Visão geral do Security Command Center

Nesta página, você encontra uma visão geral do Security Command Center, uma solução de gerenciamento de riscos que, com o nível Enterprise, combina segurança de nuvem e operações de segurança corporativa, além de fornecer insights da experiência da Mandiant e da inteligência artificial Gemini.

O Security Command Center permite que analistas do centro de operações de segurança (SOC, na sigla em inglês), analistas de vulnerabilidade e postura, gerentes de conformidade e outros profissionais de segurança avaliem, investiguem e respondam rapidamente a problemas de segurança em vários ambientes de nuvem.

Toda implantação de nuvem tem riscos específicos. O Security Command Center ajuda a entender e avaliar a superfície de ataque dos seus projetos ou da organização no Google Cloud, assim como a superfície de ataque dos seus outros ambientes de nuvem. Configurado corretamente para proteger seus recursos, o Security Command Center pode ajudar você a entender as vulnerabilidades e ameaças detectadas nos seus ambientes de nuvem e priorizar as correções deles.

O Security Command Center integra-se a muitos serviços do Google Cloud para detectar problemas de segurança em ambientes de Esses serviços detectam problemas de várias maneiras, como verificar metadados de recursos, verificação de registros de nuvem, de contêineres e de máquinas virtuais.

Alguns desses serviços integrados, como o Chronicle Security Operations e o Mandiant, também oferecem recursos e informações essenciais para priorizar e gerenciar suas investigações e resposta aos problemas detectados.

Gerenciar ameaças

O Security Command Center usa os serviços integrados e integrados do Google Cloud para detectar ameaças. Esses serviços verificam os registros, os contêineres e as máquinas virtuais do Google Cloud em busca de indicadores de ameaças.

Quando alguns desses serviços, como o Event Threat Detection ou o Container Threat Detection, detectam um indicador de ameaça, eles emitem uma descoberta. Uma descoberta é um relatório ou registro de uma ameaça individual ou outro problema que um serviço encontrou no seu ambiente de nuvem. Os serviços que emitem descobertas também são chamados de descoberta de origens.

As descobertas acionam alertas que, dependendo da gravidade da descoberta, podem gerar um caso. Use um caso com um sistema de tíquetes para atribuir aos proprietários a investigação e a resposta a um ou mais alertas no caso. A geração de alertas e casos no Security Command Center é com tecnologia do Chronicle SecOps.

O Security Command Center detecta ameaças em vários ambientes de nuvem. Para detectar ameaças em outras plataformas de nuvem, o Security Command Center ingere os registros do outro provedor, depois que você estabelece uma conexão. A ingestão de registros é feita pelo Chronicle SecOps.

Para mais informações, consulte as seguintes páginas:

Recursos de detecção e resposta a ameaças

Com o Security Command Center, os analistas de SOC podem atingir as seguintes metas de segurança:

Detecte eventos nos ambientes de nuvem que indicam uma possível ameaça e faça a triagem das descobertas ou alertas associados.
Atribua proprietários e acompanhe o progresso de investigações e respostas com um fluxo de trabalho de caso integrado. Outra opção é integrar seus sistemas de tíquete preferidos, como o Jira ou o ServiceNow.
Investigue os alertas de ameaças com recursos avançados de pesquisa e referência.
Defina fluxos de trabalho de resposta e automatize ações para lidar com possíveis ataques nos seus ambientes de nuvem. Para mais informações sobre como definir fluxos de trabalho de resposta e ações automatizadas com playbooks, que usam a tecnologia do Chronicle SecOps, consulte Trabalhar com manuais.
Silenciar ou excluir descobertas ou alertas que sejam falsos positivos.
Foco em ameaças relacionadas a identidades comprometidas e permissões de acesso.
Use o Security Command Center para detectar, investigar e responder a possíveis ameaças em outros ambientes de nuvem, como a AWS.

Gerenciar vulnerabilidades

O Security Command Center oferece recursos abrangentes de detecção de vulnerabilidades, aproveitando uma variedade de serviços do Google Cloud para verificar automaticamente os recursos em seu ambiente em busca de vulnerabilidades de software, configurações incorretas e outros tipos de problemas de segurança que podem expor você a ataques. Juntos, esses tipos de problemas são chamados coletivamente de vulnerabilidades.

O Security Command Center usa os serviços integrados e integrados do Google Cloud para detectar problemas de segurança. Os serviços que emitem descobertas também são chamados de fontes. Quando um serviço detecta um problema, ele emite uma descoberta para registrá-lo.

Por padrão, os casos são abertos automaticamente para descobertas de vulnerabilidades de alta gravidade e gravidade crítica para ajudar você a priorizar a correção deles. É possível atribuir proprietários e acompanhar o progresso dos esforços de correção com um caso.

Para mais informações:

Vulnerabilidades de software

Para ajudar você a identificar, entender e priorizar vulnerabilidades de software, o Security Command Center avalia as máquinas virtuais (VMs) e os contêineres nos seus ambientes de nuvem em busca de vulnerabilidades. Para cada vulnerabilidade detectada, o Security Command Center fornece informações detalhadas em um registro ou descoberta de descoberta. As informações fornecidas com uma descoberta podem incluir:

Detalhes do recurso afetado
Informações sobre qualquer registro de CVE associado, incluindo uma avaliação da Mandiant sobre o impacto e a capacidade de exploração do item de CVE
Uma pontuação de exposição a ataques para ajudar você a priorizar a correção
Uma representação visual do caminho que um invasor pode seguir para os recursos de alto valor expostos pela vulnerabilidade.

Configurações incorretas

O Security Command Center mapeia os detectores dos serviços que verificam se há configurações incorretas nos controles dos padrões comuns de conformidade do setor. Além de mostrar os padrões de conformidade que uma configuração incorreta viola, o mapeamento permite que você tenha uma medida da sua conformidade com os vários padrões, que podem ser exportados como um relatório.

Para mais informações, consulte Avaliar e relatar compliance.

Violações de postura

Os níveis Premium e Enterprise do Security Command Center incluem o serviço de postura de segurança, que emite descobertas quando os recursos de nuvem violam as políticas definidas nas posturas de segurança implantadas no ambiente de nuvem.

Para mais informações, consulte Serviço de postura de segurança.

Validar a infraestrutura como código

É possível verificar se os arquivos de infraestrutura como código (IaC, na sigla em inglês) estão alinhados com as políticas definidas na sua organização do Google Cloud, incluindo as políticas definidas na sua postura de segurança. Esse recurso ajuda a garantir que você não implante recursos que violem os padrões da sua organização. Depois de definir as políticas da organização e, se necessário, ativar o serviço de Análise de integridade da segurança, use a Google Cloud CLI para validar o arquivo do plano do Terraform ou integre o processo de validação ao fluxo de trabalho do desenvolvedor do Jenkins ou GitHub Actions. Para mais informações, consulte Validar sua IaC de acordo com as políticas da sua organização.

Detecte vulnerabilidades e configurações incorretas em outras plataformas de nuvem

O Security Command Center Enterprise consegue detectar vulnerabilidades em vários ambientes de nuvem. Para detectar vulnerabilidades em outros provedores de serviços de nuvem, primeiro é necessário estabelecer uma conexão com o provedor para ingerir metadados de recursos.

Para mais informações, consulte Conectar-se à AWS para detecção de vulnerabilidades e avaliação de risco.

Recursos de gerenciamento de postura e vulnerabilidades

Com o Security Command Center, analistas de vulnerabilidades, administradores de postura e profissionais de segurança semelhantes podem atingir as metas de segurança a seguir:

Detecte diferentes tipos de vulnerabilidade, incluindo vulnerabilidades de software, configurações incorretas e violações de postura, que podem expor seus ambientes de nuvem a possíveis ataques.
Concentre seus esforços de resposta e correção nos problemas de maior risco usando as pontuações de exposição a ataques nas descobertas e alertas de vulnerabilidades.
Atribua proprietários e acompanhe o progresso das remediações de vulnerabilidade usando casos e integrando seus sistemas preferidos de tíquete, como o Jira ou o ServiceNow.
Proteja de forma proativa os recursos de alto valor nos ambientes de nuvem diminuindo as pontuações de exposição a ataques deles
Defina posturas de segurança personalizadas para seus ambientes de nuvem que o Security Command Center usa para avaliar sua postura e alertar sobre violações.
Silenciar ou excluir descobertas ou alertas que sejam falsos positivos.
Concentre-se em vulnerabilidades relacionadas a identidades e permissões excessivas.
Detecte e gerencie no Security Command Center avaliações de risco e vulnerabilidades para seus outros ambientes de nuvem, como a AWS.

Avalie riscos com pontuações de exposição e caminhos de ataque

Com ativações dos níveis Premium e Enterprise no nível da organização, o Security Command Center fornece pontuações de exposição a ataques para recursos de alto valor e as descobertas de vulnerabilidade e configuração incorreta que afetam esses recursos.

Use essas pontuações para priorizar a correção de vulnerabilidades e configurações incorretas, priorizar a segurança dos recursos de alto valor mais expostos e avaliar de maneira geral a exposição dos ambientes de nuvem a ataques.

No painel Vulnerabilidades ativas da página Visão geral do risco no console do Google Cloud, a guia Descobertas por pontuação de exposição a ataques mostra as descobertas com pontuações de exposição a ataques mais altas no seu ambiente, bem como a distribuição das pontuações de descoberta.

Para mais informações, consulte Pontuações de exposição a ataques e caminhos de ataque.

Gerenciar descobertas e alertas com casos

O Security Command Center Enterprise cria casos para ajudar você a gerenciar descobertas e alertas, atribuir proprietários e gerenciar as investigações e respostas para os problemas de segurança detectados. Para problemas de alta gravidade e crítica, os casos são abertos automaticamente.

É possível integrar casos ao sistema de criação de tíquetes de sua preferência, como o Jira ou o ServiceNow. Quando os casos são atualizados, todos os tíquetes abertos podem ser atualizados automaticamente. Da mesma forma, se um tíquete for atualizado, o caso correspondente também poderá ser atualizado.

A funcionalidade do caso usa a tecnologia do Chronicle SecOps.

Para mais informações, consulte Visão geral dos casos na documentação do Chronicle SecOps.

Defina fluxos de trabalho de resposta e ações automatizadas

Defina fluxos de trabalho de resposta e automatize ações para investigar e responder aos problemas de segurança detectados nos seus ambientes de nuvem.

Para mais informações sobre como definir fluxos de trabalho de resposta e ações automatizadas com manuais, que usam a tecnologia do Chronicle SecOps, consulte Trabalhar com manuais.

Suporte a várias nuvens: proteja suas implantações em outras plataformas de nuvem

É possível estender os serviços e os recursos do Security Command Center para cobrir suas implantações em outras plataformas de nuvem. Assim, é possível gerenciar em um único local todas as ameaças e vulnerabilidades detectadas em todos os ambientes de nuvem.

Para mais informações sobre como conectar o Security Command Center a outro provedor de serviços de nuvem, consulte as seguintes páginas:

Para detecção de ameaças, consulte Conectar-se à AWS para detecção de ameaças
Para pontuações de detecção de vulnerabilidades e exposição a ataques, consulte Conectar-se à AWS para detecção de vulnerabilidades e avaliação de risco

Provedores de serviços de nuvem compatíveis

O Security Command Center pode se conectar à Amazon Web Services (AWS).

Defina e gerencie posturas de segurança

Com as ativações dos níveis Premium e Enterprise do Security Command Center no nível da organização, é possível criar e gerenciar posturas de segurança que definem o estado necessário dos recursos de nuvem, incluindo a rede e os serviços de nuvem, para otimizar a segurança no ambiente de nuvem. É possível personalizar as posturas de segurança para atender às necessidades regulatórias e de segurança da sua empresa. Ao definir uma postura de segurança, é possível minimizar os riscos de segurança cibernética para sua organização e ajudar a evitar ataques.

Use o serviço de postura de segurança do Security Command Center para definir e implantar uma postura de segurança e detectar qualquer desvio ou alteração não autorizada da postura definida.

Esse serviço é ativado automaticamente quando você ativa o Security Command Center no nível da organização.

Para mais informações, consulte Visão geral da postura de segurança.

Identifique seus recursos

O Security Command Center inclui informações sobre os recursos do Inventário de recursos do Cloud, que monitora continuamente os recursos no seu ambiente de nuvem. Para a maioria dos recursos, as alterações de configuração, incluindo o IAM e as políticas da organização, são detectadas quase em tempo real.

Na página Recursos do console do Google Cloud, é possível aplicar, editar e executar rapidamente consultas de recursos de amostra, adicionar uma restrição de tempo predefinida ou criar suas próprias consultas de recursos.

Se você tiver o nível Premium ou Enterprise do Security Command Center, poderá ver quais recursos são designados como recursos de alto valor para avaliações de risco por simulações de caminho de ataque.

É possível identificar rapidamente mudanças na sua organização ou projeto e responder a perguntas como estas:

Quantos projetos você tem e quando eles foram criados?
Quais recursos do Google Cloud são implantados ou estão em uso, como máquinas virtuais (VMs) do Compute Engine, buckets do Cloud Storage ou instâncias do App Engine?
Qual é seu histórico de implantação?
Como organizar, anotar, pesquisar, selecionar, filtrar e classificar nas seguintes categorias:
- Recursos e propriedades do recurso
- Marcações de segurança, que permitem fazer anotações em recursos ou descobertas no Security Command Center
- Período

O Inventário de recursos do Cloud sempre sabe o estado atual dos recursos compatíveis e, no console do Google Cloud, permite revisar o histórico de verificações de descoberta para comparar recursos entre pontos no tempo. Também é possível procurar recursos subutilizados, como máquinas virtuais ou endereços IP inativos.

Recursos do Gemini no Security Command Center

O Security Command Center incorpora o Gemini para fornecer resumos das descobertas e dos caminhos de ataque, além de auxiliar nas pesquisas e investigações de ameaças e vulnerabilidades detectadas.

Para mais informações sobre o Gemini, consulte a Visão geral do Gemini.

Resumos de descobertas e caminhos de ataque no Gemini

Se você estiver usando o Security Command Center Enterprise ou Premium, o Genmini fornece explicações geradas dinamicamente de cada descoberta e de cada caminho de ataque simulado que o Security Command Center gera para descobertas de classe Vulnerability e Misconfiguration.

Os resumos são escritos em linguagem natural para ajudar você a entender e agir rapidamente com base nas descobertas e nos caminhos de ataque que possam acompanhá-los.

Os resumos aparecem nos seguintes locais no console do Google Cloud:

Ao clicar no nome de uma descoberta individual, o resumo na parte superior da página de detalhes da descoberta.
Com os níveis Premium e Enterprise do Security Command Center, se uma descoberta tiver uma pontuação de exposição a ataques, será possível exibir o resumo à direita do caminho clicando nela e em Resumo da IA.

Permissões do IAM necessárias para resumos gerados por IA

Para ver os resumos de IA, você precisa das permissões de IAM necessárias.

Para descobertas, você precisa da permissão securitycenter.findingexplanations.get do IAM. O papel do IAM predefinido com a menor permissão que contém essa permissão é o Leitor de descobertas da Central de segurança (roles/securitycenter.findingsViewer, na sigla em inglês).

Para caminhos de ataque, a permissão securitycenter.exposurepathexplan.get do IAM é necessária. O papel do IAM predefinido com a menor permissão possível que contém essa permissão é o Leitor de caminhos de exposição da Central de segurança (roles/securitycenter.exposurePathsViewer, na sigla em inglês).

Durante a visualização, essas permissões não estão disponíveis no console do Google Cloud para adicionar a papéis personalizados do IAM.

Para adicionar a permissão a um papel personalizado, use a CLI do Google Cloud.

Para informações sobre como usar a CLI do Google Cloud para adicionar permissões a um papel personalizado, consulte Criar e gerenciar papéis personalizados.

Pesquisa com linguagem natural para investigações de ameaças

Você pode gerar pesquisas por descobertas de ameaças, alertas e outras informações usando consultas de linguagem natural e o Gemini. A integração com o Gemini para pesquisas em linguagem natural é desenvolvida pelo Chronicle SecOps. Para mais informações, consulte Usar a linguagem natural para gerar consultas de pesquisa de UDM na documentação do Chronicle SecOps.

Widget de investigação de IA para casos

Para ajudar você a entender e investigar casos de descobertas e alertas, o Genmini fornece um resumo de cada caso e sugere as próximas etapas a serem seguidas para investigar o caso. O resumo e as próximas etapas aparecem no widget Investigação de IA quando você visualiza um caso.

Essa integração com o Gemini usa o Chronicle SecOps.

Insights de segurança acionáveis

Os serviços integrados e integrados do Google Cloud do Security Command Center monitoram continuamente seus recursos e registros em busca de indicadores de comprometimento e alterações de configuração que correspondam a ameaças, vulnerabilidades e configurações incorretas conhecidas. Para fornecer informações sobre incidentes, as descobertas são enriquecidas com informações das seguintes fontes:

Nos níveis Enterprise e Premium:
- Resumos gerados por IA que ajudam a entender e agir com relação às descobertas do Security Command Center e os caminhos de ataque incluídos nelas. Para mais informações, consulte Resumos gerados por IA.
- As descobertas de vulnerabilidade incluem informações das entradas de CVE correspondentes, incluindo a pontuação da CVE e avaliações da Mandiant sobre o possível impacto e o potencial de exploração da vulnerabilidade.
- Recursos avançados de pesquisa SIEM e SOAR com tecnologia do Chronicle SecOps, que permitem investigar ameaças e vulnerabilidades e analisar entidades relacionadas em uma linha do tempo unificada.
O VirusTotal, um serviço da Alphabet que fornece contexto sobre arquivos, URLs, domínios e endereços IP potencialmente maliciosos.
Framework MITRE ATT&CK, que explica técnicas de ataques contra recursos da nuvem e fornece orientação de correção.
Registros de auditoria do Cloud (registros de atividade do administrador e registros de acesso a dados).

Você recebe notificações de novas descobertas quase em tempo real, ajudando as equipes de segurança a coletar dados, identificar ameaças e agir de acordo com as recomendações antes que elas resultem em danos ou perdas aos negócios.

Com uma visualização centralizada da postura de segurança e uma API robusta, é possível fazer rapidamente o seguinte:

Responda a perguntas como estas:
- Quais endereços IP estáticos estão abertos ao público?
- Quais imagens estão sendo executadas nas VMs?
- Há evidências de que suas VMs estão sendo usadas para mineração de moedas ou outras operações abusivas?
- Quais contas de serviço foram adicionadas ou removidas?
- Como os firewalls são configurados?
- Quais buckets de armazenamento contêm informações de identificação pessoal (PII) ou dados confidenciais? Esse recurso requer integração com a Proteção de dados confidenciais.
- Quais aplicativos de nuvem são vulneráveis à vulnerabilidades entre scripts (XSS, na sigla em inglês)?
- Todos os meus buckets do Cloud Storage estão abertos à Internet?
Tome medidas para proteger seus recursos:
- Implemente etapas de remediação verificadas para configurações incorretas de recursos e violações de conformidade.
- Combine a inteligência de ameaça do Google Cloud e de provedores terceirizados, como a Palo Alto Networks, para proteger melhor sua empresa de ameaças caras às camadas de computação.
- Verifique se as políticas do IAM apropriadas estão em vigor e receba alertas quando as políticas forem configuradas incorretamente ou inesperadamente.
- Integre descobertas de fontes próprias ou de terceiros para recursos do Google Cloud ou outros recursos híbridos ou de multicloud. Confira mais informações em Como adicionar um serviço de segurança terceirizado.
- Responda a ameaças no ambiente do Google Workspace e a alterações não seguras no Grupos do Google.

Configurações incorretas de identidade e acesso

O Security Command Center facilita a identificação e a resolução de descobertas de configurações incorretas de identidade e acesso no Google Cloud. O gerenciamento de problemas de segurança de identidade e acesso às vezes é chamado de gerenciamento de direitos da infraestrutura em nuvem (CIEM).

As descobertas de configuração incorreta do Security Command Center identificam as contas principais (identities) que estão configuradas incorretamente ou que receberam permissões do IAM excessivas ou confidenciais (identities) aos recursos do Google Cloud.

É possível ver as descobertas mais graves de identidade e acesso no painel Descobertas de identidade e acesso, na parte inferior da página Visão geral do Security Command Center no console do Google Cloud.

Na página Vulnerabilidade no console do Google Cloud, é possível selecionar predefinições de consulta (consultas predefinidas) que mostram os detectores de vulnerabilidades ou as categorias relacionadas à identidade e ao acesso. O número de descobertas ativas é exibido para cada categoria.

Para saber mais sobre as predefinições de consulta, consulte Aplicar predefinições de consulta.

Gerencie a conformidade com os padrões do setor

O Security Command Center monitora sua conformidade com detectores que são mapeados para os controles de uma ampla variedade de padrões de segurança.

Para cada padrão de segurança compatível, o Security Command Center verifica um subconjunto dos controles. Nos controles marcados, o Security Command Center mostra quantos estão sendo aprovados. Para os controles que não estão sendo aprovados, o Security Command Center mostra uma lista de descobertas que descrevem as falhas de controle.

O CIS analisa e certifica os mapeamentos dos detectores do Security Command Center para cada versão compatível do CIS Google Cloud Foundations Benchmark. Outros mapeamentos de conformidade estão incluídos apenas para fins de referência.

O Security Command Center adiciona suporte a novas versões e padrões de comparação periodicamente. As versões mais antigas continuam com suporte, mas são descontinuadas. Recomendamos que você use o comparativo de mercado ou o padrão compatível mais recente disponível.

Com o serviço de postura de segurança, é possível mapear as políticas da organização e os detectores da Análise de integridade da segurança para os padrões e controles que se aplicam à sua empresa. Depois de criar uma postura de segurança, monitore as alterações no ambiente que possam afetar a conformidade da sua empresa.

Para mais informações sobre como gerenciar a conformidade, consulte Avaliar e relatar a conformidade com os padrões de segurança.

Padrões de segurança compatíveis com o Google Cloud

O Security Command Center mapeia os detectores do Google Cloud para um ou mais dos seguintes padrões de compliance:

Controles do Centro de Segurança da Informação (CIS) 8.0
Comparativo de mercado CIS do Google Cloud Computing Foundations v2.0.0, v1.3.0, v1.2.0, v1.1.0 e v1.0.0
Comparativo de mercado CIS do Kubernetes v1.5.1
Matriz de controles de nuvem (CCM) 4
Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA)
Organização Internacional de Normalização (ISO) 27001, 2022 e 2013 (em inglês)
Instituto Nacional de Padrões e Tecnologia (NIST) 800-53 R5 e R4 (em inglês)
NIST CSF 1.0
Open Web Application Security Project (OWASP) Top 10, 2021 e 2017
Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) 4.0 e 3.2.1
Controles de sistema e organização (SOC, na sigla em inglês) 2 Critérios de Serviços Confiáveis (TSC, na sigla em inglês) de 2017

Padrões de segurança com suporte na AWS

O Security Command Center mapeia os detectores da Amazon Web Services (AWS) para um ou mais dos seguintes padrões de conformidade:

CIS Amazon Web Services Foundations 2.0.0
Controles do CIS 8.0

Plataforma flexível para atender às suas necessidades de segurança

O Security Command Center inclui opções de personalização e integração que permitem melhorar o utilitário do serviço para atender às suas necessidades de segurança em evolução.

Opções de personalização

As opções de customização incluem:

criar módulos personalizados para o Security Health Analytics a fim de definir regras de detecção próprias para vulnerabilidades, configurações incorretas ou violações de conformidade;
criar módulos personalizados do Event Threat Detection para monitorar seu fluxo do Logging quanto a ameaças com base nos parâmetros especificados.
Crie posturas de segurança que ajudem a monitorar qualquer alteração no ambiente que possa afetar sua conformidade com vários padrões regulatórios.

Opções de integração

As opções de integração incluem:

Use o Pub/Sub para exportar as descobertas para o Splunk ou outras ferramentas de SIEM para análise.
Use o Pub/Sub e o Cloud Functions para corrigir as descobertas de maneira rápida e automática.
Acesse ferramentas de código aberto para expandir a funcionalidade e automatizar respostas.
Integre com as ferramentas de segurança do Google Cloud, incluindo as seguintes:
Integre com soluções de segurança de parceiros terceirizados:
- Os insights de segurança do Google Cloud provenientes de produtos parceiros são agregados no Security Command Center e você pode alimentá-los em sistemas e fluxos de trabalho atuais.

Quando usar o Security Command Center

A tabela a seguir inclui recursos de alto nível do produto, casos de uso e links para a documentação relevante, ajudando você a encontrar rapidamente o conteúdo necessário.

Engenharia de	Casos de uso	Documentos relacionados
Identificação e análise de recursos	Acesse em um só lugar todos os recursos, serviços e dados de toda a organização ou projeto e de todas as suas plataformas de nuvem. Avalie as vulnerabilidades dos recursos compatíveis e tome medidas para priorizar as correções dos problemas mais graves.	Práticas recomendadas do Security Command Center Controle de acesso Como usar o Security Command Center no console do Google Cloud
Identificação de dados confidenciais	Descubra onde dados confidenciais e regulamentados são armazenados usando a proteção de dados confidenciais. Evite exposição não intencional e garanta acesso necessário. Designe recursos que contêm dados de sensibilidade média ou alta como recursos de _alto valor automaticamente.	Como enviar resultados da Proteção de dados sensíveis para o Security Command Center
Integração de produtos SIEM e SOAR de terceiros	Exporte com facilidade os dados do Security Command Center para sistemas SIEM e SOAR externos.	Como exportar dados do Security Command Center Exportações contínuas
Detecção de configuração incorreta	Detecte configurações incorretas que podem deixar sua infraestrutura de nuvem vulnerável. Detecte configurações incorretas nas suas implantações em outros provedores de serviços em nuvem. Melhore sua conformidade com os padrões de segurança visualizando descobertas de configuração incorreta pelos controles padrão de segurança que violam as políticas. Priorizar a correção de descobertas de configuração incorreta pelas pontuações de exposição a ataques.	Visão geral da Análise de integridade da segurança Visão geral do Web Security Scanner Visão da detecção rápida de vulnerabilidades Descobertas de vulnerabilidades
Detecção de vulnerabilidades de software	Relacione as descobertas de vulnerabilidade com os controles padrão de segurança que elas violam. Receba alertas proativamente sobre novas vulnerabilidades e mudanças na superfície de ataque. Descubra vulnerabilidades comuns que colocam os aplicativos em risco, como scripting em vários locais (XSS) e injeção Flash. Com o Security Command Center Premium, priorize as descobertas de vulnerabilidade usando informações de CVE, incluindo avaliações de capacidade de exploração e impacto fornecidos pela Mandiant.	Visão geral do Web Security Scanner Visão da detecção rápida de vulnerabilidades Descobertas de vulnerabilidades
Monitoramento de controle de acesso e identidade	Ajude a garantir que as políticas de controle de acesso apropriadas estejam em vigor nos recursos do Google Cloud e receba alertas quando as políticas forem configuradas incorretamente ou forem alteradas inesperadamente. Use predefinições de consulta para encontrar rapidamente descobertas de configurações incorretas de identidade e acesso e papéis com permissões em excesso.	Recomendador do IAM Controle de acesso Configurações incorretas de identidade e acesso
Detecção de ameaças	Detecte atividades e agentes maliciosos na sua infraestrutura e receba alertas de ameaças ativas. Detecte ameaças em outras plataformas de nuvem	Gerenciar ameaças Visão geral da detecção de ameaças de eventos Visão geral da detecção de ameaças de contêiner
Detecção de erros	Receba alertas sobre erros e configurações incorretas que impedem o funcionamento correto do Security Command Center e dos serviços.	Visão geral dos erros do Security Command Center
Priorizar correções	Use as pontuações de exposição a ataques para priorizar a correção de descobertas de vulnerabilidade e configuração incorreta. Use pontuações de exposição a ataques em recursos para proteger proativamente os recursos mais valiosos para sua empresa.	Visão geral das pontuações e caminhos de exposição a ataques
Riscos para correção	Implemente instruções de correção verificadas e recomendadas para proteger os recursos rapidamente. Concentre-se nos campos mais importantes em uma descoberta para ajudar os analistas de segurança a tomar decisões de triagem informadas rapidamente. Enriqueça e conecte vulnerabilidades e ameaças relacionadas para identificar e capturar TTPs. Resolva erros e configurações incorretas que impedem o funcionamento do Security Command Center e seus serviços como esperado.	Investigar e responder a ameaças Como corrigir as descobertas da análise de integridade de segurança Como corrigir descobertas do Web Security Scanner Descobertas e correções do Rapid Vulnerability Detection Automação de resposta de segurança Como corrigir erros do Security Command Center
Gerenciamento de postura	Garanta que suas cargas de trabalho estejam em conformidade com os padrões de segurança, os regulamentos de conformidade e os requisitos de segurança personalizados da sua organização. Aplique seus controles de segurança a projetos, pastas ou organizações do Google Cloud antes de implantar qualquer carga de trabalho. Monitore e resolva continuamente qualquer desvio dos controles de segurança definidos.	Visão geral da postura de segurança Gerenciar uma postura de segurança
Informações de ferramentas de segurança de terceiros	Integre os resultados das suas ferramentas de segurança atuais, como Cloudflare, CrowdStrike, Prisma Cloud de Palo Alto Networks e Qualys, no Security Command Center. A integração da saída pode ajudar a detectar: Ataques DDoS Endpoints comprometidos Violações da política de conformidade Ataques de rede Vulnerabilidades e ameaças de instâncias	Como configurar o Security Command Center Como criar e gerenciar fontes de segurança
Notificações em tempo real	Receba alertas do Security Command Center por e-mail, SMS, Slack, WebEx e outros serviços com notificações do Pub/Sub. Ajustar filtros de descoberta para excluir descobertas em listas de permissões.	Como configurar as notificações de localização Como ativar notificações de chat e e-mail em tempo real Como usar marcações de segurança Como exportar dados do Security Command Center Como filtrar notificações Adicionar recursos a listas de permissões
API REST e SDKs de cliente	Use a API REST do Security Command Center ou os SDKs do cliente para facilitar a integração com seus sistemas de segurança e fluxos de trabalho atuais.	Como configurar o Security Command Center Como acessar o Security Command Center de maneira programática API Security Command Center

Controles de residência de dados

Para atender aos requisitos de residência de dados, é possível ativar os controles de residência de dados ao ativar o Security Command Center Premium pela primeira vez.

A ativação dos controles de residência de dados restringe o armazenamento e o processamento de descobertas do Security Command Center, regras de silenciamento, exportações contínuas e exportações do BigQuery para uma das multirregiões de residência de dados compatíveis com o Security Command Center.

Para mais informações, consulte Planejamento para a residência de dados.

Níveis de serviço do Security Command Center

O Security Command Center oferece três níveis de serviço: Standard, Premium e Enterprise.

O nível selecionado determina os recursos e serviços disponíveis no Security Command Center.

Se você tiver dúvidas sobre os níveis de serviço do Security Command Center, entre em contato com seu representante de contas ou com as vendas do Google Cloud.

Para mais informações sobre os custos associados ao uso de um nível do Security Command Center, consulte Preços.

Nível Standard

O nível Standard inclui os seguintes serviços e recursos:

Análise de integridade da segurança: no nível Standard, ela oferece verificações gerenciadas de avaliação de vulnerabilidades para o Google Cloud, capazes de detectar automaticamente as vulnerabilidades mais graves e configurações incorretas dos recursos do Google Cloud. No nível Standard, o Security Health Analytics inclui os seguintes tipos de resultados:
- Dataproc image outdated
- Legacy authorization enabled
- MFA not enforced
- Non org IAM member
- Open ciscosecure websm port
- Open directory services port
- Open firewall
- Open group IAM member
- Open RDP port
- Open SSH port
- Open Telnet port
- Public bucket ACL
- Public Compute image
- Public dataset
- Public IP address
- Public log bucket
- Public SQL instance
- SSL not enforced
- Web UI enabled
Verificações personalizadas do Web Security Scanner: no nível Standard, essa ferramenta admite verificações personalizadas de aplicativos implantados com URLs e endereços IP públicos que não estão protegidos por firewall. As verificações são configuradas, gerenciadas e executadas manualmente para todos os projetos e são compatíveis com um subconjunto de categorias em OWASP Top Ten
Erros do Security Command Center: o Security Command Center fornece orientações de detecção e correção para erros de configuração que impedem o funcionamento correto do Security Command Center e dos serviços dele.
Recurso de exportações contínuas, que gerencia automaticamente a exportação de novas descobertas para o Pub/Sub.
Acesso a serviços integrados do Google Cloud, incluindo os seguintes:
- A proteção de dados confidenciais descobre, classifica e protege dados confidenciais.
- O Google Cloud Armor protege as implantações do Google Cloud contra ameaças
- A detecção de anomalias identifica anomalias de segurança dos seus projetos e instâncias de máquina virtual (VM), como possíveis credenciais vazadas e mineração de moedas.
- O Policy Controller permite a aplicação de políticas programáveis nos clusters do Kubernetes.
Descobertas do painel de postura de segurança do GKE: confira descobertas sobre configurações incorretas de segurança da carga de trabalho do Kubernetes, boletins de segurança acionáveis e vulnerabilidades no sistema operacional do contêiner ou em pacotes de idiomas. A integração das descobertas do painel de postura de segurança do GKE com o Security Command Center está disponível em Pré-lançamento.
Integração com o BigQuery, que exporta descobertas para o BigQuery para análise.
Integração com o Forseti Security, o kit de ferramentas de segurança de código aberto para o Google Cloud e aplicativos de gerenciamento de eventos e informações de segurança (SIEM, na sigla em inglês) de terceiros.
Quando o Security Command Center está ativado no nível da organização, é possível conceder aos usuários papéis do IAM nos níveis da organização, da pasta e do projeto.

Nível Premium

O nível Premium inclui todos os serviços e recursos do nível Standard, além dos seguintes serviços e recursos adicionais:

As simulações de caminho de ataque ajudam a identificar e priorizar descobertas de vulnerabilidade e configurações incorretas, identificando os caminhos que um possível invasor pode seguir para alcançar seus recursos de alto valor. As simulações calculam e atribuem pontuações de exposição a ataques a qualquer descoberta que exponha esses recursos. Os caminhos de ataque interativos ajudam a visualizar os possíveis caminhos de ataque e fornecer informações sobre os caminhos, as descobertas relacionadas e os recursos afetados.
As descobertas de vulnerabilidade incluem avaliações de CVE fornecidas pela Mandiant para ajudar você a priorizar a correção delas.

Na página Visão geral do console, a seção Principais descobertas de CVE mostra as descobertas de vulnerabilidade agrupadas por exploração e possível impacto, conforme avaliado pela Mandiant. Na página Descobertas, é possível consultar as descobertas pelo ID da CVE.

Para mais informações, acesse Priorizar por impacto e vulnerabilidade a exploração da CVE.
O Event Threat Detection monitora o Cloud Logging e o Google Workspace, usando inteligência contra ameaças, machine learning e outros métodos avançados para detectar ameaças, como malware, mineração de criptomoeda e exfiltração de dados. Para uma lista completa de detectores integrados do Event Threat Detection, consulte Regras do Event Threat Detection. Também é possível criar detectores personalizados do Event Threat Detection. Para mais informações sobre modelos de módulo que podem ser usados para criar regras de detecção personalizadas, consulte Visão geral de módulos personalizados do Event Threat Detection.
O Container Threat Detection detecta os seguintes ataques ao ambiente de execução do contêiner:
- Adição de binário executado
- Adição de biblioteca carregada
- Execução: binário malicioso executado
- Execução: biblioteca maliciosa carregada
- Execução: Criado em binário malicioso executado
- Execução: binário malicioso modificado, executado
- Execução: biblioteca maliciosa modificada carregada
- Script malicioso executado
- Shell reverso
- Shell filho inesperado
O Serviço de ações confidenciais detecta quando ações na sua organização do Google Cloud, pastas e projetos podem ser prejudiciais à sua empresa se forem realizadas por um usuário mal-intencionado.
O Detecção de ameaças a máquinas virtuais detecta aplicativos potencialmente maliciosos em execução em instâncias de VM.
O Security Health Analytics no nível Premium inclui os seguintes recursos:
- Verificações de vulnerabilidades gerenciadas para todos os detectores do Security Health Analytics
- Monitoramento de muitas práticas recomendadas do setor
- Monitoramento de conformidade. Os detectores da Análise de integridade da segurança são mapeados para os controles dos comparativos de mercado comuns de segurança.
- Suporte de módulo personalizado, que você pode usar para criar seus próprios detectores personalizados do Security Health Analytics.
No nível Premium, o Security Health Analytics oferece suporte aos padrões descritos em Gerenciar a conformidade com os padrões do setor.
O Web Security Scanner no nível Premium inclui todos os recursos do nível Standard e outros detectores compatíveis com categorias no OWASP Top 10.
Observação: a categoria A09:2021 Falhas de geração de registros e monitoramento de segurança (anteriormente A10:2017 Geração de registros e monitoramento insuficientes)) não é compatível. Essa categoria descreve insuficiências que permitem que os invasores continuem sem ser detectados. Ao contrário das outras nove categorias do OWASP, isso não se refere a vulnerabilidades específicas que os invasores possam explorar. Da mesma forma, o Web Security Scanner não pode atacar aplicativos da Web para provocar uma resposta detectável. Os problemas incluídos nessa categoria exigem julgamento humano.
O Web Security Scanner também adiciona verificações gerenciadas que são configuradas automaticamente.
Monitoramento de conformidade em todos os recursos do Google Cloud.

Para medir sua conformidade com padrões e comparativos de mercado de segurança comuns, os detectores dos verificadores de vulnerabilidades do Security Command Center são associados a controles padrão de segurança comuns.

É possível consultar sua conformidade com os padrões, identificar controles que não estão em conformidade, exportar relatórios e muito mais. Para mais informações, consulte Avaliar e relatar a conformidade com os padrões de segurança.
Será possível solicitar uma cota adicional do Inventário de recursos do Cloud se a necessidade de monitoramento estendido de recursos surgir.
A detecção rápida de vulnerabilidades verifica as redes e os aplicativos da Web para detectar credenciais fracas, instalações de software incompletas e outras vulnerabilidades críticas com alta probabilidade de serem exploradas.

Visualização

Esse recurso está sujeito aos "Termos de ofertas pré-GA" na seção "Termos de Serviço gerais" dos Termos específicos de serviço. Os recursos pré-GA estão disponíveis "no estado em que se encontram" e podem ter suporte limitado. Para mais informações, consulte as descrições da fase de lançamento.
O serviço de postura de segurança permite definir, avaliar e monitorar o status geral da segurança no Google Cloud. Ele está disponível apenas no nível Premium do Security Command Center para clientes que comprarem uma assinatura de preço fixo e ativarem o nível Premium no nível da organização. O serviço de postura de segurança não é compatível com faturamento com base no uso ou atividades no nível do projeto.
O serviço da Zona de destino segura só pode ser ativado no nível Premium do Security Command Center. Quando ativado, esse serviço exibe descobertas se houver violações de política nos recursos do blueprint implantado, gera alertas correspondentes e realiza medidas de correção automáticas.

Visualização

Esse recurso está sujeito aos "Termos de ofertas pré-GA" na seção "Termos de Serviço gerais" dos Termos específicos de serviço. Os recursos pré-GA estão disponíveis "no estado em que se encontram" e podem ter suporte limitado. Para mais informações, consulte as descrições da fase de lançamento.
Relatórios de vulnerabilidade do VM Manager

Visualização

Esse recurso está sujeito aos "Termos de ofertas pré-GA" na seção "Termos de Serviço gerais" dos Termos específicos de serviço. Os recursos pré-GA estão disponíveis "no estado em que se encontram" e podem ter suporte limitado. Para mais informações, consulte as descrições da fase de lançamento.
- Se você ativar o VM Manager, o serviço gravará automaticamente as descobertas dos relatórios de vulnerabilidade que estão em fase de pré-lançamento no Security Command Center. Os relatórios identificam vulnerabilidades nos sistemas operacionais instalados em máquinas virtuais do Compute Engine. Para mais informações, consulte VM Manager.

Nível empresarial:

O nível Enterprise é uma plataforma completa de proteção de aplicativos nativos da nuvem (CNAPP, na sigla em inglês) que permite que analistas de SOC, analistas de vulnerabilidades e outros profissionais de segurança na nuvem gerenciem a segurança em vários provedores de serviços em nuvem em um único local.

O nível Enterprise oferece recursos de detecção e investigação, suporte ao gerenciamento de casos e gerenciamento de postura, incluindo a capacidade de definir e implantar regras de postura personalizadas e quantificar e visualizar o risco que vulnerabilidades e configurações incorretas representam para o ambiente de nuvem.

O nível Enterprise inclui todos os serviços e recursos dos níveis Standard e Premium, além dos seguintes serviços e recursos extras:

Funções de nível Enterprise com tecnologia do Chronicle Security Operations

A função de gerenciamento de casos, os recursos do manual e outras funcionalidades de SIEM e SOAR do nível Enterprise do Security Command Center são alimentadas pelo Chronicle Security Operations. Ao usar alguns desses recursos e funções, você verá o nome do Chronicle na interface da Web e poderá ser direcionado à documentação do Chronicle SecOps para orientação.

Alguns recursos do Chronicle SecOps não têm suporte ou são limitados com o Security Command Center, mas o uso deles pode não ser desativado ou limitado nas assinaturas iniciais do nível Enterprise. Use os seguintes recursos e funções somente de acordo com as limitações declaradas:

O processamento de registros de nuvem é limitado aos registros relevantes para a detecção de ameaças na nuvem, como os seguintes:
- Google Cloud
- Registros de auditoria do Cloud Registros de atividade do administrador
- Registros de auditoria do Cloud Registros de acesso a dados
- Syslog do Compute Engine
- Registro de auditoria do GKE
- Google Workspace
- Eventos do Google Workspace
- Alertas do Google Workspace
- AWS
- Registros de auditoria do CloudTrail
- Syslog
- Registros de autenticação
- Eventos do GuardDuty
As detecções selecionadas são limitadas àquelas que detectam ameaças em ambientes de nuvem.
As integrações do Google Cloud Marketplace são limitadas aos seguintes itens:
- Siemplify
- Ferramentas
- VirusTotal V3
- Inventário de recursos do Google Cloud
- Google Security Command Center
- Jira
- Funções
- Google Cloud IAM
- E-mail V2
- Google Cloud Compute
- Google Chronicle
- Mitre
- Inteligência contra ameaças da Mandiant
- Policy Intelligence do Google Cloud
- Recomendador do Google Cloud
- Utilitários Siemplify
- Service Now
- CSV
- SCC Enterprise
- AWS IAM
- AWS EC2
O número de regras personalizadas de evento único está limitado a 20.
A análise de risco para a UEBA (análise de comportamento de usuários e entidades) não está disponível.
O Applied Threat Intelligence não está disponível.
O suporte do Gemini para o Chronicle SecOps é limitado a resumos de pesquisa e investigação de caso em linguagem natural.
A retenção de dados é limitada a três meses.

Resumo dos serviços e funções do nível Enterprise

O nível Enterprise inclui todos os serviços e recursos dos níveis Standard e Premium, com exceção da residência de dados.

O nível Enterprise adiciona os seguintes serviços e recursos ao Security Command Center:

Compatibilidade com várias nuvens. Conecte o Security Command Center a outros provedores de nuvem, como o AWS, para detectar ameaças, vulnerabilidades e configurações incorretas. Além disso, depois de especificar seus recursos de alto valor no outro provedor, você também pode avaliar a exposição deles com pontuações de exposição e caminhos de ataque.
Recursos de gerenciamento de eventos e informações de segurança (SIEM, na sigla em inglês) para ambientes de nuvem com a tecnologia do Chronicle SecOps. Verifique registros e outros dados em busca de ameaças para vários ambientes de nuvem, defina regras de detecção de ameaças e pesquise os dados acumulados. Para mais informações, consulte a documentação do Chronicle SecOps SIEM.
Recursos SOAR (orquestração, automação e resposta de segurança) para ambientes de nuvem com a tecnologia do Chronicle SecOps. Gerencie casos, defina fluxos de trabalho de resposta e pesquise os dados das respostas. Para mais informações, consulte a documentação do Chronicle SecOps SOAR.
Detecção expandida de vulnerabilidades de software em VMs e contêineres em todos os ambientes de nuvem com a Avaliação de vulnerabilidades, o VM Manager e a edição Google Kubernetes Engine (GKE) Enterprise.

Níveis de ativação do Security Command Center

É possível ativar o Security Command Center em um projeto específico, conhecido comoativação no nível do projeto ou uma organização inteira, conhecida comoativação no nível da organização (em inglês).

O nível Enterprise requer uma ativação no nível da organização.

Para mais informações sobre como ativar o Security Command Center, consulte Visão geral da ativação do Security Command Center.

A seguir

Saiba mais sobre como ativar o Security Command Center.
Saiba mais sobre as fontes de segurança do Security Command Center.
Saiba como usar o Security Command Center no console do Google Cloud.