Utilizzo di Security Health Analytics

Questa pagina spiega come gestire i risultati di Security Health Analytics utilizzando Security Command Center.

Security Health Analytics è un servizio integrato in Security Command Center che esegue la scansione delle risorse nel tuo ambiente cloud e genera risultati per eventuali configurazioni errate rilevate.

Per ricevere i risultati di Security Health Analytics, il servizio deve essere abilitato nelle impostazioni di Security Command Center Servizi.

Per creare risultati correlati alle risorse Amazon Web Services (AWS), Security Command Center deve essere connesso ad AWS.

I risultati dei rilevatori di Security Health Analytics sono ricercabili nella consoleGoogle Cloud e utilizzando l'API Security Command Center.

Per informazioni sui tipi di scansioni, vedi Tipi di scansione di Security Health Analytics.

Per informazioni su quando prevedere i risultati, consulta Latenza di rilevamento di Security Health Analytics.

Prima di iniziare

Per ottenere le autorizzazioni necessarie per gestire i risultati di Security Health Analytics, chiedi all'amministratore di concederti i seguenti ruoli IAM nella tua organizzazione, cartella o progetto:

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Attivare e disattivare i rilevatori

La disattivazione dei rilevatori può influire sullo stato dei risultati attivi. Quando un rilevatore è disattivato, i risultati esistenti vengono contrassegnati automaticamente come inattivi.

Quando attivi Security Command Center a livello di organizzazione, puoi disattivare Security Health Analytics o rilevatori specifici per cartelle o progetti specifici. Se Security Health Analytics o i rilevatori sono disattivati per cartelle e progetti, tutti i risultati esistenti allegati agli asset in queste risorse vengono contrassegnati come inattivi.

I seguenti rilevatori di Security Health Analytics per Google Cloud sono disattivati per impostazione predefinita:

  • ALLOYDB_AUTO_BACKUP_DISABLED
  • ALLOYDB_CMEK_DISABLED
  • BIGQUERY_TABLE_CMEK_DISABLED
  • BUCKET_CMEK_DISABLED
  • CLOUD_ASSET_API_DISABLED
  • DATAPROC_CMEK_DISABLED
  • DATASET_CMEK_DISABLED
  • DISK_CMEK_DISABLED
  • DISK_CSEK_DISABLED
  • NODEPOOL_BOOT_CMEK_DISABLED
  • PUBSUB_CMEK_DISABLED
  • SQL_CMEK_DISABLED
  • SQL_NO_ROOT_PASSWORD
  • SQL_WEAK_ROOT_PASSWORD
  • VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Console

Se il servizio Security Health Analytics è abilitato, puoi impostare lo stato di attivazione dei singoli moduli.

  1. Nella console Google Cloud , vai alla pagina Moduli per Security Health Analytics.

    Vai a Moduli

  2. Seleziona la tua organizzazione o il tuo progetto.
  3. Nella scheda Moduli, nella colonna Stato, seleziona lo stato attuale del modulo che vuoi attivare o disattivare, quindi seleziona una delle seguenti opzioni:
    • Attiva: attiva il modulo.
    • Disabilita: disabilita il modulo.

gcloud

Il comando gcloud scc manage services update aggiorna lo stato di un servizio o modulo di Security Command Center.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa da aggiornare (organization, folder o project).
  • RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto da aggiornare. Per i progetti, puoi utilizzare anche l'ID progetto alfanumerico.
  • MODULE_NAME: il nome del modulo da attivare o disattivare. Per i valori validi, consulta Rilevatori integrati di Security Health Analytics.
  • NEW_STATE: ENABLED per attivare il modulo; DISABLED per disattivare il modulo; o INHERITED per ereditare lo stato di attivazione della risorsa padre (valido solo per progetti e cartelle).

Salva i seguenti contenuti in un file denominato request.json: 

{
  "MODULE_NAME": {
    "intendedEnablementState": "NEW_STATE"
  }
}

Esegui il comando gcloud scc manage services update:

Linux, macOS o Cloud Shell

gcloud scc manage services update security-health-analytics \
    --RESOURCE_TYPE=RESOURCE_ID \
    --module-config-file=request.json

Windows (PowerShell)

gcloud scc manage services update security-health-analytics `
    --RESOURCE_TYPE=RESOURCE_ID `
    --module-config-file=request.json

Windows (cmd.exe)

gcloud scc manage services update security-health-analytics ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --module-config-file=request.json

Dovresti ricevere una risposta simile alla seguente. Per brevità, questo esempio mostra un sottoinsieme di tutti i moduli di Security Health Analytics. 

effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  ACCESS_AWSCLOUDSHELLFULLACCESS_RESTRICTED:
    effectiveEnablementState: DISABLED
  ACCESS_KEYS_ROTATED_90_DAYS_LESS:
    effectiveEnablementState: ENABLED
  ACCESS_TRANSPARENCY_DISABLED:
    effectiveEnablementState: ENABLED
  ADMIN_SERVICE_ACCOUNT:
    effectiveEnablementState: ENABLED
  ALLOYDB_AUTO_BACKUP_DISABLED:
    effectiveEnablementState: DISABLED
name: projects/1070293378382/locations/global/securityCenterServices/SECURITY_HEALTH_ANALYTICS
updateTime: '2026-02-11T21:15:41.269584764Z'

REST

Il metodo RESOURCE_TYPE.locations.securityCenterServices.patch dell'API Security Command Center Management aggiorna lo stato di un servizio o modulo Security Command Center.

Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:

  • RESOURCE_TYPE: il tipo di risorsa da aggiornare (organizations, folders o projects).
  • QUOTA_PROJECT: l'ID progetto da utilizzare per la fatturazione e il monitoraggio delle quote.
  • RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto da aggiornare. Per i progetti, puoi utilizzare anche l'ID progetto alfanumerico.
  • MODULE_NAME: il nome del modulo da attivare o disattivare. Per i valori validi, consulta Rilevatori integrati di Security Health Analytics.
  • NEW_STATE: ENABLED per attivare il modulo; DISABLED per disattivare il modulo; o INHERITED per ereditare lo stato di attivazione della risorsa padre (valido solo per progetti e cartelle).

Metodo HTTP e URL: 

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/security-health-analytics?updateMask=modules

Corpo JSON della richiesta: 

{
  "modules": {
    "MODULE_NAME": {
      "intendedEnablementState": "NEW_STATE"
    }
  }
}

Per inviare la richiesta, espandi una di queste opzioni:

Dovresti ricevere una risposta simile alla seguente. Per brevità, questo esempio mostra un sottoinsieme di tutti i moduli di Security Health Analytics. 

{
  "effectiveEnablementState": "ENABLED",
  "intendedEnablementState": "ENABLED",
  "modules": {
    "ACCESS_AWSCLOUDSHELLFULLACCESS_RESTRICTED": {
      "effectiveEnablementState": "DISABLED"
    },
    "ACCESS_KEYS_ROTATED_90_DAYS_LESS": {
      "effectiveEnablementState": "ENABLED"
    },
    "ACCESS_TRANSPARENCY_DISABLED": {
      "effectiveEnablementState": "ENABLED"
    },
    "ADMIN_SERVICE_ACCOUNT": {
      "effectiveEnablementState": "ENABLED"
    },
    "ALLOYDB_AUTO_BACKUP_DISABLED": {
      "effectiveEnablementState": "DISABLED"
    }
  },
  "name": "projects/1070293378382/locations/global/securityCenterServices/SECURITY_HEALTH_ANALYTICS",
  "updateTime": "2026-02-11T21:15:41.269584764Z"
}

Filtrare i risultati nella console Google Cloud

Un'organizzazione di grandi dimensioni potrebbe avere molti risultati di vulnerabilità da esaminare, assegnare la priorità e monitorare nella sua implementazione. Utilizzando i filtri disponibili nelle pagine Vulnerabilità e Risultati di Security Command Center nella console Google Cloud , puoi concentrarti sulle vulnerabilità con la gravità più elevata nella tua organizzazione ed esaminare le vulnerabilità per tipo di asset, progetto e altro ancora.

Per saperne di più sul filtraggio dei risultati delle vulnerabilità, consulta Filtra i risultati delle vulnerabilità in Security Command Center.

Gestire i risultati con le richieste

Security Command Center apre automaticamente un caso nella console Security Operations per minacce, combinazioni tossiche e risultati correlati alle combinazioni tossiche. Un singolo caso può contenere più risultati correlati.

Utilizza il caso, che può essere integrato con il tuo sistema di gestione dei ticket preferito, per gestire l'indagine e la correzione dei risultati assegnando proprietari, esaminando le informazioni correlate e, con i playbook, automatizza il flusso di lavoro di risposta.

Se un risultato ha una richiesta corrispondente, puoi trovare un link alla richiesta nella pagina dei dettagli del risultato. Apri la pagina dei dettagli di un risultato dalla pagina Risultati.

Per saperne di più sulle richieste, consulta la Panoramica delle richieste.

Disattiva risultati

Per controllare il volume dei risultati nella console Google Cloud , puoi disattivare manualmente o in modo programmatico i singoli risultati oppure creare regole di disattivazione che disattivano automaticamente i risultati in base ai filtri che definisci. Esistono due tipi di regole di disattivazione dell'audio che puoi utilizzare per controllare il volume dei risultati:

  • Regole di disattivazione statiche che disattivano futuri risultati a tempo indeterminato.
  • Regole di disattivazione dinamiche che contengono un'opzione per disattivare temporaneamente i risultati attuali e futuri.

Ti consigliamo di utilizzare esclusivamente le regole di disattivazione dinamica per ridurre il numero di risultati che esamini manualmente. Per evitare confusione, non è consigliabile utilizzare contemporaneamente regole di disattivazione statica e dinamica. Per un confronto tra i due tipi di regole, vedi Tipi di regole di disattivazione.

I risultati che disattivi nella console Google Cloud vengono nascosti e silenziati, ma continuano a essere registrati a fini di controllo e conformità. Puoi visualizzare i risultati silenziati o riattivarli in qualsiasi momento. Per scoprire di più, consulta Disattivazione dei risultati in Security Command Center.

Contrassegnare asset e risultati con contrassegni di sicurezza

Puoi aggiungere proprietà personalizzate a risultati e asset in Security Command Center utilizzando i segni di sicurezza. I segni di sicurezza ti consentono di identificare aree di interesse ad alta priorità, come i progetti di produzione, taggare i risultati con numeri di monitoraggio di bug e incidenti e altro ancora.

Per gli asset, puoi aggiungere indicatori di sicurezza solo a quelli supportati da Security Command Center. Per l'elenco degli asset supportati, consulta Tipi di asset supportati in Security Command Center.

Aggiungere asset alle liste consentite

Sebbene non sia un metodo consigliato, puoi eliminare i risultati non necessari aggiungendo indicatori di sicurezza dedicati agli asset in modo che i rilevatori di Security Health Analytics non creino risultati di sicurezza per questi asset.

L'approccio consigliato e più efficace per controllare il volume dei risultati è disattivare i risultati. Disattiva i risultati che non devi esaminare perché riguardano asset isolati o perché rientrano nei parametri aziendali accettabili.

Quando applichi indicatori di sicurezza dedicati agli asset, questi vengono aggiunti a una lista consentita in Security Health Analytics, che contrassegna tutti i risultati per questi asset come risolti durante la scansione batch successiva.

I segni di sicurezza dedicati devono essere applicati direttamente agli asset, non ai risultati, come descritto in Come funzionano le liste consentite più avanti in questa pagina. Se applichi un segno a un risultato, l'asset sottostante può comunque generare risultati.

Come funzionano le liste consentite

Ogni rilevatore di Security Health Analytics ha un tipo di segno dedicato per le liste consentite, sotto forma di allow_FINDING_TYPE:true. L'aggiunta di questo indicatore dedicato a un asset supportato da Security Command Center consente di escludere l'asset dalla policy di rilevamento.

Ad esempio, per escludere il tipo di risultato SSL_NOT_ENFORCED, imposta il segno di sicurezza allow_ssl_not_enforced:true sull'istanza Cloud SQL correlata. Il rilevatore specificato non creerà risultati per gli asset contrassegnati.

Per un elenco completo dei tipi di risultati, consulta l'elenco dei rilevatori di Security Health Analytics. Per scoprire di più sui tag di sicurezza e sulle tecniche per utilizzarli, consulta Utilizzo dei tag di sicurezza.

Tipi di asset

Questa sezione descrive come funzionano i segni di sicurezza per diversi asset.

  • Asset della lista consentita:quando aggiungi un segno dedicato a un asset, ad esempio un bucket Cloud Storage o un firewall, il risultato associato viene contrassegnato come risolto quando viene eseguita la scansione batch successiva. Il rilevatore non genererà nuovi risultati né aggiornerà quelli esistenti per l'asset finché il segno non verrà rimosso.

  • Progetti nella lista consentita: quando aggiungi un segno a una risorsa del progetto, i risultati per i quali il progetto stesso è la risorsa scansionata o di destinazione vengono risolti. Tuttavia, gli asset contenuti nel progetto, come le macchine virtuali o le chiavi di crittografia, possono comunque generare risultati. Questo contrassegno di sicurezza è disponibile solo se attivi il livello Security Command Center Premium a livello di organizzazione.

  • Cartelle nella lista consentita: quando aggiungi un segno a una risorsa cartella, i risultati per i quali la cartella stessa è la risorsa scansionata o di destinazione vengono risolti. Tuttavia, gli asset contenuti nella cartella, inclusi i progetti, possono comunque generare risultati. Questo contrassegno di sicurezza è disponibile solo se attivi il livello Security Command Center Premium a livello di organizzazione.

  • Rilevatori che supportano più asset: se un rilevatore supporta più di un tipo di asset, devi applicare il segno dedicato a ogni asset. Ad esempio, il rilevatore KMS_PUBLIC_KEY supporta gli asset CryptoKey e KeyRing di Cloud Key Management Service. Se applichi il segno allow_kms_public_key:true all'asset CryptoKey, i risultati KMS_PUBLIC_KEY per quell'asset vengono risolti. Tuttavia, i risultati possono comunque essere generati per l'asset KeyRing.

I contrassegni di sicurezza vengono aggiornati solo durante le scansioni batch, non le scansioni in tempo reale. Se viene rimosso un contrassegno di sicurezza dedicato e l'asset presenta una vulnerabilità, potrebbero essere necessarie fino a 24 ore prima che il contrassegno venga eliminato e venga scritto un risultato.

Rilevatore di casi speciali: chiavi di crittografia fornite dal cliente

Il rilevatore DISK_CSEK_DISABLED non è attivo per impostazione predefinita. Per utilizzare questo rilevatore, devi contrassegnare gli asset per i quali vuoi utilizzare chiavi di crittografia autogestite.

Per attivare il rilevatore DISK_CSEK_DISABLED per asset specifici, applica il contrassegno di sicurezza enforce_customer_supplied_disk_encryption_keys all'asset con un valore di true.

Visualizzazione del conteggio dei risultati attivi per tipo di risultato

Puoi utilizzare la console Google Cloud o Google Cloud CLI per visualizzare i conteggi dei risultati attivi per tipo di risultato.

Console

La console Google Cloud consente di visualizzare un conteggio dei risultati attivi per ciascun tipo di risultato.

Per visualizzare i risultati di Security Health Analytics per tipo di risultato:

  1. Per visualizzare i risultati di Security Health Analytics, vai alla pagina precedente Vulnerabilità.

    Vai a Vulnerabilità

  2. Per ordinare i risultati in base al numero di risultati attivi per ciascun tipo di risultato, fai clic sull'intestazione della colonna Attivo.

gcloud

Per utilizzare gcloud CLI per ottenere un conteggio di tutti i risultati attivi, esegui una query su Security Command Center per ottenere l'ID origine di Security Health Analytics. Poi utilizzi l'ID origine per eseguire query sul conteggio dei risultati attivi.

Passaggio 1: recupera l'ID origine

Per ottenere l'ID origine, esegui uno dei seguenti comandi:

  • Se hai attivato Security Command Center a livello di organizzazione, esegui il comando seguente:

    gcloud scc sources describe organizations/ORGANIZATION_ID \
    --source-display-name="Security Health Analytics"

  • Se hai attivato Security Command Center a livello di progetto, esegui il seguente comando:

    gcloud scc sources describe projects/PROJECT_ID \
    --source-display-name="Security Health Analytics"

Se non hai ancora abilitato l'API Security Command Center, ti viene chiesto di abilitarla. Quando l'API Security Command Center è abilitata, esegui di nuovo il comando precedente. Il comando dovrebbe mostrare un output simile al seguente:

description: Scans for deviations from a GCP security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

Prendi nota del SOURCE_ID da utilizzare nel passaggio successivo.

Passaggio 2: ottieni il conteggio dei risultati attivi

Utilizza il SOURCE_ID annotato nel passaggio precedente per filtrare i risultati di Security Health Analytics. I seguenti comandi gcloud CLI restituiscono un conteggio dei risultati per categoria.

  • Se hai attivato Security Command Center a livello di organizzazione, esegui il comando seguente:

    gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
    --group-by=category --page-size=PAGE_SIZE

  • Se hai attivato Security Command Center a livello di progetto, esegui il seguente comando:

    gcloud scc findings group projects/PROJECT_ID/sources/SOURCE_ID \
    --group-by=category --page-size=PAGE_SIZE

Puoi impostare le dimensioni della pagina su qualsiasi valore fino a 1000. Il comando dovrebbe mostrare un output simile al seguente, con i risultati della tua organizzazione:

groupByResults:
- count: '1'
properties:
  category: MFA_NOT_ENFORCED
- count: '3'
properties:
  category: ADMIN_SERVICE_ACCOUNT
- count: '2'
properties:
  category: API_KEY_APIS_UNRESTRICTED
- count: '1'
properties:
  category: API_KEY_APPS_UNRESTRICTED
- count: '2'
properties:
  category: API_KEY_EXISTS
- count: '10'
properties:
  category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
properties:
  category: AUDIT_LOGGING_DISABLED
- count: '1'
properties:
  category: AUTO_UPGRADE_DISABLED
- count: '10'
properties:
  category: BUCKET_IAM_NOT_MONITORED
- count: '10'
properties:
  category: BUCKET_LOGGING_DISABLED
nextPageToken: TOKEN
readTime: '2023-08-05T21:56:13.862Z'
totalSize: 50

Gestire i risultati in modo programmatico

Utilizzando Google Cloud CLI e le librerie client di Security Command Center, puoi automatizzare quasi tutto ciò che puoi fare con Security Command Center nella consoleGoogle Cloud . Puoi anche correggere molti risultati utilizzando gcloud CLI. Per saperne di più, consulta la documentazione relativa ai tipi di risorse descritti in ogni risultato:

Per esportare o elencare gli asset in modo programmatico, utilizza l'API Cloud Asset Inventory. Per ulteriori informazioni, vedi Esportare la cronologia e i metadati degli asset.

I metodi e i campi degli asset dell'API Security Command Center sono ritirati e verranno rimossi a partire dal 26 giugno 2024.

Fino alla rimozione, gli utenti che hanno attivato Security Command Center prima del 26 giugno 2023 possono utilizzare i metodi degli asset dell'API Security Command Center per elencare gli asset, ma questi metodi supportano solo gli asset che Security Command Center supporta.

Per informazioni sull'utilizzo dei metodi API per gli asset ritirati, consulta Asset scheda.

Scansione di progetti protetti da un perimetro di servizio

Se hai un perimetro di servizio che blocca l'accesso a determinati progetti e servizi, devi concedere all'account di servizio Security Command Center l'accesso in entrata a quel perimetro di servizio. In caso contrario, Security Health Analytics non può produrre risultati relativi ai progetti e ai servizi protetti.

Console

  1. Nella console Google Cloud , vai alla pagina Controlli di servizio VPC.

    Vai a Controlli di servizio VPC

  2. Seleziona la tua organizzazione.

  3. Nell'elenco a discesa, seleziona la policy di accesso che contiene il perimetro di servizio a cui vuoi concedere l'accesso.

    I service perimeter associati alla policy di accesso vengono visualizzati nell'elenco.

  4. Fai clic sul nome del perimetro di servizio da aggiornare.

    Per trovare il perimetro di servizio che devi modificare, puoi controllare i log per le voci che mostrano violazioni di RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. In queste voci, controlla il campo servicePerimeterName: 

    accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
  5. Fai clic su Modifica.

Aggiungi una regola in entrata

  1. Fai clic su Criterio in entrata.
  2. Fai clic su Aggiungi una regola in entrata.

  3. Nella sezione Da, imposta i seguenti dettagli:

    1. Per Identità > Identità, seleziona Seleziona identità e gruppi.
    2. Fai clic su Aggiungi identità.

    3. Inserisci l'indirizzo email che identifica l'agente di servizio Cloud Security Command Center. Questo indirizzo ha il seguente formato: 

      service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

      Sostituisci ORGANIZATION_ID con l'ID della tua organizzazione.

    4. Seleziona l'agente di servizio o premi INVIO, quindi fai clic su Aggiungi identità.

  4. Nella sezione A, imposta i seguenti dettagli:

    1. Per Risorse > Progetti, seleziona Tutti i progetti.
    2. Per Operazioni o ruoli IAM, seleziona Tutte le operazioni oppure seleziona servizi specifici per i quali vengono visualizzate violazioni dei Controlli di servizio VPC.
  5. Fai clic su Salva.

gcloud

  1. Se non è già impostato un progetto di quota, impostalo. Scegli un progetto in cui è abilitata l'API Gestore contesto accesso. 

    gcloud config set billing/quota_project QUOTA_PROJECT_ID

    Sostituisci QUOTA_PROJECT_ID con l'ID del progetto che vuoi utilizzare per la fatturazione e la quota.

  2. Crea un file denominato ingress-rule.yaml con il seguente contenuto:

    - ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: '*'
    resources:
    - '*'

    In alternativa, puoi utilizzare operations per specificare i servizi per i quali vengono visualizzate le violazioni dei Controlli di servizio VPC e resources per specificare il progetto visualizzato nel risultato.

    Sostituisci ORGANIZATION_ID con l'ID della tua organizzazione.

  3. Aggiungi la regola in entrata al perimetro:

    gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml

    Sostituisci quanto segue:

    • PERIMETER_NAME: il nome del perimetro. Ad esempio, accessPolicies/1234567890/servicePerimeters/example_perimeter.

      Per trovare il perimetro di servizio che devi modificare, puoi controllare i log per le voci che mostrano violazioni di RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. In queste voci, controlla il campo servicePerimeterName: 

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

Per saperne di più, consulta Regole in entrata e in uscita.

Passaggi successivi