Ce guide décrit l'intégration entre Security Command Center, Google Security Operations (Google SecOps) et le service de sauvegarde et de reprise après sinistre. Cette intégration permet d'envoyer des alertes pour les actions à haut risque qui se produisent dans le service Backup and DR et qui s'affichent dans Security Command Center et Google SecOps.
Avec Security Command Center et Google SecOps pour le service Backup and DR, vous pouvez:
- Recevoir des alertes instantanées sur les actions à haut risque, telles que la suppression de la protection d'une charge de travail
- Examiner les menaces et identifier les ressources de sauvegarde affectées
- Aggréger les menaces de sauvegarde dans les cas de remédiation rapide et systématique
Security Command Center ingère les journaux et les événements de l'ensemble de Google Cloud pour identifier les risques de sécurité potentiels. Google SecOps, inclus dans Security Command Center Enterprise, est un outil SIEM (Security Information and Event Management) et SOAR (Security Orchestration, Automation and Response) qui agrège et corrèle intelligemment les menaces provenant de plusieurs sources. Google SecOps permet également de gérer les demandes et de résoudre les menaces.
Avant de commencer
Activez Security Command Center Premium si ce n'est pas déjà fait. Pour ce faire, utilisez la console Google Cloud . Pour Security Command Center Enterprise, contactez votre Google Cloud équipe chargée de votre compte.
Générer une observation
Les actions à haut risque effectuées par un utilisateur dans le service Backup and DR sont surveillées à l'aide d'Event Threat Detection (composant de Security Command Center Premium et Security Command Center Enterprise). Ces actions sont surveillées en temps réel, corrélées à d'autres événements à risque dans Google Cloudet affichées sous forme de résultats (Security Command Center), d'alertes (Google SecOps) et de cas sélectionnés automatiquement (Google SecOps).
Voici quelques-unes de ces actions:
- Supprimer une sauvegarde
- Supprimer un plan de sauvegarde
- Supprimer la protection de sauvegarde d'une charge de travail
- Suppression de l'infrastructure de sauvegarde pouvant avoir un impact sur la récupération
Vous trouverez la liste complète des détections dans la documentation de Security Command Center.
Résultats en temps réel dans Security Command Center
Lorsqu'une action est considérée comme un risque de sécurité par Security Command Center, un résultat est généré. Un administrateur de sécurité peut ensuite examiner de plus près les ressources concernées et suivre les étapes recommandées. Les résultats incluent des informations sur les ressources concernées, le moment où l'événement de sécurité s'est produit et les mesures à prendre pour remédier à une menace.
Security Command Center propose aux clients des outils d'investigation intégrés. Les liens vers la journalisation Cloud, l'indicateur MITRE et les ressources concernées permettent une résolution rapide.
- L'intégration de Cloud Logging vous permet de cliquer sur une requête Cloud Logging détaillée.
- L'intégration à Cloud Monitoring permet de créer des alertes supplémentaires pour des événements similaires.
- Les classifications MITRE indiquent le type d'attaque indiqué par une découverte, comme illustré dans cet exemple.
Gestion et résolution des demandes dans Google SecOps
Google SecOps propose des détections sélectionnées qui affichent les événements à haut risque sous forme d'alertes. Parmi ces détections sélectionnées figurent des menaces potentielles pour les sauvegardes et les ressources de sauvegarde. Les détections sélectionnées ne nécessitent aucune configuration supplémentaire. Les alertes sont également regroupées dans des demandes pour le tri et la résolution.
La détection des menaces pour le service Backup and DR est disponible pour tous les clients Security Command Center Premium et Security Command Center Enterprise. Le service Google SecOps for Backup and DR est disponible exclusivement pour les clients Security Command Center Enterprise.