סקירה כללית של Security Health Analytics

‫

Security Health Analytics הוא שירות מנוהל של Security Command Center שסורק את סביבות הענן שלכם כדי לזהות טעויות נפוצות בהגדרות שעלולות לחשוף אתכם להתקפות.

התכונה Security Health Analytics מופעלת אוטומטית בהפעלות חדשות של Security Command Center ברמות Standard-legacy,‏ Premium ו-Enterprise.

תכונות של Security Health Analytics לפי רמה

‫

התכונות של Security Health Analytics שזמינות לכם משתנות בהתאם לרמת השירות שבה מופעל Security Command Center. אפשר לראות אילו ממצאים זמינים בכל אחת מהרמות במאמר ממצאים של Security Health Analytics.

תכונות במסלול Standard-legacy

במהדורת Standard-legacy, הכלי Security Health Analytics יכול לזהות רק קבוצה בסיסית של נקודות חולשה ברמת חומרה בינונית וגבוהה.

תכונות במסלול הרגיל

אם רמת השירות Standard הופעלה לאחרונה בארגון, כלומר הארגון לא עבר מיגרציה מרמת השירות Standard מדור קודם, לא ניתן להשתמש ב-Security Health Analytics. כדאי להשתמש ב-Compliance Manager Security Essentials framework וב-Vulnerability Assessment for Google Cloud כדי לסרוק את הסביבה שלכם ולחפש טעויות בהגדרות ונקודות חולשה שעלולות לחשוף אתכם להתקפה.

אם הארגון שלכם הועבר מרמת Standard מדור קודם לרמת Standard, הגלאים הבאים של Security Health Analytics מועברים לאמצעי בקרה של Compliance Manager במסגרת Security Essentials:

• DATAPROC_IMAGE_OUTDATED
• LEGACY_AUTHORIZATION_ENABLED
• OPEN_CISCOSECURE_WEBSM_PORT
• OPEN_DIRECTORY_SERVICES_PORT
• OPEN_FIREWALL
• OPEN_RDP_PORT
• OPEN_SSH_PORT
• OPEN_TELNET_PORT
• PUBLIC_DATASET
• PUBLIC_IP_ADDRESS
• PUBLIC_SQL_INSTANCE
• SSL_NOT_ENFORCED
• WEB_UI_ENABLED

הכלי Security Health Analytics מופעל וכל הגלאים ממשיכים ליצור ממצאים, אבל הממצאים שנוצרו על ידי הגרסה של הגלאים שהועברו ב-Security Health Analytics מסומנים במזהה של ערך השדה: launch_state="LAUNCH_STATE_DEPRECATED" ולא מוצגים בחלק מדפי המסוף. Google Cloud

לרוב הגלאים של SHA יש אמצעי בקרה מקבילים ב-Compliance Manager. מידע נוסף זמין במאמר בנושא מיפוי של גלאים ב-Security Health Analytics לאמצעי בקרה בענן.

כדי לראות את הממצאים שנוצרו על ידי הגרסה של Compliance Manager של הגלאים שהועברו, משתמשים בפקודה הבאה:

• הדף ממצאים
• הדף תאימות > הכרטיסייה מעקב

כדי לראות את הממצאים שנוצרו על ידי הגרסה של Security Health Analytics של מזהי התוכן שהועברו, משתמשים באפשרויות הבאות:

• בדף ממצאים, מסירים את המונח launch_state="LAUNCH_STATE_DEPRECATED" מהשאילתה.
• נקודות חולשה בגרסה הקודמת

הגלאים הבאים לא מועברים למסגרת Security Essentials בכלי Compliance Manager:

• MFA_NOT_ENFORCED
• NON_ORG_IAM_MEMBER
• OPEN_GROUP_IAM_MEMBER
• PUBLIC_BUCKET_ACL
• PUBLIC_COMPUTE_IMAGE
• PUBLIC_LOG_BUCKET

אפשר להפעיל את אמצעי הזיהוי האלה בכרטיסייה הגדרות > Security Health Analytics > מודולים.

כדי לראות את הממצאים שנוצרו על ידי מזהי התוכן האלה של Security Health Analytics, משתמשים באפשרויות הבאות:

• הדף ממצאים

• סקירת סיכונים > מרכז הבקרה כל הסיכונים:

  • החלונית הגדרות שגויות נפוצות
  • החלונית Misconfigurations by date

הממצאים שנוצרו על ידי מזהי התוכן האלה של Security Health Analytics לא מופיעים בדף תאימות.

תכונות של מסלול פרימיום

אם רמת Premium הופעלה לאחרונה בארגון שלכם, כלומר הארגון לא עבר מרמת Standard, Security Health Analytics כולל את התכונות הבאות:

• כל המזהים של Google Cloud, וגם מספר תכונות אחרות לזיהוי פגיעויות, כמו האפשרות ליצור מודולים מותאמים אישית לזיהוי.
• הממצאים ממופים לבקרי תאימות לצורך דיווח על תאימות. מידע נוסף זמין במאמר גלאים ותאימות.
• סימולציות של נתיבי תקיפה ב-Security Command Center מחשבות את רמות החשיפה לתקיפה ואת נתיבי התקיפה הפוטנציאליים עבור רוב הממצאים של Security Health Analytics. מידע נוסף זמין במאמר סקירה כללית של ציוני חשיפה להתקפות ונתיבי התקפה.

אם הארגון שלכם שודרג מרמת Standard לרמת Premium, תוכלו לקרוא את המאמר בנושא מעבר בין רמות כדי לקבל מידע על השינויים ביכולות של כלי הזיהוי ב-Security Health Analytics.

תכונות של רמת Enterprise

אם רמת Enterprise הופעלה בארגון לאחרונה, כלומר הארגון לא הועבר מרמת Standard, כלי Security Health Analytics כולל את כל התכונות של רמת Premium, וגם גלאים לפלטפורמות של ספקי שירותי ענן אחרים.

אם הארגון שלכם שודרג מרמת Standard לרמת Premium, תוכלו לקרוא את המאמר מעבר בין רמות כדי לקבל מידע על השינויים ביכולות של כלי הזיהוי ב-Security Health Analytics.

מעבר בין רמות

‫

ב-Security Command Center במסלול Premium ובמסלולי Enterprise יש יותר גלאים מאשר במסלול Standard מדור קודם. אם אתם משתמשים בתוכנית Premium או Enterprise ומתכננים לשדרג לתוכנית Standard או Standard-legacy, מומלץ לפתור את כל הממצאים לפני שתשנו את התוכנית.

כשמסתיים ניסיון ב-Premium או ב-Enterprise, או כשמבצעים שדרוג לאחור מאחת מהמהדורות האלה למהדורת Standard או למהדורת Standard מדור קודם, הסטטוס של הממצאים שנוצרו במהדורה הגבוהה יותר מוגדר ל-INACTIVE.

אם לארגון שלכם לא היה Security Command Center והוא הופעל אוטומטית ברמת Standard, ואז שדרגתם לרמת Premium או Enterprise, אתם יכולים להשתמש במסגרת Security Essentials ב-Compliance Manager כדי להגדיר את הזיהויים.

אם הארגון שלכם עבר מהמסלול הרגיל מדור קודם למסלול הרגיל, ואז שדרגתם למסלול פרימיום או למסלול Enterprise, לא תוכלו להפעיל גלאים של Security Health Analytics במסלול פרימיום או במסלול Enterprise. אפשר להשתמש במסגרות של Compliance Manager שזמינות ברמות Premium ו-Enterprise כדי להגדיר את האיתורים.

רוב הגלאים של Security Health Analytics ברמות Premium ו-Enterprise מועברים למסגרת Security Essentials ב-Compliance Manager.

מידע נוסף על מסגרות ועל אמצעי בקרה בענן ב-Compliance Manager זמין במאמר מסגרות ב-Compliance Manager.

מידע על המיפוי של גלאים ב-Security Health Analytics לאמצעי בקרה בענן ב-Compliance Manager זמין במאמר מיפוי של גלאים ב-Security Health Analytics לאמצעי בקרה בענן.

תמיכה במרובה עננים

הכלי Security Health Analytics יכול לזהות הגדרות שגויות בפריסות שלכם בפלטפורמות ענן אחרות.

‫Security Health Analytics תומך בספקי שירותי הענן הבאים:

• ‫Amazon Web Services‏ (AWS): כדי להריץ את הגלאים על נתונים ב-AWS, צריך קודם לחבר את Security Command Center ל-AWS, כמו שמתואר במאמר חיבור ל-AWS לאיסוף נתוני תצורה ומשאבים.

• ‫Microsoft Azure: כדי להריץ את אמצעי הזיהוי על נתונים ב-Microsoft Azure, צריך קודם לחבר את Security Command Center ל-Microsoft Azure, כמו שמתואר במאמר חיבור ל-Microsoft Azure לצורך זיהוי פגיעויות והערכת סיכונים.

שירותי ענן נתמכים Google Cloud

‫

הכלי Security Health Analytics מנהל סריקות להערכת פגיעויות ב- Google Cloud ויכול לזהות באופן אוטומטי פגיעויות נפוצות וטעויות בהגדרות בשירותים הבאים: Google Cloud

• Cloud Monitoring ו-Cloud Logging
• Compute Engine
• קונטיינרים ורשתות ב-Google Kubernetes Engine
• Cloud Storage
• Cloud SQL
• ניהול זהויות והרשאות גישה (IAM)
• Cloud Key Management Service (Cloud KMS)

סוגי סריקות ב-Security Health Analytics

‫

סריקות של Security Health Analytics פועלות בשלושה מצבים:

• סריקה באצווה: כל אמצעי הזיהוי מתוזמנים להפעלה עבור כל הארגונים או הפרויקטים הרשומים פעם ביום. ב-Security Command Center Standard-legacy, סריקת ההטמעה מופעלת כל 48 שעות, ולכן יכול להיות שיהיה עיכוב של 72 שעות בעדכון הממצאים.

• סריקה בזמן אמת: רק ב Google Cloud פריסות מגובות, גלאים נתמכים מתחילים סריקות בכל פעם שמזוהה שינוי בהגדרות של משאב. הממצאים נכתבים ב-Security Command Center. סריקות בזמן אמת אינן אפשריות בפריסות בפלטפורמות ענן אחרות.

• מצב מעורב: יכול להיות שחלק מהגלאים שתומכים בסריקות בזמן אמת לא יזהו שינויים בזמן אמת בכל סוגי המשאבים הנתמכים. במקרים כאלה, שינויים בהגדרות של סוגי משאבים מסוימים מתועדים באופן מיידי, ושינויים בהגדרות של סוגי משאבים אחרים מתועדים בסריקות אצווה. חריגים מצוינים בטבלאות של ממצאי Security Health Analytics.

הפעלת גלאי ב-Security Health Analytics

‫

‫Security Health Analytics משתמש בגלאים כדי לזהות נקודות חולשה והגדרות שגויות בסביבת הענן. כל גלאי מתאים לקטגוריית ממצאים.

ב-Security Health Analytics יש הרבה גלאים מובנים שבודקים פגיעויות וטעויות בהגדרות במגוון רחב של קטגוריות וסוגי משאבים.

במהדורות Premium ו-Enterprise, אפשר גם ליצור גלאים מותאמים אישית משלכם שיכולים לבדוק אם יש נקודות חולשה או הגדרות שגויות שלא נכללות בגלאים המובנים או שספציפיות לסביבה שלכם.

מידע נוסף על הגלאים המובנים של Security Health Analytics זמין במאמר גלאים מובנים של Security Health Analytics.

מידע נוסף על יצירה ושימוש במודולים מותאמים אישית זמין במאמר מודולים מותאמים אישית ב-Security Health Analytics.

הפעלה והשבתה של גלאים

‫

לא כל הגלאים המובנים של Security Health Analytics מופעלים כברירת מחדל.

במאמר הפעלה והשבתה של אמצעי זיהוי מוסבר איך להפעיל אמצעי זיהוי מוטמעים לא פעילים.

כדי להפעיל או להשבית מודול זיהוי מותאם אישית של Security Health Analytics, אפשר לעדכן את המודול המותאם אישית באמצעות מסוף Google Cloud, ה-CLI של gcloud או Security Command Center API. Google Cloud

מידע נוסף על עדכון מודולים בהתאמה אישית ב-Security Health Analytics זמין במאמר בנושא עדכון מודול בהתאמה אישית.

חיישנים מובנים והפעלות ברמת הפרויקט

Standard-legacy ו-Premium

כשמפעילים את Security Command Center רק לפרויקט, לא תהיה תמיכה בחלק מהגלאים המובנים של Security Health Analytics כי הם דורשים הרשאות ברמת הארגון.

מבין הגלאים המובנים שנדרשת הפעלה ברמת הארגון כדי להשתמש בהם, אתם יכולים להפעיל את אלה שזמינים במסלול Standard-legacy של Security Command Center לצורך הפעלות ברמת הפרויקט, על ידי הפעלת המסלול Standard-legacy בארגון.

אין תמיכה בהפעלות ברמת הפרויקט של גלאים מובנים שנדרשים גם למסלול פרימיום וגם להרשאות ברמת הארגון.

לרשימה של הגלאים המובנים ברמת Standard-legacy שנדרשת הפעלה ברמת הארגון של Security Command Center Standard-legacy כדי להשתמש בהם בהפעלה ברמת הפרויקט, אפשר לעיין במאמר קטגוריות של ממצאים ברמת הארגון ב-Standard-legacy.

לרשימה של גלאים מובנים במסלול פרימיום שלא נתמכים בהפעלות ברמת הפרויקט, ראו ממצאי Security Health Analytics שלא נתמכים.

מזהים מותאמים אישית של מודולים והפעלות ברמת הפרויקט

הסריקות של גלאים של מודולים בהתאמה אישית שיוצרים בפרויקט מוגבלות להיקף הפרויקט, ללא קשר לרמת ההפעלה של Security Command Center. גלאי מודולים בהתאמה אישית יכולים לסרוק רק את המשאבים שזמינים לפרויקט שבו הם נוצרו.

מידע נוסף על מודולים בהתאמה אישית זמין במאמר מודולים בהתאמה אישית ב-Security Health Analytics.

גלאים מובנים ב-Security Health Analytics

‫

בקטע הזה מתוארות הקטגוריות ברמה הגבוהה של אמצעי הזיהוי, שמפורטות לפי פלטפורמת הענן וקטגוריית הממצאים שהן יוצרות.

מזהים מובנים לפי קטגוריה ברמה גבוהה Google Cloud

‫

המזהים של Security Health Analytics ל- Google Cloudוהממצאים שהם יוצרים מקובצים בקטגוריות הבאות ברמה גבוהה.

גלאי Security Health Analytics עוקבים אחרי קבוצת משנה של סוגי המשאבים שנתמכים על ידי מאגר משאבי ענן. Google Cloud

כדי לראות את הגלאים הספציפיים שכלולים בכל קטגוריה, לוחצים על שם הקטגוריה.

• ממצאים לגבי נקודות חולשה במפתח API
• ממצאי נקודות חולשה בתמונות Compute
• ממצאים של פגיעויות במכונות של Compute
• ממצאי נקודות חולשה בקונטיינר
• ממצאים בנושא פגיעויות ב-Dataproc
• מערך נתונים ממצאי נקודות חולשה
• ממצאים לגבי פגיעות ב-DNS
• Firewall vulnerability findings
• ממצאי פגיעות ב-IAM
• ממצאים של נקודות חולשה ב-KMS
• רישום ביומן ממצאי פגיעויות
• מעקב אחרי ממצאי פרצות אבטחה
• ממצאים לגבי פגיעות באימות רב-שלבי
• ממצאי נקודות חולשה ברשת
• ממצאי פגיעות במדיניות הארגון
• ממצאי פגיעות ב-Pub/Sub
• ממצאי נקודות חולשה ב-SQL
• ממצאים של פגיעויות באחסון
• ממצאי נקודות חולשה ברשת משנה

גלאים מובנים ל-AWS

רשימה של כל הגלאים של Security Health Analytics ל-AWS זמינה במאמר בנושא ממצאים ב-AWS.

מודולים מותאמים אישית ב-Security Health Analytics

מודולים מותאמים אישית של Security Health Analytics הם גלאים מותאמים אישית ל-Google Cloud שמרחיבים את יכולות הזיהוי של Security Health Analytics מעבר לאלה שמסופקות על ידי הגלאים המובנים.

מודולים בהתאמה אישית אינם נתמכים בפלטפורמות ענן אחרות.

אפשר ליצור מודולים מותאמים אישית באמצעות תהליך העבודה המודרך במסוףGoogle Cloud , או ליצור בעצמכם את ההגדרה של המודול המותאם אישית בקובץ YAML ואז להעלות אותו ל-Security Command Center באמצעות פקודות Google Cloud CLI או Security Command Center API.

מידע נוסף זמין במאמר סקירה כללית של מודולים בהתאמה אישית ל-Security Health Analytics.

מזהים ותאימות

המדד של Security Command Center לציות למדדי השוואה של אבטחה מבוסס במידה רבה על הממצאים שנוצרו על ידי גלאי נקודות החולשה של Security Health Analytics.

הכלי Security Health Analytics עוקב אחרי התאימות שלכם לגלאים שממופים לאמצעי הבקרה של מגוון רחב של תקני אבטחה.

עבור כל תקן אבטחה נתמך, Security Health Analytics בודק קבוצת משנה של אמצעי הבקרה. במקרה של אמצעי הבקרה שנבדקו, ב-Security Command Center מוצג כמה מהם עברו את הבדיקה. ב-Security Command Center מוצגת רשימת ממצאים לגבי אמצעי הבקרה שלא עברו את הבדיקה, עם תיאור של הכשלים.

‫CIS בודק ומאשר את המיפויים של גלאי Security Health Analytics לכל גרסה נתמכת של CIS Google Cloud Foundations Benchmark. מיפויים נוספים לתאימות כלולים למטרות עיון בלבד.

‫Security Health Analytics מוסיף תמיכה בגרסאות חדשות של מדדים ותקנים מעת לעת. גרסאות ישנות יותר ממשיכות להיות נתמכות, אבל בסופו של דבר הן יוצאות משימוש. מומלץ להשתמש בנקודת ההשוואה או בתקן הנתמכים העדכניים ביותר.

באמצעות שירות מצב האבטחה, אתם יכולים למפות את מדיניות הארגון ואת אמצעי הזיהוי של Security Health Analytics לתקנים ולאמצעי הבקרה שחלים על העסק שלכם. אחרי שיוצרים את מצב האבטחה, אפשר לעקוב אחרי שינויים בסביבה שיכולים להשפיע על התאימות של העסק.

בעזרת Compliance Manager, אפשר להטמיע מסגרות שממפות אמצעי בקרה רגולטוריים לאמצעי בקרה בענן. אחרי שיוצרים מסגרת, אפשר לעקוב אחרי שינויים בסביבה שעשויים להשפיע על התאימות של העסק ועל הביקורת של הסביבה.

מידע נוסף על ניהול התאימות זמין במאמר בנושא הערכה ודיווח של תאימות לתקני אבטחה.

תקני אבטחה נתמכים

Google Cloud

Security Health Analytics ממפה את אמצעי הזיהוי של Google Cloud לפחות לאחד מתקני התאימות הבאים:

• Center for Information Security (CIS) Controls 8.0
• CIS Google Cloud Computing Foundations Benchmark גרסאות v2.0.0,‏ v1.3.0,‏ v1.2.0,‏ v1.1.0 ו-v1.0.0
• CIS Kubernetes Benchmark v1.5.1
• Cloud Controls Matrix (CCM) 4
• Health Insurance Portability and Accountability Act (חוק היבילות ואחריות הדיווח של ביטוח בריאות, HIPAA)
• ‫International Organization for Standardization (ISO) 27001, ‏ 2022 ו-2013
• National Institute of Standards and Technology (NIST) 800-53 R5 and R4
• National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) 1.0
• Open Web Application Security Project (OWASP) Top Ten, 2021 and 2017
• תקן אבטחת הנתונים בתחום כרטיסי התשלום (PCI DSS) גרסאות 4.0 ו-3.2.1
• ‫System and Organization Controls (SOC) 2 2017 Trust Services Criteria (TSC)

AWS

במהדורת Enterprise של שירות Security Health Analytics, גלאים של Amazon Web Services‏ (AWS) ממופים לאחד או יותר מהתקנים הבאים לתאימות:

• ‫CIS Amazon Web Services Foundations 2.0.0
• CIS Critical Security Controls Version 8.0
• Cloud Controls Matrix (CCM) 4
• חוק היבילות ואחריות הדיווח של ביטוח בריאות (HIPAA)
• ‫International Organization for Standardization (ISO) 27001, 2022
• National Institute of Standards and Technology (NIST) 800-53 R5
• National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) 1.0
• תקן אבטחת הנתונים בתחום כרטיסי התשלום (PCI DSS) 4.0 ו-3.2.1
• ‫System and Organization Controls (SOC) 2 2017 Trusted Services Criteria (TSC)

מידע נוסף על תאימות זמין במאמר בנושא הערכה ודיווח על תאימות למדדי אבטחה.