Nesta página, você encontra uma visão geral do Security Command Center, uma solução de gerenciamento de riscos que, com o nível Enterprise, combina de segurança na nuvem e operações de segurança corporativa, e fornece insights com a experiência da Mandiant e a inteligência artificial do Gemini.
O Security Command Center permite que as operações de segurança analistas de centrais de dados (SOC), analistas de vulnerabilidade e postura, conformidade de projeto e outros profissionais de segurança para avaliar, investigar e e responder a problemas de segurança em vários em ambientes de nuvem híbrida.
Toda implantação de nuvem tem riscos únicos. O Security Command Center pode ajudar a entender e avaliar a superfície de ataque dos seus projetos ou organização no Google Cloud e a superfície de ataque dos outros ambientes de nuvem. configurados corretamente para proteger seus recursos; O Security Command Center ajuda você a entender as vulnerabilidades e ameaças detectadas nos seus ambientes de nuvem e priorizar as correções.
O Security Command Center integra-se a muitos serviços do Google Cloud para detectar problemas de segurança em vários ambientes de nuvem. Esses serviços detectar problemas de várias formas, como na verificação de metadados de recursos, de registros de nuvem, de contêineres e de máquinas virtuais.
Alguns desses serviços integrados, como o Google Security Operations e Mandiant, também oferecem capacidades e informações que estão fundamental para priorizar e gerenciar suas investigações e resposta aos problemas detectados.
Gerenciar ameaças
Nos níveis Premium e Enterprise, o Security Command Center usa serviços integrados e integrados do Google Cloud para detectar ameaças. Eles verificam os registros do Google Cloud, contêineres e máquinas virtuais em busca de indicadores de ameaças.
Quando esses serviços, como o Event Threat Detection ou o Container Threat Detection, detectam um indicador de ameaça, ele emite uma descoberta. Uma descoberta é um relatório ou um registro de uma ameaça individual ou outro problema que que um serviço encontrou no seu ambiente de nuvem. Os serviços que emitem também são chamadas de fontes de descoberta.
No Security Command Center Enterprise, as descobertas acionam alertas, que dependendo da gravidade da descoberta, pode gerar um caso. Você pode usar um caso com um sistema de tíquetes para atribuir proprietários à investigação e resposta a um ou mais alertas nesse caso. A geração de alertas e casos no Security Command Center é com tecnologia do Google SecOps.
O Security Command Center Enterprise também pode detectar ameaças nas suas implantações em outras plataformas de nuvem. Para detectar ameaças em implantações em outras plataformas de nuvem, O Security Command Center ingere os registros de outra plataforma de nuvem, para estabelecer uma conexão. a ingestão de registros de outras plataformas de nuvem é desenvolvida com a tecnologia do Google SecOps.
Para mais informações, consulte as seguintes páginas:
- Fontes de segurança contra ameaças
- Documentação do Google SecOps
- Gerenciar descobertas e alertas com casos.
Recursos de detecção e resposta a ameaças
Com o Security Command Center, os analistas de SOC podem ter os seguintes benefícios de segurança metas:
- Detecte eventos nos seus ambientes de nuvem que indicam uma possível ameaça e fazer a triagem das descobertas ou alertas associados.
- Atribua proprietários e acompanhe o progresso de investigações e respostas com um um fluxo de trabalho de casos integrado. Se preferir, integre suas preferências sistemas de tíquetes, como Jira ou ServiceNow.
- Investigue os alertas de ameaças com pesquisa avançada e referência cruzada capabilities.
- Defina fluxos de trabalho de resposta e automatize ações para abordar possíveis ataques em ambientes de nuvem. Para mais informações sobre como definir fluxos de trabalho de resposta e ações automatizadas com playbooks, que são com tecnologia do Google SecOps, consulte Trabalhar com playbooks.
- Silenciar ou excluir descobertas ou alertas que sejam falsos positivos.
- Foco nas ameaças relacionadas a identidades e permissões de acesso comprometidas.
- Use o Security Command Center para detectar, investigar e responder a possíveis ameaças em outros ambientes de nuvem, como a AWS.
Gerenciar vulnerabilidades
O Security Command Center oferece detecção abrangente de vulnerabilidades, verificar automaticamente os recursos do seu ambiente em busca vulnerabilidades de software, configurações incorretas e outros tipos de problemas que podem expor você a ataques. Juntos, esses tipos de problemas são chamadas coletivamente de vulnerabilidades.
O Security Command Center usa modelos integrados serviços integrados do Google Cloud para detectar problemas de segurança. Os serviços que emitem descobertas também são chamados de fontes de busca. Quando um serviço detecta um problema, ele emite uma descoberta para registrá-lo.
Por padrão, os casos são abertos automaticamente para casos de vulnerabilidades de gravidade crítica para ajudar você a priorizar e correção de problemas. É possível atribuir proprietários e acompanhar o progresso da correção a um caso.
Para ver mais informações, consulte os seguintes tópicos:
- Gerenciar descobertas e alertas com casos
- Serviços de detecção de vulnerabilidades e configurações incorretas
Combinações ruins
o Security Command Center Risk Engine, um recurso do Enterprise, detecta grupos de problemas de segurança que, quando ocorrem juntos, em um padrão específico, crie um caminho para um ou mais dos seus recursos de alto valor que um determinado invasor poderia usar para alcançar e comprometer esses recursos.
Esse tipo de grupo padronizado de problemas de segurança é chamado de combinação tóxica. Quando o Risk Engine detecta uma combinação tóxica, ele emite uma descoberta. Para cada descoberta de combinação tóxica, O Security Command Center cria um caso no console de Operações de Segurança, para que você possa gerenciar e rastrear a resolução da combinação tóxica.
Para mais informações, consulte Visão geral de combinações tóxicas.
Vulnerabilidades de software
Para ajudar você a identificar, entender e priorizar vulnerabilidades de software, O Security Command Center pode avaliar as máquinas virtuais (VMs) e os contêineres em busca de vulnerabilidades nos ambientes de nuvem. Para cada resultado vulnerabilidade, o Security Command Center fornece informações detalhadas em um registro ou descoberta. As informações fornecidas com uma descoberta podem incluem:
- Detalhes do recurso afetado
- Informações sobre qualquer registro CVE associado, incluindo uma avaliação da Mandiant em relação ao impacto e à capacidade de exploração do item CVE
- Uma pontuação de exposição a ataques para ajudar você a priorizar a correção
- Uma representação visual do caminho que um invasor pode seguir até recursos de alto valor expostos pela vulnerabilidade
As vulnerabilidades de software são detectadas pelos seguintes serviços:
- VM Manager (em inglês) para sistemas operacionais de máquinas virtuais do Compute Engine
- Painel de postura de segurança do Google Kubernetes Engine para sistemas operacionais em contêineres
- Avaliação de vulnerabilidades para Amazon Web Services (AWS) para instâncias do EC2 na AWS
- Web Security Scanner para aplicativos da Web em execução no App Engine, Google Kubernetes Engine (GKE) e Compute Engine
Configurações incorretas
O Security Command Center mapeia os detectores dos serviços que verificam erros de configuração aos controles dos padrões comuns de compliance do setor. Além de mostrar os padrões de compliance que um erro de configuração viola, o mapeamento permite que você tenha uma medida de conformidade com os diversos padrões, que você pode exportar como um relatório.
Para mais informações, consulte Avaliar e relatar a conformidade.
Violações de postura
Os níveis Premium e Enterprise do Security Command Center incluem o de postura de segurança, que emite descobertas quando seus os recursos de nuvem violam as políticas definidas no programa de segurança que você implantou em seu ambiente de nuvem.
Para mais informações, consulte Serviço de postura de segurança:
Validar a infraestrutura como código
É possível verificar se os arquivos de infraestrutura como código (IaC, na sigla em inglês) estão alinhados com políticas da organização e os detectores da Análise de integridade da segurança definidos sua organização do Google Cloud. Esse recurso ajuda a garantir que você não implante recursos que vão violar os padrões da sua organização. Depois de definir políticas organizacionais e, se necessário, ativar a Análise de integridade da segurança use a Google Cloud CLI para validar seu arquivo de plano do Terraform ou é possível integrar o processo de validação ao Cloud Build, Jenkins ou Fluxo de trabalho do desenvolvedor no GitHub Actions. Para mais informações, consulte Validar a IaC contra as políticas da sua organização ..
Detecte vulnerabilidades e configurações incorretas em outras plataformas de nuvem
O Security Command Center Enterprise pode detectar vulnerabilidades em vários em ambientes de nuvem híbrida. Para detectar vulnerabilidades em outros serviços de nuvem provedores, você precisa primeiro estabelecer uma conexão com o provedor para ingerir metadados de recursos.
Para mais informações, consulte Conectar-se à AWS para detecção de vulnerabilidades e avaliação de risco.
Recursos de gerenciamento de vulnerabilidades e postura
No Security Command Center, analistas de vulnerabilidades, administradores de postura e profissionais de segurança semelhantes podem atingir as metas de segurança a seguir:
- Detectar diferentes tipos de vulnerabilidade, incluindo de software, configurações incorretas e violações de postura, que podem expor ambientes a possíveis ataques.
- Concentre seus esforços de resposta e correção nos problemas de maior risco usando as pontuações de exposição a ataques nas descobertas e alertas para vulnerabilidades.
- Atribuir proprietários e acompanhar o progresso das correções de vulnerabilidades usando casos e integrando seus sistemas de tíquetes preferidos, como o Jira ou ServiceNow.
- Proteger de forma proativa os recursos de alto valor nos seus ambientes de nuvem ao diminuir as pontuações de exposição a ataques
- Defina posturas de segurança personalizadas para seus ambientes de nuvem que O Security Command Center usa para avaliar sua postura e alertar sobre violações.
- Silenciar ou excluir descobertas ou alertas que sejam falsos positivos.
- Focar em vulnerabilidades relacionadas a identidades e com excesso de permissões.
- Detectar e gerenciar riscos e vulnerabilidades no Security Command Center para seus outros ambientes de nuvem, como AWS.
Avalie o risco com pontuações de exposição e caminhos de ataque
Com ativações dos níveis Premium e Enterprise no nível da organização, O Security Command Center fornece serviços e as pontuações de exposição a recursos de alto valor descobertas de configuração incorreta que afetam os recursos de alto valor.
Essas pontuações podem ser usadas para priorizar a correção de vulnerabilidades e configurações incorretas, para priorizar a segurança recursos de alto valor mais expostos e geralmente avalia quão exposto ambientes em nuvem sejam atacados.
No painel Vulnerabilidades ativas da página Visão geral do risco no console do Google Cloud, A guia Descobertas por pontuação de exposição a ataques mostra as descobertas com as maiores pontuações de exposição ao ataque no seu ambiente, bem como a distribuição dessas pontuações.
Para mais informações, consulte Pontuações de exposição a ataques e caminhos de ataque.
Gerenciar descobertas e alertas com casos
O Security Command Center Enterprise cria casos para ajudar você a gerenciar descobertas e alertas, atribuir proprietários e gerenciar as investigações e respostas a problemas de segurança detectados. Os casos são abertos automaticamente nos casos de alta gravidade e problemas de gravidade crítica.
É possível integrar casos ao sistema de tíquetes de sua preferência, como o Jira ou ServiceNow. Quando os casos são atualizados, todos os tíquetes abertos sobre eles podem ser atualizadas automaticamente. Da mesma forma, se um tíquete for atualizado, caso correspondente.
A funcionalidade do caso é fornecida pelo Google SecOps.
Para mais informações, consulte Visão geral de casos. na documentação do Google SecOps.
Definir fluxos de trabalho de resposta e ações automatizadas
Defina fluxos de trabalho de resposta e automatize ações para investigar e responder aos problemas de segurança detectados nos seus ambientes de nuvem.
Para mais informações sobre como definir fluxos de trabalho de resposta e ações com os playbooks, que usam a tecnologia do Google SecOps, consulte Trabalhar com playbooks.
Suporte a várias nuvens: proteja suas implantações em outras plataformas de nuvem
Amplie os serviços e recursos do Security Command Center para cobrir implantações em outras plataformas de nuvem, para que você possa gerenciar em um só lugar todas as ameaças e vulnerabilidades em todos os ambientes de nuvem.
Para mais informações sobre como conectar o Security Command Center a outro provedor de serviços de nuvem, consulte as seguintes páginas:
- Para detecção de ameaças, consulte Conectar-se à AWS para detectar ameaças.
- Para detectar vulnerabilidades e pontuações de exposição a ataques, consulte Conectar-se à AWS para detecção de vulnerabilidades e avaliação de riscos.
Provedores de serviços de nuvem compatíveis
O Security Command Center pode se conectar à Amazon Web Services (AWS).
Definir e gerenciar posturas de segurança
Com ativações dos níveis Premium e Enterprise no nível da organização do Security Command Center, é possível criar e gerenciar posturas de segurança que definem o estado necessário dos recursos da nuvem, incluindo de nuvem e serviços de nuvem, para garantir a segurança ideal no seu ambiente de nuvem. É possível personalizar as posturas de segurança de acordo com os requisitos de segurança e às necessidades regulatórias. Ao definir uma postura de segurança, é possível minimizar os riscos de segurança cibernética organização e ajudam a prevenir ataques.
Você usa o serviço de postura de segurança do Security Command Center para definir e implantar uma postura de segurança e detectar desvios ou mudanças não autorizadas da sua postura definida.
O serviço de postura de segurança é ativado automaticamente quando você ativar o Security Command Center no nível da organização.
Para mais informações, consulte Visão geral da postura de segurança.
Identificar seus recursos
O Security Command Center inclui informações de recursos do Inventário de recursos do Cloud, que monitora continuamente os ativos em sua nuvem de nuvem. Para a maioria dos recursos, as alterações de configuração, incluindo o IAM e as políticas da organização, são detectadas quase em tempo real.
Na página Recursos do console do Google Cloud, é possível aplique, edite e execute consultas de recursos de amostra, adicione uma restrição de tempo predefinida ou pode escrever suas próprias consultas de recursos.
Se você tem o nível Premium ou Enterprise do Security Command Center, você pode ver quais recursos estão designados como recursos de alto valor para avaliações de risco simulações de caminho de ataque.
É possível identificar rapidamente mudanças na sua organização ou projeto e responder a perguntas como estas:
- Quantos projetos você tem e quando eles foram criados?
- Quais recursos do Google Cloud são implantados ou estão em uso, como máquinas virtuais (VMs) do Compute Engine, buckets do Cloud Storage ou instâncias do App Engine?
- Qual é seu histórico de implantação?
- Como organizar, anotar, pesquisar, selecionar, filtrar e classificar nas
seguintes categorias:
- Recursos e propriedades do recurso
- Marcações de segurança, que permitem fazer anotações em recursos ou descobertas no Security Command Center
- Período
O Inventário de recursos do Cloud sempre sabe o estado atual dos recursos compatíveis e, o console do Google Cloud, permite revisar o histórico de verificações de descoberta para comparar ativos entre pontos no tempo. Também é possível procurar recursos subutilizados, como máquinas virtuais ou endereços IP inativos.
Recursos do Gemini no Security Command Center
O Security Command Center incorpora o Gemini para fornecer resumos de descobertas e caminhos de ataque, além de auxiliar suas pesquisas e investigações de ameaças e vulnerabilidades detectadas.
Para saber mais sobre o Gemini, consulte Visão geral do Gemini.
Resumos do Gemini de descobertas e caminhos de ataque
Se você usa o Security Command Center Enterprise ou Premium,
O Gemini oferece
explicações geradas dinamicamente para cada descoberta e para cada
caminho de ataque gerado pelo Security Command Center para Vulnerability e
Misconfiguration descobertas da classe.
Os resumos são escritos em linguagem natural para ajudar você a entender e agir rapidamente com base nas descobertas e nos caminhos de ataque que possam acompanhá-los.
.Os resumos aparecem nos seguintes locais no console do Google Cloud:
- Ao clicar no nome de uma descoberta individual, o resumo na parte superior da página de detalhes da descoberta.
- Com os níveis Premium e Enterprise do Security Command Center, descoberta tem uma pontuação de exposição a ataques, é possível exibir o resumo à direita do caminho de ataque clicando a pontuação de exposição a ataques e, em seguida, Resumo da IA.
Permissões do IAM obrigatórias para resumos gerados por IA
Para ver os resumos de IA, você precisa das permissões de IAM necessárias.
Para descobertas, você precisa da permissão securitycenter.findingexplanations.get
do IAM. O papel do IAM predefinido
com a menor permissão que contém essa permissão é o
Leitor de descobertas da Central de segurança (roles/securitycenter.findingsViewer, na sigla em inglês).
Para caminhos de ataque, a permissão securitycenter.exposurepathexplan.get do IAM é necessária. O papel do IAM predefinido
com a menor permissão possível que contém essa permissão é o
Leitor de caminhos de exposição da Central de segurança (roles/securitycenter.exposurePathsViewer, na sigla em inglês).
Durante a visualização, essas permissões não estão disponíveis no console do Google Cloud para adicionar a papéis personalizados do IAM.
Para adicionar a permissão a um papel personalizado, use a CLI do Google Cloud.
Para informações sobre como usar a CLI do Google Cloud para adicionar permissões a um papel personalizado, consulte Criar e gerenciar papéis personalizados.
Pesquisa com linguagem natural para investigações de ameaças
É possível gerar pesquisas por descobertas de ameaças, alertas e outros usando consultas em linguagem natural e o Gemini. O a integração com o Gemini para pesquisas em linguagem natural é com tecnologia do Google SecOps. Para mais informações, consulte Use a linguagem natural para gerar consultas de pesquisa UDM na documentação do Google SecOps.
Widget de investigação de IA para casos
Para ajudar você a entender e investigar casos de descobertas e alertas, O Gemini oferece um resumo de cada caso e sugere próximas etapas para investigar o caso. Resumo e próximas etapas aparecem no widget Investigação de IA ao visualizar um caso.
Essa integração com o Gemini usa a tecnologia do Google SecOps.
Insights de segurança acionáveis
Serviços integrados do Google Cloud no Security Command Center monitorar continuamente sua ativos e registros para indicadores de comprometimento e alterações de configuração que corresponder a ameaças, vulnerabilidades e erros de configuração conhecidos. Para fornecer informações sobre incidentes, as descobertas são enriquecidas com informações das seguintes fontes:
- Com os níveis Enterprise e Premium:
- Resumos gerados por IA que ajudam a entender e agir com relação às descobertas do Security Command Center e os caminhos de ataque incluídos nelas. Para mais informações, consulte Resumos gerados por IA.
- As descobertas de vulnerabilidades incluem informações das entradas de CVE correspondentes, incluindo a pontuação da CVE, e avaliações da Mandiant sobre os recursos impacto potencial e potencial para ser explorado.
- SIEM avançado e SOAR recursos de pesquisa com a tecnologia do Google SecOps, permitem investigar ameaças e vulnerabilidades e passar por relacionadas em uma linha do tempo unificada.
- VirusTotal, um Serviço da Alphabet que fornece contexto sobre arquivos potencialmente maliciosos, URLs, domínios e endereços IP.
- framework MITRE ATT&CK, que explica técnicas para ataques contra recursos da nuvem e fornece soluções orientação.
- Registros de auditoria do Cloud (Registros de atividade do administrador e registros de acesso a dados).
Você recebe notificações de novas descobertas quase em tempo real, ajudando as equipes de segurança a coletar dados, identificar ameaças e agir de acordo com as recomendações antes que elas resultem em danos ou perdas aos negócios.
Com uma visualização centralizada da postura de segurança e uma API robusta, é possível fazer rapidamente o seguinte:
- Responda a perguntas como estas:
- Quais endereços IP estáticos estão abertos ao público?
- Quais imagens estão sendo executadas nas VMs?
- Há evidências de que suas VMs estão sendo usadas para mineração de moedas ou outras operações abusivas?
- Quais contas de serviço foram adicionadas ou removidas?
- Como os firewalls são configurados?
- Quais buckets de armazenamento contêm informações de identificação pessoal (PII) ou dados confidenciais? Esse recurso requer integração com a Proteção de dados confidenciais.
- Quais aplicativos de nuvem são vulneráveis à vulnerabilidades entre scripts (XSS, na sigla em inglês)?
- Todos os meus buckets do Cloud Storage estão abertos à Internet?
- Tome medidas para proteger seus recursos:
- Implemente etapas de remediação verificadas para configurações incorretas de recursos e violações de conformidade.
- Combine a inteligência de ameaça do Google Cloud e de provedores terceirizados, como a Palo Alto Networks, para proteger melhor sua empresa de ameaças caras às camadas de computação.
- Verifique se as políticas do IAM apropriadas estão em vigor e receba alertas quando as políticas forem configuradas incorretamente ou inesperadamente.
- Integre descobertas de fontes próprias ou de terceiros para recursos do Google Cloud ou outros recursos híbridos ou multicloud. Para mais informações, consulte Como adicionar um serviço de segurança de terceiros.
- Responda a ameaças no ambiente do Google Workspace e a alterações não seguras no Grupos do Google.
Configurações incorretas de identidade e acesso
O Security Command Center facilita a identificação e a resolução descobertas de configurações incorretas de identidade e acesso no Google Cloud. As descobertas de configuração incorreta identificam os principais (identidades) que são mal configuradas ou com IAM excessivo ou confidencial permissões de acesso (acesso) aos recursos do Google Cloud.
Gerenciamento de direitos de infraestrutura do Cloud
O gerenciamento de problemas de segurança relacionados a identidade e acesso às vezes é chamado gerenciamento de direitos de infraestrutura em nuvem (CIEM, na sigla em inglês). O Security Command Center oferece capacidades do CIEM que ajudam a fornecer uma visão abrangente a segurança da configuração de identidade e acesso da organização. O Security Command Center oferece esses recursos para várias plataformas de nuvem, incluindo Google Cloud e Amazon Web Services (AWS). Com CIEM, você pode ver quais principais têm permissões excessivas nos seus em ambientes de nuvem híbrida. Além do Google Cloud IAM, O CIEM permite investigar as permissões principais de outros provedores de identidade (como Entra ID (Azure AD) e Okta) nos recursos do Google Cloud. É possível identificar os casos mais graves acessar descobertas de vários provedores de nuvem na seção Identidade e de descobertas na página Visão geral do Security Command Center no console do Google Cloud.
Para mais informações sobre os recursos de CIEM do Security Command Center, consulte Visão geral do direito de infraestrutura do Cloud de configuração.
Predefinições de consulta de identidade e acesso
Na página Vulnerabilidade do console do Google Cloud, é possível: selecione as predefinições de consulta (consultas predefinidas) que mostram os detectores de vulnerabilidades ou as categorias relacionadas e acesso. O número de descobertas ativas é exibido para cada categoria.
Para saber mais sobre as predefinições de consulta, confira Aplique predefinições de consulta.
Gerencie a conformidade com os padrões do setor
o Security Command Center monitora sua conformidade com detectores associados aos controles de uma ampla diversos padrões de segurança.
Para cada padrão de segurança compatível, o Security Command Center verifica um subconjunto dos controles. Para os controles marcados, o Security Command Center mostra quantos estão passando. Para o que não forem aprovados, o Security Command Center mostrará uma lista de descobertas que descrever as falhas de controle.
O CIS analisa e certifica os mapeamentos o Security Command Center os detectores a cada suporte do comparativo de mercado CIS do Google Cloud Foundations. Compliance adicional são incluídos apenas para fins de referência.
o Security Command Center adiciona suporte a novas versões de comparativo de mercado e padrões periodicamente. Antigos continuam compatíveis, mas acabarão sendo descontinuadas. Recomendamos usar o comparativo de mercado ou o padrão compatível mais recente disponível.
Com o serviço de postura de segurança, é possível mapear as políticas da organização e os detectores da Análise de integridade da segurança para os padrões e controles de acesso que se aplicam à sua empresa. Depois de criar uma postura de segurança, é possível monitorar quaisquer alterações no ambiente que possam afetar a conformidade da sua empresa.
Para mais informações sobre como gerenciar a conformidade, consulte Avaliar e relatar compliance com padrões de segurança.
Padrões de segurança com suporte no Google Cloud
o Security Command Center mapeia os detectores do Google Cloud para um ou mais dos requisitos de conformidade a seguir padrão:
- Controles do Center for Information Security (CIS) 8.0
- CIS do Google Cloud Computing Foundations Benchmark v2.0.0, v1.3.0, v1.2.0, v1.1.0 e v1.0.0
- Comparativo de mercado do CIS para Kubernetes v1.5.1
- Matriz de controles de nuvem (CCM) 4
- Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA)
- Organização Internacional do Padronização (ISO) 27001, 2022 e 2013
- Nacional Institute of Standards and Technology (NIST) 800-53 R5 e R4
- NIST CSF 1.0 (link em inglês)
- Abrir aplicativo da Web Top Ten do projeto de segurança (OWASP) de 2021 e 2017
- Pagamento Padrão de Segurança de Dados do Setor de Cartões (PCI DSS) 4.0 e 3.2.1
- Controles de Sistema e Organização (SOC, na sigla em inglês) 2 Critérios de Serviços Confiáveis (TSC, na sigla em inglês) de 2017
Padrões de segurança com suporte na AWS
o Security Command Center mapeia os detectores da Amazon Web Services (AWS) para um ou mais dos seguintes itens de padrão:
- CIS Amazon Web Services Foundations 2.0.0
- CIS Controls 8.0 (link em inglês)
- CCM 4 (link em inglês)
- HIPAA
- ISO 27001 2022 (em inglês)
- NIST 800-53 R5 (em inglês)
- NIST CSF 1.0 (link em inglês)
- PCI DSS 4.0 e 3.2.1
- SOC 2 2017 TSC
Plataforma flexível para atender às suas necessidades de segurança
O Security Command Center inclui opções de personalização e integração que permitem Aprimorar a utilidade do serviço para atender às suas necessidades de segurança em constante evolução.
Opções de personalização
As opções de customização incluem:
- criar módulos personalizados para o Security Health Analytics a fim de definir regras de detecção próprias para vulnerabilidades, configurações incorretas ou violações de conformidade;
- criar módulos personalizados do Event Threat Detection para monitorar seu fluxo do Logging quanto a ameaças com base nos parâmetros especificados.
- Crie posturas de segurança que ajudam a monitorar de qualquer mudança no ambiente que possa afetar sua conformidade com várias normas regulamentares.
Opções de integração
As opções de integração incluem:
- Use o Pub/Sub para exportar as descobertas para o Splunk ou outras ferramentas de SIEM para análise.
- Use o Pub/Sub e o Cloud Functions para corrigir as descobertas de maneira rápida e automática.
- Acesse ferramentas de código aberto para expandir a funcionalidade e automatizar respostas.
- Integre com as ferramentas de segurança do Google Cloud, incluindo as seguintes:
- Integre com soluções de segurança de parceiros terceirizados:
- Os insights de segurança do Google Cloud provenientes de produtos parceiros são agregados no Security Command Center e você pode alimentá-los em sistemas e fluxos de trabalho atuais.
Quando usar o Security Command Center
A tabela a seguir inclui recursos de alto nível do produto, casos de uso e links para a documentação relevante, ajudando você a encontrar rapidamente o conteúdo necessário.
| Recurso | Casos de uso | Documentos relacionados |
|---|---|---|
| Identificação e análise de recursos |
|
Práticas recomendadas do Security Command Center Como usar o Security Command Center no console do Google Cloud |
| Identificação de dados confidenciais |
|
Como enviar resultados da Proteção de dados sensíveis para o Security Command Center |
| Integração de produtos SIEM e SOAR de terceiros |
|
Como exportar dados do Security Command Center |
| Detecção de configuração incorreta |
|
Informações gerais sobre a Análise de integridade da segurança |
| Detecção de vulnerabilidades de software |
|
Painel de postura de segurança do GKE |
| Monitoramento de controle de acesso e identidade |
|
Recomendador do IAM |
| Detecção de ameaças |
|
Gerenciar ameaças |
| Detecção de erros |
|
Visão geral dos erros do Security Command Center |
| Priorizar correções |
|
Visão geral das pontuações e caminhos de exposição a ataques |
| Riscos para correção |
|
Investigar e responder a ameaças
Como corrigir as descobertas da análise de integridade de segurança Como corrigir descobertas do Web Security Scanner |
| Gerenciamento de postura |
|
Visão geral da postura de segurança |
| Informações de ferramentas de segurança de terceiros |
|
Como configurar o Security Command Center |
| Notificações em tempo real |
|
Como configurar as notificações de localização Como ativar notificações de chat e e-mail em tempo real Como usar marcações de segurança |
| API REST e SDKs de cliente |
|
Como configurar o Security Command Center Como acessar o Security Command Center de maneira programática |
Controles de residência de dados
Para atender aos requisitos de residência de dados, ao ativar o Security Command Center, Standard ou Premium pela primeira vez, você poderá ativar os controles de residência de dados.
Ativar os controles de residência de dados restringe o armazenamento e processamento de descobertas do Security Command Center, regras de silenciamento, exportações contínuas, e o BigQuery exporta para um dos locais de residência multirregiões com suporte do Security Command Center.
Para mais informações, consulte Planejamento para residência de dados.
Níveis de serviço do Security Command Center
O Security Command Center oferece três níveis de serviço: Standard, Premium e Enterprise.
O nível selecionado determina os recursos e serviços disponíveis no Security Command Center.
Se você tiver dúvidas sobre os níveis de serviço do Security Command Center, entre em contato com seu representante de contas ou com as vendas do Google Cloud.
Para mais informações sobre os custos associados ao uso de um nível do Security Command Center, consulte Preços.
Nível Standard
O nível Standard inclui os seguintes serviços e recursos:
-
Análise de integridade da segurança: no nível Standard, a Análise de integridade da segurança fornece gerenciamento verificação de avaliação para o Google Cloud que detecta automaticamente vulnerabilidades e configurações incorretas de maior gravidade nos recursos do Google Cloud. No nível Standard, o Security Health Analytics inclui os seguintes tipos de resultados:
Dataproc image outdatedLegacy authorization enabledMFA not enforcedNon org IAM memberOpen ciscosecure websm portOpen directory services portOpen firewallOpen group IAM memberOpen RDP portOpen SSH portOpen Telnet portPublic bucket ACLPublic Compute imagePublic datasetPublic IP addressPublic log bucketPublic SQL instanceSSL not enforcedWeb UI enabled
- Verificações personalizadas do Web Security Scanner: no nível Standard, essa ferramenta admite verificações personalizadas de aplicativos implantados com URLs e endereços IP públicos que não estão protegidos por firewall. As verificações são configuradas, gerenciadas e executadas manualmente para todos os projetos e são compatíveis com um subconjunto de categorias em OWASP Top Ten
- Erros do Security Command Center: ele fornece orientações de detecção e remediação para erros de configuração que impedem o funcionamento correto do Security Command Center e dos serviços.
- Recurso de exportações contínuas, que gerencia automaticamente a exportação de novas descobertas para o Pub/Sub.
-
Acesso a serviços integrados do Google Cloud, incluindo os seguintes:
- A proteção de dados confidenciais descobre, classifica e protege dados confidenciais.
- O Google Cloud Armor protege as implantações do Google Cloud contra ameaças
- A detecção de anomalias identifica anomalias de segurança dos seus projetos e instâncias de máquina virtual (VM), como possíveis credenciais vazadas e mineração de moedas.
- Policy Controller (link em inglês) permite a aplicação de políticas programáveis aos seus clusters do Kubernetes.
- Descobertas do painel de postura de segurança do GKE: ver descobertas sobre configurações incorretas de segurança de cargas de trabalho do Kubernetes, e vulnerabilidades no sistema operacional de contêineres ou em linguagens pacotes. Integração do painel de postura de segurança do GKE descobertas com o Security Command Center estão disponíveis em Pré-lançamento.
- Integração com o BigQuery, que exporta descobertas para o BigQuery para análise.
- Integração com o Forseti Security, o kit de ferramentas de segurança de código aberto para o Google Cloud e aplicativos de gerenciamento de eventos e informações de segurança (SIEM, na sigla em inglês) de terceiros.
- Serviço de ações sensíveis: que detecta quando ações são realizadas no ambiente do Google Cloud organização, pastas e projetos que possam prejudicar os negócios caso sejam tomadas por um usuário malicioso.
- Quando o Security Command Center está ativado no nível da organização, é possível conceder aos usuários papéis do IAM nos níveis da organização, da pasta e do projeto.
- Os controles de residência de dados que restringem o armazenamento e
processamento de descobertas do Security Command Center, regras de silenciamento, exportações contínuas,
e o BigQuery exporta para um dos locais de residência
multirregiões com suporte do Security Command Center.
Para mais informações, consulte Planejamento para residência de dados.
Nível Premium
O nível Premium inclui todos os serviços e recursos do nível Standard. e os seguintes serviços e recursos adicionais:
- As simulações de caminho de ataque ajudam a identificar e priorizar descobertas de vulnerabilidade e configurações incorretas, identificando os caminhos que um possível invasor pode seguir para alcançar seus recursos de alto valor. As simulações calculam e atribuem pontuações de exposição a ataques a qualquer descoberta que exponha esses recursos. Os caminhos de ataque interativos ajudam a visualizar os possíveis caminhos de ataque e fornecer informações sobre os caminhos, as descobertas relacionadas e os recursos afetados.
-
As descobertas de vulnerabilidades incluem CVE de segurança fornecidos pela Mandiant para ajudar você a priorizar a correção deles.
Na página Visão geral do console, as principais descobertas de CVE mostra as descobertas de vulnerabilidades agrupadas por capacidade de exploração e impacto potencial, conforme avaliado Mandiant Na página Descobertas, é possível consultar as descobertas por ID da CVE.
Para mais informações, consulte Priorize por impacto e vulnerabilidade a explorações da CVE.
- O Event Threat Detection monitora o Cloud Logging e o Google Workspace, usando inteligência contra ameaças, machine learning e outros métodos avançados para detectar ameaças, como malware, mineração de criptomoeda e exfiltração de dados. Para uma lista completa de detectores integrados do Event Threat Detection, consulte Regras do Event Threat Detection. Também é possível criar detectores personalizados do Event Threat Detection. Para mais informações sobre modelos de módulo que podem ser usados para criar regras de detecção personalizadas, consulte Visão geral de módulos personalizados do Event Threat Detection.
-
O Container Threat Detection detecta os
seguintes ataques ao ambiente de execução do contêiner:
- Adição de binário executado
- Adição de biblioteca carregada
- Execução: adição de binário malicioso executado
- Execução: biblioteca maliciosa carregada
- Execução: criação em binário malicioso executado
- Execução: binário malicioso modificado executado
- Execução: biblioteca maliciosa modificada carregada
- Script malicioso executado
- Shell reverso
- Shell filho inesperado
-
As informações do Policy Intelligence a seguir estão disponíveis:
- Recursos avançados do recomendador do IAM, incluindo:
- Recomendações para papéis não básicos
- Recomendações para papéis concedidos em recursos diferentes organizações, pastas e projetos, por exemplo, recomendações para papéis concedidos em buckets do Cloud Storage
- Recomendações que sugerem papéis personalizados
- Insights de política
- Insights de movimentação lateral
- Análise de políticas em grande escala (acima de 20 consultas por organização por dia). Esse limite é compartilhado entre todas as ferramentas da ferramenta Análise de políticas políticas.
- Visualizações para a análise de políticas da organização.
- Recursos avançados do recomendador do IAM, incluindo:
- É possível consultar recursos no o Inventário de recursos do Cloud.
- O Detecção de ameaças a máquinas virtuais detecta aplicativos potencialmente maliciosos em execução em instâncias de VM.
-
O Security Health Analytics no nível Premium inclui os seguintes recursos:
- Verificações de vulnerabilidades gerenciadas para todos os detectores do Security Health Analytics
- Monitoramento de muitas práticas recomendadas do setor
- Monitoramento de compliance. Mapa de detectores da Análise de integridade da segurança os controles dos comparativos de mercado de segurança comuns.
- Suporte de módulo personalizado, que você pode usar para criar seus próprios detectores personalizados do Security Health Analytics.
No nível Premium, a Análise de integridade da segurança é compatível com os padrões descritos em Gerenciar a conformidade com os padrões do setor.
- O Web Security Scanner no nível Premium inclui todos os recursos do nível Standard e outros detectores compatíveis com categorias no OWASP Top 10. O Web Security Scanner também adiciona verificações gerenciadas que são configuradas automaticamente.
Monitoramento de compliance nos recursos do Google Cloud.
Medir sua conformidade com comparativos de mercado de segurança comuns e padrões, os detectores da vulnerabilidade do Security Command Center são associados a controles de padrão de segurança comuns.
É possível conferir a conformidade com as normas, identificar que não estão em conformidade, exportar relatórios e muito mais. Para mais informações, consulte Avaliar e relatar o compliance com os padrões de segurança.
- Será possível solicitar uma cota adicional do Inventário de recursos do Cloud se a necessidade de monitoramento estendido de recursos surgir.
- O serviço de postura de segurança permite definir, avaliar e monitorar o desempenho geral status da sua segurança no Google Cloud. A postura de segurança está disponível apenas no Nível Premium do Security Command Center para clientes que comprarem um preço fixo assinatura e ativar o nível Premium do Security Command Center na organização nível O serviço de postura de segurança não oferece suporte faturamento por utilização ou ativações no nível do projeto.
- O recurso de validação de IaC permite validar a infraestrutura (IaC) em relação às políticas da organização e os detectores de Análise de Integridade da Segurança que você definiu na sua organização do Google Cloud. Esse recurso é disponíveis apenas no Nível Premium do Security Command Center para clientes que comprarem um preço fixo assinatura e ativar o nível Premium do Security Command Center na organização nível Esse recurso não oferece suporte faturamento por utilização ou ativações no nível do projeto.
- Relatórios de vulnerabilidade do VM Manager
- Se você ativar o VM Manager, o serviço gravará automaticamente as descobertas dos relatórios de vulnerabilidade que estão em fase de pré-lançamento no Security Command Center. Os relatórios identificam vulnerabilidades nos sistemas operacionais instalados em máquinas virtuais do Compute Engine. Para mais informações, consulte VM Manager.
Nível empresarial:
O nível Enterprise é uma plataforma completa de proteção de aplicativos nativos da nuvem (CNAPP), que capacita analistas de SOC, vulnerabilidades e outros que os profissionais de segurança gerenciem a segurança em vários serviços de nuvem provedores em um local centralizado.
O nível Enterprise oferece recursos de detecção e investigação, o suporte ao gerenciamento de casos e o gerenciamento da postura, para definir e implantar regras de postura personalizadas e quantificar e visualizar o risco de que e configurações incorretas se apresentam ao seu ambiente de nuvem.
O nível Enterprise inclui todos os serviços dos níveis Standard e Premium. e recursos, além dos seguintes serviços e recursos adicionais:
Resumo das funções e serviços da camada corporativa
O nível Enterprise inclui todos os níveis Standard e Premium serviços e recursos que são lançados com disponibilidade geral.
O nível Enterprise adiciona os seguintes serviços e recursos para Security Command Center:
- Detecção de combinação tóxica com tecnologia do Security Command Center o Risk Engine. Para mais informações, consulte Visão geral das combinações tóxicas.
- Suporte a várias nuvens. É possível conectar o Security Command Center a outras provedores, como AWS, para detectar ameaças, vulnerabilidades e de configuração. Além disso, após especificar seus recursos de alto valor outro provedor, você também pode avaliar a exposição deles a ataques com as pontuações de exposição e os caminhos de ataque.
- Recursos de gerenciamento de eventos e informações de segurança (SIEM) para ambientes de nuvem, com tecnologia do Google SecOps. Verifique registros e outros dados em busca de ameaças em vários ambientes de nuvem, definir regras de detecção de ameaças e pesquisar os dados acumulados. Para mais informações, consulte Documentação do SIEM do Google SecOps.
- Recursos de SOAR (orquestração, automação e resposta de segurança) para ambientes de nuvem, com tecnologia do Google SecOps. Gerencie casos, defina fluxos de trabalho de resposta e pesquise os dados das respostas. Para mais informações, consulte Documentação do Google SecOps SOAR.
- Recursos de gerenciamento de direitos de infraestrutura em nuvem (CIEM, na sigla em inglês) para ambientes de nuvem. Identifique as contas principais (identidades) que estão configuradas incorretamente ou que concederam permissões (acesso) excessivas ou confidenciais do IAM a dos recursos de nuvem. Para mais informações, consulte Visão geral do Gerenciamento de direitos de infraestrutura do Cloud.
- Detecção expandida de vulnerabilidades de software em VMs e contêineres
em todos os ambientes de nuvem com os seguintes recursos integrados
serviços integrados do Google Cloud:
- Google Kubernetes Engine (GKE) Enterprise
- Avaliação de vulnerabilidades para a AWS
- VM Manager
Funções de nível empresarial com a tecnologia das Operações de segurança do Google
A função de gerenciamento de casos, recursos do playbook e outros SIEM e SOAR funcionalidades do nível Enterprise do Security Command Center são fornecidos pelas Operações de segurança do Google. Quando você usa alguns desses recursos e funções do Google, consulte o na interface da Web e pode ser direcionado para Documentação do Google SecOps para orientação.
alguns recursos do Google SecOps não têm suporte ou limitados com o Security Command Center, mas o uso deles pode não ser desativado ou limitada nas assinaturas iniciais para o nível Enterprise. Use o seguinte recursos e funções de acordo com as limitações declaradas:
A ingestão de registros da nuvem é limitada aos registros relevantes para detecção de ameaças na nuvem, como:
Google Cloud
- Registros de auditoria do Cloud de atividade do administrador
- Registros de auditoria do Cloud de acesso a dados
- Syslog do Compute Engine
- Registro de auditoria do GKE
Google Workspace
- Eventos do Google Workspace
- Alertas do Google Workspace
AWS
- Registros de auditoria do CloudTrail
- Syslog
- Registros de autenticação
- Eventos do GuardDuty
Detecções selecionadas são limitadas àquelas que detectam ameaças em em ambientes de nuvem híbrida.
As integrações do Google Cloud Marketplace são limitadas ao seguinte:
- Siemplify
- Ferramentas
- VirusTotal V3
- Inventário de recursos do Google Cloud
- Google Security Command Center
- Jira
- remotas
- Google Cloud IAM
- E-mail V2
- Google Cloud Compute
- Google Chronicle
- Att&ck
- Inteligência contra ameaças da Mandiant
- Inteligência de políticas do Google Cloud
- Recomendador do Google Cloud
- Siemplify Utilitários
- Service Now
- CSV
- SCC Enterprise
- AWS IAM
- AWS EC2
O número de regras personalizadas de evento único está limitado a 20 regras.
A análise de risco do UEBA (análise do comportamento de usuários e entidades) não está disponível.
A Inteligência aplicada sobre ameaças não está disponível.
O suporte do Gemini para o Google SecOps está limitado a resumos de investigação de caso e pesquisa em linguagem natural.
A retenção de dados é limitada a três meses.
Níveis de ativação do Security Command Center
É possível ativar o Security Command Center em um projeto específico, conhecido comoativação no nível do projeto ou uma organização inteira, conhecida comoativação no nível da organização (em inglês).
O nível Enterprise requer uma ativação no nível da organização.
Para mais informações sobre como ativar o Security Command Center, consulte Visão geral da ativação do Security Command Center.
A seguir
- Saiba mais sobre como ativar o Security Command Center.
- Saiba mais sobre os serviços de detecção do Security Command Center.
- Saiba como usar o Security Command Center no console do Google Cloud.