Présentation de Security Command Center

Cette page présente Security Command Center, une solution de gestion des risques qui, avec le niveau Enterprise, combine la sécurité dans le cloud et les opérations de sécurité d'entreprise. Elle fournit des informations issues de l'expertise de Mandiant et de l'intelligence artificielle de Gemini.

Security Command Center permet aux analystes SOC (Security Operations Centers), aux analystes des failles et des stratégies, aux responsables de la conformité et à d'autres professionnels de la sécurité d'évaluer, d'examiner et de résoudre rapidement les problèmes de sécurité dans plusieurs environnements cloud.

Chaque déploiement cloud présente des risques qui lui sont propres. Security Command Center peut vous aider à comprendre et à évaluer la surface d'attaque de vos projets ou de votre organisation sur Google Cloud, ainsi que la surface d'attaque de vos autres environnements cloud. Correctement configuré pour protéger vos ressources, Security Command Center peut vous aider à comprendre les failles et menaces détectées dans vos environnements cloud, et à hiérarchiser leurs corrections.

Security Command Center s'intègre à de nombreux services Google Cloud pour détecter les problèmes de sécurité dans plusieurs environnements cloud. Ces services détectent les problèmes de différentes manières, par exemple en analysant les métadonnées de ressources, les journaux cloud, les conteneurs et les machines virtuelles.

Certains de ces services intégrés, tels que Google Security Operations et Mandiant, fournissent également des fonctionnalités et des informations essentielles pour hiérarchiser et gérer vos enquêtes et la réponse aux problèmes détectés.

Gérer les menaces

Pour les niveaux Premium et Enterprise, Security Command Center utilise des services Google Cloud intégrés et intégrés pour détecter les menaces. Ces services analysent vos journaux, conteneurs et machines virtuelles Google Cloud à la recherche d'indicateurs de menace.

Lorsque ces services, tels qu'Event Threat Detection ou Container Threat Detection, détectent un indicateur de menace, ils émettent un résultat. Un résultat est un rapport ou un enregistrement d'une menace individuelle ou d'un autre problème détecté par un service dans votre environnement cloud. Les services qui émettent des résultats sont également appelés sources de recherche.

Dans Security Command Center Enterprise, les résultats déclenchent des alertes qui, selon la gravité du résultat, peuvent générer une demande. Vous pouvez utiliser une demande avec un système de suivi des demandes pour affecter les propriétaires à l'enquête et à la réponse à une ou plusieurs alertes liées à cette demande. La génération d'alertes et de cas dans Security Command Center est assurée par Google SecOps.

Security Command Center Enterprise peut également détecter les menaces dans vos déploiements sur d'autres plates-formes cloud. Pour détecter les menaces dans les déploiements sur d'autres plates-formes cloud, Security Command Center ingère les journaux de l'autre plate-forme cloud, une fois la connexion établie. L'ingestion de journaux d'autres plates-formes cloud est assurée par Google SecOps.

Pour en savoir plus, consultez les pages suivantes :

Fonctionnalités de détection et de réponse aux menaces

Avec Security Command Center, les analystes SOC peuvent atteindre les objectifs de sécurité suivants:

  • Détectez les événements dans vos environnements cloud qui indiquent une menace potentielle et triez les résultats ou les alertes associés.
  • Attribuez des propriétaires, et suivez l'avancement des enquêtes et des réponses à l'aide d'un workflow intégré de gestion des demandes. Vous pouvez éventuellement intégrer vos systèmes de billetterie préférés, tels que Jira ou ServiceNow.
  • Étudiez les alertes de menaces grâce à de puissantes fonctionnalités de recherche et d'analyse croisée.
  • Définissez des workflows de réponse et automatisez des actions pour faire face aux attaques potentielles dans vos environnements cloud. Pour en savoir plus sur la définition de workflows de réponse et d'actions automatisées à l'aide de playbooks fournis par Google SecOps, consultez la page Utiliser des playbooks.
  • Ignorer ou exclure des résultats ou des alertes qui sont de faux positifs
  • Concentrez-vous sur les menaces liées aux identités et aux autorisations d'accès compromises.
  • Utilisez Security Command Center pour détecter, analyser et gérer les menaces potentielles dans vos autres environnements cloud, comme AWS.

Gérer les failles

Security Command Center fournit une détection complète des failles en analysant automatiquement les ressources de votre environnement pour détecter les failles logicielles, les erreurs de configuration et d'autres types de problèmes de sécurité susceptibles de vous exposer à des attaques. Ces types de problèmes sont collectivement appelés failles.

Security Command Center utilise des services Google Cloud intégrés et intégrés pour détecter les problèmes de sécurité. Les services qui émettent des résultats sont également appelés sources de recherche. Lorsqu'un service détecte un problème, il émet un résultat pour enregistrer le problème.

Par défaut, les demandes sont ouvertes automatiquement en cas de détection de failles de gravité élevée ou critique afin de vous aider à hiérarchiser leur résolution. Vous pouvez affecter des propriétaires et suivre l'avancement des efforts de correction à l'aide d'une demande.

Pour en savoir plus, consultez les ressources suivantes :

Failles logicielles

Pour vous aider à identifier, comprendre et hiérarchiser les failles logicielles, Security Command Center peut détecter les failles des machines virtuelles (VM) et des conteneurs de vos environnements cloud. Pour chaque faille détectée, Security Command Center fournit des informations détaillées dans un enregistrement ou un résultat. Les informations fournies avec un résultat peuvent inclure:

  • Détails de la ressource concernée
  • Des informations sur tous les enregistrements CVE associés, y compris une évaluation par Mandiant de l’impact et de l’exploitabilité de
  • Un score d'exposition au piratage pour vous aider à prioriser les mesures correctives
  • Représentation visuelle du chemin qu'un pirate informatique peut emprunter pour accéder aux ressources de forte valeur exposées par la faille

Les failles logicielles sont détectées par les services suivants:

Erreurs de configuration

Security Command Center met en correspondance les détecteurs des services qui analysent les erreurs de configuration avec les contrôles des normes de conformité courantes du secteur. En plus de vous indiquer les normes de conformité non respectées par une erreur de configuration, le mappage vous permet de mesurer votre conformité vis-à-vis des différentes normes, que vous pouvez ensuite exporter sous forme de rapport.

Pour en savoir plus, consultez Évaluer et signaler la conformité.

Non-respect de la stratégie

Les niveaux Premium et Enterprise de Security Command Center incluent le service de stratégie de sécurité, qui génère des résultats lorsque vos ressources cloud ne respectent pas les stratégies définies dans les stratégies de sécurité que vous avez déployées dans votre environnement cloud.

Pour en savoir plus, consultez la section Service de stratégie de sécurité.

Valider l'Infrastructure as Code

Vous pouvez vérifier que vos fichiers IaC (Infrastructure as Code) sont conformes aux règles d'administration et aux détecteurs Security Health Analytics que vous définissez dans votre organisation Google Cloud. Cette fonctionnalité vous permet de vous assurer que vous ne déployez pas de ressources qui ne respecteraient pas les normes de votre organisation. Après avoir défini vos règles d'administration et, si nécessaire, activé le service Security Health Analytics, vous pouvez utiliser la Google Cloud CLI pour valider votre fichier de plan Terraform, ou intégrer le processus de validation à votre workflow de développement Jenkins ou GitHub Actions. Pour en savoir plus, consultez Valider votre IaC par rapport aux règles de votre organisation.

Détectez les failles et les erreurs de configuration sur d'autres plates-formes cloud

Security Command Center Enterprise peut détecter les failles dans plusieurs environnements cloud. Pour détecter les failles dans d'autres fournisseurs de services cloud, vous devez d'abord établir une connexion avec le fournisseur pour ingérer les métadonnées de ressources.

Pour en savoir plus, consultez Se connecter à AWS pour détecter les failles et évaluer les risques.

Fonctionnalités de gestion des failles et des stratégies

Avec Security Command Center, les analystes de failles, les administrateurs de stratégies et les professionnels de la sécurité similaires peuvent atteindre les objectifs de sécurité suivants:

  • Détectez différents types de failles, y compris les failles logicielles, les erreurs de configuration et les violations de stratégie, qui peuvent exposer vos environnements cloud à des attaques potentielles.
  • Axez vos efforts de réponse et de remédiation sur les problèmes les plus à risque en utilisant les scores d'exposition aux attaques sur les résultats et les alertes de failles.
  • Attribuez des propriétaires et suivez la progression des corrections des failles à l'aide de demandes et en intégrant vos systèmes de suivi des demandes préférés, tels que Jira ou ServiceNow.
  • Sécurisez proactivement les ressources de forte valeur dans vos environnements cloud en diminuant leur niveau d'exposition aux attaques.
  • Définissez des stratégies de sécurité personnalisées pour vos environnements cloud que Security Command Center utilise pour évaluer votre stratégie et vous alerter en cas de non-respect.
  • Ignorer ou exclure des résultats ou des alertes qui sont de faux positifs
  • Concentrez-vous sur les failles liées aux identités et aux autorisations excessives.
  • Détectez et gérez les failles et les évaluations des risques dans Security Command Center pour vos autres environnements cloud, tels qu'AWS.

Évaluez les risques à l'aide des scores d'exposition aux attaques et des chemins d'attaque

Lorsque vous activez les niveaux Premium et Enterprise au niveau de l'organisation, Security Command Center fournit des scores d'exposition aux attaques pour les ressources de forte valeur, ainsi que les résultats de failles et de configuration qui affectent ces ressources.

Vous pouvez utiliser ces scores pour prioriser la correction des failles et des erreurs de configuration, prioriser la sécurité de vos ressources de forte valeur les plus exposées et évaluer généralement le degré d'exposition de vos environnements cloud aux attaques.

Dans le volet Failles actives de la page Vue d'ensemble des risques de la console Google Cloud, l'onglet Résultats par score d'exposition au piratage affiche les résultats présentant les scores d'exposition aux attaques les plus élevés dans votre environnement, ainsi que la répartition de ces scores.

Pour en savoir plus, consultez la section Scores d'exposition au piratage et chemins d'attaque.

Gérer les résultats et les alertes à l'aide de cas

Security Command Center Enterprise crée des demandes pour vous aider à gérer les résultats et les alertes, à affecter des propriétaires, et à gérer les enquêtes et les réponses aux problèmes de sécurité détectés. Les demandes sont ouvertes automatiquement pour les problèmes de gravité élevée ou critique.

Vous pouvez intégrer des demandes à votre système de billetterie préféré, tel que Jira ou ServiceNow. Lorsque les demandes sont mises à jour, toutes les demandes ouvertes peuvent être mises à jour automatiquement. De même, si une demande est mise à jour, la demande correspondante peut également être mise à jour.

La fonctionnalité de la demande est fournie par Google SecOps.

Pour en savoir plus, consultez la section Présentation des demandes dans la documentation Google SecOps.

Définissez des workflows de réponse et des actions automatisées

Définissez des workflows de réponse et automatisez des actions pour examiner et résoudre les problèmes de sécurité détectés dans vos environnements cloud.

Pour en savoir plus sur la définition de workflows de réponse et d'actions automatisées à l'aide de playbooks fournis par Google SecOps, consultez la page Utiliser des playbooks.

Compatibilité multicloud: sécuriser vos déploiements sur d'autres plates-formes cloud

Vous pouvez étendre les services et fonctionnalités de Security Command Center de manière à couvrir vos déploiements sur d'autres plates-formes cloud. Vous pouvez ainsi gérer de manière centralisée toutes les menaces et les failles détectées dans tous vos environnements cloud.

Pour en savoir plus sur la connexion de Security Command Center à un autre fournisseur de services cloud, consultez les pages suivantes:

Fournisseurs de services cloud acceptés

Security Command Center peut se connecter à Amazon Web Services (AWS).

Définir et gérer des stratégies de sécurité

En activant les niveaux Premium et Enterprise de Security Command Center au niveau de l'organisation, vous pouvez créer et gérer des stratégies de sécurité qui définissent l'état requis de vos éléments cloud, y compris votre réseau cloud et vos services cloud, pour une sécurité optimale dans votre environnement cloud. Vous pouvez personnaliser les stratégies de sécurité pour répondre aux besoins de sécurité et réglementaires de votre entreprise. En définissant une stratégie de sécurité, vous pouvez réduire les risques de cybersécurité pour votre organisation et prévenir les attaques.

Le service de stratégie de sécurité de Security Command Center vous permet de définir et de déployer une stratégie de sécurité, et de détecter toute dérive ou toute modification non autorisée par rapport à la stratégie que vous avez définie.

Le service de stratégie de sécurité est automatiquement activé lorsque vous activez Security Command Center au niveau de l'organisation.

Pour en savoir plus, consultez Présentation de la stratégie de sécurité.

Identifier vos éléments

Security Command Center inclut des informations sur les éléments de l'inventaire des éléments cloud, qui surveille en permanence les éléments dans votre environnement cloud. Pour la plupart des éléments, les modifications de configuration, y compris les stratégies IAM et les règles d'administration, sont détectées quasiment en temps réel.

Sur la page Éléments de la console Google Cloud, vous pouvez rapidement appliquer, modifier et exécuter des exemples de requêtes sur des éléments, ajouter une contrainte de temps prédéfinie ou écrire vos propres requêtes sur un élément.

Si vous disposez du niveau Premium ou Enterprise de Security Command Center, vous pouvez voir quelles ressources sont désignées comme ressources de forte valeur pour l'évaluation des risques par des simulations de chemin d'attaque.

Vous pouvez identifier rapidement les changements dans votre organisation ou votre projet, et répondre à des questions telles que:

  • Combien de projets avez-vous et quand ont-ils été créés ?
  • Quelles sont vos ressources Google Cloud déployées ou utilisées (VM Compute Engine, buckets Cloud Storage ou instances App Engine, par exemple) ?
  • Quel est votre historique de déploiement ?
  • Comment organiser, annoter, rechercher, sélectionner, filtrer et trier dans les catégories suivantes :
    • Éléments et propriétés des éléments
    • Marques de sécurité, qui vous permettent d'annoter des éléments ou des résultats dans Security Command Center
    • Période

L'inventaire des éléments cloud connaît toujours l'état actuel des éléments compatibles et, dans la console Google Cloud, vous permet de consulter l'historique des analyses de découverte pour comparer les éléments entre différents moments dans le temps. Vous pouvez également rechercher les éléments sous-utilisés, telles que les machines virtuelles ou les adresses IP inactives.

Fonctionnalités Gemini dans Security Command Center

Security Command Center intègre Gemini pour fournir des résumés des résultats et des chemins d'attaque, et vous aider dans vos recherches et vos investigations sur les menaces et les failles détectées.

Pour en savoir plus sur Gemini, consultez la page Présentation de Gemini.

Résumés des résultats et des vecteurs d'attaque de Gemini

Si vous utilisez Security Command Center Enterprise ou Premium, Gemini fournit des explications générées dynamiquement pour chaque résultat et chaque chemin d'attaque simulé généré par Security Command Center pour les résultats des classes Vulnerability et Misconfiguration.

Les résumés sont rédigés en langage naturel pour vous aider à comprendre rapidement les résultats et les chemins d'attaque qui pourraient les accompagner, et à prendre des mesures en conséquence.

Les résumés s'affichent aux endroits suivants dans la console Google Cloud:

  • Lorsque vous cliquez sur le nom d'un résultat, le résumé s'affiche en haut de la page des détails du résultat.
  • Avec les niveaux Premium et Enterprise de Security Command Center, si un résultat présente un score d'exposition aux attaques, vous pouvez afficher le résumé à droite du chemin d'attaque en cliquant sur le score d'exposition au piratage, puis sur Résumé de l'IA.

Autorisations IAM requises pour les résumés générés par IA

Pour afficher les résumés de l'IA, vous devez disposer des autorisations IAM requises.

Pour les résultats, vous devez disposer de l'autorisation IAM securitycenter.findingexplanations.get. Le rôle IAM prédéfini le moins permissif qui contient cette autorisation est le rôle Lecteur de résultats du centre de sécurité (roles/securitycenter.findingsViewer).

Pour les chemins d'attaque, vous devez disposer de l'autorisation IAM securitycenter.exposurepathexplan.get. Le rôle IAM prédéfini le moins permissif qui contient cette autorisation est le rôle Lecteur des chemins d'exposition du centre de sécurité (roles/securitycenter.exposurePathsViewer).

Dans la version preview, ces autorisations ne peuvent pas être ajoutées à des rôles IAM personnalisés dans la console Google Cloud.

Pour ajouter l'autorisation à un rôle personnalisé, vous pouvez utiliser la Google Cloud CLI.

Pour en savoir plus sur l'utilisation de la Google Cloud CLI pour ajouter des autorisations à un rôle personnalisé, consultez la page Créer et gérer des rôles personnalisés.

Recherche en langage naturel pour les investigations de menaces

Vous pouvez générer des recherches de résultats de menaces, d'alertes et d'autres informations à l'aide de requêtes en langage naturel et de Gemini. L'intégration à Gemini pour les recherches en langage naturel est assurée par Google SecOps. Pour en savoir plus, consultez Utiliser le langage naturel pour générer des requêtes de recherche UDM dans la documentation Google SecOps.

Widget d'investigation IA pour les cas

Pour vous aider à comprendre et à examiner les cas pour les résultats et les alertes, Gemini fournit un résumé de chaque cas et suggère les prochaines étapes à suivre pour examiner le cas. Le résumé et les étapes suivantes apparaissent dans le widget Investigation AI lorsque vous consultez une demande.

Cette intégration avec Gemini est fournie par Google SecOps.

Informations exploitables sur la sécurité

Les services Google Cloud intégrés et intégrés à Security Command Center surveillent en permanence vos ressources et vos journaux afin de détecter les indicateurs de compromission et les modifications de configuration qui correspondent aux menaces, aux failles et aux erreurs de configuration connues. Pour fournir du contexte sur les incidents, les résultats sont enrichis avec des informations provenant des sources suivantes :

  • Avec les niveaux Enterprise et Premium :
    • Des résumés générés par IA qui vous aident à comprendre les résultats de Security Command Center et à prendre des mesures en conséquence, ainsi que les chemins d'attaque associés. Pour en savoir plus, consultez Résumés générés par IA.
    • Les résultats des failles incluent des informations provenant des entrées CVE correspondantes, y compris le score CVE, ainsi que des évaluations de Mandiant sur l'impact potentiel de la vulnérabilité et son potentiel d'exploitation.
    • Les puissantes fonctionnalités de recherche SIEM et SOAR, optimisées par Google SecOps, vous permettent d'examiner les menaces et les failles, et de basculer entre les entités associées dans un calendrier unifié.
  • VirusTotal, un service appartenant à Alphabet qui fournit du contexte sur les fichiers, URL, domaines et adresses IP potentiellement malveillants.
  • Le framework MITRE ATT&CK, qui explique les techniques d'attaque contre les ressources cloud et fournit des conseils de remédiation.
  • Cloud Audit Logs (journaux des activités d'administration et journaux des accès aux données).

Des notifications en quasi-temps réel pour les nouveaux résultats permettent à vos équipes de sécurité de recueillir des données, d'identifier les menaces et d'appliquer les recommandations avant tout impact négatif sur l'activité commerciale.

Grâce à une vue centralisée de votre stratégie de sécurité et à une API robuste, vous pouvez rapidement effectuer les opérations suivantes:

  • Répondre à des questions telles que les suivantes :
    • Quelles sont les adresses IP statiques ouvertes au public ?
    • Quelles sont les images en cours d'exécution sur vos VM ?
    • Existe-t-il des preuves que vos VM sont utilisées pour le minage de cryptomonnaies ou d'autres opérations abusives ?
    • Quels comptes de service ont été ajoutés ou supprimés ?
    • Comment les pare-feu sont-ils configurés ?
    • Quels buckets de stockage contiennent des informations personnelles ou des données sensibles ? Cette fonctionnalité nécessite une intégration à Sensitive Data Protection.
    • Quelles applications cloud sont vulnérables aux failles de script intersites (XSS) ?
    • Certains de vos buckets Cloud Storage sont-ils ouverts à Internet ?
  • Prendre les mesures nécessaires pour protéger vos ressources :
    • Mettre en œuvre des mesures correctives validées pour les erreurs de configuration des éléments et les cas de non-conformité.
    • Combiner la détection des menaces de Google Cloud et celle de fournisseurs tiers tels que Palo Alto Networks pour mieux protéger votre entreprise des menaces potentiellement coûteuses ciblant la couche de calcul.
    • Vérifier que des stratégies IAM appropriées sont en place et recevoir des alertes lorsque ces stratégies sont mal configurées ou modifiées de manière inattendue.
    • Intégrez les résultats provenant de vos propres sources ou de sources tierces pour les ressources Google Cloud, ou d'autres ressources hybrides ou multicloud. Pour en savoir plus, consultez Ajouter un service de sécurité tiers.
    • Réagissez aux menaces dans votre environnement Google Workspace et aux modifications potentiellement dangereuses de vos groupes Google.

Erreurs de configuration concernant l'identité et les accès

Security Command Center vous permet d'identifier et de résoudre plus facilement les problèmes d'identité et d'accès sur Google Cloud. Les résultats des erreurs de configuration identifient les comptes principaux (identities) mal configurés ou qui disposent d'autorisations IAM excessives ou sensibles (identities) aux ressources Google Cloud.

Gestion des droits d'accès à l'infrastructure cloud

La gestion des problèmes de sécurité liés à l'identité et aux accès est parfois appelée gestion des droits d'accès à l'infrastructure cloud (CIEM). Security Command Center offre des fonctionnalités CIEM qui permettent de fournir une vue complète de la sécurité de la configuration de l'identité et des accès de votre organisation. Security Command Center offre ces fonctionnalités pour plusieurs plates-formes cloud, y compris Google Cloud et Amazon Web Services (AWS). La CIEM vous permet d'identifier les comptes principaux qui disposent d'autorisations excessives dans vos environnements cloud. En plus de Google Cloud IAM, le CIEM permet d'examiner les autorisations dont disposent les comptes principaux d'autres fournisseurs d'identité (tels qu'Entra ID (Azure AD) et Okta) sur vos ressources Google Cloud. Vous pouvez consulter les résultats les plus graves en matière d'identité et d'accès provenant de plusieurs fournisseurs cloud dans le volet Résultats concernant l'identité et les accès de la page Présentation de Security Command Center dans la console Google Cloud.

Pour en savoir plus sur les fonctionnalités CIEM de Security Command Center, consultez la page Présentation de la gestion des droits d'accès à l'infrastructure cloud.

Préréglages de requêtes d'identité et d'accès

Sur la page Vulnérabilité de la console Google Cloud, vous pouvez sélectionner des préréglages de requêtes (requêtes prédéfinies) qui affichent les détecteurs de failles ou les catégories liées à l'identité et à l'accès. Le nombre de résultats actifs s'affiche pour chaque catégorie.

Pour en savoir plus sur les préréglages de requête, consultez Appliquer des préréglages de requête.

Gérer la conformité avec les normes du secteur

Security Command Center surveille votre conformité avec des détecteurs associés aux contrôles d'un large éventail de normes de sécurité.

Pour chaque norme de sécurité compatible, Security Command Center vérifie un sous-ensemble de commandes. Pour les contrôles cochés, Security Command Center indique le nombre de contrôles réussis. Pour les contrôles non réussis, Security Command Center affiche une liste de résultats décrivant les échecs de contrôle.

Le CIS examine et certifie les mappages des détecteurs Security Command Center avec chaque version compatible du benchmark CIS Google Cloud Foundations. Des mappages de conformité supplémentaires sont inclus à titre de référence uniquement.

Security Command Center prend régulièrement en charge de nouvelles versions et normes d'analyse comparative. Les anciennes versions restent compatibles, mais finissent par devenir obsolètes. Nous vous recommandons d'utiliser l'analyse comparative ou la norme compatible la plus récente.

Le service de stratégie de sécurité vous permet de mapper les règles d'administration et les détecteurs Security Health Analytics aux normes et contrôles qui s'appliquent à votre entreprise. Une fois que vous avez créé une stratégie de sécurité, vous pouvez surveiller toute modification de l'environnement susceptible d'affecter la conformité de votre entreprise.

Pour en savoir plus sur la gestion de la conformité, consultez la page Évaluer et signaler la conformité avec les normes de sécurité.

Normes de sécurité compatibles avec Google Cloud

Security Command Center met en correspondance les détecteurs pour Google Cloud avec une ou plusieurs des normes de conformité suivantes:

Normes de sécurité compatibles avec AWS

Security Command Center met en correspondance les détecteurs pour Amazon Web Services (AWS) avec une ou plusieurs des normes de conformité suivantes:

Une plate-forme flexible répondant à tous vos besoins en matière de sécurité

Security Command Center comprend des options de personnalisation et d'intégration qui vous permettent d'améliorer l'utilité du service pour répondre à l'évolution de vos besoins de sécurité.

Options de personnalisation

Les options de personnalisation sont les suivantes:

Options d'intégration

Les options d'intégration sont les suivantes:

Quand utiliser Security Command Center

Le tableau suivant présente les caractéristiques générales des produits et inclut des cas d'utilisation ainsi que des liens vers la documentation pertinente pour vous aider à trouver rapidement le contenu dont vous avez besoin.

Sélection Cas d'utilisation Documents associés
Identification et examen des assets
  • Affichez au même endroit l'ensemble des éléments, services et données de votre organisation ou de votre projet, ainsi que l'ensemble de vos plates-formes cloud.
  • Évaluez les failles des éléments compatibles et prenez les mesures nécessaires pour hiérarchiser les correctifs des problèmes les plus graves.
 Bonnes pratiques concernant Security Command Center

Contrôle des accès

Utiliser Security Command Center dans la console Google Cloud
Identification des données sensibles
  • Découvrez où sont stockées les données sensibles et réglementées avec la protection des données sensibles.
  • Évitez d'exposer involontairement des données et garantissez que seules les personnes autorisées peuvent y accéder.
  • Désignez automatiquement les ressources contenant des données de sensibilité moyenne ou à sensibilité élevée en tant que ressources _high-value.
 Envoyer les résultats de la protection des données sensibles à Security Command Center
Intégration de produits SIEM et SOAR tiers
  • Exportez facilement les données Security Command Center vers des systèmes SIEM et SOAR externes.
 Exporter des données Security Command Center

Exportations continues
Détection des erreurs de configuration Présentation de Security Health Analytics

Présentation de Web Security Scanner

Présentation de la détection rapide des failles

Résultats des failles

Détection des failles logicielles
  • Détectez les failles logicielles dans les charges de travail des machines virtuelles et des conteneurs des fournisseurs de services cloud.
  • Soyez prévenu de manière proactive en cas de nouvelles failles et de changements sur votre surface d'attaque.
  • Décelez les failles courantes, telles que les scripts intersites (XSS) et les injections Flash qui font courir des risques à vos applications.
  • Avec Security Command Center Premium, hiérarchisez les détections de failles à l'aide des informations CVE,y compris les évaluations de l'exploitabilité et de l'impact fournies par Mandiant.

Tableau de bord de stratégie de sécurité GKE

VM Manager

Présentation de Web Security Scanner

Résultats des failles

Surveillance du contrôle des identités et des accès
  • Assurez-vous que les stratégies de contrôle des accès appropriées sont en place sur vos ressources Google Cloud et recevez des alertes lorsque ces règles sont mal configurées ou changent de manière inattendue.
  • Utilisez les préréglages de requête pour afficher rapidement les résultats d'erreurs de configuration concernant l'identité et les accès, et les rôles disposant d'autorisations excessives.
 Outil de recommandation IAM

Contrôle des accès

Erreurs de configuration de l'identité et des accès

Détection des menaces
  • Détectez les activités et les acteurs malveillants dans votre infrastructure, et recevez des alertes pour les menaces actives.
  • Détectez les menaces sur d'autres plates-formes cloud
 Gérer les menaces

Présentation d'Event Threat Detection

Présentation de Container Threat Detection
Détection d'erreurs
  • Soyez averti en cas d'erreurs et d'erreurs de configuration qui empêchent Security Command Center et ses services de fonctionner comme prévu.
 Présentation des erreurs de Security Command Center
Hiérarchiser les corrections
  • Utilisez les scores d'exposition aux attaques pour hiérarchiser la correction des failles et des erreurs de configuration.
  • Utilisez les scores d'exposition aux attaques sur les ressources afin de sécuriser de manière proactive les ressources les plus intéressantes pour votre entreprise.
 Présentation des scores d'exposition aux attaques et des chemins d'attaque
Corriger les risques
  • Mettez en œuvre des instructions de résolution validées et recommandées pour protéger rapidement vos éléments.
  • Concentrez-vous sur les résultats les plus importants pour aider les analystes de sécurité à prendre rapidement des décisions éclairées.
  • Enrichissez et connectez les failles et menaces associées afin d'identifier et capturer les TTP.
  • Corrigez les erreurs et les erreurs de configuration qui empêchent Security Command Center et ses services de fonctionner comme prévu.
 Examiner les menaces et y répondre

Corriger les résultats de Security Health Analytics

Corriger les problèmes identifiés par Web Security Scanner

Résultats et solutions de détection rapide des failles

Automatiser les réponses de sécurité

Corriger les erreurs Security Command Center
Gestion des stratégies
  • Assurez-vous que vos charges de travail respectent les normes de sécurité, les réglementations de conformité et les exigences de sécurité personnalisées de votre organisation.
  • Appliquez vos contrôles de sécurité à des projets, dossiers ou organisations Google Cloud avant de déployer des charges de travail.
  • Surveillez et corrigez en permanence les dérives par rapport aux contrôles de sécurité que vous avez définis.
 Présentation de la stratégie de sécurité

Gérer une stratégie de sécurité
Intégration d'outils de sécurité tiers
  • Intégrez la sortie de vos outils de sécurité existants tels que Cloudflare, CrowdStrike, Prisma Cloud by Palo Alto Networks et Qualys dans Security Command Center. L'intégration des résultats peut vous aider à détecter les éléments suivants :
    • Attaques DDoS
    • Les points de terminaison compromis
    • Le non-respect des règles de conformité
    • Les attaques réseau
    • Les défaillances et les menaces d'instances
 Configurer Security Command Center

Créer et gérer des sources de sécurité
Notifications en temps réel
  • Recevez des alertes Security Command Center par e-mail, SMS, Slack, WebEx et d'autres services avec des notifications Pub/Sub.
  • Ajustez les filtres de résultats pour exclure les résultats des listes d'autorisations.
 Configurer des notifications de recherche

Activer les notifications par e-mail et de chat en temps réel

Utiliser des marques de sécurité

Exporter des données Security Command Center

Filtrer les notifications

Ajouter des éléments à des listes d'autorisation
API REST et SDK client
  • Utilisez l'API REST ou les SDK clients de Security Command Center pour intégrer facilement vos workflows et systèmes de sécurité existants.
Configurer Security Command Center

Accéder à Security Command Center de manière

API Security Command Center

Contrôles de la résidence des données

Pour répondre aux exigences de résidence des données, lorsque vous activez Security Command Center Standard ou Premium pour la première fois, vous pouvez activer les contrôles de résidence des données.

L'activation des contrôles de résidence des données limite le stockage et le traitement des résultats, des règles de masquage, des exportations continues et de l'exportation BigQuery vers l'une des zones multirégionales de résidence des données compatibles avec Security Command Center.

Pour en savoir plus, consultez Planifier la résidence des données.

Niveaux de service Security Command Center

Security Command Center propose trois niveaux de service: Standard, Premium et Enterprise.

Le niveau que vous sélectionnez détermine les fonctionnalités et les services disponibles avec Security Command Center.

Si vous avez des questions sur les niveaux de service de Security Command Center, contactez votre responsable de compte ou le service commercial Google Cloud.

Pour en savoir plus sur les coûts associés à l'utilisation d'un niveau de Security Command Center, consultez la page Tarifs.

Niveau standard

Le niveau Standard comprend les services et fonctionnalités suivants:

  • Security Health Analytics : au niveau Standard, Security Health Analytics fournit une analyse gérée de l'évaluation des failles pour Google Cloud, capable de détecter automatiquement les failles et les erreurs de configuration les plus graves liées à vos éléments Google Cloud. Au niveau Standard, Security Health Analytics inclut les types de résultats suivants:

    • Dataproc image outdated
    • Legacy authorization enabled
    • MFA not enforced
    • Non org IAM member
    • Open ciscosecure websm port
    • Open directory services port
    • Open firewall
    • Open group IAM member
    • Open RDP port
    • Open SSH port
    • Open Telnet port
    • Public bucket ACL
    • Public Compute image
    • Public dataset
    • Public IP address
    • Public log bucket
    • Public SQL instance
    • SSL not enforced
    • Web UI enabled
  • Analyses personnalisées de Web Security Scanner: au niveau Standard, Web Security Scanner accepte les analyses personnalisées des applications déployées avec des URL publiques et des adresses IP qui ne sont pas protégées par un pare-feu. Les analyses sont configurées, gérées et exécutées manuellement pour tous les projets. Elles sont compatibles avec un sous-ensemble de catégories du top 10 de l'OWASP.
  • Erreurs de Security Command Center : Security Command Center fournit des conseils de détection et de correction pour les erreurs de configuration qui empêchent Security Command Center et ses services de fonctionner correctement.
  • Fonctionnalité d'exportations continues, qui gère automatiquement l'exportation des nouveaux résultats vers Pub/Sub.

  • Accès aux services Google Cloud intégrés, y compris :

    • Sensitive Data Protection détecte, classe et protège les données sensibles.
    • Google Cloud Armor protège les déploiements Google Cloud contre les menaces.
    • La détection d'anomalies identifie les anomalies de sécurité concernant vos projets et instances de machines virtuelles (VM), telles que les potentielles fuites d'identifiants et le minage de cryptomonnaie.
    • Policy Controller permet d'appliquer des règles programmables pour vos clusters Kubernetes.
  • Résultats du tableau de bord de stratégie de sécurité GKE : affichez les résultats concernant les erreurs de configuration de sécurité des charges de travail Kubernetes, les bulletins de sécurité exploitables et les failles du système d'exploitation du conteneur ou des packages de langages. L'intégration des résultats du tableau de bord de stratégie de sécurité GKE à Security Command Center est disponible en version preview.
  • L'intégration à BigQuery, qui exporte les résultats vers BigQuery à des fins d'analyse.
  • Intégration à Forseti Security, le kit de sécurité Open Source pour Google Cloud, et à des applications tierces de gestion des informations et des événements de sécurité (SIEM).
  • Le service Actions sensibles détecte les actions effectuées dans votre organisation, vos dossiers et vos projets Google Cloud et qui, si elles sont mises en œuvre par un acteur malveillant, pourraient nuire à votre entreprise.
  • Lorsque Security Command Center est activé au niveau de l'organisation, vous pouvez attribuer des rôles IAM aux utilisateurs au niveau de l'organisation, du dossier et du projet.
  • Contrôles de résidence des données qui limitent le stockage et le traitement des résultats, des règles de masquage, des exportations continues et des exportations BigQuery vers l'une des zones multirégionales de résidence des données compatibles avec Security Command Center.

    Pour en savoir plus, consultez Planifier la résidence des données.

Niveau Premium

Le niveau Premium comprend tous les services et fonctionnalités du niveau Standard, ainsi que les services et fonctionnalités supplémentaires suivants:

  • Les simulations de chemin d'attaque vous aident à identifier et à hiérarchiser les résultats de failles et d'erreurs de configuration en identifiant les chemins qu'un pirate informatique pourrait emprunter pour accéder à vos ressources de forte valeur. Les simulations calculent et attribuent des scores d'exposition aux attaques à tous les résultats qui exposent ces ressources. Les chemins d'attaque interactifs vous permettent de visualiser les chemins d'attaque possibles et de fournir des informations sur les chemins d'accès, les résultats associés et les ressources concernées.

  • Les résultats des failles incluent des évaluations CVE fournies par Mandiant pour vous aider à hiérarchiser leur correction.

    Sur la page Présentation de la console, la section Principaux résultats CVE présente les failles identifiées, regroupées en fonction de leur exploitabilité et de leur impact potentiel, évaluées par Mandiant. Sur la page Résultats, vous pouvez interroger les résultats par ID de CVE.

    Pour en savoir plus, consultez la section Hiérarchiser en fonction de l'impact et de l'exploitabilité de la faille CVE.

  • Event Threat Detection surveille Cloud Logging et Google Workspace à l'aide des renseignements sur les menaces, du machine learning et d'autres méthodes avancées pour détecter les menaces telles que les logiciels malveillants, le minage de cryptomonnaie et l'exfiltration de données. Pour obtenir la liste complète des détecteurs Event Threat Detection intégrés, consultez la section Règles Event Threat Detection. Vous pouvez également créer des détecteurs Event Threat Detection personnalisés. Pour en savoir plus sur les modèles de module que vous pouvez utiliser pour créer des règles de détection personnalisées, consultez la page Présentation des modules personnalisés pour Event Threat Detection.
  • Container Threat Detection détecte les attaques suivantes visant l'environnement d'exécution des conteneurs :
    • Fichier binaire ajouté exécuté
    • Ajout de bibliothèque chargée
    • Exécution: exécution du binaire malveillant ajouté
    • Exécution: ajout d'une bibliothèque malveillante chargée
    • Exécution: un binaire malveillant intégré est exécuté
    • Exécution: exécution d'un binaire malveillant modifié
    • Exécution: bibliothèque malveillante modifiée chargée
    • Script malveillant exécuté
    • Shell inversé
    • Shell enfant inattendu

  • Les fonctionnalités Policy Intelligence suivantes sont disponibles:

    • Fonctionnalités avancées de l'outil de recommandation IAM, y compris les suivantes :
      • Recommandations pour les rôles non de base
      • Recommandations pour les rôles attribués sur des ressources autres que des organisations, des dossiers et des projets (par exemple, des recommandations pour les rôles attribués sur des buckets Cloud Storage)
      • Recommandations suggérant des rôles personnalisés
      • Insights sur les stratégies
      • Analyse des mouvements latéraux
    • Policy Analyzer à grande échelle (plus de 20 requêtes par organisation et par jour). Cette limite est partagée entre tous les outils Policy Analyzer.
    • Visualisations pour l'analyse des règles d'administration
  • Vous pouvez interroger des éléments dans l'inventaire des éléments cloud.
  • Virtual Machine Threat Detection détecte les applications potentiellement malveillantes qui s'exécutent sur des instances de VM.

  • L'analyse de l'état de la sécurité au niveau Premium inclut les fonctionnalités suivantes:

    • Analyses des failles gérées pour tous les détecteurs Security Health Analytics
    • Surveillance de nombreuses bonnes pratiques du secteur
    • Surveillance de la conformité Les détecteurs Security Health Analytics sont mis en correspondance avec les contrôles des benchmarks de sécurité courants.
    • La compatibilité avec les modules personnalisés, qui vous permet de créer vos propres détecteurs personnalisés d'analyse de l'état de la sécurité.

    Au niveau Premium, Security Health Analytics est compatible avec les normes décrites dans Gérer la conformité avec les normes du secteur.

  • Web Security Scanner au niveau Premium inclut toutes les fonctionnalités du niveau Standard et des détecteurs supplémentaires compatibles avec les catégories du Top 10 de l'OWASP. Web Security Scanner ajoute également des analyses gérées qui sont automatiquement configurées.

  • Surveillance de la conformité de vos éléments Google Cloud

    Pour mesurer votre conformité avec les benchmarks et les normes de sécurité courants, les détecteurs des analyseurs de failles de Security Command Center sont associés à des contrôles standards de sécurité courants.

    Vous pouvez y consulter votre conformité avec les normes, identifier les contrôles non conformes, exporter des rapports et plus encore. Pour en savoir plus, consultez Évaluer et signaler la conformité avec les normes de sécurité.

  • Vous pouvez demander un quota supplémentaire pour l'inventaire des éléments cloud si vous avez besoin d'une surveillance étendue des éléments.
  • Le service de stratégie de sécurité vous permet de définir, d'évaluer et de surveiller l'état général de votre sécurité dans Google Cloud. Le service de stratégie de sécurité n'est disponible qu'avec le niveau Premium de Security Command Center pour les clients qui souscrivent un abonnement à prix fixe et activent le niveau Premium de Security Command Center au niveau de l'organisation. Le service de stratégie de sécurité n'est pas compatible avec la facturation basée sur l'utilisation ou les activations au niveau du projet.
  • La fonctionnalité de validation IaC vous permet de valider votre infrastructure en tant que code (IaC) par rapport aux règles d'administration et aux détecteurs Security Health Analytics que vous avez définis dans votre organisation Google Cloud. Cette fonctionnalité n'est disponible qu'avec le niveau Premium de Security Command Center pour les clients qui souscrivent un abonnement à prix fixe et activent le niveau Premium de Security Command Center au niveau de l'organisation. Cette fonctionnalité n'est pas compatible avec la facturation basée sur l'utilisation ni avec les activations au niveau du projet.
  • Rapports sur les failles de VM Manager
    • Si vous activez VM Manager, le service écrit automatiquement les résultats de ses rapports sur les failles, qui sont en version preview, dans Security Command Center. Ces rapports identifient les failles des systèmes d'exploitation installés sur les machines virtuelles Compute Engine. Pour en savoir plus, consultez VM Manager.

Niveau Entreprise

Le niveau Enterprise est une plate-forme cloud native de protection des applications (CNAPP) complète qui permet aux analystes SOC, analystes de failles et autres professionnels de la sécurité cloud de gérer la sécurité de plusieurs fournisseurs de services cloud de manière centralisée.

Le niveau Enterprise offre des fonctionnalités de détection et d'investigation, une assistance pour la gestion des demandes et des stratégies, y compris la possibilité de définir et de déployer des règles de stratégie personnalisées, ainsi que de quantifier et de visualiser le risque de failles et d'erreurs de configuration pour votre environnement cloud.

Le niveau Enterprise comprend tous les services et fonctionnalités des niveaux Standard et Premium, ainsi que les services et fonctionnalités supplémentaires suivants:

Fonctions de niveau entreprise fournies par Google Security Operations

La fonction de gestion des demandes, les fonctionnalités des playbooks et d'autres fonctionnalités SIEM et SOAR du niveau Enterprise de Security Command Center sont fournies par Google Security Operations. Lorsque vous utilisez certaines de ces fonctionnalités et fonctions, le nom "Google SecOps" peut s'afficher dans l'interface Web, et vous pouvez être redirigé vers la documentation Google SecOps pour obtenir des conseils.

Certaines fonctionnalités Google SecOps ne sont pas compatibles ou limitées avec Security Command Center, mais leur utilisation peut ne pas être désactivée ou limitée dans les abonnements anticipés au niveau Enterprise. N'utilisez les fonctionnalités suivantes que dans les limites définies:

  • L'ingestion des journaux cloud est limitée aux journaux pertinents pour la détection des menaces dans le cloud, par exemple :

    • Accès IAP

      • Cloud Audit Logs pour les activités d'administration
      • Cloud Audit Logs pour l'accès aux données
      • syslog de Compute Engine
      • Journal d'audit GKE

    • Google Workspace

      • Événements Google Workspace
      • Alertes Google Workspace

    • AWS

      • Journaux d'audit CloudTrail
      • Syslog
      • Journaux d'authentification
      • Événements GuardDuty

  • Les détections sélectionnées sont limitées à celles qui détectent les menaces dans les environnements cloud.

  • Les intégrations Google Cloud Marketplace sont limitées aux fonctionnalités suivantes:

    • Siemplify
    • Outils
    • VirusTotal V3
    • Inventaire des éléments Google Cloud
    • Google Security Command Center
    • Jira
    • Fonctions
    • Google Cloud IAM
    • E-mail V2
    • Google Cloud Compute
    • Google Chronicle
    • Att&ck de gouttière
    • Mandiant Threat Intelligence
    • Google Cloud Policy Intelligence
    • Outil de recommandation Google Cloud
    • Siemplify Utilitaires
    • Réserver maintenant
    • CSV
    • SCC Enterprise
    • AWS IAM
    • AWS EC2

  • Le nombre de règles personnalisées associées à un seul événement est limité à 20.

  • L'analyse des risques pour l'UEBA (analyse du comportement des utilisateurs et des entités) n'est pas disponible.

  • Applied Threat Intelligence est indisponible.

  • La compatibilité de Gemini pour Google SecOps est limitée à la recherche en langage naturel et aux résumés d'enquêtes.

  • La conservation des données est limitée à trois mois.

Récapitulatif des fonctions et services au niveau Enterprise

Le niveau Enterprise comprend tous les services et fonctionnalités des niveaux Standard et Premium en phase de disponibilité générale.

Le niveau Enterprise ajoute les services et fonctionnalités suivants à Security Command Center:

  • Compatibilité multicloud Vous pouvez connecter Security Command Center à d'autres fournisseurs cloud, tels qu'AWS, pour détecter les menaces, les failles et les erreurs de configuration. En outre, après avoir spécifié vos ressources de forte valeur auprès de l'autre fournisseur, vous pouvez également évaluer leur exposition aux attaques à l'aide des scores d'exposition aux attaques et des chemins d'attaque.
  • Fonctionnalités SIEM (gestion des informations et des événements de sécurité) pour les environnements cloud, optimisées par Google SecOps. Analysez les journaux et d'autres données à la recherche de menaces pour plusieurs environnements cloud, définissez des règles de détection des menaces et effectuez des recherches dans les données accumulées. Pour en savoir plus, consultez la documentation SIEM Google SecOps.
  • Fonctionnalités SOAR (orchestration de la sécurité, automatisation et réponse) pour les environnements cloud, optimisées par Google SecOps. Gérez les demandes, définissez des workflows de réponse et effectuez des recherches dans les données de réponse. Pour en savoir plus, consultez la documentation sur le SOAR Google SecOps.
  • Fonctionnalités CIEM (Cloud Infrastructure Entitlement Management) pour les environnements cloud. Identifiez les comptes principaux (identités) mal configurés ou disposant d'autorisations IAM (accès) excessives ou sensibles à vos ressources cloud. Pour en savoir plus, consultez la page Présentation de la gestion des droits d'accès à l'infrastructure cloud.
  • Détection étendue des failles logicielles dans les VM et les conteneurs de vos environnements cloud grâce aux services Google Cloud intégrés et intégrés suivants :
    • Google Kubernetes Engine (GKE), édition Enterprise
    • Évaluation des failles pour AWS
    • VM Manager

Niveaux d'activation de Security Command Center

Vous pouvez activer Security Command Center sur un projet individuel (option appelée activation au niveau du projet) ou sur l'ensemble d'une organisation (activation au niveau de l'organisation).

Le niveau Entreprise nécessite une activation au niveau de l'organisation.

Pour en savoir plus sur l'activation de Security Command Center, consultez la page Présentation de l'activation de Security Command Center.

Étapes suivantes