בדף הזה מתוארות מדיניות האיתור שכלולה בגרסה 1.0 של תבנית המצב המוגדרת מראש עבור תקן ISO 27001 של ארגון התקינה הבינלאומי (ISO). התבנית הזו כוללת קבוצת מדיניות שמגדירה את אמצעי הזיהוי של Security Health Analytics שחלים על עומסי עבודה שצריכים לעמוד בתקן ISO 27001.
אפשר לפרוס את תבנית המצב הזו בלי לבצע בה שינויים.
גלאים ב-Security Health Analytics
בטבלה הבאה מתוארים הגלאים של Security Health Analytics שכלולים בתבנית הזו של תמונת מצב האבטחה.
| שם המזהה | תיאור |
|---|---|
SQL_CROSS_DB_OWNERSHIP_CHAINING |
הגלאי הזה בודק אם הדגל |
INSTANCE_OS_LOGIN_DISABLED |
הגלאי הזה בודק אם OS Login לא מופעל. |
SQL_SKIP_SHOW_DATABASE_DISABLED |
הגלאי הזה בודק אם הדגל |
ESSENTIAL_CONTACTS_NOT_CONFIGURED |
הכלי הזה בודק אם יש לכם לפחות איש קשר חיוני אחד. |
AUDIT_LOGGING_DISABLED |
הגלאי הזה בודק אם רישום ביומן ביקורת מושבת עבור משאב. |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
הגלאי הזה בודק אם האפשרות VPC Flow Logs לא מופעלת. |
API_KEY_EXISTS |
הגלאי הזה בודק אם בפרויקט נעשה שימוש במפתחות API במקום באימות רגיל. |
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY |
הגלאי הזה בודק אם לדגל |
LOCKED_RETENTION_POLICY_NOT_SET |
הגלאי הזה בודק אם מדיניות השמירה הנעולה מוגדרת ליומנים. |
SQL_LOG_DISCONNECTIONS_DISABLED |
הגלאי הזה בודק אם הדגל |
COMPUTE_SERIAL_PORTS_ENABLED |
הגלאי הזה בודק אם היציאות הטוריות מופעלות. |
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
הכלי הזה בודק אם נעשה שימוש במפתחות SSH ברמת הפרויקט. |
KMS_KEY_NOT_ROTATED |
הגלאי הזה בודק אם הרוטציה של ההצפנה ב-Cloud Key Management Service לא מופעלת. |
DNS_LOGGING_DISABLED |
הגלאי הזה בודק אם רישום ביומן של DNS מופעל ברשת ה-VPC. |
SQL_LOCAL_INFILE |
הגלאי הזה בודק אם הדגל |
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED |
הגלאי הזה בודק אם הערך של הדגל |
PUBLIC_DATASET |
הכלי הזה בודק אם מערך נתונים מוגדר כפתוח לגישה ציבורית. מידע נוסף זמין במאמר בנושא ממצאים של פגיעויות במערך נתונים. |
DISK_CSEK_DISABLED |
הגלאי הזה בודק אם התמיכה במפתח הצפנה באספקת הלקוח (CSEK) מושבתת במכונה וירטואלית. |
SQL_USER_CONNECTIONS_CONFIGURED |
הגלאי הזה בודק אם הדגל |
SERVICE_ACCOUNT_ROLE_SEPARATION |
הגלאי הזה בודק אם יש הפרדת תפקידים במפתחות של חשבונות שירות. |
AUDIT_CONFIG_NOT_MONITORED |
הגלאי הזה בודק אם מתבצע מעקב אחרי שינויים בהגדרות הביקורת. |
BUCKET_IAM_NOT_MONITORED |
הגלאי הזה בודק אם רישום ביומן מושבת לשינויים בהרשאות IAM ב-Cloud Storage. |
PUBLIC_SQL_INSTANCE |
הגלאי הזה בודק אם Cloud SQL מאפשר חיבורים מכל כתובות ה-IP. |
AUTO_BACKUP_DISABLED |
הגלאי הזה בודק אם הגיבויים האוטומטיים במסד נתונים של Cloud SQL מושבתים. |
DATAPROC_CMEK_DISABLED |
הכלי הזה בודק אם התמיכה ב-CMEK מושבתת באשכול Managed Service for Apache Spark. |
LOG_NOT_EXPORTED |
הגלאי הזה בודק אם לא מוגדר sink ביומן של משאב. |
KMS_PROJECT_HAS_OWNER |
הגלאי הזה בודק אם למשתמש יש הרשאת בעלים בפרויקט שכולל מפתחות. |
KMS_ROLE_SEPARATION |
הגלאי הזה בודק את הפרדת התפקידים במפתחות Cloud KMS. |
API_KEY_APIS_UNRESTRICTED |
הכלי הזה בודק אם נעשה שימוש במפתחות API בצורה רחבה מדי. |
SQL_LOG_MIN_MESSAGES |
הגלאי הזה בודק אם הדגל |
SQL_PUBLIC_IP |
המזהה הזה בודק אם למסד נתונים של Cloud SQL יש כתובת IP חיצונית. |
DATASET_CMEK_DISABLED |
הגלאי הזה בודק אם התמיכה ב-CMEK מושבתת במערך נתונים של BigQuery. |
FIREWALL_NOT_MONITORED |
הגלאי הזה בודק אם מדדי יומן והתראות לא מוגדרים למעקב אחרי שינויים בכללי חומת אש של VPC. |
SQL_LOG_STATEMENT |
הגלאי הזה בודק אם הדגל |
BIGQUERY_TABLE_CMEK_DISABLED |
הגלאי הזה בודק אם טבלה ב-BigQuery לא מוגדרת לשימוש במפתח הצפנה בניהול הלקוח (CMEK). מידע נוסף זמין במאמר בנושא ממצאים של פגיעויות במערך נתונים. |
CONFIDENTIAL_COMPUTING_DISABLED |
הגלאי הזה בודק אם Confidential Computing מושבת. |
SQL_INSTANCE_NOT_MONITORED |
הגלאי הזה בודק אם רישום ביומן מושבת לשינויים בהגדרות של Cloud SQL. |
KMS_PUBLIC_KEY |
הגלאי הזה בודק אם מפתח קריפטוגרפי של Cloud Key Management Service נגיש לציבור. מידע נוסף זמין במאמר מציאת נקודות חולשה ב-KMS. |
DEFAULT_NETWORK |
הגלאי הזה בודק אם רשת ברירת המחדל קיימת בפרויקט. |
SQL_TRACE_FLAG_3625 |
הגלאי הזה בודק אם הדגל |
API_KEY_NOT_ROTATED |
הגלאי הזה בודק אם בוצע שינוי במפתח API ב-90 הימים האחרונים. |
DNSSEC_DISABLED |
הגלאי הזה בודק אם אבטחת ה-DNS (DNSSEC) מושבתת ב-Cloud DNS. מידע נוסף זמין במאמר בנושא ממצאים של נקודות חולשה ב-DNS. |
SQL_LOG_CONNECTIONS_DISABLED |
הגלאי הזה בודק אם הדגל |
LEGACY_NETWORK |
הגלאי הזה בודק אם קיימת רשת מדור קודם בפרויקט. |
PUBLIC_IP_ADDRESS |
הגלאי הזה בודק אם למופע יש כתובת IP חיצונית. |
FULL_API_ACCESS |
הגלאי הזה בודק אם מופע משתמש בחשבון שירות שמוגדר כברירת מחדל עם גישה מלאה לכל ממשקי ה-API Google Cloud . |
SQL_CONTAINED_DATABASE_AUTHENTICATION |
הגלאי הזה בודק אם הדגל |
OS_LOGIN_DISABLED |
הגלאי הזה בודק אם OS Login מושבת. |
SQL_USER_OPTIONS_CONFIGURED |
הגלאי הזה בודק אם הדגל |
ADMIN_SERVICE_ACCOUNT |
הגלאי הזה בודק אם לחשבון שירות יש הרשאות אדמין, בעלים או עריכה. |
DEFAULT_SERVICE_ACCOUNT_USED |
הגלאי הזה בודק אם נעשה שימוש בחשבון השירות שמוגדר כברירת מחדל. |
NETWORK_NOT_MONITORED |
הגלאי הזה בודק אם מדדי יומן והתראות לא מוגדרים למעקב אחרי שינויים ברשת VPC. |
PUBLIC_BUCKET_ACL |
הגלאי הזה בודק אם יש גישה ציבורית לקטגוריה. |
CUSTOM_ROLE_NOT_MONITORED |
הגלאי הזה בודק אם הרישום ביומן מושבת לשינויים בתפקידים בהתאמה אישית. |
SQL_LOG_ERROR_VERBOSITY |
הגלאי הזה בודק אם הערך של הדגל |
LOAD_BALANCER_LOGGING_DISABLED |
הגלאי הזה בודק אם הרישום ביומן מושבת במאזן העומסים. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
הגלאי הזה בודק אם למשתמש יש תפקידים בחשבון שירות ברמת הפרויקט, במקום בחשבון שירות ספציפי. |
SQL_REMOTE_ACCESS_ENABLED |
הגלאי הזה בודק אם הדגל |
RSASHA1_FOR_SIGNING |
הגלאי הזה בודק אם נעשה שימוש ב-RSASHA1 לחתימה על מפתחות באזורי Cloud DNS. |
CLOUD_ASSET_API_DISABLED |
הגלאי הזה בודק אם מאגר משאבי ענן מושבת. |
BUCKET_POLICY_ONLY_DISABLED |
הכלי הזה בודק אם מוגדרת גישה אחידה ברמת הקטגוריה. |
ROUTE_NOT_MONITORED |
הגלאי הזה בודק אם מדדי היומן וההתראות לא מוגדרים למעקב אחרי שינויים בנתיב של רשת VPC. |
OWNER_NOT_MONITORED |
הגלאי הזה בודק אם הרישום ביומן מושבת עבור הקצאות ושינויים של בעלות על פרויקטים. |
הצגת תבנית המצב
כדי לראות את תבנית המצב של ISO 27001:
gcloud
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
-
ORGANIZATION_ID: המזהה המספרי של הארגון.
מריצים את הפקודה gcloud scc posture-templates
describe:
Linux, macOS או Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001
התשובה מכילה את תבנית המצב.
REST
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
-
ORGANIZATION_ID: המזהה המספרי של הארגון.
ה-method של ה-HTTP וכתובת ה-URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
התשובה מכילה את תבנית המצב.