Security Health Analytics הוא שירות מנוהל של Security Command Center שסורק את סביבות הענן שלכם כדי לזהות טעויות נפוצות בהגדרות שעלולות לחשוף אתכם להתקפות.
התכונה Security Health Analytics מושבתת בהפעלות חדשות של Security Command Center במהדורות Standard-legacy, Premium ו-Enterprise. בארגונים כאלה, אפשר להשתמש ב-Compliance Manager כדי לסרוק את הסביבה ולחפש הגדרות שגויות.
תכונות של Security Health Analytics לפי רמה
התכונות של Security Health Analytics שזמינות לכם משתנות בהתאם לרמת השירות שבה מופעל Security Command Center. במאמר ממצאים של Security Health Analytics אפשר לראות אילו ממצאים זמינים בכל אחת מהרמות.
תכונות במסלול Standard מדור קודם
ברמת Standard-legacy, הכלי Security Health Analytics יכול לזהות רק קבוצה בסיסית של נקודות חולשה ברמת חומרה בינונית וגבוהה.
תכונות במסלול הרגיל
אם רמת השירות Standard הופעלה בארגון לאחרונה, כלומר הארגון לא עבר מיגרציה מרמת השירות Standard מדור קודם, לא ניתן להשתמש ב-Security Health Analytics. כדאי להשתמש ב-Compliance Manager Security Essentials framework וב-Vulnerability Assessment for Google Cloud כדי לסרוק את הסביבה שלכם ולחפש טעויות בהגדרות ונקודות חולשה שעלולות לחשוף אתכם להתקפה.
אם הארגון שלכם הועבר מרמת Standard מדור קודם לרמת Standard, הגלאים הבאים של Security Health Analytics מועברים לאמצעי הבקרה של Compliance Manager במסגרת Security Essentials:
DATAPROC_IMAGE_OUTDATEDLEGACY_AUTHORIZATION_ENABLEDOPEN_CISCOSECURE_WEBSM_PORTOPEN_DIRECTORY_SERVICES_PORTOPEN_FIREWALLOPEN_RDP_PORTOPEN_SSH_PORTOPEN_TELNET_PORTPUBLIC_DATASETPUBLIC_IP_ADDRESSPUBLIC_SQL_INSTANCESSL_NOT_ENFORCEDWEB_UI_ENABLED
הכלי Security Health Analytics מופעל וכל הגלאים ממשיכים ליצור ממצאים, אבל הממצאים שנוצרו על ידי הגרסה של הגלאים שעברו מיגרציה ב-Security Health Analytics מסומנים במזהה של ערך השדה: launch_state="LAUNCH_STATE_DEPRECATED"
ולא מוצגים בחלק מדפי המסוף. Google Cloud
לרוב הגלאים של SHA יש אמצעי בקרה מקבילים ב-Compliance Manager. מידע נוסף זמין במאמר בנושא מיפוי של גלאים ב-Security Health Analytics לאמצעי בקרה בענן.
כדי לראות את הממצאים שנוצרו על ידי הגרסה של Compliance Manager של הגלאים שהועברו, משתמשים בפקודה הבאה:
- הדף ממצאים
- הדף Compliance > הכרטיסייה Monitor
כדי לראות את הממצאים שנוצרו על ידי הגרסה של Security Health Analytics של גלאי התוכן שהועברו, משתמשים באפשרויות הבאות:
- בדף ממצאים, מסירים את המונח
launch_state="LAUNCH_STATE_DEPRECATED"מהשאילתה. - נקודות חולשה בגרסה הקודמת
הגלאים הבאים לא מועברים למסגרת Security Essentials ב-Compliance Manager:
MFA_NOT_ENFORCEDNON_ORG_IAM_MEMBEROPEN_GROUP_IAM_MEMBERPUBLIC_BUCKET_ACLPUBLIC_COMPUTE_IMAGEPUBLIC_LOG_BUCKET
אפשר להפעיל את גלאי האבטחה האלה בכרטיסייה הגדרות > Security Health Analytics > מודולים.
כדי לראות את הממצאים שנוצרו על ידי מזהי התוכן האלה של Security Health Analytics, משתמשים באפשרויות הבאות:
- הדף ממצאים
סקירת סיכונים > מרכז הבקרה כל הסיכונים:
- החלונית הגדרות שגויות נפוצות
- החלונית Misconfigurations by date
הממצאים שנוצרו על ידי מזהי התוכן האלה של Security Health Analytics לא מופיעים בדף תאימות.
תכונות של מסלול פרימיום
אם רמת הפרימיום הופעלה לאחרונה בארגון, כלומר הארגון לא עבר מיגרציה מרמת סטנדרט, לא ניתן להשתמש ב-Security Health Analytics ולא ניתן להפעיל אותה. בארגונים כאלה, אפשר להשתמש ב-Compliance Manager כדי לסרוק את הסביבה ולחפש הגדרות שגויות.
אם מתבצעת העברה ממסלול Standard למסלול Premium, הכלי Security Health Analytics כולל את התכונות הבאות:
- כל המזהים של Google Cloud, וגם מספר תכונות אחרות לזיהוי פגיעויות, כמו האפשרות ליצור מודולים מותאמים אישית לזיהוי.
- הממצאים ממופים לבקרות תאימות לצורך דיווח על תאימות. מידע נוסף זמין במאמר גלאים ותאימות.
- הסימולציות של נתיבי תקיפה ב-Security Command Center מחשבות את ציוני החשיפה לתקיפה ואת נתיבי התקיפה הפוטנציאליים עבור רוב הממצאים של Security Health Analytics. מידע נוסף זמין במאמר סקירה כללית של ציוני חשיפה להתקפות ונתיבי התקפה.
אם הארגון שלכם שודרג מרמת Standard לרמת Premium, תוכלו לקרוא מידע על השינויים ביכולות של כלי האבחון של Security Health Analytics במאמר בנושא מעבר בין רמות.
תכונות של רמת Enterprise
אם רמת Enterprise הופעלה לאחרונה בארגון, כלומר הארגון לא הועבר מרמת Standard, לא ניתן להשתמש ב-Security Health Analytics ולא ניתן להפעיל אותה. בארגונים כאלה, אפשר להשתמש ב-Compliance Manager כדי לסרוק את הסביבה ולחפש הגדרות שגויות.
אם הארגון שלכם שודרג מרמת Standard לרמת Enterprise, תוכלו לקרוא את המאמר מעבר בין רמות כדי לקבל מידע על קבוצת היכולות ששונתה של כלי הזיהוי של Security Health Analytics.
מעבר בין רמות
ב-Security Command Center במסלול Premium ובמסלולי Enterprise יש יותר גלאים מאשר במסלול Standard מדור קודם. אם אתם משתמשים בחבילת Premium או Enterprise ומתכננים לשדרג לחבילת Standard או Standard-legacy, מומלץ לפתור את כל הממצאים לפני שתשנו את החבילה.
כשמסתיים ניסיון ב-Premium או ב-Enterprise, או כשמבצעים שדרוג לאחור מאחת מהמהדורות האלה למהדורת Standard או למהדורת Standard מדור קודם, הסטטוס של הממצאים שנוצרו במהדורה הגבוהה יותר מוגדר ל-INACTIVE.
אם לארגון שלכם לא היה Security Command Center והוא הופעל אוטומטית ברמת Standard, ואז שדרגתם לרמת Premium או Enterprise, אתם יכולים להשתמש במסגרת Security Essentials ב-Compliance Manager כדי להגדיר את הזיהויים.
אם הארגון שלכם עבר למהדורת Standard ממהדורת Standard מדור קודם, ואז שדרגתם למהדורת Premium או Enterprise, Security Health Analytics נשאר מופעל באופן חלקי. אי אפשר להפעיל גלאים של Security Health Analytics ברמות Premium או Enterprise. כדי להגדיר את זיהוי הממצאים, צריך להשתמש במסגרות של Compliance Manager שזמינות בתוכניות Premium ו-Enterprise.
רוב הגלאים של Security Health Analytics ברמות Premium ו-Enterprise מועברים למסגרת Security Essentials ב-Compliance Manager.
מידע נוסף על מסגרות ועל אמצעי בקרה בענן ב-Compliance Manager זמין במאמר מסגרות ב-Compliance Manager.
מידע על המיפוי של גלאים ב-Security Health Analytics לאמצעי בקרה בענן ב-Compliance Manager זמין במאמר מיפוי של גלאים ב-Security Health Analytics לאמצעי בקרה בענן.
תמיכה במרובה עננים
הכלי Security Health Analytics יכול לזהות הגדרות שגויות בפריסות שלכם בפלטפורמות ענן אחרות.
Security Health Analytics תומך בספקי שירותי הענן הבאים:
Amazon Web Services (AWS): כדי להפעיל את אמצעי הזיהוי על נתונים ב-AWS, צריך קודם לחבר את Security Command Center ל-AWS, כמו שמתואר במאמר חיבור ל-AWS לצורך איסוף נתוני תצורה ומשאבים.
Microsoft Azure: כדי להריץ את אמצעי הזיהוי על נתונים ב-Microsoft Azure, צריך קודם לקשר את Security Command Center ל-Microsoft Azure, כמו שמתואר במאמר קישור ל-Microsoft Azure לצורך זיהוי פגיעויות והערכת סיכונים.
שירותי ענן נתמכים Google Cloud
הכלי Security Health Analytics מנהל סריקות להערכת פגיעויות ב- Google Cloud ויכול לזהות באופן אוטומטי פגיעויות נפוצות וטעויות בהגדרות בשירותים הבאים: Google Cloud
- Cloud Monitoring ו-Cloud Logging
- Compute Engine
- קונטיינרים ורשתות ב-Google Kubernetes Engine
- Cloud Storage
- Cloud SQL
- ניהול זהויות והרשאות גישה (IAM)
- Cloud Key Management Service (Cloud KMS)
סוגי סריקות ב-Security Health Analytics
סריקות של Security Health Analytics פועלות בשלושה מצבים:
סריקה באצווה: כל אמצעי הזיהוי מתוזמנים להפעלה מעת לעת בכל הארגונים או הפרויקטים שנרשמו.
מידע על תדירות הסריקות זמין במאמר בנושא השהיית סריקה ב-Security Health Analytics.
סריקה בזמן אמת: רק ב Google Cloud פריסות מגובות, גלאים נתמכים מתחילים סריקות בכל פעם שמזוהה שינוי בהגדרות של משאב. הממצאים נכתבים ב-Security Command Center. אין תמיכה בסריקות בזמן אמת בפריסות בפלטפורמות ענן אחרות.
מצב מעורב: יכול להיות שחלק מהגלאים שתומכים בסריקות בזמן אמת לא יזהו שינויים בזמן אמת בכל סוגי המשאבים הנתמכים. במקרים כאלה, שינויים בהגדרות של סוגי משאבים מסוימים מתועדים באופן מיידי, ושינויים בהגדרות של סוגי משאבים אחרים מתועדים בסריקות אצווה. חריגים מצוינים בטבלאות של הממצאים ב-Security Health Analytics.
Security Health Analytics סורק משאבים בפלטפורמות ענן אחרות רק במצב אצווה.
זמן האחזור של סריקת Security Health Analytics
בקטעים הבאים מוסבר כמה זמן חולף עד שהממצאים נוצרים בסריקה הראשונית, ומה התדירות של הסריקות הבאות.
סריקה ראשונית
במהדורות Premium ו-Enterprise, הסריקה הראשונית מתחילה כשעה אחרי הפעלת השירות. הסריקות הראשונות של Security Health Analytics יכולות להימשך עד 12 שעות.
במהדורות Standard ו-Standard-legacy של Security Command Center, הסריקות מופעלות כל 48 שעות, ולכן יכול להיות שיהיה עיכוב של 72 שעות עד שהממצא הראשוני יופיע.
יכול להיות שתראו ממצאים מסוימים במסוף Google Cloud בזמן הסריקות הראשוניות, אבל לפני השלמת תהליך ההצטרפות. הממצאים הראשוניים מדויקים וניתן לפעול לפיהם, אבל הם לא מקיפים. לא מומלץ להשתמש בממצאים האלה להערכת תאימות ב-24 השעות הראשונות.
סריקות נוספות
אחרי הסריקה הראשונית, הגילויים מופעלים מעת לעת במצב אצווה.
- במהדורות Premium ו-Enterprise, סריקות אצווה מופעלות מדי יום.
- במהדורות Standard ו-Standard-legacy, סריקות אצווה מופעלות כל 48 שעות.
גלאי יכול לפעול במצב אצווה, במצב בזמן אמת או במצב משולב. מידע נוסף על המצבים האלה זמין במאמר סוגי סריקות ב-Security Health Analytics.
בסריקה בזמן אמת, שינויים רלוונטיים בהגדרות המשאבים עשויים להוביל לממצאים מעודכנים. Google Cloud העדכון עשוי להימשך כמה דקות, בהתאם לסוג הנכס ולשינוי. יכול להיות שגלאי לא יתמוך בסריקה בזמן אמת אם הזיהוי מתבסס על מידע מחוץ להגדרות של משאב.
כדי לדעת אם גלאי תומך בסריקה בזמן אמת, אפשר לעיין בעמודה הגדרות סריקת נכסים של הגלאי בקטע הפניות לממצאים של Security Health Analytics במאמר ממצאים של פגיעויות.
הפעלת גלאי ב-Security Health Analytics
Security Health Analytics משתמש במזהים כדי לזהות נקודות חולשה והגדרות שגויות בסביבת הענן. כל גלאי מתאים לקטגוריית ממצאים.
ב-Security Health Analytics יש הרבה גלאים מובנים שבודקים פגיעויות וטעויות בהגדרות במגוון רחב של קטגוריות וסוגי משאבים.
במהדורות Premium ו-Enterprise, אפשר גם ליצור גלאים מותאמים אישית משלכם שיכולים לבדוק אם יש נקודות חולשה או הגדרות שגויות שלא נכללות בגלאים המובנים או שספציפיות לסביבה שלכם.
מידע נוסף על הגלאים המובנים של Security Health Analytics זמין במאמר גלאים מובנים של Security Health Analytics.
מידע נוסף על יצירה ושימוש במודולים מותאמים אישית זמין במאמר מודולים מותאמים אישית ב-Security Health Analytics.
הפעלה והשבתה של גלאים
לא כל הגלאים המובנים ב-Security Health Analytics מופעלים כברירת מחדל.
במאמר הפעלה והשבתה של אמצעי זיהוי מוסבר איך להפעיל אמצעי זיהוי מוטמעים לא פעילים.
כדי להפעיל או להשבית מודול זיהוי בהתאמה אישית ב-Security Health Analytics, אפשר לעדכן את המודול בהתאמה אישית באמצעות מסוף Google Cloud, ה-CLI של gcloud או Security Command Center API. Google Cloud
מידע נוסף על עדכון מודולים מותאמים אישית של Security Health Analytics זמין במאמר בנושא עדכון מודול מותאם אישית.
חיישנים מובנים והפעלות ברמת הפרויקט
כשמפעילים את Security Command Center רק לפרויקט מסוים, לא אפשרי גלאים מסוימים של Security Health Analytics כי הם דורשים הרשאות ברמת הארגון.
מבין הגלאים המובנים שנדרשת הפעלה ברמת הארגון כדי להשתמש בהם, אתם יכולים להפעיל את אלה שזמינים במסלול Standard-legacy של Security Command Center להפעלות ברמת הפרויקט, על ידי הפעלת המסלול Standard-legacy בארגון שלכם.
אין תמיכה בהפעלות ברמת הפרויקט של גלאים מובנים שנדרשים גם לרמת Premium וגם להרשאות ברמת הארגון.
רשימה של גלאים מובנים ברמה Standard-legacy שנדרשת הפעלה שלהם ברמת הארגון של Security Command Center Standard-legacy לפני שאפשר להשתמש בהם בהפעלה ברמת הפרויקט מופיעה במאמר קטגוריות של ממצאים ברמה Standard בארגון.
כאן אפשר לראות רשימה של גלאים מובנים ברמת Premium שלא נתמכים בהפעלות ברמת הפרויקט.
מזהים מותאמים אישית של מודולים והפעלות ברמת הפרויקט
הסריקות של גלאים של מודולים בהתאמה אישית שיוצרים בפרויקט מוגבלות להיקף הפרויקט, ללא קשר לרמת ההפעלה של Security Command Center. גלאים של מודולים בהתאמה אישית יכולים לסרוק רק את המשאבים שזמינים לפרויקט שבו הם נוצרו.
מידע נוסף על מודולים בהתאמה אישית זמין במאמר מודולים בהתאמה אישית ב-Security Health Analytics.
גלאים מובנים ב-Security Health Analytics
בקטע הזה מתוארות הקטגוריות ברמה הגבוהה של הגלאים, שמפורטות לפי פלטפורמת הענן וקטגוריית הממצאים שהם יוצרים.
מזהים מובנים לפי קטגוריה ברמה גבוהה Google Cloud
מזהי התוכן של Security Health Analytics עבור Google Cloud, והממצאים שהם יוצרים, מקובצים לקטגוריות הבאות ברמה גבוהה.
גלאי Security Health Analytics עוקבים אחרי קבוצת משנה של סוגי המשאבים שנתמכים על ידי מאגר משאבי ענן. Google Cloud
כדי לראות את הגלאים הספציפיים שכלולים בכל קטגוריה, לוחצים על שם הקטגוריה.
- ממצאים לגבי נקודות חולשה במפתח API
- ממצאים של פגיעויות בתמונות Compute
- ממצאים של נקודות חולשה במכונות של Compute
- ממצאי נקודות חולשה בקונטיינר
- ממצאים של נקודות חולשה ב-Managed Service for Apache Spark
- ממצאי נקודות חולשה בקבוצת נתונים
- ממצאי נקודות חולשה ב-DNS
- Firewall vulnerability findings
- ממצאי פגיעות ב-IAM
- ממצאים של נקודות חולשה ב-KMS
- רישום ביומן ממצאי פגיעות
- מעקב אחרי ממצאי פגיעות
- ממצאים לגבי פגיעות באימות רב-שלבי
- ממצאי נקודות חולשה ברשת
- ממצאי נקודות חולשה במדיניות הארגון
- ממצאי נקודות חולשה ב-Pub/Sub
- ממצאים של פגיעויות ב-SQL
- ממצאים של פגיעויות באחסון
- ממצאים לגבי נקודות חולשה בתת-רשת
גלאים מובנים ל-AWS
רשימה של כל הגלאים של Security Health Analytics ל-AWS זמינה במאמר בנושא ממצאים ב-AWS.
מודולים מותאמים אישית של Security Health Analytics
מודולים מותאמים אישית של Security Health Analytics הם גלאים מותאמים אישית ל-Google Cloud שמרחיבים את יכולות הזיהוי של Security Health Analytics מעבר לאלה שמסופקות על ידי הגלאים המובנים.
אין תמיכה במודולים בהתאמה אישית בפלטפורמות אחרות של ענן.
אפשר ליצור מודולים מותאמים אישית באמצעות תהליך העבודה המודרך במסוףGoogle Cloud , או ליצור את ההגדרה של המודול המותאם אישית בעצמכם בקובץ YAML ואז להעלות אותו ל-Security Command Center באמצעות פקודות Google Cloud CLI או Security Command Center API.
מידע נוסף זמין במאמר סקירה כללית של מודולים בהתאמה אישית ל-Security Health Analytics.
מזהים ותאימות
המדידה של Security Command Center לציות למדדי אבטחה מבוססת ברובה על הממצאים שנוצרו על ידי גלאי נקודות החולשה של Security Health Analytics.
הכלי Security Health Analytics עוקב אחרי התאימות שלכם לגלאים שממופים לאמצעי הבקרה של מגוון רחב של תקני אבטחה.
עבור כל תקן אבטחה נתמך, Security Health Analytics בודק קבוצת משנה של אמצעי הבקרה. במקרה של אמצעי הבקרה שנבדקו, ב-Security Command Center מוצג כמה מהם עברו את הבדיקה. במקרה של אמצעי בקרה שלא עומדים בדרישות, ב-Security Command Center מוצגת רשימת ממצאים שמתארים את הכשלים באמצעי הבקרה.
CIS בודק ומאשר את המיפויים של גלאי Security Health Analytics לכל גרסה נתמכת של CIS Google Cloud Foundations Benchmark. מיפויים נוספים לתאימות כלולים למטרות עיון בלבד.
Security Health Analytics מוסיף תמיכה בגרסאות חדשות של מדדים ותקנים מעת לעת. גרסאות ישנות יותר ממשיכות להיות נתמכות, אבל בסופו של דבר הן יוצאות משימוש. מומלץ להשתמש בנקודת ההשוואה הנתמכת או בתקן העדכניים ביותר שזמינים.
בעזרת שירות מצב האבטחה, אתם יכולים למפות את מדיניות הארגון ואת אמצעי הזיהוי של Security Health Analytics לתקנים ולאמצעי הבקרה שחלים על העסק שלכם. אחרי שיוצרים את מצב האבטחה, אפשר לעקוב אחרי שינויים בסביבה שיכולים להשפיע על התאימות של העסק.
בעזרת Compliance Manager, אפשר להטמיע מסגרות שממפות אמצעי בקרה רגולטוריים לאמצעי בקרה בענן. אחרי שיוצרים מסגרת, אפשר לעקוב אחרי שינויים בסביבה שעשויים להשפיע על התאימות של העסק ועל הביקורת של הסביבה.
מידע נוסף על ניהול התאימות זמין במאמר בנושא הערכה ודיווח על תאימות לתקני אבטחה.
תקני אבטחה נתמכים
Google Cloud
Security Health Analytics ממפה גלאים של Google Cloud לפחות לאחד מהתקנים הבאים לתאימות:
- Center for Information Security (CIS) Controls 8.0
- CIS Google Cloud Computing Foundations Benchmark גרסאות v2.0.0, v1.3.0, v1.2.0, v1.1.0 ו-v1.0.0
- CIS Kubernetes Benchmark v1.5.1
- Cloud Controls Matrix (CCM) 4
- Health Insurance Portability and Accountability Act (חוק היבילות ואחריות הדיווח של ביטוח בריאות, HIPAA)
- International Organization for Standardization (ISO) 27001, 2022 ו-2013
- National Institute of Standards and Technology (NIST) 800-53 R5 and R4
- National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) 1.0
- Open Web Application Security Project (OWASP) Top Ten, 2021 and 2017
- תקן אבטחת הנתונים בתחום כרטיסי התשלום (PCI DSS) גרסאות 4.0 ו-3.2.1
- System and Organization Controls (SOC) 2 2017 Trust Services Criteria (TSC)
AWS
במסגרת רמת השירות Enterprise, הכלי Security Health Analytics ממפה גלאים ל-Amazon Web Services (AWS) לאחד או יותר מהתקנים הבאים לתאימות:
- CIS Amazon Web Services Foundations 2.0.0
- CIS Critical Security Controls Version 8.0
- Cloud Controls Matrix (CCM) 4
- Health Insurance Portability and Accountability Act (חוק היבילות ואחריות הדיווח של ביטוח בריאות, HIPAA)
- International Organization for Standardization (ISO) 27001, 2022
- National Institute of Standards and Technology (NIST) 800-53 R5
- National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) 1.0
- תקן אבטחת הנתונים בתחום כרטיסי התשלום (PCI DSS) 4.0 ו-3.2.1
- System and Organization Controls (SOC) 2 2017 Trusted Services Criteria (TSC)
מידע נוסף על תאימות זמין במאמר בנושא הערכה ודיווח על תאימות למדדי אבטחה.