Security Command Center Premium per il servizio di backup e DR

Security Command Center (SCC) è una piattaforma centralizzata per la visibilità, il monitoraggio e gli avvisi in Google Cloud. SCC fornisce rilevamento e avvisi in tempo reale tramite l'importazione di log ed eventi da tutte le risorse Google Cloud per identificare i rischi per la sicurezza.

Con il rilevatore di backup e RE, ora disponibile per tutti i clienti di Security Command Center Premium, gli amministratori della sicurezza possono ricevere avvisi preconfigurati su attività di backup anomale. Se i backup sono un bersaglio di ransomware o minacce legate agli addetti ai lavori, questa integrazione tra Backup e RE e SCC consente di visualizzare immediatamente gli eventi ad alto rischio per consentire l'indagine e la correzione delle potenziali minacce.

Gli avvisi ai clienti vengono inviati sotto forma di risultati generati in SCC, che forniscono informazioni dettagliate sull'evento di rischio, sulla gravità dell'evento, sulle risorse di backup interessate e sui flussi di lavoro per le indagini e la correzione.

Prima di iniziare

Per attivare gli avvisi sulla sicurezza, attiva Security Command Center Premium se non è già attivo.

  1. Vai a Security Command Center nella console Google Cloud.
  2. Seleziona il livello Premium. Questo è necessario per attivare Event Threat Detection.
  3. Seleziona Servizi. BackupDR è preselezionato per impostazione predefinita.
  4. Concedi i ruoli.

Ti consigliamo di consultare la sezione Utilizzo di Event Threat Detection e le regole di Event Threat Detection nella sezione Panoramica di Event Threat Detection

Generare un esito

Le azioni ad alto rischio intraprese da un utente nel servizio di Backup e DR potrebbero generare un rilevamento. Queste azioni includono:

  • Scade un'immagine di backup
  • Scadenza di tutte le immagini
  • Rimuovere un piano di backup
  • Eliminare un modello di backup
  • Eliminare una policy di backup
  • Eliminare un profilo
  • Rimuovere un'appliance di backup/ripristino
  • È stato eliminato un host
  • Elimina un pool di archiviazione
  • Scadenza del backup ridotta
  • Frequenza del backup ridotta

Nella documentazione di Security Command Center è disponibile un elenco completo dei risultati per tutti i prodotti.

Un utente che esegue una delle azioni nel servizio di backup e RE attiva Event Threat Detection per analizzare l'evento e determinare se rappresenta un rischio per la sicurezza.

Come interpretare i risultati

Quando un'azione viene considerata un rischio per la sicurezza da Security Command Center, viene generato un risultato. Un amministratore della sicurezza può quindi esaminare più da vicino le risorse interessate e seguire i passaggi successivi consigliati. Per i risultati con gravità elevata, potrebbero essere necessarie ulteriori indagini e correzioni. I risultati includono dettagli sulle risorse interessate, sulla data di ocorrência dell'evento di sicurezza e sulle azioni da intraprendere per risolvere una minaccia.

Scopri di più sui risultati delle query sui risultati.

Risorse di backup

I risultati includono informazioni sulle risorse di backup interessate.

  • Nome modello: un modello è costituito da criteri di backup.
  • Nome criterio: un criterio definisce quando viene eseguito un backup, la frequenza e la conservazione.
  • Nome dell'applicazione: un'applicazione è una VM, un database o un file system noto alla console di gestione del servizio di backup e RE.
  • Nome host: un host è una VM che ospita un database o un file system da proteggere.
  • Nome pool di archiviazione: un pool di archiviazione è un bucket Cloud Storage in cui viene archiviato un backup OnVault.
  • Nome opzione criterio: le opzioni di criterio sono configurazioni aggiuntive che gli utenti possono applicare a un determinato criterio.
  • Nome profilo: un profilo definisce la posizione in cui deve essere archiviato un backup.
  • Tipo di backup: i backup sono di tre tipi: snapshot, snapshot remoti e OnVault.
  • Data e ora del backup: mostrano la data e l'ora in cui è stato eseguito il backup interessato.

Indagine e rimedio

Quando ricevi un rilevamento, consulta la sezione Analisi e risposta alle minacce. Puoi vedere un esempio di JSON in Utilizzare Event Threat Detection.

Security Command Center offre agli utenti ulteriori strumenti di indagine integrati. Il collegamento a Cloud Logging, all'indicatore MITRE e alle risorse interessate consente una rapida correzione.

  • L'integrazione di Cloud Logging ti consente di fare clic su una query dettagliata di Cloud Logging.

  • L'integrazione di Cloud Monitoring consente la creazione di avvisi aggiuntivi su eventi simili.

  • Le classificazioni MITRE indicano il tipo di attacco indicato da un risultato (esempio).