Panoramica di Security Command Center

Questa pagina fornisce una panoramica di Security Command Center, una soluzione per la gestione dei rischi che, con il livello Enterprise, unisce sicurezza nel cloud e le operazioni di sicurezza aziendale e fornisce approfondimenti dalle competenze di Mandiant e dall'intelligenza artificiale di Gemini.

Security Command Center consente agli analisti dei centri operativi di sicurezza (SOC), agli analisti di vulnerabilità e di conformità, ai gestori della conformità e ad altri professionisti della sicurezza di valutare, esaminare e rispondere rapidamente ai problemi di sicurezza in più ambienti cloud.

Ogni deployment cloud presenta rischi unici. Security Command Center può aiutarti a comprendere e valutare la superficie di attacco dei tuoi progetti o della tua organizzazione su Google Cloud, nonché la superficie di attacco dei tuoi altri ambienti cloud. Se configurato correttamente per proteggere le tue risorse, Security Command Center può aiutarti a interpretare le vulnerabilità e le minacce rilevate nei tuoi ambienti cloud e dare la priorità alle relative correzioni.

Security Command Center si integra con molti servizi Google Cloud per rilevare problemi di sicurezza in più ambienti cloud. Questi servizi rilevano i problemi in vari modi, ad esempio analizzando i metadati delle risorse, analizzando i log cloud, analizzando i container e analizzando le macchine virtuali.

Alcuni di questi servizi integrati, come Google Security Operations e Mandiant, forniscono inoltre capacità e informazioni che sono fondamentale per dare priorità e gestire le indagini e le risposte ai problemi rilevati.

Gestire le minacce

Nei livelli Premium ed Enterprise, Security Command Center utilizza entrambi i servizi Google Cloud integrati e integrati per rilevare le minacce. Questi servizi analizzano i log di Google Cloud, container e macchine virtuali alla ricerca di indicatori di minaccia.

Quando questi servizi, come Event Threat Detection o Container Threat Detection, rilevano un indicatore di minaccia, emette un rilevamento. Un risultato è un report o un record di una singola minaccia o di un altro problema che rilevato da un servizio nel tuo ambiente cloud. I servizi che emettono i risultati sono chiamati anche fonti di ricerca.

In Security Command Center Enterprise, i risultati attivano gli avvisi che, a seconda della gravità del risultato, possono generare una richiesta. Puoi utilizzare una richiesta con un sistema di gestione dei ticket per assegnare proprietari all'indagine e alla risposta a uno o più avvisi nel caso in questione.

Security Command Center Enterprise può anche rilevare minacce nei tuoi implementamenti su altre piattaforme cloud. Per rilevare le minacce nei deployment su altre piattaforme cloud, Security Command Center acquisisce i log dall'altra piattaforma cloud dopo che hai stabilito una connessione.

Per ulteriori informazioni, consulta le seguenti pagine:

Funzionalità di rilevamento delle minacce e di risposta

Con Security Command Center, gli analisti SOC possono raggiungere i seguenti scopi di sicurezza:

  • Rilevare nei tuoi ambienti cloud eventi che indicano una potenziale minaccia e classifica gli avvisi o i risultati associati.
  • Assegna i proprietari e monitora l'avanzamento delle indagini e delle risposte con un flussi di lavoro delle richieste integrato. Se vuoi, puoi integrare i sistemi di ticketing che preferisci, come Jira o ServiceNow.
  • Esaminare gli avvisi di minacce con potenti funzionalità di ricerca e di riferimento incrociato.
  • Definisci flussi di lavoro di risposta e automatizza le azioni per gestire potenziali attacchi ai tuoi ambienti cloud. Per ulteriori informazioni sulla definizione di flussi di lavoro di risposta e azioni automatiche con i playbook, consulta Lavorare con i playbook.
  • Disattiva o escludi risultati o avvisi che sono falsi positivi.
  • Concentrati sulle minacce relative a identità e autorizzazioni di accesso compromesse.
  • Utilizza Security Command Center per rilevare, esaminare e rispondere alle potenziali minacce negli altri tuoi ambienti cloud, come AWS.

Gestisci le vulnerabilità

Security Command Center offre un rilevamento completo delle vulnerabilità, analizzando automaticamente le risorse del tuo ambiente per rilevare vulnerabilità del software, errori di configurazione e altri tipi di problemi di sicurezza che potrebbero esporre l'organizzazione ad attacchi. Insieme, questi tipi di problemi collettivamente definite vulnerabilità.

Security Command Center utilizza sia le tecnologie integrate i servizi Google Cloud integrati per rilevare i problemi di sicurezza. I servizi che emettono risultati sono chiamati anche fonti di ricerca. Quando un servizio rileva un problema, emette un risultato per registrarlo.

Per impostazione predefinita, le richieste vengono aperte automaticamente di vulnerabilità di gravità critica per aiutarti a stabilire le priorità correzione. Puoi assegnare proprietari e monitorare l'avanzamento della correzione per una richiesta.

Per ulteriori informazioni, consulta le seguenti risorse:

Combinazioni dannose

Security Command Center Risk Engine, una funzionalità di Enterprise di sicurezza, rileva i gruppi di problemi di sicurezza che, quando si verificano insieme in un determinato pattern, crea un percorso a uno o più dei tuoi risorse di alto valore che un determinato utente malintenzionato potrebbe potenzialmente utilizzare per raggiungere e compromettere tali risorse.

Questo tipo di gruppo strutturato di problemi di sicurezza è definito combinazione tossica. Quando il motore di rischio rileva una combinazione tossica, genera un rilevamento. Per ogni risultato relativo a una combinazione tossica, Security Command Center crea una richiesta nella console Security Operations, in modo da poter gestire e monitorare la risoluzione della combinazione tossica.

Per ulteriori informazioni, consulta la sezione Panoramica delle combinazioni dannose.

Vulnerabilità del software

Per aiutarti a identificare, comprendere e dare priorità alle vulnerabilità del software, Security Command Center può valutare le macchine virtuali (VM) e i container nei tuoi ambienti cloud. Per ogni elemento rilevato vulnerabilità, Security Command Center fornisce informazioni approfondite un record dei risultati o un risultato. Le informazioni fornite con un rilevamento possono includere:

  • Dettagli della risorsa interessata
  • Informazioni su qualsiasi record CVE associato, inclusa una valutazione da Mandiant dell'impatto e della sfruttabilità dell'elemento CVE
  • Un punteggio di esposizione agli attacchi per aiutarti a dare la priorità alla correzione
  • Una rappresentazione visiva del percorso che un utente malintenzionato potrebbe seguire per raggiungere le risorse di alto valore esposte dalla vulnerabilità

Le vulnerabilità del software vengono rilevate dai seguenti servizi:

Errori di configurazione

Security Command Center mappa i rilevatori dei servizi che analizzano configurazioni errate ai controlli dei più comuni standard di conformità del settore. Oltre a mostrarti gli standard di conformità che un errore di configurazione le violazioni, la mappatura consente di verificare la propria conformità alle standard diversi, che puoi esportare sotto forma di report.

Per ulteriori informazioni, consulta Valutare e segnalare la conformità.

Violazioni della postura

I livelli Premium ed Enterprise di Security Command Center includono il security posture, che emette risultati Le risorse cloud violano i criteri definiti nelle le posture di cui hai eseguito il deployment nel tuo ambiente cloud.

Per ulteriori informazioni, consulta Servizio Postura di sicurezza.

Convalida l'infrastruttura come codice

Puoi verificare che i tuoi file Infrastructure as Code (IaC) siano in linea con la dell'organizzazione e i rilevatori di Security Health Analytics che definisci nella tua organizzazione Google Cloud. Questa funzionalità ti aiuta a non implementare risorse che violino gli standard della tua organizzazione. Dopo aver definito dell'organizzazione e, se necessario, abilitare Security Health Analytics puoi utilizzare Google Cloud CLI per convalidare il file del piano Terraform oppure puoi integrare il processo di convalida in Cloud Build, Jenkins Flusso di lavoro per gli sviluppatori delle azioni GitHub. Per ulteriori informazioni, vedi Convalida il tuo IaC in base ai criteri della tua organizzazione.

Rileva vulnerabilità ed errori di configurazione su altre piattaforme cloud

Security Command Center Enterprise è in grado di rilevare le vulnerabilità in più ambienti cloud. Rilevare vulnerabilità in altri servizi cloud devi prima stabilire una connessione al provider importare i metadati delle risorse.

Per ulteriori informazioni, vedi Connettiti ad AWS per il rilevamento delle vulnerabilità e la valutazione del rischio.

Funzionalità di gestione delle vulnerabilità e della postura

Con Security Command Center, analisti delle vulnerabilità, amministratori delle posture e professionisti della sicurezza simili possono raggiungere i seguenti obiettivi di sicurezza:

  • Rileva diversi tipi di vulnerabilità, tra cui vulnerabilità del software configurazioni errate e violazioni della postura che possono esporre il cloud a potenziali attacchi.
  • Concentra le tue attività di risposta e correzione sui problemi a rischio più elevato utilizzando i punteggi di esposizione agli attacchi relativi a risultati e avvisi per le vulnerabilità.
  • Assegna proprietari e monitora l'avanzamento delle correzioni delle vulnerabilità per l'utilizzo dei casi e l'integrazione dei tuoi sistemi di gestione di ticket preferiti, come Jira o ServiceNow.
  • Proteggi in modo proattivo le risorse di alto valore nei tuoi ambienti cloud riducendo i relativi punteggi di esposizione agli attacchi
  • Definisci strategie di sicurezza personalizzate per i tuoi ambienti cloud che Security Command Center utilizza per valutare la tua strategia e avvisarti delle violazioni.
  • Disattiva o escludi risultati o avvisi che sono falsi positivi.
  • Concentrati sulle vulnerabilità correlate a identità e autorizzazioni eccessive.
  • Rileva e gestisci le vulnerabilità e i rischi di Security Command Center per gli altri ambienti cloud, come AWS.

Valuta il rischio con i punteggi di esposizione agli attacchi e i percorsi di attacco

Con le attivazioni a livello di organizzazione dei livelli Premium ed Enterprise, Security Command Center fornisce i punteggi di esposizione agli attacchi per le risorse di alto valore e i risultati relativi a vulnerabilità e configurazioni errate che interessano le risorse di alto valore.

Puoi usare questi punteggi per correggere le vulnerabilità con priorità ed errori di configurazione, per assicurare con la massima priorità quelle più esposte alle risorse di alto valore e in generale valutare il livello di esposizione ambienti cloud sono in grado di attaccare.

Nel riquadro Vulnerabilità attive della pagina Panoramica dei rischi nella console Google Cloud, la scheda Ritrovate per punteggio di esposizione agli attacchi mostra i risultati con i punteggi di esposizione agli attacchi più elevati nel tuo ambiente, nonché la distribuzione dei punteggi dei risultati.

Per ulteriori informazioni, vedi Punteggi di esposizione agli attacchi e percorsi di attacco.

Gestisci risultati e avvisi con casi

Security Command Center Enterprise crea casi per aiutarti a gestire i risultati e gli avvisi, assegnare i proprietari e gestire le indagini e le risposte ai problemi di sicurezza rilevati. Le richieste vengono aperte automaticamente per problemi con gravità elevata e critica.

Puoi integrare le richieste con il sistema di gestione delle richieste che preferisci, ad esempio Jira o ServiceNow. Quando le richieste vengono aggiornate, vengono visualizzati eventuali ticket aperti possono essere aggiornati automaticamente. Analogamente, se un ticket viene aggiornato, anche le richieste corrispondenti possono essere aggiornate.

Per ulteriori informazioni, consulta la Panoramica delle richieste nella documentazione di Google SecOps.

Definire i flussi di lavoro di risposta e le azioni automatiche

Definire i flussi di lavoro di risposta e automatizzare le azioni di indagine e risposta ai problemi di sicurezza rilevati negli ambienti cloud.

Per ulteriori informazioni sulla definizione dei flussi di lavoro di risposta e azioni con i playbook, vedi Utilizzare i playbook.

Supporto multi-cloud: proteggi i tuoi deployment su altre piattaforme cloud

Puoi estendere i servizi e le funzionalità di Security Command Center per coprire i tuoi deployment su altre piattaforme cloud, in modo da gestire in un'unica posizione tutte le minacce e le vulnerabilità rilevate in tutti i tuoi ambienti cloud.

Per ulteriori informazioni su come collegare Security Command Center a un altro fornitore di servizi cloud, consulta le seguenti pagine:

Provider di servizi cloud supportati

Security Command Center può connettersi ad Amazon Web Services (AWS).

Definire e gestire le security posture

Con le attivazioni a livello di organizzazione dei livelli Premium ed Enterprise di Security Command Center, puoi creare e gestire posture di sicurezza che definiscono lo stato richiesto dei tuoi asset cloud, inclusa la rete cloud e i servizi cloud, per una sicurezza ottimale nel tuo ambiente cloud. Puoi personalizzare le posizioni di sicurezza in base alle esigenze di sicurezza e le esigenze normative. Se definisci una security posture, puoi ridurre al minimo i rischi della cybersicurezza organizzazione e contribuiscono a prevenire il verificarsi di attacchi.

Utilizza il servizio di posture di sicurezza di Security Command Center per definire e implementare una postura di sicurezza e rilevare eventuali deviazioni o modifiche non autorizzate rispetto alla postura definita.

Il servizio Security posture viene abilitato automaticamente quando attivare Security Command Center a livello di organizzazione.

Per ulteriori informazioni, consulta la Panoramica della postura di sicurezza.

Identifica i tuoi asset

Security Command Center include le informazioni sugli asset di Cloud Asset Inventory, che monitora costantemente gli asset nel tuo ambiente cloud. Per la maggior parte degli asset, le modifiche alla configurazione, inclusi i criteri IAM e dell'organizzazione, vengono rilevate quasi in tempo reale.

Nella pagina Asset della console Google Cloud, puoi eseguire rapidamente applicare, modificare ed eseguire query sugli asset di esempio, aggiungere un vincolo di tempo preimpostato oppure può scrivere le tue query sugli asset.

Se disponi del livello Premium o Enterprise di Security Command Center, può vedere quali dei tuoi asset sono classificati risorse di alto valore per la valutazione del rischio mediante simulazioni del percorso di attacco.

Puoi identificare rapidamente le modifiche nell'organizzazione o nel progetto e rispondere a domande come:

  • Quanti progetti hai e quando sono stati creati?
  • Le risorse di Google Cloud di cui viene eseguito il deployment o in uso, ad esempio macchine virtuali (VM) Compute Engine, bucket Cloud Storage o istanze di App Engine?
  • Qual è la tua cronologia di deployment?
  • Come organizzare, annotare, cercare, selezionare, filtrare e ordinare in le seguenti categorie:
    • Asset e proprietà degli asset
    • Indicatori di sicurezza, che ti consentono di annotare asset o risultati in Security Command Center
    • Periodo di tempo

Cloud Asset Inventory conosce sempre lo stato attuale degli asset supportati e, la console Google Cloud, ti consente di esaminare le scansioni di rilevamento storiche per confrontare le risorse tra vari momenti. Puoi anche cercare asset sottoutilizzati, come macchine virtuali o indirizzi IP inattivi.

Funzionalità di Gemini in Security Command Center

Security Command Center integra Gemini per fornire riepiloghi dei risultati e dei percorsi di attacco, nonché per aiutarti nelle ricerche e nelle indagini sulle minacce e sulle vulnerabilità rilevate.

Per informazioni su Gemini, consulta la panoramica di Gemini.

Riepiloghi di Gemini dei risultati e dei percorsi di attacco

Se utilizzi Security Command Center Enterprise o Premium, Gemini fornisce spiegazioni generate dinamicamente di ogni risultato e di ogni percorso di attacco simulato generato da Security Command Center per i risultati di classe Vulnerability e Misconfiguration.

I riepiloghi sono scritti in linguaggio naturale per aiutarti a comprendere e intervenire rapidamente sui risultati e su eventuali percorsi di attacco che potrebbero accompagnarli.

I riepiloghi vengono visualizzati nei seguenti punti della console Google Cloud:

  • Quando fai clic sul nome di un singolo risultato, viene visualizzato il riepilogo nella parte superiore della pagina dei dettagli del risultato.
  • Con i livelli Premium ed Enterprise di Security Command Center, se un risultato ha un punteggio di esposizione agli attacchi, puoi visualizzare il riepilogo a destra del percorso di attacco facendo clic sul punteggio di esposizione agli attacchi e poi su Riepilogo AI.

Autorizzazioni IAM richieste per i riepiloghi creati con l'IA

Per visualizzare i riepiloghi dall'AI, devi disporre della funzionalità IAM richiesta autorizzazioni aggiuntive.

Per i risultati, devi disporre dell'autorizzazione IAM securitycenter.findingexplanations.get. Il modello meno permissivo Il ruolo IAM che contiene questa autorizzazione Visualizzatore risultati Centro sicurezza (roles/securitycenter.findingsViewer) ruolo.

Per i percorsi di attacco, è necessario il securitycenter.exposurepathexplan.get Autorizzazione IAM. Il ruolo IAM predefinito meno permissivo che contiene questa autorizzazione è il ruolo Security Center Exposure Paths Reader (roles/securitycenter.exposurePathsViewer).

Durante l'anteprima, queste autorizzazioni non sono disponibili nel Console Google Cloud per aggiungere ruoli IAM personalizzati.

Per aggiungere l'autorizzazione a un ruolo personalizzato, puoi utilizzare Google Cloud CLI.

Per informazioni sull'utilizzo di Google Cloud CLI per aggiungere autorizzazioni a un ruolo personalizzato, consulta Creare e gestire i ruoli personalizzati.

Ricerca in linguaggio naturale per le indagini delle minacce

Puoi generare ricerche di risultati relativi alle minacce, avvisi e altre informazioni utilizzando le query in linguaggio naturale e Gemini. Per ulteriori informazioni, vedi Utilizzare il linguaggio naturale per generare query di ricerca UDM nella documentazione di Google SecOps.

Widget di indagine IA per i casi

Per aiutarti a comprendere e esaminare le richieste per rilevamenti e avvisi, Gemini fornisce un riepilogo di ogni richiesta e suggerisce i passaggi successivi da seguire per esaminarla. Riepilogo e passaggi successivi nel widget Indagini IA quando visualizzi una richiesta.

Informazioni strategiche sulla sicurezza

I servizi Google Cloud integrati e incorporati di Security Command Center monitorano continuamente le risorse e i log alla ricerca di indicatori di compromissione e modifiche alla configurazione che corrispondono a minacce, vulnerabilità e errori di configurazione noti. Per fornire un contesto per gli incidenti, i risultati vengono arricchiti con informazioni provenienti dalle seguenti fonti:

  • Con i livelli Enterprise e Premium:
    • Riepiloghi creati con l'IA che ti aiutano a comprendere e intervenire in base ai risultati di Security Command Center e a eventuali percorsi di attacco inclusi. Per ulteriori informazioni, consulta i riepiloghi creati con l'IA.
    • Le vulnerabilità rilevate includono informazioni dalle rispettive voci CVE, tra cui il punteggio CVE e Mandiant ha valutato il livello di vulnerabilità impatto potenziale e potenziale sfruttamento.
    • Potenti funzionalità di ricerca SIEM e SOAR che ti consentono di esaminare minacce e vulnerabilità e di passare da un'entità all'altra in un'unica cronologia.
  • VirusTotal, un servizio di proprietà di Alphabet che fornisce contesto su file, URL, domini e indirizzi IP potenzialmente dannosi.
  • Framework MITRE ATT&CK, che illustra le tecniche per gli attacchi alle risorse cloud e fornisce indicazioni per la correzione.
  • Audit log di Cloud (log delle attività di amministrazione e log degli accessi ai dati).

Riceverai notifiche sui nuovi risultati quasi in tempo reale, aiutando la tua sicurezza i team raccolgono dati, identificano le minacce e agiscono in base alle raccomandazioni prima di causare danni o perdite all'azienda.

Con una visione centralizzata della tua security posture e un'API solida, puoi eseguire rapidamente le seguenti operazioni:

  • Rispondi a domande come:
    • Quali indirizzi IP statici sono aperti al pubblico?
    • Quali immagini sono in esecuzione sulle tue VM?
    • Ci sono prove che le tue VM vengano utilizzate per criptovaluta di mining o altre operazioni illecite?
    • Quali account di servizio sono stati aggiunti o rimossi?
    • Come vengono configurati i firewall?
    • Quali bucket di archiviazione contengono informazioni che consentono l'identificazione personale (PII) o dati sensibili? Questa funzionalità richiede l'integrazione con Sensitive Data Protection.
    • Quali applicazioni cloud sono vulnerabili al cross-site-scripting (XSS) vulnerabilità?
    • Ci sono dei miei bucket Cloud Storage aperti a internet?
  • Intervieni per proteggere le tue risorse:
    • Implementare passaggi di correzione verificati per errori di configurazione degli asset e violazioni della conformità.
    • Combina l'intelligence sulle minacce di Google Cloud e di terze parti come Palo Alto Networks, per proteggere meglio la tua azienda dalle costose minacce al livello di computing.
    • Assicurarsi che siano attivi i criteri IAM appropriati e ottenere avvisa quando i criteri vengono configurati in modo errato o modificati inaspettatamente.
    • Integra i risultati provenienti dalle tue fonti o da fonti di terze parti per risorse Google Cloud o altre risorse ibride o multi-cloud. Per ulteriori informazioni, vedi Aggiunta di un servizio di sicurezza di terze parti.
    • Rispondi alle minacce nel tuo ambiente Google Workspace e ai cambiamenti non sicuri in Google Gruppi.

Configurazioni errate di identità e accesso

Security Command Center semplifica l'identificazione e la risoluzione degli annunci di errori di configurazione di identità e accesso su Google Cloud. I risultati relativi alle configurazioni errate identificano le entità (identità) con configurazione errata o con autorizzazioni IAM (accesso) eccessive o sensibili alle risorse Google Cloud.

Cloud Infrastructure Entitlement Management

La gestione dei problemi di sicurezza relativi all'identità e all'accesso viene talvolta definita come gestione dei diritti dell'infrastruttura cloud (CIEM). Security Command Center offre funzionalità CIEM che contribuiscono a fornire una visione completa della sicurezza della configurazione di identità e accesso della tua organizzazione. Security Command Center offre queste funzionalità per più piattaforme cloud, tra cui Google Cloud e Amazon Web Services (AWS). Con CIEM, puoi vedere quali entità hanno autorizzazioni eccessive nei tuoi ambienti cloud. Oltre a Google Cloud IAM, CIEM supporta la possibilità di esaminare le autorizzazioni dei principali di altri provider di identità (come Entra ID (Azure AD) e Okta) sulle risorse Google Cloud. Puoi visualizzare i risultati più gravi relativi a identità e accesso di più provider cloud nel riquadro Risultati relativi a identità e accesso nella pagina Panoramica di Security Command Center nella console Google Cloud.

Per ulteriori informazioni sulle funzionalità CIEM di Security Command Center, consulta Panoramica dei diritti dell'infrastruttura cloud Gestione.

Preimpostazioni query di identità e accesso

Nella pagina Vulnerabilità della console Google Cloud, puoi selezionare le query preimpostate (query predefinite) che mostrano I rilevatori di vulnerabilità o le categorie correlati all'identità e accesso. Per ogni categoria viene visualizzato il numero di risultati attivi.

Per ulteriori informazioni sui valori preimpostati delle query, consulta Applicare i valori preimpostati delle query.

Gestire la conformità agli standard di settore

Security Command Center monitora la conformità ai rilevatori che sono mappati ai controlli di un una serie di standard di sicurezza.

Per ogni standard di sicurezza supportato, Security Command Center controlla un sottoinsieme di controlli. Per i controlli selezionati, Security Command Center mostra quanti sono superati. Per che non vengono superati, Security Command Center mostra un elenco di risultati gli errori del controllo,

Il CIS esamina e certifica le mappature dei Security Command Center a ciascuno dei rilevatori supportati del CIS Google Cloud Foundations Benchmark. Conformità aggiuntiva mappature sono incluse solo a scopo di riferimento.

Security Command Center aggiunge periodicamente il supporto di nuove versioni e nuovi standard di benchmark. Meno recenti rimangono supportate, ma alla fine vengono ritirate. Ti consigliamo di utilizzare lo standard o il benchmark più recente supportato disponibile.

Con servizio security posture, puoi mappare i criteri dell'organizzazione e i rilevatori di Security Health Analytics agli standard e di controllo che si applicano alla tua attività. Dopo aver creato una postura di sicurezza, puoi monitorare modifiche all'ambiente che potrebbero influire sulla conformità della tua azienda.

Per ulteriori informazioni sulla gestione della conformità, consulta Valuta e segnala la conformità alla sicurezza standard.

Standard di sicurezza supportati su Google Cloud

Security Command Center mappa i rilevatori per Google Cloud a uno o più dei seguenti standard di conformità:

Standard di sicurezza supportati su AWS

Security Command Center rilevatori di mappe per Amazon Web Services (AWS) a uno o più dei seguenti standard:

Piattaforma flessibile per soddisfare le tue esigenze di sicurezza

Security Command Center include opzioni di personalizzazione e integrazione puoi migliorare l'utilità del servizio per soddisfare le esigenze di sicurezza in continua evoluzione.

Opzioni di personalizzazione

Le opzioni di personalizzazione includono:

Opzioni di integrazione

Le opzioni di integrazione includono:

Quando utilizzare Security Command Center

La seguente tabella include funzionalità di prodotto di alto livello, casi d'uso e link alla documentazione pertinente per aiutarti a trovare rapidamente i contenuti di cui hai bisogno.

Funzionalità Casi d'uso Documenti correlati
Identificazione e revisione delle risorse
  • Visualizzare in un unico posto tutti gli asset, i servizi e dati di tutta l'organizzazione o del progetto e di tutti dalle tue piattaforme cloud.
  • Valuta le vulnerabilità per le risorse supportate e intervieni per dare la priorità alle correzioni dei problemi più gravi.

Best practice per Security Command Center

Controllo dell'accesso

Utilizzando Security Command Center nella console Google Cloud
Identificazione dei dati sensibili
  • Scopri dove vengono archiviati i dati sensibili e regolamentati utilizzando la protezione dei dati sensibili.
  • Contribuisci a prevenire l'esposizione accidentale alle minacce e assicura che l'accesso segua il principio della necessità di sapere (need-to-know).
  • Designare automaticamente le risorse che contengono dati con sensibilità media o elevata come _risorse di alto valore.
 Invio dei risultati di Sensitive Data Protection a Security Command Center
Integrazione di prodotti SIEM e SOAR di terze parti
  • Esporta facilmente i dati di Security Command Center in una piattaforma SIEM esterna sistemi SOAR.

Esportazione Dati di Security Command Center

Continuo esportazioni
Rilevamento degli errori di configurazione

Panoramica di Security Health Analytics

Panoramica di Web Security Scanner

Risultati relativi alle vulnerabilità

Rilevamento delle vulnerabilità del software
  • Rileva le vulnerabilità del software nei carichi di lavoro su macchine virtuali e container di vari provider di servizi cloud.
  • Ricevi avvisi proattivi su nuove vulnerabilità e modifiche alla tua superficie di attacco.
  • Scoprire vulnerabilità comuni come cross-site-scripting (XSS) e Flash injection che mettono a rischio le tue applicazioni.
  • Con Security Command Center Premium, assegna priorità ai risultati relativi alle vulnerabilità utilizzando le informazioni CVE, incluse le valutazioni di sfruttabilità e impatto fornite da Mandiant.

Dashboard della strategia di sicurezza di GKE

VM Manager

Panoramica di Web Security Scanner

Risultati relativi alle vulnerabilità

Monitoraggio del controllo di identità e accessi
  • Contribuire a garantire che siano implementati i criteri di controllo dell'accesso appropriati tra le tue risorse Google Cloud e ricevi avvisi quando i criteri sono configurate in modo errato o cambiano inaspettatamente.
  • Utilizza le preimpostazioni di query per visualizzare rapidamente i risultati relativi a configurazioni errate di identità e accesso e a ruoli a cui sono state concesse autorizzazioni eccessive.

Motore per suggerimenti IAM

Controllo dell'accesso

Configurazioni errate di identità e accesso
Rilevamento delle minacce
  • Rilevare le attività e gli attori dannosi nella tua infrastruttura e e ricevere avvisi di minacce attive.
  • Rilevare le minacce su altre piattaforme cloud

Gestire le minacce

Rilevamento delle minacce di eventi panoramica

Panoramica di Container Threat Detection
Rilevamento degli errori
  • Ricevi avvisi su errori e configurazioni errate che impediscono il funzionamento di Security Command Center e dei suoi servizi come previsto.
 Panoramica degli errori di Security Command Center
Assegnare priorità alle correzioni
  • Utilizza i punteggi di esposizione agli attacchi per dare la priorità alla correzione dei risultati relativi a vulnerabilità e configurazioni errate.
  • Utilizza i punteggi di esposizione agli attacchi sulle risorse per proteggere in modo proattivo quelle più importanti per la tua attività.
 Panoramica dei punteggi di esposizione agli attacchi e dei percorsi di attacco
Risolvi i rischi
  • Implementa le istruzioni di correzione verificate e consigliate per proteggere rapidamente gli asset.
  • Concentrati sui campi più importanti dei risultati per aiutare la sicurezza gli analisti prendono rapidamente decisioni di assegnazione delle priorità informate.
  • Arricchisci e collega le vulnerabilità e le minacce correlate per identificare e acquisire le TTP.
  • Risolvi gli errori e le configurazioni errate che impediscono il funzionamento corretto di Security Command Center e dei relativi servizi.

Analisi e risposta alle minacce

Correzione dei risultati di Security Health Analytics

Correzione dei risultati di Web Security Scanner

Sicurezza automazione delle risposte

Correggere gli errori di Security Command Center
Gestione della configurazione di sicurezza
  • Assicurati che i carichi di lavoro siano conformi agli standard di sicurezza, alle normative di conformità e ai requisiti di sicurezza personalizzati della tua organizzazione.
  • Applica i controlli di sicurezza ai progetti, alle cartelle o alle organizzazioni Google Cloud prima di eseguire il deployment di qualsiasi carico di lavoro.
  • Monitora costantemente e risolvi eventuali deviazioni rispetto ai controlli di sicurezza che hai definito.

Panoramica della security posture

Gestisci un security posture
Input da strumenti di sicurezza di terze parti

  • Integra gli output dei tuoi strumenti di sicurezza esistenti, come Cloudflare, CrowdStrike, Prisma Cloud di Palo Alto Networks e Qualys, in Security Command Center. L'integrazione dell'output può aiutarti a rilevare quanto segue:

    • Attacchi DDoS
    • Endpoint compromessi
    • Violazioni delle norme di conformità
    • Attacchi alla rete
    • Vulnerabilità e minacce delle istanze

Configurazione Security Command Center

Creare e gestire le origini di sicurezza
Notifiche in tempo reale
  • Ricevi avvisi di Security Command Center via email, SMS, Slack, WebEx e altri servizi con le notifiche Pub/Sub.
  • Modifica i filtri dei risultati per escludere quelli presenti nelle liste consentite.

Configurazione dei risultati notifiche

Attivare le notifiche via email e chat in tempo reale

Utilizzare i contrassegni di sicurezza

Esportazione Dati di Security Command Center

Filtri notifiche

Aggiungere asset alle liste consentite
API REST e SDK client
  • Utilizza l'API REST di Security Command Center o gli SDK client per un'integrazione semplice con i tuoi flussi di lavoro e sistemi di sicurezza esistenti.

Configurazione di Security Command Center

Security Command Center librerie client

API Security Command Center

Controlli per la residenza dei dati

Per soddisfare i requisiti di residenza dei dati, quando attivi Security Command Center Standard o Premium per la prima volta, puoi abilitare i controlli di residenza dei dati.

L'attivazione dei controlli di residenza dei dati limita l'archiviazione e elaborazione dei risultati di Security Command Center, disattivazione delle regole, esportazioni continue e BigQuery esporta in uno dei centri di in più regioni supportate da Security Command Center.

Per ulteriori informazioni, consulta Pianificare la residenza dei dati.

Livelli di servizio di Security Command Center

Security Command Center offre tre livelli di servizio: Standard, Premium e Aziende.

Il livello selezionato determina le funzionalità e i servizi che sono disponibili con Security Command Center.

Se hai domande sui livelli di servizio di Security Command Center, contatta il rappresentante del tuo account o il team di vendita di Google Cloud.

Per informazioni sui costi associati all'utilizzo di un livello di Security Command Center, consulta Prezzi.

Livello Standard

Il livello Standard include i seguenti servizi e funzionalità:

  • Security Health Analytics: nel livello Standard, Security Health Analytics fornisce l'analisi delle vulnerabilità gestita per Google Cloud, che può rilevare automaticamente le vulnerabilità e le configurazioni errate di gravità più elevata per i tuoi asset Google Cloud. Nel livello Standard, Security Health Analytics include i seguenti tipi di risultati:

    • Dataproc image outdated
    • Legacy authorization enabled
    • MFA not enforced
    • Non org IAM member
    • Open ciscosecure websm port
    • Open directory services port
    • Open firewall
    • Open group IAM member
    • Open RDP port
    • Open SSH port
    • Open Telnet port
    • Public bucket ACL
    • Public Compute image
    • Public dataset
    • Public IP address
    • Public log bucket
    • Public SQL instance
    • SSL not enforced
    • Web UI enabled
  • Scansioni personalizzate di Web Security Scanner: nel livello Standard, Web Security Scanner supporta le scansioni personalizzate per le applicazioni di cui è stato eseguito il deployment con URL e indirizzi IP pubblici che non sono protetti da un firewall. Le scansioni vengono configurate, gestite ed eseguite manualmente per tutti i progetti e supportano un sottoinsieme di categorie della OWASP Top Ten.
  • Errori di Security Command Center: Security Command Center fornisce indicazioni per il rilevamento e la correzione degli errori di configurazione che impediscono il corretto funzionamento di Security Command Center e dei relativi servizi.
  • Continuo Funzionalità di esportazione, che gestisce automaticamente l'esportazione dei nuovi risultati. in Pub/Sub.

  • Accesso ai servizi Google Cloud integrati, tra cui:

    • Sensitive Data Protection rileva, classifica e protegge i dati sensibili.
    • Google Cloud Armor protegge le implementazioni di Google Cloud dalle minacce.
    • Rilevamento di anomalie identifica le anomalie di sicurezza per i tuoi progetti. di macchine virtuali (VM), ad esempio credenziali il mining di criptovalute.
    • Policy Controller consente l'applicazione, anche forzata, dei criteri programmabili per i tuoi cluster Kubernetes.
  • Risultati della dashboard della security posture di GKE: visualizza i risultati relativi a configurazioni errate della sicurezza dei carichi di lavoro Kubernetes, bollettini sulla sicurezza utili e vulnerabilità nel sistema operativo del container o nei pacchetti di linguaggio. L'integrazione dei risultati della dashboard della postura di sicurezza di GKE con Security Command Center è disponibile in anteprima.
  • Integrazione con BigQuery, che esporta i risultati in BigQuery per l'analisi.
  • Sensitive Actions Service, che rileva quando vengono intraprese azioni nell'organizzazione, nelle cartelle e nei progetti Google Cloud che potrebbero danneggiare la tua attività se intraprese da un attore malintenzionato.
  • Quando Security Command Center è attivato a livello di organizzazione, puoi assegnare agli utenti i ruoli IAM a livello di organizzazione, cartella e progetto.
  • Controlli di residenza dei dati che limitano l'archiviazione elaborazione dei risultati di Security Command Center, disattivazione delle regole, esportazioni continue e BigQuery esporta in uno dei centri di in più regioni supportate da Security Command Center.

    Per ulteriori informazioni, consulta Pianificare la residenza dei dati.

Livello Premium

Il livello Premium include tutti i servizi e le funzionalità del livello Standard e i seguenti servizi e funzionalità aggiuntivi:

  • Attacco delle simulazioni del percorso ti aiutano a identificare e assegnare le priorità i risultati relativi a vulnerabilità ed errori di configurazione mediante l'identificazione dei percorsi che un potenziale utente malintenzionato potrebbe adottare per raggiungere le tue risorse di alto valore. Le simulazioni calcolano e assegnano punteggi di esposizione agli attacchi a tutti i risultati che espongono queste risorse. I percorsi di attacco interattivi ti aiutano a visualizzare i possibili percorsi di attacco e forniscono informazioni sui percorsi, sui risultati correlati e sulle risorse interessate.

  • I risultati relativi alle vulnerabilità includono le valutazioni delle CVE fornite da Mandiant per aiutarti a dare la priorità alla loro correzione.

    Nella pagina Panoramica della console, la sezione Principali risultati relativi alle CVE mostra i risultati relativi alle vulnerabilità raggruppati in base alla loro sfruttabilità e al potenziale impatto, come valutato da Mandiant. Nella pagina Risultati, puoi eseguire query sui risultati in base all'ID CVE.

    Per ulteriori informazioni, consulta Assegnare la priorità in base all'impatto e alla sfruttabilità delle CVE.

  • Rilevamento delle minacce di eventi monitora Cloud Logging e Google Workspace, utilizzando intelligence sulle minacce, machine learning e altri metodi avanzati per rilevare minacce come malware, mining di criptovaluta e dati l'esfiltrazione dei dati. Per un elenco completo dei rilevatori di Event Threat Detection integrati, consulta le regole di Event Threat Detection. Puoi anche creare rilevatori Event Threat Detection personalizzati. Per informazioni sui modelli di modulo che puoi usare per creare di rilevamento del traffico, consulta la Panoramica delle moduli personalizzati per Event Threat Detection.
  • Container Threat Detection rileva i seguenti attacchi al runtime dei container:
    • Programma binario aggiuntivo eseguito
    • Libreria aggiuntiva caricata
    • Esecuzione: programma binario dannoso aggiuntivo eseguito
    • Esecuzione: aggiunta di libreria dannosa caricata
    • Esecuzione: programma binario dannoso integrato eseguito
    • Esecuzione: programma binario dannoso modificato eseguito
    • Esecuzione: libreria dannosa modificata caricata
    • Script dannoso eseguito
    • Shell inversa
    • Shell figlio imprevista

  • Sono disponibili le seguenti funzionalità di Policy Intelligence:

    • Funzionalità avanzate del motore per suggerimenti IAM, tra cui:
      • Suggerimenti per i ruoli non di base
      • Suggerimenti per i ruoli concessi per risorse diverse da organizzazioni, cartelle e progetti, ad esempio Suggerimenti per i ruoli concessi ai bucket Cloud Storage
      • Consigli che suggeriscono ruoli personalizzati
      • Approfondimenti sulle norme
      • Informazioni sul movimento laterale
    • Policy Analyzer su larga scala (più di 20 query per organizzazione al giorno). Questo limite è condiviso tra tutti gli strumenti di Analizzatore criteri.
    • Visualizzazioni per l'analisi dei criteri dell'organizzazione.
  • Puoi eseguire query sugli asset in Cloud Asset Inventory.
  • Virtual Machine Threat Detection rileva le applicazioni potenzialmente dannose in esecuzione nelle istanze VM.

  • Analisi dello stato della sicurezza al livello Premium include le seguenti funzionalità:

    • Scansioni delle vulnerabilità gestite per tutti i rilevatori di Security Health Analytics
    • Monitoraggio di molte best practice del settore
    • Monitoraggio della conformità. I rilevatori di Security Health Analytics mappano i controlli dei benchmark di sicurezza comuni.
    • Supporto dei moduli personalizzati, che puoi utilizzare per creare i tuoi rilevatori personalizzati di Security Health Analytics.

    Nel livello Premium, Security Health Analytics supporta gli standard descritti in Gestire la conformità agli standard di settore.

  • Web Security Scanner nel livello Premium include tutte le funzionalità del livello Standard e rilevatori aggiuntivi che supportano le categorie della classifica OWASP Top Ten. Web Security Scanner aggiunge anche scansioni gestite che vengono configurate automaticamente.

  • Monitoraggio della conformità delle risorse Google Cloud.

    Per misurare la conformità con i benchmark di sicurezza più comuni e gli standard, rilevatori delle vulnerabilità di Security Command Center gli scanner sono mappati ai controlli degli standard di sicurezza più comuni.

    Puoi verificare la conformità agli standard, identificare controlli non conformi, esportare report e altro ancora. Per ulteriori informazioni, consulta Valutare e segnalare la conformità agli standard di sicurezza.

  • Puoi richiesta di una quota aggiuntiva di Cloud Asset Inventory se è necessario il monitoraggio esteso degli asset e il futuro.
  • Il servizio di strategia di sicurezza ti consente di definire, valutare e monitorare lo stato complessivo della tua sicurezza in Google Cloud. Per utilizzare la security posture devi attivare il livello Premium di Security Command Center nell'organizzazione livello.
  • La convalida IaC consente di convalidare l'Infrastructure as Code (IaC) in base ai criteri dell'organizzazione e i rilevatori di Security Health Analytics che hai definito in Google Cloud dell'organizzazione. Per utilizzare la convalida IaC, devi attivare Security Command Center Livello Premium a livello di organizzazione.
  • Report sulle vulnerabilità di VM Manager
    • Se abiliti VM Manager, il servizio scrive automaticamente i risultati report sulle vulnerabilità, in anteprima, a Security Command Center. I report identificano le vulnerabilità nei sistemi operativi installati sulle macchine virtuali di Compute Engine. Per ulteriori informazioni, vedi VM Manager.

Livello Enterprise

Il livello Enterprise è una piattaforma di protezione delle applicazioni cloud-native (CNAPP) completa che consente ad analisti SOC, analisti delle vulnerabilità e altri professionisti della sicurezza cloud di gestire la sicurezza su più fornitori di servizi cloud in un unico posto centralizzato.

Il livello Enterprise offre funzionalità di rilevamento e indagine, assistenza per la gestione delle richieste e gestione della postura, inclusa la possibilità di definire e implementare regole di postura personalizzate e quantificare e visualizzare il rischio rappresentato da vulnerabilità e errori di configurazione per il tuo ambiente cloud.

Il livello Enterprise include tutti i servizi e le funzionalità dei livelli Standard e Premium, nonché i seguenti servizi e funzionalità aggiuntivi:

Riepilogo delle funzioni e dei servizi del livello Enterprise

Il livello Enterprise include tutti i servizi e le funzionalità del livello Standard e Premium che vengono rilasciati in versione generale.

Il livello Enterprise aggiunge i seguenti servizi e funzionalità a Security Command Center:

  • Rilevamento di combinazioni tossiche, basato su Security Command Center il motore dei rischi. Per ulteriori informazioni, vedi Panoramica sulle sostanze tossiche combinazioni.
  • Supporto multicloud. Puoi collegare Security Command Center ad altri provider cloud, come AWS, per rilevare minacce, vulnerabilità e errori di configurazione. Inoltre, dopo aver specificato le risorse di alto valore dell'altro provider, puoi anche valutare la loro esposizione agli attacchi i punteggi di esposizione agli attacchi e i percorsi di attacco.
  • Funzionalità SIEM (Security Information and Event Management) per ambienti cloud. Analizza i log e altri dati alla ricerca di minacce per più ambienti cloud, definire le regole di rilevamento delle minacce ed eseguire ricerche dati accumulati. Per ulteriori informazioni, consulta la documentazione di Google SecOps SIEM.
  • Funzionalità SOAR (orchestrazione della sicurezza, automazione e risposta) per gli ambienti cloud. Gestisci i casi, definisci i flussi di lavoro di risposta ed esegui ricerche i dati della risposta. Per ulteriori informazioni, vedi Google SecOps documentazione SOAR.
  • Funzionalità CIEM (Cloud Infrastructure Entitlement Management) per gli ambienti cloud. Identifica gli account principali (identità) configurati in modo errato o a cui sono state concesse autorizzazioni (accesso) IAM eccessive o sensibili alle tue risorse cloud. Per saperne di più, consulta la Panoramica di Cloud Infrastructure Entitlement Management.
  • Rilevamento ampliato delle vulnerabilità del software in VM e container nei tuoi ambienti cloud con i seguenti servizi Google Cloud integrati e integrati:
    • Versione Enterprise di Google Kubernetes Engine (GKE)
    • Vulnerability Assessment per AWS
    • VM Manager

Funzioni di livello Enterprise basate su Google Security Operations

La funzionalità di gestione dei casi, le funzionalità dei playbook e altre funzionalità SIEM e SOAR del livello Enterprise di Security Command Center si basano su Google Security Operations. Quando utilizzi alcune di queste funzionalità, potresti visualizzare il nome di Google SecOps nell'interfaccia web e potresti essere reindirizzato alla documentazione di Google SecOps per ricevere indicazioni.

Alcune funzionalità di Google SecOps non sono supportate o limitate con Security Command Center, ma il loro utilizzo potrebbe non essere disattivato o limitato negli abbonamenti iniziali al livello Enterprise. Utilizza quanto segue funzionalità e funzioni solo in conformità con le limitazioni dichiarate:

  • L'importazione dei log cloud è limitata ai log pertinenti per il rilevamento delle minacce cloud, ad esempio:

    • Google Cloud

      • Log delle attività di amministrazione di Cloud Audit Logs
      • Log di accesso ai dati di Cloud Audit Logs
      • Log di sistema Compute Engine
      • Audit log di GKE

    • Google Workspace

      • Eventi Google Workspace
      • Avvisi di Google Workspace

    • AWS

      • Audit log di CloudTrail
      • Syslog
      • Log di autorizzazione
      • Eventi GuardDuty

  • I rilevamenti selezionati sono limitati a quelli che rilevano le minacce negli ambienti cloud.

  • Le integrazioni di Google Cloud Marketplace sono limitate a quanto segue:

    • Siemplify
    • Strumenti
    • VirusTotal V3
    • Cloud Asset Inventory di Google
    • Google Security Command Center
    • Jira
    • Funzioni
    • Google Cloud IAM
    • Email V2
    • Google Cloud Computing
    • Google Chronicle
    • Attacco a mitra
    • Mandiant Threat Intelligence
    • Google Cloud Policy Intelligence
    • Motore per suggerimenti Google Cloud
    • Utilità Siemplify
    • Servizio ora
    • CSV
    • SCC Enterprise
    • IAM AWS
    • AWS EC2

  • Il numero di regole personalizzate per singolo evento è limitato a 20.

  • Analisi del rischio per UEBA (analisi del comportamento di utenti ed entità) non è disponibile.

  • Applied Threat Intelligence non è disponibile.

  • L'assistenza di Gemini per Google SecOps è limitata alla ricerca in linguaggio naturale e ai riepiloghi delle indagini sui casi.

  • La conservazione dei dati è limitata a tre mesi.

Livelli di attivazione di Security Command Center

Puoi attivare Security Command Center in un singolo progetto, attivazione a livello di progetto, o in un'intera organizzazione, attivazione a livello di organizzazione.

Il livello Enterprise richiede un'attivazione a livello di organizzazione.

Per saperne di più sull'attivazione di Security Command Center, consulta Panoramica dell'attivazione di Security Command Center.

Passaggi successivi