Panoramica di Security Command Center

Questa pagina fornisce una panoramica di Security Command Center, una soluzione di gestione dei rischi che, insieme al livello Enterprise, combina la sicurezza del cloud e le operazioni di sicurezza aziendale, e fornisce insight derivanti dalle competenze di Mandiant e dall'intelligenza artificiale Gemini.

Security Command Center consente agli analisti dei centri operativi di sicurezza (SOC), agli analisti di vulnerabilità e postura, ai responsabili della conformità e ad altri professionisti della sicurezza di valutare, analizzare e rispondere rapidamente ai problemi di sicurezza in più ambienti cloud.

Ogni deployment cloud presenta rischi specifici. Security Command Center può aiutarti a comprendere e valutare la superficie di attacco dei tuoi progetti o della tua organizzazione su Google Cloud, nonché la superficie di attacco degli altri tuoi ambienti cloud. Se configurato correttamente per proteggere le risorse, Security Command Center può aiutarti a comprendere le vulnerabilità e le minacce rilevate nei tuoi ambienti cloud e a stabilire la priorità delle correzioni.

Security Command Center si integra con molti servizi Google Cloud per rilevare i problemi di sicurezza in più ambienti cloud. Questi servizi rilevano i problemi in diversi modi, ad esempio analizzando i metadati delle risorse, i log cloud e i container e le macchine virtuali.

Alcuni di questi servizi integrati, come Chronicle Security Operations e Mandiant, forniscono anche funzionalità e informazioni fondamentali per dare priorità e gestire le indagini e la risposta ai problemi rilevati.

Gestisci le minacce

Security Command Center utilizza i servizi Google Cloud sia integrati che integrati per rilevare le minacce. Questi servizi analizzano i log, i container e le macchine virtuali di Google Cloud alla ricerca di indicatori di minacce.

Quando alcuni di questi servizi, come Event Threat Detection o Container Threat Detection, rilevano un indicatore di minaccia, effettuano un rilevamento. Un risultato è un report o un record di una singola minaccia o altro problema rilevato da un servizio nel tuo ambiente cloud. I servizi che riscontrano problemi sono denominati anche sorgenti di ricerca.

I risultati attivano avvisi che, a seconda della gravità del risultato, possono generare una richiesta di assistenza. Puoi utilizzare un caso con un sistema di gestione di ticket per assegnare i proprietari all'indagine e rispondere a uno o più avvisi nel caso. La generazione di avvisi e richieste in Security Command Center si basa su Chronicle SecOps.

Security Command Center è in grado di rilevare le minacce in più ambienti cloud. Per rilevare minacce in altre piattaforme cloud, Security Command Center importa i log dell'altro provider, dopo che hai stabilito una connessione. L'importazione dei log si basa su Chronicle SecOps.

Per ulteriori informazioni, consulta le seguenti pagine:

Funzionalità di rilevamento delle minacce e risposta

Con Security Command Center, gli analisti dei SOC possono raggiungere i seguenti obiettivi di sicurezza:

  • Rileva gli eventi nei tuoi ambienti cloud che indicano una potenziale minaccia e classifica gli avvisi o i risultati associati.
  • Assegna i proprietari e monitora l'avanzamento delle indagini e delle risposte con un flusso di lavoro integrato per i casi. Se vuoi, puoi integrare i tuoi sistemi di biglietti preferiti, come Jira o ServiceNow.
  • Analizza gli avvisi di minacce con potenti funzionalità di ricerca e controllo incrociato.
  • Definisci flussi di lavoro di risposta e automatizza le azioni per affrontare potenziali attacchi agli ambienti cloud. Per ulteriori informazioni sulla definizione dei flussi di lavoro di risposta e delle azioni automatizzate con i playbook, basati su Chronicle SecOps, consulta l'articolo sull'utilizzo dei playbook.
  • Disattiva o escludi risultati o avvisi che sono falsi positivi.
  • Concentrati sulle minacce legate alla compromissione di identità e autorizzazioni di accesso.
  • Utilizza Security Command Center per rilevare, analizzare e rispondere a potenziali minacce negli altri ambienti cloud, come AWS.

Gestire le vulnerabilità

Security Command Center offre funzionalità complete di rilevamento delle vulnerabilità sfruttando una varietà di servizi Google Cloud per analizzare automaticamente le risorse nel tuo ambiente per rilevare vulnerabilità del software, configurazioni errate e altri tipi di problemi di sicurezza che potrebbero esporti agli attacchi. Insieme, questi tipi di problemi sono denominati collettivamente vulnerabilità.

Security Command Center utilizza servizi Google Cloud integrati e integrati per rilevare i problemi di sicurezza. I servizi che generano risultati vengono chiamati anche fonti di ricerca. Quando un servizio rileva un problema, genera un risultato per registrarlo.

Per impostazione predefinita, le richieste vengono aperte automaticamente per i risultati di vulnerabilità ad alta gravità e gravità critica per aiutarti a stabilire le priorità di correzione. Puoi assegnare proprietari e monitorare lo stato di avanzamento delle iniziative di correzione con una richiesta.

Per ulteriori informazioni:

Vulnerabilità del software

Per aiutarti a identificare, comprendere e assegnare la priorità alle vulnerabilità del software, Security Command Center è in grado di valutare le macchine virtuali (VM) e i container nei tuoi ambienti cloud alla ricerca di vulnerabilità. Per ogni vulnerabilità rilevata, Security Command Center fornisce informazioni approfondite in un reperimento o in un record dei risultati. Le informazioni fornite con un risultato possono includere:

  • Dettagli della risorsa interessata
  • Informazioni su qualsiasi record CVE associato, inclusa una valutazione da Mandiant dell'impatto e della sfruttabilità dell'elemento CVE
  • Un punteggio di esposizione agli attacchi per aiutarti a stabilire le priorità dei rimedi
  • Una rappresentazione visiva del percorso che un utente malintenzionato potrebbe seguire per raggiungere le risorse di alto valore esposte

Errori di configurazione

Security Command Center mappa i rilevatori dei servizi che analizzano le configurazioni errate ai controlli degli standard di conformità comuni del settore. Oltre a mostrare gli standard di conformità violati da un'errata configurazione, la mappatura ti consente di valutare la tua conformità ai vari standard, che puoi esportare come report.

Per saperne di più, vedi Valutare e segnalare la conformità.

Violazioni della postura

I livelli Premium ed Enterprise di Security Command Center includono il servizio della postura di sicurezza, che genera risultati quando le risorse cloud violano i criteri definiti nelle posizioni di sicurezza di cui hai eseguito il deployment nell'ambiente cloud.

Per maggiori informazioni, consulta Servizio della postura di sicurezza.

Convalida Infrastructure as Code

Puoi verificare che i file Infrastructure as Code (IaC) siano allineati ai criteri che definisci nell'organizzazione Google Cloud, compresi i criteri che definisci nella tua strategia di sicurezza. Questa funzionalità aiuta a garantire che non esegui il deployment di risorse che violano gli standard della tua organizzazione. Dopo aver definito i criteri dell'organizzazione e, se necessario, abilitato il servizio Security Health Analytics, puoi utilizzare Google Cloud CLI per convalidare il file del piano Terraform oppure puoi integrare il processo di convalida nel flusso di lavoro degli sviluppatori in Jenkins o GitHub Actions. Per saperne di più, vedi Convalidare il tuo IaC in base ai criteri della tua organizzazione.

Rileva vulnerabilità e configurazioni errate su altre piattaforme cloud

Security Command Center Enterprise è in grado di rilevare le vulnerabilità in più ambienti cloud. Per rilevare vulnerabilità in altri provider di servizi cloud, devi prima stabilire una connessione con il provider per importare i metadati delle risorse.

Per maggiori informazioni, consulta Connessione ad AWS per il rilevamento delle vulnerabilità e la valutazione del rischio.

Funzionalità di gestione delle vulnerabilità e della postura

Con Security Command Center, gli analisti delle vulnerabilità, gli amministratori della postura e professionisti della sicurezza simili possono raggiungere i seguenti obiettivi di sicurezza:

  • Rileva diversi tipi di vulnerabilità, tra cui vulnerabilità del software, configurazioni errate e violazioni della postura, che possono esporre i tuoi ambienti cloud a potenziali attacchi.
  • Concentra gli sforzi di risposta e correzione sui problemi di rischio più elevato utilizzando i punteggi di esposizione agli attacchi sui risultati e sugli avvisi per le vulnerabilità.
  • Assegna i proprietari e monitora l'avanzamento dei rimedi alle vulnerabilità utilizzando i casi e integrando i tuoi sistemi di gestione dei ticket preferiti, come Jira o ServiceNow.
  • Proteggi in modo proattivo le risorse di alto valore nei tuoi ambienti cloud riducendo i punteggi di esposizione agli attacchi
  • Definisci misure di sicurezza personalizzate per i tuoi ambienti cloud che Security Command Center utilizza per valutare la tua postura e avvisarti in caso di violazioni.
  • Disattiva o escludi risultati o avvisi che sono falsi positivi.
  • Concentrati sulle vulnerabilità correlate a identità e autorizzazioni eccessive.
  • Rileva e gestisci le vulnerabilità e le valutazioni dei rischi di Security Command Center per gli altri tuoi ambienti cloud, come AWS.

Valutare il rischio con i punteggi di esposizione agli attacchi e i percorsi di attacco

Con attivazioni a livello di organizzazione dei livelli Premium ed Enterprise, Security Command Center fornisce punteggi di esposizione agli attacchi per risorse di alto valore e risultati relativi a vulnerabilità ed errori di configurazione che interessano le risorse di alto valore.

Puoi utilizzare questi punteggi per dare priorità alla correzione di vulnerabilità e configurazioni errate, dare priorità alla sicurezza delle risorse di alto valore più esposte e, in generale, valutare quanto sono esposti i tuoi ambienti cloud agli attacchi.

Nel riquadro Vulnerabilità attive della pagina Panoramica del rischio della console Google Cloud, la scheda Risultati per punteggio di esposizione agli attacchi mostra i risultati con i punteggi più alti di esposizione agli attacchi nel tuo ambiente, nonché la distribuzione dei punteggi.

Per maggiori informazioni, consulta Punteggi di esposizione agli attacchi e percorsi di attacco.

Gestisci risultati e avvisi con le richieste

Security Command Center Enterprise crea casi per aiutarti a gestire risultati e avvisi, assegnare proprietari e gestire le indagini e le risposte ai problemi di sicurezza rilevati. Le richieste di assistenza vengono aperte automaticamente per i problemi di gravità elevata e critica.

Puoi integrare le richieste con il tuo sistema di gestione dei ticket preferito, come Jira o ServiceNow. Quando le richieste vengono aggiornate, tutti i ticket aperti per la richiesta possono essere aggiornati automaticamente. Analogamente, se un ticket viene aggiornato, è possibile aggiornare anche il caso corrispondente.

La funzionalità della richiesta si basa su Chronicle SecOps.

Per saperne di più, consulta la panoramica dei casi nella documentazione di Chronicle SecOps.

Definire i flussi di lavoro di risposta e le azioni automatizzate

Definire i flussi di lavoro di risposta e automatizzare le azioni per esaminare e rispondere ai problemi di sicurezza rilevati nei tuoi ambienti cloud.

Per ulteriori informazioni sulla definizione dei flussi di lavoro di risposta e delle azioni automatizzate con i playbook, basati su Chronicle SecOps, consulta la pagina relativa all'utilizzo dei playbook.

Supporto multi-cloud: proteggi i tuoi deployment su altre piattaforme cloud

Puoi estendere i servizi e le funzionalità di Security Command Center per coprire i deployment su altre piattaforme cloud, in modo da poter gestire in un'unica posizione tutte le minacce e le vulnerabilità rilevate in tutti i tuoi ambienti cloud.

Per saperne di più sulla connessione di Security Command Center a un altro provider di servizi cloud, consulta le pagine seguenti:

Provider di servizi cloud supportati

Security Command Center può connettersi ad Amazon Web Services (AWS).

Definire e gestire le strategie di sicurezza

Con le attivazioni a livello di organizzazione dei livelli Premium ed Enterprise di Security Command Center, è possibile creare e gestire posture di sicurezza che definiscono lo stato richiesto degli asset cloud, inclusi rete cloud e servizi cloud, per una sicurezza ottimale nel tuo ambiente cloud. Puoi personalizzare le misure di sicurezza in base alle esigenze normative e di sicurezza della tua azienda. La definizione di un livello di sicurezza consente di ridurre al minimo i rischi di cybersicurezza per la tua organizzazione e di evitare che si verifichino attacchi.

Il servizio della postura di sicurezza di Security Command Center viene utilizzato per definire ed eseguire il deployment di una postura di sicurezza e rilevare eventuali deviazioni o modifiche non autorizzate dalla postura definita.

Il servizio della postura di sicurezza viene abilitato automaticamente quando attivi Security Command Center a livello di organizzazione.

Per saperne di più, consulta Panoramica della postura di sicurezza.

Identifica le tue risorse

Security Command Center include informazioni sugli asset ricavate da Cloud Asset Inventory, che monitora costantemente gli asset nel tuo ambiente cloud. Per la maggior parte degli asset, le modifiche alla configurazione, inclusi IAM e criteri dell'organizzazione, vengono rilevate quasi in tempo reale.

Nella pagina Asset della console Google Cloud, puoi applicare, modificare ed eseguire rapidamente query sugli asset di esempio, aggiungere un vincolo di tempo preimpostato o scrivere query sugli asset personalizzate.

Se disponi del livello Premium o Enterprise di Security Command Center, puoi vedere quali asset sono designati come risorse di alto valore per la valutazione del rischio mediante simulazioni di percorsi di attacco.

Puoi identificare rapidamente i cambiamenti nella tua organizzazione o nel tuo progetto e rispondere a domande come:

  • Quanti progetti hai e quando sono stati creati?
  • Di quali risorse Google Cloud viene eseguito il deployment o in uso, ad esempio macchine virtuali (VM) Compute Engine, bucket Cloud Storage o istanze App Engine?
  • Qual è la cronologia dell'implementazione?
  • Come organizzare, annotare, cercare, selezionare, filtrare e ordinare nelle seguenti categorie:
    • Asset e proprietà degli asset
    • Contrassegni di sicurezza che consentono di annotare asset o risultati in Security Command Center
    • Periodo di tempo

Cloud Asset Inventory conosce sempre lo stato attuale degli asset supportati e, nella console Google Cloud, ti consente di esaminare le scansioni di rilevamento storiche per confrontare gli asset tra i vari punti nel tempo. Puoi anche cercare gli asset poco utilizzati, come le macchine virtuali o gli indirizzi IP inattivi.

Funzionalità Gemini in Security Command Center

Security Command Center incorpora Gemini per fornire riepiloghi dei risultati e dei percorsi di attacco, nonché per supportare le ricerche e le indagini delle minacce e delle vulnerabilità rilevate.

Per informazioni su Gemini, consulta la Panoramica di Gemini.

Gemini i riepiloghi dei risultati e dei percorsi di attacco

Se utilizzi Security Command Center Enterprise o Premium, Gemini fornisce spiegazioni generate dinamicamente di ogni risultato e di ogni percorso di attacco simulato che Security Command Center genera per i risultati delle classi Vulnerability e Misconfiguration.

I riepiloghi sono scritti in un linguaggio naturale per aiutarti a comprendere e intervenire rapidamente sui risultati e sui percorsi di attacco che potrebbero accompagnarli.

I riepiloghi vengono visualizzati nelle seguenti posizioni nella console Google Cloud:

  • Quando fai clic sul nome di un singolo risultato, viene visualizzato il riepilogo nella parte superiore della pagina dei dettagli del risultato.
  • Con i livelli Premium ed Enterprise di Security Command Center, se un risultato ha un punteggio di esposizione agli attacchi, puoi visualizzare il riepilogo a destra del percorso di attacco facendo clic sul punteggio di esposizione agli attacchi e poi su Riepilogo IA.

Autorizzazioni IAM richieste per i riepiloghi creati con AI'IA

Per visualizzare i riepiloghi AI, devi disporre delle autorizzazioni IAM richieste.

Per i risultati, devi disporre dell'autorizzazione IAM securitycenter.findingexplanations.get. Il ruolo IAM predefinito meno permissivo che contiene questa autorizzazione è il ruolo Visualizzatore risultati Centro sicurezza (roles/securitycenter.findingsViewer).

Per i percorsi di attacco, devi disporre dell'autorizzazione IAM securitycenter.exposurepathexplan.get. Il ruolo IAM predefinito meno permissivo che contiene questa autorizzazione è il ruolo Lettore percorsi di esposizione del Centro sicurezza (roles/securitycenter.exposurePathsViewer).

Durante l'anteprima, queste autorizzazioni non sono disponibili nella console Google Cloud per essere aggiunte ai ruoli IAM personalizzati.

Per aggiungere l'autorizzazione a un ruolo personalizzato, puoi utilizzare Google Cloud CLI.

Per informazioni sull'utilizzo di Google Cloud CLI per aggiungere autorizzazioni a un ruolo personalizzato, consulta Creare e gestire ruoli personalizzati.

Ricerca in linguaggio naturale per le indagini sulle minacce

Puoi generare ricerche di risultati sulle minacce, avvisi e altre informazioni utilizzando query in linguaggio naturale e Gemini. L'integrazione con Gemini per le ricerche in linguaggio naturale è basata su Chronicle SecOps. Per maggiori informazioni, consulta Utilizzare il linguaggio naturale per generare query di ricerca UDM nella documentazione di Chronicle SecOps.

Widget di indagine IA per i casi

Per aiutarti a comprendere ed esaminare i casi alla ricerca di risultati e avvisi, Gemini fornisce un riepilogo di ogni caso e suggerisce i passaggi successivi che puoi intraprendere per esaminarla. Il riepilogo e i passaggi successivi vengono visualizzati nel widget Indagine AI quando visualizzi una richiesta.

Questa integrazione con Gemini è basata su Chronicle SecOps.

Informazioni strategiche sulla sicurezza

I servizi Google Cloud integrati e integrati di Security Command Center monitorano costantemente gli asset e i log per rilevare indicatori di compromissione e modifiche alla configurazione che corrispondono a minacce note, vulnerabilità e configurazioni errate. Per fornire un contesto per gli incidenti, i risultati sono arricchiti con informazioni provenienti dalle seguenti fonti:

  • Con i livelli Enterprise e Premium:
    • Riepiloghi creati con l'AI che ti aiutano a comprendere e intervenire sui risultati di Security Command Center e sugli eventuali percorsi di attacco inclusi. Per scoprire di più, consulta i riepiloghi creati con l'IA.
    • I risultati delle vulnerabilità includono informazioni provenienti dalle voci CVE corrispondenti, tra cui il punteggio CVE, e le valutazioni di Mandiant sul potenziale impatto della vulnerabilità e sul potenziale di sfruttamento.
    • Potenti funzionalità di ricerca SIEM e SOAR basate su Chronicle SecOps, che ti consentono di esaminare minacce e vulnerabilità e di passare attraverso entità correlate in una sequenza temporale unificata.
  • VirusTotal, un servizio di proprietà di Alphabet che fornisce contesto su file, URL, domini e indirizzi IP potenzialmente dannosi.
  • Framework MITRE ATT&CK, che spiega le tecniche per gli attacchi alle risorse cloud e fornisce indicazioni correttive.
  • Cloud Audit Logs (log delle attività di amministrazione e log degli accessi ai dati).

Riceverai notifiche per i nuovi risultati quasi in tempo reale, aiutando i team di sicurezza a raccogliere dati, identificare le minacce e agire in base ai suggerimenti prima che causino danni o perdite all'azienda.

Con una visualizzazione centralizzata della postura di sicurezza e un'API solida, puoi svolgere rapidamente le seguenti operazioni:

  • Rispondi a domande come:
    • Quali indirizzi IP statici sono aperti al pubblico?
    • Quali immagini sono in esecuzione sulle tue VM?
    • Ci sono prove che le tue VM vengono utilizzate per il mining di criptovaluta o altre operazioni illecite?
    • Quali account di servizio sono stati aggiunti o rimossi?
    • Come sono configurati i firewall?
    • Quali bucket di archiviazione contengono informazioni che consentono l'identificazione personale (PII) o dati sensibili? Questa funzionalità richiede l'integrazione con Sensitive Data Protection.
    • Quali applicazioni cloud sono vulnerabili alle vulnerabilità cross-site-scripting (XSS)?
    • Ci sono dei miei bucket Cloud Storage aperti a internet?
  • Intervieni per proteggere i tuoi asset:
    • Implementare passaggi di correzione verificati per gli errori di configurazione degli asset e le violazioni della conformità.
    • Combina l'intelligence sulle minacce di Google Cloud e di provider di terze parti, come Palo Alto Networks, per proteggere meglio la tua azienda dalle costose minacce a livello di computing.
    • Assicurati che siano applicati i criteri IAM appropriati e ricevi avvisi quando i criteri vengono configurati in modo errato o modificati in modo imprevisto.
    • Integra i risultati delle tue origini o di terze parti per le risorse Google Cloud o altre risorse ibride o multi-cloud. Per ulteriori informazioni, vedi Aggiungere un servizio di sicurezza di terze parti.
    • Rispondere alle minacce nel tuo ambiente Google Workspace e ai cambiamenti non sicuri in Google Gruppi.

Configurazioni errate di identità e accesso

Security Command Center semplifica l'identificazione e la risoluzione dei rilevamenti di errori di configurazione dell'identità e dell'accesso su Google Cloud. La gestione dei problemi di sicurezza di identità e accessi è talvolta definita cloud Infrastructure entitlement management (CIEM).

I risultati relativi all'errata configurazione di Security Command Center identificano gli account principali (identities) configurati in modo errato o a cui vengono concesse autorizzazioni IAM eccessive o sensibili (identities) alle risorse Google Cloud.

Puoi visualizzare i risultati più gravi relativi a identità e accesso nel riquadro Risultati identità e accesso nella parte inferiore della pagina Panoramica di Security Command Center nella console Google Cloud.

Nella pagina Vulnerabilità della console Google Cloud, puoi selezionare preimpostazioni di query (query predefinite) che mostrano i rilevatori di vulnerabilità o le categorie correlate all'identità e all'accesso. Per ogni categoria viene visualizzato il numero di risultati attivi.

Per ulteriori informazioni sulle preimpostazioni di query, consulta Applicare le preimpostazioni di query.

Gestisci la conformità agli standard di settore

Security Command Center monitora la tua conformità con i rilevatori mappati ai controlli di un'ampia gamma di standard di sicurezza.

Per ogni standard di sicurezza supportato, Security Command Center controlla un sottoinsieme di controlli. Per i controlli selezionati, Security Command Center mostra quanti controlli vengono superati. Per i controlli che non vengono superati, Security Command Center mostra un elenco dei risultati che descrivono gli errori dei controlli.

Il CIS esamina e certifica le mappature dei rilevatori di Security Command Center a ogni versione supportata del benchmark CIS Google Cloud Foundations Benchmark. Ulteriori mapping di conformità sono inclusi solo a scopo di riferimento.

Security Command Center aggiunge periodicamente il supporto per nuovi standard e versioni di benchmark. Le versioni precedenti rimangono supportate, ma alla fine verranno ritirate. Ti consigliamo di utilizzare l'ultimo benchmark o standard supportato disponibile.

Con il servizio della postura di sicurezza, puoi mappare i criteri dell'organizzazione e i rilevatori di Security Health Analytics agli standard e ai controlli applicabili alla tua azienda. Dopo aver creato una postura di sicurezza, puoi monitorare eventuali modifiche all'ambiente che potrebbero influire sulla conformità della tua azienda.

Per maggiori informazioni sulla gestione della conformità, consulta Valutare e segnalare la conformità agli standard di sicurezza.

Standard di sicurezza supportati su Google Cloud

Security Command Center mappa i rilevatori per Google Cloud a uno o più dei seguenti standard di conformità:

Standard di sicurezza supportati su AWS

Security Command Center mappa i rilevatori per Amazon Web Services (AWS) a uno o più dei seguenti standard di conformità:

Piattaforma flessibile per soddisfare le tue esigenze di sicurezza

Security Command Center include opzioni di personalizzazione e integrazione che ti consentono di migliorare l'utilità del servizio per soddisfare le tue esigenze di sicurezza in continua evoluzione.

Opzioni di personalizzazione

Le opzioni di personalizzazione sono le seguenti:

Opzioni di integrazione

Le opzioni di integrazione includono:

Quando utilizzare Security Command Center

La seguente tabella include funzionalità generali del prodotto, casi d'uso e link alla documentazione pertinente per aiutarti a trovare rapidamente i contenuti di cui hai bisogno.

Selezione delle Casi d'uso Documenti correlati
Identificazione e revisione degli asset
  • Visualizza in un'unica posizione tutti gli asset, i servizi e i dati di tutta l'organizzazione o del progetto e da tutte le tue piattaforme cloud.
  • Valuta le vulnerabilità degli asset supportati e intervieni per dare priorità alle correzioni dei problemi più gravi.
 Best practice di Security Command Center

Controllo dell'accesso

Utilizzo di Security Command Center nella console Google Cloud
Identificazione dei dati sensibili
  • Scopri dove vengono archiviati i dati sensibili e regolamentati utilizzando Sensitive Data Protection.
  • Contribuisci a prevenire l'esposizione involontaria e assicurati che l'accesso sia basato solo su necessità.
  • Specifica automaticamente le risorse che contengono dati a sensibilità media o dati ad alta sensibilità come risorse di valore elevato.
 Invio dei risultati di Sensitive Data Protection a Security Command Center
Integrazione di prodotti SIEM e SOAR di terze parti
  • Esporta facilmente i dati di Security Command Center in sistemi SIEM e SOAR esterni.
 Esportazione dei dati di Security Command Center

Esportazioni continue
Rilevamento degli errori di configurazione Panoramica di Security Health Analytics

Panoramica di Web Security Scanner

Panoramica di Rapid Vulnerability Detection

Vulnerabilità rilevate

Rilevamento delle vulnerabilità software Panoramica di Web Security Scanner

Panoramica di Rapid Vulnerability Detection

Vulnerabilità rilevate

Monitoraggio del controllo di identità e accessi
  • Contribuisci a garantire che vengano implementati gli appropriati criteri di controllo dell'accesso in tutte le tue risorse Google Cloud e ricevi avvisi quando i criteri vengono configurati in modo errato o cambiano inaspettatamente.
  • Utilizza le preimpostazioni di query per visualizzare rapidamente i risultati relativi a configurazioni errate di identità e accessi e ai ruoli a cui sono state concesse autorizzazioni eccessive.
 Motore per suggerimenti IAM

Controllo dell'accesso

Errori di configurazione di identità e accesso

Rilevamento delle minacce
  • Rileva le attività e gli autori dannosi nella tua infrastruttura e ricevi avvisi per minacce attive.
  • Rileva le minacce su altre piattaforme cloud
 Gestire le minacce

Panoramica di Event Threat Detection

Panoramica di Container Threat Detection
Rilevamento degli errori
  • Ricevi avvisi su errori e configurazioni errate che impediscono a Security Command Center e ai suoi servizi di funzionare come previsto.
 Panoramica degli errori di Security Command Center
Assegna la priorità alle correzioni
  • Utilizza i punteggi di esposizione agli attacchi per dare priorità alla correzione dei risultati relativi a vulnerabilità ed errori di configurazione.
  • Utilizza i punteggi per l'esposizione agli attacchi sulle risorse per proteggere in modo proattivo le risorse più preziose per la tua azienda.
 Panoramica dei punteggi di esposizione agli attacchi e dei percorsi di attacco
Risolvere i rischi
  • Implementa istruzioni di correzione verificate e consigliate per salvaguardare rapidamente gli asset.
  • Concentrati sui campi più importanti dei risultati per aiutare gli analisti della sicurezza a prendere rapidamente decisioni informate per la classificazione.
  • Arricchisci e connetti le vulnerabilità e le minacce correlate per identificare e acquisire le TTP.
  • Risolvi gli errori e le configurazioni errate che impediscono a Security Command Center e ai suoi servizi di funzionare come previsto.
 Analisi e risposta alle minacce

Correzione dei risultati di Security Health Analytics

Correzione dei risultati di Web Security Scanner

Risultati di Rapid Vulnerability Detection e relative soluzioni

Automazione delle risposte di sicurezza

Correzione degli errori di Security Command Center
Gestione della postura
  • Assicurati che i tuoi carichi di lavoro siano conformi agli standard di sicurezza, alle normative di conformità e ai requisiti di sicurezza personalizzati della tua organizzazione.
  • Applica i controlli di sicurezza a progetti, cartelle o organizzazioni di Google Cloud prima di eseguire il deployment di qualsiasi carico di lavoro.
  • Monitora costantemente e risolvi eventuali deviazioni dai controlli di sicurezza che hai definito.
 Panoramica della postura di sicurezza

Gestisci una postura di sicurezza
Input da strumenti di sicurezza di terze parti
  • Integra in Security Command Center l'output dei tuoi strumenti di sicurezza esistenti come Cloudflare, CrowdStrike, Prisma Cloud di Palo Alto Networks e Qualys. L'integrazione dell'output può aiutarti a rilevare quanto segue:
    • Attacchi DDoS
    • Endpoint compromessi
    • Violazioni delle norme di conformità
    • Attacchi alla rete
    • Vulnerabilità e minacce delle istanze
 Configurazione di Security Command Center

Creazione e gestione delle origini di sicurezza
Notifiche in tempo reale
  • Ricevi avvisi da Security Command Center via email, SMS, Slack, WebEx e altri servizi con le notifiche Pub/Sub.
  • Modifica i filtri dei risultati per escludere i risultati nelle liste consentite.
 Configurazione delle notifiche sui risultati

Attivazione delle notifiche via email e chat in tempo reale

Utilizzo dei contrassegni di sicurezza

Esportazione dei dati di Security Command Center

Filtro delle notifiche

Aggiungi asset alle liste consentite
API REST e SDK client
  • Utilizza l'API REST o gli SDK client di Security Command Center per una facile integrazione con i flussi di lavoro e i sistemi di sicurezza esistenti.
Configurazione di Security Command Center

Accesso a Security Command Center in modo programmatico

API Security Command Center

Controlli per la residenza dei dati

Per soddisfare i requisiti di residenza dei dati, quando attivi Security Command Center Premium per la prima volta, puoi abilitare i controlli relativi alla residenza dei dati.

L'abilitazione dei controlli per la residenza dei dati limita l'archiviazione e l'elaborazione dei risultati di Security Command Center, della disattivazione delle regole, delle esportazioni continue e delle esportazioni di BigQuery in una delle località multiregionali di residenza dei dati supportate da Security Command Center.

Per ulteriori informazioni, vedi Pianificare per la residenza dei dati.

Livelli di servizio di Security Command Center

Security Command Center offre tre livelli di servizio: Standard, Premium ed Enterprise.

Il livello selezionato determina le funzionalità e i servizi disponibili con Security Command Center.

Se hai domande sui livelli di servizio di Security Command Center, contatta il rappresentante del tuo account o il team di vendita Google Cloud.

Per informazioni sui costi associati all'utilizzo di un livello di Security Command Center, consulta la pagina dei prezzi.

Livello Standard

Il livello Standard include i seguenti servizi e funzionalità:

  • Security Health Analytics: nel livello Standard, Security Health Analytics fornisce una scansione gestita della valutazione delle vulnerabilità per Google Cloud, in grado di rilevare automaticamente le vulnerabilità e gli errori di configurazione più gravi per i tuoi asset Google Cloud. Nel livello Standard, Security Health Analytics include i seguenti tipi di risultati:

    • Dataproc image outdated
    • Legacy authorization enabled
    • MFA not enforced
    • Non org IAM member
    • Open ciscosecure websm port
    • Open directory services port
    • Open firewall
    • Open group IAM member
    • Open RDP port
    • Open SSH port
    • Open Telnet port
    • Public bucket ACL
    • Public Compute image
    • Public dataset
    • Public IP address
    • Public log bucket
    • Public SQL instance
    • SSL not enforced
    • Web UI enabled
  • Scansioni personalizzate di Web Security Scanner: nel livello Standard, Web Security Scanner supporta le analisi personalizzate delle applicazioni di cui è stato eseguito il deployment con URL pubblici e indirizzi IP che non sono protetti da un firewall. Le scansioni vengono configurate, gestite ed eseguite manualmente per tutti i progetti e supportano un sottoinsieme di categorie nella top Ten OWASP.
  • Errori di Security Command Center: Security Command Center fornisce indicazioni per il rilevamento e la correzione degli errori di configurazione che impediscono il corretto funzionamento di Security Command Center e dei suoi servizi.
  • Funzionalità di esportazione continua, che gestisce automaticamente l'esportazione dei nuovi risultati in Pub/Sub.

  • Accesso ai servizi Google Cloud integrati, tra cui:

    • Sensitive Data Protection rileva, classifica e protegge i dati sensibili.
    • Google Cloud Armor protegge i deployment di Google Cloud dalle minacce.
    • Anomaly Detection identifica anomalie di sicurezza per i tuoi progetti e le tue istanze di macchine virtuali (VM), come la potenziale perdita di credenziali e il mining di criptovalute.
    • Policy Controller consente l'applicazione, anche forzata, dei criteri programmabili per i tuoi cluster Kubernetes.
  • Risultati della dashboard sulla strategia di sicurezza di GKE: visualizza i risultati su errori di configurazione della sicurezza dei carichi di lavoro Kubernetes, bollettini sulla sicurezza utilizzabili e vulnerabilità nel sistema operativo dei container o nei pacchetti di linguaggio. L'integrazione dei risultati della dashboard della strategia di sicurezza di GKE con Security Command Center è disponibile in anteprima.
  • Integrazione con BigQuery, che esporta i risultati in BigQuery per l'analisi.
  • Integrazione con Forseti Security, il toolkit di sicurezza open source per Google Cloud e con applicazioni di gestione degli eventi e delle informazioni di sicurezza di terze parti (SIEM).
  • Quando Security Command Center è attivato a livello di organizzazione, puoi concedere agli utenti ruoli IAM a livello di organizzazione, cartella e progetto.

Livello Premium

Il livello Premium include tutti i servizi e le funzionalità del livello Standard, nonché i seguenti servizi e funzionalità aggiuntivi:

  • Le simulazioni del percorso di attacco consentono di identificare e assegnare la priorità ai risultati di vulnerabilità ed errori di configurazione identificando i percorsi che un potenziale utente malintenzionato potrebbe seguire per raggiungere le tue risorse di alto valore. Le simulazioni calcolano e assegnano punteggi di esposizione agli attacchi ai risultati che espongono queste risorse. I percorsi di attacco interattivi ti aiutano a visualizzare i possibili percorsi di attacco e a fornire informazioni sui percorsi, sui risultati correlati e sulle risorse interessate.

  • I risultati delle vulnerabilità includono le valutazioni delle CVE fornite da Mandiant per aiutarti a stabilire le priorità di correzione.

    Nella pagina Panoramica della console, la sezione Principali risultati CVE mostra i risultati relativi alle vulnerabilità raggruppati per sfruttabilità e impatto potenziale, in base alla valutazione di Mandiant. Nella pagina Risultati puoi eseguire query sui risultati in base all'ID CVE.

    Per maggiori informazioni, consulta Assegna una priorità in base a impatto e sfruttabilità CVE.

  • Event Threat Detection monitora Cloud Logging e Google Workspace, utilizzando l'intelligence sulle minacce, il machine learning e altri metodi avanzati per rilevare minacce come malware, mining di criptovalute ed esfiltrazione di dati. Per un elenco completo dei rilevatori di Event Threat Detection integrati, vedi Regole di Event Threat Detection. Puoi anche creare rilevatori di Event Threat Detection personalizzati. Per informazioni sui modelli di modulo che puoi utilizzare per creare regole di rilevamento personalizzate, consulta la Panoramica dei moduli personalizzati per Event Threat Detection.
  • Container Threat Detection rileva i seguenti attacchi di runtime dei container:
    • Programma binario aggiuntivo eseguito
    • Libreria aggiuntiva caricata
    • Esecuzione: aggiunta esecuzione binaria dannosa
    • Esecuzione: aggiunta libreria dannosa caricata
    • Esecuzione: esecuzione binaria dannosa incorporata
    • Esecuzione: esecuzione binaria dannosa modificata
    • Esecuzione: libreria dannosa modificata caricata
    • Script dannoso eseguito
    • Shell inversa
    • Shell secondaria imprevista
  • Il servizio per le azioni sensibili rileva quando vengono eseguite azioni nell'organizzazione, nelle cartelle e nei progetti Google Cloud che potrebbero danneggiare la tua attività se vengono intraprese da un utente malintenzionato.
  • Virtual Machine Threat Detection rileva le applicazioni potenzialmente dannose in esecuzione nelle istanze VM.

  • Security Health Analytics al livello Premium include le seguenti funzionalità:

    • Scansioni delle vulnerabilità gestite per tutti i rilevatori di Security Health Analytics
    • Monitoraggio di molte best practice del settore
    • Monitoraggio della conformità. I rilevatori di Security Health Analytics corrispondono ai controlli dei benchmark di sicurezza comuni.
    • Supporto di moduli personalizzati, che puoi utilizzare per creare rilevatori personalizzati di Security Health Analytics.

    Nel livello Premium, Security Health Analytics supporta gli standard descritti in Gestire la conformità agli standard di settore.

  • Web Security Scanner nel livello Premium include tutte le funzionalità del livello Standard e rilevatori aggiuntivi che supportano le categorie di OWASP Top Ten. Web Security Scanner aggiunge anche scansioni gestite configurate automaticamente.

  • Monitoraggio della conformità in tutti i tuoi asset Google Cloud.

    Per misurare la tua conformità con standard e benchmark di sicurezza comuni, i rilevatori delle vulnerabilità di Security Command Center vengono mappati a controlli standard di sicurezza comuni.

    Puoi visualizzare la conformità agli standard, identificare i controlli non conformi, esportare report e altro ancora. Per maggiori informazioni, consulta Valutare e segnalare la conformità agli standard di sicurezza.

  • Puoi richiedere una quota aggiuntiva di Cloud Asset Inventory qualora fosse necessario un monitoraggio esteso degli asset.
  • Rapid Vulnerability Detection analizza reti e applicazioni web per rilevare credenziali inefficaci, installazioni di software incomplete e altre vulnerabilità critiche con un'alta probabilità di essere sfruttate.
  • Il servizio della postura di sicurezza consente di definire, valutare e monitorare lo stato generale della sicurezza in Google Cloud. Il servizio Security posture è disponibile solo nel livello Premium di Security Command Center per i clienti che acquistano un abbonamento a prezzo fisso e attivano il livello Premium di Security Command Center a livello di organizzazione. Il servizio Security posture non supporta la fatturazione basata sull'utilizzo o le attività a livello di progetto.
  • Il servizio Secured Landing Zone può essere abilitato solo nel livello Premium di Security Command Center. Se abilitato, questo servizio mostra risultati in caso di violazioni dei criteri nelle risorse del progetto base di cui è stato eseguito il deployment, genera gli avvisi corrispondenti e esegue in modo selettivo azioni di correzione automatica.
  • Report sulle vulnerabilità di VM Manager
    • Se abiliti VM Manager, il servizio scrive automaticamente in Security Command Center i risultati dei report sulle vulnerabilità, che sono in anteprima. I report identificano le vulnerabilità nei sistemi operativi installati sulle macchine virtuali di Compute Engine. Per maggiori informazioni, consulta VM Manager.

Livello Enterprise

Il livello Enterprise è una piattaforma CNAPP (Application Protection Platform) completamente cloud-native che consente agli analisti dei SOC, agli analisti delle vulnerabilità e ad altri professionisti della sicurezza cloud di gestire la sicurezza di più provider di servizi cloud in un'unica posizione centralizzata.

Il livello Enterprise offre funzionalità di rilevamento e indagine, supporto per la gestione dei casi e gestione della postura, compresa la possibilità di definire ed eseguire il deployment di regole di postura personalizzate e di quantificare e visualizzare il rischio che vulnerabilità e configurazioni errate rappresentano per il tuo ambiente cloud.

Il livello Enterprise include tutti i servizi e le funzionalità dei livelli Standard e Premium, nonché i seguenti servizi e funzionalità aggiuntivi:

Funzioni di livello Enterprise basate su Chronicle Security Operations

La funzione di gestione dei casi, le funzionalità di playbook e altre funzionalità SIEM e SOAR del livello Enterprise di Security Command Center sono basate su Chronicle Security Operations. Quando utilizzi alcune di queste funzionalità e funzioni, potresti vedere il nome Chronicle nell'interfaccia web e potresti essere indirizzato alla documentazione di Chronicle SecOps per indicazioni.

Alcune funzionalità di Chronicle SecOps non sono supportate o limitate con Security Command Center, ma il loro utilizzo potrebbe non essere disabilitato o limitato negli abbonamenti in anteprima al livello Enterprise. Utilizza le seguenti caratteristiche e funzioni solo in conformità con le limitazioni dichiarate:

  • L'importazione di log cloud è limitata ai log pertinenti per il rilevamento delle minacce cloud, come i seguenti:
    • Google Cloud
    • Log delle attività di amministrazione di Cloud Audit Logs
    • Log degli accessi ai dati di Cloud Audit Logs
    • Syslog di Compute Engine
    • Audit log di GKE
    • Google Workspace
    • Eventi di Google Workspace
    • Avvisi di Google Workspace
    • AWS
    • Audit log di CloudTrail
    • Syslog
    • Log di autenticazione
    • Eventi GuardDuty
  • I rilevamenti selezionati sono limitati a quelli che rilevano minacce negli ambienti cloud.
  • Le integrazioni di Google Cloud Marketplace sono limitate a quanto segue:
    • Amplificazione
    • Strumenti
    • VirusTotal V3
    • Google Cloud Asset Inventory
    • Google Security Command Center
    • Jira
    • Funzioni
    • Google Cloud IAM
    • Email V2
    • Google Cloud Computing
    • Google Chronicle
    • Att&o da crepa
    • Mandiant Threat Intelligence
    • Policy Intelligence di Google Cloud
    • Motore per suggerimenti Google Cloud
    • Utilità Siemplify
    • Servizio ora
    • CSV
    • SCC Enterprise
    • AWS IAM
    • EC2 AWS
  • Il numero di regole personalizzate per un singolo evento è limitato a 20.
  • Analisi del rischio per UEBA (analisi del comportamento di utenti ed entità) non è disponibile.
  • Applied Threat Intelligence non è disponibile.
  • Il supporto di Gemini per Chronicle SecOps è limitato alla ricerca in linguaggio naturale e ai riepiloghi delle indagini dei casi.
  • La conservazione dei dati è limitata a tre mesi.

Riepilogo dei servizi e delle funzioni di livello Enterprise

Il livello Enterprise include tutti i servizi e le funzionalità dei livelli Standard e Premium rilasciati in disponibilità generale.

Il livello Enterprise aggiunge a Security Command Center i seguenti servizi e funzionalità:

  • Supporto multi-cloud. Puoi connettere Security Command Center ad altri cloud provider, come AWS, per rilevare minacce, vulnerabilità e configurazioni errate. Inoltre, dopo aver specificato le risorse di alto valore sull'altro provider, puoi anche valutarne l'esposizione agli attacchi con punteggi di esposizione agli attacchi e percorsi di attacco.
  • Funzionalità SIEM (security information and event management) per ambienti cloud, basate su Chronicle SecOps. Esegui la scansione dei log e di altri dati per rilevare eventuali minacce in più ambienti cloud, definisci le regole di rilevamento delle minacce e cerca i dati accumulati. Per maggiori informazioni, consulta la documentazione di Chronicle SecOps SIEM.
  • Funzionalità SOAR (Security Orchestration, Automation and Response) per ambienti cloud, basate su Chronicle SecOps. Gestisci le richieste, definisci i flussi di lavoro di risposta e cerca i dati delle risposte. Per maggiori informazioni, consulta la documentazione di Chronicle SecOps SOAR.
  • Rilevamento esteso delle vulnerabilità software in VM e container nei tuoi ambienti cloud con la valutazione della vulnerabilità, VM Manager e la versione Google Kubernetes Engine (GKE) Enterprise.

Livelli di attivazione di Security Command Center

Puoi attivare Security Command Center su un singolo progetto, noto come attivazione a livello di progetto, o su un'intera organizzazione, nota come attivazione a livello di organizzazione.

Il livello Enterprise richiede un'attivazione a livello di organizzazione.

Per ulteriori informazioni sull'attivazione di Security Command Center, consulta la Panoramica dell'attivazione di Security Command Center.

Passaggi successivi