Descripción general de Security Health Analytics

Security Health Analytics es un servicio administrado de Security Command Center que analiza tus entornos de nube en busca de parámetros de configuración incorrectos comunes que podrían exponerte a ataques.

Security Health Analytics está inhabilitado para las nuevas activaciones de Security Command Center en los niveles Standard heredado, Premium y Enterprise. En el caso de estas organizaciones, usa el Administrador de cumplimiento para analizar tu entorno en busca de errores de configuración.

Funciones de Security Health Analytics por nivel

Las funciones de Security Health Analytics que tienes disponibles varían según el nivel de servicio en el que está habilitado Security Command Center. Puedes ver qué hallazgos están disponibles con qué niveles en Resultados de Security Health Analytics.

Funciones del nivel Standard heredado

En el nivel Standard heredado, Security Health Analytics solo puede detectar un grupo básico de vulnerabilidades de gravedad media y alta.

Funciones del nivel Estándar

Si el nivel Estándar se activó recientemente en tu organización, es decir, la organización no se migró desde el nivel Estándar heredado, Security Health Analytics no estará disponible. Usa el framework de Nociones básicas de seguridad de Administrador de cumplimiento y la Evaluación de vulnerabilidades para Google Cloud para analizar tu entorno en busca de parámetros de configuración incorrectos y vulnerabilidades que podrían exponerte a ataques.

Si tu organización se migró del nivel Estándar heredado al nivel Estándar, los siguientes detectores de Security Health Analytics se migran a los controles del Administrador de cumplimiento en el framework de Security Essentials:

• DATAPROC_IMAGE_OUTDATED
• LEGACY_AUTHORIZATION_ENABLED
• OPEN_CISCOSECURE_WEBSM_PORT
• OPEN_DIRECTORY_SERVICES_PORT
• OPEN_FIREWALL
• OPEN_RDP_PORT
• OPEN_SSH_PORT
• OPEN_TELNET_PORT
• PUBLIC_DATASET
• PUBLIC_IP_ADDRESS
• PUBLIC_SQL_INSTANCE
• SSL_NOT_ENFORCED
• WEB_UI_ENABLED

Security Health Analytics está habilitado y todos los detectores siguen generando resultados, pero los resultados creados por la versión de Security Health Analytics de los detectores migrados se etiquetan con el identificador de valor de campo: launch_state="LAUNCH_STATE_DEPRECATED" y no se muestran en algunas páginas de la consola de Google Cloud .

La mayoría de los detectores de SHA tienen controles equivalentes en el Administrador de cumplimiento. Para obtener más información, consulta Asignación de detectores de Security Health Analytics a controles de la nube.

Para ver los hallazgos creados por la versión del Administrador de cumplimiento de los detectores migrados, usa lo siguiente:

• Página Resultados
• Página Compliance > pestaña Monitor

Para ver los resultados que generó la versión de Security Health Analytics de los detectores migrados, usa lo siguiente:

• Página Hallazgos y quita el término launch_state="LAUNCH_STATE_DEPRECATED" de la búsqueda.
• Vulnerabilidades heredadas

Los siguientes detectores no se migran al framework de Security Essentials en el Administrador de cumplimiento:

• MFA_NOT_ENFORCED
• NON_ORG_IAM_MEMBER
• OPEN_GROUP_IAM_MEMBER
• PUBLIC_BUCKET_ACL
• PUBLIC_COMPUTE_IMAGE
• PUBLIC_LOG_BUCKET

Puedes habilitar estos detectores en la pestaña Configuración > Security Health Analytics > Módulos.

Para ver los resultados creados por estos detectores de Security Health Analytics, usa lo siguiente:

• Página Resultados

• Resumen de riesgos > Panel de Todos los riesgos:

  • Panel Top misconfigurations
  • Panel Parámetros de configuración incorrectos por fecha

Los hallazgos que generan estos detectores de Security Health Analytics no aparecen en la página Cumplimiento.

Funciones del nivel Premium

Si el nivel Premium se activó recientemente en tu organización, es decir, la organización no se migró desde el nivel Estándar, Security Health Analytics no está disponible y no se puede habilitar. En el caso de estas organizaciones, usa el Administrador de cumplimiento para analizar tu entorno en busca de errores de configuración.

Si se migra el nivel Premium desde el nivel Estándar, Security Health Analytics incluye las siguientes funciones:

• Todos los detectores para Google Cloud, así como varias otras funciones de detección de vulnerabilidades, como la capacidad de crear módulos de detección personalizados.
• Los hallazgos se asignan a los controles de cumplimiento para la generación de informes de cumplimiento. Para obtener más información, consulta Detectores y cumplimiento.
• Las simulaciones de rutas de ataque de Security Command Center calculan las puntuaciones de exposición a ataques y las posibles rutas de ataque para la mayoría de los hallazgos de Security Health Analytics. Para obtener más información, consulta Descripción general de las puntuaciones de exposición a ataques y las rutas de ataque.

Si tu organización se actualizó del nivel Standard al nivel Premium, consulta Cambio de niveles para obtener información sobre el conjunto modificado de capacidades del detector de Security Health Analytics.

Funciones del nivel empresarial

Si el nivel Enterprise se activó recientemente en tu organización, es decir, la organización no se migró desde el nivel Standard, Security Health Analytics no está disponible y no se puede habilitar. En el caso de estas organizaciones, usa el Administrador de cumplimiento para analizar tu entorno en busca de errores de configuración.

Si tu organización se actualizó del nivel Estándar al nivel Enterprise, consulta Cambio de nivel para obtener información sobre el conjunto modificado de capacidades del detector de Security Health Analytics.

Cambia de niveles

Security Command Center en los niveles Premium y Enterprise tiene más detectores que en el nivel Standard heredado. Si usas el nivel Premium o Enterprise y planeas cambiar al nivel Estándar o Estándar heredado, te recomendamos que resuelvas todos los resultados antes de cambiar de nivel.

Cuando finaliza una prueba de Premium o Enterprise, o cuando cambias de uno de estos niveles al nivel Standard o Standard heredado, el estado de los hallazgos que se generaron en el nivel superior se establece en INACTIVE.

Si tu organización no tenía Security Command Center y se activó automáticamente con el nivel Estándar, y luego actualizaste al nivel Premium o Enterprise, usa el marco de trabajo de Administrador de cumplimiento de Security Essentials para configurar las detecciones.

Si tu organización migró al nivel Estándar desde el nivel heredado Estándar y, luego, actualizaste al nivel Premium o Enterprise, Security Health Analytics permanecerá habilitado parcialmente. No puedes habilitar los detectores de Security Health Analytics de los niveles Premium o Enterprise. Debes usar los marcos de trabajo del Administrador de cumplimiento disponibles en los niveles Premium y Enterprise para configurar las detecciones.

La mayoría de los detectores de Security Health Analytics en los niveles Premium y Enterprise se migran al framework de Security Essentials en Administrador de cumplimiento.

Para obtener más información sobre los marcos de trabajo y los controles de la nube del Administrador de cumplimiento, consulta Marcos de trabajo del Administrador de cumplimiento.

Para obtener información sobre cómo los detectores de Security Health Analytics se asignan a los controles de la nube del Administrador de cumplimiento, consulta Asignación de detectores de Security Health Analytics a controles de la nube.

Compatibilidad con múltiples nubes

Security Health Analytics puede detectar parámetros de configuración incorrectos en tus implementaciones en otras plataformas de nube.

Security Health Analytics admite los siguientes proveedores de servicios en la nube:

• Amazon Web Services (AWS): Para ejecutar los detectores en los datos de AWS, primero debes conectar Security Command Center a AWS, como se describe en Conéctate a AWS para la recopilación de datos de configuración y recursos.

• Microsoft Azure: Para ejecutar los detectores en los datos de Microsoft Azure, primero debes conectar Security Command Center a Microsoft Azure, como se describe en Conéctate a Microsoft Azure para la detección de vulnerabilidades y la evaluación de riesgos.

Servicios en la nube Google Cloud compatibles

El análisis de evaluación de vulnerabilidades administrado por Security Health Analytics para Google Cloudpuede detectar automáticamente vulnerabilidades comunes y configuraciones incorrectas en los siguientes servicios de Google Cloud :

• Cloud Monitoring y Cloud Logging
• Compute Engine
• Contenedores y redes de Google Kubernetes Engine
• Cloud Storage
• Cloud SQL
• Administración de identidades y accesos (IAM)
• Cloud Key Management Service (Cloud KMS)

Tipos de análisis de Security Health Analytics

Los análisis de Security Health Analytics se ejecutan en tres modos:

• Análisis por lotes: Todos los detectores están programados para ejecutarse en todas las organizaciones o proyectos inscritos de forma periódica.

  Para obtener información sobre la frecuencia de los análisis, consulta Latencia del análisis de Security Health Analytics.

• Análisis en tiempo real: Solo para implementaciones de Google Cloud , los detectores compatibles inician análisis cada vez que se detecta un cambio en la configuración de un recurso. Los resultados se escriben en Security Command Center. Los análisis en tiempo real no se admiten para las implementaciones en otras plataformas en la nube.

• Modo mixto: Es posible que algunos detectores que admiten análisis en tiempo real no detecten cambios en tiempo real para todos los tipos de recursos admitidos. En esos casos, los cambios de configuración para algunos tipos de recursos se capturan de inmediato y otros se capturan en los análisis por lotes. Las excepciones se indican en las tablas de resultados de Security Health Analytics.

Security Health Analytics analiza los recursos en otras plataformas de nube solo en modo de procesamiento por lotes.

Latencia del análisis de Security Health Analytics

En las siguientes secciones, se describe el tiempo que transcurre antes de que el análisis inicial genere resultados y la frecuencia de los análisis posteriores.

Análisis inicial

En los niveles Premium y Enterprise, el análisis inicial comienza aproximadamente una hora después de que se habilita el servicio. Los primeros análisis de Security Health Analytics pueden tardar hasta 12 horas en completarse.

En los niveles Standard y Standard heredado de Security Command Center, los análisis se ejecutan cada 48 horas, lo que puede generar una latencia inicial de los hallazgos de 72 horas.

Es posible que veas algunos hallazgos en la consola de Google Cloud mientras se ejecutan los análisis iniciales, pero antes de que se complete el proceso de incorporación. Los hallazgos preliminares son precisos y prácticos, pero carecen de ciertos datos. No se recomienda usar estos hallazgos para realizar una evaluación de cumplimiento en las primeras 24 horas.

Análisis posteriores

Después del análisis inicial, las detecciones se ejecutan de forma periódica en modo por lotes.

• En los niveles Premium y Enterprise, los análisis por lotes se ejecutan todos los días.
• En los niveles Standard y Standard (legado), los análisis por lotes se ejecutan cada 48 horas.

Un detector puede ejecutarse en modo por lotes, en tiempo real o en modo mixto. Para obtener más información sobre estos modos, consulta Tipos de análisis de Security Health Analytics.

Con el análisis en tiempo real, los cambios de configuración de recursos Google Cloud relevantes pueden generar resultados actualizados. La actualización puede tardar varios minutos, según el tipo de recurso y el cambio. Es posible que un detector no admita el análisis en tiempo real si la detección utiliza información fuera de la configuración de un recurso.

Para saber si un detector admite el análisis en tiempo real, consulta la columna Configuración del análisis de recursos del detector en la sección Referencia de los resultados de Security Health Analytics de Resultados de vulnerabilidades.

Habilitación del detector de Security Health Analytics

Security Health Analytics usa detectores para identificar vulnerabilidades y parámetros de configuración incorrectos en tu entorno de nube. Cada detector corresponde a una categoría de hallazgos.

Security Health Analytics incluye muchos detectores integrados que verifican vulnerabilidades y parámetros de configuración incorrectos en una gran cantidad de categorías y tipos de recursos.

En los niveles de servicio Premium y Enterprise, también puedes crear tus propios detectores personalizados que pueden verificar vulnerabilidades o errores de configuración que no están cubiertos por los detectores integrados o que son específicos de tu entorno.

Para obtener más información sobre los detectores integrados de Security Health Analytics, consulta Detectores integrados de Security Health Analytics.

Para obtener más información sobre cómo crear y usar módulos personalizados, consulta Módulos personalizados de Security Health Analytics.

Inhabilita y habilita los detectores

No todos los detectores integrados de Security Health Analytics están habilitados de forma predeterminada.

Para activar los detectores integrados inactivos, consulta Habilita e inhabilita los detectores.

Para habilitar o inhabilitar un módulo de detección personalizado de Security Health Analytics, puedes actualizar el módulo personalizado con la Google Cloud consola, la gcloud CLI o la API de Security Command Center.

Para obtener más información sobre cómo actualizar los módulos personalizados de Security Health Analytics, consulta Actualiza un módulo personalizado.

Detectores integrados y activaciones a nivel del proyecto

Cuando activas Security Command Center solo para un proyecto, no se admiten ciertos detectores integrados de Security Health Analytics porque requieren permisos a nivel de la organización.

De los detectores integrados que requieren una activación a nivel de la organización, puedes habilitar los que están disponibles con el nivel Standard heredado de Security Command Center para las activaciones a nivel del proyecto. Para ello, habilita el nivel Standard heredado para tu organización.

Los detectores integrados que requieren el nivel Premium y permisos a nivel de la organización no se admiten con las activaciones a nivel del proyecto.

Para obtener una lista de los detectores integrados del nivel Standard heredado que requieren una activación a nivel de la organización de Security Command Center Standard heredado antes de que se puedan usar con una activación a nivel del proyecto, consulta Categorías de hallazgos del nivel Standard a nivel de la organización.

Para obtener una lista de los detectores integrados del nivel Premium que no son compatibles con las activaciones a nivel del proyecto, consulta Resultados no admitidos de Security Health Analytics.

Detectores de módulos personalizados y activaciones a nivel del proyecto

Los análisis de los detectores de módulos personalizados que creas en un proyecto se limitan al alcance del proyecto, independientemente del nivel de activación de Security Command Center. Los detectores de módulos personalizados solo pueden analizar los recursos que están disponibles para el proyecto en el que se crean.

Para obtener más información sobre los módulos personalizados, consulta Módulos personalizados de Security Health Analytics.

Detectores integrados de Security Health Analytics

En esta sección, se describen las categorías generales de los detectores, enumeradas por plataforma de Cloud y la categoría de hallazgo que generan.

Detectores integrados para Google Cloud por categoría de nivel superior

Los detectores de Security Health Analytics para Google Cloudy los resultados que generan se agrupan en las siguientes categorías generales.

Los detectores de Security Health Analytics supervisan un subconjunto de los tipos de recursos Google Cloudque admite Cloud Asset Inventory.

Para ver los detectores individuales que se incluyen en cada categoría, haz clic en el nombre de la categoría.

• Resultados de las vulnerabilidades de la clave de API
• Resultados de las vulnerabilidades de imágenes de Compute
• Resultados de las vulnerabilidades de las instancias de Compute
• Resultados de las vulnerabilidades de contenedores
• Resultados de vulnerabilidades de Managed Service para Apache Spark
• Resultados de las vulnerabilidades del conjunto de datos
• Resultados de las vulnerabilidades de DNS
• Resultados de las vulnerabilidades de firewall
• Resultados de las vulnerabilidades de IAM
• Resultados de las vulnerabilidades de KMS
• Resultados de las vulnerabilidades de registros
• Resultados de vulnerabilidades de Monitoring
• Resultados de vulnerabilidades de autenticación de varios factores
• Resultados de las vulnerabilidades de la red
• Hallazgos de vulnerabilidades de las políticas de la organización
• Resultados de vulnerabilidades de Pub/Sub
• Resultados de las vulnerabilidades de SQL
• Resultados de las vulnerabilidades de Storage
• Resultados de las vulnerabilidades de subred

Detectores integrados para AWS

Para obtener una lista de todos los detectores de Security Health Analytics para AWS, consulta Resultados de AWS.

Módulos personalizados de Security Health Analytics

Los módulos personalizados de Security Health Analytics son detectores personalizados paraGoogle Cloud que extienden las capacidades de detección de Security Health Analytics más allá de las que proporcionan los detectores integrados.

Los módulos personalizados no son compatibles con otras plataformas de nube.

Puedes crear módulos personalizados con el flujo de trabajo guiado en la consola deGoogle Cloud , o bien puedes crear la definición del módulo personalizado por tu cuenta en un archivo YAML y, luego, subirlo a Security Command Center con los comandos de Google Cloud CLI o la API de Security Command Center.

Para obtener más información, consulta Descripción general de los módulos personalizados de Security Health Analytics.

Detectores y cumplimiento

La medición del cumplimiento de las comparativas de seguridad de Security Command Center se basa en gran medida en los resultados que producen los detectores de vulnerabilidades de Security Health Analytics.

Security Health Analytics supervisa tu cumplimiento con detectores que se asignan a los controles de una amplia variedad de estándares de seguridad.

Para cada estándar de seguridad admitido, Security Health Analytics verifica un subconjunto de los controles. En el caso de los controles verificados, Security Command Center te muestra cuántos se aprobaron. En el caso de los controles que no se aprueban, Security Command Center te muestra una lista de hallazgos que describen las fallas de los controles.

El CIS revisa y certifica las asignaciones de los detectores de Security Health Analytics a cada versión compatible de la comparativa de CIS Google Cloud Foundations Benchmark. Las asignaciones de cumplimiento adicionales se incluyen solo con fines de referencia.

Security Health Analytics agrega compatibilidad con nuevas versiones de comparativas y estándares de forma periódica. Las versiones anteriores siguen siendo compatibles, pero, con el tiempo, se marcan como obsoletas. Te recomendamos que uses la comparativa o el estándar más reciente disponible.

Con el servicio de postura de seguridad, puedes correlacionar las políticas de la organización y los detectores de Security Health Analytics con los estándares y controles que se aplican a tu empresa. Después de crear una postura de seguridad, puedes supervisar cualquier cambio en el entorno que pueda afectar el cumplimiento de tu empresa.

Con el Administrador de cumplimiento, puedes implementar frameworks que asignen controles reglamentarios a controles de la nube. Después de crear un framework, puedes supervisar cualquier cambio en el entorno que pueda afectar el cumplimiento y auditar tu entorno.

Para obtener más información sobre la administración del cumplimiento, consulta Evalúa y genera informes sobre el cumplimiento de los estándares de seguridad.

Estándares de seguridad admitidos

Google Cloud

Security Health Analytics asigna detectores para Google Cloud a uno o más de los siguientes estándares de cumplimiento:

• Controles 8.0 del Center for Information Security (CIS)
• Comparativas de CIS Google Cloud Computing Foundations v2.0.0, v1.3.0, v1.2.0, v1.1.0 y v1.0.0
• CIS Kubernetes Benchmark v1.5.1
• Cloud Controls Matrix (CCM) 4
• Ley de Responsabilidad y Portabilidad de Seguros Médicos (HIPAA)
• Organización Internacional de Normalización (ISO) 27001, 2022 y 2013
• National Institute of Standards and Technology (NIST) 800-53 R5 y R4
• Marco de ciberseguridad (CSF) 1.0 del Instituto Nacional de Normas y Tecnología (NIST)
• Open Web Application Security Project (OWASP) Top Ten, 2021 y 2017
• Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) 4.0 y 3.2.1
• Controles de la organización y el sistema (SOC) 2 Criterios de Trust Services (TSC) de 2017

AWS

En el nivel de servicio Enterprise, Security Health Analytics asigna los detectores de Amazon Web Services (AWS) a uno o más de los siguientes estándares de cumplimiento:

• CIS Amazon Web Services Foundations 2.0.0
• CIS Critical Security Controls, versión 8.0
• Cloud Controls Matrix (CCM) 4
• Ley de Responsabilidad y Portabilidad de Seguros Médicos (HIPAA)
• Organización Internacional de Normalización (ISO) 27001, 2022
• Instituto Nacional de Estándares y Tecnología (NIST) 800-53 R5
• Instituto Nacional de Normas y Tecnología (NIST) Marco de ciberseguridad (CSF) 1.0
• Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) 4.0 y 3.2.1
• Controles de la organización y el sistema (SOC) 2 Criterios de servicios de confianza (TSC) de 2017

Para obtener más información sobre el cumplimiento, consulta Cómo evaluar y generar informes sobre el cumplimiento de las comparativas de seguridad.