Questa guida descrive l'integrazione tra Security Command Center, Google Security Operations (Google SecOps) e il servizio di backup e RE. Questa integrazione consente di attivare avvisi per azioni ad alto rischio che si verificano all'interno del servizio di backup e DR e che vengono visualizzate in Security Command Center e Google SecOps.
Con Security Command Center e Google SecOps per il servizio di backup e RE puoi:
- Ricevere avvisi istantanei su azioni ad alto rischio, come la rimozione della protezione da un carico di lavoro
- Esaminare le minacce e identificare le risorse di backup interessate
- Aggregare le minacce di backup nelle richieste per una correzione rapida e sistematica
Security Command Center importa log ed eventi da tutte le risorse Google Cloud per identificare potenziali rischi per la sicurezza. Google SecOps, incluso in Security Command Center Enterprise, è uno strumento SIEM (Security Information and Event Management) e SOAR (Security Orchestration, Automation and Response) che aggrega e correla in modo intelligente le minacce provenienti da più origini. Google SecOps consente inoltre la gestione delle richieste e la correzione delle minacce.
Prima di iniziare
Attiva Security Command Center Premium, se non è già attivo. Per farlo, puoi usare la Google Cloud console. Per Security Command Center Enterprise, contatta il team Google Cloud dell'account.
Generare un rilevamento
Le azioni ad alto rischio intraprese da un utente nel servizio di backup e RE vengono monitorate utilizzando Event Threat Detection (parte di Security Command Center Premium e Security Command Center Enterprise). Queste azioni vengono monitorate in tempo reale, correlate ad altri eventi di rischio Google Cloude visualizzate come risultati (Security Command Center), avvisi (Google SecOps) e casi selezionati automaticamente (Google SecOps).
Queste azioni includono:
- Eliminazione di un backup
- Eliminazione di un piano di backup
- Rimuovere la protezione di backup da un carico di lavoro
- Rimozione dell'infrastruttura di backup che potrebbe influire sul recupero
Un elenco completo dei rilevamenti è disponibile nella documentazione di Security Command Center.
Risultati in tempo reale in Security Command Center
Quando un'azione viene considerata un rischio per la sicurezza da Security Command Center, viene generato un risultato. Un amministratore della sicurezza può quindi esaminare più da vicino le risorse interessate ed eseguire i passaggi successivi consigliati. I risultati includono dettagli sulle risorse interessate, sulla data e sull'ora in cui si è verificato l'evento di sicurezza e sulle azioni da intraprendere per risolvere una minaccia.
Security Command Center offre agli utenti strumenti di indagine integrati. I link a Cloud Logging, all'indicatore MITRE e alle risorse interessate consentono una rapida correzione.
- L'integrazione di Cloud Logging ti consente di fare clic su una query dettagliata di Cloud Logging.
- L'integrazione di Cloud Monitoring consente la creazione di avvisi aggiuntivi su eventi simili.
- Le classificazioni MITRE indicano il tipo di attacco indicato da un rilevamento, come mostrato in questo esempio.
Gestione e correzione delle richieste in Google SecOps
Google SecOps offre rivelamenti selezionati che mostrano gli eventi ad alto rischio come avvisi. Tra questi rilevamenti selezionati ci sono potenziali minacce ai backup e alle risorse di backup. I rilevamenti selezionati non richiedono alcuna configurazione aggiuntiva. Gli avvisi vengono inoltre aggregati in richieste per la classificazione e la correzione.
Il rilevamento delle minacce per il servizio di backup e DR è disponibile per tutti i clienti di Security Command Center Premium e Security Command Center Enterprise. Il servizio Google SecOps per il backup e il DR è disponibile esclusivamente per i clienti di Security Command Center Enterprise.