Descripción general conceptual de Security Command Center

Qué ofrece Security Command Center

Security Command Center es el servicio centralizado de informes de vulnerabilidades y amenazas de Google Cloud. Security Command Center te ayuda a fortalecer tu posición de seguridad mediante la evaluación de la superficie de ataque de datos y la seguridad, proporcionando inventario y descubrimiento de elementos, identificando errores de configuración, vulnerabilidades y amenazas, y ayudándote a mitigar y solucionar los riesgos.

Niveles de Security Command Center

El nivel que selecciones determina los servicios integrados de Security Command Center que están disponibles para tu organización:

Detalles del nivel

Funciones del nivel Standard

  • Security Health Analytics: En el nivel Standard, esta función proporciona un análisis de evaluación de vulnerabilidades administrado para Google Cloud, que puede detectar automáticamente las vulnerabilidades de mayor gravedad y las configuraciones incorrectas de tus recursos de Google Cloud. En el nivel Standard, las Estadísticas del estado de la seguridad incluyen los siguientes tipos de resultados:

    • LEGACY_AUTHORIZATION_ENABLED
    • MFA_NOT_ENFORCED
    • NON_ORG_IAM_MEMBER
    • OPEN_CISCOSECURE_WEBSM_PORT
    • OPEN_DIRECTORY_SERVICES_PORT
    • OPEN_FIREWALL
    • OPEN_RDP_PORT
    • OPEN_SSH_PORT
    • OPEN_TELNET_PORT
    • PUBLIC_BUCKET_ACL
    • PUBLIC_COMPUTE_IMAGE
    • PUBLIC_DATASET
    • PUBLIC_IP_ADDRESS
    • PUBLIC_LOG_BUCKET
    • PUBLIC_SQL_INSTANCE
    • SSL_NOT_ENFORCED
    • WEB_UI_ENABLED
  • Análisis personalizados de Web Security Scanner: En el nivel Standard, Web Security Scanner admite análisis personalizados de aplicaciones implementadas con URL públicas y direcciones IP que no están detrás de un firewall. Los análisis se configuran, administran y ejecutan manualmente para todos los proyectos y admiten un subconjunto de categorías en el proyecto OWASP Top Ten.
  • Asistencia para otorgar funciones de Identity and Access Management (IAM) a los usuarios a nivel de organización.
  • Acceso a servicios integrados de Google Cloud, que incluyen lo siguiente:

  • Se integra a Forseti Security, al kit de herramientas de seguridad de código abierto para Google Cloud y a las aplicaciones de administración de eventos e información de seguridad (SIEM) de terceros.

Funciones del nivel Premium

El nivel Premium incluye todas las funciones de nivel Estándar y agrega lo siguiente:

  • Event Threat Detection usa la inteligencia de amenazas, el aprendizaje automático y otros métodos avanzados para supervisar Cloud Logging y Google Workspace de tu organización y detectar las siguientes amenazas:
    • Software malicioso
    • Criptominería
    • Ataques de fuerza bruta a SSH
    • DoS Salientes
    • Otorgamiento anómalo de IAM
    • Robo de datos

    Event Threat Detection también identifica las siguientes amenazas de Google Workspace:

    • Contraseñas filtradas
    • Intentos de violación de las cuentas
    • Cambios en la configuración de la verificación en dos pasos
    • Cambios en la configuración de inicio de sesión único (SSO)
    • Ataques respaldados por el Gobierno
  • Container Threat Detection detecta los siguientes ataques al entorno de ejecución de los contenedores:
    • Se ejecutó el objeto binario añadido
    • Se cargó la biblioteca agregada
    • Secuencia de comandos maliciosa ejecutada
    • Shells inversas
  • Estadísticas del estado de la seguridad: El nivel Premium incluye análisis de vulnerabilidades administrados para todos los detectores de estadísticas del estado de seguridad (más de 140) y proporciona supervisión de muchas prácticas recomendadas de la industria, así como de la supervisión del cumplimiento en todos los sectores tus recursos de Google Cloud. Estos resultados también se pueden consultar en un panel de cumplimiento y exportarse a archivos CSV administrables.

    En el nivel Premium, las estadísticas del estado de la seguridad incluyen la supervisión y los informes para los siguientes estándares:

    • CIS 1.1
    • CIS 1.0
    • PCI DSS v3.2.1
    • NIST 800‑53
    • ISO 27001
  • Web Security Scanner en el nivel Premium incluye todas las funciones del nivel Standard y agrega análisis administrados que se configuran automáticamente. En estos análisis, se identifican las siguientes vulnerabilidades de seguridad en tus apps de Google Cloud:
    • Secuencia de comandos entre sitios (XSS)
    • Inyección Flash
    • Contenido mixto
    • Contraseñas en texto claro
    • Uso de bibliotecas de JavaScript inseguras
  • Asistencia para otorgar funciones de IAM a los usuarios a niveles de organización, carpeta y proyecto.
  • Exportaciones continuas, que administran automáticamente la exportación de nuevos resultados a Pub/Sub.

Informes de vulnerabilidad de VM Manager

  • Si habilitas VM Manager, el servicio escribe automáticamente los resultados de sus informes de vulnerabilidades, que se encuentran en vista previa, en Security Command Center. Los informes identifican vulnerabilidades en los sistemas operativos instalados en las máquinas virtuales de Compute Engine. Para obtener más información, consulta VM Manager.

Para obtener información sobre los costos asociados con el uso de un nivel de Security Command Center, consulta Precios.

Para suscribirte al nivel Premium de Security Command Center, comunícate con tu representante de cuenta.

Fortalece tu posición de seguridad

Security Command Center funciona con Cloud Asset Inventory para proporcionar visibilidad completa de la infraestructura y los recursos de Google Cloud, también conocidos como elementos. Los servicios integrados, Security Health Analytics, Event Threat Detection, Container Threat Detection y Web Security Scanner, usan casi 200 módulos de detección que supervisan y analizan de forma continua tus elementos, aplicaciones web y transmisiones de Cloud Logging, los registros de Google Workspace y Grupos de Google.

Gracias a la tecnología de inteligencia de amenazas, el aprendizaje automático y las estadísticas únicas de Google sobre la arquitectura de Google Cloud, Security Command Center detecta vulnerabilidades, configuraciones incorrectas, amenazas y violaciones de cumplimiento casi en tiempo real. Los resultados de seguridad y los informes de cumplimiento te ayudan a clasificar y priorizar los riesgos, y proporcionan instrucciones de solución verificadas y sugerencias de expertos para responder a los resultados.

En la siguiente figura, se ilustran los servicios principales y las operaciones en Security Command Center.

Cómo funciona SCC

Amplio inventario con recursos, datos y servicios

Security Command Center transfiere datos sobre elementos nuevos, modificados y borrados de Cloud Asset Inventory, lo que supervisa de forma continua los elementos del entorno de nube. Security Command Center admite un gran subconjunto de elementos de Google Cloud. Para la mayoría de los elementos, los cambios de configuración, incluidas las políticas de IAM y de la organización, se detectan casi en tiempo real. Puedes identificar los cambios en tu organización con rapidez y responder preguntas como las siguientes:

  • ¿Cuántos proyectos tienes y cuántos proyectos son nuevos?
  • ¿Qué recursos de Google Cloud se implementan o usan, como las máquinas virtuales (VM) de Compute Engine, los buckets de Cloud Storage o las instancias de App Engine?
  • ¿Cuál es su historial de implementaciones?
  • Cómo organizar, anotar, buscar, seleccionar, filtrar y ordenar en las siguientes categorías:
    • Recursos y propiedades de los recursos
    • Marcas de seguridad, que te permiten anotar recursos o resultados en Security Command Center
    • Período

Security Command Center siempre conoce el estado actual de los elementos compatibles y, en Google Cloud Console o la API de Security Command Center, te permite revisar análisis históricos de descubrimiento para comparar elementos entre puntos. También puedes buscar recursos con poco uso, como máquinas virtuales o direcciones IP inactivas.

Estadísticas prácticas de seguridad

Los servicios integrados de Security Command Center supervisan de forma continua tus elementos y registros para detectar indicadores de vulneración y cambios en la configuración que coincidan con amenazas, vulnerabilidades y configuraciones incorrectas conocidas. A fin de proporcionar contexto para los incidentes, los resultados se enriquecen con información de las siguientes fuentes:

Recibes notificaciones de resultados nuevos casi en tiempo real, lo que ayuda a que tus equipos de seguridad recopilen datos, identifiquen amenazas y tomen medidas al respecto antes de que haya daños o pérdidas empresariales.

Con un panel centralizado y una API sólida, puedes hacer lo siguiente con rapidez:

  • Responde preguntas como estas:
    • ¿Qué direcciones IP están abiertas al público?
    • ¿Qué imágenes se ejecutan en tus VM?
    • ¿Hay evidencia de que tus VM se usan para la minería de criptomonedas o cualquier otra operación abusiva?
    • ¿Qué cuentas de servicio se agregaron o quitaron?
    • ¿Cómo se configuran los firewalls?
    • ¿Qué buckets de almacenamiento contienen información de identificación personal (PII) o datos sensibles? Esta función requiere la integración en Cloud Data Loss Prevention.
    • ¿Qué aplicaciones en la nube están expuestas a las vulnerabilidades de las secuencias de comandos entre sitios (XSS)?
    • ¿Algunos de mis buckets de Cloud Storage están abiertos a Internet?
  • Toma medidas para proteger tus activos:
    • Implementa pasos de solución verificados para las configuraciones incorrectas de elementos y los incumplimientos de cumplimiento.
    • Combina la inteligencia de amenazas de Google Cloud y proveedores externos, como Palo Alto Networks, para proteger mejor tu empresa de las amenazas de capas de procesamiento costosas.
    • Asegúrate de que las políticas de IAM adecuadas estén implementadas y obtén alertas cuando las políticas se configuren de forma incorrecta o cambien de manera inesperada.
    • Integra los resultados de tus propias fuentes o de fuentes de terceros para recursos de Google Cloud, o recursos híbridos o de múltiples nubes. Para obtener más información, consulta Agrega un servicio de seguridad de terceros.
    • Responde a las amenazas en tu entorno de Google Workspace y a los cambios no seguros en Grupos de Google.

Las funciones de Security Command Center se otorgan a nivel de organización, carpeta o proyecto. Tu capacidad para ver, editar, crear o actualizar hallazgos, elementos, fuentes de seguridad y marcas de seguridad depende del nivel para el que se te otorga acceso. Para obtener más información sobre las funciones de Security Command Center, consulta Control de acceso.

Cumplimiento de los estándares de la industria

Los informes de cumplimiento están disponibles como parte de las estadísticas del estado de la seguridad. La mayoría de los detectores del servicio se asignan a uno o más de los siguientes estándares de cumplimiento:

  • CIS Google Cloud Computing Foundations Benchmark v1.1.0 (CIS Google Cloud Foundation 1.1)
  • CIS Google Cloud Computing Foundations Benchmark v1.0.0 (CIS Google Cloud Foundation 1.0)
  • Payment Card Industry Data Security Standard 3.2.1
  • National Institute of Standards and Technology 800-53
  • International Organization for Standardization 27001
  • Open Web Application Security Project (OWASP) Top Ten

Las estadísticas del estado de la seguridad evalúan tu posición de seguridad de forma continua en función de los estándares de cumplimiento. Además, Security Command Center facilita las siguientes acciones:

  • Supervisa y resuelve las vionlaciones de cumplimiento asociados con los resultados.
  • Integra eventos de Cloud Audit Logging para Compute Engine, los servicios de herramientas de redes, Cloud Storage, IAM y la autorización binaria. Esto te ayudará a cumplir con los requisitos reglamentarios o a proporcionar un registro de auditoría mientras se investigan los incidentes.
  • Si te suscribes a Security Command Center Premium, obtendrás opciones adicionales de informes y exportación para garantizar que todos tus recursos cumplan con los requisitos de cumplimiento.

Plataforma flexible para satisfacer tus necesidades de seguridad

Security Command Center incluye opciones de integración que te permiten mejorar la utilidad del servicio para satisfacer tus necesidades de seguridad en constante evolución:

Cuándo usar Security Command Center

En la siguiente tabla, se incluyen funciones de producto de alto nivel, casos de uso y vínculos a documentación relevante para ayudarte a encontrar rápidamente el contenido que necesitas.

Función Casos de uso Documentos relacionados
Inventario y descubrimiento de recursos
  • Descubre recursos, servicios y datos en toda tu organización, y visualízalos en un solo lugar.
  • Evalúa las vulnerabilidades de los recursos compatibles y toma medidas para priorizar las correcciones de los problemas más graves.
  • Revisa análisis históricos de descubrimiento para identificar elementos nuevos, modificados o borrados.
Optimizar Security Command Center

Control de acceso

Usa el panel de Security Command Center

Configura el descubrimiento de recursos

Mostrar recursos

Identificación de datos confidenciales
  • Averigua dónde se almacenan los datos sensibles y regulados mediante Cloud DLP.
  • Evita exposiciones no deseadas y cerciórate de que solo puedan acceder quienes lo necesiten en realidad.
Envía los resultados de Cloud DLP a Cloud SCC

Integración en SIEM y SOAR
  • Exporta los datos de Security Command Center a sistemas externos con facilidad.
Exporta datos de Security Command Center

Exportaciones continuas

Detección de vulnerabilidades
  • Recibe alertas proactivas sobre vulnerabilidades y cambios nuevos en la superficie de ataque.
  • Descubre vulnerabilidades comunes, como secuencias de comandos entre sitios (XSS) o inyecciones Flash, que ponen en riesgo tus aplicaciones.
Descripción general de Web Security Scanner

Hallazgos de vulnerabilidades

Supervisión del control de acceso
  • Ayuda a garantizar que se apliquen las políticas de control de acceso adecuadas en tus recursos de Google Cloud y que se te notifique cuando las políticas estén mal configuradas o cambien de forma inesperada.
Control de acceso
Detección de amenazas
  • Detecta actividades y actores maliciosos en tu infraestructura, y recibe alertas de amenazas activas.
Descripción general de Event Threat Detection

Descripción general de la detección de amenazas de contenedores

Soluciona los riesgos
  • Implementa instrucciones de solución verificadas y recomendadas para proteger los elementos con rapidez.
  • Enfócate en los campos más importantes de los hallazgos para ayudar a los analistas de seguridad a tomar decisiones de evaluación fundamentadas con rapidez.
  • Enriquece y conecta vulnerabilidades y amenazas relacionadas para identificar y capturar TTP.
Investigar amenazas y responder ante ellas

Soluciona los problemas de las estadísticas de estado de seguridad

Solución de los resultados de Web Security Scanner

Automatización de la respuesta de seguridad

Entradas de herramientas de seguridad de terceros
  • Integra los resultados de tus herramientas de seguridad existentes, como Cloudflare, CrowdStrike, Prisma Cloud de Palo Alto Networks y Qualys, en Security Command Center. La integración de resultados puede ayudarte a detectar lo siguiente:

    • Ataques de DDoS
    • Extremos vulnerados
    • Incumplimientos de la política de cumplimiento
    • Ataques de red
    • Vulnerabilidades y amenazas de instancias
Configurar Security Command Center

Crea y administra recursos de seguridad

Notificaciones en tiempo real
  • Recibe alertas de Security Command Center a través de correo electrónico, SMS, Slack, WebEx y otros servicios con notificaciones de Pub/Sub.
  • Ajusta los filtros de resultado para excluir los resultados de las listas de permisos.
Configura la búsqueda de notificaciones

Habilitar notificaciones de chat y correo electrónico en tiempo real

Usa marcas de seguridad

Exporta datos de Security Command Center

Filtra notificaciones

Agrega elementos a las listas de entidades permitidas

API de REST y SDK de cliente
  • Usa la API de REST de Security Command Center o los SDK cliente para una integración sencilla en tus sistemas de seguridad y flujos de trabajo existentes.
Configurar Security Command Center

Accede a Security Command Center de manera programática

API de Security Command Center

¿Qué sigue?