Cette page présente Security Command Center, une solution de gestion des risques qui, avec le niveau Enterprise, combine la sécurité du cloud et les opérations de sécurité d'entreprise, et fournit des insights issus de l'expertise de Mandiant et de l'intelligence artificielle Gemini.
Security Command Center permet aux analystes du centre d'opérations de sécurité (SOC), aux analystes de la vulnérabilité et de l'état de sécurité, aux responsables de la conformité et à d'autres professionnels de la sécurité d'évaluer, d'examiner et de répondre rapidement aux problèmes de sécurité dans plusieurs environnements cloud.
Chaque déploiement cloud présente des risques uniques. Security Command Center peut vous aider à comprendre et à évaluer la surface d'attaque de vos projets ou de votre organisation sur Google Cloud, ainsi que la surface d'attaque de vos autres environnements cloud. Correctement configuré pour protéger vos ressources, Security Command Center peut vous aider à comprendre les failles et les menaces détectées dans vos environnements cloud, et à hiérarchiser les corrections à apporter.
Security Command Center s'intègre à de nombreux services Google Cloud pour détecter les problèmes de sécurité dans plusieurs environnements cloud. Ces services détectent les problèmes de différentes manières, par exemple en analysant les métadonnées des ressources, les journaux cloud, les conteneurs et les machines virtuelles.
Certains de ces services intégrés, tels que Google Security Operations et Mandiant, fournissent également des fonctionnalités et des informations essentielles pour hiérarchiser et gérer vos investigations et votre réponse aux problèmes détectés.
Gérer les menaces
Dans les niveaux Premium et Enterprise, Security Command Center utilise à la fois des services Google Cloud intégrés et intégrés pour détecter les menaces. Ces services analysent vos journaux, conteneurs et machines virtuelles Google Cloud à la recherche d'indicateurs de menace.
Lorsque ces services, tels qu'Event Threat Detection ou Container Threat Detection, détectent un indicateur de menace, ils génèrent un résultat. Une découverte est un rapport ou un enregistrement d'une menace individuelle ou d'un autre problème détecté par un service dans votre environnement cloud. Les services qui génèrent des résultats sont également appelés sources de résultats.
Dans Security Command Center Enterprise, les résultats déclenchent des alertes, qui peuvent générer un dossier en fonction de la gravité du résultat. Vous pouvez utiliser une demande avec un système de tickets pour attribuer des propriétaires à l'investigation et à la réponse à une ou plusieurs alertes dans la demande.
Security Command Center Enterprise peut également détecter des menaces dans vos déploiements sur d'autres plates-formes cloud. Pour détecter les menaces dans les déploiements sur d'autres plates-formes cloud, Security Command Center ingère les journaux de l'autre plate-forme cloud une fois que vous avez établi une connexion.
Pour en savoir plus, consultez les pages suivantes :
- Sources de sécurité des menaces
- Documentation Google SecOps
- Gérer les résultats et les alertes à l'aide de demandes
Fonctionnalités de détection et de gestion des menaces
Avec Security Command Center, les analystes du SOC peuvent atteindre les objectifs de sécurité suivants:
- Détectez les événements dans vos environnements cloud qui indiquent une menace potentielle et triez les résultats ou les alertes associés.
- Attribuez des propriétaires et suivez la progression des enquêtes et des réponses grâce à un workflow de gestion des incidents intégré. Vous pouvez également intégrer vos systèmes de gestion des tickets préférés, comme Jira ou ServiceNow.
- Examinez les alertes de menace grâce à des fonctionnalités de recherche et de recoupement puissantes.
- Définissez des workflows de réponse et automatisez les actions pour faire face aux attaques potentielles sur vos environnements cloud. Pour en savoir plus sur la définition de workflows de réponse et d'actions automatisées à l'aide de playbooks, consultez la section Utiliser des playbooks.
- Coupez le son ou excluez les résultats ou les alertes qui sont des faux positifs.
- Concentrez-vous sur les menaces liées aux identités et aux autorisations d'accès compromises.
- Utilisez Security Command Center pour détecter, analyser et répondre aux menaces potentielles dans vos autres environnements cloud, comme AWS.
Gérer les failles
Security Command Center fournit une détection complète des failles. Il analyse automatiquement les ressources de votre environnement pour détecter les failles logicielles, les erreurs de configuration et d'autres types de problèmes de sécurité susceptibles de vous exposer à des attaques. Ensemble, ces types de problèmes sont collectivement appelés failles.
Security Command Center utilise à la fois des services Google Cloud intégrés et intégrés pour détecter les problèmes de sécurité. Les services qui génèrent des résultats sont également appelés sources de résultats. Lorsqu'un service détecte un problème, il émet un résultat pour l'enregistrer.
Par défaut, des demandes sont automatiquement ouvertes pour les failles de gravité élevée et critique afin de vous aider à hiérarchiser leur résolution. Vous pouvez attribuer des propriétaires et suivre la progression des efforts de résolution d'une demande.
Pour en savoir plus, consultez les ressources suivantes :
- Gérer les résultats et les alertes à l'aide de demandes
- Services de détection des failles et des erreurs de configuration
Combinaisons toxiques
Le moteur de risque de Security Command Center, une fonctionnalité du niveau Enterprise, détecte des groupes de problèmes de sécurité qui, lorsqu'ils se produisent ensemble selon un schéma particulier, créent un chemin vers une ou plusieurs de vos ressources à forte valeur qu'un pirate informatique déterminé pourrait potentiellement utiliser pour atteindre et compromettre ces ressources.
Ce type de groupe de problèmes de sécurité est appelé combinaison toxique. Lorsque le moteur de risque détecte une combinaison toxique, il génère un résultat. Pour chaque résultat de combinaison toxique, Security Command Center crée une demande dans la console Security Operations afin que vous puissiez gérer et suivre la résolution de la combinaison toxique.
Pour en savoir plus, consultez la section Présentation des combinaisons toxiques.
Vulnérabilités logicielles
Pour vous aider à identifier, comprendre et hiérarchiser les failles logicielles, Security Command Center peut évaluer les machines virtuelles (VM) et les conteneurs de vos environnements cloud. Pour chaque faille détectée, Security Command Center fournit des informations détaillées dans un enregistrement de résultat ou résultat. Les informations fournies avec une constatation peuvent inclure les éléments suivants:
- Détails de la ressource concernée
- Informations sur tout enregistrement CVE associé, y compris une évaluation de Mandiant de l'impact et de l'exploitabilité de l'élément CVE
- Un score d'exposition aux attaques pour vous aider à hiérarchiser les corrections
- Représentation visuelle du chemin qu'un pirate informatique peut emprunter vers les ressources à forte valeur exposées par la faille
Les failles logicielles sont détectées par les services suivants:
- VM Manager pour les systèmes d'exploitation sur les machines virtuelles Compute Engine
- Tableau de bord de la stratégie de sécurité de Google Kubernetes Engine pour les systèmes d'exploitation dans les conteneurs
- Évaluation des failles pour Amazon Web Services (AWS) pour les instances EC2 sur AWS
- Web Security Scanner pour les applications Web exécutées sur App Engine, Google Kubernetes Engine (GKE) et Compute Engine
Mauvaises configurations
Security Command Center fait correspondre les détecteurs des services qui recherchent les erreurs de configuration aux contrôles des normes de conformité courantes du secteur. En plus de vous indiquer les normes de conformité qu'une mauvaise configuration ne respecte pas, la mise en correspondance vous permet de mesurer votre conformité aux différentes normes, que vous pouvez ensuite exporter sous forme de rapport.
Pour en savoir plus, consultez la section Évaluer et signaler la conformité.
Non-respect de la posture
Les niveaux Premium et Enterprise de Security Command Center incluent le service d'état de sécurité, qui génère des résultats lorsque vos ressources cloud enfreignent les règles définies dans les états de sécurité que vous avez déployés dans votre environnement cloud.
Pour en savoir plus, consultez la section Service de stratégie de sécurité.
Valider l'infrastructure as code
Vous pouvez vérifier que vos fichiers Infrastructure as code (IaC) sont conformes aux règles d'administration et aux détecteurs Security Health Analytics que vous définissez dans votre organisation Google Cloud. Cette fonctionnalité vous permet de vous assurer que vous ne déployez pas de ressources qui enfreignent les normes de votre organisation. Après avoir défini vos règles organisationnelles et, si nécessaire, activé le service Security Health Analytics, vous pouvez utiliser Google Cloud CLI pour valider votre fichier de plan Terraform ou intégrer le processus de validation à votre workflow de développement Cloud Build, Jenkins ou GitHub Actions. Pour en savoir plus, consultez Valider votre IaC par rapport aux règles de votre organisation.
Détecter les failles et les erreurs de configuration sur d'autres plates-formes cloud
Security Command Center Enterprise peut détecter les failles dans plusieurs environnements cloud. Pour détecter les failles dans d'autres fournisseurs de services cloud, vous devez d'abord établir une connexion avec le fournisseur pour ingérer les métadonnées des ressources.
Pour en savoir plus, consultez la section Se connecter à AWS pour détecter les failles et évaluer les risques.
Fonctionnalités de gestion des failles et des stratégies
Avec Security Command Center, les analystes de vulnérabilité, les administrateurs de posture et les professionnels de la sécurité similaires peuvent atteindre les objectifs de sécurité suivants:
- Détectez différents types de failles, y compris les failles logicielles, les erreurs de configuration et les cas de non-conformité, qui peuvent exposer vos environnements cloud à des attaques potentielles.
- Concentrez vos efforts de réponse et de correction sur les problèmes les plus risqués en utilisant les scores d'exposition aux attaques sur les résultats et les alertes pour les failles.
- Attribuez des propriétaires et suivez la progression de la correction des failles à l'aide de demandes et en intégrant vos systèmes de gestion des tickets préférés, comme Jira ou ServiceNow.
- Protégez de manière proactive les ressources de forte valeur de vos environnements cloud en réduisant leur niveau d'exposition aux attaques
- Définissez des stratégies de sécurité personnalisées pour vos environnements cloud que Security Command Center utilise pour évaluer votre stratégie et vous alerter en cas de non-respect.
- Coupez le son ou excluez les résultats ou les alertes qui sont des faux positifs.
- Concentrez-vous sur les failles liées aux identités et aux autorisations excessives.
- Détectez et gérez dans Security Command Center les failles et les évaluations des risques pour vos autres environnements cloud, comme AWS.
Évaluer les risques à l'aide des scores d'exposition aux attaques et des chemins d'attaque
Avec les activations au niveau de l'organisation des niveaux Premium et Enterprise, Security Command Center fournit des scores d'exposition aux attaques pour les ressources à forte valeur, ainsi que les résultats sur les failles et les erreurs de configuration qui les affectent.
Vous pouvez utiliser ces scores pour hiérarchiser la résolution des failles et des erreurs de configuration, pour hiérarchiser la sécurité de vos ressources les plus exposées et de grande valeur, et pour évaluer de manière générale l'exposition de vos environnements cloud aux attaques.
Dans le volet Failles actives de la page Vue d'ensemble des risques de la console Google Cloud, l'onglet Résultats par score d'exposition aux attaques affiche les résultats qui enregistrent le score d'exposition aux attaques le plus élevé dans votre environnement, ainsi que la répartition des scores.
Pour en savoir plus, consultez la section Scores d'exposition aux attaques et chemins d'attaque.
Gérer les résultats et les alertes avec les demandes
Security Command Center Enterprise crée des demandes pour vous aider à gérer les résultats et les alertes, à attribuer des propriétaires, et à gérer les investigations et les réponses aux problèmes de sécurité détectés. Les demandes sont ouvertes automatiquement pour les problèmes de gravité élevée et critique.
Vous pouvez intégrer les demandes à votre système de gestion des demandes préféré, comme Jira ou ServiceNow. Lorsque des demandes sont mises à jour, les demandes ouvertes associées peuvent être mises à jour automatiquement. De même, si une demande est mise à jour, la demande correspondante peut également l'être.
Pour en savoir plus, consultez la section Présentation des cas dans la documentation Google SecOps.
Définir des workflows de réponse et des actions automatisées
Définissez des workflows de réponse et automatisez les actions pour analyser et répondre aux problèmes de sécurité détectés dans vos environnements cloud.
Pour en savoir plus sur la définition de workflows de réponse et d'actions automatisées à l'aide de playbooks, consultez la section Utiliser des playbooks.
Compatibilité multicloud: sécurisez vos déploiements sur d'autres plates-formes cloud
Vous pouvez étendre les services et fonctionnalités de Security Command Center pour couvrir vos déploiements sur d'autres plates-formes cloud. Vous pouvez ainsi gérer en un seul et même endroit toutes les menaces et failles détectées dans l'ensemble de vos environnements cloud.
Pour en savoir plus sur la connexion de Security Command Center à un autre fournisseur de services cloud, consultez les pages suivantes:
- Pour la détection des menaces, consultez la section Se connecter à AWS pour la détection des menaces.
- Pour en savoir plus sur la détection des failles et les scores d'exposition aux attaques, consultez Se connecter à AWS pour la détection des failles et l'évaluation des risques.
Fournisseurs de services cloud acceptés
Security Command Center peut se connecter à Amazon Web Services (AWS).
Définir et gérer les stratégies de sécurité
En activant les niveaux Premium et Enterprise de Security Command Center au niveau de l'organisation, vous pouvez créer et gérer des stratégies de sécurité qui définissent l'état requis de vos ressources cloud, y compris votre réseau cloud et vos services cloud, pour une sécurité optimale dans votre environnement cloud. Vous pouvez personnaliser les postures de sécurité en fonction des besoins de sécurité et de conformité de votre entreprise. En définissant un niveau de sécurité, vous pouvez minimiser les risques de cybersécurité pour votre organisation et contribuer à éviter les attaques.
Vous utilisez le service de stratégie de sécurité de Security Command Center pour définir et déployer une stratégie de sécurité, et détecter toute dérive ou modification non autorisée par rapport à la stratégie définie.
Le service d'état de sécurité est automatiquement activé lorsque vous activez Security Command Center au niveau de l'organisation.
Pour en savoir plus, consultez la section Présentation de l'état de la sécurité.
Identifier vos composants
Security Command Center inclut des informations sur les éléments de l'inventaire des éléments Cloud, qui surveille en permanence les éléments dans votre environnement cloud. Pour la plupart des éléments, les modifications de configuration, y compris les stratégies IAM et les règles d'administration, sont détectées quasiment en temps réel.
Sur la page Composants de la console Google Cloud, vous pouvez rapidement appliquer, modifier et exécuter des exemples de requêtes sur les composants, ajouter une contrainte temporelle prédéfinie ou écrire vos propres requêtes sur les composants.
Si vous disposez du niveau Premium ou Enterprise de Security Command Center, vous pouvez voir quels éléments sont désignés comme ressources à forte valeur pour les évaluations des risques à l'aide de simulations de chemins d'attaque.
Vous pouvez identifier rapidement les changements au sein de votre organisation ou de votre projet, et répondre à des questions telles que les suivantes:
- Combien de projets avez-vous et quand ont-ils été créés ?
- Quelles sont vos ressources Google Cloud déployées ou utilisées (VM Compute Engine, buckets Cloud Storage ou instances App Engine, par exemple) ?
- Quel est votre historique de déploiement ?
- Comment organiser, annoter, rechercher, sélectionner, filtrer et trier les informations dans les catégories suivantes ?
- Éléments et propriétés des éléments
- Marques de sécurité, qui vous permettent d'annoter des éléments ou des résultats dans Security Command Center
- Période
Inventaire des éléments cloud connaît toujours l'état actuel des éléments compatibles et, dans la console Google Cloud, vous permet d'examiner l'historique des détections pour comparer les éléments à différents moments. Vous pouvez également rechercher les éléments sous-utilisés, telles que les machines virtuelles ou les adresses IP inactives.
Fonctionnalités Gemini dans Security Command Center
Security Command Center intègre Gemini pour vous aider à rechercher et à examiner les menaces et les failles détectées.
Pour en savoir plus sur Gemini, consultez la présentation de Gemini.
Recherche en langage naturel pour les investigations sur les menaces
Vous pouvez générer des recherches de résultats de menaces, d'alertes et d'autres informations à l'aide de requêtes en langage naturel et de Gemini. Pour en savoir plus, consultez la section Utiliser le langage naturel pour générer des requêtes de recherche UDM dans la documentation Google SecOps.
Widget d'investigation par IA pour les demandes
Pour vous aider à comprendre et à examiner les cas afin d'identifier les résultats et les alertes, Gemini fournit un résumé de chaque cas et suggère les prochaines étapes à suivre pour l'examiner. Le résumé et les prochaines étapes s'affichent dans le widget Enquête par IA lorsque vous consultez une demande.
Informations exploitables sur la sécurité
Les services Google Cloud intégrés de Security Command Center surveillent en permanence vos éléments et vos journaux pour détecter les indicateurs de compromission et les modifications de configuration correspondant à des menaces, failles et erreurs de configuration connues. Pour fournir du contexte sur les incidents, les résultats sont enrichis avec des informations provenant des sources suivantes :
- Avec les niveaux Enterprise et Premium :
- Les résultats de la recherche sur les failles incluent des informations provenant des entrées CVE correspondantes, y compris le score CVE, ainsi que des évaluations de Mandiant sur l'impact potentiel de la faille et son potentiel d'exploitation.
- Des fonctionnalités de recherche SIEM et SOAR puissantes, qui vous permettent d'examiner les menaces et les failles, et de basculer entre des entités associées selon une chronologie unifiée.
- VirusTotal, un service appartenant à Alphabet qui fournit du contexte sur les fichiers, URL, domaines et adresses IP potentiellement malveillants.
- Le framework MITRE ATT&CK, qui explique les techniques d'attaque contre les ressources cloud et fournit des conseils de résolution.
- Cloud Audit Logs (journaux des activités d'administration et journaux d'accès aux données).
Des notifications en quasi-temps réel pour les nouveaux résultats permettent à vos équipes de sécurité de recueillir des données, d'identifier les menaces et d'appliquer les recommandations avant tout impact négatif sur l'activité commerciale.
Grâce à une vue centralisée de votre posture de sécurité et à une API robuste, vous pouvez effectuer rapidement les opérations suivantes:
- Répondre à des questions telles que les suivantes :
- Quelles sont les adresses IP statiques ouvertes au public ?
- Quelles sont les images en cours d'exécution sur vos VM ?
- Y a-t-il des preuves que vos VM sont utilisées pour le minage de cryptomonnaie ou d'autres opérations abusives ?
- Quels comptes de service ont été ajoutés ou supprimés ?
- Comment les pare-feu sont-ils configurés ?
- Quels buckets de stockage contiennent des informations personnelles ou des données sensibles ? Cette fonctionnalité nécessite une intégration avec Sensitive Data Protection.
- Quelles applications cloud sont vulnérables aux failles de script intersites (XSS) ?
- Certains de vos buckets Cloud Storage sont-ils ouverts à Internet ?
- Prendre les mesures nécessaires pour protéger vos ressources :
- Mettre en œuvre des mesures correctives validées pour les erreurs de configuration des éléments et les cas de non-conformité.
- Combiner la détection des menaces de Google Cloud et celle de fournisseurs tiers tels que Palo Alto Networks pour mieux protéger votre entreprise des menaces potentiellement coûteuses ciblant la couche de calcul.
- Vérifier que des stratégies IAM appropriées sont en place et recevoir des alertes lorsque ces stratégies sont mal configurées ou modifiées de manière inattendue.
- Intégrer les résultats de vos propres sources ou de sources tierces pour vos ressources Google Cloud, ou pour d'autres ressources hybrides ou multicloud. Pour en savoir plus, consultez Ajouter un service de sécurité tiers.
- Réagissez aux menaces dans votre environnement Google Workspace et aux modifications potentiellement dangereuses de vos groupes Google.
Erreurs de configuration concernant l'identité et les accès
Security Command Center vous permet d'identifier et de résoudre plus facilement les erreurs de configuration des identités et des accès sur Google Cloud. Les résultats de la configuration incorrecte identifient les principaux (identités) mal configurés ou disposant d'autorisations IAM (accès) excessives ou sensibles aux ressources Google Cloud.
Cloud Infrastructure Entitlement Management
La gestion des problèmes de sécurité liés à l'identité et aux accès est parfois appelée gestion des droits d'accès à l'infrastructure cloud (CIEM). Security Command Center propose des fonctionnalités de gestion des identités et des accès (CIEM) qui permettent d'obtenir une vue complète de la sécurité de la configuration des identités et des accès de votre organisation. Security Command Center propose ces fonctionnalités pour plusieurs plates-formes cloud, y compris Google Cloud et Amazon Web Services (AWS). Avec le CIEM, vous pouvez voir quels comptes principaux disposent d'autorisations excessives dans vos environnements cloud. En plus de Google Cloud IAM, le CIEM permet d'examiner les autorisations dont disposent les principaux d'autres fournisseurs d'identité (tels que Entra ID (Azure AD) et Okta) sur vos ressources Google Cloud. Vous pouvez consulter les résultats les plus graves sur l'identité et les accès de plusieurs fournisseurs de services cloud dans le volet Résultats sur l'identité et les accès de la page Vue d'ensemble de Security Command Center dans la console Google Cloud.
Pour en savoir plus sur les fonctionnalités de CIEM de Security Command Center, consultez la page Présentation de Cloud Infrastructure Entitlement Management.
Préréglages de requêtes d'identité et d'accès
Sur la page Vulnérabilité de la console Google Cloud, vous pouvez sélectionner des préréglages de requête (requêtes prédéfinies) qui affichent les détecteurs de failles ou les catégories associées à l'identité et à l'accès. Pour chaque catégorie, le nombre de résultats actifs est affiché.
Pour en savoir plus sur les préréglages de requête, consultez la section Appliquer des préréglages de requête.
Gérer la conformité avec les normes du secteur
Security Command Center surveille votre conformité à l'aide de détecteurs mappés sur les commandes de nombreuses normes de sécurité.
Pour chaque norme de sécurité compatible, Security Command Center vérifie un sous-ensemble des commandes. Pour les contrôles cochés, Security Command Center indique le nombre de contrôles réussis. Pour les contrôles qui ne sont pas acceptés, Security Command Center affiche une liste de résultats qui décrivent les échecs de contrôle.
Le CIS examine et certifie les mises en correspondance des détecteurs Security Command Center avec chaque version compatible du benchmark CIS Google Cloud Foundations. Des mises en correspondance de conformité supplémentaires sont incluses à titre de référence uniquement.
Security Command Center ajoute régulièrement de nouvelles versions et normes de benchmark. Les anciennes versions restent compatibles, mais sont finalement abandonnées. Nous vous recommandons d'utiliser le dernier benchmark ou la dernière norme compatible disponible.
Avec le service d'évaluation de l'état de sécurité, vous pouvez mapper les règles d'administration et les détecteurs Security Health Analytics aux normes et contrôles qui s'appliquent à votre entreprise. Une fois que vous avez créé une posture de sécurité, vous pouvez surveiller toute modification de l'environnement pouvant affecter la conformité de votre entreprise.
Pour en savoir plus sur la gestion de la conformité, consultez la section Évaluer et signaler la conformité aux normes de sécurité.
Normes de sécurité acceptées
Google Cloud
Security Command Center fait correspondre les détecteurs de Google Cloud à une ou plusieurs des normes de conformité suivantes:
- CIS Controls 8.0 (Centre for Information Security)
- Benchmark CIS Google Cloud Computing Foundations v2.0.0, v1.3.0, v1.2.0, v1.1.0 et v1.0.0
- Benchmark CIS de Kubernetes v1.5.1
- Cloud Controls Matrix (CCM) 4
- Loi HIPAA (Health Insurance Portability and Accountability Act)
- International Organization for Standardization (ISO) 27001, 2022 et 2013
- National Institute of Standards and Technology (NIST) 800-53 R5 et R4
- NIST CSF 1.0
- Top 10 de l'OWASP (Open Web Application Security Project) pour 2021 et 2017
- Normes PCI DSS (Payment Card Industry Data Security Standard) 4.0 et 3.2.1
- SOC 2 TSC 2017
AWS
Security Command Center fait correspondre les détecteurs d'Amazon Web Services (AWS) à une ou plusieurs des normes de conformité suivantes:
Une plate-forme flexible répondant à tous vos besoins en matière de sécurité
Security Command Center comprend des options de personnalisation et d'intégration qui vous permettent d'améliorer l'utilité du service pour répondre à l'évolution constante de vos besoins en matière de sécurité.
Options de personnalisation
Voici les options de personnalisation disponibles:
- Créez des modules personnalisés pour Security Health Analytics afin de définir vos propres règles de détection des failles, des erreurs de configuration ou des cas de non-conformité.
- Créez des modules personnalisés pour Event Threat Detection afin de surveiller votre flux de journalisation à la recherche de menaces en fonction des paramètres que vous spécifiez.
- Créez des postures de sécurité qui vous aident à surveiller les modifications de l'environnement susceptibles d'affecter votre conformité avec diverses normes réglementaires.
Options d'intégration
Voici les différentes options d'intégration:
- Utilisez Pub/Sub pour exporter les résultats vers Splunk ou d'autres systèmes SIEM pour l'analyse.
- Utilisez Pub/Sub et les fonctions Cloud Run pour corriger rapidement et automatiquement les résultats.
- Accédez à des outils Open Source pour étendre les fonctionnalités et automatiser les réponses.
- Intégrez les services de sécurité Google Cloud, y compris :
- Intégrez des solutions de sécurité de partenaires tiers :
- Les insights sur la sécurité de Google Cloud issus des produits partenaires sont agrégés dans Security Command Center, et vous pouvez les introduire dans des systèmes et des workflows existants.
Quand utiliser Security Command Center
Le tableau suivant présente les caractéristiques générales des produits et inclut des cas d'utilisation ainsi que des liens vers la documentation pertinente pour vous aider à trouver rapidement le contenu dont vous avez besoin.
Caractéristique | Cas d'utilisation | Documents associés |
---|---|---|
Identification et examen des éléments |
|
Bonnes pratiques concernant Security Command Center Utiliser Security Command Center dans la console Google Cloud |
Identification des données sensibles |
|
Envoyer les résultats de la protection des données sensibles à Security Command Center |
Intégration de produits SIEM et SOAR tiers |
|
|
Détection des erreurs de configuration |
|
Présentation de Security Health Analytics |
Détection des failles logicielles |
|
Tableau de bord de stratégie de sécurité GKE |
Surveillance de l'identité et du contrôle des accès |
|
|
Détection des menaces |
|
|
Détection d'erreurs |
|
Présentation des erreurs de Security Command Center |
Prioriser les corrections |
|
Présentation des scores d'exposition aux attaques et des chemins d'attaque |
Corriger les risques |
|
Examiner et contrer les menaces Corriger les résultats de Security Health Analytics Corriger les problèmes identifiés par Web Security Scanner |
Gestion des stratégies |
|
|
Intégration d'outils de sécurité tiers |
|
|
Notifications en temps réel |
|
Configurer des notifications de recherche Activer les notifications par e-mail et de chat en temps réel Utiliser des marques de sécurité |
API REST et SDK client |
|
Configurer Security Command Center |
Contrôles de la résidence des données
Pour répondre aux exigences de résidence des données, vous pouvez activer les contrôles de résidence des données lorsque vous activez Security Command Center Standard ou Premium pour la première fois.
L'activation des contrôles de résidence des données limite le stockage et le traitement des résultats de Security Command Center, des règles de masquage, des exportations continues et des exportations BigQuery dans l'une des multirégions de résidence des données compatibles avec Security Command Center.
Pour en savoir plus, consultez la section Planifier la résidence des données.
Niveaux de service Security Command Center
Security Command Center propose trois niveaux de service: Standard, Premium et Enterprise.
Le niveau que vous sélectionnez détermine les fonctionnalités et les services disponibles avec Security Command Center.
Pour toute question concernant les niveaux de service Security Command Center, contactez votre conseiller client ou le service commercial Google Cloud.
Pour en savoir plus sur les coûts associés à l'utilisation d'un niveau Security Command Center, consultez la section Tarifs.
Niveau standard
Le niveau Standard inclut les services et fonctionnalités suivants:
-
Security Health Analytics : au niveau Standard, Security Health Analytics fournit une analyse gérée de l'évaluation des failles pour Google Cloud, afin de détecter automatiquement les failles et les erreurs de configuration les plus graves liées à vos éléments Google Cloud. Au niveau Standard, Security Health Analytics fournit les types de résultats suivants:
Dataproc image outdated
Legacy authorization enabled
MFA not enforced
Non org IAM member
Open ciscosecure websm port
Open directory services port
Open firewall
Open group IAM member
Open RDP port
Open SSH port
Open Telnet port
Public bucket ACL
Public Compute image
Public dataset
Public IP address
Public log bucket
Public SQL instance
SSL not enforced
Web UI enabled
- Analyses personnalisées de Web Security Scanner: au niveau Standard, Web Security Scanner accepte les analyses personnalisées des applications déployées avec des URL publiques et des adresses IP qui ne sont pas protégées par un pare-feu. Les analyses sont configurées, gérées et exécutées manuellement pour tous les projets, et elles sont compatibles avec un sous-ensemble de catégories du Top 10 de l'OWASP.
- Erreurs Security Command Center : Security Command Center fournit des conseils de détection et de résolution pour les erreurs de configuration qui empêchent Security Command Center et ses services de fonctionner correctement.
- Fonctionnalité d'exportations continues, qui gère automatiquement l'exportation des nouveaux résultats vers Pub/Sub.
-
Accès aux services Google Cloud intégrés, y compris :
- Sensitive Data Protection identifie, classe et protège les données sensibles.
- Google Cloud Armor protège les déploiements de Google Cloud contre les menaces.
- La détection d'anomalies identifie les anomalies de sécurité pour vos projets et instances de machines virtuelles (VM), telles que les potentielles fuites d'identifiants et le minage de cryptomonnaie.
- Policy Controller permet d'appliquer des règles programmables à vos clusters Kubernetes.
- Résultats du tableau de bord de stratégie de sécurité GKE : affichez les résultats concernant les mauvaises configurations de sécurité des charges de travail Kubernetes, les bulletins de sécurité exploitables et les failles dans le système d'exploitation du conteneur ou dans les packages de langage. L'intégration des résultats du tableau de bord de stratégie de sécurité GKE à Security Command Center est disponible en preview.
- L'intégration à BigQuery, qui exporte les résultats vers BigQuery à des fins d'analyse.
- Le service d'actions sensibles, qui détecte les actions effectuées dans votre organisation Google Cloud, vos dossiers et vos projets qui pourraient nuire à votre entreprise si elles étaient effectuées par une personne malveillante.
- Lorsque Security Command Center est activé au niveau de l'organisation, vous pouvez accorder des rôles IAM aux utilisateurs au niveau de l'organisation, des dossiers et des projets.
- Commandes de résidence des données qui limitent le stockage et le traitement des résultats de Security Command Center, les règles de masquage, les exportations continues et les exportations BigQuery vers l'une des multirégions de résidence des données compatibles avec Security Command Center.
Pour en savoir plus, consultez Planifier la résidence des données.
Niveau Premium
Le niveau Premium inclut tous les services et fonctionnalités du niveau Standard, ainsi que les services et fonctionnalités supplémentaires suivants:
- Les simulations de chemin d'attaque vous aident à identifier et à hiérarchiser les résultats de détection de failles et d'erreurs de configuration en identifiant les chemins qu'un pirate informatique potentiel pourrait emprunter pour atteindre vos ressources à forte valeur. Les simulations calculent et attribuent des scores d'exposition aux attaques à tous les résultats qui exposent ces ressources. Les chemins d'attaque interactifs vous aident à visualiser les chemins d'attaque possibles et à obtenir des informations sur les chemins, les résultats associés et les ressources concernées.
-
Les résultats de la détection des failles incluent les évaluations des CVE fournies par Mandiant pour vous aider à hiérarchiser leur correction.
Sur la page Overview (Présentation) de la console, la section Top CVE findings (Principales conclusions sur les CVE) affiche les conclusions sur les failles regroupées par leur exploitabilité et leur impact potentiel, comme évalué par Mandiant. Sur la page Résultats, vous pouvez interroger les résultats par ID de CVE.
Pour en savoir plus, consultez la section Prioriser en fonction de l'impact et de l'exploitabilité des failles CVE.
- Event Threat Detection surveille Cloud Logging et Google Workspace à l'aide d'informations sur les menaces, du machine learning et d'autres méthodes avancées pour détecter les menaces, telles que les logiciels malveillants, l'extraction de cryptomonnaies et l'exfiltration de données. Pour obtenir la liste complète des détecteurs Event Threat Detection intégrés, consultez la section Règles d'Event Threat Detection. Vous pouvez également créer des détecteurs Event Threat Detection personnalisés. Pour en savoir plus sur les modèles de modules que vous pouvez utiliser pour créer des règles de détection personnalisées, consultez la section Présentation des modules personnalisés pour Event Threat Detection.
-
Container Threat Detection détecte les attaques suivantes visant l'environnement d'exécution des conteneurs :
- Fichier binaire ajouté exécuté
- Ajout de bibliothèque chargée
- Exécution: Fichier binaire malveillant ajouté exécuté
- Exécution: bibliothèque malveillante ajoutée chargée
- Exécution: fichier binaire malveillant intégré exécuté
- Exécution: fuite du conteneur
- Exécution: exécution de l'outil d'attaque Kubernetes
- Exécution: exécution de l'outil de reconnaissance local
- Exécution: fichier binaire malveillant modifié exécuté
- Exécution: bibliothèque malveillante modifiée chargée
- Script malveillant exécuté
- Interface système inversée
- Shell enfant inattendu
-
Les fonctionnalités suivantes de Policy Intelligence sont disponibles:
- Fonctionnalités avancées de l'outil de recommandation IAM, y compris les suivantes :
- Recommandations pour les rôles non de base
- Recommandations pour les rôles attribués à des ressources autres que des organisations, des dossiers et des projets (par exemple, recommandations pour les rôles attribués à des buckets Cloud Storage)
- Recommandations suggérant des rôles personnalisés
- Insights sur les stratégies
- Insights sur les mouvements latéraux
- Analyseur de règles à grande échelle (plus de 20 requêtes par organisation et par jour). Cette limite est partagée entre tous les outils Policy Analyzer.
- Visualisations pour l'analyse des règles d'administration
- Fonctionnalités avancées de l'outil de recommandation IAM, y compris les suivantes :
- Vous pouvez interroger des éléments dans inventaire des éléments cloud.
- Virtual Machine Threat Detection détecte les applications potentiellement malveillantes exécutées dans des instances de VM.
-
Security Health Analytics au niveau Premium inclut les fonctionnalités suivantes:
- Analyses des failles gérées pour tous les détecteurs Security Health Analytics
- Surveillance de nombreuses bonnes pratiques du secteur
- Contrôle de conformité. Les détecteurs Security Health Analytics correspondent aux contrôles des benchmarks de sécurité courants.
- Compatibilité avec les modules personnalisés, que vous pouvez utiliser pour créer vos propres détecteurs Security Health Analytics personnalisés.
Au niveau Premium, Security Health Analytics est compatible avec les normes décrites dans Gérer la conformité aux normes du secteur.
- Web Security Scanner au niveau Premium inclut toutes les fonctionnalités du niveau Standard et des détecteurs supplémentaires compatibles avec les catégories du top 10 de l'OWASP. Web Security Scanner ajoute également des analyses gérées qui sont configurées automatiquement.
Surveillance de la conformité de vos éléments Google Cloud.
Pour mesurer votre conformité aux normes et benchmarks de sécurité courants, les détecteurs des outils d'analyse des failles de Security Command Center sont mappés sur les contrôles des normes de sécurité courantes.
Vous pouvez vérifier votre conformité aux normes, identifier les contrôles non conformes, exporter des rapports et plus encore. Pour en savoir plus, consultez Évaluer et signaler la conformité aux normes de sécurité.
- Vous pouvez demander un quota supplémentaire dans l'inventaire des éléments cloud si vous avez besoin d'une surveillance étendue des éléments.
- Le service de stratégie de sécurité vous permet de définir, d'évaluer et de surveiller l'état global de votre sécurité dans Google Cloud. Pour utiliser le service d'état de sécurité, vous devez activer le niveau Premium de Security Command Center au niveau de l'organisation.
- La validation IaC vous permet de valider votre infrastructure en tant que code (IaC) par rapport aux règles d'administration et aux détecteurs Security Health Analytics que vous avez définis dans votre organisation Google Cloud. Pour utiliser la validation IaC, vous devez activer le niveau Premium de Security Command Center au niveau de l'organisation.
- Rapports de failles de VM Manager
- Si vous activez VM Manager, le service écrit automatiquement les résultats dans ses rapports de failles en version bêta dans Security Command Center. Les rapports identifient les failles dans les systèmes d'exploitation installés sur des machines virtuelles Compute Engine. Pour en savoir plus, consultez la section VM Manager.
Niveau Enterprise
Le niveau Enterprise est une plate-forme de protection des applications (CNAPP) cloud native complète qui permet aux analystes SOC, aux analystes de failles et à d'autres professionnels de la sécurité cloud de gérer la sécurité sur plusieurs fournisseurs de services cloud depuis un emplacement centralisé.
Le niveau Enterprise offre des fonctionnalités de détection et d'investigation, une assistance pour la gestion des demandes et la gestion de la stratégie de sécurité, y compris la possibilité de définir et de déployer des règles de stratégie de sécurité personnalisées, et de quantifier et de visualiser le risque que les failles et les erreurs de configuration représentent pour votre environnement cloud.
Le niveau Enterprise inclut tous les services et fonctionnalités des niveaux Standard et Premium, ainsi que les services et fonctionnalités supplémentaires suivants:
Récapitulatif des fonctions et services du niveau Enterprise
Le niveau Enterprise inclut tous les services et fonctionnalités du niveau Standard et Premium qui sont mis à la disposition du public.
Le niveau Enterprise ajoute les services et fonctionnalités suivants à Security Command Center:
- Détection des combinaisons toxiques, basée sur le moteur de gestion des risques de Security Command Center Pour en savoir plus, consultez la section Présentation des combinaisons toxiques.
- Compatibilité avec le multicloud Vous pouvez connecter Security Command Center à d'autres fournisseurs de services cloud, tels qu'AWS, pour détecter les menaces, les failles et les erreurs de configuration. De plus, après avoir spécifié vos ressources de grande valeur auprès de l'autre fournisseur, vous pouvez également évaluer leur exposition aux attaques à l'aide de scores d'exposition aux attaques et de chemins d'attaque.
- Fonctionnalités SIEM (Security Information and Event Management) pour les environnements cloud Analysez les journaux et d'autres données à la recherche de menaces pour plusieurs environnements cloud, définissez des règles de détection des menaces et recherchez les données cumulées. Pour en savoir plus, consultez la documentation sur le SIEM Google SecOps.
- Fonctionnalités SOAR (Security Orchestration, Automation and Response) pour les environnements cloud Gérez les demandes, définissez des workflows de réponse et recherchez les données de réponse. Pour en savoir plus, consultez la documentation Google SecOps SOAR.
- Fonctionnalités de gestion des droits d'accès de l'infrastructure cloud (CIEM) pour les environnements cloud. Identifiez les comptes principaux (identités) mal configurés ou auxquels sont accordées des autorisations IAM (accès) excessives ou sensibles à vos ressources cloud. Pour en savoir plus, consultez la page Présentation de Cloud Infrastructure Entitlement Management.
- Détection étendue des failles logicielles dans les VM et les conteneurs de vos environnements cloud avec les services Google Cloud intégrés et intégrés suivants :
- Google Kubernetes Engine (GKE), édition Enterprise
- Évaluation des failles pour AWS
- VM Manager
Fonctionnalités de niveau Enterprise fournies par Google Security Operations
La fonction de gestion des incidents, les fonctionnalités de playbook et d'autres fonctionnalités SIEM et SOAR du niveau Enterprise de Security Command Center sont optimisées par Google Security Operations. Lorsque vous utilisez certaines de ces fonctionnalités et fonctions, le nom Google SecOps peut s'afficher dans l'interface Web, et vous pouvez être redirigé vers la documentation Google SecOps pour obtenir des conseils.
Certaines fonctionnalités Google SecOps ne sont pas compatibles ou limitées avec Security Command Center, mais leur utilisation peut ne pas être désactivée ni limitée dans les premiers abonnements au niveau Enterprise. N'utilisez les fonctionnalités et fonctions suivantes que conformément aux limites indiquées:
L'ingestion des journaux cloud est limitée aux journaux pertinents pour la détection des menaces cloud, comme les suivants :
Google Cloud
- Journaux d'activité des administrateurs dans Cloud Audit Logs
- Journaux d'accès aux données Cloud Audit Logs
- Journaux syslog Compute Engine
- Journal d'audit GKE
Google Workspace
- Événements Google Workspace
- Alertes Google Workspace
AWS
- Journaux d'audit CloudTrail
- Syslog
- Journaux d'authentification
- Événements GuardDuty
Les détections sélectionnées sont limitées à celles qui détectent les menaces dans les environnements cloud.
Les intégrations Google Cloud Marketplace sont limitées aux éléments suivants:
- Siemplify
- Outils
- VirusTotal V3
- Inventaire des éléments Google Cloud
- Google Security Command Center
- Jira
- Fonctions
- Google Cloud IAM
- E-mail V2
- Google Cloud Compute
- Google Chronicle
- Mitre Att&ck
- Mandiant Threat Intelligence
- Google Cloud Policy Intelligence
- Google Cloud Recommender
- Utilitaires Siemplify
- Service Now
- CSV
- SCC Enterprise
- AWS IAM
- AWS EC2
Le nombre de règles personnalisées pour un seul événement est limité à 20.
L'analyse des risques pour l'UEBA (analyse du comportement des utilisateurs et des entités) n'est pas disponible.
Les renseignements sur les menaces appliqués ne sont pas disponibles.
La prise en charge de Gemini pour Google SecOps est limitée à la recherche en langage naturel et aux résumés d'enquête sur les incidents.
La conservation des données est limitée à trois mois.
Niveaux d'activation de Security Command Center
Vous pouvez activer Security Command Center pour un projet individuel (activation au niveau du projet) ou pour l'ensemble d'une organisation (activation au niveau de l'organisation).
Le niveau Enterprise nécessite une activation au niveau de l'organisation.
Pour en savoir plus sur l'activation de Security Command Center, consultez la page Présentation de l'activation de Security Command Center.
Étape suivante
- Découvrez comment activer Security Command Center.
- En savoir plus sur les services de détection de Security Command Center
- Découvrez comment utiliser Security Command Center dans la console Google Cloud.