Utiliser Security Health Analytics

Cette page explique comment gérer les résultats Security Health Analytics à l'aide de Security Command Center.

Security Health Analytics est un service intégré de Security Command Center qui analyse les ressources de votre environnement cloud et génère des résultats pour toute erreur de configuration détectée.

Pour recevoir les résultats de Security Health Analytics, le service doit être activé dans les paramètres Services de Security Command Center.

Pour créer des résultats liés aux ressources Amazon Web Services (AWS), Security Command Center doit être connecté à AWS.

Il est possible de faire une recherche dans les résultats des détecteurs Security Health Analytics à partir de la consoleGoogle Cloud et à l'aide de l'API Security Command Center.

Les analyses commencent environ une heure après l'activation de Security Command Center. Sur Google Cloud, il existe deux modes d'analyse : le mode par lot (qui s'exécute automatiquement une fois par jour) et le mode en temps réel (qui effectue des analyses afin de détecter les modifications de la configuration des assets).

Les détecteurs Security Health Analytics qui ne sont pas compatibles avec le mode d'analyse en temps réel sont listés dans la présentation de la latence de Security Command Center.

Security Health Analytics n'analyse les autres plates-formes cloud qu'en mode par lot.

Avant de commencer

Afin d'obtenir les autorisations nécessaires pour gérer les résultats de Security Health Analytics, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre organisation, votre dossier ou votre projet :

• Activer et désactiver des détecteurs : Éditeur de paramètres du centre de sécurité (roles/securitycenter.settingsEditor)
• Afficher et filtrer les résultats : Lecteur de résultats du centre de sécurité (roles/securitycenter.findingsViewer)
• Gérer les règles Ignorer : Éditeur des configurations Ignorer du centre de sécurité (roles/securitycenter.muteConfigsEditor)
• Gérer les marques de sécurité : Rédacteur de marques de sécurité pour les résultats du centre de sécurité (roles/securitycenter.findingSecurityMarksWriter)
• Gérer les résultats de manière programmatique : Éditeur de résultats du centre de sécurité (roles/securitycenter.findingsEditor)
• Accorder l'accès entrant à un périmètre de service VPC Service Controls : Éditeur Access Context Manager (roles/accesscontextmanager.policyEditor)
• Effectuer une tâche sur cette page : Administrateur de paramètres du centre de sécurité (roles/securitycenter.settingsAdmin)

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Activer et désactiver des détecteurs

La désactivation des détecteurs peut avoir un impact sur l'état des résultats actifs. Lorsqu'un détecteur est désactivé, les résultats existants sont automatiquement marqués comme inactifs.

Lorsque vous activez Security Command Center au niveau de l'organisation, vous pouvez désactiver Security Health Analytics ou des détecteurs spécifiques pour des dossiers ou des projets en particulier. Si Security Health Analytics ou les détecteurs sont désactivés pour les dossiers et les projets, tous les résultats existants associés aux assets de ces ressources sont marqués comme inactifs.

Les détecteurs Security Health Analytics suivants pour Google Cloud sont désactivés par défaut :

• ALLOYDB_AUTO_BACKUP_DISABLED
• ALLOYDB_CMEK_DISABLED
• BIGQUERY_TABLE_CMEK_DISABLED
• BUCKET_CMEK_DISABLED
• CLOUD_ASSET_API_DISABLED
• DATAPROC_CMEK_DISABLED
• DATASET_CMEK_DISABLED
• DISK_CMEK_DISABLED
• DISK_CSEK_DISABLED
• NODEPOOL_BOOT_CMEK_DISABLED
• PUBSUB_CMEK_DISABLED
• SQL_CMEK_DISABLED
• SQL_NO_ROOT_PASSWORD
• SQL_WEAK_ROOT_PASSWORD
• VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Pour activer ou désactiver un module de détection Security Health Analytics, procédez comme suit :

gcloud alpha scc settings services modules enable \
    --organization=ORGANIZATION_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

gcloud alpha scc settings services modules enable \
    --project=PROJECT_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

gcloud alpha scc settings services modules disable \
    --organization=ORGANIZATION_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

gcloud alpha scc settings services modules disable \
    --project=PROJECT_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

Pour en savoir plus sur les états dans Security Health Analytics, consultez États des résultats.

Filtrer les résultats dans la console Google Cloud

Une grande organisation peut avoir de nombreux résultats de failles à examiner, trier et suivre dans tout son déploiement. En utilisant les filtres disponibles sur les pages Failles et Résultats de Security Command Center dans la console Google Cloud , vous pouvez vous concentrer sur les failles les plus critiques qui affectent votre organisation et examiner les failles par type d'asset, projet, etc.

Pour en savoir plus sur le filtrage des résultats de failles, consultez Filtrer les résultats de failles dans Security Command Center.

Gérer les résultats à l'aide d'une demande

Security Command Center ouvre automatiquement une demande dans la console Security Operations pour les menaces, les combinaisons toxiques et les résultats liés à ces combinaisons. Une même demande peut contenir plusieurs résultats associés.

Utilisez la demande, qui peut être intégrée au système de suivi des demandes de votre choix, pour gérer l'investigation et la correction des résultats en attribuant des propriétaires et en examinant les informations connexes, et pour automatiser votre workflow de réponse grâce aux playbooks.

Si un résultat correspond à une demande, vous trouverez un lien vers celle-ci sur la page d'informations du résultat. Ouvrez la page d'informations d'un résultat sur la page Résultats.

Pour en savoir plus sur les demandes, consultez Présentation des demandes.

Ignorer les résultats

Pour contrôler le volume de résultats dans la console Google Cloud , vous pouvez désactiver manuellement ou automatiquement des résultats individuels, ou créer des règles Ignorer qui désactivent automatiquement les résultats en fonction des filtres que vous définissez. Vous pouvez utiliser deux types de règles Ignorer pour contrôler le volume de résultats :

• Règles Ignorer statiques qui bloquent indéfiniment les résultats futurs
• Règles Ignorer dynamiques qui contiennent une option permettant d'ignorer temporairement les résultats actuels et futurs

Nous vous recommandons d'utiliser des règles Ignorer dynamiques exclusivement pour réduire le nombre de résultats que vous examinez manuellement. Pour éviter toute confusion, nous vous déconseillons de vous servir simultanément de règles Ignorer statiques et dynamiques. Pour comparer les deux types de règles, consultez Types de règles Ignorer.

Les résultats que vous ignorez dans la console Google Cloud sont masqués et désactivés, mais ils sont toujours consignés à des fins d'audit et de conformité. Vous pouvez afficher les résultats ignorés ou les réactiver à tout moment. Pour en savoir plus, consultez Ignorer les résultats dans Security Command Center.

Marquer des assets et des résultats avec des marques de sécurité

Dans Security Command Center, vous pouvez ajouter des propriétés personnalisées aux résultats et aux assets à l'aide de marques de sécurité. Celles-ci vous permettent d'identifier les domaines d'intérêt prioritaires, tels que les projets de production et les résultats de tags avec des numéros de suivi des bugs et des incidents.

Pour les assets, vous ne pouvez ajouter des marques de sécurité qu'à ceux pris en charge par Security Command Center. Pour obtenir la liste des assets compatibles, consultez Types d'assets acceptés dans Security Command Center.

Ajouter des assets à des listes d'autorisation

Bien que cette méthode ne soit pas recommandée, vous pouvez supprimer les résultats inutiles en ajoutant des marques de sécurité dédiées aux assets afin que les détecteurs Security Health Analytics ne créent pas de résultats de sécurité pour ces assets.

L'approche recommandée et la plus efficace pour contrôler le volume de résultats consiste à ignorer les résultats. Ignorez les résultats que vous n'avez pas besoin d'examiner, soit parce qu'ils concernent des assets isolés, soit parce qu'ils relèvent de paramètres d'entreprise acceptables.

Lorsque vous appliquez des marques de sécurité dédiées à des assets, ils sont ajoutés à une liste d'autorisation dans Security Health Analytics, ce qui marquera tous les résultats pour ces assets comme résolus lors de la prochaine analyse par lot.

Les marques de sécurité dédiées doivent être appliquées directement aux assets, et non aux résultats, comme décrit dans Fonctionnement des listes d'autorisation ci-dessous. Si vous appliquez une marque à un résultat, l'asset sous-jacent peut toujours générer des résultats.

Fonctionnement des listes d'autorisation

Chaque détecteur Security Health Analytics possède un type de marque dédié pour les listes d'autorisation, sous la forme allow_FINDING_TYPE:true. L'ajout de cette marque dédiée à un asset compatible avec Security Command Center vous permet de l'exclure de la règle de détection.

Par exemple, pour exclure le type de résultat SSL_NOT_ENFORCED, définissez la marque de sécurité allow_ssl_not_enforced:true sur l'instance Cloud SQL associée. Le détecteur spécifié ne crée pas de résultats pour les assets marqués.

Pour obtenir la liste complète des types de résultats, consultez la liste des détecteurs Security Health Analytics. Pour en savoir plus sur les marques de sécurité et techniques liées à leur utilisation, consultez Utiliser des marques de sécurité.

Types d'assets

Cette section explique comment les marques de sécurité fonctionnent pour différents assets.

• Assets d'une liste d'autorisation : lorsque vous ajoutez une marque dédiée à un asset, tel qu'un bucket Cloud Storage ou un pare-feu, le résultat associé est marqué comme résolu lors de l'exécution de la prochaine analyse par lot. Le détecteur ne génère pas de nouveaux résultats ni ne met à jour les résultats existants pour l'asset tant que la marque n'est pas supprimée.

• Projets de liste d'autorisation : lorsque vous ajoutez une marque à une ressource de projet, les résultats pour lesquels le projet lui-même est la ressource analysée ou cible sont résolus. Toutefois, les assets contenus dans le projet, tels que les machines virtuelles ou les clés cryptographiques, peuvent toujours générer des résultats. Cette marque de sécurité n'est disponible que si vous activez Security Command Center Premium au niveau de l'organisation.

• Dossiers de liste d'autorisation : lorsque vous ajoutez une marque à une ressource de dossier, les résultats pour lesquels le dossier lui-même est la ressource analysée ou cible sont résolus. Toutefois, les assets contenus dans le dossier, y compris les projets, peuvent toujours générer des résultats. Cette marque de sécurité n'est disponible que si vous activez Security Command Center Premium au niveau de l'organisation.

• Détecteurs compatibles avec plusieurs assets : si un détecteur est compatible avec plusieurs types d'assets, vous devez appliquer la marque dédiée à chaque asset. Par exemple, le détecteur KMS_PUBLIC_KEY est compatible avec les assets CryptoKey et KeyRing de Cloud Key Management Service. Si vous appliquez la marque allow_kms_public_key:true à l'asset CryptoKey, les résultats KMS_PUBLIC_KEY de cet asset sont résolus. Toutefois, des résultats peuvent toujours être générés pour l'asset KeyRing.

Les marques de sécurité ne sont mises à jour que lors des analyses par lot, et non en temps réel. Ainsi, si une marque de sécurité dédiée est supprimée et qu'un asset présente une faille, un délai de 24 heures peut être nécessaire pour que la marque soit supprimée et qu'un résultat soit écrit.

Détecteur de cas particulier : clés de chiffrement fournies par le client

Le détecteur DISK_CSEK_DISABLED n'est pas activé par défaut. Pour vous servir de ce détecteur, vous devez marquer les assets pour lesquels vous souhaitez utiliser des clés de chiffrement autogérées.

Si vous souhaitez activer le détecteur DISK_CSEK_DISABLED pour des assets spécifiques, appliquez la marque de sécurité enforce_customer_supplied_disk_encryption_keys à l'asset en ajoutant la valeur true.

Afficher le nombre de résultats actifs par type de résultat dans les niveaux Standard ou Premium

Vous pouvez utiliser la console Google Cloud ou les commandes de la Google Cloud CLI pour afficher le nombre de résultats actifs par type de résultat.

description: Scans for deviations from a GCP security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

groupByResults:
- count: '1'
properties:
  category: MFA_NOT_ENFORCED
- count: '3'
properties:
  category: ADMIN_SERVICE_ACCOUNT
- count: '2'
properties:
  category: API_KEY_APIS_UNRESTRICTED
- count: '1'
properties:
  category: API_KEY_APPS_UNRESTRICTED
- count: '2'
properties:
  category: API_KEY_EXISTS
- count: '10'
properties:
  category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
properties:
  category: AUDIT_LOGGING_DISABLED
- count: '1'
properties:
  category: AUTO_UPGRADE_DISABLED
- count: '10'
properties:
  category: BUCKET_IAM_NOT_MONITORED
- count: '10'
properties:
  category: BUCKET_LOGGING_DISABLED
nextPageToken: TOKEN
readTime: '2023-08-05T21:56:13.862Z'
totalSize: 50

Gérer les résultats de manière programmatique

L'utilisation de la Google Cloud CLI avec le SDK Security Command Center vous permet d'automatiser presque toutes les actions que vous pouvez effectuer avec Security Command Center dans la consoleGoogle Cloud . Vous pouvez également corriger de nombreux résultats à l'aide de la gcloud CLI. Pour en savoir plus, consultez la documentation sur les types de ressources décrits dans chaque résultat :

• Lister les résultats de sécurité
• Créer, modifier et interroger des marques de sécurité
• Créer et mettre à jour des résultats de sécurité
• Créer, mettre à jour et lister des sources de résultats
• Configurer les paramètres de l'organisation

Pour exporter ou lister des assets de manière programmatique, utilisez l'API Cloud Asset Inventory. Pour en savoir plus, consultez Exporter l'historique et les métadonnées des assets.

Les méthodes et les champs des assets de l'API Security Command Center sont obsolètes et seront supprimés le 26 juin 2024 ou après cette date.

Tant qu'ils ne sont pas supprimés, les utilisateurs qui ont activé Security Command Center avant le 26 juin 2023 peuvent utiliser les méthodes des assets de l'API Security Command Center pour lister les assets. Toutefois, ces méthodes ne sont compatibles qu'avec les assets que Security Command Center prend en charge.

Pour en savoir plus sur l'utilisation des méthodes d'API d'assets obsolètes, consultez Lister les assets.

Analyser des projets protégés par un périmètre de service

Cette fonctionnalité n'est disponible que si vous activez Security Command Center Premium au niveau de l'organisation.

Si un périmètre de service bloque l'accès à certains de vos projets et services, vous devez accorder au compte de service Security Command Center un accès entrant à ce périmètre de service. Sinon, Security Health Analytics ne peut pas produire de résultats liés aux projets et services protégés.

L'identifiant du compte de service est une adresse e-mail au format suivant :

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

Remplacez ORGANIZATION_ID par l'identifiant numérique de votre organisation.

Pour accorder à un compte de service un accès entrant à un périmètre de service, procédez comme suit :

1. Accédez à VPC Service Controls.

   Accéder à VPC Service Controls

2. Dans la barre d'outils, sélectionnez votre organisation Google Cloud .

3. Dans la liste déroulante, sélectionnez la règle d'accès contenant le périmètre de service auquel vous souhaitez accorder l'accès.

   

   Les périmètres de service associés à la règle d'accès apparaissent dans la liste.

4. Cliquez sur le nom du périmètre de service.

5. Cliquez sur edit Modifier le périmètre

6. Dans le menu de navigation, cliquez sur Règle d'entrée.

7. Cliquez sur Ajouter une règle.

8. Configurez la règle comme suit :

   Attributs "FROM" du client API

   1. Pour Source, sélectionnez Toutes les sources.
   2. Pour Identité, sélectionnez Identités sélectionnées.
   3. Dans le champ Ajouter un compte utilisateur/de service, cliquez sur Sélectionner.
   4. Saisissez l'adresse e-mail du compte de service. Si vous disposez d'un compte de service à la fois au niveau de l'organisation et au niveau du projet, ajoutez les deux comptes.
   5. Cliquez sur Enregistrer.

   Attributs "TO" des services/ressources

   1. Pour Projet, sélectionnez Tous les projets.

   2. Pour Services, sélectionnez Tous les services ou des services spécifiques pour lesquels des cas de non-respect de VPC Service Controls s'affichent.

   Si un périmètre de service limite l'accès à un service requis, Security Health Analytics ne peut pas produire de résultats pour ce service.

9. Dans le menu de navigation, cliquez sur Enregistrer.

Pour plus d'informations, consultez la section Configurer des règles d'entrée et de sortie.

Étapes suivantes

• En savoir plus sur les détecteurs et les résultats de Security Health Analytics
• Lire les recommandations pour corriger les résultats de Security Health Analytics
• Découvrir comment utiliser les marques de sécurité Security Command Center
• En savoir plus sur les demandes
• Découvrir comment utiliser Security Command Center Standard ou Premium dans la console Google Cloud pour examiner les assets et les résultats
• Découvrir comment utiliser Security Command Center Enterprise dans la console Google Cloud