Présentation de Security Command Center

Cette page présente Security Command Center, une solution de gestion des risques qui, avec le niveau Entreprise, combine la sécurité du cloud et les opérations de sécurité d'entreprise, et fournit des insights grâce à l'expertise de Mandiant et à l'intelligence artificielle de Gemini.

Security Command Center permet aux opérations de sécurité (SOC), des vulnérabilités et des stratégies, et autres professionnels de la sécurité pour évaluer, analyser, et à répondre aux problèmes de sécurité dans les environnements cloud.

Chaque déploiement cloud présente des risques qui lui sont propres. Security Command Center peut vous aider vous comprenez et évaluez la surface d'attaque de vos projets organisation sur Google Cloud, ainsi que la surface d'attaque vos autres environnements cloud. Ils sont correctement configurés pour protéger vos ressources, Security Command Center peut vous aider à comprendre les failles et les menaces détectées dans vos environnements cloud, et prioriser leurs corrections.

Security Command Center s'intègre à de nombreux services Google Cloud pour détecter les problèmes de sécurité dans plusieurs environnements cloud. Ces services détecter les problèmes de différentes manières, par exemple en analysant les métadonnées de ressources, les journaux cloud, les conteneurs et les machines virtuelles.

Certains de ces services intégrés, tels que Google Security Operations et Mandiant, fournissent également des fonctionnalités et des informations pour hiérarchiser et gérer vos enquêtes et vos réponses aux problèmes détectés.

Gérer les menaces

Pour les niveaux Premium et Enterprise, Security Command Center utilise à la fois aux services Google Cloud intégrés et intégrés pour détecter les menaces. Ces services analysent vos journaux Google Cloud, des conteneurs et des machines virtuelles à la recherche d'indicateurs de menace.

Lorsque ces services, tels qu'Event Threat Detection ou Container Threat Detection, détectent un indicateur de menace, il émet un résultat. Un résultat est un rapport ou un enregistrement d'une menace individuelle ou d'un autre problème trouvé par un service dans votre environnement cloud. Les services qui fournissent les résultats sont également appelés sources de recherche.

Dans Security Command Center Enterprise, les résultats déclenchent des alertes, qui : en fonction de la gravité du résultat, peuvent générer une demande. Vous pouvez utiliser une demande avec un système de tickets pour d'affecter des propriétaires à l'enquête et à la réponse à une ou plusieurs alertes dans l'affaire. La génération d'alertes et de cas dans Security Command Center est optimisé par Google SecOps.

Security Command Center Enterprise peut également détecter les menaces dans vos déploiements sur d'autres plates-formes cloud. Pour détecter les menaces dans les déploiements sur d'autres plates-formes cloud, Security Command Center ingère les journaux de l'autre plate-forme cloud une fois que vous d'établir une connexion. L'ingestion de journaux provenant d'autres plates-formes cloud s'appuie sur Google SecOps.

Pour en savoir plus, consultez les pages suivantes :

Fonctionnalités de détection et de réponse aux menaces

Avec Security Command Center, les analystes SOC bénéficient des niveaux de sécurité suivants : objectifs:

  • détecter les événements dans vos environnements cloud qui indiquent une menace potentielle ; pour trier les alertes ou résultats associés.
  • Désignez des propriétaires, et suivez l'avancement des enquêtes et des réponses à l'aide d'un des demandes d'assistance intégrées. Si vous le souhaitez, vous pouvez intégrer de gestion des demandes d'assistance, tels que Jira ou ServiceNow.
  • Analysez les alertes à l'aide de fonctionnalités de recherche et d'analyse croisée des fonctionnalités.
  • Définissez des workflows de réponse et automatisez les actions pour faire face contre les attaques ciblant vos environnements cloud. Pour en savoir plus sur la définition des workflows de réponse et des actions automatisées grâce aux playbooks, optimisé par Google SecOps, consultez la page Utiliser des playbooks.
  • Ignorer ou exclure des résultats ou des alertes qui sont de faux positifs
  • Concentrez-vous sur les menaces liées aux identités et aux autorisations d'accès compromises.
  • Utilisez Security Command Center pour détecter, analyser et gérer des dans vos autres environnements cloud, comme AWS.

Gérer les failles

Security Command Center fournit une détection complète des failles, automatiquement les ressources de votre environnement les failles logicielles, les erreurs de configuration et d'autres types de failles de sécurité, les problèmes qui pourraient vous exposer à des attaques. Ensemble, ces types de problèmes sont sont désignées collectivement par le terme failles.

Security Command Center utilise à la fois les services Google Cloud intégrés pour détecter les problèmes de sécurité. Les services qui émettent des résultats sont également appelés sources de recherche. Lorsqu'un service détecte un problème, il émet un résultat pour enregistrer le problème.

Par défaut, les demandes d'assistance sont ouvertes automatiquement en cas de gravité élevée des vulnérabilités de gravité critique, afin de vous aider à hiérarchiser leurs de correction. Vous pouvez attribuer des propriétaires et suivre l'avancement de la correction avec une demande.

Pour en savoir plus, consultez les ressources suivantes :

Combinaisons toxiques

Le moteur de gestion des risques de Security Command Center, détecte les problèmes de sécurité qui, lorsqu'ils surviennent ensemble, selon un modèle particulier, créez un chemin vers un ou plusieurs ressources de grande valeur qu’un attaquant déterminé pourrait potentiellement utiliser pour atteindre et compromettre ces ressources.

Ce type de groupe de problèmes de sécurité répétés est appelé combinaison toxique. Lorsque le moteur de risque détecte une combinaison toxique, il émet un résultat. Pour chaque résultat de combinaison toxique, Security Command Center crée une demande dans la console Opérations de sécurité, afin que vous puissiez gérer et suivre la résolution de la combinaison toxique.

Pour en savoir plus, consultez Présentation des combinaisons toxiques.

Failles logicielles

Pour vous aider à identifier, comprendre et hiérarchiser les vulnérabilités logicielles, Security Command Center peut évaluer les machines virtuelles (VM) et les conteneurs à la recherche de failles dans vos environnements cloud. Pour chaque élément détecté, Security Command Center fournit des informations détaillées un enregistrement de résultats ou un résultat. Les informations fournies avec un résultat peuvent incluent:

  • Détails de la ressource concernée
  • Informations sur tous les enregistrements CVE associés, y compris une évaluation de Mandiant sur l'impact et l'exploitabilité de la faille CVE
  • Un score d'exposition au piratage pour vous aider à prioriser les mesures correctives
  • Une représentation visuelle du chemin qu’un attaquant pourrait emprunter pour accéder aux ressources de forte valeur exposées par la faille

Les failles logicielles sont détectées par les services suivants:

Erreurs de configuration

Security Command Center mappe les détecteurs des services qui analysent des erreurs de configuration aux contrôles des normes de conformité courantes du secteur. En plus de vous montrer les normes de conformité auxquelles une erreur de configuration non conforme, le mappage vous permet de mesurer votre conformité avec le différentes normes, que vous pouvez exporter sous forme de rapport.

Pour en savoir plus, consultez Évaluer et signaler la conformité.

Non-respect de la stratégie

Les niveaux Premium et Enterprise de Security Command Center incluent de stratégie de sécurité, qui émet des résultats lorsque les ressources cloud ne respectent pas les stratégies définies dans que vous avez déployées dans votre environnement cloud.

Pour en savoir plus, consultez Service de stratégie de sécurité

Valider l'Infrastructure as Code

Vous pouvez vérifier que vos fichiers IaC (Infrastructure as Code) sont conformes les règles d'administration et les détecteurs Security Health Analytics que vous définissez votre organisation Google Cloud. Cette fonctionnalité vous permet de ne pas déployer ressources qui enfreindront les normes de votre organisation. Après avoir défini votre des règles d'administration et, si nécessaire, activer vous pouvez utiliser la Google Cloud CLI pour valider votre fichier de plan Terraform, ou vous pouvez intégrer le processus de validation dans Cloud Build, Jenkins Workflow du développeur d'actions GitHub. Pour en savoir plus, consultez Valider votre IaC par rapport à la norme règles.

Détectez les failles et les erreurs de configuration sur d'autres plates-formes cloud

Security Command Center Enterprise peut détecter les failles dans plusieurs dans les environnements cloud. Pour détecter les failles dans d'autres services cloud d'un fournisseur de services cloud, vous devez d'abord établir une connexion avec lui pour ingérer les métadonnées des ressources.

Pour en savoir plus, consultez Se connecter à AWS pour détecter les failles et évaluer les risques.

Fonctionnalités de gestion des failles et des stratégies

Avec Security Command Center, les analystes de failles, les administrateurs de stratégies et professionnels de la sécurité similaires peuvent atteindre les objectifs de sécurité suivants:

  • Détectez différents types de failles, y compris les failles logicielles, les erreurs de configuration et les violations de stratégie peuvent exposer votre cloud contre d'éventuelles attaques.
  • Axez vos efforts de réponse et de remédiation sur les problèmes à haut risque en utilisant les scores d'exposition aux attaques sur les résultats et les alertes les failles.
  • Désignez des propriétaires et suivez l'avancement de la correction des failles en utilisant des cas et en intégrant vos systèmes de billetterie préférés, comme Jira ou ServiceNow.
  • Sécurisez proactivement les ressources de forte valeur dans vos environnements cloud en diminuant leur score d'exposition aux attaques
  • Définissez des stratégies de sécurité personnalisées pour les environnements cloud Security Command Center utilise pour évaluer votre stratégie et vous alerter en cas de non-respect.
  • Ignorer ou exclure des résultats ou des alertes qui sont de faux positifs
  • Concentrez-vous sur les vulnérabilités liées aux identités et autorisations.
  • Détecter et gérer les failles et les risques dans Security Command Center pour vos autres environnements cloud, comme AWS.

Évaluer les risques à l'aide des scores d'exposition aux attaques et des chemins d'attaque

Si vous activez les niveaux Premium et Enterprise au niveau de l'organisation, Security Command Center fournit des outils les scores d'exposition des ressources de forte valeur, ainsi que le niveau d'erreurs de configuration affectant les ressources de forte valeur.

Vous pouvez utiliser ces scores pour hiérarchiser la correction des failles et les erreurs de configuration, pour prioriser la sécurité ressources de grande valeur les plus exposées, et évaluez généralement le degré d'exposition les environnements cloud.

Dans le volet Failles actives de la page Vue d'ensemble des risques de la console Google Cloud, L'onglet Résultats par score d'exposition au piratage affiche les résultats présentant les scores d'exposition aux attaques les plus élevés dans votre environnement, ainsi que la répartition de ces scores.

Pour en savoir plus, consultez la section Scores d'exposition au piratage et chemins d'attaque.

Gérer les résultats et les alertes à l'aide de cas

Security Command Center Enterprise crée des demandes d'assistance pour vous aider à gérer les résultats et des alertes, affecter des propriétaires et gérer les enquêtes et les réponses des problèmes de sécurité détectés. Les demandes s'ouvrent automatiquement pour les cas de gravité élevée et de gravité critique.

Vous pouvez intégrer les demandes à votre système de suivi préféré, comme Jira ou ServiceNow. Lorsque les demandes sont mises à jour, toutes les demandes en cours pour celles-ci peut être mis à jour automatiquement. De même, si un ticket est mis à jour, le cas correspondant peut également être mis à jour.

La fonctionnalité de la demande est fournie par Google SecOps.

Pour en savoir plus, consultez Présentation des demandes. dans la documentation Google SecOps.

Définissez des workflows de réponse et des actions automatisées

Définissez des workflows de réponse et automatisez les actions d'investigation et de réponse aux problèmes de sécurité détectés dans vos environnements cloud.

Pour en savoir plus sur la définition de workflows de réponse et d'automatisation les actions à l'aide de playbooks s'appuyant sur Google SecOps, consultez la page Utiliser des playbooks.

Compatibilité multicloud: sécuriser vos déploiements sur d'autres plates-formes cloud

Vous pouvez étendre les services et fonctionnalités de Security Command Center afin qu'ils couvrent vos des déploiements sur d'autres plates-formes cloud, de gérer de façon centralisée toutes les menaces et les vulnérabilités sont détectés dans tous vos environnements cloud.

Pour en savoir plus sur la connexion de Security Command Center à un autre votre fournisseur de services cloud, consultez les pages suivantes:

Fournisseurs de services cloud acceptés

Security Command Center peut se connecter à Amazon Web Services (AWS).

Définir et gérer des stratégies de sécurité

Avec activations au niveau de l'organisation des niveaux Premium et Enterprise de Security Command Center, vous pouvez créer et gérer des stratégies de sécurité qui définissent l'état requis de vos éléments cloud, y compris et les services cloud, pour une sécurité optimale dans votre environnement cloud. Vous pouvez personnaliser les stratégies de sécurité en fonction des stratégies de sécurité les besoins réglementaires. En définissant une stratégie de sécurité, vous pouvez réduire les risques de cybersécurité l'organisation et aident à prévenir les attaques.

Le service de stratégie de sécurité de Security Command Center vous permet de définir déployer une stratégie de sécurité et détecter toute dérive ou tout changement non autorisé de la stratégie définie.

Le service de stratégie de sécurité est automatiquement activé lorsque vous activer Security Command Center au niveau de l'organisation.

Pour en savoir plus, consultez Présentation de la stratégie de sécurité.

Identifier vos éléments

Security Command Center inclut des informations sur les éléments provenant de l'inventaire des éléments cloud, qui surveille en permanence les ressources de votre environnement environnement. Pour la plupart des éléments, les modifications de configuration, y compris les stratégies IAM et les règles d'administration, sont détectées quasiment en temps réel.

Sur la page Éléments de la console Google Cloud, vous pouvez rapidement appliquer, modifier et exécuter des exemples de requêtes sur un élément, ajouter une contrainte de temps prédéfinie, ou vous créer vos propres requêtes sur les éléments.

Si vous disposez du niveau Premium ou Enterprise de Security Command Center, pour voir lesquels de vos composants sont désignés des ressources de grande valeur pour évaluer les risques simulations de chemin d'attaque.

Vous pouvez identifier rapidement les changements dans votre organisation ou votre projet et y répondre. des questions comme:

  • Combien de projets avez-vous et quand ont-ils été créés ?
  • Quelles sont vos ressources Google Cloud déployées ou utilisées (VM Compute Engine, buckets Cloud Storage ou instances App Engine, par exemple) ?
  • Quel est votre historique de déploiement ?
  • Comment organiser, annoter, rechercher, sélectionner, filtrer et trier les informations dans les catégories suivantes ?
    • Éléments et propriétés des éléments
    • Marques de sécurité, qui vous permettent d'annoter des éléments ou des résultats dans Security Command Center
    • Période

L'inventaire des éléments cloud connaît toujours l'état actuel des éléments compatibles. la console Google Cloud, vous permet d'examiner l'historique des détections pour comparer les ressources à des moments précis. Vous pouvez également rechercher les éléments sous-utilisés, telles que les machines virtuelles ou les adresses IP inactives.

Fonctionnalités Gemini dans Security Command Center

Security Command Center intègre Gemini pour fournir des résumés des résultats et des vecteurs d'attaque, et pour faciliter vos recherches et pour détecter les menaces et les failles détectées.

Pour en savoir plus sur Gemini, consultez Présentation de Gemini.

Résumés des résultats et des vecteurs d'attaque de Gemini

Si vous utilisez Security Command Center Enterprise ou Premium, Gemini offre des explications générées dynamiquement pour chaque résultat et chaque simulation d'attaque généré par Security Command Center pour Vulnerability et Résultats de la classe Misconfiguration.

Les résumés sont rédigés en langage naturel langage pour vous aider à comprendre et agir sur les résultats et tous les chemins d’attaque qui pourraient les accompagner.

Les récapitulatifs apparaissent aux endroits suivants dans la console Google Cloud:

  • Lorsque vous cliquez sur le nom d'un résultat, le résumé affiché en haut de la page des détails du résultat.
  • Avec les niveaux Premium et Enterprise de Security Command Center, a un score d'exposition aux attaques, vous pouvez afficher le résumé à droite du chemin d'attaque en cliquant sur le score d'exposition aux attaques, puis le résumé de l'IA.

Autorisations IAM requises pour les résumés générés par IA

Pour afficher les résumés générés par l'IA, vous devez disposer des rôles IAM requis autorisations.

Pour les résultats, vous avez besoin du securitycenter.findingexplanations.get une autorisation IAM. Le format prédéfini le moins permissif Le rôle IAM qui contient cette autorisation est Lecteur de résultats du centre de sécurité (roles/securitycenter.findingsViewer) rôle de ressource.

Pour les chemins d'attaque, vous avez besoin du securitycenter.exposurepathexplan.get une autorisation IAM. Le format prédéfini le moins permissif Le rôle IAM qui contient cette autorisation est Lecteur des chemins d'exposition du centre de sécurité (roles/securitycenter.exposurePathsViewer).

Dans la version preview, ces autorisations ne sont pas disponibles dans console Google Cloud pour les ajouter à des rôles IAM personnalisés.

Pour ajouter l'autorisation à un rôle personnalisé, vous pouvez utiliser la Google Cloud CLI.

Pour en savoir plus sur l'utilisation de la Google Cloud CLI pour ajouter des autorisations à un un rôle personnalisé, consultez Créer et gérer des rôles personnalisés.

Recherche en langage naturel pour les investigations de menaces

Vous pouvez générer des recherches de résultats de menaces, d'alertes et d'autres à l'aide de requêtes en langage naturel et de Gemini. La l'intégration à Gemini pour les recherches en langage naturel optimisé par Google SecOps. Pour en savoir plus, consultez Utilisez le langage naturel pour générer des requêtes de recherche UDM dans la documentation Google SecOps.

Widget d'investigation IA pour les cas

Pour vous aider à comprendre et à étudier les cas de résultats et d'alertes, Gemini fournit un résumé de chaque cas et suggère les prochaines étapes que vous pouvez suivre pour enquêter sur votre demande. Le résumé et les prochaines étapes apparaissent dans le widget Investigation de l'IA lorsque vous consultez une demande.

Cette intégration à Gemini est fournie par Google SecOps.

Informations exploitables sur la sécurité

Services Google Cloud intégrés et intégrés à Security Command Center de surveiller en permanence des ressources et des journaux pour identifier les indicateurs de compromission et les modifications de configuration pour détecter les menaces, les failles et les erreurs de configuration connues. Pour fournir du contexte sur les incidents, les résultats sont enrichis avec des informations provenant des sources suivantes :

  • Avec les niveaux Enterprise et Premium: <ph type="x-smartling-placeholder">
      </ph>
    • Résumés générés par IA pour vous aider à comprendre et exploiter Security Command Center et tous les chemins d'attaque associés. Pour plus d'informations, consultez la section Résumés générés par IA.
    • Les résultats de failles incluent des informations à partir de leurs entrées CVE correspondantes, y compris le score CVE, et des évaluations de Mandiant sur la sécurité l'impact potentiel et le potentiel d'exploitation.
    • SIEM puissant et le SOAR de recherche fournies par Google SecOps, vous permettent d'analyser les menaces et les vulnérabilités des entités associées dans une chronologie unifiée.
  • VirusTotal, Service appartenant à Alphabet qui fournit du contexte sur les fichiers potentiellement malveillants URL, domaines et adresses IP.
  • Le framework MITRE ATT&CK, qui explique techniques d'attaque contre les ressources cloud et propose des mesures correctives conseils.
  • Cloud Audit Logs (journaux des activités d'administration et les journaux d'accès aux données).

Des notifications en quasi-temps réel pour les nouveaux résultats permettent à vos équipes de sécurité de recueillir des données, d'identifier les menaces et d'appliquer les recommandations avant tout impact négatif sur l'activité commerciale.

Avec une vue centralisée de votre stratégie de sécurité et une API robuste, vous pouvez rapidement effectuer les opérations suivantes:

  • Répondre à des questions telles que les suivantes :
    • Quelles sont les adresses IP statiques ouvertes au public ?
    • Quelles sont les images en cours d'exécution sur vos VM ?
    • Avez-vous des preuves que vos VM sont utilisées pour de la cryptomonnaie ? l'exploitation minière ou d'autres opérations abusives ?
    • Quels comptes de service ont été ajoutés ou supprimés ?
    • Comment les pare-feu sont-ils configurés ?
    • Quels buckets de stockage contiennent des informations personnelles ou des données sensibles ? Cette fonctionnalité nécessite une intégration à Sensitive Data Protection.
    • Quelles applications cloud sont vulnérables aux failles de script intersites (XSS) ?
    • Certains de vos buckets Cloud Storage sont-ils ouverts à Internet ?
  • Prendre les mesures nécessaires pour protéger vos ressources :
    • Mettre en œuvre des mesures correctives validées pour les erreurs de configuration des éléments et les cas de non-conformité.
    • Combiner la détection des menaces de Google Cloud et celle de fournisseurs tiers tels que Palo Alto Networks pour mieux protéger votre entreprise des menaces potentiellement coûteuses ciblant la couche de calcul.
    • Vérifier que des stratégies IAM appropriées sont en place et recevoir des alertes lorsque ces stratégies sont mal configurées ou modifiées de manière inattendue.
    • Intégrez les résultats provenant de vos propres sources ou de sources tierces pour aux ressources Google Cloud, ou à d'autres ressources hybrides ou multicloud. Pour en savoir plus, consultez Ajouter un service de sécurité tiers.
    • Réagissez aux menaces dans votre environnement Google Workspace et aux modifications potentiellement dangereuses de vos groupes Google.

Erreurs de configuration concernant l'identité et les accès

Security Command Center facilite l'identification et la résolution d'identifier les erreurs de configuration en termes d'identité et d'accès sur Google Cloud. Les résultats des erreurs de configuration identifient les comptes principaux (identités) qui sont mal configurées, ou avec des stratégies IAM excessives ou sensibles les autorisations (accès) aux ressources Google Cloud.

Gestion des droits d'accès à l'infrastructure cloud

La gestion des problèmes de sécurité liés à l'identité et aux accès est parfois appelée comme la gestion des droits d'accès à l'infrastructure cloud (CIEM). Security Command Center offre des fonctionnalités CIEM qui permettent d'obtenir une vue d'ensemble la sécurité de la configuration de l'identité et des accès de votre organisation. Security Command Center offre ces fonctionnalités pour de nombreuses plates-formes cloud, y compris Google Cloud et Amazon Web Services (AWS). Avec vous pouvez voir quels comptes principaux ont des autorisations excessives dans votre dans les environnements cloud. En plus de Google Cloud IAM, Le CIEM permet d'examiner les autorisations que comptes principaux d'autres fournisseurs d'identité (tels qu'Entra ID (Azure AD) et Okta) sur vos ressources Google Cloud. Vous pouvez voir les problèmes d'identification d'accéder aux résultats de plusieurs fournisseurs de services cloud dans le cours Identity and access des résultats de la page Présentation de Security Command Center dans la console Google Cloud.

Pour en savoir plus sur les fonctionnalités CIEM de Security Command Center, consultez la page Présentation du droit d'accès à l'infrastructure cloud gestion.

Préréglages de requêtes d'identité et d'accès

Sur la page Vulnérabilité de la console Google Cloud, vous pouvez sélectionner les préréglages de requêtes (requêtes prédéfinies) qui s'affichent les détecteurs de vulnérabilités ou les catégories de vulnérabilités liées à et l'accès aux données. Le nombre de résultats actifs s'affiche pour chaque catégorie.

Pour en savoir plus sur les préréglages de requête, consultez Appliquez des préréglages de requête.

Gérer la conformité avec les normes du secteur

Security Command Center surveille votre conformité à l'aide de détecteurs associés aux dispositifs de contrôle à diverses normes de sécurité.

Pour chaque norme de sécurité acceptée, Security Command Center vérifie un sous-ensemble des contrôles. Pour les contrôles cochés, Security Command Center indique le nombre de contrôles réussis. Pour le des contrôles non réussis, Security Command Center affiche une liste des résultats les défaillances des contrôles.

Le CIS examine et certifie les mappages de Security Command Center à chaque détecteur compatible du benchmark CIS Google Cloud Foundations Benchmark. Conformité supplémentaire les mappages sont inclus à titre de référence uniquement.

Security Command Center Prise en charge régulière de nouvelles versions et normes de benchmark. Plus anciens versions restent compatibles, mais finissent par devenir obsolètes. Nous vous recommandons d'utiliser l'analyse comparative ou la norme compatible la plus récente.

Avec l'attribut service de stratégie de sécurité, vous pouvez mapper les règles d'administration et les détecteurs Security Health Analytics aux normes et qui s'appliquent à votre entreprise. Après avoir créé une stratégie de sécurité, vous pouvez surveiller toute modification de l'environnement susceptible d'affecter la conformité de votre entreprise.

Pour en savoir plus sur la gestion de la conformité, consultez la page Évaluer et signaler la conformité avec les normes de sécurité

Normes de sécurité compatibles avec Google Cloud

Security Command Center mappe les détecteurs pour Google Cloud sur un ou plusieurs des standard:

Normes de sécurité compatibles avec AWS

Security Command Center met en correspondance les détecteurs pour Amazon Web Services (AWS) avec un ou plusieurs des systèmes de conformité suivants standard:

Une plate-forme flexible répondant à tous vos besoins en matière de sécurité

Security Command Center inclut des options de personnalisation et d'intégration qui permettent vous améliorez l’utilité du service pour répondre à vos besoins de sécurité en constante évolution.

Options de personnalisation

Les options de personnalisation sont les suivantes:

Options d'intégration

Les options d'intégration sont les suivantes:

Quand utiliser Security Command Center

Le tableau suivant présente les caractéristiques générales des produits et inclut des cas d'utilisation ainsi que des liens vers la documentation pertinente pour vous aider à trouver rapidement le contenu dont vous avez besoin.

Caractéristique Cas d'utilisation Documents associés
Identification et examen des assets
  • Affichez au même endroit l'ensemble des composants, services provenant de votre organisation ou de votre projet vos plates-formes cloud.
  • Évaluez les failles des éléments compatibles et prenez les mesures nécessaires pour hiérarchiser les correctifs des problèmes les plus graves.
 <ph type="x-smartling-placeholder"></ph> Bonnes pratiques concernant Security Command Center

Contrôle des accès

<ph type="x-smartling-placeholder"></ph> Utiliser Security Command Center dans la console Google Cloud
Identification des données sensibles
  • Découvrez où sont stockées les données sensibles et réglementées avec la protection des données sensibles.
  • Évitez d'exposer involontairement des données et garantissez que seules les personnes autorisées peuvent y accéder.
  • Désignez les ressources qui contiennent des données ou des données de sensibilité moyenne données à forte sensibilité en tant que ressources à forte valeur ajoutée automatiquement.
 <ph type="x-smartling-placeholder"></ph> Envoyer les résultats de la protection des données sensibles à Security Command Center
Intégration de produits SIEM et SOAR tiers
  • Exportez facilement les données Security Command Center vers une solution SIEM externe et systèmes SOAR.
 Exporter des données Security Command Center

Exportations continues
Détection des erreurs de configuration <ph type="x-smartling-placeholder"></ph> Présentation de Security Health Analytics

Présentation de Web Security Scanner

<ph type="x-smartling-placeholder"></ph> Identification des failles

Détection des failles logicielles
  • Détecter les failles logicielles dans les charges de travail sur les machines virtuelles et conteneurs de différents fournisseurs de services cloud.
  • Soyez prévenu de manière proactive en cas de nouvelles failles et de changements dans votre sur votre surface d'attaque.
  • Décelez les failles courantes telles que les scripts intersites (XSS) et Les injections Flash qui exposent vos applications à des risques
  • Avec Security Command Center Premium, prioriser les découvertes de failles à l'aide des informations CVE, y compris des évaluations de l'exploitabilité et de l'impact fournies par Mandiant,

Tableau de bord de stratégie de sécurité GKE

VM Manager

Présentation de Web Security Scanner

<ph type="x-smartling-placeholder"></ph> Identification des failles

Surveillance du contrôle des identités et des accès
  • Assurez-vous que des stratégies de contrôle d'accès appropriées sont en place pour vos ressources Google Cloud et recevez des alertes lorsque ces stratégies sont mal configurées ou sont modifiées sans raison apparente.
  • Utilisez des requêtes prédéfinies pour afficher rapidement les résultats concernant l'identité et les accès des erreurs de configuration et des rôles contenant des autorisations excessives.
 Outil de recommandation IAM

Contrôle des accès

Erreurs de configuration de l'identité et des accès

Détection des menaces
  • Détectez les activités et les acteurs malveillants dans votre infrastructure, et recevez des alertes pour les menaces actives.
  • Détectez les menaces sur d'autres plates-formes cloud
 Gérer les menaces

Présentation d'Event Threat Detection

Présentation de Container Threat Detection
Détection d'erreurs
  • Soyez averti en cas d'erreurs et d'erreurs de configuration qui empêchent Security Command Center et ses services de fonctionner comme prévu.
 Présentation des erreurs de Security Command Center
Hiérarchiser les corrections
  • Utiliser les scores d'exposition aux attaques de prioriser la remédiation de failles et d'erreurs de configuration.
  • Utilisez les scores d'exposition au piratage sur les ressources pour sécuriser de manière proactive les ressources les plus intéressantes pour votre entreprise.
 Présentation des scores d'exposition aux attaques et des chemins d'attaque
Corriger les risques
  • Mettez en œuvre des instructions de résolution validées et recommandées pour protéger rapidement vos éléments.
  • Concentrez-vous sur les résultats les plus importants pour aider les analystes de sécurité à prendre rapidement des décisions éclairées.
  • Enrichissez et connectez les failles et menaces associées afin d'identifier et capturer les TTP.
  • Corrigez les erreurs et les erreurs de configuration qui empêchent Security Command Center et ses services de fonctionner comme prévu.
 <ph type="x-smartling-placeholder"></ph> Examiner les menaces et y répondre

Corriger les résultats de Security Health Analytics

Corriger les problèmes identifiés par Web Security Scanner

Automatiser les réponses de sécurité

Corriger les erreurs Security Command Center
Gestion des stratégies
  • Assurez-vous que vos charges de travail respectent les normes de sécurité, les réglementations de conformité et les exigences de sécurité personnalisées de votre organisation.
  • Appliquez vos contrôles de sécurité à des projets, dossiers ou organisations Google Cloud avant de déployer des charges de travail.
  • Surveillez et corrigez en permanence les dérives par rapport aux contrôles de sécurité que vous avez définis.
 <ph type="x-smartling-placeholder"></ph> Présentation de la stratégie de sécurité

<ph type="x-smartling-placeholder"></ph> Gérer une stratégie de sécurité
Intégration d'outils de sécurité tiers
  • Intégrez la sortie de vos outils de sécurité existants tels que Cloudflare, CrowdStrike, Prisma Cloud by Palo Alto Networks et Qualys dans Security Command Center. L'intégration des résultats peut vous aider à détecter suivantes: <ph type="x-smartling-placeholder">
      </ph>
    • Attaques DDoS
    • Les points de terminaison compromis
    • Le non-respect des règles de conformité
    • Les attaques réseau
    • Les défaillances et les menaces d'instances
 Configurer Security Command Center

Créer et gérer des sources de sécurité
Notifications en temps réel
  • Recevez des alertes Security Command Center par e-mail, SMS, Slack, WebEx et d'autres services avec des notifications Pub/Sub.
  • Ajustez les filtres de résultats pour exclure les résultats des listes d'autorisations.
 Configurer des notifications de recherche

Activer les notifications par e-mail et de chat en temps réel

Utiliser des marques de sécurité

Exporter des données Security Command Center

Filtrer les notifications

Ajouter des éléments à des listes d'autorisation
API REST et SDK client
  • Utilisez l'API REST ou les SDK client de Security Command Center pour faciliter l'intégration à vos systèmes et workflows de sécurité existants.
 Configurer Security Command Center

Accéder à Security Command Center de manière

API Security Command Center

Contrôles de la résidence des données

Pour répondre aux exigences de résidence des données, lorsque vous activez Security Command Center Standard ou Premium pour la première fois, vous pouvez activer les contrôles de résidence des données.

L'activation des contrôles de résidence des données limite le stockage le traitement des résultats de Security Command Center, les règles de masquage, les exportations continues, et BigQuery les exporte vers l'un des services les emplacements multirégionaux compatibles avec Security Command Center.

Pour en savoir plus, consultez Planifier la résidence des données.

Niveaux de service Security Command Center

Security Command Center propose trois niveaux de service: Standard, Premium et Entreprise.

Le niveau que vous sélectionnez détermine les fonctionnalités et services disponibles avec Security Command Center.

Si vous avez des questions sur les niveaux de service de Security Command Center, contactez votre responsable de compte ou Équipe commerciale Google Cloud.

Pour en savoir plus sur les coûts associés à l'utilisation d'un niveau de Security Command Center, consultez la section Tarifs.

Niveau standard

Le niveau Standard comprend les services et fonctionnalités suivants:

  • Security Health Analytics: Au niveau Standard, Security Health Analytics fournit des informations d'évaluation pour Google Cloud, qui détecte automatiquement et les erreurs de configuration les plus graves liées à vos éléments Google Cloud. Au niveau Standard, Security Health Analytics inclut les types de résultats suivants:

    • Dataproc image outdated
    • Legacy authorization enabled
    • MFA not enforced
    • Non org IAM member
    • Open ciscosecure websm port
    • Open directory services port
    • Open firewall
    • Open group IAM member
    • Open RDP port
    • Open SSH port
    • Open Telnet port
    • Public bucket ACL
    • Public Compute image
    • Public dataset
    • Public IP address
    • Public log bucket
    • Public SQL instance
    • SSL not enforced
    • Web UI enabled
  • <ph type="x-smartling-placeholder"></ph> Analyses personnalisées de Web Security Scanner: au niveau Standard, Web Security Scanner accepte les analyses personnalisées des applications déployées avec des URL publiques et les adresses IP qui ne sont pas protégées par un pare-feu. Les analyses sont configurées, gérées et exécutées pour tous les projets, et sont compatibles avec un sous-ensemble de catégories Top 10 de l'OWASP
  • Security Command Center erreurs: Security Command Center fournit des conseils de détection et de correction pour la configuration qui empêchent Security Command Center et ses services de fonctionner correctement.
  • Continu Exportations qui gère automatiquement l'exportation des nouveaux résultats vers Pub/Sub.

  • Accès aux services Google Cloud intégrés, y compris :

  • Résultats du tableau de bord de stratégie de sécurité GKE: afficher les résultats sur les erreurs de configuration liées à la sécurité des charges de travail Kubernetes, les bulletins et les failles dans le système d'exploitation du conteneur ou dans le langage packages. L'intégration du tableau de bord de stratégie de sécurité GKE les résultats avec Security Command Center sont disponibles en version preview.
  • L'intégration à BigQuery, qui exporte les résultats vers BigQuery à des fins d'analyse.
  • Intégration avec Forseti Security, le kit de sécurité Open Source pour Google Cloud, et des applications tierces de gestion des informations et des événements de sécurité (SIEM).
  • le service Sensitive Actions, qui détecte les actions effectuées dans votre Google Cloud organisation, dossiers et projets susceptibles de nuire à votre entreprise si elles sont prises par un acteur malveillant.
  • Lorsque Security Command Center est activé au niveau de l'organisation, vous pouvez attribuer des rôles IAM aux utilisateurs au niveau de l'organisation, du dossier et du projet.
  • des contrôles de résidence des données qui limitent le stockage le traitement des résultats de Security Command Center, les règles de masquage, les exportations continues, et BigQuery les exporte vers l'un des services les emplacements multirégionaux compatibles avec Security Command Center.

    Pour en savoir plus, consultez Planifier la résidence des données.

Niveau Premium

Le niveau Premium inclut l'ensemble des services et fonctionnalités du niveau Standard et les services et fonctionnalités supplémentaires suivants:

  • Les simulations de chemin d'attaque vous aident à identifier et à hiérarchiser des failles et des erreurs de configuration en identifiant les chemins d'accès qu’un attaquant potentiel pourrait prendre pour atteindre vos ressources de forte valeur. Les simulations calculent et attribuent les attaques les scores d'exposition à tous les résultats qui exposent ces ressources. Interactif chemins d'attaque vous aident à visualiser les chemins d'attaque possibles et à fournir des informations sur les chemins d'accès, les résultats associés et les ressources concernées.

  • Les résultats de failles incluent CVE évaluations fournies par Mandiant pour vous aider à hiérarchiser leur correction.

    Sur la page Présentation de la console, la section Principaux résultats CVE affiche les failles identifiées, regroupées en fonction de leur leur exploitabilité et leur impact potentiel, tels qu'évalués Mandiant, Sur la page Résultats, vous pouvez interroger les résultats par ID de CVE.

    Pour en savoir plus, consultez Hiérarchisez en fonction de l'impact et de l'exploitabilité de la CVE.

  • <ph type="x-smartling-placeholder"></ph> Event Threat Detection surveille Cloud Logging et Google Workspace à l'aide de les renseignements sur les menaces, le machine learning et d'autres méthodes avancées détecter les menaces, comme les logiciels malveillants, le minage de cryptomonnaie et les données l'exfiltration de données. Pour obtenir la liste complète des détecteurs Event Threat Detection intégrés, voir Event Threat Detection règles. Vous pouvez également créer des détecteurs Event Threat Detection personnalisés. Pour des informations sur les modèles de module que vous pouvez utiliser pour créer des de détection, consultez la section Présentation modules personnalisés pour Event Threat Detection.
  • <ph type="x-smartling-placeholder"></ph> Container Threat Detection détecte les attaques suivantes visant l'environnement d'exécution des conteneurs: <ph type="x-smartling-placeholder">
      </ph>
    • Fichier binaire ajouté exécuté
    • Ajout de bibliothèque chargée
    • Exécution: exécution du binaire malveillant ajouté
    • Exécution: ajout d'une bibliothèque malveillante chargée
    • Exécution: un binaire malveillant intégré est exécuté
    • Exécution: exécution d'un binaire malveillant modifié
    • Exécution: bibliothèque malveillante modifiée chargée
    • Script malveillant exécuté
    • Interface système inversée
    • Shell enfant inattendu

  • Les API Policy Intelligence fonctionnalités disponibles:

    • Fonctionnalités avancées de l'outil de recommandation IAM, y compris les suivantes: <ph type="x-smartling-placeholder">
        </ph>
      • Recommandations pour les rôles non de base
      • Recommandations pour les rôles attribués sur des ressources autres que des organisations, des dossiers et des projets (par exemple, Recommandations pour les rôles attribués sur les buckets Cloud Storage
      • Recommandations suggérant des rôles personnalisés
      • Insights sur les stratégies
      • Analyse des mouvements latéraux
    • Policy Analyzer à grande échelle (plus de 20 requêtes par organisation) par jour). Cette limite est partagée entre tous les outils Policy Analyzer.
    • Visualisations pour l'analyse des règles d'administration.
  • Vous pouvez interroger des éléments dans Inventaire des éléments cloud.
  • <ph type="x-smartling-placeholder"></ph> Virtual Machine Threat Detection détecte les applications potentiellement malveillantes qui s'exécutent sur des VM. Compute Engine.

  • Security Health Analytics au Le niveau Premium comprend les fonctionnalités suivantes:

    • Analyses des failles gérées pour tous les détecteurs Security Health Analytics
    • Surveillance de nombreuses bonnes pratiques du secteur
    • Surveillance de la conformité Carte des détecteurs Security Health Analytics aux contrôles des benchmarks de sécurité courants.
    • Compatibilité avec les modules personnalisés que vous pouvez utiliser pour créer votre propre et les détecteurs de fumée.

    Au niveau Premium, Security Health Analytics est compatible avec les normes décrites dans Gérer la conformité avec les normes du secteur.

  • <ph type="x-smartling-placeholder"></ph> Web Security Scanner au niveau Premium inclut toutes les fonctionnalités du niveau Standard et des détecteurs supplémentaires pour les catégories du top 10 de l'OWASP. Web Security Scanner ajoute aussi <ph type="x-smartling-placeholder"></ph> d'analyse gérées automatiquement configurées.

  • Surveillance de la conformité de vos ressources Google Cloud.

    Pour mesurer votre conformité avec les benchmarks de sécurité courants les détecteurs de la faille Security Command Center des analyseurs sont mappés aux contrôles standards de sécurité courants.

    Vous pouvez vérifier si vous respectez les normes, identifier les contrôles non conformes, exporter des rapports, etc. Pour plus d'informations, consultez Évaluer et signaler la conformité avec les normes de sécurité.

  • Vous pouvez <ph type="x-smartling-placeholder"></ph> demander un quota supplémentaire pour l'inventaire des éléments cloud si une surveillance étendue des éléments est nécessaire de l'IA générative.
  • <ph type="x-smartling-placeholder"></ph> Le service de stratégie de sécurité vous permet de définir, d'évaluer et de de surveiller l'évolution l'état de la sécurité dans Google Cloud. Stratégie de sécurité n'est disponible que dans le Niveau Premium de Security Command Center pour les clients qui achètent un produit à prix fixe et activer le niveau Premium de Security Command Center dans l'organisation d'application. Le service de stratégie de sécurité ne permet pas facturation à l'usage ou activations au niveau du projet.
  • <ph type="x-smartling-placeholder"></ph> La fonctionnalité de validation IaC vous permet de valider votre infrastructure (IaC) aux règles d'administration et aux détecteurs Security Health Analytics que vous avez définies dans votre organisation Google Cloud. Cette fonctionnalité est disponible uniquement Niveau Premium de Security Command Center pour les clients qui achètent un produit à prix fixe et activer le niveau Premium de Security Command Center dans l'organisation d'application. Cette fonctionnalité n'est pas compatible facturation à l'usage ou activations au niveau du projet.
  • Rapports sur les failles de VM Manager <ph type="x-smartling-placeholder">
      </ph>
    • Si vous activez VM Manager, le service écrit automatiquement les résultats <ph type="x-smartling-placeholder"></ph> des rapports sur les failles, en version preview, à Security Command Center. Rapports identifier les failles des systèmes d'exploitation installés sur les Compute Engine virtuelles des machines virtuelles. Pour en savoir plus, consultez <ph type="x-smartling-placeholder"></ph> VM Manager.

Niveau Entreprise

Le niveau Entreprise est une plate-forme de protection des applications cloud native complète (CNAPP) qui permet aux analystes SOC, aux analystes de vulnérabilités et aux autres professionnels de la sécurité de gérer la sécurité sur plusieurs services cloud fournisseurs de services dans un endroit centralisé.

Le niveau Enterprise offre des fonctionnalités de détection et d'investigation, gestion des demandes d'assistance et gestion de la stratégie, y compris la possibilité pour définir et déployer des règles de stratégie personnalisées, et quantifier et visualiser le risque que les failles et les erreurs de configuration peuvent affecter votre environnement cloud.

Le niveau Enterprise inclut tous les services des niveaux Standard et Premium ainsi que les services et fonctionnalités supplémentaires suivants:

Récapitulatif des fonctions et services au niveau Enterprise

Le niveau Enterprise inclut tous les niveaux Standard et Premium de services et de fonctionnalités en phase de disponibilité générale.

Le niveau Enterprise ajoute les services et fonctionnalités suivants Security Command Center:

  • Détection des combinaisons toxiques à l'aide de Security Command Center le moteur de gestion des risques. Pour en savoir plus, consultez Présentation des combinaisons toxiques.
  • Compatibilité multicloud Vous pouvez connecter Security Command Center à un autre fournisseurs d'énergie tels qu'AWS pour détecter les menaces, les failles et les erreurs de configuration. De plus, après avoir spécifié vos ressources de forte valeur sur l'autre fournisseur, vous pouvez également évaluer son exposition à une attaque avec les scores d'exposition aux attaques et les chemins d'attaque.
  • Fonctionnalités de gestion des informations et des événements de sécurité (SIEM, Security Information and Event Management) pour les environnements cloud, avec la technologie Google SecOps. Analyser les journaux et d'autres données à la recherche de menaces pour plusieurs environnements cloud définir des règles de détection des menaces et effectuer des recherches dans les données accumulées. Pour en savoir plus, consultez Documentation SIEM Google SecOps.
  • Fonctionnalités d'orchestration de la sécurité, d'automatisation et de réponse (SOAR) pour les environnements cloud, avec la technologie Google SecOps. Gérez les demandes, définissez des workflows de réponse et effectuez des recherches dans les données de réponse. Pour en savoir plus, consultez Documentation sur le SOAR Google SecOps.
  • Fonctionnalités CIEM (Cloud Infrastructure Entitlement Management) pour les environnements cloud. Identifiez les comptes principaux (identités) mal configurés ou des autorisations (accès) IAM excessives ou sensibles vos ressources cloud. Pour en savoir plus, consultez la page Présentation Gestion des droits d'accès à l'infrastructure cloud
  • Détection étendue des failles logicielles dans les VM et les conteneurs dans vos environnements cloud grâce aux fonctionnalités intégrées services Google Cloud intégrés: <ph type="x-smartling-placeholder">
      </ph>
    • Google Kubernetes Engine (GKE), édition Enterprise
    • Évaluation des failles pour AWS
    • VM Manager

Fonctions de niveau entreprise fournies par Google Security Operations

Fonction de gestion des demandes, fonctionnalités des playbooks et autres solutions SIEM et SOAR fonctionnalités du niveau Enterprise de Security Command Center sont fournis par Google Security Operations. Lorsque vous utilisez certains de ces vous verrez peut-être le tableau de bord Google SecOps dans l'interface Web et peut être dirigé vers le Documentation Google SecOps pour obtenir des conseils.

Certaines fonctionnalités Google SecOps ne sont pas compatibles ou limitées avec Security Command Center, mais leur utilisation peut ne pas être désactivée ou limitée aux abonnements anticipés au niveau Enterprise. Utilisez les éléments suivants : fonctionnalités et fonctions qu'elles utilisent uniquement dans les limites de leur utilisation:

  • L'ingestion des journaux cloud est limitée aux journaux pertinents de détection des menaces cloud, par exemple :

    • Google Cloud

      • Cloud Audit Logs pour les activités d'administration
      • Cloud Audit Logs pour l'accès aux données
      • syslog de Compute Engine
      • Journal d'audit GKE

    • Google Workspace

      • Événements Google Workspace
      • Alertes Google Workspace

    • AWS

      • Journaux d'audit CloudTrail
      • Syslog
      • Journaux d'authentification
      • Événements GuardDuty

  • Les détections sélectionnées se limitent à celles qui détectent les menaces dans les environnements cloud.

  • Les intégrations Google Cloud Marketplace sont limitées aux fonctionnalités suivantes:

    • Siemplify
    • Outils
    • VirusTotal V3
    • Inventaire des éléments Google Cloud
    • Google Security Command Center
    • Jira
    • Fonctions
    • Google Cloud IAM
    • E-mail V2
    • Google Cloud Compute
    • Google Chronicle
    • Att&ck de gouttière
    • Mandiant Threat Intelligence
    • Google Cloud Policy Intelligence
    • Outil de recommandation Google Cloud
    • Siemplify Utilitaires
    • Réserver maintenant
    • CSV
    • SCC Enterprise
    • AWS IAM
    • AWS EC2

  • Le nombre de règles personnalisées associées à un seul événement est limité à 20.

  • L'analyse des risques pour l'UEBA (analyse du comportement des utilisateurs et des entités) n'est pas disponible.

  • Applied Threat Intelligence est indisponible.

  • La compatibilité de Gemini avec Google SecOps est limités à la recherche en langage naturel et aux résumés d'enquêtes.

  • La conservation des données est limitée à trois mois.

Niveaux d'activation de Security Command Center

Vous pouvez activer Security Command Center sur un seul projet, connue sous le nom d'activation au niveau du projet, ou l'ensemble de l'organisation. On parle alors d'activation au niveau de l'organisation.

Le niveau Entreprise nécessite une activation au niveau de l'organisation.

Pour en savoir plus sur l'activation de Security Command Center, consultez Présentation de l'activation de Security Command Center

Étape suivante