.0
• Payment Card Industry Data Security Standard (PCI DSS) 4.0 und 3.2.1
• System and Organization Controls (SOC) 2 2017 Trusted Services Criteria (TSC)

Weitere Informationen zur Compliance finden Sie unter Compliance mit Sicherheitsbenchmarks bewerten und melden.