O Security Health Analytics é um serviço gerido do Security Command Center que analisa os seus ambientes de nuvem para encontrar configurações incorretas comuns que podem expô-lo a ataques.
A análise do estado de segurança é ativada automaticamente quando ativa o Security Command Center.
Funcionalidades de análise do estado de segurança por nível
As funcionalidades do Security Health Analytics disponíveis para si variam consoante o nível de serviço no qual o Security Command Center está ativado. Pode ver que resultados estão disponíveis com que níveis em Resultados do Security Health Analytics.
Funcionalidades do nível Standard
No nível Standard, o Security Health Analytics só pode detetar um grupo básico de vulnerabilidades de gravidade média e elevada.
Funcionalidades do nível premium
O nível Premium inclui as seguintes funcionalidades:
- Todos os detetores para Google Cloud, bem como várias outras funcionalidades de deteção de vulnerabilidades, como a capacidade de criar módulos de deteção personalizados.
- As conclusões são mapeadas para controlos de conformidade para relatórios de conformidade. Para mais informações, consulte o artigo Detetores e conformidade.
- As simulações de caminhos de ataque do Security Command Center calculam as pontuações de exposição a ataques e os potenciais caminhos de ataque para a maioria das conclusões da Análise de integridade de segurança. Para mais informações, consulte o artigo Vista geral das pontuações de exposição a ataques e dos caminhos de ataque.
Funcionalidades do nível empresarial
O nível Enterprise inclui todas as funcionalidades do nível Premium, bem como detetores para outras plataformas de fornecedores de serviços na nuvem.
Mudar de nível
A maioria dos detetores de estatísticas de estado de segurança só está disponível no nível Premium e no nível Enterprise do Security Command Center. Se estiver a usar o nível Premium ou Enterprise e planear mudar para o nível Standard, recomendamos que resolva todas as conclusões antes de alterar o nível.
Quando uma avaliação do Premium ou Enterprise termina, ou quando altera para o nível Standard a partir do nível Premium ou Enterprise, o estado das conclusões geradas no nível superior é definido como INACTIVE.
Suporte de várias nuvens
O Security Health Analytics pode detetar configurações incorretas nas suas implementações noutras plataformas na nuvem.
O Security Health Analytics suporta os seguintes outros fornecedores de serviços na nuvem:
Amazon Web Services (AWS): para executar os detetores em dados da AWS, primeiro tem de associar o Security Command Center à AWS, conforme descrito no artigo Associe-se à AWS para a configuração e a recolha de dados de recursos.
Microsoft Azure: para executar os detetores em dados do Microsoft Azure, primeiro tem de ligar o Security Command Center ao Microsoft Azure, conforme descrito no artigo Ligue-se ao Microsoft Azure para deteção de vulnerabilidades e avaliação de riscos.
Serviços na nuvem Google Cloud compatíveis
A análise de vulnerabilidades gerida do Security Health Analytics para Google Cloud pode detetar automaticamente vulnerabilidades e erros de configuração comuns nos seguintes serviços Google Cloud :
- Cloud Monitoring e Cloud Logging
- Compute Engine
- Contentores e redes do Google Kubernetes Engine
- Cloud Storage
- Cloud SQL
- Gestão de identidade e de acesso (IAM)
- Cloud Key Management Service (Cloud KMS)
- Cloud DNS
Tipos de análises do Security Health Analytics
As análises do Security Health Analytics são executadas em três modos:
Análise em lote: todos os detetores estão programados para serem executados para todas as organizações ou projetos inscritos uma vez por dia.
Análise em tempo real: apenas para Google Cloud implementações, os detetores suportados iniciam análises sempre que é detetada uma alteração na configuração de um recurso. As conclusões são escritas no Security Command Center. As análises em tempo real não são suportadas para implementações noutras plataformas na nuvem.
Modo misto: alguns detetores que suportam análises em tempo real podem não detetar alterações em tempo real para todos os tipos de recursos suportados. Nesses casos, as alterações de configuração de alguns tipos de recursos são captadas imediatamente e outras são captadas em verificações em lote. As exceções são indicadas nas tabelas de resultados da análise de estado de segurança.
Detetores de análise de estado de segurança
O Security Health Analytics usa detetores para identificar vulnerabilidades e configurações incorretas no seu ambiente de nuvem. Cada detetor corresponde a uma categoria de constatação.
O Security Health Analytics inclui muitos detetores incorporados que verificam vulnerabilidades e configurações incorretas num grande número de categorias e tipos de recursos.
Também pode criar os seus próprios detetores personalizados que podem verificar vulnerabilidades ou configurações incorretas que não são abrangidas pelos detetores incorporados ou que são específicas do seu ambiente.
Para mais informações sobre os detetores do Security Health Analytics incorporados, consulte o artigo Detetores incorporados do Security Health Analytics.
Para mais informações sobre a criação e a utilização de módulos personalizados, consulte o artigo Módulos personalizados do Security Health Analytics.
Ativação de detetores
Nem todos os detetores incorporados do Security Health Analytics para Google Cloud estão ativados por predefinição.
Se estiver a usar o nível Enterprise com suporte para várias nuvens, todos os detetores para a AWS estão ativados por predefinição.
Para ativar os detetores incorporados inativos, consulte o artigo Ative e desative detetores.
Para ativar ou desativar um módulo de deteção personalizado do Security Health Analytics, pode atualizar o módulo personalizado através da Google Cloud consola, da CLI gcloud ou da API Security Command Center.
Para mais informações sobre a atualização de módulos personalizados do Security Health Analytics, consulte o artigo Atualize um módulo personalizado.
Suporte do detetor com ativações ao nível do projeto
Com os níveis Standard e Premium, pode ativar o Security Command Center para uma organização inteira ou para um ou mais projetos numa organização.
O nível empresarial não suporta ativações ao nível do projeto.
Detetores incorporados e ativações ao nível do projeto
Quando ativa o Security Command Center apenas para um projeto, determinados detetores do Security Health Analytics incorporados não são suportados porque requerem autorizações ao nível da organização.
Dos detetores incorporados que requerem uma ativação ao nível da organização, pode ativar os que estão disponíveis com o nível Standard do Security Command Center para ativações ao nível do projeto ativando o nível Standard para a sua organização, que é gratuito.
Os detetores incorporados que requerem o nível Premium e autorizações ao nível da organização não são suportados com ativações ao nível do projeto.
Para ver uma lista dos detetores de nível padrão integrados que requerem uma ativação do Security Command Center Standard ao nível da organização antes de poderem ser usados com uma ativação ao nível do projeto, consulte Categorias de resultados de nível padrão ao nível da organização.
Para ver uma lista dos detetores de nível Premium incorporados que não são suportados com ativações ao nível do projeto, consulte Resultados não suportados do Security Health Analytics.
Detetores de módulos personalizados e ativações ao nível do projeto
As análises de detetores de módulos personalizados que criar num projeto estão limitadas ao âmbito do projeto, independentemente do nível de ativação do Security Command Center. Os detetores de módulos personalizados só podem analisar os recursos que estão disponíveis para o projeto no qual são criados.
Para mais informações sobre módulos personalizados, consulte o artigo Módulos personalizados do Security Health Analytics.
Detetores incorporados da análise de saúde da segurança
Esta secção descreve as categorias de nível superior dos detetores, apresentadas por plataforma na nuvem e a categoria de deteção que geram.
Detetores incorporados Google Cloud por categoria de nível elevado
Os detetores do Security Health Analytics para Google Cloude as conclusões que geram estão agrupados nas seguintes categorias de alto nível.
Os detetores do Security Health Analytics monitorizam um subconjunto dos Google Cloud tipos de recursos suportados pelo Cloud Asset Inventory.
Para ver os detetores individuais incluídos em cada categoria, clique no nome da categoria.
- Resultados de vulnerabilidades da chave da API
- Calcule as conclusões de vulnerabilidades de imagens
- Resultados de vulnerabilidades de instâncias do Compute
- Resultados de vulnerabilidades do contentor
- Resultados de vulnerabilidades do Dataproc
- Resultados de vulnerabilidades do conjunto de dados
- Resultados de vulnerabilidades de DNS
- Resultados de vulnerabilidades da firewall
- Resultados de vulnerabilidades do IAM
- Resultados de vulnerabilidades do KMS
- Registo de resultados de vulnerabilidades
- Monitorizar resultados de vulnerabilidades
- Resultados de vulnerabilidades de autenticação multifator
- Resultados de vulnerabilidades da rede
- Resultados de vulnerabilidades de políticas da organização
- Resultados de vulnerabilidades do Pub/Sub
- Resultados de vulnerabilidades SQL
- Resultados de vulnerabilidades de armazenamento
- Resultados de vulnerabilidades da sub-rede
Detetores incorporados para AWS
Para ver uma lista de todos os detetores do Security Health Analytics para a AWS, consulte os resultados da AWS.
Módulos personalizados do Security Health Analytics
Os módulos personalizados do Security Health Analytics são detetores personalizados que Google Cloud ampliam as capacidades de deteção do Security Health Analytics para além das fornecidas pelos detetores incorporados.
Os módulos personalizados não são suportados para outras plataformas na nuvem.
Pode criar módulos personalizados através do fluxo de trabalho guiado na Google Cloud consola ou criar a definição do módulo personalizado num ficheiro YAML e, em seguida, carregá-lo para o Security Command Center através de comandos da CLI Google Cloud ou da API Security Command Center.
Para mais informações, consulte o artigo Vista geral dos módulos personalizados para o Security Health Analytics.
Detetores e conformidade
A medição da conformidade com as referências de segurança do Security Command Center baseia-se, em grande parte, nas conclusões produzidas pelos detetores de vulnerabilidades do Security Health Analytics.
O Security Health Analytics monitoriza a sua conformidade com detetores mapeados para os controlos de uma grande variedade de normas de segurança.
Para cada norma de segurança suportada, a análise de segurança do estado de funcionamento verifica um subconjunto dos controlos. Para os controlos selecionados, o Security Command Center mostra quantos estão a ser aprovados. Para os controlos que não estão a ser aprovados, o Security Command Center mostra uma lista de resultados que descrevem as falhas de controlo.
A CIS revê e certifica os mapeamentos dos detetores do Security Health Analytics para cada versão suportada da CIS Google Cloud Foundations Benchmark. Os mapeamentos de conformidade adicionais são incluídos apenas para fins de referência.
O Security Health Analytics adiciona periodicamente suporte para novas versões de testes de referência e normas. As versões mais antigas continuam a ser suportadas, mas acabam por ser descontinuadas. Recomendamos que use a referência suportada mais recente ou o padrão disponível.
Com o serviço de postura de segurança, pode mapear as políticas organizacionais e os detetores do Security Health Analytics para as normas e os controlos que se aplicam à sua empresa. Depois de criar uma postura de segurança, pode monitorizar quaisquer alterações ao ambiente que possam afetar a conformidade da sua empresa.
Com o Gestor de conformidade (pré-visualização), pode implementar frameworks que mapeiam os controlos regulamentares para os controlos da nuvem. Depois de criar uma estrutura, pode monitorizar quaisquer alterações ao ambiente que possam afetar a conformidade da sua empresa e auditar o seu ambiente.
Para mais informações sobre a gestão da conformidade, consulte o artigo Avalie e comunique a conformidade com as normas de segurança.
Normas de segurança suportadas
Google Cloud
Security Health Analytics mapeia os detetores para um ou mais dos seguintes padrões de conformidade: Google Cloud
- Controlos do Center for Information Security (CIS) 8.0
- CIS Google Cloud Computing Foundations Benchmark v2.0.0, v1.3.0, v1.2.0, v1.1.0 e v1.0.0
- CIS Kubernetes Benchmark v1.5.1
- Matriz de controlos na nuvem (CCM) 4
- Lei de Portabilidade e Responsabilidade dos Seguros de Saúde (HIPAA)
- Organização Internacional de Normalização (ISO) 27001, 2022 e 2013
- National Institute of Standards and Technology (NIST) 800-53 R5 e R4
- Framework de cibersegurança (CSF) 1.0 do Instituto Nacional de Padrões e Tecnologia (NIST)
- Os dez principais do Projeto Aberto de Segurança em Apps Web (OWASP), 2021 e 2017
- Norma de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) 4.0 e 3.2.1
- Controlos de sistemas e organizações (SOC) 2 Critérios de serviços fidedignos (TSC) de 2017
AWS
O Security Health Analytics mapeia os detetores do Amazon Web Services (AWS) para um ou mais dos seguintes padrões de conformidade:
- CIS Amazon Web Services Foundations 2.0.0
- CIS Critical Security Controls versão 8.0
- Cloud Controls Matrix (CCM) 4
- Lei de Portabilidade e Responsabilidade dos Seguros de Saúde (HIPAA)
- International Organization for Standardization (ISO) 27001, 2022
- National Institute of Standards and Technology (NIST) 800-53 R5
- Instituto Nacional de Padrões e Tecnologia (NIST) Framework de cibersegurança (CSF) 1.0
- Norma de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) 4.0 e 3.2.1
- Controlos de sistemas e organizações (SOC) 2 Critérios de serviços fidedignos (TSC) de 2017
Para mais informações sobre a conformidade, consulte o artigo Avalie e comunique a conformidade com as referências de segurança.