Cette page présente le processus d'activation qui a lieu lorsque vous activez Security Command Center. Elle a pour objectif de répondre aux questions courantes suivantes :
- Que se passe-t-il lorsque Security Command Center est activé ?
- Pourquoi y a-t-il un délai avant le début des premières analyses ?
- Combien de temps prend généralement l'exécution de la première analyse et des analyses en cours ?
- Quelle est l'incidence de la modification des ressources et des paramètres sur les performances ?
Présentation
Lorsque vous activez Security Command Center pour la première fois, un processus d'activation doit être effectué avant que Security Command Center puisse commencer à analyser vos ressources. Ensuite, les analyses doivent être terminées avant que vous puissiez voir un ensemble complet de résultats pour votre Google Cloud environnement.
La durée du processus d'activation et des analyses dépend de plusieurs facteurs, y compris le nombre d'éléments et de ressources dans votre environnement, et si Security Command Center est activé au niveau de l'organisation ou du projet.
Avec les activations au niveau de l'organisation, Security Command Center doit répéter certaines étapes du processus d'activation pour chaque projet de l'organisation. Selon le nombre de projets dans une organisation, le temps nécessaire au processus d'activation peut varier de quelques minutes à plusieurs heures. Pour les organisations comptant plus de 100 000 projets, de nombreuses ressources dans chaque projet et d'autres facteurs de complication, l'activation et les analyses initiales peuvent prendre jusqu'à 24 heures, voire plus.
Avec les activations de Security Command Center au niveau du projet, le processus d'activation est beaucoup plus rapide, car il est limité au projet unique dans lequel Security Command Center est activé.
Les facteurs qui peuvent entraîner une latence lors du lancement des analyses, du traitement des modifications des paramètres et de l'exécution des analyses sont abordés dans les sections suivantes.
Latence d'intégration
Avant le lancement des analyses, Security Command Center détecte et indexe vos ressources.
Les services indexés incluent App Engine, BigQuery, Cloud SQL, Cloud Storage, Compute Engine, Cloud Identity and Access Management et Google Kubernetes Engine.
Pour les activations de Security Command Center au niveau du projet, la détection et l'indexation sont limitées au projet unique dans lequel Security Command Center est activé.
Pour les activations au niveau de l'organisation, Security Command Center détecte et indexe les ressources dans l'ensemble de votre organisation.
Au cours de ce processus d'intégration, deux étapes essentielles ont lieu.
Analyse des éléments
Security Command Center lance une analyse initiale des éléments pour identifier le nombre total, l'emplacement et l'état des projets, des dossiers, des fichiers, des clusters, des identités, des stratégies d'accès, des utilisateurs inscrits et des autres ressources. Ce processus prend généralement quelques minutes.
Activation de l'API
À mesure que des ressources sont détectées, Security Command Center active les composants requis pour le bon fonctionnement de Security Health Analytics, d'Event Threat Detection, de Container Threat Detection, et de Web Security Scanner.Google Cloud Certains services de détection nécessitent l'activation d'API spécifiques sur des projets protégés.
Lorsque vous activez Security Command Center au niveau du projet, l'activation de l'API prend généralement moins d'une minute.
Avec les activations au niveau de l'organisation, Security Command Center parcourt tous les projets que vous sélectionnez pour l'analyse afin d'activer les API nécessaires.
Le nombre de projets au sein d'une organisation détermine en grande partie la durée des processus d'intégration et d'activation. Étant donné que les API doivent être activées une par une pour les projets, cette tâche est généralement la plus chronophage, en particulier pour les organisations comptant plus de 100 000 projets.
Le temps nécessaire pour activer les services sur plusieurs projets évolue de manière linéaire. En règle générale, l'activation des services et des paramètres de sécurité d'une organisation comportant 30 000 projets prend deux fois plus de temps qu'une organisation qui en possède 15 000.
Pour une organisation comptant 100 000 projets, l'intégration et l'activation des niveaux de service Premium et Enterprise devraient être effectuées en moins de cinq heures. Votre temps peut varier en fonction de nombreux facteurs, y compris le nombre de projets ou de conteneurs que vous utilisez et le nombre de services Security Command Center que vous choisissez d'activer.
Latence d'analyse initiale
Lorsque vous configurez Security Command Center, vous décidez quels services intégrés doivent être activés, puis vous sélectionnez les Google Cloud ressources que vous souhaitez analyser ou vérifier afin de détecter les menaces et les failles. Lorsque les API sont activées pour les projets, les services sélectionnés lancent leurs analyses. La durée de ces analyses dépend également du nombre de projets dans une organisation.
Les résultats des services intégrés sont disponibles à mesure que les analyses initiales sont terminées. La latence des services est décrite dans les sections suivantes.
- Agent Platform Threat Detection (aperçu) présente les latences suivantes :
- Latence d'activation pouvant atteindre 3,5 heures pour les projets ou les organisations nouvellement ajoutés
- Latence de détection de plusieurs minutes
- Cloud Run Threat Detection présente les latences suivantes :
- Latence d'activation pouvant atteindre 3,5 heures pour les projets ou les organisations nouvellement ajoutés
- Latence de détection de plusieurs minutes
- Compliance Manager : consultez la latence d'analyse de Compliance Manager pour les contrôles de détection.
- Container Threat Detection présente les latences suivantes :
- Latence d'activation pouvant atteindre 3,5 heures pour les projets ou les organisations nouvellement ajoutés
- Latence d'activation de plusieurs minutes pour les clusters nouvellement créés
- Latence de détection de plusieurs minutes pour les menaces dans les clusters qui ont été activés
L'activation d'Event Threat Detection prend quelques secondes pour les détecteurs intégrés. Pour les détecteurs personnalisés nouveaux ou mis à jour, la prise en compte des modifications peut prendre jusqu'à 15 minutes. En pratique, cela prend généralement moins de 5 minutes.
Pour les détecteurs intégrés et personnalisés, les latences de détection sont généralement inférieures à 15 minutes entre le moment où un journal est écrit et celui où un résultat est disponible dans Security Command Center.
Les données Problèmes pour les niveaux Security Command Center Premium et Enterprise peuvent mettre environ six heures à s'afficher.
Les données du graphique de sécurité pour les niveaux Security Command Center Premium et Enterprise peuvent mettre environ deux heures à s'afficher.
Security Health Analytics : consultez la latence d'analyse de Security Health Analytics.
VM Threat Detection présente une latence d'activation pouvant atteindre 48 heures pour les organisations nouvellement ajoutées. Pour les projets, la latence d'activation peut atteindre 15 minutes.
Vulnerability Assessment pour Google Cloud : consultez les résultats générés par Vulnerability Assessment pour Google Cloud pour obtenir des informations sur la fréquence des analyses après son activation.
L'évaluation des failles pour Amazon Web Services (AWS) commence à analyser les ressources d'un compte AWS environ 15 minutes après le premier déploiement du modèle CloudFormation requis dans le compte. Lorsqu'une faille logicielle est détectée dans le compte AWS, le résultat correspondant est disponible dans Security Command Center environ 10 minutes plus tard.
Le temps nécessaire pour effectuer une analyse dépend du nombre d'instances EC2. En règle générale, l'analyse d'une seule instance EC2 prend moins de cinq minutes.
Un délai maximal de 24 heures peut être nécessaire pour que les analyses de Web Security Scanner se lancent après l'activation du service et son exécution hebdomadaire suivant l'analyse initiale.
Les analyses Data Security Posture Management (DSPM) peuvent prendre jusqu'à 24 heures après l'activation du service.
Security Command Center exécute des détecteurs d'erreurs qui détectent les erreurs de configuration liées à Security Command Center et à ses services. Ces détecteurs d'erreurs sont activés par défaut et ne peuvent pas être désactivés. Les latences de détection varient en fonction du détecteur d'erreurs. Pour en savoir plus, consultez la page Erreurs Security Command Center.
Les rôles IAM pour Security Command Center peuvent être accordés au niveau de l'organisation, du dossier ou du projet. Votre capacité à afficher, modifier, créer ou mettre à jour les résultats, les éléments et les sources de sécurité dépend du niveau pour lequel vous disposez d'un accès. Pour en savoir plus sur les rôles Security Command Center, consultez la page Contrôle des accès.
Afficher les résultats préliminaires
Il est possible que certains résultats s'affichent dans la Google Cloud console pendant l'analyse initiale , mais avant la fin du processus d'intégration. Les résultats préliminaires sont précis et exploitables, mais ils ne sont pas exhaustifs. Il est déconseillé de les utiliser pour une évaluation de conformité dans les premières 24 heures.
Analyses ultérieures
Les modifications apportées au sein de votre organisation ou de votre projet, telles que le déplacement de ressources ou, pour les activations au niveau de l'organisation, l'ajout de nouveaux dossiers et projets, n'ont généralement pas d'impact significatif sur le délai de détection des ressources ou sur la durée d'exécution des analyses. Toutefois, certaines analyses s'effectuent selon des planifications définies, qui déterminent la vitesse à laquelle Security Command Center détecte les modifications.
- Agent Platform Threat Detection (aperçu) utilise un processus de surveillance pour collecter des informations sur les événements pendant l'exécution de la charge de travail de l'agent. Le processus de surveillance peut prendre jusqu'à une minute pour démarrer et collecter des informations.
- Simulations de chemins d'attaque : pour en savoir plus, consultez la section Simulations de chemins d'attaque.
- Cloud Run Threat Detection utilise un processus de surveillance pour collecter des informations sur les conteneurs et les événements pendant toute la durée d'une charge de travail Cloud Run. Le processus de surveillance peut prendre jusqu'à une minute pour démarrer et collecter des informations.
- Event Threat Detection et Container Threat Detection : ces services s'exécutent en temps réel lorsqu'ils sont activés, et détectent immédiatement de nouvelles ressources ou des ressources modifiées, telles que les clusters, les buckets ou les journaux, dans les projets activés.
- Security Health Analytics : pour en savoir plus sur les types d'analyses, consultez la page Types d'analyses de Security Health Analytics. Pour en savoir plus sur la latence de détection, consultez la page Analyses ultérieures de Security Health Analytics.
- VM Threat Detection : pour l'analyse de la mémoire, VM Threat Detection analyse chaque instance de VM
immédiatement après sa
création. De plus, VM Threat Detection analyse chaque instance de VM toutes les 30 minutes.
- Pour la détection du minage de cryptomonnaie, VM Threat Detection génère un résultat par processus, par VM et par jour. Chaque résultat n'inclut que les menaces associées au processus qui est identifié par le résultat. Si VM Threat Detection détecte les menaces, mais ne peut les associer à aucun processus, il regroupe pour chaque VM toutes les menaces non associées dans un seul résultat qu'il génère une fois toutes les 24 heures. Pour les menaces qui durent plus de 24 heures, VM Threat Detection génère les nouveaux résultats toutes les 24 heures.
- Pour la détection des rootkits en mode kernel, VM Threat Detection génère un résultat par catégorie et par VM tous les trois jours.
Pour l'analyse des disques persistants, qui détecte la présence de logiciels malveillants connus, VM Threat Detection analyse chaque instance de VM au moins une fois par jour.
L'évaluation des failles pour AWS exécute des analyses trois fois par jour.
Le temps nécessaire pour effectuer une analyse dépend du nombre d'instances EC2. En règle générale, l'analyse d'une seule instance EC2 prend moins de cinq minutes.
Lorsqu'une faille logicielle est détectée dans un compte AWS, le résultat correspondant est disponible dans Security Command Center environ 10 minutes plus tard.
Web Security Scanner : s'exécute chaque semaine, le même jour que l'analyse initiale. Comme il s'exécute chaque semaine, Web Security Scanner ne détecte pas les modifications en temps réel. Si vous déplacez une ressource ou modifiez une application, la modification peut ne pas être détectée avant une semaine. Vous pouvez exécuter des analyses à la demande pour vérifier les ressources nouvelles ou modifiées entre les analyses planifiées.
DSPM : les résultats générés par DSPM s'affichent en temps quasi réel dans le tableau de bord DSPM.
Les détecteurs d'erreurs de Security Command Center s'exécutent régulièrement en mode de traitement par lot. Les fréquences d'analyse par lots varient en fonction du détecteur d'erreurs. Pour en savoir plus, consultez la page Erreurs Security Command Center.
Simulations de chemins d'attaque
Les simulations de chemins d'attaque s'exécutent environ toutes les six heures. À mesure que votre Google Cloud organisation se développe en taille ou en complexité, le temps entre les intervalles peut augmenter.
Lorsque vous activez Security Command Center pour la première fois, les simulations de chemins d'attaque utilisent un ensemble de ressources à forte valeur par défaut, qui se concentre sur un sous-ensemble des types de ressources compatibles trouvés dans votre organisation. Pour en savoir plus, consultez la liste des types de ressources compatibles.
Lorsque vous commencez à définir votre propre ensemble de ressources à forte valeur en créant une configuration de valeur de ressource, vous pouvez constater que le temps entre les intervalles de simulation diminue si le nombre d'instances de ressources dans votre ensemble de ressources à forte valeur est nettement inférieur à l'ensemble par défaut.
Étape suivante
- Découvrez comment utiliser Security Command Center dans la console. Google Cloud
- En savoir plus sur les services de détection.