Descripción general de Security Command Center

En esta página, se proporciona una descripción general de Security Command Center, una solución de administración de riesgos que, con el nivel Enterprise, combina en las operaciones de seguridad empresarial y en la nube, además de proporcionar de la experiencia de Mandiant y de la inteligencia artificial de Gemini.

Security Command Center permite operaciones de seguridad (SOC), analistas de vulnerabilidades y posturas, analistas de cumplimiento administradores de seguridad y otros profesionales de seguridad para evaluar, investigar y responder a los problemas de seguridad en múltiples entornos de nube.

Cada implementación de nube tiene riesgos únicos. Security Command Center puede ayudarte a comprender y evaluar la superficie de ataque de sus proyectos organización en Google Cloud, así como la superficie de ataque de tus otros entornos de nube. Está configurada correctamente para proteger tus recursos. Security Command Center puede ayudarte a entender las vulnerabilidades y amenazas detectadas en tus entornos de nube, y priorizan sus correcciones.

Security Command Center se integra en muchos servicios de Google Cloud para detectar problemas de seguridad en entornos de múltiples nubes. Estos servicios detectar problemas de diversas formas, como analizar metadatos de recursos, analizar registros en la nube, analizar contenedores y analizar máquinas virtuales.

Algunos de estos servicios integrados, como Google Security Operations y Mandiant, también proporcionan capacidades e información que fundamental para priorizar y gestionar tus investigaciones y respuesta a los problemas detectados.

Administra las amenazas

En los niveles Premium y Enterprise, Security Command Center usa servicios integrados y integrados de Google Cloud para detectar amenazas. Estos servicios analizan tus registros de Google Cloud contenedores y máquinas virtuales que buscan indicadores de amenazas.

Cuando estos servicios, como Event Threat Detection o Container Threat Detection, detectan un indicador de amenaza, emite un hallazgo. Un hallazgo es un informe o registro de una amenaza individual u otro problema que que puede encontrar un servicio en tu entorno de nube. Los servicios que emiten también se conocen como fuentes de hallazgos.

En Security Command Center Enterprise, los resultados activan alertas, las cuales según la gravedad del hallazgo, Puede generar un caso. Puedes usar un caso con un sistema de tickets para asignar propietarios a la investigación de una o más alertas y responder a ellas según corresponda. La generación de alertas y casos en Security Command Center con la tecnología de Google SecOps.

Security Command Center Enterprise también puede detectar amenazas en tus implementaciones en otras plataformas en la nube. Para detectar amenazas en implementaciones en otras plataformas en la nube, Security Command Center transfiere los registros de la otra plataforma en la nube, después de que establecer una conexión. La transferencia de registros desde otras plataformas en la nube cuenta con la tecnología de Google SecOps.

Si deseas obtener más información, consulta las siguientes páginas:

Funciones de detección y respuesta ante amenazas

Con Security Command Center, los analistas del SOC pueden lograr las siguientes medidas de seguridad objetivos:

  • Detecta eventos en tus entornos de nube que indiquen una amenaza potencial y los resultados o las alertas asociados.
  • Asignar propietarios y hacer un seguimiento del progreso de las investigaciones y las respuestas con un de casos integrados. Si lo deseas, puedes integrar tus apps como Jira o ServiceNow.
  • Investigar las alertas de amenazas con una potente búsqueda y referencia cruzada capacidades de integración.
  • Define flujos de trabajo de respuesta y automatiza las acciones para abordar posibles en tus entornos de nube. Para obtener más información sobre la definición de respuesta ante incidentes y acciones automatizadas con guías, con la tecnología de Google SecOps, consulta Trabaja con guías.
  • Silencia o excluye los resultados o las alertas que sean falsos positivos.
  • Concéntrese en las amenazas relacionadas con las identidades comprometidas y los permisos de acceso.
  • Usa Security Command Center para detectar, investigar y responder a posibles en tus otros entornos de nube, como AWS.

Administra las vulnerabilidades

Security Command Center brinda detección integral de vulnerabilidades, analizar automáticamente los recursos de tu entorno para las vulnerabilidades de software, los errores de configuración y otros tipos de problemas que podrían exponerte a un ataque. Juntos, estos tipos de problemas son a las que se denomina colectivamente vulnerabilidades.

Security Command Center usa funciones integradas servicios integrados de Google Cloud para detectar problemas de seguridad. Los servicios que emiten hallazgos también se conocen como fuentes de resultados. Cuando un servicio detecta un problema, emite un hallazgo para registrarlo.

De forma predeterminada, los casos se abren automáticamente en casos de gravedad alta y los hallazgos de vulnerabilidades de gravedad crítica para ayudarte a priorizar sus la solución de problemas. Puedes asignar propietarios y hacer un seguimiento del progreso de la solución. con un caso.

Para obtener más información, consulta lo siguiente:

Combinaciones tóxicas

Security Command Center Risk Engine, una función del de seguridad, detecta grupos de problemas de seguridad que, cuando ocurren juntos en un patrón particular, crea una ruta de acceso a uno o más de tus recursos de alto valor que un atacante determinado podría utilizar llegar y comprometer esos recursos.

Este tipo de grupo patrón de problemas de seguridad se conoce como combinación tóxica. Cuando Risk Engine detecta una combinación tóxica, emite un hallazgo. Para cada hallazgo de combinación tóxica, Security Command Center crea un caso en la consola de operaciones de seguridad para controlar y rastrear la resolución de la combinación tóxica.

Para obtener más información, consulta Descripción general de las combinaciones tóxicas.

Vulnerabilidades de software

Para ayudarte a identificar, comprender y priorizar las vulnerabilidades de software, Security Command Center puede evaluar las máquinas virtuales (VMs) y los contenedores en tus entornos de nube en busca de vulnerabilidades. Para cada detección Security Command Center brinda información detallada sobre un registro de hallazgo o hallazgo. La información proporcionada con un hallazgo incluyen:

  • Detalles del recurso afectado
  • Información sobre cualquier registro de CVE asociado, incluida una evaluación por parte de Mandiant del impacto y la capacidad de explotación del elemento de CVE
  • Una puntuación de exposición a ataques para ayudarte a priorizar la corrección
  • Una representación visual del camino que un atacante podría tomar hacia la recursos de alto valor expuestos por la vulnerabilidad

Los siguientes servicios detectan las vulnerabilidades de software:

Parámetros de configuración incorrectos

Security Command Center asigna los detectores de los servicios que buscan errores de configuración en los controles de los estándares comunes de cumplimiento de la industria. Además de mostrarte los estándares de cumplimiento infringe, la asignación te permite ver una medida de tu cumplimiento de la con diversos estándares, que luego podrás exportar como un informe.

Para obtener más información, consulta Evalúa y, luego, informa el cumplimiento.

Incumplimientos de la postura

Los niveles Premium y Enterprise de Security Command Center incluyen lo siguiente: postura de seguridad en la nube, que emite hallazgos cuando tu los recursos en la nube infringen las políticas que se definen en la de seguridad que implementaste en tu entorno de nube.

Para obtener más información, consulta Servicio de postura de seguridad.

Valida la infraestructura como código

Puedes verificar que los archivos de infraestructura como código (IaC) se alineen con el las políticas de la organización y los detectores de Security Health Analytics que defines en tu organización de Google Cloud. Esta función ayuda a garantizar que no implementes que infringen los estándares de tu organización. Después de definir políticas de la organización y, de ser necesario, habilitar Security Health Analytics servicio, puedes usar Google Cloud CLI para validar tu archivo Terraform plan, o puedes integrar el proceso de validación en Cloud Build, Jenkins o Flujo de trabajo para desarrolladores de acciones de GitHub Para obtener más información, consulta Valida tu en comparación con la políticas.

Detecta vulnerabilidades y parámetros de configuración incorrectos en otras plataformas en la nube.

Security Command Center Enterprise puede detectar vulnerabilidades en múltiples entornos de nube. Para detectar vulnerabilidades en otros servicios en la nube proveedores, primero debes establecer una conexión con el proveedor para transferir metadatos de recursos.

Si deseas obtener más información, consulta Conéctate a AWS para detectar vulnerabilidades y evaluar riesgos.

Funciones de administración de posturas y vulnerabilidades

Con Security Command Center, los analistas de vulnerabilidades, los administradores de postura profesionales de seguridad similares pueden lograr los siguientes objetivos de seguridad:

  • Detectar diferentes tipos de vulnerabilidades, incluidas las de software, errores de postura y errores de configuración que pueden exponer tu infraestructura a posibles ataques.
  • Centra tus esfuerzos de respuesta y corrección en los problemas de mayor riesgo mediante las puntuaciones de exposición a ataques de los hallazgos y las alertas de vulnerabilidades.
  • Asignar propietarios y hacer un seguimiento del progreso de las correcciones de vulnerabilidades usando casos de uso y también integrar tus sistemas de tickets preferidos, como Jira o ServiceNow.
  • Protege de forma proactiva los recursos de alto valor en tus entornos de nube disminuyendo sus puntuaciones de exposición a ataques
  • Define posturas de seguridad personalizadas para tus entornos de nube que Security Command Center lo usa para evaluar tu postura y alertarte sobre los incumplimientos.
  • Silencia o excluye los resultados o las alertas que sean falsos positivos.
  • Se enfoca en vulnerabilidades relacionadas con identidades y un exceso permisos.
  • Detecta y administra vulnerabilidades y riesgos en Security Command Center. para los demás entornos de nube, como AWS.

Evalúa el riesgo con puntuaciones de exposición a ataques y rutas de ataque

Con las activaciones a nivel de organización de los niveles Premium y Enterprise, Security Command Center ofrece ataques puntuaciones de exposición para recursos de alto valor y la vulnerabilidad y de parámetros de configuración incorrectos que afectan los recursos de alto valor.

Puedes usar estas puntuaciones para priorizar la solución de vulnerabilidades y parámetros de configuración incorrectos, para priorizar la seguridad de tus los recursos de alto valor más expuestos y, en general, evaluar cómo se expusieron tus en los entornos de nube atacarán.

En el panel Vulnerabilidades activas de la página Descripción general de riesgos de la consola de Google Cloud, La pestaña Hallazgos por puntuación de exposición a ataques te muestra los hallazgos con las puntuaciones de exposición más altas a los ataques en tu entorno, así como la distribución de las puntuaciones de los hallazgos.

Para obtener más información, consulta Puntuaciones de exposición a ataques y rutas de ataque.

Administra los resultados y las alertas con casos

Security Command Center Enterprise crea casos para ayudarte a administrar los hallazgos y asignar propietarios y administrar las investigaciones y las respuestas a los problemas de seguridad detectados. Los casos se abren automáticamente en caso de gravedad alta y de gravedad crítica.

Puedes integrar los casos con tu sistema de tickets preferido, como Jira. o ServiceNow. Cuando se actualizan los casos, los tickets abiertos para el caso se pueden actualizar automáticamente. De forma similar, si se actualiza un ticket, el caso correspondiente también se pueden actualizar.

La funcionalidad de la funda cuenta con la tecnología de Google SecOps.

Para obtener más información, consulta Descripción general de casos. en la documentación de Google SecOps.

Definir flujos de trabajo de respuesta y acciones automatizadas

Define flujos de trabajo de respuesta y automatiza las acciones para investigar y responder a los problemas de seguridad que se detectan en tus entornos de nube.

Para obtener más información sobre la definición de flujos de trabajo de respuesta y flujos de acciones con guías, que cuentan con la tecnología de Google SecOps, consulta Trabaja con guías.

Compatibilidad con múltiples nubes: Protege tus implementaciones en otras plataformas en la nube

Puedes extender los servicios y las capacidades de Security Command Center para cubrir en otras plataformas en la nube para poder administrar en una ubicación única todas las amenazas y vulnerabilidades a las que se detectan en todos tus entornos de nube.

Para obtener más información sobre cómo conectar Security Command Center a otro de servicios en la nube, consulta las siguientes páginas:

Proveedores de servicios en la nube compatibles

Security Command Center puede conectarse a Amazon Web Services (AWS).

Define y administra posturas de seguridad

Con activaciones a nivel de la organización de los niveles Premium y Enterprise de Security Command Center, puedes crear y administrar posturas de seguridad que definen el estado requerido de tus recursos de nube, incluida tu infraestructura servicios de red y nube para una seguridad óptima en tu entorno de nube. Puedes personalizar las posturas de seguridad para que coincidan con las medidas de seguridad y las necesidades reglamentarias. Cuando defines una postura de seguridad, puedes minimizar los riesgos de seguridad cibernética de tu organización y ayudar a evitar que sucedan ataques.

Usa el servicio de postura de seguridad de Security Command Center para definir y implementar una postura de seguridad y detectar cualquier desvío o cambio no autorizado de tu postura definida.

El servicio de postura de seguridad se habilita automáticamente cuando activar Security Command Center a nivel de la organización.

Para obtener más información, consulta Descripción general de la postura de seguridad.

Identifica tus recursos

Security Command Center incluye información de recursos de Cloud Asset Inventory, que supervisa continuamente los recursos en la nube en un entorno de nube. Para la mayoría de los elementos, los cambios de configuración, incluidas las políticas de IAM y de la organización, se detectan casi en tiempo real.

En la página Recursos de la consola de Google Cloud, puedes aplicar, editar y ejecutar ejemplos de consultas de recursos, agregar una restricción de tiempo predeterminada o puedes escribir tus propias consultas de recursos.

Si tienes el nivel Premium o Enterprise de Security Command Center, puedas ver cuáles de tus recursos están designados como recursos de alto valor para las evaluaciones de riesgos de simulaciones de rutas de ataque.

Puedes identificar rápidamente los cambios en tu organización o proyecto y responder preguntas como las siguientes:

  • ¿Cuántos proyectos tienes y cuándo se crearon?
  • ¿Qué recursos de Google Cloud se implementan o usan, como las máquinas virtuales (VM) de Compute Engine, los buckets de Cloud Storage o las instancias de App Engine?
  • ¿Cuál es su historial de implementaciones?
  • Cómo organizar, anotar, buscar, seleccionar, filtrar y ordenar en las siguientes categorías:
    • Recursos y propiedades de los recursos
    • Marcas de seguridad, que te permiten anotar recursos o resultados en Security Command Center
    • Período

Cloud Asset Inventory siempre conoce el estado actual de los recursos compatibles y, en la consola de Google Cloud, te permite revisar análisis históricos de descubrimiento para comparar recursos entre puntos en el tiempo. También puedes buscar elementos con poco uso, como máquinas virtuales o direcciones IP inactivas.

Funciones de Gemini en Security Command Center

Security Command Center incorpora Gemini para proporcionar resúmenes de hallazgos y rutas de ataque, y para asistir tus búsquedas y de amenazas y vulnerabilidades detectadas.

Para obtener información sobre Gemini, consulta Descripción general de Gemini.

Resúmenes de Gemini de los hallazgos y las rutas de ataque

Si usas Security Command Center Enterprise o Premium, Gemini brinda explicaciones generadas de forma dinámica de cada hallazgo y de cada simulación la ruta de ataque que Security Command Center genera para Vulnerability y Resultados de la clase Misconfiguration.

Los resúmenes se escriben de forma natural lenguaje para ayudarte a entender y actuar ante los hallazgos y las rutas de ataque que puedan acompañarlos.

Los resúmenes aparecen en los siguientes lugares de la consola de Google Cloud:

  • Cuando haces clic en el nombre de un hallazgo individual, el resumen en la en la parte superior de la página de detalles del hallazgo.
  • Con los niveles Premium y Enterprise de Security Command Center, si un tiene una puntuación de exposición a ataques, puedes mostrar el resumen a la derecha de la ruta de ataque haciendo clic en la puntuación de exposición a ataques y, luego, AI summary.

Permisos de IAM obligatorios para los resúmenes generados por IA

Para ver los resúmenes de IA, necesitas la IAM permisos.

Para los resultados, necesitas securitycenter.findingexplanations.get permiso de IAM. Las APIs predefinidas menos permisivas el rol de IAM que contiene este permiso es Visualizador de hallazgos del centro de seguridad (roles/securitycenter.findingsViewer) en el área de la seguridad en la nube.

Para las rutas de ataque, necesitas el securitycenter.exposurepathexplan.get permiso de IAM. Las APIs predefinidas menos permisivas el rol de IAM que contiene este permiso es Lector de rutas de exposición del centro de seguridad (roles/securitycenter.exposurePathsViewer).

Durante la vista previa, estos permisos no están disponibles en el la consola de Google Cloud para agregar a los roles personalizados de IAM.

Para agregar el permiso a un rol personalizado, puedes usar Google Cloud CLI.

Para obtener información sobre cómo usar Google Cloud CLI para agregar permisos a una rol personalizado, consulta Crea y administra roles personalizados.

Búsqueda de lenguaje natural para investigaciones de amenazas

Puedes generar búsquedas de hallazgos de amenazas, alertas y otros información usando consultas de lenguaje natural y Gemini. El la integración con Gemini para búsquedas en lenguaje natural con la tecnología de Google SecOps. Para obtener más información, consulta Usa lenguaje natural para generar búsquedas de UDM en la documentación de Google SecOps.

Widget de investigación de IA para casos

Para ayudarte a comprender e investigar casos de hallazgos y alertas, Gemini proporciona un resumen de cada caso y sugiere la pasos que puedes seguir para investigar el caso. Resumen y próximos pasos aparecerán en el widget Investigación de IA cuando consultes un caso.

Esta integración en Gemini cuenta con la tecnología de SecOps de Google.

Estadísticas prácticas de seguridad

Los servicios integrados y integrados de Google Cloud de Security Command Center supervisará de forma continua su recursos y registros para indicadores de compromiso y cambios de configuración que para identificar amenazas, vulnerabilidades y parámetros de configuración incorrectos conocidos. A fin de proporcionar contexto para los incidentes, los resultados se enriquecen con información de las siguientes fuentes:

  • Con los niveles Enterprise y Premium, ocurre lo siguiente:
    • Resúmenes generados por IA que te ayudan a comprender Security Command Center y tomar medidas al respecto hallazgos y las rutas de ataque que se incluyan. Para obtener más información, consulta los resúmenes generados por IA.
    • Los hallazgos de vulnerabilidades incluyen información de sus entradas de CVE correspondientes, incluida la puntuación de CVE, y y evaluaciones de Mandiant sobre los ataques impacto potencial y potencial de que se explote.
    • SIEM potentes y SOAR de búsqueda con la tecnología de Google SecOps, que te permiten investigar amenazas y vulnerabilidades, y abordar relacionadas en un cronograma unificado.
  • VirusTotal, un Servicio propiedad de Alphabet que proporciona contexto sobre archivos potencialmente maliciosos. URLs, dominios y direcciones IP.
  • Framework de MITRE ATT&CK, que explica técnicas de ataques contra los recursos de la nube y brinda soluciones orientación.
  • Registros de auditoría de Cloud (registros de actividad del administrador) y los registros de acceso a los datos).

Recibes notificaciones de resultados nuevos casi en tiempo real, lo que permite a que tus equipos de seguridad recopilen datos, identifiquen amenazas y tomen medidas al respecto antes de que se generen daños o pérdidas empresariales.

Con una vista centralizada de tu postura de seguridad y una API sólida, puedes hacer lo siguiente con rapidez:

  • Responde preguntas como estas:
    • ¿Qué direcciones IP están abiertas al público?
    • ¿Qué imágenes se ejecutan en tus VM?
    • ¿Hay evidencia de que tus VMs se usen para criptomonedas minería u otras operaciones abusivas?
    • ¿Qué cuentas de servicio se agregaron o quitaron?
    • ¿Cómo se configuran los firewalls?
    • ¿Qué buckets de almacenamiento contienen información de identificación personal (PII) o datos sensibles? Esta función requiere integración con Sensitive Data Protection.
    • ¿Qué aplicaciones en la nube están expuestas a las vulnerabilidades de las secuencias de comandos entre sitios (XSS)?
    • ¿Algunos de mis buckets de Cloud Storage están abiertos a Internet?
  • Toma medidas para proteger tus activos:
    • Implementa pasos de solución verificados para las configuraciones incorrectas de elementos y las infracciones de cumplimiento.
    • Combina la inteligencia de amenazas de Google Cloud y proveedores externos, como Palo Alto Networks, para proteger mejor tu empresa de las amenazas de capas de procesamiento costosas.
    • Asegúrate de que las políticas de IAM adecuadas estén implementadas y obtén alertas cuando las políticas se configuren de forma incorrecta o cambien de manera inesperada.
    • Integra los hallazgos de fuentes propias o de terceros para lo siguiente: recursos de Google Cloud y otros recursos híbridos o de múltiples nubes. Para obtener más información, consulta Agrega un servicio de seguridad de terceros.
    • Responde a las amenazas en tu entorno de Google Workspace y a los cambios no seguros en Grupos de Google.

Parámetros de configuración incorrectos de identidad y acceso

Security Command Center facilita la identificación y la resolución de errores de configuración de identidades y accesos en Google Cloud. Los hallazgos de configuración incorrecta identifican las principales (identidades) que se configuración incorrecta o que tienen IAM excesivo o sensible permisos (acceso) a los recursos de Google Cloud.

Administración de derechos de la infraestructura de nube

A veces, se hace referencia a la administración de problemas de seguridad relacionados con la identidad y el acceso como administración de derechos de infraestructura de nube (CIEM). Security Command Center ofrece capacidades de CIEM que ayudan a proporcionar una visión completa del de la configuración de identidades y accesos de tu organización. Security Command Center ofrece estas funciones para varias plataformas en la nube, como Google Cloud y Amazon Web Services (AWS). Con CIEM, puedes ver qué principales tienen permisos excesivos en tu entornos de nube. Además de Google Cloud IAM, CIEM permite investigar los permisos que principales de otros proveedores de identidad (como el ID de Entra [Azure AD] y Okta) tener en tus recursos de Google Cloud. Puede ver la identidad y la seguridad más graves acceder a los hallazgos de varios proveedores de servicios en la nube en la sección Identidad y acceso hallazgos de la página Descripción general de Security Command Center en la consola de Google Cloud.

Para obtener más información sobre las capacidades CIEM de Security Command Center, consulta Descripción general del derecho de infraestructura de nube Administración.

Identidad y acceso a los ajustes predeterminados de las consultas

En la página Vulnerabilidad en la consola de Google Cloud, puedes hacer lo siguiente: selecciona ajustes predeterminados de consulta (consultas predefinidas) que muestren los detectores de vulnerabilidades o las categorías relacionadas con la identidad y acceso. Para cada categoría, se muestra la cantidad de hallazgos activos.

Para obtener más información sobre los ajustes predeterminados de la consulta, visita Aplica ajustes predeterminados de consulta.

Administra el cumplimiento de los estándares de la industria

Security Command Center el cumplimiento con detectores asignados a los controles de una amplia varios estándares de seguridad.

Para cada estándar de seguridad admitido, Security Command Center verifica un subconjunto de los controles. En el caso de los controles marcados, Security Command Center te muestra cuántos están aprobados. Para el que no se aprueban, Security Command Center te muestra una lista de los hallazgos y describir las fallas de control.

CIS revisa y certifica las asignaciones de Security Command Center detectores a cada nodo compatible de la comparativa de CIS para Google Cloud Foundations. Cumplimiento adicional las asignaciones se incluyen solo como referencia.

Security Command Center agrega compatibilidad periódicamente con nuevos estándares y versiones de comparativas. Más antigua siguen siendo compatibles, pero con el tiempo quedan obsoletos. Te recomendamos que uses las comparativas o los estándares más recientes disponibles.

Con la servicio de postura de seguridad puedes asignar las políticas de la organización y los detectores de Security Health Analytics a los estándares y controles que se aplican a tu empresa. Luego de crear una postura de seguridad, puedes supervisar sobre cualquier cambio en el entorno que pueda afectar el cumplimiento de la empresa.

Para obtener más información sobre la administración del cumplimiento, consulta Evalúa y, luego, informa el cumplimiento de los estándares de seguridad.

Estándares de seguridad compatibles con Google Cloud

Security Command Center asigna detectores de Google Cloud a uno o más de los siguientes tipos de cumplimiento estándares:

Estándares de seguridad compatibles con AWS

Security Command Center asigna detectores de Amazon Web Services (AWS) a una o más de las siguientes instancias de cumplimiento estándares:

Plataforma flexible para satisfacer tus necesidades de seguridad

Security Command Center incluye opciones de integración y personalización que a mejorar la utilidad del servicio para satisfacer sus necesidades de seguridad.

Opciones de personalización

Entre las opciones de personalización, se incluyen las siguientes:

Opciones de integración

Las opciones de integración incluyen las siguientes:

Cuándo usar Security Command Center

En la siguiente tabla, se incluyen funciones de producto de alto nivel, casos de uso y vínculos a documentación relevante para ayudarte a encontrar rápidamente el contenido que necesitas.

Función Casos de uso Documentos relacionados
Identificación y revisión de recursos
  • Ver en un solo lugar todos los recursos, servicios y datos de tu organización o proyecto, y de todo tus plataformas en la nube.
  • Evalúa las vulnerabilidades de los recursos compatibles y toma medidas para priorizar las correcciones de los problemas más graves.
 Prácticas recomendadas de Security Command Center

Control de acceso

Usa Security Command Center en la consola de Google Cloud
Identificación de datos sensibles
  • Descubre dónde se almacenan los datos sensibles y regulados con Sensitive Data Protection.
  • Evita exposiciones no deseadas y cerciórate de que solo se pueda acceder en el caso exclusivo de que sea necesario.
  • Designa recursos que contengan datos o datos de alta sensibilidad como _recursos de alto valor automáticamente.
 Envía los resultados de la protección de datos sensibles a Security Command Center
Integración de productos SIEM y SOAR de terceros
  • Exporta con facilidad los datos de Security Command Center a SIEM y SOAR.
 Exporta datos de Security Command Center

Exportaciones continuas
Detección de errores de configuración Descripción general de Security Health Analytics

Descripción general de Web Security Scanner

Hallazgos de vulnerabilidades

Detección de vulnerabilidades de software
  • Detecta vulnerabilidades de software en cargas de trabajo en máquinas virtuales y contenedores en proveedores de servicios en la nube.
  • Reciba alertas proactivamente sobre nuevas vulnerabilidades y cambios en su superficie de ataque.
  • Descubre vulnerabilidades comunes, como secuencias de comandos entre sitios (XSS) Inyección Flash que pone en riesgo tus aplicaciones
  • Con Security Command Center Premium, priorizar los hallazgos de vulnerabilidades con información de CVE, incluidas las evaluaciones de la capacidad de explotación y el impacto proporcionados por Mandiant.

Panel de postura de seguridad de GKE

VM Manager

Descripción general de Web Security Scanner

Hallazgos de vulnerabilidades

Supervisión del control de identidad y acceso
  • Ayuda a garantizar que se apliquen las políticas de control de acceso adecuadas en tus recursos de Google Cloud y que se te notifique cuando las políticas estén mal configuradas o cambien de forma inesperada.
  • Usa ajustes predeterminados de consulta para ver rápidamente los resultados relacionados con la identidad y el acceso y roles a los que se les otorgan permisos excesivos.
 Recomendador de IAM

Control de acceso

Parámetros de configuración incorrectos de identidad y acceso

Detección de amenazas
  • Detecta actividades y actores maliciosos en tu infraestructura, y recibe alertas de amenazas activas.
  • Detecta amenazas en otras plataformas en la nube
 Administra las amenazas

Descripción general de Event Threat Detection

Descripción general de la detección de amenazas de contenedores
Detección de errores
  • Recibe alertas de errores y configuraciones incorrectas que impidan que Security Command Center y sus servicios funcionen según lo previsto.
 Descripción general de los errores de Security Command Center
Priorizar las correcciones
  • Usa puntuaciones de exposición a ataques. priorizar la corrección de de vulnerabilidades y parámetros de configuración incorrectos.
  • Usa puntuaciones de exposición a ataques en los recursos para protegerlos de forma proactiva los recursos más valiosos para tu empresa.
 Descripción general de las puntuaciones de exposición a ataques y las rutas de ataque
Soluciona los riesgos
  • Implementa instrucciones de solución verificadas y recomendadas para proteger los elementos con rapidez.
  • Enfócate en los campos más importantes de los resultados para ayudar a los analistas de seguridad a tomar decisiones de evaluación fundamentadas con rapidez.
  • Enriquece y conecta vulnerabilidades y amenazas relacionadas para identificar y capturar TTP.
  • Resuelve errores y configuraciones incorrectas que evitan que Security Command Center y sus servicios funcionen según lo previsto.
 Investigar las amenazas y responder a ellas

Soluciona los problemas de las estadísticas de estado de seguridad

Solución de los resultados de Web Security Scanner

Automatización de la respuesta de seguridad

Soluciona los errores de Security Command Center
Administración de la postura
  • Asegúrate de que tus cargas de trabajo se ajusten a los estándares de seguridad y a las reglamentaciones de cumplimiento, y a los requisitos de seguridad personalizados de tu organización.
  • Aplica tus controles de seguridad a proyectos, carpetas o a organizaciones de Google Cloud antes de implementar cargas de trabajo.
  • Supervise y resuelva continuamente cualquier desvío de sus controles de seguridad definidos.
 Descripción general de la postura de seguridad

Administra una postura de seguridad
Entradas de herramientas de seguridad de terceros
  • Integra los resultados de tus herramientas de seguridad existentes, como Cloudflare, CrowdStrike, Prisma Cloud de Palo Alto Networks y Qualys, en Security Command Center. Integrar el resultado puede ayudarte a detectar lo siguiente:
    • Ataques de DDoS
    • Extremos vulnerados
    • Incumplimientos de la política de cumplimiento
    • Ataques de red
    • Vulnerabilidades y amenazas de instancias
 Configurar Security Command Center

Crea y administra recursos de seguridad
Notificaciones en tiempo real
  • Recibe alertas de Security Command Center a través de correo electrónico, SMS, Slack, WebEx y otros servicios con notificaciones de Pub/Sub.
  • Ajusta los filtros de resultados para excluir los resultados de las lista de entidades permitidas.
 Configura la búsqueda de notificaciones

Habilitar notificaciones de chat y correo electrónico en tiempo real

Usa marcas de seguridad

Exporta datos de Security Command Center

Filtra notificaciones

Agrega elementos a las listas de entidades permitidas
API de REST y SDK de cliente
  • Usa la API de REST de Security Command Center o los SDK cliente para una integración sencilla en tus sistemas de seguridad y flujos de trabajo existentes.
 Configurar Security Command Center

Accede a Security Command Center de manera programática

API de Security Command Center

Controles de residencia de datos

Para cumplir con los requisitos de residencia de datos, cuando activas Security Command Center Estándar o Premium por primera vez, puedes habilitar los controles de residencia de datos.

Habilitar los controles de residencia de datos restringe el almacenamiento y el procesamiento de los hallazgos de Security Command Center, las reglas de silencio, las exportaciones continuas, y BigQuery exporta a una de las bases de datos de multirregionales compatibles con Security Command Center.

Para obtener más información, consulta Planifica la residencia de los datos.

Niveles de servicio de Security Command Center

Security Command Center ofrece tres niveles de servicio: Estándar, Premium y Enterprise.

El nivel que selecciones determina las funciones y los servicios que se disponibles en Security Command Center.

Si tienes preguntas sobre los niveles de servicio de Security Command Center, comunícate con tu representante de cuenta Ventas de Google Cloud.

Para obtener información sobre los costos asociados al uso de un nivel de Security Command Center, consulta Precios.

Nivel Estándar

El nivel Estándar incluye los siguientes servicios y funciones:

  • Estadísticas del estado de la seguridad: En el nivel Estándar, Security Health Analytics proporciona vulnerabilidades análisis de evaluación para Google Cloud que puede detectar automáticamente las vulnerabilidades de mayor gravedad y los parámetros de configuración incorrectos de tus recursos de Google Cloud. En el nivel Estándar, Security Health Analytics incluye los siguientes tipos de resultados:

    • Dataproc image outdated
    • Legacy authorization enabled
    • MFA not enforced
    • Non org IAM member
    • Open ciscosecure websm port
    • Open directory services port
    • Open firewall
    • Open group IAM member
    • Open RDP port
    • Open SSH port
    • Open Telnet port
    • Public bucket ACL
    • Public Compute image
    • Public dataset
    • Public IP address
    • Public log bucket
    • Public SQL instance
    • SSL not enforced
    • Web UI enabled
  • Análisis personalizados de Web Security Scanner: En el nivel Estándar, Web Security Scanner es compatible con análisis personalizados de aplicaciones implementadas con URLs públicas y direcciones IP que no están detrás de un firewall. Los análisis se configuran, administran y se ejecutan en todos los proyectos, y admiten un subconjunto de categorías OWASP Top 10.
  • Security Command Center errores: Security Command Center proporciona orientación de detección y corrección para la configuración errores que impiden que Security Command Center y sus servicios funcionen correctamente.
  • Continuos Exportaciones función, que administra automáticamente la exportación de nuevos hallazgos a Pub/Sub

  • Acceso a servicios integrados de Google Cloud, que incluyen lo siguiente:

  • Hallazgos del panel de postura de seguridad de GKE: ver resultados errores de configuración de seguridad de la carga de trabajo de Kubernetes, seguridad procesable boletines y vulnerabilidades en el sistema operativo del contenedor o en el lenguaje paquetes. La integración del panel de postura de seguridad de GKE con Security Command Center está disponible en vista previa.
  • Integración en BigQuery, que exporta los resultados a BigQuery para su análisis.
  • Integración con Forseti Security, el kit de herramientas de seguridad de código abierto para Google Cloud, aplicaciones de administración de información y eventos de seguridad (SIEM) de terceros.
  • Servicio de acciones sensibles, que detecta cuándo se realizan acciones en tu cuenta de Google Cloud organización, carpetas y proyectos que podrían dañar tu negocio si son tomadas por un agente malicioso.
  • Cuando Security Command Center se activa a nivel de la organización, puedes otorgar a los usuarios roles de IAM a nivel de organización, carpeta y proyecto.
  • Los controles de residencia de datos que restringen el almacenamiento y el procesamiento de los hallazgos de Security Command Center, las reglas de silencio, las exportaciones continuas, y BigQuery exporta a una de las bases de datos de multirregionales compatibles con Security Command Center.

    Para obtener más información, consulta Planifica la residencia de los datos.

Nivel Premium

El nivel Premium incluye todos los servicios y las funciones del nivel Estándar. y los siguientes servicios y funciones adicionales:

  • Las simulaciones de rutas de ataque te ayudan a identificar y priorizar de vulnerabilidades y parámetros de configuración incorrectos mediante la identificación de las rutas que un atacante potencial podría usar para acceder a sus recursos de alto valor. Las simulaciones calculan y asignan ataques puntuaciones de exposición a cualquier resultado que exponga esos recursos. Interactivo Las rutas de ataque ayudan a visualizar las posibles rutas de ataque y proporcionan información sobre las rutas, los resultados relacionados y los recursos afectados.

  • Los hallazgos de vulnerabilidades incluyen CVE evaluaciones proporcionadas por Mandiant para ayudarte a priorizar su corrección.

    En la página Descripción general de la consola, los hallazgos principales de CVE en esta sección se muestran los hallazgos de vulnerabilidades agrupados por sus la explotación y el impacto potencial, según la evaluación Mandiant. En la página Hallazgos, puedes consultar los resultados por ID de CVE.

    Para obtener más información, consulta Priorizar según el impacto y la explotación de CVE.

  • Event Threat Detection supervisa Cloud Logging y Google Workspace con inteligencia contra amenazas, aprendizaje automático y otros métodos avanzados para detectar amenazas, como software malicioso, minería de criptomonedas y datos los robos de datos. Para obtener una lista completa de los detectores integrados de Event Threat Detection, consulta Event Threat Detection reglas. También puedes crear detectores personalizados de Event Threat Detection. Para sobre plantillas de módulos que puedes usar para crear plantillas de detección de intrusiones, consulta Descripción general del módulos personalizados para Event Threat Detection.
  • Container Threat Detection detecta los siguientes ataques de entorno de ejecución de los contenedores:
    • Se ejecutó el objeto binario añadido
    • Se cargó la biblioteca agregada
    • Ejecución: Se ejecutó el binario malicioso agregado
    • Ejecución: Se cargó la biblioteca maliciosa agregada.
    • Ejecución: Objeto binario integrado integrado y ejecutado
    • Ejecución: ejecución de binario malicioso modificado
    • Ejecución: Se cargó la biblioteca maliciosa modificada
    • Secuencia de comandos maliciosa ejecutada
    • Shells inversas
    • Shell secundario inesperado

  • La siguiente información de Policy Intelligence funciones disponibles:

    • Funciones avanzadas del recomendador de IAM, incluidas las siguientes:
      • Recomendaciones para roles no básicos
      • Las recomendaciones para roles otorgados en recursos que no sean organizaciones, carpetas y proyectos, por ejemplo, recomendaciones para los roles otorgados en buckets de Cloud Storage
      • Recomendaciones que sugieren roles personalizados
      • Estadísticas de políticas
      • Estadísticas de desplazamiento lateral
    • Analizador de políticas a gran escala (más de 20 consultas por organización) por día). Este límite se comparte entre todas las herramientas del Analizador de políticas.
    • Visualizaciones para el análisis de las políticas de la organización.
  • Puedes consultar recursos Cloud Asset Inventory.
  • Virtual Machine Threat Detection detecta las aplicaciones potencialmente maliciosas que se ejecutan en las VM. individuales.

  • Security Health Analytics en la El nivel Premium incluye las siguientes funciones:

    • Análisis de vulnerabilidades administrados para todos los detectores de Security Health Analytics
    • Supervisión de muchas prácticas recomendadas de la industria
    • Supervisión del cumplimiento. Mapa de detectores de Security Health Analytics a los controles de las comparativas de seguridad comunes.
    • Compatibilidad con módulos personalizados, que puedes usar para crear tus propias estadísticas del estado de seguridad de detección de intrusiones.

    En el nivel Premium, Security Health Analytics admite los estándares descritos en Administra el cumplimiento de los estándares de la industria.

  • Web Security Scanner en el nivel Premium incluye todas las funciones del nivel Estándar y detectores adicionales que admiten categorías del OWASP Top 10. Web Security Scanner también agrega análisis administrados que se configuran automáticamente.

  • Supervisión del cumplimiento en todos tus recursos de Google Cloud.

    Para medir tu cumplimiento con comparativas de seguridad comunes detectores de la vulnerabilidad de Security Command Center los escáneres se asignan a controles estándar de seguridad comunes.

    Podrás ver tu cumplimiento de los estándares, identificar controles de incumplimiento, exportar informes y mucho más. Para obtener más información, consulta Evalúa y, luego, informa el cumplimiento de los estándares de seguridad.

  • Puedes solicitar una cuota adicional de Cloud Asset Inventory si necesitas una supervisión extendida de los recursos un problema de seguridad.
  • El servicio de postura de seguridad te permite definir, evaluar y supervisar el rendimiento general estado de tu seguridad en Google Cloud. Postura de seguridad servicio solo está disponible en el Nivel Premium de Security Command Center para clientes que compran un precio fijo y activar el nivel Premium de Security Command Center en la organización a nivel de organización. El servicio de postura de seguridad no es compatible de pago por uso o activaciones a nivel de proyecto.
  • La función de validación de IaC te permite validar la infraestructura como código de red (IaC) con las políticas de la organización y los detectores de Security Health Analytics que definiste en tu organización de Google Cloud. Esta función es solo están disponibles en el Nivel Premium de Security Command Center para clientes que compran un precio fijo y activar el nivel Premium de Security Command Center en la organización a nivel de organización. Esta función no es compatible de pago por uso o activaciones a nivel de proyecto.
  • Informes de vulnerabilidad de VM Manager
    • Si habilitas VM Manager, haz lo siguiente: el servicio escribe automáticamente los hallazgos de sus los informes de vulnerabilidades, que están en vista previa, en Security Command Center. Los informes vulnerabilidades en los sistemas operativos instalados en Compute Engine virtual máquinas virtuales. Para obtener más información, consulta VM Manager

Nivel empresarial

El nivel Enterprise es una plataforma de protección de aplicaciones completamente nativa de la nube (CNAPP), que habilita a los analistas del SOC, los analistas de vulnerabilidades y otras empresas que los profesionales de seguridad administren la seguridad en varias en un lugar centralizado.

El nivel Enterprise ofrece capacidades de investigación y detección, asistencia para la administración de casos y administración de posturas, incluida la capacidad para definir e implementar reglas de postura personalizadas y cuantificar y visualizar el riesgo de que las vulnerabilidades y las configuraciones incorrectas que plantean a tu entorno de nube.

El nivel Enterprise incluye todos los servicios de los niveles Estándar y Premium. y funciones, así como los siguientes servicios y funciones adicionales:

Resumen de las funciones y los servicios del nivel empresarial

El nivel Enterprise incluye todas las opciones de nivel Estándar y Premium servicios y funciones que están disponibles para el público en general.

El nivel Enterprise agrega los siguientes servicios y funciones a Security Command Center:

  • Detección de combinaciones tóxicas con la tecnología de Security Command Center Motor de riesgos. Para obtener más información, consulta Descripción general de las combinaciones tóxicas.
  • Compatibilidad con múltiples nubes Puedes conectar Security Command Center a otras nubes como AWS, para detectar amenazas, vulnerabilidades y de configuración incorrecta. Además, después de especificar tus recursos de alto valor en otro proveedor, también puedes evaluar su exposición a ataques las puntuaciones de exposición a ataques y las rutas de ataque.
  • Capacidades de SIEM (administración de información y eventos de seguridad) para entornos de nube, con la tecnología de Google SecOps. Analizar registros y otros datos en busca de amenazas de entornos de múltiples nubes, definir reglas de detección de amenazas y buscar en los datos acumulados. Para obtener más información, consulta Documentación de SIEM de Google SecOps.
  • Capacidades de SOAR (organización, automatización y respuesta de seguridad) para entornos de nube, con la tecnología de Google SecOps. Administra casos, define los flujos de trabajo de respuesta y busca los datos de respuesta. Para obtener más información, consulta Documentación de SOAR de Google SecOps.
  • Capacidades de CIEM (Cloud Infrastructure Entitlement Management) para entornos de nube. Identifica las cuentas principales (identidades) que están mal configuradas o que se le otorgaron permisos (acceso) de IAM excesivos o sensibles a tus recursos en la nube. Para obtener más información, consulta Descripción general de Administración de derechos de la infraestructura de nube.
  • Detección ampliada de vulnerabilidades de software en VMs y contenedores en tus entornos de nube con los siguientes componentes servicios integrados de Google Cloud:
    • Edición Google Kubernetes Engine (GKE) Enterprise
    • Evaluación de vulnerabilidades para AWS
    • VM Manager

Funciones de nivel empresarial con la tecnología de Google Security Operations

La función de administración de casos, las funciones del manual y otras herramientas SIEM y SOAR del nivel Enterprise de Security Command Center cuentan con la tecnología de Google Security Operations. Cuando uses alguno de estos y funciones de Google, es posible que veas las funciones en la interfaz web y podría dirigirse al Documentación de Google SecOps para obtener orientación.

Algunas funciones de Google SecOps no son compatibles o limitado con Security Command Center, pero es posible que su uso no limitado en las primeras suscripciones al nivel Enterprise. Usa los siguientes características y funciones solo de acuerdo con las limitaciones indicadas:

  • La transferencia de registros en la nube se limita a los registros que son relevantes para detección de amenazas en la nube, como los siguientes:

    • Google Cloud

      • Registros de actividad del administrador de Registros de auditoría de Cloud
      • Registros de auditoría de Cloud: registros de acceso a los datos
      • syslog de Compute Engine
      • Registro de auditoría de GKE

    • Google Workspace

      • Eventos de Google Workspace
      • Alertas de Google Workspace

    • AWS

      • Registros de auditoría de CloudTrail
      • Syslog
      • Registros de Auth
      • Eventos de GuardDuty

  • Las detecciones seleccionadas se limitan a aquellas que detectan amenazas en entornos de nube.

  • Las integraciones de Google Cloud Marketplace se limitan a lo siguiente:

    • Siemplify
    • Herramientas
    • VirusTotal V3
    • Google Cloud Asset Inventory
    • Google Security Command Center
    • Jira
    • Funciones
    • Google Cloud IAM
    • Correo electrónico V2
    • Procesamiento de Google Cloud
    • Google Chronicle
    • Mitre Att&ck
    • Mandiant Threat Intelligence
    • Google Cloud Policy Intelligence
    • Recomendador de Google Cloud
    • Utilidades de Siemplify
    • ServiceNow
    • CSV
    • SCC Enterprise
    • IAM de AWS
    • AWS EC2

  • La cantidad de reglas personalizadas de un solo evento se limita a 20.

  • Los análisis de riesgos para UEBA (análisis del comportamiento de usuarios y entidades) no están disponibles.

  • La información sobre amenazas aplicada no está disponible.

  • La asistencia de Gemini para Google SecOps es limitados a la búsqueda en lenguaje natural y los resúmenes de investigación de casos.

  • La retención de datos tiene un límite de tres meses.

Niveles de activación de Security Command Center

Puedes activar Security Command Center en un proyecto individual, que es lo que se conoce como activación a nivel de proyecto toda la organización, lo que se conoce como activación a nivel de la organización.

El nivel Enterprise requiere una activación a nivel de la organización.

Para obtener más información sobre la activación de Security Command Center, consulta Descripción general de la activación de Security Command Center.

¿Qué sigue?