Présentation de Security Health Analytics

Security Health Analytics est un service géré de Security Command Center qui analyse vos environnements cloud pour détecter les erreurs de configuration courantes susceptibles de vous exposer à des attaques.

Security Health Analytics est désactivé pour les nouvelles activations de Security Command Center aux niveaux Standard-legacy, Premium et Enterprise. Pour ces organisations, utilisez Compliance Manager pour analyser votre environnement et détecter les erreurs de configuration.

Fonctionnalités de Security Health Analytics par niveau

Les fonctionnalités de Security Health Analytics disponibles varient en fonction du niveau de service sur lequel Security Command Center est activé. Vous pouvez consulter les résultats disponibles pour chaque niveau sur la page Résultats de Security Health Analytics.

Fonctionnalités du niveau Standard-legacy

Au niveau Standard-legacy, Security Health Analytics ne peut détecter qu'un groupe de base de failles de gravité moyenne et élevée.

Fonctionnalités du niveau Standard

Si le niveau Standard est nouvellement activé dans votre organisation (c'est-à-dire que l'organisation n'a pas été migrée depuis le niveau Standard-legacy), Security Health Analytics n'est pas disponible. Utilisez le framework Compliance Manager Security Essentials et l'évaluation des failles Google Cloud pour analyser votre environnement et détecter les erreurs de configuration et les failles susceptibles de vous exposer à des attaques.

Si votre organisation a été migrée du niveau Standard-legacy vers le niveau Standard, les détecteurs Security Health Analytics suivants sont migrés vers les contrôles Compliance Manager dans le framework Security Essentials :

• DATAPROC_IMAGE_OUTDATED
• LEGACY_AUTHORIZATION_ENABLED
• OPEN_CISCOSECURE_WEBSM_PORT
• OPEN_DIRECTORY_SERVICES_PORT
• OPEN_FIREWALL
• OPEN_RDP_PORT
• OPEN_SSH_PORT
• OPEN_TELNET_PORT
• PUBLIC_DATASET
• PUBLIC_IP_ADDRESS
• PUBLIC_SQL_INSTANCE
• SSL_NOT_ENFORCED
• WEB_UI_ENABLED

Security Health Analytics est activé et tous les détecteurs continuent de générer des résultats, mais ceux créés par la version Security Health Analytics des détecteurs migrés sont libellés avec l'identifiant de valeur de champ : launch_state="LAUNCH_STATE_DEPRECATED" et ne s'affichent pas sur certaines Google Cloud pages de la console.

La plupart des détecteurs SHA ont des contrôles Compliance Manager équivalents. Pour en savoir plus, consultez Mappage des détecteurs Security Health Analytics aux contrôles cloud.

Pour afficher les résultats créés par la version Compliance Manager des détecteurs migrés, utilisez les éléments suivants :

• Page Résultats
• Page Conformité > onglet Surveiller

Pour afficher les résultats générés par la version Security Health Analytics des détecteurs migrés, utilisez les éléments suivants :

• Page Résultats et supprimez le launch_state="LAUNCH_STATE_DEPRECATED" terme de la requête.
• Anciennes failles

Les détecteurs suivants ne sont pas migrés vers le framework Security Essentials dans Compliance Manager :

• MFA_NOT_ENFORCED
• NON_ORG_IAM_MEMBER
• OPEN_GROUP_IAM_MEMBER
• PUBLIC_BUCKET_ACL
• PUBLIC_COMPUTE_IMAGE
• PUBLIC_LOG_BUCKET

Vous pouvez activer ces détecteurs dans l'onglet Paramètres > Security Health Analytics > Modules.

Pour afficher les résultats créés par ces détecteurs Security Health Analytics, utilisez les éléments suivants :

• Page Résultats

• Présentation des risques > tableau de bord Tous les risques :

  • Panneau Principales erreurs de configuration
  • Panneau Erreurs de configuration par date

Les résultats générés par ces détecteurs Security Health Analytics n'apparaissent pas sur la page Conformité.

Fonctionnalités du niveau Premium

Si le niveau Premium est nouvellement activé dans votre organisation (c'est-à-dire que l'organisation n'a pas été migrée depuis le niveau Standard), Security Health Analytics n'est pas disponible et ne peut pas être activé. Pour ces organisations, utilisez Compliance Manager pour analyser votre environnement et détecter les erreurs de configuration.

Si le niveau Premium est migré depuis le niveau Standard, Security Health Analytics inclut les fonctionnalités suivantes :

• Tous les détecteurs pour Google Cloud, ainsi qu'un certain nombre d'autres fonctionnalités de détection des failles, telles que la possibilité de créer des modules de détection personnalisés.
• Les résultats sont mappés aux contrôles de conformité pour la création de rapports de conformité. Pour en savoir plus, consultez Détecteurs et conformité.
• Les simulations de chemins d'attaque de Security Command Center calculent les scores d'exposition aux attaques et les chemins d'attaque potentiels pour la plupart des résultats de Security Health Analytics. Pour en savoir plus, consultez Présentation des scores d'exposition aux attaques et des chemins d'attaque.

Si votre organisation est passée du niveau Standard au niveau Premium, consultez Changer de niveau pour en savoir plus sur l'ensemble modifié des fonctionnalités des détecteurs Security Health Analytics.

Fonctionnalités du niveau Enterprise

Si le niveau Enterprise est nouvellement activé dans votre organisation (c'est-à-dire que l'organisation n'a pas été migrée depuis le niveau Standard), Security Health Analytics n'est pas disponible et ne peut pas être activé. Pour ces organisations, utilisez Compliance Manager pour analyser votre environnement et détecter les erreurs de configuration.

Si votre organisation est passée du niveau Standard au niveau Enterprise, consultez Changer de niveau pour en savoir plus sur l'ensemble modifié des fonctionnalités des détecteurs Security Health Analytics.

Changer de niveau

Security Command Center aux niveaux Premium et Enterprise comporte plus de détecteurs qu'au niveau Standard-legacy. Si vous utilisez le niveau Premium ou Enterprise et que vous prévoyez de passer au niveau Standard ou Standard-legacy, nous vous recommandons de résoudre tous les problèmes avant de modifier votre niveau.

Lorsqu'un essai Premium ou Enterprise se termine, ou que vous passez de l'un de ces niveaux au niveau Standard ou Standard-legacy, l'état des résultats générés au niveau supérieur est défini sur INACTIVE.

Si votre organisation ne disposait pas de Security Command Center et a été automatiquement activée avec le niveau Standard, puis que vous êtes passé au niveau Premium ou Enterprise, utilisez le framework Security Essentials dans Compliance Manager pour configurer les détections.

Si votre organisation a été migrée vers le niveau Standard depuis le niveau Standard-legacy, puis que vous êtes passé au niveau Premium ou Enterprise, Security Health Analytics reste partiellement activé. Vous ne pouvez pas activer les détecteurs Security Health Analytics des niveaux Premium ou Enterprise. Vous devez utiliser les frameworks Compliance Manager disponibles avec les niveaux Premium et Enterprise pour configurer les détections.

La plupart des détecteurs Security Health Analytics des niveaux Premium et Enterprise sont migrés vers le framework Security Essentials dans Compliance Manager.

Pour en savoir plus sur les frameworks Compliance Manager et les contrôles cloud, consultez Frameworks Compliance Manager.

Pour savoir comment les détecteurs Security Health Analytics sont mappés aux contrôles cloud Compliance Manager, consultez Mappage des détecteurs Security Health Analytics aux contrôles cloud.

Prise en charge du multicloud

Security Health Analytics peut détecter les erreurs de configuration dans vos déploiements sur d'autres plates-formes cloud.

Security Health Analytics est compatible avec les autres fournisseurs de services cloud suivants :

• Amazon Web Services (AWS) : pour exécuter les détecteurs sur des données AWS, vous devez d'abord connecter Security Command Center à AWS, comme décrit dans Se connecter à AWS pour collecter des données de configuration et de ressources.

• Microsoft Azure : pour exécuter les détecteurs sur des données Microsoft Azure, vous devez d'abord connecter Security Command Center à Microsoft Azure, comme décrit dans Se connecter à Microsoft Azure pour détecter les failles et évaluer les risques.

Services cloud compatibles Google Cloud

L'analyse d'évaluation des failles gérée par Security Health Analytics pour Google Cloud peut détecter automatiquement les failles courantes et les erreurs de configuration dans les services suivants Google Cloud :

• Cloud Monitoring et Cloud Logging
• Compute Engine
• Conteneurs et réseaux Google Kubernetes Engine
• Cloud Storage
• Cloud SQL
• Gestion de l'authentification et des accès (IAM)
• Cloud Key Management Service (Cloud KMS)

Types d'analyses Security Health Analytics

Security Health Analytics s'exécute dans trois modes :

• Analyse par lot : tous les détecteurs sont programmés pour s'exécuter périodiquement pour toutes les organisations ou tous les projets enregistrés.

  Pour en savoir plus sur la fréquence des analyses, consultez Latence d'analyse de Security Health Analytics.

• Analyse en temps réel : uniquement pour les Google Cloud déploiements uniquement, les détecteurs compatibles lancent des analyses chaque fois qu' une modification est détectée dans la configuration d'une ressource. Les résultats sont écrits dans Security Command Center. Les analyses en temps réel ne sont pas compatibles avec les déploiements sur d'autres plates-formes cloud.

• Mode mixte : certains détecteurs compatibles avec les analyses en temps réel peuvent ne pas détecter les modifications en temps réel pour tous les types de ressources compatibles. Dans ce cas, les modifications de configuration de certains types de ressources sont capturées immédiatement, tandis que d'autres sont capturées lors des analyses par lot. Les exceptions sont indiquées dans les tableaux des résultats de Security Health Analytics.

Security Health Analytics n'analyse les ressources sur d'autres plates-formes cloud qu'en mode par lot.

Latence d'analyse de Security Health Analytics

Les sections suivantes décrivent le délai avant la génération des résultats par l'analyse initiale et la fréquence des analyses ultérieures.

Analyse initiale

Aux niveaux Premium et Enterprise, l'analyse initiale commence environ une heure après l'activation du service. Les premières analyses de Security Health Analytics peuvent prendre jusqu'à 12 heures.

Aux niveaux Standard et Standard-legacy de Security Command Center, les analyses s'exécutent toutes les 48 heures, ce qui peut entraîner une latence initiale des résultats de 72 heures.

Il est possible que certains résultats s'affichent dans la Google Cloud console pendant l'analyse initiale , mais avant la fin du processus d'intégration. Les résultats préliminaires sont précis et exploitables, mais ils ne sont pas exhaustifs. Il est déconseillé de les utiliser pour une évaluation de conformité dans les premières 24 heures.

Analyses ultérieures

Après l'analyse initiale, les détections s'exécutent périodiquement en mode par lot.

• Aux niveaux Premium et Enterprise, les analyses par lot s'exécutent tous les jours.
• Aux niveaux Standard et Standard-legacy, les analyses par lot s'exécutent toutes les 48 heures.

Un détecteur peut s'exécuter en mode par lot, en mode en temps réel ou en mode mixte. Pour en savoir plus sur ces modes, consultez Types d'analyses Security Health Analytics.

Avec l'analyse en temps réel, les modifications de configuration de ressources pertinentes Google Cloud peuvent entraîner une mise à jour des résultats. La mise à jour peut prendre plusieurs minutes en fonction du type d'élément et de la modification. Un détecteur peut ne pas être compatible avec l'analyse en temps réel si la détection utilise des informations en dehors de la configuration d'une ressource.

Pour savoir si un détecteur est compatible avec l'analyse en temps réel, consultez la colonne Paramètres d'analyse des éléments du détecteur dans la section Référence des résultats de Security Health Analytics de la page Résultats concernant les failles.

Activation des détecteurs Security Health Analytics

Security Health Analytics utilise des détecteurs pour identifier les failles et les erreurs de configuration dans votre environnement cloud. Chaque détecteur correspond à une catégorie de résultats.

Security Health Analytics est fourni avec de nombreux détecteurs intégrés qui recherchent les failles et les erreurs de configuration dans un grand nombre de catégories et de types de ressources.

Pour les niveaux de service Premium et Enterprise, vous pouvez également créer vos propres détecteurs personnalisés qui peuvent rechercher des failles ou des erreurs de configuration qui ne sont pas couvertes par les détecteurs intégrés ou qui sont spécifiques à votre environnement.

Pour en savoir plus sur les détecteurs Security Health Analytics intégrés, consultez Détecteurs intégrés de Security Health Analytics.

Pour en savoir plus sur la création et l'utilisation de modules personnalisés, consultez Modules personnalisés pour Security Health Analytics.

Activer et désactiver des détecteurs

Tous les détecteurs intégrés de Security Health Analytics ne sont pas activés par défaut.

Pour activer les détecteurs intégrés inactifs, consultez Activer et désactiver des détecteurs.

Pour activer ou désactiver un module de détection personnalisé Security Health Analytics, vous pouvez mettre à jour le module personnalisé à l'aide de la Google Cloud console, de gcloud CLI ou de l'API Security Command Center.

Pour en savoir plus sur la mise à jour des modules personnalisés Security Health Analytics, consultez Mettre à jour un module personnalisé.

Détecteurs intégrés et activations au niveau du projet

Lorsque vous activez Security Command Center pour un projet uniquement, certains détecteurs Security Health Analytics intégrés ne sont pas compatibles, car ils nécessitent des autorisations au niveau de l'organisation.

Parmi les détecteurs intégrés qui nécessitent une activation au niveau de l'organisation, vous pouvez activer ceux qui sont disponibles avec le niveau Standard-legacy de Security Command Center pour les activations au niveau du projet en activant le niveau Standard-legacy pour votre organisation.

Les détecteurs intégrés qui nécessitent à la fois le niveau Premium et des autorisations au niveau de l'organisation ne sont pas compatibles avec les activations au niveau du projet.

Pour obtenir la liste des détecteurs intégrés du niveau Standard-legacy qui nécessitent une activation au niveau de l'organisation de Security Command Center Standard-legacy avant de pouvoir être utilisés avec une activation au niveau du projet, consultez Catégories de résultats du niveau Standard au niveau de l'organisation.

Pour obtenir la liste des détecteurs intégrés du niveau Premium qui ne sont pas compatibles avec les activations au niveau du projet, consultez Résultats Security Health Analytics non compatibles.

Détecteurs de modules personnalisés et activations au niveau du projet

Les analyses des détecteurs de modules personnalisés que vous créez dans un projet sont limitées à la portée du projet, quel que soit le niveau d'activation de Security Command Center. Les détecteurs de modules personnalisés ne peuvent analyser que les ressources disponibles pour le projet dans lequel ils sont créés.

Pour en savoir plus sur les modules personnalisés, consultez Modules personnalisés pour Security Health Analytics.

Détecteurs intégrés de Security Health Analytics

Cette section décrit les catégories générales des détecteurs, listées par plate-forme cloud et par catégorie de résultats qu'ils génèrent.

Détecteurs intégrés pour Google Cloud par catégorie générale

Les détecteurs Security Health Analytics pour Google Cloud, ainsi que les résultats qu'ils génèrent, sont regroupés dans les catégories générales suivantes.

Les détecteurs Security Health Analytics surveillent un sous-ensemble des Google Cloud types de ressources compatibles avec l'inventaire des éléments cloud.

Pour afficher les détecteurs individuels inclus dans chaque catégorie, cliquez sur le nom de la catégorie.

• Résultats de failles de clé API
• Résultats de failles d'image Compute
• Résultats de failles d'instance Compute
• Résultats de failles de conteneur
• Résultats de failles de Managed Service pour Apache Spark
• Résultats de failles d'ensemble de données
• Résultats de failles DNS
• Résultats de failles de pare-feu
• Résultats de failles IAM
• Résultats de failles KMS
• Résultats de failles de journalisation
• Résultats de failles de surveillance
• Détection de failles de l'authentification multifacteur
• Résultats de failles de réseau
• Résultats de failles liées aux règles d' administration
• Résultats de failles Pub/Sub
• Résultats de failles SQL
• Résultats de failles de stockage
• Résultats de failles de sous-réseau

Détecteurs intégrés pour AWS

Pour obtenir la liste de tous les détecteurs Security Health Analytics pour AWS, consultez Résultats AWS.

Modules personnalisés pour Security Health Analytics

Les modules personnalisés Security Health Analytics sont des détecteurs personnalisés pour Google Cloud qui étendent les capacités de détection de Security Health Analytics au-delà de celles fournies par les détecteurs intégrés.

Les modules personnalisés ne sont pas compatibles avec les autres plates-formes cloud.

Vous pouvez créer des modules personnalisés à l'aide du workflow guidé dans la Google Cloud console, ou créer vous-même la définition du module personnalisé dans un fichier YAML, puis l'importer dans Security Command Center à l'aide des commandes Google Cloud CLI ou de l'API Security Command Center.

Pour en savoir plus, consultez Présentation des modules personnalisés pour Security Health Analytics.

Détecteurs et conformité

La mesure de la conformité de Security Command Center aux benchmarks de sécurité repose en grande partie sur les résultats produits par les détecteurs de failles Security Health Analytics.

Security Health Analytics surveille votre conformité à l'aide de détecteurs mappés aux contrôles d'une grande variété de normes de sécurité.

Pour chaque norme de sécurité compatible, Security Health Analytics vérifie un sous-ensemble des contrôles. Pour les contrôles vérifiés, Security Command Center indique le nombre de contrôles réussis. Pour les contrôles qui ne sont pas réussis, Security Command Center affiche une liste de résultats décrivant les échecs de contrôle.

CIS examine et certifie les mappages des détecteurs Security Health Analytics à chaque version compatible du benchmark CIS Google Cloud Foundations. Des mappages de conformité supplémentaires sont inclus à titre de référence uniquement.

Security Health Analytics ajoute régulièrement la prise en charge de nouvelles versions de benchmarks et de normes. Les anciennes versions restent compatibles, mais sont finalement abandonnées. Nous vous recommandons d'utiliser le benchmark ou la norme compatible la plus récente disponible.

Avec le service de stratégie de sécurité, vous pouvez mapper les règles d'administration et les détecteurs Security Health Analytics aux normes et contrôles qui s'appliquent à votre entreprise. Une fois que vous avez créé une stratégie de sécurité, vous pouvez surveiller les modifications apportées à l'environnement qui pourraient affecter la conformité de votre entreprise.

Avec Compliance Manager, vous pouvez déployer des frameworks qui mappent les contrôles réglementaires aux contrôles cloud contrôles. Une fois que vous avez créé un framework, vous pouvez surveiller les modifications apportées à l’environnement qui pourraient affecter la conformité de votre entreprise et auditer votre environnement.

Pour en savoir plus sur la gestion de la conformité, consultez Évaluer la conformité aux normes de sécurité et générer des rapports.

Normes de sécurité compatibles

Google Cloud

Security Health Analytics mappe les détecteurs pour Google Cloud à une ou plusieurs des normes de conformité suivantes :

• CIS (Center for Information Security) Controls 8.0
• Benchmark CIS de Computing Foundations v2.0.0, v1.3.0, v1.2.0, v1.1.0 et v1.0.0 Google Cloud
• Benchmark CIS de Kubernetes v1.5.1
• Cloud Controls Matrix (CCM) 4
• Health Insurance Portability and Accountability Act (HIPAA)
• Normes ISO (Organisation internationale de normalisation) 27001, 2022 et 2013
• NIST (National Institute of Standards and Technology) 800-53 R5 et R4
• Cybersecurity Framework (CSF) 1.0 du NIST (National Institute of Standards and Technology)
• Top 10 de l'OWASP (Open Web Application Security Project), 2021 et 2017
• Payment Card Industry Data Security Standard (PCI DSS) 4.0 et 3.2.1
• Critères de services de confiance (TSC) 2017 des contrôles des systèmes et des organisations (SOC) 2

AWS

Au niveau de service Enterprise, Security Health Analytics mappe les détecteurs pour Amazon Web Services (AWS) à une ou plusieurs des normes de conformité suivantes :

• CIS Amazon Web Services Foundations 2.0.0
• CIS Critical Security Controls Version 8.0
• Cloud Controls Matrix (CCM) 4
• Health Insurance Portability and Accountability Act (HIPAA)
• Norme ISO (Organisation internationale de normalisation) 27001, 2022
• NIST (National Institute of Standards and Technology) 800-53 R5
• Cybersecurity Framework (CSF) 1.0 du NIST (National Institute of Standards and Technology)
• Payment Card Industry Data Security Standard (PCI DSS) 4.0 et 3.2.1
• Critères de services de confiance (TSC) 2017 des contrôles des systèmes et des organisations (SOC) 2

Pour en savoir plus sur la conformité, consultez Évaluer la conformité aux benchmarks de sécurité et générer des rapports.