Visão geral da Análise de integridade de segurança

A Análise de integridade da segurança é um serviço gerenciado do Security Command Center que verifica seus ambientes de nuvem em busca de configurações incorretas comuns que podem expor você a ataques.

A Análise de integridade da segurança está desativada para novas ativações do Security Command Center nos níveis Standard-legado, Premium e Enterprise. Para essas organizações, use o Compliance Manager para verificar se há configurações incorretas no ambiente.

Recursos da Análise de integridade da segurança por nível

Os recursos da Análise de integridade da segurança disponíveis para você variam de acordo com o nível de serviço em que o Security Command Center está ativado. Consulte Descobertas da Análise de integridade da segurança para saber quais descobertas estão disponíveis em quais níveis.

Recursos do nível Standard-legado

No nível Standard-legado, a Análise de integridade da segurança pode detectar apenas um grupo básico de vulnerabilidades de média e alta gravidade.

Recursos do nível Standard

Se o nível Standard for ativado recentemente na sua organização, ou seja, se a organização não foi migrada do nível Standard-legado, a Análise de integridade da segurança não estará disponível. Use o framework de noções básicas de segurança do Compliance Manager e a avaliação de vulnerabilidades Google Cloud para verificar se há configurações incorretas e vulnerabilidades no ambiente que possam expor você a ataques.

Se a organização foi migrada do nível Standard-legado para o Standard, os seguintes detectores da Análise de integridade da segurança serão migrados para os controles do Compliance Manager no framework de noções básicas de segurança:

• DATAPROC_IMAGE_OUTDATED
• LEGACY_AUTHORIZATION_ENABLED
• OPEN_CISCOSECURE_WEBSM_PORT
• OPEN_DIRECTORY_SERVICES_PORT
• OPEN_FIREWALL
• OPEN_RDP_PORT
• OPEN_SSH_PORT
• OPEN_TELNET_PORT
• PUBLIC_DATASET
• PUBLIC_IP_ADDRESS
• PUBLIC_SQL_INSTANCE
• SSL_NOT_ENFORCED
• WEB_UI_ENABLED

A Análise de integridade da segurança está ativada, e todos os detectores continuam gerando descobertas, mas as descobertas criadas pela versão da Análise de integridade da segurança dos detectores migrados são rotuladas com o identificador de valor de campo: launch_state="LAUNCH_STATE_DEPRECATED" e não são exibidas em algumas Google Cloud páginas do console.

A maioria dos detectores da Análise de integridade da segurança tem controles equivalentes do Compliance Manager. Para mais informações, consulte Mapeamento de detectores da Análise de integridade da segurança para controles de nuvem.

Para conferir as descobertas criadas pela versão do Compliance Manager dos detectores migrados, use o seguinte:

• Página Descobertas
• Página Compliance > guia Monitorar

Para conferir as descobertas geradas pela versão da Análise de integridade da segurança dos detectores migrados, use o seguinte:

• Página Descobertas e remova o launch_state="LAUNCH_STATE_DEPRECATED" termo da consulta.
• Vulnerabilidades legadas

Os seguintes detectores não são migrados para o framework de noções básicas de segurança no Compliance Manager:

• MFA_NOT_ENFORCED
• NON_ORG_IAM_MEMBER
• OPEN_GROUP_IAM_MEMBER
• PUBLIC_BUCKET_ACL
• PUBLIC_COMPUTE_IMAGE
• PUBLIC_LOG_BUCKET

É possível ativar esses detectores na guia Configurações > Análise de integridade da segurança > Módulos.

Para conferir as descobertas criadas por esses detectores da Análise de integridade da segurança, use o seguinte:

• Página Descobertas

• Visão geral de riscos > Todos os riscos:

  • Painel Principais configurações incorretas
  • Painel Configurações incorretas por data

As descobertas geradas por esses detectores da Análise de integridade da segurança não aparecem na página Compliance.

Recursos do nível Premium

Se o nível Premium for ativado recentemente na sua organização, ou seja, se a organização não foi migrada do nível Standard, a Análise de integridade da segurança não estará disponível e não poderá ser ativada. Para essas organizações, use o Compliance Manager para verificar se há configurações incorretas no ambiente.

Se o nível Premium for migrado do nível Standard, a Análise de integridade da segurança incluirá os seguintes recursos:

• Todos os detectores para Google Cloud, bem como vários outros recursos de detecção de vulnerabilidades, como a capacidade de criar módulos de detecção personalizados.
• As descobertas são mapeadas para controles de compliance para relatórios de compliance. Para mais informações, consulte Detectores e compliance.
• As simulações de caminho de ataque do Security Command Center calculam pontuações de exposição a ataques e possíveis caminhos de ataque para a maioria das descobertas da Análise de integridade da segurança. Para mais informações, consulte Visão geral das pontuações de exposição a ataques e caminhos de ataque.

Se a organização fez upgrade do nível Standard para o Premium, consulte Como alternar níveis para informações sobre o conjunto modificado de recursos do detector da Análise de integridade da segurança.

Recursos do nível Enterprise

Se o nível Enterprise for ativado recentemente na sua organização, ou seja, se a organização não foi migrada do nível Standard, a Análise de integridade da segurança não estará disponível e não poderá ser ativada. Para essas organizações, use o Compliance Manager para verificar se há configurações incorretas no ambiente.

Se a organização fez upgrade do nível Standard para o Enterprise, consulte Como alternar níveis para informações sobre o conjunto modificado de recursos do detector da Análise de integridade da segurança.

Como alternar níveis

O Security Command Center nos níveis Premium e Enterprise tem mais detectores do que no nível Standard-legado. Se você estiver usando o nível Premium ou Enterprise e planeja fazer downgrade para o nível Standard ou Standard-legado, recomendamos resolver todas as descobertas antes de mudar o nível.

Quando um teste do nível Premium ou Enterprise termina ou você faz downgrade de um desses níveis para o Standard ou Standard-legado, o estado das descobertas geradas no nível mais alto é definido como INACTIVE.

Se a organização não tinha o Security Command Center e foi ativada automaticamente com o nível Standard, e depois você fez upgrade para o nível Premium ou Enterprise, use o framework de noções básicas de segurança em Compliance Manager para configurar as detecções.

Se a organização foi migrada para o nível Standard do nível Standard-legado e depois você fez upgrade para o nível Premium ou Enterprise, a Análise de integridade da segurança permanecerá parcialmente ativada. Não é possível ativar os detectores da Análise de integridade da segurança do nível Premium ou Enterprise. É necessário usar os frameworks do Compliance Manager disponíveis nos níveis Premium e Enterprise para configurar as detecções.

A maioria dos detectores da Análise de integridade da segurança no nível Premium e Enterprise é migrada para o framework de noções básicas de segurança no Compliance Manager.

Para mais informações sobre frameworks e controles de nuvem do Compliance Manager, consulte Frameworks do Compliance Manager.

Para informações sobre como os detectores da Análise de integridade da segurança são mapeados para os controles de nuvem do Compliance Manager, consulte Mapeamento de detectores da Análise de integridade da segurança para controles de nuvem.

Suporte a várias nuvens

A Análise de integridade da segurança pode detectar configurações incorretas nas implantações em outras plataformas de nuvem.

A Análise de integridade da segurança oferece suporte aos seguintes provedores de serviços de nuvem:

• Amazon Web Services (AWS): Para executar os detectores em dados da AWS, primeiro é necessário conectar o Security Command Center à AWS, conforme descrito em Conectar à AWS para coleta de dados de configuração e recursos.

• Microsoft Azure: para executar os detectores em dados do Microsoft Azure, primeiro é necessário conectar o Security Command Center ao Microsoft Azure, conforme descrito em Conectar ao Microsoft Azure para detecção de vulnerabilidades e avaliação de riscos.

Serviços de nuvem com suporte Google Cloud

A verificação de avaliação de vulnerabilidade gerenciada da Análise de integridade da segurança para Google Cloud pode detectar automaticamente vulnerabilidades e configurações incorretas comuns nos seguintes Google Cloud serviços:

• Cloud Monitoring e Cloud Logging
• Compute Engine
• Contêineres e redes do Google Kubernetes Engine
• Cloud Storage
• Cloud SQL
• Identity and Access Management (IAM)
• Cloud Key Management Service (Cloud KMS)

Tipos de verificações da Análise de integridade da segurança

As verificações da Análise de integridade da segurança são executadas em três modos:

• Verificação em lote:todos os detectores são programados para serem executados periodicamente para todas as organizações ou projetos inscritos.

  Para informações sobre a frequência das verificações, consulte Latência de verificação da Análise de integridade da segurança.

• Verificação em tempo real: somente para Google Cloud implantações os detectores compatíveis iniciam verificações sempre que uma alteração é detectada na configuração de um recurso. As descobertas são gravadas no Security Command Center. As verificações em tempo real não são compatíveis com implantações em outras plataformas de nuvem.

• Modo misto:alguns detectores compatíveis com verificações em tempo real podem não detectar alterações em tempo real para todos os tipos de recursos compatíveis. Nesses casos, as alterações de configuração de alguns tipos de recursos são capturadas imediatamente e outras são capturadas em verificações em lote. Há exceções nas tabelas das descobertas da Análise de integridade da segurança.

A Análise de integridade da segurança verifica recursos em outras plataformas de nuvem apenas no modo em lote.

Latência de verificação da Análise de integridade da segurança

As seções a seguir descrevem o tempo necessário para que as descobertas sejam geradas pela verificação inicial e a frequência das verificações subsequentes.

Verificação inicial

Nos níveis Premium e Enterprise, a verificação inicial começa aproximadamente uma hora após a ativação do serviço. As primeiras verificações da Análise de integridade da segurança podem levar até 12 horas para serem concluídas.

Nos níveis Security Command Center Standard e Standard-legado do Security Command Center, as verificações são executadas a cada 48 horas, o que pode resultar em uma latência de descoberta inicial de 72 horas.

É possível ver algumas descobertas no Google Cloud console enquanto as verificações iniciais estão ocorrendo, mas antes que o processo de integração seja concluído. As descobertas preliminares são precisas e acionáveis, mas não são abrangentes. Não é recomendável usar essas descobertas para uma avaliação de conformidade nas primeiras 24 horas.

Verificações subsequentes

Após a verificação inicial, as detecções são executadas periodicamente no modo em lote.

• Nos níveis Premium e Enterprise, as verificações em lote são executadas todos os dias.
• Nos níveis Standard e Standard-legado, as verificações em lote são executadas a cada 48 horas.

Um detector pode ser executado no modo em lote, em tempo real ou misto. Para mais informações sobre esses modos, consulte Tipos de verificação da Análise de integridade da segurança.

Com a verificação em tempo real, as alterações de configuração de recursos relevantes Google Cloud podem resultar em descobertas atualizadas. A atualização pode levar vários minutos, dependendo do tipo de recurso e da mudança. Um detector pode não oferecer suporte à verificação em tempo real se a detecção usar informações fora da configuração de um recurso.

Para saber se um detector oferece suporte à verificação em tempo real, consulte a coluna Configurações de verificação de recursos do detector na seção de referência de descobertas da Análise de integridade da segurança das Descobertas de vulnerabilidades.

Ativação do detector da Análise de integridade da segurança

A Análise de integridade da segurança usa detectores para identificar vulnerabilidades e configurações incorretas no ambiente de nuvem. Cada detector corresponde a uma categoria de descoberta.

A Análise de integridade da segurança vem com muitos detectores integrados que verificam vulnerabilidades e configurações incorretas em um grande número de categorias e tipos de recursos.

Para os níveis de serviço Premium e Enterprise, também é possível criar seus próprios detectores personalizados que podem verificar vulnerabilidades ou configurações incorretas que não são cobertas pelos detectores integrados ou que são específicas do seu ambiente.

Para mais informações sobre os detectores integrados da Análise de integridade da segurança, consulte Detectores integrados da Análise de integridade da segurança.

Para mais informações sobre como criar e usar módulos personalizados, consulte Módulos personalizados da Análise de integridade da segurança.

Ativar e desativar detectores

Nem todos os detectores integrados da Análise de integridade da segurança estão ativados por padrão.

Para ativar os detectores integrados inativos, consulte Ativar e desativar detectores.

Para ativar ou desativar um módulo de detecção personalizado da Análise de integridade da segurança, atualize-o usando o Google Cloud console, a CLI gcloud ou a API Security Command Center.

Para mais informações sobre como atualizar os módulos personalizados da Análise de integridade da segurança, consulte Atualizar um módulo personalizado.

Detectores integrados e ativações para envolvidos no projeto

Quando você ativa o Security Command Center apenas para um projeto, determinados detectores integrados da Análise de integridade da segurança não são compatíveis, porque exigem permissões no nível da organização.

Dos detectores integrados que exigem uma ativação no nível da organização, é possível ativar aqueles que estão disponíveis com o nível Standard-legado do Security Command Center para ativações para envolvidos no projeto, ativando o nível Standard-legado para sua organização.

Os detectores integrados que exigem o nível Premium e permissões no nível da organização não são compatíveis com ativações no nível do projeto.

Para conferir uma lista dos detectores de nível Standard-legado integrados que exigem uma ativação no nível da organização do Security Command Center Standard-legado antes que eles possam ser usados com uma ativação no nível do projeto, consulte Categorias de descoberta do nível Standard no nível da organização.

Para conferir uma lista de detectores integrados de nível Premium que não são compatíveis com ativações para envolvidos no projeto, consulte Descobertas não compatíveis da Análise de integridade da segurança.

Detectores de módulos personalizados e ativações para envolvidos no projeto

As verificações de detectores de módulos personalizados criados em um projeto são limitadas ao escopo do projeto, independentemente do nível de ativação do Security Command Center. Os detectores de módulos personalizados podem verificar apenas os recursos disponíveis para o projeto em que são criados.

Para mais informações sobre módulos personalizados, consulte Módulos personalizados da Análise de integridade da segurança.

Detectores integrados da Análise de integridade da segurança

Esta seção descreve as categorias de alto nível dos detectores, listadas por plataforma de nuvem e a categoria de descoberta que eles geram.

Detectores integrados para Google Cloud por categoria de alto nível

Os detectores da Análise de integridade da segurança para Google Cloud, e as descobertas que eles geram, são agrupados nas seguintes categorias de alto nível.

Os detectores da Análise de integridade da segurança monitoram um subconjunto dos Google Cloud tipos de recursos com suporte do Inventário de recursos do Cloud.

Para conferir os detectores individuais incluídos em cada categoria, clique no nome da categoria.

• Descobertas de vulnerabilidade da chave de API
• Calcular descobertas de vulnerabilidade de imagem
• Descobertas de vulnerabilidade da instância do Compute
• Descobertas da vulnerabilidade do contêiner
• Descobertas de vulnerabilidade do Serviço Gerenciado para Apache Spark
• Descobertas de vulnerabilidade do conjunto de dados
• Descobertas de vulnerabilidade de DNS
• Descobertas de vulnerabilidades de firewall
• Descobertas da vulnerabilidade do IAM
• Descobertas de vulnerabilidade do KMS
• Descobertas de vulnerabilidade de geração de registros
• Monitoramento de descobertas de vulnerabilidade
• Descobertas de vulnerabilidade de autenticação multifator
• Descobertas de vulnerabilidades de rede
• Descobertas da vulnerabilidade da política da organização
• Descobertas de vulnerabilidades do Pub/Sub
• Descobertas de vulnerabilidade SQL
• Descobertas de vulnerabilidade do armazenamento
• Descobertas de vulnerabilidades de sub-rede

Detectores integrados para AWS

Para conferir uma lista de todos os detectores da Análise de integridade da segurança para AWS, consulte Descobertas da AWS.

Módulos personalizados da Análise de integridade da segurança

Os módulos personalizados da Análise de integridade da segurança são detectores personalizados para Google Cloud que estendem os recursos de detecção da Análise de integridade da segurança além daqueles fornecidos pelos detectores integrados.

Os módulos personalizados não são compatíveis com outras plataformas de nuvem.

É possível criar módulos personalizados usando o fluxo de trabalho guiado no Google Cloud console ou criar a definição do módulo personalizado em um arquivo YAML e fazer upload dele para o Security Command Center usando comandos da Google Cloud CLI ou a API Security Command Center.

Para mais informações, consulte Visão geral dos módulos personalizados para a Análise de integridade da segurança.

Detectores e compliance

A medição do Security Command Center de compliance com comparativos de mercado de segurança é baseada em grande parte nas descobertas produzidas pelos detectores de vulnerabilidade da Análise de integridade da segurança.

A Análise de integridade da segurança monitora sua conformidade com detectores mapeados para os controles de uma ampla variedade de padrões de segurança.

Para cada padrão de segurança com suporte, a Análise de integridade da segurança verifica um subconjunto dos controles. Para os controles verificados, o Security Command Center mostra quantos estão sendo aprovados. Para os controles que não estão sendo aprovados, o Security Command Center mostra uma lista de descobertas que descrevem as falhas de controle.

A CIS analisa e certifica os mapeamentos dos detectores da Análise de integridade da segurança para cada versão compatível do comparativo de mercado CIS Google Cloud Foundations. Outros mapeamentos de conformidade são incluídos apenas para fins de referência.

A Análise de integridade da segurança adiciona suporte a novas versões e padrões de comparativo de mercado periodicamente. As versões mais antigas ainda são compatíveis, mas estão obsoletas. Recomendamos que você use o comparativo de mercado ou padrão compatível mais recente disponível.

Com o serviço de postura de segurança, é possível mapear políticas da organização e detectores da Análise de integridade da segurança para os padrões e controles aplicáveis à sua empresa. Depois de criar uma postura de segurança, você pode monitorar as mudanças no ambiente que possam afetar a conformidade da sua empresa.

Com o Compliance Manager, é possível implantar frameworks que mapeiam controles regulatórios para controles de nuvem. Depois de criar um framework, você pode monitorar as mudanças no ambiente que possam afetar a conformidade da sua empresa e auditar o ambiente.

Para obter mais informações sobre como gerenciar a conformidade, consulte Avaliar e gerar relatórios de conformidade com padrões de segurança.

Padrões de segurança com suporte

Google Cloud

A Análise de integridade da segurança mapeia detectores para Google Cloud um ou mais dos seguintes padrões de conformidade padrões:

• Controles 8.0 do Center for Information Security (CIS)
• Comparativo de mercado CIS Google Cloud Computing Foundations v2.0.0, v1.3.0, v1.2.0, v1.1.0 e v1.0.0
• Comparativo de mercado CIS Kubernetes v1.5.1
• Cloud Controls Matrix (CCM) 4
• Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA)
• Organização Internacional de Normalização (ISO) 27001, 2022 e 2013
• Instituto Nacional de Padrões e Tecnologia (NIST) 800-53 R5 e R4
• Estrutura de Cibersegurança (CSF) 1.0 do Instituto Nacional de Padrões e Tecnologia (NIST)
• Open Web Application Security Project (OWASP) Top Ten, 2021 e 2017
• Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) 4.0 e 3.2.1
• Critérios de serviços confiáveis (TSC) de 2017 do System and Organization Controls (SOC) 2

AWS

No nível de serviço Enterprise, a Análise de integridade da segurança mapeia detectores para a Amazon Web Services (AWS) para um ou mais dos seguintes padrões de conformidade:

• CIS Amazon Web Services Foundations 2.0.0
• CIS Critical Security Controls versão 8.0
• Cloud Controls Matrix (CCM) 4
• Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA)
• Organização Internacional de Normalização (ISO) 27001, 2022
• Instituto Nacional de Padrões e Tecnologia (NIST) 800-53 R5
• Framework de Segurança Cibernética (CSF) 1.0 do Instituto Nacional de Padrões e Tecnologia (NIST)
• Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) 4.0 e 3.2.1
• Critérios de serviços confiáveis (TSC) de 2017 do System and Organization Controls (SOC) 2

Para mais informações sobre conformidade, consulte Avaliar e gerar relatórios de conformidade com comparativos de mercado de segurança.