Este guia descreve a integração entre o Security Command Center, o Google Security Operations (Google SecOps) e o serviço de cópia de segurança e recuperação de desastres. Esta integração permite alertas para ações de alto risco que ocorrem no serviço de cópia de segurança e recuperação de desastres e que são apresentados no Security Command Center e no Google SecOps.
Com o Security Command Center e o Google SecOps para o serviço de cópia de segurança e recuperação de desastres, pode:
- Receba alertas instantâneos sobre ações de alto risco, como a remoção da proteção de uma carga de trabalho
- Investigue ameaças e identifique recursos de cópia de segurança afetados
- Agregue ameaças de cópia de segurança em casos para uma correção rápida e sistemática
O Security Command Center carrega registos e eventos de todas as origens Google Cloud para identificar potenciais riscos de segurança. O Google SecOps, incluído como parte do Security Command Center Enterprise, é uma ferramenta SIEM (gestão de eventos e informações de segurança) e SOAR (orquestração, automatização e resposta de segurança) que agrega e correlaciona de forma inteligente ameaças em várias origens. O Google SecOps também permite a gestão de registos e a remediação de ameaças.
Antes de começar
Ative o Security Command Center Premium, se ainda não estiver ativado. Pode fazê-lo através da Google Cloud consola. Para o Security Command Center Enterprise, contacte a sua Google Cloud equipa de contas.
Gerar uma descoberta
As ações de alto risco realizadas por um utilizador no serviço de cópia de segurança e recuperação de desastres são monitorizadas através da deteção de ameaças de eventos (parte do Security Command Center Premium e do Security Command Center Enterprise). Estas ações são monitorizadas em tempo real, correlacionadas com outros eventos de risco em todos os produtos Google Cloud e apresentadas como conclusões (centro de comandos de segurança), alertas (Google SecOps) e registos organizados automaticamente (Google SecOps). Google Cloud
Estas ações incluem:
- Eliminar uma cópia de segurança
- Eliminar um plano de cópia de segurança
- Remover a proteção de cópia de segurança de uma carga de trabalho
- Remover a infraestrutura de cópia de segurança que pode afetar a recuperação
Está disponível uma lista completa de deteções na documentação do Security Command Center.
Resultados em tempo real no Security Command Center
Quando uma ação é considerada um risco de segurança pelo Security Command Center, é gerada uma descoberta. Em seguida, um administrador de segurança pode analisar mais detalhadamente os recursos afetados e seguir os passos seguintes recomendados. As conclusões incluem detalhes sobre os recursos afetados, quando ocorreu o evento de segurança e que ações deve tomar para corrigir uma ameaça.
O Security Command Center oferece ferramentas de investigação incorporadas para os clientes. Os links para o Cloud Logging, o indicador MITRE e os recursos afetados permitem uma correção rápida.
- A integração do Cloud Logging permite-lhe clicar para aceder a uma consulta detalhada do Cloud Logging.
- A integração do Cloud Monitoring permite a criação de alertas adicionais em eventos semelhantes.
- As classificações MITRE indicam o tipo de ataque indicado por uma descoberta, conforme mostrado neste exemplo.
Gestão de registos e remediação no Google SecOps
O SecOps da Google inclui deteções preparadas que apresentam eventos de alto risco como alertas. Entre estas deteções preparadas, encontram-se potenciais ameaças às cópias de segurança e aos recursos de cópia de segurança. As deteções organizadas não requerem configuração adicional. Os alertas também são agregados em registos para triagem e remediação.
A deteção de ameaças para o serviço de cópia de segurança e recuperação de desastres está disponível para todos os clientes do Security Command Center Premium e Security Command Center Enterprise. O Google SecOps para o serviço de cópia de segurança e recuperação de desastres está disponível exclusivamente para clientes do Security Command Center Enterprise.