En esta página, se proporciona una descripción general de Security Command Center, una solución de administración de riesgos que, con el nivel Enterprise, combina la seguridad en la nube y las operaciones de seguridad empresarial, y proporciona estadísticas de la experiencia de Mandiant y la inteligencia artificial de Gemini.
Security Command Center permite operaciones de seguridad (SOC), analistas de vulnerabilidades y posturas, analistas de cumplimiento administradores de seguridad y otros profesionales de seguridad para evaluar, investigar y responder a los problemas de seguridad en múltiples entornos de nube.
Cada implementación de nube tiene riesgos únicos. Security Command Center puede ayudarte a comprender y evaluar la superficie de ataque de sus proyectos organización en Google Cloud, así como la superficie de ataque de tus otros entornos de nube. Si se configura correctamente para proteger tus recursos, Security Command Center puede ayudarte a comprender las vulnerabilidades y amenazas detectadas en tus entornos de nube, y a priorizar sus correcciones.
Security Command Center se integra en muchos servicios de Google Cloud para detectar problemas de seguridad en entornos de múltiples nubes. Estos servicios detectar problemas de diversas formas, como analizar metadatos de recursos, analizar registros en la nube, analizar contenedores y analizar máquinas virtuales.
Algunos de estos servicios integrados, como Google Security Operations y Mandiant, también proporcionan capacidades e información que fundamental para priorizar y gestionar tus investigaciones y respuesta a los problemas detectados.
Administra las amenazas
En los niveles Premium y Enterprise, Security Command Center usa servicios integrados y integrados de Google Cloud para detectar amenazas. Estos servicios analizan tus registros, contenedores y máquinas virtuales de Google Cloud en busca de indicadores de amenazas.
Cuando estos servicios, como Event Threat Detection o Container Threat Detection, detectan un indicador de amenaza, emite un hallazgo. Un hallazgo es un informe o registro de una amenaza individual o algún otro problema que un servicio encontró en tu entorno de nube. Los servicios que emiten resultados también se conocen como fuentes de resultados.
En Security Command Center Enterprise, los resultados activan alertas, las cuales según la gravedad del hallazgo, Puede generar un caso. Puedes usar un caso con un sistema de tickets para asignar propietarios a la investigación de una o más alertas y responder a ellas según corresponda.
Security Command Center Enterprise también puede detectar amenazas en tus implementaciones en otras plataformas en la nube. Para detectar amenazas en implementaciones en otras plataformas en la nube, Security Command Center transfiere los registros de la otra plataforma en la nube, después de que establecer una conexión.
Si deseas obtener más información, consulta las siguientes páginas:
- Fuentes de seguridad contra amenazas
- Documentación de Google SecOps
- Administra los hallazgos y las alertas con los casos
Funciones de detección y respuesta ante amenazas
Con Security Command Center, los analistas del SOC pueden lograr las siguientes medidas de seguridad objetivos:
- Detecta eventos en tus entornos de nube que indiquen una amenaza potencial y los resultados o las alertas asociados.
- Asignar propietarios y hacer un seguimiento del progreso de las investigaciones y las respuestas con un de casos integrados. Si lo deseas, puedes integrar tus apps como Jira o ServiceNow.
- Investigar las alertas de amenazas con una potente búsqueda y referencia cruzada capacidades de integración.
- Define flujos de trabajo de respuesta y automatiza las acciones para abordar posibles en tus entornos de nube. Para obtener más información sobre la definición de respuesta ante incidentes y acciones automatizadas con guías, consulta Trabaja con guías.
- Silencia o excluye los resultados o las alertas que sean falsos positivos.
- Concéntrese en las amenazas relacionadas con las identidades comprometidas y los permisos de acceso.
- Usa Security Command Center para detectar, investigar y responder a posibles en tus otros entornos de nube, como AWS.
Administra vulnerabilidades
Security Command Center brinda detección integral de vulnerabilidades, analizar automáticamente los recursos de tu entorno para las vulnerabilidades de software, los errores de configuración y otros tipos de problemas que podrían exponerte a un ataque. Juntos, estos tipos de problemas son a las que se denomina colectivamente vulnerabilidades.
Security Command Center usa funciones integradas servicios integrados de Google Cloud para detectar problemas de seguridad. Los servicios que emiten hallazgos también se conocen como fuentes de resultados. Cuando un servicio detecta un problema, emite un hallazgo para registrarlo.
De forma predeterminada, los casos se abren automáticamente en casos de gravedad alta y los hallazgos de vulnerabilidades de gravedad crítica para ayudarte a priorizar sus la solución de problemas. Puedes asignar propietarios y hacer un seguimiento del progreso de la solución. con un caso.
Para obtener más información, consulta lo siguiente:
- Administra los hallazgos y las alertas con los casos
- Servicios de detección de vulnerabilidades y parámetros de configuración incorrectos
Combinaciones tóxicas
El motor de riesgo de Security Command Center, una función del nivel Enterprise, detecta grupos de problemas de seguridad que, cuando ocurren juntos en un patrón determinado, crean una ruta de acceso a uno o más de tus recursos de alto valor que un atacante determinado podría usar para llegar a ellos y vulnerarlos.
Este tipo de grupo patrón de problemas de seguridad se conoce como combinación tóxica. Cuando Risk Engine detecta una combinación tóxica, emite un hallazgo. Para cada hallazgo de combinación tóxica, Security Command Center crea un caso en la consola de operaciones de seguridad para controlar y rastrear la resolución de la combinación tóxica.
Para obtener más información, consulta Descripción general de las combinaciones tóxicas.
Vulnerabilidades de software
Para ayudarte a identificar, comprender y priorizar las vulnerabilidades de software, Security Command Center puede evaluar las máquinas virtuales (VMs) y los contenedores en tus entornos de nube en busca de vulnerabilidades. Para cada detección Security Command Center brinda información detallada sobre un registro de hallazgo o hallazgo. La información proporcionada con un hallazgo incluyen:
- Detalles del recurso afectado
- Información sobre cualquier registro de CVE asociado, incluida una evaluación por parte de Mandiant del impacto y la capacidad de explotación del elemento de CVE
- Una puntuación de exposición a ataques para ayudarte a priorizar la corrección
- Una representación visual del camino que un atacante podría tomar hacia la recursos de alto valor expuestos por la vulnerabilidad
Los siguientes servicios detectan las vulnerabilidades de software:
- VM Manager para sistemas operativos en máquinas virtuales de Compute Engine
- Panel de postura de seguridad de Google Kubernetes Engine para los sistemas operativos en contenedores
- Evaluación de vulnerabilidades para Amazon Web Services (AWS) para instancias de EC2 en AWS
- Web Security Scanner para aplicaciones web que se ejecutan en App Engine, Google Kubernetes Engine (GKE) y Compute Engine
Parámetros de configuración incorrectos
Security Command Center asigna los detectores de los servicios que buscan errores de configuración en los controles de los estándares comunes de cumplimiento de la industria. Además de mostrarte los estándares de cumplimiento que incumple una configuración incorrecta, la asignación te permite ver una medida de tu cumplimiento con los diversos estándares, que luego puedes exportar como un informe.
Para obtener más información, consulta Evalúa y, luego, informa el cumplimiento.
Incumplimientos de postura
Los niveles Premium y Enterprise de Security Command Center incluyen lo siguiente: postura de seguridad en la nube, que emite hallazgos cuando tu los recursos en la nube infringen las políticas que se definen en la de seguridad que implementaste en tu entorno de nube.
Para obtener más información, consulta Servicio de postura de seguridad.
Valida la infraestructura como código
Puedes verificar que los archivos de infraestructura como código (IaC) se alineen con el las políticas de la organización y los detectores de Security Health Analytics que defines en tu organización de Google Cloud. Esta función ayuda a garantizar que no implementes que infringen los estándares de tu organización. Después de definir políticas de la organización y, de ser necesario, habilitar Security Health Analytics servicio, puedes usar Google Cloud CLI para validar tu archivo Terraform plan, o puedes integrar el proceso de validación en Cloud Build, Jenkins o Flujo de trabajo para desarrolladores de acciones de GitHub Para obtener más información, consulta Valida la IaC en función de las políticas de la organización.
Detecta vulnerabilidades y parámetros de configuración incorrectos en otras plataformas en la nube.
Security Command Center Enterprise puede detectar vulnerabilidades en múltiples entornos de nube. Para detectar vulnerabilidades en otros servicios en la nube proveedores, primero debes establecer una conexión con el proveedor para transferir metadatos de recursos.
Para obtener más información, consulta Conéctate a AWS para detectar vulnerabilidades y evaluar riesgos.
Funciones de administración de posturas y vulnerabilidades
Con Security Command Center, los analistas de vulnerabilidades, los administradores de postura y los profesionales de seguridad similares pueden lograr los siguientes objetivos de seguridad:
- Detecta diferentes tipos de vulnerabilidades, como vulnerabilidades de software, errores de configuración y incumplimientos de postura, que pueden exponer tus entornos en la nube a posibles ataques.
- Centra tus esfuerzos de respuesta y corrección en los problemas de mayor riesgo mediante las puntuaciones de exposición a ataques de los hallazgos y las alertas de vulnerabilidades.
- Asignar propietarios y hacer un seguimiento del progreso de las correcciones de vulnerabilidades usando casos de uso y también integrar tus sistemas de tickets preferidos, como Jira o ServiceNow.
- Protege de forma proactiva los recursos de alto valor en tus entornos de nube disminuyendo sus puntuaciones de exposición a ataques
- Define posturas de seguridad personalizadas para tus entornos de nube que Security Command Center lo usa para evaluar tu postura y alertarte sobre los incumplimientos.
- Silencia o excluye los resultados o las alertas que sean falsos positivos.
- Se enfoca en vulnerabilidades relacionadas con identidades y un exceso permisos.
- Detecta y administra vulnerabilidades y riesgos en Security Command Center. para los demás entornos de nube, como AWS.
Evalúa el riesgo con puntuaciones de exposición a ataques y rutas de ataque
Con las activaciones a nivel de organización de los niveles Premium y Enterprise, Security Command Center ofrece ataques puntuaciones de exposición para recursos de alto valor y la vulnerabilidad y de parámetros de configuración incorrectos que afectan los recursos de alto valor.
Puedes usar estas puntuaciones para priorizar la solución de vulnerabilidades y parámetros de configuración incorrectos, para priorizar la seguridad de tus los recursos de alto valor más expuestos y, en general, evaluar cómo se expusieron tus en los entornos de nube atacarán.
En el panel Vulnerabilidades activas de la página Descripción general de riesgos de la consola de Google Cloud, La pestaña Hallazgos por puntuación de exposición a ataques te muestra los hallazgos con las puntuaciones de exposición más altas a los ataques en tu entorno, así como la distribución de las puntuaciones de los hallazgos.
Para obtener más información, consulta Puntuaciones de exposición a ataques y rutas de ataque.
Administra hallazgos y alertas con casos
Security Command Center Enterprise crea casos para ayudarte a administrar los hallazgos y asignar propietarios y administrar las investigaciones y las respuestas a los problemas de seguridad detectados. Los casos se abren automáticamente en caso de gravedad alta y de gravedad crítica.
Puedes integrar los casos con tu sistema de tickets preferido, como Jira. o ServiceNow. Cuando se actualizan los casos, los tickets abiertos para el caso se pueden actualizar automáticamente. De forma similar, si se actualiza un ticket, el caso correspondiente también se pueden actualizar.
Para obtener más información, consulta Descripción general de casos en la documentación de Google SecOps.
Definir flujos de trabajo de respuesta y acciones automatizadas
Define flujos de trabajo de respuesta y automatiza acciones para investigar y responder a los problemas de seguridad que se detecten en tus entornos de nube.
Para obtener más información sobre cómo definir flujos de trabajo de respuesta y acciones automatizadas con manuales, consulta Trabaja con manuales.
Compatibilidad con varias nubes: Protege tus implementaciones en otras plataformas de nube
Puedes extender los servicios y las funciones de Security Command Center para abarcar tus implementaciones en otras plataformas en la nube, de modo que puedas administrar en una sola ubicación todas las amenazas y vulnerabilidades que se detecten en todos tus entornos de nube.
Para obtener más información sobre cómo conectar Security Command Center a otro de servicios en la nube, consulta las siguientes páginas:
- Para detectar amenazas, consulta Conéctate a AWS para la detección de amenazas.
- Para ver las puntuaciones de detección de vulnerabilidades y exposición a ataques, consulta Conéctate a AWS para detectar vulnerabilidades y evaluar riesgos.
Proveedores de servicios en la nube compatibles
Security Command Center puede conectarse a Amazon Web Services (AWS).
Define y administra posturas de seguridad
Con activaciones a nivel de la organización de los niveles Premium y Enterprise de Security Command Center, puedes crear y administrar posturas de seguridad que definen el estado requerido de tus recursos de nube, incluida tu infraestructura servicios de red y nube para una seguridad óptima en tu entorno de nube. Puedes personalizar las posturas de seguridad para que coincidan con las necesidades regulatorias y de seguridad de tu empresa. Si defines una postura de seguridad, puedes minimizar los riesgos de seguridad cibernética para tu organización y ayudar a evitar que se produzcan ataques.
Usa el servicio de postura de seguridad de Security Command Center para definir y implementar una postura de seguridad y detectar cualquier desvío o cambio no autorizado de tu postura definida.
El servicio de postura de seguridad se habilita automáticamente cuando activar Security Command Center a nivel de la organización.
Para obtener más información, consulta Descripción general de la postura de seguridad.
Identifica tus recursos
Security Command Center incluye información de recursos de Cloud Asset Inventory, que supervisa continuamente los recursos en la nube en un entorno de nube. Para la mayoría de los elementos, los cambios de configuración, incluidas las políticas de IAM y de la organización, se detectan casi en tiempo real.
En la página Recursos de la consola de Google Cloud, puedes aplicar, editar y ejecutar rápidamente consultas de recursos de muestra, agregar una restricción de tiempo predeterminada o escribir tus propias consultas de recursos.
Si tienes el nivel Premium o Enterprise de Security Command Center, puedas ver cuáles de tus recursos están designados como recursos de alto valor para las evaluaciones de riesgos de simulaciones de rutas de ataque.
Puedes identificar rápidamente los cambios en tu organización o proyecto y responder preguntas como las siguientes:
- ¿Cuántos proyectos tienes y cuándo se crearon?
- ¿Qué recursos de Google Cloud se implementan o usan, como las máquinas virtuales (VM) de Compute Engine, los buckets de Cloud Storage o las instancias de App Engine?
- ¿Cuál es su historial de implementaciones?
- Cómo organizar, anotar, buscar, seleccionar, filtrar y ordenar en las siguientes categorías:
- Recursos y propiedades de los recursos
- Marcas de seguridad, que te permiten anotar recursos o resultados en Security Command Center
- Período
Cloud Asset Inventory siempre conoce el estado actual de los recursos compatibles y, en la consola de Google Cloud, te permite revisar análisis históricos de descubrimiento para comparar recursos entre puntos en el tiempo. También puedes buscar elementos con poco uso, como máquinas virtuales o direcciones IP inactivas.
Funciones de Gemini en Security Command Center
Security Command Center incorpora Gemini para proporcionar resúmenes de hallazgos y rutas de ataque, y para asistir en tus búsquedas y de amenazas y vulnerabilidades detectadas.
Para obtener información sobre Gemini, consulta Descripción general de Gemini.
Resúmenes de Gemini de los hallazgos y las rutas de ataque
Si usas Security Command Center Enterprise o Premium,
Gemini brinda
explicaciones generadas de forma dinámica de cada hallazgo y de cada simulación
la ruta de ataque que Security Command Center genera para Vulnerability
y
Resultados de la clase Misconfiguration
.
Los resúmenes se escriben de forma natural lenguaje para ayudarte a entender y actuar ante los hallazgos y las rutas de ataque que puedan acompañarlos.
Los resúmenes aparecen en los siguientes lugares de la consola de Google Cloud:
- Cuando haces clic en el nombre de un resultado individual, se muestra el resumen en la parte superior de la página de detalles del resultado.
- Con los niveles Premium y Enterprise de Security Command Center, si un resultado tiene una puntuación de exposición a ataques, puedes hacer clic en la puntuación de exposición a ataques y, luego, en Resumen de IA para mostrar el resumen a la derecha de la ruta de ataque.
Permisos de IAM obligatorios para los resúmenes generados por IA
Para ver los resúmenes de IA, necesitas la IAM permisos.
Para los resultados, necesitas securitycenter.findingexplanations.get
permiso de IAM. Las APIs predefinidas menos permisivas
el rol de IAM que contiene este permiso es
Visualizador de hallazgos del centro de seguridad (roles/securitycenter.findingsViewer
)
en el área de la seguridad en la nube.
Para las trayectorias de ataque, necesitas el permiso securitycenter.exposurepathexplan.get
de IAM. Las APIs predefinidas menos permisivas
el rol de IAM que contiene este permiso es
Lector de rutas de exposición del centro de seguridad
(roles/securitycenter.exposurePathsViewer
).
Durante la vista previa, estos permisos no están disponibles en el la consola de Google Cloud para agregar a los roles personalizados de IAM.
Para agregar el permiso a un rol personalizado, puedes usar Google Cloud CLI.
Para obtener información sobre cómo usar Google Cloud CLI para agregar permisos a una rol personalizado, consulta Crea y administra roles personalizados.
Búsqueda de lenguaje natural para investigaciones de amenazas
Puedes generar búsquedas de hallazgos de amenazas, alertas y otros información usando consultas de lenguaje natural y Gemini. Para más información, consulta Usar lenguaje natural para generar búsquedas de UDM en la documentación de Google SecOps.
Widget de investigación de IA para casos
Para ayudarte a comprender e investigar casos de hallazgos y alertas, Gemini proporciona un resumen de cada caso y sugiere la pasos que puedes seguir para investigar el caso. Resumen y próximos pasos aparecerán en el widget de Investigación de IA cuando consultes un caso.
Estadísticas prácticas de seguridad
Los servicios integrados y integrados de Google Cloud de Security Command Center supervisará de forma continua su recursos y registros para indicadores de compromiso y cambios de configuración que para identificar amenazas, vulnerabilidades y parámetros de configuración incorrectos conocidos. A fin de proporcionar contexto para los incidentes, los resultados se enriquecen con información de las siguientes fuentes:
- Con los niveles Enterprise y Premium, ocurre lo siguiente:
- Resúmenes generados por IA que te ayudan a comprender Security Command Center y tomar medidas al respecto hallazgos y las rutas de ataque que se incluyan. Para obtener más información, consulta los resúmenes generados por IA.
- Los hallazgos de vulnerabilidades incluyen información de sus entradas de CVE correspondientes, incluida la puntuación de CVE, y y evaluaciones de Mandiant sobre los ataques impacto potencial y potencial de que se explote.
- Potentes capacidades de búsqueda de SIEM y SOAR, que te permiten investigar amenazas y vulnerabilidades, y alternar por entidades relacionadas en un cronograma unificado.
- VirusTotal, un servicio que es propiedad de Alphabet y proporciona contexto sobre archivos, URL, dominios y direcciones IP potencialmente maliciosos.
- Framework de MITRE ATT&CK, que explica técnicas de ataques contra los recursos de la nube y brinda soluciones orientación.
- Registros de auditoría de Cloud (registros de actividad del administrador) y los registros de acceso a los datos).
Recibes notificaciones de resultados nuevos casi en tiempo real, lo que permite a que tus equipos de seguridad recopilen datos, identifiquen amenazas y tomen medidas al respecto antes de que se generen daños o pérdidas empresariales.
Con una vista centralizada de tu postura de seguridad y una API sólida, puedes hacer lo siguiente con rapidez:
- Responde preguntas como estas:
- ¿Qué direcciones IP están abiertas al público?
- ¿Qué imágenes se ejecutan en tus VM?
- ¿Hay evidencia de que tus VMs se usen para criptomonedas minería u otras operaciones abusivas?
- ¿Qué cuentas de servicio se agregaron o quitaron?
- ¿Cómo se configuran los firewalls?
- ¿Qué buckets de almacenamiento contienen información de identificación personal (PII) o datos sensibles? Esta función requiere integración con Sensitive Data Protection.
- ¿Qué aplicaciones en la nube están expuestas a las vulnerabilidades de las secuencias de comandos entre sitios (XSS)?
- ¿Algunos de mis buckets de Cloud Storage están abiertos a Internet?
- Toma medidas para proteger tus activos:
- Implementa pasos de solución verificados para las configuraciones incorrectas de elementos y las infracciones de cumplimiento.
- Combina la inteligencia de amenazas de Google Cloud y proveedores externos, como Palo Alto Networks, para proteger mejor tu empresa de las amenazas de capas de procesamiento costosas.
- Asegúrate de que las políticas de IAM adecuadas estén implementadas y obtén alertas cuando las políticas se configuren de forma incorrecta o cambien de manera inesperada.
- Integra los hallazgos de fuentes propias o de terceros para lo siguiente: recursos de Google Cloud y otros recursos híbridos o de múltiples nubes. Para obtener más información, consulta Agrega un servicio de seguridad de terceros.
- Responde a las amenazas en tu entorno de Google Workspace y a los cambios no seguros en Grupos de Google.
Parámetros de configuración incorrectos de identidad y acceso
Security Command Center facilita la identificación y la resolución de errores de configuración de identidades y accesos en Google Cloud. Los hallazgos de configuración incorrecta identifican las principales (identidades) que se configuración incorrecta o que tienen IAM excesivo o sensible permisos (acceso) a los recursos de Google Cloud.
Administración de derechos de la infraestructura de nube
La administración de problemas de seguridad relacionados con la identidad y el acceso a veces se conoce como administración de derechos de la infraestructura de nube (CIEM). Security Command Center ofrece capacidades de CIEM que ayudan a proporcionar una visión completa del de la configuración de identidades y accesos de tu organización. Security Command Center ofrece estas funciones para varias plataformas en la nube, como Google Cloud y Amazon Web Services (AWS). Con la CIEM, puedes ver qué principales tienen permisos excesivos en tus entornos de nube. Además de Google Cloud IAM, CIEM permite investigar los permisos que principales de otros proveedores de identidad (como el ID de Entra [Azure AD] y Okta) tener en tus recursos de Google Cloud. Puede ver la identidad y la seguridad más graves acceder a los hallazgos de varios proveedores de servicios en la nube en la sección Identidad y acceso hallazgos de la página Descripción general de Security Command Center en la consola de Google Cloud.
Para obtener más información sobre las capacidades CIEM de Security Command Center, consulta Descripción general del derecho de infraestructura de nube Administración.
Identidad y acceso a los ajustes predeterminados de las consultas
En la página Vulnerabilidad en la consola de Google Cloud, puedes hacer lo siguiente: selecciona ajustes predeterminados de consulta (consultas predefinidas) que muestren los detectores de vulnerabilidades o las categorías relacionadas con la identidad y acceso. Para cada categoría, se muestra la cantidad de hallazgos activos.
Para obtener más información sobre los ajustes predeterminados de la consulta, visita Aplica ajustes predeterminados de consulta.
Administra el cumplimiento de los estándares de la industria
Security Command Center el cumplimiento con detectores asignados a los controles de una amplia varios estándares de seguridad.
Para cada estándar de seguridad admitido, Security Command Center verifica un subconjunto de los controles. En el caso de los controles marcados, Security Command Center te muestra cuántos están aprobados. En el caso de los controles que no se aprueban, Security Command Center muestra una lista de hallazgos que describen las fallas de control.
CIS revisa y certifica las asignaciones de Security Command Center detectores a cada nodo compatible de la comparativa de CIS para Google Cloud Foundations. Cumplimiento adicional las asignaciones se incluyen solo como referencia.
Security Command Center agrega compatibilidad con nuevas versiones y estándares de comparativas de forma periódica. Las versiones anteriores siguen siendo compatibles, pero, con el tiempo, dejarán de serlo. Te recomendamos que uses la comparativa o el estándar más reciente compatible disponible.
Con la servicio de postura de seguridad puedes asignar las políticas de la organización y los detectores de Security Health Analytics a los estándares y controles que se aplican a tu empresa. Luego de crear una postura de seguridad, puedes supervisar sobre cualquier cambio en el entorno que pueda afectar el cumplimiento de la empresa.
Para obtener más información sobre la administración del cumplimiento, consulta Evalúe el cumplimiento de las normas de seguridad y genere informes al respecto con los estándares necesarios.
Estándares de seguridad compatibles con Google Cloud
Security Command Center asigna detectores de Google Cloud a uno o más de los siguientes tipos de cumplimiento estándares:
- Centro para la Seguridad de la Información (CIS) Controles 8.0
- CIS para Google Cloud Comparativa de las bases de computación v2.0.0, v1.3.0, v1.2.0, v1.1.0 y v1.0.0
- Comparativa de CIS para Kubernetes v1.5.1
- Matriz de controles de la nube (CCM) 4
- Seguro médico Ley de Responsabilidad y Portabilidad (HIPAA)
- Organización Internacional de Normalización (ISO) 27001, 2022 y 2013
- Nacional Instituto de Estándares y Tecnología (NIST) 800-53 R5 y R4
- NIST CSF 1.0
- Proyecto abierto de seguridad para aplicaciones web (OWASP) Top 10, 2021 y 2017
- Datos de la industria de tarjetas de pago Estándar de Seguridad (PCI DSS) 4.0 y 3.2.1
- Controles de sistema y organización (SOC) 2 2017 Criterios de servicios de confianza (TSC)
Estándares de seguridad compatibles con AWS
Security Command Center asigna detectores de Amazon Web Services (AWS) a una o más de las siguientes instancias de cumplimiento estándares:
- CIS para Amazon Web Services Foundations 2.0.0
- Controles de CIS 8.0
- CCM 4
- HIPAA
- ISO 27001‐2022
- NIST 800-53 R5
- NIST CSF 1.0
- PCI DSS 4.0 y 3.2.1
- SOC 2 2017 TSC
Plataforma flexible para satisfacer tus necesidades de seguridad
Security Command Center incluye opciones de integración y personalización que a mejorar la utilidad del servicio para satisfacer sus necesidades de seguridad.
Opciones de personalización
Entre las opciones de personalización, se incluyen las siguientes:
- Crea módulos personalizados para Security Health Analytics para definir tus propias reglas de detección para detectar vulnerabilidades, errores de configuración o incumplimientos.
- Crea módulos personalizados para Event Threat Detection para supervisar tu flujo de registros en busca de amenazas según los parámetros que especifiques.
- Crear posturas de seguridad que lo ayudan a supervisar cualquier cambio en el entorno que pueda afectar su cumplimiento con varios estándares regulatorios.
Opciones de integración
Las opciones de integración incluyen las siguientes:
- Usa Pub/Sub a fin de exportar los resultados a Splunk o a otras SIEM para su análisis.
- Usa las funciones de Pub/Sub y Cloud Run para corrige automáticamente los resultados.
- Accede a herramientas de código abierto para expandir la funcionalidad y automatizar las respuestas.
- Integra los servicios de seguridad de Google Cloud, incluidos los siguientes:
- Integra en soluciones de seguridad de socios externos:
- Las estadísticas de seguridad de Google Cloud de los productos de socios se agregan en Security Command Center y puedes usarlas en sistemas y flujos de trabajo existentes.
Cuándo usar Security Command Center
En la siguiente tabla, se incluyen funciones de producto de alto nivel, casos de uso y vínculos a documentación relevante para ayudarte a encontrar rápidamente el contenido que necesitas.
Función | Casos de uso | Documentos relacionados |
---|---|---|
Identificación y revisión de recursos |
|
Security Command Center prácticas recomendadas Cómo usar Security Command Center en la consola de Google Cloud |
Identificación de datos sensibles |
|
Envía resultados de Protección de datos sensibles a Security Command Center |
Integración de productos SIEM y SOAR de terceros |
|
|
Detección de errores de configuración |
|
Descripción general de Security Health Analytics |
Detección de vulnerabilidades de software |
|
Panel de postura de seguridad de GKE |
Supervisión del control de identidad y acceso |
|
Parámetros de configuración incorrectos de identidad y acceso |
Detección de amenazas |
|
|
Detección de errores |
|
Descripción general de los errores de Security Command Center |
Prioriza las correcciones |
|
Descripción general del ataque Puntuaciones de exposición y rutas de ataque |
Soluciona los riesgos |
|
Investigar y responder a amenazas Corrección Resultados de Security Health Analytics Corrección Resultados de Web Security Scanner |
Administración de la postura |
|
|
Entradas de herramientas de seguridad de terceros |
|
|
Notificaciones en tiempo real |
|
Configura la búsqueda de notificaciones Habilita las notificaciones de chat y correo electrónico en tiempo real |
API de REST y SDK de cliente |
|
Configuración Security Command Center |
Controles de residencia de datos
Para cumplir con los requisitos de residencia de datos, cuando activas Security Command Center Estándar o Premium por primera vez, puedes habilitar los controles de residencia de datos.
Habilitar los controles de residencia de datos restringe el almacenamiento y el procesamiento de los hallazgos de Security Command Center, las reglas de silencio, las exportaciones continuas, y BigQuery exporta a una de las bases de datos de multirregionales compatibles con Security Command Center.
Para obtener más información, consulta Planifica la residencia de los datos.
Niveles de servicio de Security Command Center
Security Command Center ofrece tres niveles de servicio: Estándar, Premium y Enterprise.
El nivel que selecciones determina las funciones y los servicios que están disponibles con Security Command Center.
Si tienes preguntas sobre los niveles de servicio de Security Command Center, comunícate con tu representante de cuenta o con el equipo de Ventas de Google Cloud.
Para obtener información sobre los costos asociados al uso de un nivel de Security Command Center, consulta Precios.
Nivel Estándar
El nivel Estándar incluye los siguientes servicios y funciones:
-
Estadísticas del estado de la seguridad: En el nivel Estándar, Security Health Analytics proporciona vulnerabilidades análisis de evaluación para Google Cloud que puede detectar automáticamente las vulnerabilidades de mayor gravedad y los parámetros de configuración incorrectos de tus recursos de Google Cloud. En el nivel Standard, las Estadísticas del estado de la seguridad incluyen los siguientes tipos de resultados:
Dataproc image outdated
Legacy authorization enabled
MFA not enforced
Non org IAM member
Open ciscosecure websm port
Open directory services port
Open firewall
Open group IAM member
Open RDP port
Open SSH port
Open Telnet port
Public bucket ACL
Public Compute image
Public dataset
Public IP address
Public log bucket
Public SQL instance
SSL not enforced
Web UI enabled
- Web Security Scanner análisis personalizados: en el nivel Estándar, Web Security Scanner es compatible con análisis personalizados de aplicaciones implementadas con URLs públicas y direcciones IP que no están detrás de un firewall. Los análisis se configuran, administran y se ejecutan en todos los proyectos, y admiten un subconjunto de categorías OWASP Top 10.
- Security Command Center errores: Security Command Center proporciona orientación de detección y corrección para la configuración errores que impiden que Security Command Center y sus servicios funcionen correctamente.
- Continuos Función Exportaciones, que administra automáticamente la exportación de resultados nuevos a Pub/Sub.
-
Acceso a servicios integrados de Google Cloud, que incluyen lo siguiente:
- Sensitive Data Protection descubre, clasifica y que protegen los datos sensibles.
- Google Cloud Armor protege las implementaciones de Google Cloud contra amenazas
- La detección de anomalías identifica anomalías de seguridad en tus proyectos y de máquina virtual (VM), como posibles filtraciones de credenciales y minería de criptomonedas.
- Controlador de políticas permite la aplicación de políticas programables para tu clústeres de Kubernetes.
- Hallazgos del panel de postura de seguridad de GKE: ver resultados errores de configuración de seguridad de la carga de trabajo de Kubernetes, seguridad procesable boletines y vulnerabilidades en el sistema operativo del contenedor o en el lenguaje paquetes. La integración del panel de postura de seguridad de GKE con Security Command Center está disponible en vista previa.
- Integración en BigQuery, que exporta los resultados a BigQuery para su análisis.
- Servicio de acciones sensibles, que detecta cuándo se realizan acciones en tu cuenta de Google Cloud organización, carpetas y proyectos que podrían dañar tu negocio si son tomadas por un agente malicioso.
- Cuando Security Command Center se activa a nivel de la organización, puedes otorgar a los usuarios roles de IAM a nivel de organización, carpeta y proyecto.
- Controles de residencia de datos que restringen el almacenamiento y
el procesamiento de los resultados de Security Command Center, las reglas de silenciamiento, las exportaciones continuas
y las exportaciones de BigQuery a una de las multiregiones de residencia de datos
que admite Security Command Center.
Para obtener más información, consulta Planificación de la residencia de los datos.
Nivel Premium
El nivel Premium incluye todos los servicios y las funciones del nivel Estándar. y los siguientes servicios y funciones adicionales:
- Ataque las simulaciones de rutas de acceso te ayudan a identificar y priorizar de vulnerabilidades y parámetros de configuración incorrectos mediante la identificación de las rutas que un atacante potencial podría usar para llegar a sus recursos de alto valor. Las simulaciones calculan y asignan ataque puntuaciones de exposición a cualquier resultado que exponga esos recursos. Interactivo ataque de ataque te ayudan a visualizar las posibles rutas de ataque y proporcionar información sobre las rutas, los hallazgos relacionados y los recursos afectados.
-
Los hallazgos de vulnerabilidades incluyen CVE evaluaciones proporcionadas por Mandiant para ayudarte a priorizar su corrección.
En la página Descripción general de la consola, los hallazgos principales de CVE en esta sección se muestran los hallazgos de vulnerabilidades agrupados por sus la explotación y el impacto potencial, según la evaluación Mandiant. En la página Hallazgos, puedes consultar los resultados por ID de CVE.
Para obtener más información, consulta Prioriza según el impacto y la capacidad de explotación de los CVE.
- Event Threat Detection que supervisa Cloud Logging y Google Workspace inteligencia contra amenazas, aprendizaje automático y otros métodos avanzados para detectar amenazas, como software malicioso, minería de criptomonedas y datos los robos de datos. Para obtener una lista completa de los detectores integrados de Event Threat Detection, consulta Event Threat Detection reglas. También puedes crear detectores personalizados de Event Threat Detection. Para sobre plantillas de módulos que puedes usar para crear plantillas de detección de intrusiones, consulta Descripción general del módulos personalizados para Event Threat Detection.
-
La detección de amenazas a contenedores detecta los siguientes ataques al entorno de ejecución de los contenedores:
- Se ejecutó el objeto binario añadido
- Se cargó la biblioteca agregada
- Ejecución: Se ejecutó el binario malicioso agregado
- Ejecución: Se cargó la biblioteca maliciosa agregada.
- Ejecución: Objeto binario integrado integrado y ejecutado
- Ejecución: Se ejecutó un objeto binario malicioso modificado
- Ejecución: Se cargó una biblioteca maliciosa modificada
- Secuencia de comandos maliciosa ejecutada
- Shells inversas
- Shell secundario inesperado
-
Las siguientes funciones de Policy Intelligence están disponibles:
- Funciones avanzadas del recomendador de IAM, incluidas las siguientes:
- Recomendaciones para roles no básicos
- Las recomendaciones para roles otorgados en recursos que no sean organizaciones, carpetas y proyectos, por ejemplo, recomendaciones para los roles otorgados en buckets de Cloud Storage
- Recomendaciones que sugieren roles personalizados
- Estadísticas de políticas
- Estadísticas de desplazamiento lateral
- Analizador de políticas a gran escala (más de 20 consultas por organización por día). Este límite se comparte entre todas las herramientas del Analizador de políticas.
- Visualizaciones para el análisis de las políticas de la organización.
- Funciones avanzadas del recomendador de IAM, incluidas las siguientes:
- Puedes consultar recursos Cloud Asset Inventory.
- Virtual Machine Threat Detection detecta aplicaciones potencialmente maliciosas que se ejecutan en instancias de VM.
-
Security Health Analytics del nivel Premium incluye las siguientes funciones:
- Análisis de vulnerabilidades administrados para todos los detectores de Security Health Analytics
- Supervisión de muchas prácticas recomendadas de la industria
- Supervisión del cumplimiento. Mapa de detectores de Security Health Analytics a los controles de las comparativas de seguridad comunes.
- Módulo personalizado de Google Cloud, que puedes usar para crear tus propios Detectores de Security Health Analytics.
En el nivel Premium, Security Health Analytics admite los estándares descritos en Administra el cumplimiento de los estándares de la industria.
- Web Security Scanner en el nivel Premium incluye todas las funciones del nivel Estándar y detectores adicionales que admiten categorías del OWASP Top 10. Web Security Scanner también agrega análisis administrados que se configuran automáticamente.
Cumplimiento y supervisión en todos tus recursos de Google Cloud.
Para medir el cumplimiento de los estándares y comparativas de seguridad comunes, los detectores de los escáneres de vulnerabilidades de Security Command Center se asignan a controles de estándares de seguridad comunes.
Puedes ver el cumplimiento de los estándares, identificar los controles que no cumplen con los requisitos, exportar informes y mucho más. Para obtener más información, consulta Evaluar e informar el cumplimiento de los estándares de seguridad.
- Puedes solicitar una cuota adicional de Cloud Asset Inventory si necesitas una supervisión extendida de los recursos un problema de seguridad.
- El servicio de postura de seguridad te permite definir, evaluar y supervisar el estado general estado de tu seguridad en Google Cloud. Postura de seguridad servicio solo está disponible en el Nivel Premium de Security Command Center para clientes que compran un precio fijo y activar el nivel Premium de Security Command Center en la organización a nivel de organización. El servicio de postura de seguridad no es compatible de pago por uso o activaciones a nivel de proyecto.
- La función de validación de IaC te permite validar la infraestructura como código de red (IaC) con las políticas de la organización y los detectores de Security Health Analytics que definiste en tu organización de Google Cloud. Esta función es solo están disponibles en el Nivel Premium de Security Command Center para clientes que compran un precio fijo y activar el nivel Premium de Security Command Center en la organización a nivel de organización. Esta función no es compatible de pago por uso o activaciones a nivel de proyecto.
- Informes de vulnerabilidad de VM Manager
- Si habilitas VM Manager, haz lo siguiente: el servicio escribe automáticamente los hallazgos de sus los informes de vulnerabilidades, que están en vista previa, en Security Command Center. Los informes identifican vulnerabilidades en los sistemas operativos instalados en las máquinas virtuales de Compute Engine. Para obtener más información, consulta VM Manager
Nivel empresarial
El nivel empresarial es una plataforma de protección de aplicaciones nativa de la nube (CNAPP) completa que permite a los analistas de SOC, los analistas de vulnerabilidades y otros profesionales de seguridad en la nube administrar la seguridad en varios proveedores de servicios en la nube en un lugar centralizado.
El nivel empresarial ofrece capacidades de detección e investigación, asistencia para la administración de casos y administración de posturas, incluida la capacidad de definir e implementar reglas de postura personalizadas, y cuantificar y visualizar el riesgo que las vulnerabilidades y los parámetros de configuración incorrectos representan para tu entorno de nube.
El nivel Enterprise incluye todos los servicios de los niveles Estándar y Premium. y funciones, así como los siguientes servicios y funciones adicionales:
Resumen de las funciones y los servicios del nivel empresarial
El nivel Enterprise incluye todas las opciones de nivel Estándar y Premium servicios y funciones que están disponibles para el público en general.
El nivel Enterprise agrega los siguientes servicios y funciones a Security Command Center:
- Detección de combinaciones tóxicas, potenciada por el motor de riesgos de Security Command Center Para obtener más información, consulta Descripción general de las sustancias tóxicas combinaciones.
- Compatibilidad con múltiples nubes Puedes conectar Security Command Center a otras nubes como AWS, para detectar amenazas, vulnerabilidades y de configuración incorrecta. Además, después de especificar tus recursos de alto valor en otro proveedor, también puedes evaluar su exposición a ataques las puntuaciones de exposición a ataques y las rutas de ataque.
- Capacidades de SIEM (administración de información y eventos de seguridad) para entornos en la nube. Analizan registros y otros datos en busca de amenazas para múltiples entornos de nube, definir reglas de detección de amenazas y buscar en la los datos acumulados. Para obtener más información, consulta la documentación de SIEM de Google SecOps.
- Capacidades de SOAR (organización, automatización y respuesta de seguridad) para entornos en la nube. Administra casos, define flujos de trabajo de respuesta y busca los datos de respuesta. Para obtener más información, consulta Google SecOps Documentación de SOAR.
- Capacidades de CIEM (Cloud Infrastructure Entitlement Management) para entornos de nube. Identifica las cuentas principales (identidades) que están mal configuradas o que se le otorgaron permisos (acceso) de IAM excesivos o sensibles a tus recursos en la nube. Para obtener más información, consulta Descripción general de la Administración de derechos de la infraestructura de nube.
- Detección ampliada de vulnerabilidades de software en VMs y contenedores
en tus entornos de nube con los siguientes componentes
servicios integrados de Google Cloud:
- Edición Google Kubernetes Engine (GKE) Enterprise
- Evaluación de vulnerabilidades para AWS
- VM Manager
Funciones de nivel empresarial con la tecnología de Google Security Operations
La función de administración de casos, las funciones de las guías y otras funciones de SIEM y SOAR del nivel Enterprise de Security Command Center cuentan con la tecnología de Google Security Operations. Cuando uses alguno de estos y funciones de Google, es posible que veas las funciones en la interfaz web y podría dirigirse al Documentación de Google SecOps para obtener orientación.
Algunas funciones de Google SecOps no son compatibles o limitado con Security Command Center, pero es posible que su uso no limitado en las primeras suscripciones al nivel Enterprise. Usa los siguientes características y funciones solo de acuerdo con las limitaciones indicadas:
La transferencia de registros en la nube se limita a los registros que son relevantes para detección de amenazas en la nube, como los siguientes:
Google Cloud
- Registros de actividad del administrador de los Registros de auditoría de Cloud
- Registros de auditoría de Cloud: registros de acceso a los datos
- syslog de Compute Engine
- Registro de auditoría de GKE
Google Workspace
- Eventos de Google Workspace
- Alertas de Google Workspace
AWS
- Registros de auditoría de CloudTrail
- Syslog
- Registros de Auth
- Eventos de GuardDuty
Las detecciones seleccionadas se limitan a aquellas que detectan amenazas en entornos de nube.
Las integraciones de Google Cloud Marketplace se limitan a lo siguiente:
- Siemplify
- Herramientas
- VirusTotal V3
- Google Cloud Asset Inventory
- Google Security Command Center
- Jira
- Funciones
- Google Cloud IAM
- Correo electrónico V2
- Procesamiento de Google Cloud
- Google Chronicle
- Mitre Att&ck
- Mandiant Threat Intelligence
- Google Cloud Policy Intelligence
- Google Cloud Recommender
- Utilidades de Siemplify
- ServiceNow
- CSV
- SCC Enterprise
- IAM de AWS
- AWS EC2
La cantidad de reglas de evento único personalizadas está limitada a 20.
Los análisis de riesgos para UEBA (análisis del comportamiento de usuarios y entidades) no están disponibles.
La información sobre amenazas aplicada no está disponible.
La asistencia de Gemini para Google SecOps es limitada a la búsqueda en lenguaje natural y los resúmenes de investigación de casos.
La retención de datos tiene un límite de tres meses.
Niveles de activación de Security Command Center
Puedes activar Security Command Center en un proyecto individual, que es lo que se conoce como activación a nivel de proyecto toda la organización, lo que se conoce como activación a nivel de la organización.
El nivel Enterprise requiere una activación a nivel de la organización.
Para obtener más información sobre la activación de Security Command Center, consulta Descripción general de la activación de Security Command Center.
¿Qué sigue?
- Más información sobre activar Security Command Center.
- Más información sobre Security Command Center servicios de detección.
- Aprende a hacer lo siguiente: Usar Security Command Center en la consola de Google Cloud.