arrow_back

Faites vos premiers pas avec Security Command Center

Se connecter Rejoindre
Quick tip: Review the prerequisites before you run the lab
Use an Incognito or private browser window to run this lab. This prevents any conflicts between your personal account and the student account, which may cause extra charges incurred to your personal account.
Testez vos connaissances et partagez-les avec notre communauté
done
Accédez à plus de 700 ateliers pratiques, badges de compétence et cours

Faites vos premiers pas avec Security Command Center

Atelier 1 heure universal_currency_alt 1 crédit show_chart Débutant
info Cet atelier peut intégrer des outils d'IA pour vous accompagner dans votre apprentissage.
Testez vos connaissances et partagez-les avec notre communauté
done
Accédez à plus de 700 ateliers pratiques, badges de compétence et cours

GSP1124

Logo des ateliers d'auto-formation Google Cloud

Présentation

Security Command Center (SCC) est une plate-forme de surveillance de la sécurité qui aide les utilisateurs à :

  • identifier les erreurs de configuration qui peuvent compromettre la sécurité des ressources Google Cloud ;
  • rendre compte des menaces actives dans les environnements Google Cloud ;
  • corriger les failles affectant les ressources Google Cloud.

Dans cet atelier, vous allez faire vos premiers pas avec Security Command Center en explorant l'interface du service, les configurations et les failles identifiées.

Objectifs

Dans cet atelier, vous allez apprendre à effectuer les tâches suivantes :

  • Explorer les éléments de l'interface de SCC
  • Configurer les paramètres SCC au niveau du projet
  • Analyser et corriger les failles identifiées par SCC

Prérequis

Avant de commencer cet atelier, il est recommandé, mais pas obligatoire, de maîtriser les éléments suivants :

Préparation

Avant de cliquer sur le bouton "Démarrer l'atelier"

Lisez ces instructions. Les ateliers sont minutés, et vous ne pouvez pas les mettre en pause. Le minuteur, qui démarre lorsque vous cliquez sur Démarrer l'atelier, indique combien de temps les ressources Google Cloud resteront accessibles.

Cet atelier pratique vous permet de suivre vous-même les activités dans un véritable environnement cloud, et non dans un environnement de simulation ou de démonstration. Nous vous fournissons des identifiants temporaires pour vous connecter à Google Cloud le temps de l'atelier.

Pour réaliser cet atelier :

  • vous devez avoir accès à un navigateur Internet standard (nous vous recommandons d'utiliser Chrome) ;
Remarque : Ouvrez une fenêtre de navigateur en mode incognito/navigation privée pour effectuer cet atelier. Vous éviterez ainsi les conflits entre votre compte personnel et le temporaire étudiant, qui pourraient entraîner des frais supplémentaires facturés sur votre compte personnel.
  • vous disposez d'un temps limité ; une fois l'atelier commencé, vous ne pouvez pas le mettre en pause.
Remarque : Si vous possédez déjà votre propre compte ou projet Google Cloud, veillez à ne pas l'utiliser pour réaliser cet atelier afin d'éviter que des frais supplémentaires ne vous soient facturés.

Démarrer l'atelier et se connecter à la console Google Cloud

  1. Cliquez sur le bouton Démarrer l'atelier. Si l'atelier est payant, un pop-up s'affiche pour vous permettre de sélectionner un mode de paiement. Sur la gauche, vous trouverez le panneau Détails concernant l'atelier, qui contient les éléments suivants :

    • Le bouton Ouvrir la console Google Cloud
    • Le temps restant
    • Les identifiants temporaires que vous devez utiliser pour cet atelier
    • Des informations complémentaires vous permettant d'effectuer l'atelier

  2. Cliquez sur Ouvrir la console Google Cloud (ou effectuez un clic droit et sélectionnez Ouvrir le lien dans la fenêtre de navigation privée si vous utilisez le navigateur Chrome).

    L'atelier lance les ressources, puis ouvre la page Se connecter dans un nouvel onglet.

    Conseil : Réorganisez les onglets dans des fenêtres distinctes, placées côte à côte.

    Remarque : Si la boîte de dialogue Sélectionner un compte s'affiche, cliquez sur Utiliser un autre compte.

  3. Si nécessaire, copiez le nom d'utilisateur ci-dessous et collez-le dans la boîte de dialogue Se connecter.

    {{{user_0.username | "Username"}}}

    Vous trouverez également le nom d'utilisateur dans le panneau Détails concernant l'atelier.

  4. Cliquez sur Suivant.

  5. Copiez le mot de passe ci-dessous et collez-le dans la boîte de dialogue Bienvenue.

    {{{user_0.password | "Password"}}}

    Vous trouverez également le mot de passe dans le panneau Détails concernant l'atelier.

  6. Cliquez sur Suivant.

    Important : Vous devez utiliser les identifiants fournis pour l'atelier. Ne saisissez pas ceux de votre compte Google Cloud. Remarque : Si vous utilisez votre propre compte Google Cloud pour cet atelier, des frais supplémentaires peuvent vous être facturés.

  7. Accédez aux pages suivantes :

    • Acceptez les conditions d'utilisation.
    • N'ajoutez pas d'options de récupération ni d'authentification à deux facteurs (ce compte est temporaire).
    • Ne vous inscrivez pas à des essais gratuits.

Après quelques instants, la console Cloud s'ouvre dans cet onglet.

Remarque : Pour afficher un menu contenant la liste des produits et services Google Cloud, cliquez sur le menu de navigation en haut à gauche. Icône du menu de navigation

Activer Cloud Shell

Cloud Shell est une machine virtuelle qui contient de nombreux outils pour les développeurs. Elle comprend un répertoire d'accueil persistant de 5 Go et s'exécute sur Google Cloud. Cloud Shell vous permet d'accéder via une ligne de commande à vos ressources Google Cloud.

  1. Cliquez sur Activer Cloud Shell Icône Activer Cloud Shell en haut de la console Google Cloud.

Une fois connecté, vous êtes en principe authentifié et le projet est défini sur votre ID_PROJET. Le résultat contient une ligne qui déclare YOUR_PROJECT_ID (VOTRE_ID_PROJET) pour cette session :

Your Cloud Platform project in this session is set to YOUR_PROJECT_ID

gcloud est l'outil de ligne de commande pour Google Cloud. Il est préinstallé sur Cloud Shell et permet la complétion par tabulation.

  1. (Facultatif) Vous pouvez lister les noms des comptes actifs à l'aide de cette commande :
gcloud auth list

  1. Cliquez sur Autoriser.

  2. Vous devez à présent obtenir le résultat suivant :

Résultat :

ACTIVE: * ACCOUNT: student-01-xxxxxxxxxxxx@qwiklabs.net To set the active account, run: $ gcloud config set account `ACCOUNT`
  1. (Facultatif) Vous pouvez lister les ID de projet à l'aide de cette commande :
gcloud config list project

Résultat :

[core] project = <ID_Projet>

Exemple de résultat :

[core] project = qwiklabs-gcp-44776a13dea667a6 Remarque : Pour consulter la documentation complète sur gcloud, dans Google Cloud, accédez au guide de présentation de la gcloud CLI.

Scénario

5ce916afc496a60c.jpeg


Cymbal Bank est une banque de détail américaine comptant plus de 2 000 agences partout aux États-Unis. Elle propose des services de débit et de crédit adossés à une plateforme de paiement robuste. Cymbal Bank est une banque ancienne qui a désormais entamé sa transformation numérique.

Cymbal Bank a été créée initialement en 1920 sous le nom de Troxler. Après avoir investi massivement dans ses distributeurs automatiques propriétaires, Cymbal Group a acquis l'entreprise en 1975. Devenu l'un des leaders du secteur à l'échelle nationale, l'établissement mise à présent sur la modernisation de l'expérience client : une stratégie déployée tant au sein de ses agences qu'à travers ses services numériques, via une application lancée en 2014. Cymbal Bank emploie 42 000 personnes aux États-Unis et a enregistré un chiffre d'affaires de 24 milliards de dollars en 2019.

Cymbal Bank souhaite intégrer une plate-forme centralisée de surveillance de la sécurité pour contrôler les menaces et corriger les failles des ressources Google Cloud dans ses applications bancaires destinées aux entreprises. En tant qu'ingénieur en sécurité cloud, vous devez vous familiariser avec les fonctionnalités de pointe de Security Command Center afin de pouvoir présenter les avantages du service au directeur de la technologie.

Tâche 1 : Explorer les éléments de l'interface de SCC

Dans cette tâche, vous allez explorer l'interface de Security Command Center (SCC) pour découvrir les principales fonctionnalités du service.

  1. Dans la console Cloud, accédez au menu de navigation (Icône du menu de navigation), puis sélectionnez Sécurité > Aperçu des risques.
Remarque : Si un message vous demandant de créer une organisation s'affiche, actualisez simplement le navigateur.
  1. Sur la page Aperçu des risques, faites défiler l'écran vers le bas et examinez les panneaux d'information intitulés Nouvelles menaces au fil du temps et Failles par type de ressource.

Les menaces et les failles sont deux types de classes de résultats que SCC utilise pour catégoriser et signaler les problèmes de sécurité détectés dans votre environnement. Pour en savoir plus, consultez la documentation sur les classes de résultats.

  • La classe Menaces informe les utilisateurs Google Cloud des activités suspectes en cours dans leur environnement Google Cloud, comme lorsqu'un compte de service vérifie ses propres autorisations.
  • La classe Failles fournit des informations sur les erreurs de configuration ou les failles des ressources, telles qu'un port TCP ouvert ou une bibliothèque obsolète exécutée sur une machine virtuelle.

Un résultat est un enregistrement généré par SCC, qui présente des données détaillées sur les failles ou les menaces dans le tableau de bord de Security Command Center.

  1. Dans la fiche Nouvelles menaces au fil du temps, cliquez sur l'onglet Résultats par type de ressource.

Cette fiche énumère les menaces actuellement actives qui ont été détectées dans votre projet au cours de la période indiquée par le menu déroulant "Période" sur la droite de ce panneau d'information.

Remarque : Dans cette instance de l'atelier, le nombre de menaces est égal à zéro, car le projet Google Cloud en bac à sable que vous utilisez n'a jamais fait l'objet d'attaque. Vous découvrirez comment vous protéger contre les menaces dans un autre atelier intitulé Détecter et examiner les menaces avec Security Command Center.

Par défaut, le menu déroulant "Période" affiche toutes les menaces apparues au cours des sept derniers jours, mais vous pouvez sélectionner une période correspondant aux 180 derniers jours.

  1. Dans le sélecteur Période, sélectionnez 180 derniers jours.
  2. Faites défiler l'écran jusqu'à la fiche Failles par type de ressource.
Failles actives au cours des 180 derniers jours

Environ 80 failles actives doivent s'afficher.

La plupart de ces résultats sont générés parce que vous utilisez dans cet atelier un réseau VPC par défaut, dont la conception n'est pas sécurisée. Par exemple, ce réseau contient des règles de pare-feu qui autorisent les accès SSH et RDP depuis n'importe quelle adresse IP.

  1. À présent, faites défiler l'écran vers le bas jusqu'à la fiche Failles actives.

  2. S'il n'est pas sélectionné par défaut, cliquez sur l'onglet Résultats par catégorie.

Il affiche les failles de votre environnement, classées par catégories et par niveau de gravité. La gravité est une propriété du résultat qui permet d'estimer le risque potentiel qu'un problème représente pour l'environnement Google Cloud.

Vous ne pouvez pas modifier le niveau de gravité, qui est prédéterminé par SCC pour chaque type de résultat. Voici la liste des différents niveaux de gravité, illustrés par des exemples courants :

  • Critique : par exemple, une session de shell inversé a été lancée depuis un pod GKE.
  • Élevé : par exemple, un port SSH a été ouvert à l'ensemble du réseau Internet (0.0.0.0/0).
  • Moyen : par exemple, un des rôles IAM primitifs (Propriétaire/Éditeur/Lecteur) a été attribué à un utilisateur ou un compte de service.
  • Faible : par exemple, aucun journal de flux VPC n'est collecté.
  • Non spécifié : ce type de résultat peut s'afficher dans SCC, mais n'est pas courant.

Les critères détaillés sur la base desquels SCC détermine la gravité d'un résultat sont décrits à la page Identifier les niveaux de gravité.

Remarque : Notez que le niveau de gravité des résultats concernant les ports RDP et SSH ouverts est élevé.
  1. À présent, cliquez sur l'onglet Résultats par type de ressource. Il affiche les failles, classées en fonction des types de ressources Google Cloud disponibles.
Remarque : Comme ce projet utilise un réseau VPC par défaut, la plupart des résultats sont liés aux composants du réseau comme un pare-feu ou un sous-réseau.
  1. Enfin, cliquez sur l'onglet Résultats par projet. Cet onglet est destiné à être utilisé avec SCC au niveau d'un nœud racine (dossier ou organisation).
Remarque : Étant donné que nous n'avons accès qu'à un seul projet dans notre atelier, cet onglet ne contient que le nom du projet actuel.
  1. Dans le portail Sécurité, auquel vous accédez en sélectionnant Sécurité dans le menu de navigation (Icône du menu de navigation), vous pouvez voir différents onglets sous l'en-tête Security Command Center. Voici une description de chacun d'eux.
Section de SCC Description
Aperçu des risques Cet onglet affiche les failles de votre environnement, classées par catégorie et par niveau de gravité.
Menaces Cet onglet vous donne un aperçu des résultats classés comme des menaces dans SCC. Il peut par exemple s'agir d'une tentative d'attaque par force brute SSH (Brute Force: SSH) ayant abouti, d'un logiciel de minage de cryptomonnaie s'exécutant sur des ressources de calcul (Execution: Cryptocurrency Mining YARA Rule) ou d'une session de shell inversé (Reverse Shell) ayant été lancée depuis un conteneur GKE.
Failles Cet onglet vous donne un aperçu de toutes les erreurs de configuration ou failles logicielles qui peuvent exister dans le champ d'application actuel (que ce soit dans votre projet, votre dossier ou votre organisation). Il vous permet de contrôler précisément les failles et d'analyser en détail chacune d'elles. Il peut par exemple s'agir d'un port MySQL ouvert à l'ensemble du réseau Internet, de l'utilisation de l'un des rôles primitifs (par exemple quand le rôle Propriétaire/Éditeur/Lecteur est attribué à un utilisateur ou à un compte de service), ou d'une page ou application Web vulnérable aux attaques XSS.
Conformité Cet onglet fournit des informations sur la compatibilité de votre projet avec les normes de conformité les plus importantes comme CIS, PCI DSS ou NIST 800-53.
Ressources Cet onglet contient des informations sur l'inventaire des éléments cloud, qui surveille en permanence les ressources de votre environnement cloud.
Résultats Cet onglet vous permet d'explorer tous les résultats disponibles dans la base de données SCC.
Sources Cet onglet détaille les modules logiciels qui analysent la configuration des ressources Google Cloud et surveillent les activités en cours en lisant les fichiers journaux et en vérifiant les processus en cours d'exécution.
Gestion des stratégies Cet onglet vous permet d'utiliser le service de stratégie de sécurité dans SCC. Pour en savoir plus, consultez le guide Gérer une stratégie de sécurité.

Tâche 2 : Configurer les paramètres SCC au niveau du projet

Dans cette tâche, vous allez découvrir comment configurer les paramètres SCC au niveau du projet.

  1. En haut à droite de la page Aperçu des risques, cliquez sur Paramètres.

  2. Assurez-vous que vous êtes bien dans l'onglet Services.

Cet onglet vous permet de définir les paramètres des services intégrés de SCC (également appelés "sources") qui sont le "cerveau de SCC", comme vous l'avez vu dans la tâche précédente. Dans cet atelier, les termes services et sources sont interchangeables.

Les services détectent les menaces et les failles, et fournissent des informations à SCC. La plupart d'entre eux ne sont disponibles que dans l'édition Premium de SCC, que vous utilisez dans cet atelier.

Les services intégrés suivants sont configurables :

  • Security Health Analytics (SHA) : ce service recherche et signale les erreurs de configuration des ressources (journaux désactivés, autorisations IAM supplémentaires, services exposés publiquement). Il est actuellement activé dans notre projet, ce qui nous a permis de détecter 76 failles.
  • Web Security Scanner (WSS) : ce service analyse les applications Web accessibles publiquement et exposées via des adresses IP externes, puis recherche les failles du Top 10 de l'OWASP.
  • Container Threat Detection (CTD) : ce service détecte les attaques les plus courantes visant l'environnement d'exécution des conteneurs dans Container-Optimized OS.
  • Event Threat Detection (ETD) : ce service procède à une analyse des menaces basée sur les journaux. Il surveille en permanence les journaux Google Cloud et Google Workspace pour détecter les menaces.
  • Virtual Machine Threat Detection : ce service analyse la mémoire des instances de VM au niveau d'un hyperviseur et peut détecter des activités suspectes affectant la mémoire des VM. Il peut s'agir, par exemple, de kernel modules inattendus ou de l'exécution d'un logiciel de minage de cryptomonnaie.

  1. Cliquez sur le lien Gérer les paramètres pour Security Health Analytics.

  2. Cliquez sur l'onglet Modules.

Les modules sont des unités prédéfinies ou personnalisées de la logique de détection. Comme vous pouvez le constater, SCC propose de nombreux types de modules qui peuvent vous aider à détecter différentes erreurs de configuration des ressources. SCC facilite l'activation et la désactivation des différents types de modules en fonction de votre stratégie de sécurité et des ressources que vous souhaitez surveiller.

  1. Dans le champ de filtre, saisissez VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED, puis appuyez sur Entrée.

  2. Sélectionnez Activer dans le menu déroulant État.

Lorsque ce module est activé, Security Health Analytics vérifie si la propriété enableFlowLogs des sous-réseaux VPC est manquante ou définie sur "false".

Remarque : Vous devrez patienter quelques instants avant que SCC ne commence à analyser les ressources à l'aide du module que vous venez d'activer.

Maintenant que vous connaissez les différents services de Security Command Center et que vous savez les configurer, vous allez pouvoir découvrir comment utiliser SCC pour identifier et corriger une faille.

Tâche 3 : Analyser et corriger les failles identifiées par SCC

Dans cette tâche, vous allez apprendre à gérer les failles identifiées et à limiter les risques associés.

Marquer un résultat comme INACTIF pour modifier son état

  1. Dans le menu de navigation (Icône du menu de navigation), sélectionnez Sécurité > Aperçu des risques.
  2. Dans le menu de gauche, cliquez sur l'onglet Résultats.
  3. En haut à droite, définissez le sélecteur Période sur Depuis le début.

  1. En haut à gauche de l'écran, recherchez la fenêtre Aperçu de la requête qui contient un filtre permettant de trier tous les résultats disponibles.

Par défaut, l'onglet Résultats affiche les résultats non ignorés dont l'état est ACTIF.

Les propriétés state et mute de chaque résultat définissent sa visibilité dans de nombreux filtres utilisés par SCC.

  • L'analyste de la sécurité peut définir la valeur mute pour les résultats. Elle peut aussi être définie automatiquement si l'analyste ne souhaite pas afficher les résultats non pertinents ou bruités dans l'interface de SCC.
  • La propriété state indique si un résultat requiert votre attention et n'a pas encore été examiné, ou s'il a été corrigé ou traité et n'est plus actif.

Il est recommandé d'utiliser la propriété mute pour gérer le cycle de vie des résultats et les masquer. Les modifications de la propriété state sont généralement gérées par les sources logicielles.

  1. Dans la fiche Filtres rapides, cochez la case associée à la catégorie Réseau par défaut.

  1. Notez que la chaîne de requête figurant dans l'aperçu de la requête a changé (le filtre AND category="DEFAULT_NETWORK" lui est maintenant associé).

  2. Dans la section Résultats de la requête de résultat, cochez la case associée à Réseau par défaut, puis sélectionnez Autres actions (Icône Autres actions> Modifier l'état de l'activité.

  3. Définissez l'état de ce résultat sur Inactif.

Le résultat a été désactivé et masqué. En effet, par défaut, seuls les résultats actifs et non ignorés sont affichés.

Filtrer les résultats en appliquant une requête

  1. Vous pouvez réinitialiser l'onglet Résultats. Pour ce faire, sélectionnez Aperçu des risques, puis Résultats sous l'en-tête SCC.

  1. Cliquez sur le bouton Modifier la requête.

  2. Dans l'éditeur de requête, modifiez la chaîne de requête en définissant category="DEFAULT_NETWORK".

  3. Une fois la modification effectuée, cliquez sur le bouton Appliquer.

    La prise en compte de la modification peut prendre une ou deux minutes. Vous ne verrez ensuite qu'un seul résultat pour Réseau par défaut.

Dans le menu de gauche, sous Filtres rapides, vous pouvez voir que la case Afficher les éléments inactifs est cochée. SCC vous permet de rechercher les résultats actifs et inactifs. Vous pouvez maintenant rétablir l'état de ce résultat.

  1. Dans la section Résultats de la requête de résultat, cochez la case associée à Réseau par défaut, puis sélectionnez Autres actions (Icône Autres actions> Modifier l'état de l'activité.

  2. Définissez l'état de ce résultat sur Actif.

Les résultats peuvent être activés et désactivés manuellement. En revanche, ils ne peuvent jamais être supprimés par un utilisateur. Un résultat n'est supprimé automatiquement que si les analyseurs ne l'ont pas actualisé pendant une période de 13 mois.

Lorsqu'un analyseur de sécurité revérifie un résultat et ne détecte pas l'erreur de configuration qui l'a généré, il le marque comme INACTIF. Si la faille est toujours présente dans le système, le résultat reste à l'état ACTIF.

  1. Cliquez sur le bouton Tout effacer à côté de "Filtres rapides" pour réinitialiser l'onglet "Résultats".

  2. Dans la fenêtre Aperçu de la requête, cliquez sur Modifier la requête.

  3. Copiez et collez la requête suivante :

state="ACTIVE" AND NOT mute="MUTED" AND resource.type="google.compute.Subnetwork"
  1. Une fois la modification effectuée, cliquez sur le bouton Appliquer.

Tous les résultats concernant les sous-réseaux s'affichent. Pour cet atelier, le réseau VPC par défaut est créé avec le paramètre --subnet-mode=auto. Par conséquent, la fonctionnalité Accès privé à Google n'est activée pour aucun de ses sous-réseaux, et aucun sous-réseau n'écrit de journaux de flux VPC.

Filtrer les résultats par catégorie et les masquer

Lorsque vous travaillez dans un environnement de test, vous pouvez parfois vouloir masquer certains résultats. Dans ce cas, vous ne souhaitez pas afficher les résultats de SCC concernant l'accès privé à Google dans ce réseau. Vous souhaitez donc les ignorer.

  1. Dans la fenêtre Filtres rapides, sélectionnez la catégorie Accès privé à Google désactivé.

  2. Dans le volet Résultats de la requête de résultat, cochez la case Catégorie en haut de la liste pour sélectionner tous les résultats correspondant à la catégorie "Accès privé à Google désactivé".

Case &quot;Catégorie&quot; cochée

  1. Sélectionnez Autres actions (Icône Autres actions), puis cliquez sur le bouton Options Ignorer.

  2. Dans le menu déroulant, sélectionnez Appliquer le remplacement de règle Ignorer. Cette opération permet d'ignorer les résultats existants.

  3. Sélectionnez Aperçu des risques dans le menu de gauche, puis Résultats pour réinitialiser la vue des résultats.

Notez que les résultats correspondant à la catégorie Accès privé à Google désactivé sont désormais ignorés et ne s'affichent plus. L'option "Ignorer" est un excellent moyen de filtrer les résultats de SCC. Elle vous permet de contrôler précisément vos ressources et les résultats qui vous intéressent.

Créer une règle Ignorer pour masquer certains résultats

Une autre erreur de configuration du réseau par défaut est que les journaux de flux VPC sont également désactivés dans les sous-réseaux. Comme vous travaillez dans un environnement de test, vous n'avez pas besoin d'activer les journaux de flux VPC.

Dans cette section, vous allez ignorer tous les résultats existants et futurs liés à cette catégorie.

  1. Dans la fenêtre Résultats de la requête de résultat, sélectionnez Autres actions (Icône Autres actions> Options Ignorer > Gérer les règles Ignorer.
  2. Cliquez sur le bouton Créer une règle Ignorer.
Remarque : Vous pouvez créer une configuration SCC pour ignorer les résultats existants et tous les nouveaux résultats conformes aux critères définis dans le champ Requête de résultat. Notez que vous avez précédemment ignoré les résultats existants correspondant à la catégorie "Accès privé à Google désactivé".

Étant donné qu'il s'agissait d'une opération ponctuelle, les nouveaux résultats détectés de cette catégorie continuent de s'afficher dans SCC. Toutefois, si vous créez une règle Ignorer, tous les résultats existants et nouveaux sont ignorés.

  1. Dans la fenêtre qui s'affiche, saisissez muting-pga-findings comme ID de règle Ignorer.

  2. Pour la description de la règle, saisissez Règle Ignorer pour les journaux de flux VPC.

  3. Dans le champ de saisie du filtre Requête de résultat, saisissez le filtre suivant :

category="FLOW_LOGS_DISABLED"
  1. Cliquez sur le bouton Enregistrer.

Vous devriez recevoir une notification indiquant qu'une règle Ignorer a été créée.

Cliquez sur Vérifier ma progression pour valider l'objectif. Créer une règle "Ignorer"

  1. Actualisez le tableau de bord principal de SCC en sélectionnant Résultats dans le menu de gauche.

    Vérifiez que les résultats correspondant aux catégories Accès privé à Google désactivé ou Journaux de flux désactivés ne s'affichent plus.

Remarque : Si certains de ces résultats s'affichent toujours, veuillez actualiser l'onglet du navigateur.

Créer un autre réseau VPC pour tester la règle Ignorer des résultats

Dans cette section, vous allez créer un autre réseau avec des sous-réseaux configurés automatiquement pour tester les modifications récemment apportées à vos règles de filtrage des résultats.

  1. Ouvrez une nouvelle session Cloud Shell (Icône Activer Cloud Shell) et exécutez la commande suivante pour créer le réseau :
gcloud compute networks create scc-lab-net --subnet-mode=auto Remarque : La création du sous-réseau peut prendre quelques minutes.

Assurez-vous que le résultat ressemble à ceci :

Résultat :

Created [https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-c6821aef4c0f/global/networks/SCC-lab-net]. NAME: SCC-lab-net SUBNET_MODE: AUTO BGP_ROUTING_MODE: REGIONAL IPV4_RANGE: GATEWAY_IPV4:

Cliquez sur Vérifier ma progression pour valider l'objectif. Créer un réseau

  1. Fermez la fenêtre Cloud Shell après avoir vérifié le message ci-dessus.

  2. Actualisez la fenêtre des résultats de SCC. Vous pouvez voir les nouveaux résultats de la catégorie Accès privé à Google désactivé. En revanche, aucun résultat de la catégorie "Journaux de flux VPC" ne s'affiche (en raison de la règle Ignorer que vous avez créée précédemment).

    Bien que vous ayez créé des règles Ignorer pour les journaux de flux VPC, SCC vous permet tout de même de les afficher en utilisant l'éditeur de requête.

  3. Cliquez sur le bouton Modifier la requête, puis collez le code suivant pour écraser le texte du filtre de requête existant :

category="FLOW_LOGS_DISABLED"

  1. Cliquez sur Appliquer.

    Vérifiez la fenêtre Résultats de la requête de résultat. Dans la colonne Nom à afficher pour la ressource, vous pouvez voir les deux réseaux : "defaults" et "SCC-lab-net".

Remarque : Si vous ne voyez pas le réseau par défaut, assurez-vous que le paramètre Lignes par page est défini sur 100. Vérifiez également que le paramètre Période est défini sur la valeur Depuis le début.

  1. Dans la fenêtre Aperçu de la requête, cliquez sur Modifier la requête.

  2. Copiez et collez la requête suivante pour écraser le texte de la requête précédente :

state="ACTIVE" AND NOT mute="MUTED"

  1. Une fois la modification effectuée, cliquez sur le bouton Appliquer.

    Vous voyez alors les résultats que vous aviez ignorés précédemment.

Examiner et corriger deux résultats de gravité élevée

Dans cette section, vous allez examiner deux résultats de gravité élevée et découvrir comment les corriger.

  1. Dans la section Filtres rapides, faites défiler vers le bas jusqu'au type Gravité, puis sélectionnez Élevée dans la liste des options de gravité.

Vous devriez voir deux résultats : Port RDP ouvert et Port SSH ouvert. Ils ont été générés, car le réseau par défaut contient deux règles de pare-feu autorisant le trafic SSH et RDP vers toutes ses instances à partir de l'ensemble du réseau Internet.

  1. Dans la fenêtre Résultats de la requête de résultat, cliquez sur le résultat Port RDP ouvert.

Une nouvelle fenêtre s'affiche. Elle décrit en détail le problème, les ressources affectées et les étapes suivantes pour vous aider à le corriger.

  1. Dans la section Étapes suivantes, cliquez sur le lien pour accéder à la page des règles de pare-feu, qui s'ouvre dans un nouvel onglet.

  2. Cliquez sur la règle de pare-feu default-allow-rdp.

  3. Cliquez sur Modifier.

  4. Supprimez la plage d'adresses IP sources 0.0.0.0/0.

  5. Ajoutez la plage d'adresses IP sources 35.235.240.0/20 et appuyez sur Entrée.

Remarque : Cette plage d'adresses IP permet de se connecter aux instances de VM de façon sécurisée via Identity-Aware Proxy. Pour en savoir plus, consultez la page Utiliser IAP pour le transfert TCP.

Ne modifiez pas les autres paramètres.

  1. Cliquez sur Enregistrer.

  2. Une fois l'enregistrement effectué, fermez l'onglet du navigateur dans lequel vous avez modifié la règle de pare-feu.

  3. Actualisez l'onglet du navigateur qui affiche les résultats de SCC.

    Vous ne devriez plus voir qu'un seul résultat de gravité élevée : Port SSH ouvert.

Mettre à jour les règles de pare-feu pour corriger un problème

  1. Cliquez sur le résultat Port SSH ouvert.

  2. Faites défiler la page vers le bas jusqu'à la section Étapes suivantes, puis cliquez sur le lien pour accéder à la page des règles de pare-feu. Elle s'ouvre dans un nouvel onglet.

  3. Cliquez sur la règle de pare-feu default-allow-ssh.

  4. Cliquez sur Modifier.

  5. Supprimez la plage d'adresses IP sources 0.0.0.0/0.

  6. Ajoutez la plage d'adresses IP sources 35.235.240.0/20 et appuyez sur Entrée.

    Ne modifiez pas les autres paramètres.

  7. Cliquez sur Enregistrer.

  8. Une fois l'enregistrement effectué, fermez l'onglet du navigateur dans lequel vous avez modifié la règle de pare-feu.

Cliquez sur Vérifier ma progression pour valider l'objectif. Mettre à jour les règles de pare-feu

  1. Fermez la fenêtre décrivant le résultat "Port SSH ouvert" et actualisez la fenêtre du navigateur.

    Vous ne devriez pas voir de résultats de gravité élevée.

Félicitations !

Dans cet atelier, vous avez appris à explorer les éléments de l'interface de Security Command Center, à configurer les paramètres SCC au niveau du projet, ainsi qu'à analyser et corriger les failles identifiées par SCC. Vous avez également utilisé SCC pour identifier et corriger des failles de sécurité critiques dans votre environnement Google Cloud.

Étapes suivantes et informations supplémentaires

Formations et certifications Google Cloud

Les formations et certifications Google Cloud vous aident à tirer pleinement parti des technologies Google Cloud. Nos cours portent sur les compétences techniques et les bonnes pratiques à suivre pour être rapidement opérationnel et poursuivre votre apprentissage. Nous proposons des formations pour tous les niveaux, à la demande, en salle et à distance, pour nous adapter aux emplois du temps de chacun. Les certifications vous permettent de valider et de démontrer vos compétences et votre expérience en matière de technologies Google Cloud.

Dernière mise à jour du manuel : 26 novembre 2024

Dernier test de l'atelier : 29 avril 2024

Copyright 2025 Google LLC Tous droits réservés. Google et le logo Google sont des marques de Google LLC. Tous les autres noms d'entreprises et de produits peuvent être des marques des entreprises auxquelles ils sont associés.

Before you begin

  1. Labs create a Google Cloud project and resources for a fixed time
  2. Labs have a time limit and no pause feature. If you end the lab, you'll have to restart from the beginning.
  3. On the top left of your screen, click Start lab to begin

Use private browsing

  1. Copy the provided Username and Password for the lab
  2. Click Open console in private mode

Sign in to the Console

  1. Sign in using your lab credentials. Using other credentials might cause errors or incur charges.
  2. Accept the terms, and skip the recovery resource page
  3. Don't click End lab unless you've finished the lab or want to restart it, as it will clear your work and remove the project

Ce contenu n'est pas disponible pour le moment

Nous vous préviendrons par e-mail lorsqu'il sera disponible

Parfait !

Nous vous contacterons par e-mail s'il devient disponible

One lab at a time

Confirm to end all existing labs and start this one

Setup your console before you begin

Use an Incognito or private browser window to run this lab. This prevents any conflicts between your personal account and the Student account, which may cause extra charges incurred to your personal account.