En esta guía, se describe la integración entre Security Command Center, Google Security Operations (Google SecOps) y el servicio de copia de seguridad y DR. Esta integración habilita alertas para acciones de alto riesgo que ocurren en el servicio de Backup and DR que se muestran en Security Command Center y Google SecOps.
Con Security Command Center y Google SecOps para el servicio de copia de seguridad y DR, puedes hacer lo siguiente:
- Recibir alertas instantáneas sobre acciones de alto riesgo, como quitar la protección de una carga de trabajo
- Investiga las amenazas y, luego, identifica los recursos de copia de seguridad afectados
- Agrupa las amenazas de copia de seguridad en casos para una solución rápida y sistemática
Security Command Center transfiere registros y eventos de Google Cloud para identificar posibles riesgos de seguridad. Google SecOps, que se incluye como parte de Security Command Center Enterprise, es una herramienta de SIEM (administración de información y eventos de seguridad) y SOAR (organización, automatización y respuesta de seguridad) que agrega y correlaciona amenazas de forma inteligente en varias fuentes. Google SecOps también permite la administración de casos y la corrección de amenazas.
Antes de comenzar
Activa Security Command Center Premium si aún no está habilitado. Esto se puede hacer con la consola de Google Cloud. Para Security Command Center Enterprise, comunícate con tu equipo de cuenta de Google Cloud.
Cómo generar un hallazgo
Las acciones de alto riesgo que realiza un usuario en el servicio de copia de seguridad y DR se supervisan con Event Threat Detection (parte de Security Command Center Premium y Security Command Center Enterprise). Estas acciones se supervisan en tiempo real, se correlacionan con otros eventos de riesgo en Google Cloudy se muestran como hallazgos (Security Command Center), alertas (Google SecOps) y casos seleccionados automáticamente (Google SecOps).
Entre estas acciones, se incluyen las siguientes:
- Borra una copia de seguridad
- Cómo borrar un plan de copia de seguridad
- Cómo quitar la protección de copia de seguridad de una carga de trabajo
- Quita la infraestructura de copia de seguridad que pueda afectar la recuperación.
En la documentación de Security Command Center, puedes encontrar una lista completa de las detecciones.
Resultados en tiempo real en Security Command Center
Cuando Security Command Center considera que una acción es un riesgo de seguridad, se genera un hallazgo. Luego, un administrador de seguridad puede analizar con mayor detalle los recursos afectados y seguir los próximos pasos recomendados. Los resultados incluyen detalles sobre los recursos afectados, cuándo ocurrió el evento de seguridad y qué acciones se deben realizar para solucionar una amenaza.
Security Command Center ofrece herramientas de investigación integradas para los clientes. Los vínculos a Cloud Logging, el indicador de MITRE y los recursos afectados permiten una remediación rápida.
- La integración de Cloud Logging te permite hacer clic en una consulta detallada de Cloud Logging.
- La integración en Cloud Monitoring habilita la creación de alertas adicionales en eventos similares.
- Las clasificaciones de MITRE indican el tipo de ataque que indica un hallazgo, como se muestra en este ejemplo.
Administración y solución de casos en Google SecOps
Google SecOps incluye detección seleccionada, que muestra eventos de alto riesgo como alertas. Entre estas detecciones seleccionadas, se incluyen posibles amenazas para las copias de seguridad y los recursos de copia de seguridad. Las detecciones seleccionadas no requieren configuración adicional. Las alertas también se agrupan en casos para su clasificación y solución.
La detección de amenazas para el servicio de copia de seguridad y DR está disponible para todos los clientes de Security Command Center Premium y Security Command Center Enterprise. Google SecOps para el servicio de Backup and DR está disponible exclusivamente para los clientes de Security Command Center Enterprise.