Descripción general de Security Command Center

En esta página, se proporciona una descripción general de Security Command Center, una solución de administración de riesgos que, con el nivel Enterprise, combina la seguridad en la nube y las operaciones de seguridad empresarial, y proporciona estadísticas de la experiencia de Mandiant y la inteligencia artificial de Gemini.

Security Command Center permite a los analistas del centro de operaciones de seguridad (SOC), a los analistas de vulnerabilidades y estado, a los administradores de cumplimiento y a otros profesionales de seguridad evaluar, investigar y responder rápidamente a los problemas de seguridad en varios entornos de nube.

Cada implementación en la nube tiene riesgos únicos. Security Command Center puede ayudarte a comprender y evaluar la superficie de ataque de tus proyectos o tu organización en Google Cloud, así como la superficie de ataque de tus otros entornos de nube. Si se configura correctamente para proteger tus recursos, Security Command Center puede ayudarte a comprender las vulnerabilidades y amenazas detectadas en tus entornos de nube, y a priorizar sus correcciones.

Security Command Center se integra a muchos servicios de Google Cloud para detectar problemas de seguridad en varios entornos de nube. Estos servicios detectan problemas de diferentes maneras, como el análisis de metadatos de recursos, el análisis de registros de la nube, el análisis de contenedores y el análisis de máquinas virtuales.

Algunos de estos servicios integrados, como Google Security Operations y Mandiant, también proporcionan capacidades y datos que son fundamentales para priorizar y administrar tus investigaciones y respuestas a los problemas detectados.

Administra las amenazas

En los niveles Premium y Enterprise, Security Command Center usa servicios integrados y de Google Cloud para detectar amenazas. Estos servicios analizan tus registros, contenedores y máquinas virtuales de Google Cloud en busca de indicadores de amenazas.

Cuando estos servicios, como Event Threat Detection o Container Threat Detection, detectan un indicador de amenaza, emiten un hallazgo. Un hallazgo es un informe o registro de una amenaza individual o algún otro problema que un servicio encontró en tu entorno de nube. Los servicios que emiten resultados también se conocen como fuentes de resultados.

En Security Command Center Enterprise, los resultados activan alertas que, según su gravedad, pueden generar un caso. Puedes usar un caso con un sistema de tickets para asignar propietarios a la investigación y respuesta de una o más alertas en el caso.

Security Command Center Enterprise también puede detectar amenazas en tus implementaciones en otras plataformas en la nube. Para detectar amenazas en implementaciones en otras plataformas en la nube, Security Command Center transfiere los registros de la otra plataforma en la nube después de que establezcas una conexión.

Si deseas obtener más información, consulta las siguientes páginas:

Funciones de detección y respuesta ante amenazas

Con Security Command Center, los analistas del SOC pueden lograr los siguientes objetivos de seguridad:

  • Detecta eventos en tus entornos de nube que indiquen una posible amenaza y clasifica los hallazgos o alertas asociados.
  • Asigna propietarios y haz un seguimiento del progreso de las investigaciones y respuestas con un flujo de trabajo de casos integrado. De forma opcional, puedes integrar tus sistemas de tickets preferidos, como Jira o ServiceNow.
  • Investiga las alertas de amenazas con funciones de búsqueda y referencias cruzadas potentes.
  • Define flujos de trabajo de respuesta y automatiza acciones para abordar posibles ataques en tus entornos de nube. Para obtener más información sobre cómo definir flujos de trabajo de respuesta y acciones automatizadas con manuales, consulta Cómo trabajar con manuales.
  • Silencia o excluye los resultados o las alertas que sean falsos positivos.
  • Enfócate en las amenazas relacionadas con identidades vulneradas y permisos de acceso.
  • Usa Security Command Center para detectar, investigar y responder a posibles amenazas en tus otros entornos de nube, como AWS.

Administra vulnerabilidades

Security Command Center proporciona una detección integral de vulnerabilidades, que analiza automáticamente los recursos de tu entorno en busca de vulnerabilidades de software, parámetros de configuración incorrectos y otros tipos de problemas de seguridad que podrían exponerte a ataques. En conjunto, este tipo de problemas se conoce como vulnerabilidades.

Security Command Center usa servicios integrados y de Google Cloud para detectar problemas de seguridad. Los servicios que emiten resultados también se denominan fuentes de resultados. Cuando un servicio detecta un problema, emite un hallazgo para registrarlo.

De forma predeterminada, los casos se abren automáticamente para los hallazgos de vulnerabilidades de gravedad alta y crítica para ayudarte a priorizar su solución. Puedes asignar propietarios y hacer un seguimiento del progreso de los esfuerzos de remediación con un caso.

Para obtener más información, consulta lo siguiente:

Combinaciones tóxicas

El motor de riesgo de Security Command Center, una función del nivel Enterprise, detecta grupos de problemas de seguridad que, cuando ocurren juntos en un patrón determinado, crean una ruta de acceso a uno o más de tus recursos de alto valor que un atacante determinado podría usar para llegar a ellos y vulnerarlos.

Este tipo de grupo de problemas de seguridad con patrones se conoce como una combinación tóxica. Cuando Risk Engine detecta una combinación tóxica, emite un hallazgo. Para cada resultado de combinación tóxica, Security Command Center crea un caso en la consola de Security Operations para que puedas administrar y hacer un seguimiento de la resolución de la combinación tóxica.

Para obtener más información, consulta Descripción general de las combinaciones tóxicas.

Vulnerabilidades de software

Para ayudarte a identificar, comprender y priorizar las vulnerabilidades de software, Security Command Center puede evaluar las máquinas virtuales (VM) y los contenedores de tus entornos de nube en busca de vulnerabilidades. Para cada vulnerabilidad detectada, Security Command Center proporciona información detallada en un registro de hallazgo o hallazgo. La información proporcionada con un resultado puede incluir lo siguiente:

  • Detalles del recurso afectado
  • Información sobre cualquier registro de CVE asociado, incluida una evaluación de Mandiant del impacto y la capacidad de explotación del elemento CVE
  • Una puntuación de exposición a ataques para ayudarte a priorizar la solución
  • Una representación visual de la ruta que podría tomar un atacante para llegar a los recursos de alto valor que expone la vulnerabilidad

Los siguientes servicios detectan vulnerabilidades de software:

Parámetros de configuración incorrectos

Security Command Center asigna los detectores de los servicios que buscan configuraciones incorrectas a los controles de los estándares de cumplimiento comunes de la industria. Además de mostrarte los estándares de cumplimiento que incumple una configuración incorrecta, la asignación te permite ver una medida de tu cumplimiento con los diversos estándares, que luego puedes exportar como un informe.

Para obtener más información, consulta Cómo evaluar y generar informes de cumplimiento.

Incumplimientos de postura

Los niveles Premium y Enterprise de Security Command Center incluyen el servicio de postura de seguridad, que emite resultados cuando tus recursos de nube incumplen las políticas que se definen en las posturas de seguridad que implementaste en tu entorno de nube.

Para obtener más información, consulta Servicio de postura de seguridad.

Valida la infraestructura como código

Puedes verificar que tus archivos de infraestructura como código (IaC) se alineen con las políticas de la organización y los detectores de Security Health Analytics que definas en tu organización de Google Cloud. Esta función ayuda a garantizar que no implementes recursos que infrinjan los estándares de tu organización. Después de definir tus políticas organizacionales y, si es necesario, habilitar el servicio Security Health Analytics, puedes usar Google Cloud CLI para validar tu archivo de plan de Terraform o integrar el proceso de validación en tu flujo de trabajo de desarrollador de Cloud Build, Jenkins o GitHub Actions. Para obtener más información, consulta Cómo validar tu IaC en función de las políticas de tu organización.

Detecta vulnerabilidades y parámetros de configuración incorrectos en otras plataformas de nube

Security Command Center Enterprise puede detectar vulnerabilidades en varios entornos de nube. Para detectar vulnerabilidades en otros proveedores de servicios en la nube, primero debes establecer una conexión con el proveedor para transferir los metadatos de los recursos.

Para obtener más información, consulta Cómo conectarse a AWS para la detección de vulnerabilidades y la evaluación de riesgos.

Funciones de administración de vulnerabilidades y posturas

Con Security Command Center, los analistas de vulnerabilidades, los administradores de postura y los profesionales de seguridad similares pueden lograr los siguientes objetivos de seguridad:

  • Detecta diferentes tipos de vulnerabilidades, como vulnerabilidades de software, errores de configuración y incumplimientos de postura, que pueden exponer tus entornos en la nube a posibles ataques.
  • Enfócate en los problemas de mayor riesgo con las puntuaciones de exposición a ataques en los hallazgos y las alertas de vulnerabilidades.
  • Asigna propietarios y haz un seguimiento del progreso de las correcciones de vulnerabilidades con casos y la integración de tus sistemas de tickets preferidos, como Jira o ServiceNow.
  • Protege de forma proactiva los recursos de alto valor en tus entornos de nube mediante la reducción de sus puntuaciones de exposición a los ataques
  • Define posturas de seguridad personalizadas para tus entornos de nube que Security Command Center use para evaluar tu postura y alertarte sobre los incumplimientos.
  • Silencia o excluye los resultados o las alertas que sean falsos positivos.
  • Enfócate en las vulnerabilidades relacionadas con identidades y permisos excesivos.
  • Detecta y administra en Security Command Center las vulnerabilidades y las evaluaciones de riesgo de tus otros entornos de nube, como AWS.

Evalúa el riesgo con las puntuaciones de exposición a ataques y las rutas de ataque

Con las activaciones a nivel de la organización de los niveles Premium y Enterprise, Security Command Center proporciona puntuaciones de exposición a ataques para los recursos de alto valor y los resultados de vulnerabilidades y configuraciones incorrectas que afectan a los recursos de alto valor.

Puedes usar estas puntuaciones para priorizar la corrección de vulnerabilidades y parámetros de configuración incorrectos, priorizar la seguridad de tus recursos de alto valor más expuestos y, en general, evaluar qué tan expuestos están tus entornos de nube a ataques.

En el panel Vulnerabilidades activas de la página Descripción general de riesgos de la consola de Google Cloud, la pestaña Resultados por puntuación de exposición a ataques muestra los resultados que tienen las puntuaciones de exposición a ataques más altas en tu entorno, así como la distribución de las puntuaciones de los resultados.

Para obtener más información, consulta Puntuaciones de exposición a ataques y rutas de ataque.

Administra los resultados y las alertas con casos

Security Command Center Enterprise crea casos para ayudarte a administrar los resultados y las alertas, asignar propietarios y administrar las investigaciones y las respuestas a los problemas de seguridad detectados. Los casos se abren automáticamente para problemas de gravedad alta y crítica.

Puedes integrar los casos con tu sistema de tickets preferido, como Jira o ServiceNow. Cuando se actualizan los casos, los tickets abiertos correspondientes se pueden actualizar automáticamente. De manera similar, si se actualiza un ticket, también se puede actualizar el caso correspondiente.

Para obtener más información, consulta Descripción general de los casos en la documentación de SecOps de Google.

Define flujos de trabajo de respuesta y acciones automatizadas

Define flujos de trabajo de respuesta y automatiza acciones para investigar y responder a los problemas de seguridad que se detecten en tus entornos de nube.

Para obtener más información sobre cómo definir flujos de trabajo de respuesta y acciones automatizadas con manuales, consulta Cómo trabajar con manuales.

Compatibilidad con varias nubes: Protege tus implementaciones en otras plataformas de nube

Puedes extender los servicios y las funciones de Security Command Center para abarcar tus implementaciones en otras plataformas de nube, de modo que puedas administrar en una sola ubicación todas las amenazas y vulnerabilidades que se detectan en todos tus entornos de nube.

Para obtener más información sobre cómo conectar Security Command Center a otro proveedor de servicios en la nube, consulta las siguientes páginas:

Proveedores de servicios en la nube compatibles

Security Command Center se puede conectar a Amazon Web Services (AWS).

Define y administra las posturas de seguridad

Con las activaciones a nivel de la organización de los niveles Premium y Enterprise de Security Command Center, puedes crear y administrar posturas de seguridad que definan el estado requerido de tus recursos en la nube, incluida tu red en la nube y tus servicios en la nube, para lograr una seguridad óptima en tu entorno en la nube. Puedes personalizar las posturas de seguridad para que coincidan con las necesidades regulatorias y de seguridad de tu empresa. Si defines una postura de seguridad, puedes minimizar los riesgos de seguridad cibernética para tu organización y ayudar a evitar que ocurran ataques.

Usas el servicio de postura de seguridad de Security Command Center para definir y implementar una postura de seguridad y detectar cualquier desvío o cambio no autorizado de la postura definida.

El servicio de estado de seguridad se habilita automáticamente cuando activa Security Command Center a nivel de la organización.

Para obtener más información, consulta Descripción general de la postura de seguridad.

Identifica tus recursos

Security Command Center incluye información de los activos de Cloud Asset Inventory, que supervisa de forma continua los activos de tu entorno de nube. Para la mayoría de los elementos, los cambios de configuración, incluidas las políticas de IAM y de la organización, se detectan casi en tiempo real.

En la página Recursos de la consola de Google Cloud, puedes aplicar, editar y ejecutar rápidamente consultas de muestra de recursos, agregar una restricción de tiempo predeterminada o escribir tus propias consultas de recursos.

Si tienes el nivel Premium o Enterprise de Security Command Center, puedes ver cuáles de tus recursos se designan como recursos de alto valor para las evaluaciones de riesgos mediante simulaciones de rutas de ataque.

Puedes identificar rápidamente los cambios en tu organización o proyecto y responder preguntas como las siguientes:

  • ¿Cuántos proyectos tienes y cuándo se crearon?
  • ¿Qué recursos de Google Cloud se implementan o usan, como las máquinas virtuales (VM) de Compute Engine, los buckets de Cloud Storage o las instancias de App Engine?
  • ¿Cuál es su historial de implementaciones?
  • Cómo organizar, anotar, buscar, seleccionar, filtrar y ordenar en las siguientes categorías:
    • Recursos y propiedades de los recursos
    • Marcas de seguridad, que te permiten anotar recursos o resultados en Security Command Center
    • Período

Cloud Asset Inventory siempre conoce el estado actual de los elementos compatibles y, en la consola de Google Cloud, te permite revisar análisis históricos de descubrimiento para comparar elementos entre puntos. También puedes buscar elementos con poco uso, como máquinas virtuales o direcciones IP inactivas.

Funciones de Gemini en Security Command Center

Security Command Center incorpora Gemini para proporcionar resúmenes de hallazgos y rutas de ataque, y ayudarte en tus búsquedas e investigaciones de amenazas y vulnerabilidades detectadas.

Para obtener información sobre Gemini, consulta Descripción general de Gemini.

Resúmenes de Gemini de los hallazgos y las rutas de ataque

Si usas Security Command Center Enterprise o Premium, Gemini proporciona explicaciones generadas de forma dinámica de cada resultado y de cada ruta de ataque simulada que Security Command Center genera para los resultados de las clases Vulnerability y Misconfiguration.

Los resúmenes están escritos en lenguaje natural para ayudarte a comprender rápidamente los hallazgos y las posibles trayectorias de ataque que los acompañan, y a tomar medidas al respecto.

Los resúmenes aparecen en los siguientes lugares de la consola de Google Cloud:

  • Cuando haces clic en el nombre de un resultado individual, se muestra el resumen en la parte superior de la página de detalles del resultado.
  • Con los niveles Premium y Enterprise de Security Command Center, si un resultado tiene una puntuación de exposición a ataques, puedes hacer clic en la puntuación de exposición a ataques y, luego, en Resumen de IA para mostrar el resumen a la derecha de la ruta de ataque.

Permisos de IAM obligatorios para los resúmenes generados por IA

Para ver los resúmenes de IA, necesitas los permisos de IAM necesarios.

Para los resultados, necesitas el permiso securitycenter.findingexplanations.get de IAM. El rol de IAM predefinido menos permisivo que contiene este permiso es el rol de Visualizador de hallazgos del centro de seguridad (roles/securitycenter.findingsViewer).

Para las trayectorias de ataque, necesitas el permiso securitycenter.exposurepathexplan.get de IAM. El rol de IAM predefinido menos permisivo que contiene este permiso es el rol de Lector de rutas de acceso del centro de seguridad (roles/securitycenter.exposurePathsViewer).

Durante la vista previa, estos permisos no están disponibles en la consola de Google Cloud para agregarlos a los roles de IAM personalizados.

Para agregar el permiso a un rol personalizado, puedes usar Google Cloud CLI.

Para obtener información sobre cómo usar Google Cloud CLI para agregar permisos a un rol personalizado, consulta Crea y administra funciones personalizadas.

Búsqueda en lenguaje natural para investigaciones de amenazas

Puedes generar búsquedas de hallazgos de amenazas, alertas y otra información con Gemini y las consultas de lenguaje natural. Para obtener más información, consulta Cómo usar lenguaje natural para generar consultas de búsqueda de la AUA en la documentación de Google SecOps.

Widget de investigación de IA para casos

Para ayudarte a comprender e investigar casos en busca de hallazgos y alertas, Gemini proporciona un resumen de cada caso y sugiere los próximos pasos que puedes seguir para investigarlo. El resumen y los próximos pasos aparecen en el widget de Investigación de IA cuando visualizas un caso.

Estadísticas prácticas de seguridad

Los servicios integrados de Google Cloud de Security Command Center supervisan de forma continua tus elementos y registros para detectar indicadores de compromiso y cambios en la configuración que coincidan con amenazas, vulnerabilidades y configuraciones incorrectas conocidas. A fin de proporcionar contexto para los incidentes, los resultados se enriquecen con información de las siguientes fuentes:

  • Con los niveles Enterprise y Premium, puedes hacer lo siguiente:
    • Resúmenes generados por IA que te ayudan a comprender y actuar en función de los resultados de Security Command Center y las rutas de ataque que se incluyen en ellos. Para obtener más información, consulta Resumenes generados por IA.
    • Los hallazgos de vulnerabilidades incluyen información de sus entradas de CVE correspondientes, incluida la puntuación de CVE, y las evaluaciones de Mandiant sobre el posible impacto de la vulnerabilidad y su potencial explotación.
    • Potentes capacidades de búsqueda de SIEM y SOAR, que te permiten investigar amenazas y vulnerabilidades, y alternar por entidades relacionadas en un cronograma unificado.
  • VirusTotal, un servicio que es propiedad de Alphabet y proporciona contexto sobre archivos, URL, dominios y direcciones IP potencialmente maliciosos.
  • Framework de MITRE ATT&CK, que explica las técnicas para ataques a los recursos de la nube y proporciona orientación para su solución
  • Registros de auditoría de Cloud (registros de actividad del administrador y registros de acceso a los datos)

Recibes notificaciones de resultados nuevos casi en tiempo real, lo que permite a que tus equipos de seguridad recopilen datos, identifiquen amenazas y tomen medidas al respecto antes de que se generen daños o pérdidas empresariales.

Con una vista centralizada de tu postura de seguridad y una API sólida, puedes hacer lo siguiente con rapidez:

  • Responde preguntas como estas:
    • ¿Qué direcciones IP están abiertas al público?
    • ¿Qué imágenes se ejecutan en tus VM?
    • ¿Hay evidencia de que tus VMs se usan para la minería de criptomonedas o cualquier otra operación abusiva?
    • ¿Qué cuentas de servicio se agregaron o quitaron?
    • ¿Cómo se configuran los firewalls?
    • ¿Qué buckets de almacenamiento contienen información de identificación personal (PII) o datos sensibles? Esta función requiere la integración en Sensitive Data Protection.
    • ¿Qué aplicaciones en la nube están expuestas a las vulnerabilidades de las secuencias de comandos entre sitios (XSS)?
    • ¿Algunos de mis buckets de Cloud Storage están abiertos a Internet?
  • Toma medidas para proteger tus activos:
    • Implementa pasos de solución verificados para las configuraciones incorrectas de elementos y las infracciones de cumplimiento.
    • Combina la inteligencia de amenazas de Google Cloud y proveedores externos, como Palo Alto Networks, para proteger mejor tu empresa de las amenazas de capas de procesamiento costosas.
    • Asegúrate de que las políticas de IAM adecuadas estén implementadas y obtén alertas cuando las políticas se configuren de forma incorrecta o cambien de manera inesperada.
    • Integra los resultados de tus propias fuentes o de fuentes externas para recursos de Google Cloud, o bien otros recursos híbridos o de múltiples nubes. Para obtener más información, consulta Agrega un servicio de seguridad externo.
    • Responde a las amenazas en tu entorno de Google Workspace y a los cambios no seguros en Grupos de Google.

Parámetros de configuración incorrectos de identidad y acceso

Security Command Center te permite identificar y resolver con mayor facilidad los resultados de configuraciones incorrectas de identidad y acceso en Google Cloud. Los resultados de configuración incorrecta identifican principales (identidades) que están mal configurados o que tienen permisos de IAM (acceso) excesivos o sensibles a los recursos de Google Cloud.

Administración de derechos de la infraestructura de nube

La administración de problemas de seguridad relacionados con la identidad y el acceso a veces se conoce como administración de derechos de la infraestructura de nube (CIEM). Security Command Center ofrece funciones de CIEM que ayudan a proporcionar una vista integral de la seguridad de la configuración de identidad y acceso de tu organización. Security Command Center ofrece estas funciones para varias plataformas en la nube, como Google Cloud y Amazon Web Services (AWS). Con la CIEM, puedes ver qué principales tienen permisos excesivos en tus entornos de nube. Además de Cloud IAM, CIEM admite la capacidad de investigar los permisos que los principales de otros proveedores de identidad (como Entra ID (Azure AD) y Okta) tienen en tus recursos de Google Cloud. Puedes ver los hallazgos de identidad y acceso más graves de varios proveedores de servicios en la nube en el panel Resultados de identidad y acceso de la página Descripción general de Security Command Center en la consola de Google Cloud.

Para obtener más información sobre las funciones de CIEM de Security Command Center, consulta Descripción general de la Administración de derechos de la infraestructura de nube.

Parámetros de configuración predeterminados de las consultas de identidad y acceso

En la página Vulnerabilidad de la consola de Google Cloud, puedes seleccionar configuraciones predeterminadas de consulta (consultas predefinidas) que muestran los detectores de vulnerabilidades o las categorías relacionadas con la identidad y el acceso. Para cada categoría, se muestra la cantidad de resultados activos.

Para obtener más información sobre los parámetros de configuración de consulta, consulta Cómo aplicar parámetros de configuración de consulta.

Administra el cumplimiento de los estándares de la industria

Security Command Center supervisa tu cumplimiento con detectores que están asignados a los controles de una amplia variedad de estándares de seguridad.

Para cada estándar de seguridad admitido, Security Command Center verifica un subconjunto de los controles. En el caso de los controles que se marcaron, Security Command Center te muestra cuántos son aprobados. En el caso de los controles que no se aprueban, Security Command Center te muestra una lista de hallazgos que describen las fallas de control.

CIS revisa y certifica las asignaciones de los detectores de Security Command Center a cada versión compatible de la comparativa CIS Google Cloud Foundations. Las asignaciones de cumplimiento adicionales se incluyen solo a modo de referencia.

Security Command Center agrega compatibilidad con nuevas versiones y estándares de comparativas de forma periódica. Las versiones anteriores siguen siendo compatibles, pero, con el tiempo, dejan de estarlo. Te recomendamos que uses la comparativa o el estándar compatibles más recientes disponibles.

Con el servicio de posición de seguridad, puedes asignar las políticas de la organización y los detectores de Security Health Analytics a los estándares y controles que se aplican a tu empresa. Después de crear una postura de seguridad, puedes supervisar si hay cambios en el entorno que podrían afectar el cumplimiento de tu empresa.

Para obtener más información sobre la administración del cumplimiento, consulta Evalúa y informa el cumplimiento de los estándares de seguridad.

Estándares de seguridad compatibles

Google Cloud

Security Command Center asigna detectores de Google Cloud a uno o más de los siguientes estándares de cumplimiento:

AWS

Security Command Center asigna detectores de Amazon Web Services (AWS) a uno o más de los siguientes estándares de cumplimiento:

Plataforma flexible para satisfacer tus necesidades de seguridad

Security Command Center incluye opciones de personalización e integración que te permiten mejorar la utilidad del servicio para satisfacer tus necesidades de seguridad en constante evolución.

Opciones de personalización

Entre las opciones de personalización, se incluyen las siguientes:

Opciones de integración

Entre las opciones de integración, se incluyen las siguientes:

Cuándo usar Security Command Center

En la siguiente tabla, se incluyen funciones de producto de alto nivel, casos de uso y vínculos a documentación relevante para ayudarte a encontrar rápidamente el contenido que necesitas.

Función Casos de uso Documentos relacionados
Identificación y revisión de recursos
  • Consulta en un solo lugar todos los recursos, servicios y datos de tu organización o proyecto, y de todas tus plataformas en la nube.
  • Evalúa las vulnerabilidades de los recursos compatibles y toma medidas para priorizar las correcciones de los problemas más graves.

Prácticas recomendadas de Security Command Center

Control de acceso

Cómo usar Security Command Center en la consola de Google Cloud

Identificación de datos sensibles
  • Descubre dónde se almacenan los datos sensibles y regulados con Sensitive Data Protection.
  • Evita exposiciones no deseadas y cerciórate de que solo se pueda acceder en el caso exclusivo de que sea necesario.
  • Designa automáticamente los recursos que contienen datos de sensibilidad media o alta como _recursos de alto valor.
Envía resultados de Protección de datos sensibles a Security Command Center
Integración de productos SIEM y SOAR de terceros
  • Exporta los datos de Security Command Center a sistemas externos de SIEM y SOAR con facilidad.

Exporta datos de Security Command Center

Exportaciones continuas

Detección de errores de configuración

Descripción general de Security Health Analytics

Descripción general de Web Security Scanner

Hallazgos de vulnerabilidades

Detección de vulnerabilidades de software
  • Detecta vulnerabilidades de software en cargas de trabajo en máquinas virtuales y contenedores en todos los proveedores de servicios en la nube.
  • Recibe alertas proactivas sobre vulnerabilidades y cambios nuevos en la superficie de ataque.
  • Descubre vulnerabilidades comunes, como secuencias de comandos entre sitios (XSS) o inyecciones Flash, que ponen en riesgo tus aplicaciones.
  • Con Security Command Center Premium, prioriza los resultados de vulnerabilidades con la información de CVE, incluidas las evaluaciones de capacidad de explotación y el impacto que proporciona Mandiant.

Panel de postura de seguridad de GKE

VM Manager

Descripción general de Web Security Scanner

Hallazgos de vulnerabilidades

Supervisión de identidades y control de acceso
  • Ayuda a garantizar que se apliquen las políticas de control de acceso adecuadas en tus recursos de Google Cloud y que se te notifique cuando las políticas estén mal configuradas o cambien de forma inesperada.
  • Usa parámetros de configuración de búsqueda para ver rápidamente los resultados de la identidad y los parámetros de configuración incorrectos de acceso, y los roles a los que se les otorgaron permisos excesivos.

Recomendador de IAM

Control de acceso

Parámetros de configuración incorrectos de identidad y acceso

Detección de amenazas
  • Detecta actividades y actores maliciosos en tu infraestructura, y recibe alertas de amenazas activas.
  • Detecta amenazas en otras plataformas de nube

Administra las amenazas

Descripción general de Event Threat Detection

Descripción general de la detección de amenazas a contenedores

Detección de errores
  • Recibe alertas de errores y configuraciones incorrectas que impidan que Security Command Center y sus servicios funcionen según lo previsto.
Descripción general de los errores de Security Command Center
Prioriza las correcciones
  • Usa las puntuaciones de exposición a ataques para priorizar la corrección de los hallazgos de vulnerabilidades y parámetros de configuración incorrectos.
  • Usa las puntuaciones de exposición a ataques en los recursos para proteger de forma proactiva los recursos más valiosos para tu empresa.
Descripción general de las puntuaciones de exposición a ataques y las rutas de ataque
Soluciona los riesgos
  • Implementa instrucciones de solución verificadas y recomendadas para proteger los elementos con rapidez.
  • Enfócate en los campos más importantes de los resultados para ayudar a los analistas de seguridad a tomar decisiones de evaluación fundamentadas con rapidez.
  • Enriquece y conecta vulnerabilidades y amenazas relacionadas para identificar y capturar TTP.
  • Resuelve errores y configuraciones incorrectas que evitan que Security Command Center y sus servicios funcionen según lo previsto.

Investigar las amenazas y responder ante ellas

Soluciona los problemas de las estadísticas de estado de seguridad

Solución de los resultados de Web Security Scanner

Automatización de la respuesta de seguridad

Soluciona los errores de Security Command Center

Administración de la postura
  • Asegúrate de que tus cargas de trabajo cumplan con los estándares de seguridad, las reglamentaciones de cumplimiento y los requisitos de seguridad personalizados de tu organización.
  • Aplica tus controles de seguridad a los proyectos, las carpetas o las organizaciones de Google Cloud antes de implementar cargas de trabajo.
  • Supervisa continuamente y resuelve cualquier desvío de tus controles de seguridad definidos.

Descripción general de la postura de seguridad

Administra una postura de seguridad

Entradas de herramientas de seguridad de terceros
  • Integra los resultados de tus herramientas de seguridad existentes, como Cloudflare, CrowdStrike, Prisma Cloud de Palo Alto Networks y Qualys, en Security Command Center. La integración de resultados puede ayudarte a detectar lo siguiente:

    • Ataques de DDoS
    • Extremos vulnerados
    • Incumplimientos de la política de cumplimiento
    • Ataques de red
    • Vulnerabilidades y amenazas de instancias

Configura Security Command Center

Crea y administra fuentes de seguridad

Notificaciones en tiempo real
  • Recibe alertas de Security Command Center a través de correo electrónico, SMS, Slack, WebEx y otros servicios con notificaciones de Pub/Sub.
  • Ajusta los filtros de resultados para excluir los resultados de las lista de entidades permitidas.

Configura la búsqueda de notificaciones

Habilita las notificaciones de chat y correo electrónico en tiempo real

Usa marcas de seguridad

Exporta datos de Security Command Center

Filtra notificaciones

Agrega recursos a las listas de entidades permitidas

API de REST y SDK de cliente
  • Usa la API de REST de Security Command Center o los SDK cliente para una integración sencilla en tus sistemas de seguridad y flujos de trabajo existentes.

Configura Security Command Center

Bibliotecas cliente de Security Command Center

API de Security Command Center

Controles de residencia de datos

Para cumplir con los requisitos de residencia de datos, cuando actives Security Command Center Standard o Premium por primera vez, puedes habilitar los controles de residencia de datos.

Si habilitas los controles de residencia de datos, se restringirá el almacenamiento y procesamiento de los resultados de Security Command Center, las reglas de silenciamiento, las exportaciones continuas y las exportaciones de BigQuery a una de las multiregiones de residencia de datos que admite Security Command Center.

Para obtener más información, consulta Planifica la residencia de los datos.

Niveles de servicio de Security Command Center

Security Command Center ofrece tres niveles de servicio: Estándar, Premium y Empresarial.

El nivel que selecciones determina las funciones y los servicios que están disponibles con Security Command Center.

Si tienes preguntas sobre los niveles de servicio de Security Command Center, comunícate con tu representante de cuenta o con Ventas de Google Cloud.

Para obtener información sobre los costos asociados con el uso de un nivel de Security Command Center, consulta Precios.

Nivel Estándar

El nivel Estándar incluye los siguientes servicios y funciones:

  • Security Health Analytics: En el nivel estándar, Security Health Analytics proporciona un análisis de evaluación de vulnerabilidades administrado para Google Cloud que puede detectar automáticamente las vulnerabilidades de mayor gravedad y los parámetros de configuración incorrectos de tus recursos de Google Cloud. En el nivel Standard, las Estadísticas del estado de la seguridad incluyen los siguientes tipos de resultados:

    • Dataproc image outdated
    • Legacy authorization enabled
    • MFA not enforced
    • Non org IAM member
    • Open ciscosecure websm port
    • Open directory services port
    • Open firewall
    • Open group IAM member
    • Open RDP port
    • Open SSH port
    • Open Telnet port
    • Public bucket ACL
    • Public Compute image
    • Public dataset
    • Public IP address
    • Public log bucket
    • Public SQL instance
    • SSL not enforced
    • Web UI enabled
  • Análisis personalizados de Web Security Scanner: En el nivel Standard, Web Security Scanner admite análisis personalizados de aplicaciones implementadas con URLs públicas y direcciones IP que no están detrás de un firewall. Los análisis se configuran, administran y ejecutan manualmente para todos los proyectos y admiten un subconjunto de categorías en el proyecto OWASP Top Ten.
  • Errores de Security Command Center: Security Command Center proporciona instrucciones de detección y solución para los errores de configuración que impiden que Security Command Center y sus servicios funcionen de forma correcta.
  • La función Exportaciones continuas, que administra automáticamente la exportación de resultados nuevos a Pub/Sub
  • Acceso a servicios integrados de Google Cloud, que incluyen lo siguiente:

    • Sensitive Data Protection descubre, clasifica y protege datos sensibles.
    • Google Cloud Armor protege las implementaciones de Google Cloud contra amenazas
    • La detección de anomalías identifica anomalías en la seguridad de los proyectos y las instancias de máquina virtual (VM), como posibles credenciales filtradas y minería de criptomonedas.
    • Policy Controller permite la aplicación de políticas programables para tus clústeres de Kubernetes.
  • Resultados del panel de postura de seguridad de GKE: Consulta los resultados sobre errores de configuración de seguridad de las cargas de trabajo de Kubernetes, boletines de seguridad prácticos y vulnerabilidades en el sistema operativo del contenedor o en los paquetes de lenguaje. La integración de los resultados del panel de postura de seguridad de GKE con Security Command Center está disponible en la versión preliminar.
  • Integración en BigQuery, que exporta los resultados a BigQuery para su análisis.
  • Servicio de acciones sensibles, que detecta cuándo se realizan acciones en la organización, las carpetas y los proyectos de Google Cloud que podrían ser perjudiciales para tu empresa si las realiza un agente malicioso.
  • Cuando Security Command Center se activa a nivel de la organización, puedes otorgar a los usuarios roles de IAM a nivel de organización, carpeta y proyecto.
  • Controles de residencia de datos que restringen el almacenamiento y el procesamiento de los resultados de Security Command Center, las reglas de silenciamiento, las exportaciones continuas y las exportaciones de BigQuery a una de las multiregiones de residencia de datos que admite Security Command Center.

    Para obtener más información, consulta Planifica la residencia de los datos.

Nivel Premium

El nivel Premium incluye todos los servicios y las funciones del nivel Estándar, así como los siguientes servicios y funciones adicionales:

  • Las simulaciones de rutas de ataque te ayudan a identificar y priorizar los hallazgos de vulnerabilidades y parámetros de configuración incorrectos, ya que identifican las rutas que un atacante potencial podría tomar para llegar a tus recursos de alto valor. Las simulaciones calculan y asignan puntuaciones de exposición a ataques a cualquier hallazgo que exponga esos recursos. Las rutas de ataque interactivas te ayudan a visualizar las posibles rutas de ataque y proporcionan información sobre las rutas, los hallazgos relacionados y los recursos afectados.
  • Los resultados de las vulnerabilidades incluyen las evaluaciones de CVE que proporciona Mandiant para ayudarte a priorizar su corrección.

    En la página Descripción general de la consola, la sección Principales resultados de CVE muestra los resultados de vulnerabilidades agrupados por su posibilidad de explotación y el posible impacto, según la evaluación de Mandiant. En la página Resultados, puedes consultar los resultados por ID de CVE.

    Para obtener más información, consulta Prioriza según el impacto y la capacidad de explotación de los CVE.

  • Event Threat Detection supervisa Cloud Logging y Google Workspace con inteligencia de amenazas, aprendizaje automático y otros métodos avanzados para detectar amenazas, como software malicioso, minería de criptomonedas y robo de datos. Para obtener una lista completa de los detectores integrados de Event Threat Detection, consulta las reglas de Event Threat Detection. También puedes crear detectores personalizados de Event Threat Detection. Para obtener información sobre las plantillas de módulos que puedes usar para crear reglas de detección personalizadas, consulta Descripción general de los módulos personalizados para Event Threat Detection.
  • La detección de amenazas a contenedores detecta los siguientes ataques al entorno de ejecución de los contenedores:
    • Se ejecutó el objeto binario añadido
    • Se cargó la biblioteca agregada
    • Ejecución: Se agregó el ejecutable binario malicioso
    • Ejecución: Se agregó la biblioteca maliciosa cargada
    • Ejecución: Se ejecutó un objeto binario malicioso integrado
    • Ejecución: Se ejecutó un objeto binario malicioso modificado
    • Ejecución: Se cargó una biblioteca maliciosa modificada
    • Secuencia de comandos maliciosa ejecutada
    • Shells inversas
    • Shell secundario inesperado
  • Las siguientes funciones de Policy Intelligence están disponibles:

    • Funciones avanzadas del recomendador de IAM, incluidas las siguientes:
      • Recomendaciones para roles no básicos
      • Recomendaciones para roles otorgados en recursos que no sean organizaciones, carpetas ni proyectos (por ejemplo, recomendaciones para roles otorgados en buckets de Cloud Storage)
      • Recomendaciones que sugieren roles personalizados
      • Estadísticas de políticas
      • Estadísticas de movimiento lateral
    • Analizador de políticas a gran escala (más de 20 consultas por organización por día). Este límite se comparte entre todas las herramientas de Policy Analyzer.
    • Visualizaciones para el análisis de las políticas de la organización.
  • Puedes consultar recursos en Cloud Asset Inventory.
  • Virtual Machine Threat Detection detecta aplicaciones potencialmente maliciosas que se ejecutan en instancias de VM.
  • Security Health Analytics en el nivel Premium incluye las siguientes funciones:

    • Análisis de vulnerabilidades administrados para todos los detectores de Security Health Analytics
    • Supervisión de muchas prácticas recomendadas de la industria
    • Supervisión del cumplimiento Los detectores de Security Health Analytics se asignan a los controles de las comparativas de seguridad comunes.
    • Compatibilidad con módulos personalizados, que puedes usar para crear tus propios detectores personalizados de Security Health Analytics

    En el nivel Premium, Security Health Analytics admite los estándares que se describen en Administra el cumplimiento de los estándares de la industria.

  • Web Security Scanner en el nivel Premium incluye todas las funciones del nivel Estándar y los detectores adicionales que admiten categorías en los OWASP Top Ten. Web Security Scanner también agrega análisis administrados que se configuran automáticamente.
  • Supervisión de cumplimiento en todos tus recursos de Google Cloud

    Para medir el cumplimiento de los estándares y comparativas de seguridad comunes, los detectores de los escáneres de vulnerabilidades de Security Command Center se asignan a controles de estándares de seguridad comunes.

    Puedes ver el cumplimiento de los estándares, identificar los controles que no cumplen con los requisitos, exportar informes y mucho más. Para obtener más información, consulta Cómo evaluar y generar informes sobre el cumplimiento de los estándares de seguridad.

  • Puedes solicitar una cuota adicional de Cloud Asset Inventory si surge la necesidad de una supervisión de recursos extendida.
  • El servicio de postura de seguridad te permite definir, evaluar y supervisar el estado general de tu seguridad en Google Cloud. Para usar el servicio de estado de seguridad, debes activar el nivel Premium de Security Command Center a nivel de la organización.
  • La validación de IaC te permite validar tu infraestructura como código (IaC) en función de las políticas de la organización y los detectores de Security Health Analytics que definiste en tu organización de Google Cloud. Para usar la validación de IaC, debes activar el nivel Premium de Security Command Center a nivel de la organización.
  • Informes de vulnerabilidades de VM Manager
    • Si habilitas VM Manager, el servicio escribe automáticamente los resultados de sus informes de vulnerabilidades, que se encuentran en versión preliminar, en Security Command Center. Los informes identifican vulnerabilidades en los sistemas operativos instalados en las máquinas virtuales de Compute Engine. Para obtener más información, consulta VM Manager.

Nivel empresarial

El nivel empresarial es una plataforma de protección de aplicaciones nativa de la nube (CNAPP) completa que permite a los analistas de SOC, los analistas de vulnerabilidades y otros profesionales de seguridad en la nube administrar la seguridad en varios proveedores de servicios en la nube en un lugar centralizado.

El nivel empresarial ofrece capacidades de detección e investigación, asistencia para la administración de casos y administración de la postura, incluida la capacidad de definir e implementar reglas de postura personalizadas, y cuantificar y visualizar el riesgo que las vulnerabilidades y los parámetros de configuración incorrectos representan para tu entorno de nube.

El nivel Enterprise incluye todos los servicios y las funciones de los niveles Standard y Premium, así como los siguientes servicios y funciones adicionales:

Resumen de las funciones y los servicios del nivel empresarial

El nivel Enterprise incluye todos los servicios y las funciones del nivel Standard y Premium que se lanzan a disponibilidad general.

El nivel Enterprise agrega los siguientes servicios y funciones a Security Command Center:

  • Detección de combinaciones tóxicas, potenciada por el motor de riesgos de Security Command Center Para obtener más información, consulta Descripción general de las combinaciones tóxicas.
  • Compatibilidad con varias nubes Puedes conectar Security Command Center a otros proveedores de servicios en la nube, como AWS, para detectar amenazas, vulnerabilidades y parámetros de configuración incorrectos. Además, después de especificar tus recursos de alto valor en el otro proveedor, también puedes evaluar su exposición a ataques con las puntuaciones de exposición a ataques y las rutas de ataque.
  • Funciones de SIEM (administración de información y eventos de seguridad) para entornos de nube Analiza registros y otros datos en busca de amenazas en varios entorno de nube, define reglas de detección de amenazas y busca los datos acumulados. Para obtener más información, consulta la documentación de SIEM de Google SecOps.
  • Funciones de SOAR (organización, automatización y respuesta de seguridad) para entornos de nube Administrar casos, definir flujos de trabajo de respuesta y buscar los datos de respuesta Para obtener más información, consulta la documentación de SOAR de Google SecOps.
  • Funciones de CIEM (Administración de derechos de la infraestructura de nube) para entornos de nube Identifica las cuentas principales (identidades) que tienen parámetros de configuración incorrectos o a las que se les otorgaron permisos (acceso) de IAM excesivos o sensibles a tus recursos en la nube. Para obtener más información, consulta Descripción general de la Administración de derechos de la infraestructura de nube.
  • Detección expandida de vulnerabilidades de software en VMs y contenedores en tus entornos de nube con los siguientes servicios integrados y precompilados de Google Cloud:
    • Edición Enterprise de Google Kubernetes Engine (GKE)
    • Evaluación de vulnerabilidades para AWS
    • VM Manager

Funciones de nivel empresarial con tecnología de Google Security Operations

La función de administración de casos, las funciones de las guías y otras funciones de SIEM y SOAR del nivel Enterprise de Security Command Center cuentan con la tecnología de Google Security Operations. Cuando uses algunas de estas funciones, es posible que veas el nombre de Google SecOps en la interfaz web y que se te dirija a la documentación de Google SecOps para obtener orientación.

Algunas funciones de SecOps de Google no son compatibles o están limitadas con Security Command Center, pero es posible que su uso no esté inhabilitado o limitado en las suscripciones iniciales al nivel empresarial. Usa las siguientes funciones y atributos solo de acuerdo con sus limitaciones establecidas:

  • La transferencia de registros de la nube se limita a los registros que son relevantes para la detección de amenazas en la nube, como los siguientes:

    • Google Cloud

      • Registros de actividad del administrador de los Registros de auditoría de Cloud
      • Registros de acceso a los datos de los Registros de auditoría de Cloud
      • Syslog de Compute Engine
      • Registro de auditoría de GKE
    • Google Workspace

      • Eventos de Google Workspace
      • Alertas de Google Workspace
    • AWS

      • Registros de auditoría de CloudTrail
      • Syslog
      • Registros de Auth
      • Eventos de GuardDuty
  • Las detecciones seleccionadas se limitan a aquellas que detectan amenazas en entornos de nube.

  • Las integraciones de Google Cloud Marketplace se limitan a lo siguiente:

    • Siemplify
    • Herramientas
    • VirusTotal V3
    • Google Cloud Asset Inventory
    • Security Command Center de Google
    • Jira
    • Funciones
    • IAM de Google Cloud
    • Correo electrónico V2
    • Procesamiento de Google Cloud
    • Google Chronicle
    • MITRE ATT&CK
    • Mandiant Threat Intelligence
    • Google Cloud Policy Intelligence
    • Google Cloud Recommender
    • Utilidades de Siemplify
    • ServiceNow
    • CSV
    • SCC Enterprise
    • IAM de AWS
    • AWS EC2
  • La cantidad de reglas de evento único personalizadas está limitada a 20.

  • El análisis de riesgos para la UEBA (análisis de comportamiento de usuarios y entidades) no está disponible.

  • La información sobre amenazas aplicada no está disponible.

  • La compatibilidad de Gemini con Google SecOps se limita a la búsqueda en lenguaje natural y a los resúmenes de investigación de casos.

  • La retención de datos se limita a tres meses.

Niveles de activación de Security Command Center

Puedes activar Security Command Center en un proyecto individual, lo que se conoce como activación a nivel del proyecto, o en una organización completa, lo que se conoce como activación a nivel de la organización.

El nivel Enterprise requiere una activación a nivel de la organización.

Para obtener más información sobre cómo activar Security Command Center, consulta Descripción general de la activación de Security Command Center.

¿Qué sigue?