En esta guía se describe la integración entre Security Command Center, Google Security Operations (Google SecOps) y el servicio de copia de seguridad y recuperación ante desastres. Esta integración permite recibir alertas sobre las acciones de alto riesgo que se producen en el servicio de copia de seguridad y recuperación ante desastres, que se muestran en Security Command Center y Google SecOps.
Con Security Command Center y Google SecOps para el servicio de copia de seguridad y recuperación tras fallos, puedes hacer lo siguiente:
- Recibir alertas instantáneas sobre acciones de alto riesgo, como eliminar la protección de una carga de trabajo
- Investigar las amenazas e identificar los recursos de copia de seguridad afectados
- Agrega las amenazas de copias de seguridad en casos para solucionarlas de forma rápida y sistemática
Security Command Center ingiere registros y eventos de todo Google Cloud para identificar posibles riesgos de seguridad. Google SecOps, que se incluye en Security Command Center Enterprise, es una herramienta de gestión de información y eventos de seguridad (SIEM) y de orquestación, automatización y respuesta de seguridad (SOAR) que agrega y correlaciona de forma inteligente las amenazas de varias fuentes. Google SecOps también permite gestionar casos y corregir amenazas.
Antes de empezar
Activa Security Command Center Premium si aún no lo has hecho. Puedes hacerlo con la Google Cloud consola. Si tienes Security Command Center Enterprise, ponte en contacto con el equipo de tu cuenta. Google Cloud
Generar un resultado
Las acciones de alto riesgo que realiza un usuario en el servicio Backup and DR se monitorizan con Event Threat Detection (que forma parte de Security Command Center Premium y Security Command Center Enterprise). Estas acciones se monitorizan en tiempo real, se correlacionan con otros eventos de riesgo en Google Cloudy se muestran como resultados (Security Command Center), alertas (Google SecOps) y casos seleccionados automáticamente (Google SecOps).
Entre ellas se incluyen las siguientes:
- Eliminar una copia de seguridad
- Eliminar un plan de copias de seguridad
- Quitar la protección de copia de seguridad de una carga de trabajo
- Eliminar la infraestructura de copias de seguridad puede afectar a la recuperación
Puedes consultar la lista completa de detecciones en la documentación de Security Command Center.
Resultados en tiempo real en Security Command Center
Cuando Security Command Center considera que una acción supone un riesgo de seguridad, se genera un hallazgo. Un administrador de seguridad puede examinar los recursos afectados y seguir los pasos recomendados. Los resultados incluyen detalles sobre los recursos afectados, cuándo se produjo el evento de seguridad y qué medidas se deben tomar para solucionar una amenaza.
Security Command Center ofrece a los clientes herramientas de investigación integradas. Los enlaces a Cloud Logging, el indicador de MITRE y los recursos afectados permiten una corrección rápida.
- La integración de Cloud Logging te permite hacer clic para acceder a una consulta detallada de Cloud Logging.
- La integración con Cloud Monitoring permite crear alertas adicionales sobre eventos similares.
- Las clasificaciones de MITRE indican el tipo de ataque que se ha detectado, como se muestra en este ejemplo.
Gestión de casos y corrección en Google SecOps
Google SecOps incluye detecciones seleccionadas que muestran eventos de alto riesgo como alertas. Entre estas detecciones seleccionadas se encuentran posibles amenazas para las copias de seguridad y los recursos de las copias de seguridad. Las detecciones seleccionadas no requieren ninguna configuración adicional. Las alertas también se agregan en casos para la clasificación y la corrección.
La detección de amenazas para el servicio de copia de seguridad y recuperación ante desastres está disponible para todos los clientes de Security Command Center Premium y Security Command Center Enterprise. Google SecOps para el servicio Backup y DR está disponible exclusivamente para los clientes de Security Command Center Enterprise.