Nesta página, explicamos como gerenciar as descobertas do Security Health Analytics usando o Security Command Center.
O Análise de integridade da segurança é um serviço integrado do Security Command Center que verifica os recursos no ambiente de nuvem e gera descobertas para configurações incorretas detectadas.
Para receber descobertas da Análise de integridade da segurança, o serviço precisa estar ativado nas configurações de Serviços do Security Command Center.
Para criar descobertas relacionadas a recursos da Amazon Web Services (AWS), o Security Command Center precisa estar conectado à AWS.
As descobertas dos detectores da Análise de integridade da segurança são pesquisáveis no consoleGoogle Cloud e usando a API Security Command Center.
Para informações sobre os tipos de verificações, consulte Tipos de verificação da Análise de integridade da segurança.
Para saber quando esperar descobertas, consulte Latência de detecção da Análise de integridade da segurança.
Antes de começar
<0xPara receber as permissões necessárias para gerenciar descobertas do Security Health Analytics, peça ao administrador para conceder a você os seguintes papéis do IAM na sua organização, pasta ou projeto:
-
Ativar e desativar detectores:
Editor de configurações da Central de segurança (
roles/securitycenter.settingsEditor) -
Ver e filtrar descobertas:
Leitor de descobertas da Central de segurança (
roles/securitycenter.findingsViewer) -
Gerenciar regras de silenciamento:
Editor de configurações de desativação de som da Central de segurança (
roles/securitycenter.muteConfigsEditor) -
Gerenciar marcações de segurança:
Gravador de marcações de segurança de descoberta da Central de segurança (
roles/securitycenter.findingSecurityMarksWriter) -
Gerenciar descobertas de forma programática:
Editor de descobertas da Central de segurança (
roles/securitycenter.findingsEditor) -
Conceder acesso de entrada a um perímetro de serviço do VPC Service Controls:
Editor do Access Context Manager (
roles/accesscontextmanager.policyEditor) -
Conclua qualquer tarefa nesta página:
Administrador de configurações da Central de segurança (
roles/securitycenter.settingsAdmin)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.
Ativar e desativar detectores
Desativar detectores pode afetar o estado das descobertas ativas. Quando um detector é desativado, as descobertas existentes são automaticamente marcadas como inativas.
Ao ativar o Security Command Center no nível da organização, é possível desativar a Análise de integridade da segurança ou detectores específicos para pastas ou projetos específicos. Se o Security Health Analytics ou os detectores estiverem desativados para pastas e projetos, todas as descobertas existentes anexadas a recursos nesses recursos serão marcadas como inativas.
Os seguintes detectores da Análise de integridade da segurança para Google Cloud são desativados por padrão:
ALLOYDB_AUTO_BACKUP_DISABLEDALLOYDB_CMEK_DISABLEDBIGQUERY_TABLE_CMEK_DISABLEDBUCKET_CMEK_DISABLEDCLOUD_ASSET_API_DISABLEDDATAPROC_CMEK_DISABLEDDATASET_CMEK_DISABLEDDISK_CMEK_DISABLEDDISK_CSEK_DISABLEDNODEPOOL_BOOT_CMEK_DISABLEDPUBSUB_CMEK_DISABLEDSQL_CMEK_DISABLEDSQL_NO_ROOT_PASSWORDSQL_WEAK_ROOT_PASSWORDVPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED
Console
Se o serviço Análise de integridade da segurança estiver ativado, você poderá definir o estado de ativação dos módulos individuais.
- No console Google Cloud , acesse a página Módulos da Análise de integridade da segurança.
- Selecione a organização ou o projeto.
- Na guia Módulos, na coluna Status, selecione o status
atual do módulo que você quer ativar ou desativar e escolha uma
das seguintes opções:
- Ativar: ativa o módulo.
- Desativar: desativa o módulo.
gcloud
O comando
gcloud scc manage services update
atualiza o estado de um serviço ou módulo do Security Command Center.
Antes de usar os dados do comando abaixo, faça estas substituições:
-
RESOURCE_TYPE: o tipo de recurso a ser atualizado (organization,folderouproject). -
RESOURCE_ID: o identificador numérico da organização, pasta ou projeto a ser atualizado. Para projetos, também é possível usar o ID do projeto alfanumérico. -
MODULE_NAME: o nome do módulo a ser ativado ou desativado. Para valores válidos, consulte Detectores integrados da Análise de integridade da segurança. -
NEW_STATE:ENABLEDpara ativar o módulo;DISABLEDpara desativar o módulo; ouINHERITEDpara herdar o status de ativação do recurso pai (válido apenas para projetos e pastas).
Salve o conteúdo a seguir em um arquivo chamado request.json:
{ "MODULE_NAME": { "intendedEnablementState": "NEW_STATE" } }
Execute o comando
gcloud scc manage services update:
Linux, macOS ou Cloud Shell
gcloud scc manage services update security-health-analytics \ --RESOURCE_TYPE=RESOURCE_ID \ --module-config-file=request.json
Windows (PowerShell)
gcloud scc manage services update security-health-analytics ` --RESOURCE_TYPE=RESOURCE_ID ` --module-config-file=request.json
Windows (cmd.exe)
gcloud scc manage services update security-health-analytics ^ --RESOURCE_TYPE=RESOURCE_ID ^ --module-config-file=request.json
Você vai receber uma resposta semelhante a esta: Para simplificar, este exemplo mostra um subconjunto de todos os módulos da Análise de integridade da segurança.
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
ACCESS_AWSCLOUDSHELLFULLACCESS_RESTRICTED:
effectiveEnablementState: DISABLED
ACCESS_KEYS_ROTATED_90_DAYS_LESS:
effectiveEnablementState: ENABLED
ACCESS_TRANSPARENCY_DISABLED:
effectiveEnablementState: ENABLED
ADMIN_SERVICE_ACCOUNT:
effectiveEnablementState: ENABLED
ALLOYDB_AUTO_BACKUP_DISABLED:
effectiveEnablementState: DISABLED
name: projects/1070293378382/locations/global/securityCenterServices/SECURITY_HEALTH_ANALYTICS
updateTime: '2026-02-11T21:15:41.269584764Z'
REST
O método
RESOURCE_TYPE.locations.securityCenterServices.patch
da API Security Command Center Management atualiza o estado de um serviço ou módulo do Security Command Center.
Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:
-
RESOURCE_TYPE: o tipo de recurso a ser atualizado (organizations,foldersouprojects). -
QUOTA_PROJECT: o ID do projeto a ser usado para faturamento e acompanhamento de cota. -
RESOURCE_ID: o identificador numérico da organização, pasta ou projeto a ser atualizado. Para projetos, também é possível usar o ID do projeto alfanumérico. -
MODULE_NAME: o nome do módulo a ser ativado ou desativado. Para valores válidos, consulte Detectores integrados da Análise de integridade da segurança. -
NEW_STATE:ENABLEDpara ativar o módulo;DISABLEDpara desativar o módulo; ouINHERITEDpara herdar o status de ativação do recurso pai (válido apenas para projetos e pastas).
Método HTTP e URL:
PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/security-health-analytics?updateMask=modules
Corpo JSON da solicitação:
{
"modules": {
"MODULE_NAME": {
"intendedEnablementState": "NEW_STATE"
}
}
}
Para enviar a solicitação, expanda uma destas opções:
Você vai receber uma resposta semelhante a esta: Para simplificar, este exemplo mostra um subconjunto de todos os módulos da Análise de integridade da segurança.
{
"effectiveEnablementState": "ENABLED",
"intendedEnablementState": "ENABLED",
"modules": {
"ACCESS_AWSCLOUDSHELLFULLACCESS_RESTRICTED": {
"effectiveEnablementState": "DISABLED"
},
"ACCESS_KEYS_ROTATED_90_DAYS_LESS": {
"effectiveEnablementState": "ENABLED"
},
"ACCESS_TRANSPARENCY_DISABLED": {
"effectiveEnablementState": "ENABLED"
},
"ADMIN_SERVICE_ACCOUNT": {
"effectiveEnablementState": "ENABLED"
},
"ALLOYDB_AUTO_BACKUP_DISABLED": {
"effectiveEnablementState": "DISABLED"
}
},
"name": "projects/1070293378382/locations/global/securityCenterServices/SECURITY_HEALTH_ANALYTICS",
"updateTime": "2026-02-11T21:15:41.269584764Z"
}
Filtrar descobertas no console do Google Cloud
Uma organização de grande porte pode ter muitas descobertas de vulnerabilidades em toda a implantação para análise, triagem e rastreamento. Ao usar os filtros disponíveis nas páginas Vulnerabilidades e Descobertas do Security Command Center no console do Google Cloud , você pode se concentrar nas vulnerabilidades mais graves da organização e analisá-las por tipo de recurso, projeto e muito mais.
Para mais informações sobre a filtragem de descobertas de vulnerabilidades, consulte Filtrar descobertas de vulnerabilidades no Security Command Center.
Gerenciar descobertas com casos
O Security Command Center abre automaticamente um caso no console do Security Operations para ameaças, combinações tóxicas e descobertas relacionadas a elas. Um único caso pode conter várias descobertas relacionadas.
Use o caso, que pode ser integrado ao seu sistema de emissão de tíquetes preferido, para gerenciar a investigação e a correção de descobertas, atribuindo proprietários, revisando informações relacionadas e, com playbooks, automatizando seu fluxo de trabalho de resposta.
Se uma descoberta tiver um caso correspondente, você poderá encontrar um link para ele na página de detalhes da descoberta. Abra a página de detalhes de uma descoberta na página Descobertas.
Para mais informações sobre casos, consulte Visão geral de casos.
Silenciar descobertas
Para controlar o volume de descobertas no console do Google Cloud , você pode silenciar de maneira manual ou programática as descobertas individuais ou criar regras de silenciamento que desativam automaticamente as descobertas com base nos filtros definidos. Há dois tipos de regras de silenciamento que podem ser usadas para controlar o volume de descobertas:
- Regras de silenciamento estático que silenciam indefinidamente descobertas futuras.
- Regras de silenciamento dinâmico que contêm uma opção para silenciar temporariamente as descobertas atuais e futuras.
Recomendamos usar regras de exclusão dinâmica exclusivamente para reduzir o número de descobertas que você analisa manualmente. Para evitar confusão, não recomendamos usar regras de exclusão estática e dinâmica simultaneamente. Para uma comparação dos dois tipos de regras, consulte Tipos de regras de exclusão.
As descobertas silenciadas no console do Google Cloud são ocultas e silenciadas, mas continuam sendo registradas para fins de auditoria e conformidade. Você pode ver as descobertas silenciadas ou ativá-las a qualquer momento. Para saber mais, consulte Ignorar descobertas no Security Command Center.
Como marcar recursos e descobertas com marcações de segurança
É possível adicionar propriedades personalizadas a descobertas e recursos no Security Command Center usando marcações de segurança. As marcações de segurança permitem identificar áreas de interesse de alta prioridade, como projetos de produção, marcar descobertas com números de rastreamento de bugs e incidentes e muito mais.
Para recursos, só é possível adicionar marcações de segurança aos recursos compatíveis com o Security Command Center. Para ver a lista de recursos compatíveis, consulte Tipos de recursos compatíveis no Security Command Center.
Adicionar recursos a listas de permissões
Embora não seja um método recomendado, é possível impedir descobertas desnecessárias adicionando marcações de segurança dedicadas aos recursos de modo que os detectores da Análise de integridade da segurança não criem descobertas de segurança para esses recursos.
A abordagem recomendada e mais eficaz para controlar o volume de descobertas é Desativar descobertas. Desative descobertas que você não precisa analisar, seja porque elas são destinadas a recursos isolados ou porque as descobertas se enquadram em parâmetros de negócios aceitáveis.
Quando você aplica marcações de segurança dedicadas aos recursos, eles são adicionados a uma lista de permissões Análise de integridade da segurança, que marca todas as descobertas desses recursos como resolvidas durante a próxima verificação em lote.
As marcações de segurança dedicadas precisam ser aplicadas diretamente aos recursos, não às descobertas, conforme descrito em Como as listas de permissões funcionam mais adiante nesta página. Se você aplicar uma marca a uma descoberta, o recurso subjacente ainda poderá gerar descobertas.
Como as listas de permissões funcionam
Cada detector do Security Health Analytics tem um tipo de marcação dedicada para a lista de permissões, na
forma de allow_FINDING_TYPE:true. Adicionar essa marcação dedicada a um recurso compatível com o Security Command Center permite excluir o recurso da política de detecção.
Por exemplo, para excluir o tipo de descoberta SSL_NOT_ENFORCED, defina a marcação de segurança, allow_ssl_not_enforced:true, na instância do Cloud SQL relacionada.
O detector especificado não criará descobertas para os recursos marcados.
Para ver uma lista completa dos tipos de descobertas, consulte a lista de detectores da Análise de integridade da segurança. Para saber mais sobre marcações de segurança e técnicas para usá-las, consulte Como usar marcações de segurança.
Tipos de recurso
Esta seção descreve como as marcações de segurança funcionam para diferentes recursos.
Recursos da lista de permissões:quando você adiciona uma marcação dedicada a um recurso, como um bucket do Cloud Storage ou firewall, a descoberta associada é marcada como resolvida quando a próxima verificação em lote é executada. O detector não vai gerar novas descobertas nem atualizar as descobertas existentes do recurso até que a marcação seja removida.
Projetos da lista de permissões: quando você adiciona uma marcação a um recurso do projeto, as descobertas para que o próprio projeto é verificado ou de destino são resolvidas. No entanto, os recursos contidos no projeto, como máquinas virtuais ou chaves de criptografia, ainda podem gerar descobertas. Essa marca de segurança só estará disponível se você ativar o nível Premium do Security Command Center Premium no nível da organização.
Pastas da lista de permissões: quando você adiciona uma marcação a um recurso de pasta, as descobertas para as quais a própria pasta é o recurso verificado ou de destino são resolvidas. No entanto, os recursos contidos na pasta, incluindo projetos, ainda poderão gerar descobertas. Essa marca de segurança só estará disponível se você ativar o nível Premium do Security Command Center Premium no nível da organização.
Detectores compatíveis com vários recursos: se um detector for compatível com mais de um tipo de recurso, você precisará aplicar a marcação dedicada a cada um deles. Por exemplo, o detector
KMS_PUBLIC_KEYé compatível com os recursosCryptoKeyeKeyRingdo Cloud Key Management Service. Se você aplicar a marcaçãoallow_kms_public_key:trueao recursoCryptoKey, as descobertasKMS_PUBLIC_KEYdesse recurso serão resolvidas. No entanto, ainda é possível gerar descobertas para o recursoKeyRing.
As marcações de segurança só são atualizadas durante as verificações em lote, não nas verificações em tempo real. Se uma marcações de segurança dedicada for removida e o recurso tiver uma vulnerabilidade, poderá levar até 24 horas para que a marcação seja excluída e uma descoberta seja gravada.
Detector de caso especial: chaves de criptografia fornecidas pelo cliente
O detector
DISK_CSEK_DISABLED
não está ativado por padrão. Para usar esse detector, você precisa marcar os
recursos para os quais quer usar chaves de criptografia autogerenciadas.
Para ativar o detector DISK_CSEK_DISABLED em recursos específicos,
aplique a marcação de segurança
enforce_customer_supplied_disk_encryption_keys ao recurso com um valor de
true.
Como visualizar a contagem de descobertas ativa por tipo de descoberta
Use o Google Cloud console ou a Google Cloud CLI para ver as contagens de descobertas ativas por tipo de descoberta.
Console
O console do Google Cloud permite ver uma contagem de descobertas ativas para cada tipo de descoberta.
Para ver as descobertas do Security Health Analytics por tipo de descoberta:
Para exibir as descobertas da Análise de integridade da segurança, acesse a página legada Vulnerabilidades.
Para classificar as descobertas pelo número de descobertas ativas por tipo, clique no cabeçalho da coluna Ativas.
gcloud
Para usar a CLI gcloud para conseguir uma contagem de todas as descobertas ativas, consulte o Security Command Center para conseguir o ID de origem do Security Health Analytics. Em seguida, use o ID de origem para consultar a contagem de descobertas ativas.
Etapa 1: conseguir o ID da origem
Para receber o ID da origem, execute um dos seguintes comandos:
Se você ativou o Security Command Center no nível da organização, execute o comando a seguir:
gcloud scc sources describe organizations/ORGANIZATION_ID \ --source-display-name="Security Health Analytics"Se você ativou o Security Command Center no nível do projeto, execute o seguinte comando:
gcloud scc sources describe projects/PROJECT_ID \ --source-display-name="Security Health Analytics"
Se ainda não tiver ativado a API Security Command Center, você receberá uma solicitação para ativá-la. Quando a API Security Command Center estiver ativada, execute o comando anterior novamente. O comando exibirá uma saída semelhante a esta:
description: Scans for deviations from a GCP security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID
Observe o SOURCE_ID a ser usado na próxima etapa.
Etapa 2: receber a contagem de descobertas ativas
Use o SOURCE_ID que você anotou na etapa anterior para filtrar as descobertas da Análise de integridade da segurança. Os comandos da CLI gcloud a seguir retornam uma contagem de descobertas por categoria.
Se você ativou o Security Command Center no nível da organização, execute o comando a seguir:
gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \ --group-by=category --page-size=PAGE_SIZESe você ativou o Security Command Center no nível do projeto, execute o seguinte comando:
gcloud scc findings group projects/PROJECT_ID/sources/SOURCE_ID \ --group-by=category --page-size=PAGE_SIZE
É possível definir o tamanho da página em qualquer valor como 1.000. O comando exibe uma saída como a seguinte, com os resultados da sua organização:
groupByResults:
- count: '1'
properties:
category: MFA_NOT_ENFORCED
- count: '3'
properties:
category: ADMIN_SERVICE_ACCOUNT
- count: '2'
properties:
category: API_KEY_APIS_UNRESTRICTED
- count: '1'
properties:
category: API_KEY_APPS_UNRESTRICTED
- count: '2'
properties:
category: API_KEY_EXISTS
- count: '10'
properties:
category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
properties:
category: AUDIT_LOGGING_DISABLED
- count: '1'
properties:
category: AUTO_UPGRADE_DISABLED
- count: '10'
properties:
category: BUCKET_IAM_NOT_MONITORED
- count: '10'
properties:
category: BUCKET_LOGGING_DISABLED
nextPageToken: TOKEN
readTime: '2023-08-05T21:56:13.862Z'
totalSize: 50
Gerenciar descobertas de maneira programática
Com a Google Cloud CLI e as bibliotecas de cliente do Security Command Center, é possível automatizar quase tudo o que pode ser feito com o Security Command Center no consoleGoogle Cloud . Você também pode corrigir muitas descobertas usando a CLI gcloud. Para mais informações, consulte a documentação dos tipos de recursos descritos em cada descoberta:
- Como listar descobertas de segurança
- Como criar, modificar e consultar marcações de segurança
- Como criar e atualizar descobertas de segurança
- Como criar, atualizar e listar fontes de descoberta
- Como definir as configurações da organização
Para exportar ou listar recursos de modo programático, use a API Inventário de recursos do Cloud. Para mais informações, consulte Exportar histórico de recursos e metadados.
Os métodos e campos de recursos da API Security Command Center estão descontinuados e serão removidos em 26 de junho de 2024 ou após essa data.
Até a remoção, os usuários que ativaram o Security Command Center antes de 26 de junho de 2023 poderão usar os métodos da API Security Command Center para listar recursos, mas esses métodos só são compatíveis com os recursos que o Security Command Center aceita.
Para mais informações sobre como usar os métodos da API de recursos descontinuados, consulte Como listar recursos.
Verificar projetos protegidos por um perímetro de serviço
Se você tiver um perímetro de serviço que bloqueia o acesso a determinados projetos e serviços, conceda à conta de serviço do Security Command Center acesso de entrada a esse perímetro de serviço. Caso contrário, a Análise de integridade da segurança não pode produzir descobertas relacionadas a projetos e serviços protegidos.
Console
Navegue até o perímetro de serviço
-
No console do Google Cloud , acesse a página VPC Service Controls.
- Selecione a organização.
-
Na lista suspensa, selecione a política de acesso que contém o perímetro de serviço a que você quer conceder acesso.
Os perímetros de serviço associados à política de acesso aparecem na lista.
-
Clique no nome do perímetro de serviço que você quer atualizar.
Para encontrar o perímetro de serviço que você precisa modificar, verifique nos registros as entradas que mostram violações
RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. Nessas entradas, verifique o camposervicePerimeterName:accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
- Clique em Editar.
Adicionar regra de entrada
- Clique em Política de entrada.
- Clique em Adicionar uma regra de entrada.
-
Na seção De, defina os seguintes detalhes:
- Em Identidades > Identidade, selecione Selecionar identidades e grupos.
- Clique em Adicionar identidades.
Insira o endereço de e-mail que identifica o agente de serviço do Cloud Security Command Center. Esse endereço tem o seguinte formato:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Substitua
ORGANIZATION_IDpelo ID da organização.- Selecione o agente de serviço ou pressione ENTER e clique em Adicionar identidades.
-
Na seção Para, defina os seguintes detalhes:
- Em Recursos > Projetos, selecione Todos os projetos.
- Em Operações ou papéis do IAM, selecione Todas as operações ou escolha serviços específicos em que as violações do VPC Service Controls aparecem.
- Clique em Salvar.
gcloud
-
Se um projeto de cota ainda não estiver definido, faça isso. Escolha um projeto que tenha a API Access Context Manager ativada.
gcloud config set billing/quota_project QUOTA_PROJECT_ID
Substitua
QUOTA_PROJECT_IDpelo ID do projeto que você quer usar para faturamento e cota. -
Crie um arquivo chamado
ingress-rule.yamlcom o seguinte conteúdo:- ingressFrom: identities: - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com sources: - accessLevel: '*' ingressTo: operations: - serviceName: '*' resources: - '*'
Como alternativa, use
operationspara especificar os serviços em que as violações do VPC Service Controls aparecem eresourcespara especificar o projeto que apareceu na descoberta.Substitua
ORGANIZATION_IDpelo ID da organização. -
Adicione a regra de entrada ao perímetro:
gcloud access-context-manager perimeters update PERIMETER_NAME \ --set-ingress-policies=ingress-rule.yaml
Substitua:
-
PERIMETER_NAME: o nome do perímetro. Por exemplo,accessPolicies/1234567890/servicePerimeters/example_perimeter.Para encontrar o perímetro de serviço que você precisa modificar, verifique nos registros as entradas que mostram violações
RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. Nessas entradas, verifique o camposervicePerimeterName:accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
-
Para mais informações, consulte Regras de entrada e saída.
A seguir
- Saiba mais sobre detectores e descobertas da Análise de integridade da segurança.
- Leia recomendações sobre como corrigir descobertas da Análise de integridade da segurança.
- Saiba como usar marcações de segurança do Security Command Center.
- Saiba mais sobre casos.
- Saiba mais sobre como usar o Security Command Center Standard ou Premium no console do Google Cloud para analisar recursos e descobertas.
- Saiba como usar o Security Command Center Enterprise no console do Google Cloud .