Visão geral do Security Command Center

Nesta página, você encontra uma visão geral do Security Command Center, uma solução de gerenciamento de risco que, com o nível Enterprise, combina operações de segurança na nuvem e corporativas e oferece insights da experiência da Mandiant e da inteligência artificial do Gemini.

A Security Command Center permite que analistas de centro de operações de segurança (SOC), analistas de vulnerabilidade e postura, gerentes de compliance e outros profissionais de segurança avaliem, investiguem e respondam rapidamente a problemas de segurança em vários ambientes de nuvem.

Toda implantação de nuvem tem riscos únicos. O Security Command Center pode ajudar a entender e avaliar a superfície de ataque dos seus projetos ou da organização no Google Cloud e a superfície de ataque dos outros ambientes de nuvem. configurados corretamente para proteger seus recursos; O Security Command Center ajuda você a entender as vulnerabilidades e ameaças detectadas nos seus ambientes de nuvem e priorizar as correções.

O Security Command Center integra-se a muitos serviços do Google Cloud para detectar problemas de segurança em vários ambientes de nuvem. Esses serviços detectam problemas de várias maneiras, como a verificação de metadados de recursos, a verificação de registros de nuvem, a verificação de contêineres e a verificação de máquinas virtuais.

Alguns desses serviços integrados, como o Google Security Operations e Mandiant, também oferecem capacidades e informações que estão fundamental para priorizar e gerenciar suas investigações e resposta aos problemas detectados.

Gerenciar ameaças

Nos níveis Premium e Enterprise, o Security Command Center usa serviços integrados e integrados do Google Cloud para detectar ameaças. Eles verificam os registros do Google Cloud, contêineres e máquinas virtuais em busca de indicadores de ameaças.

Quando esses serviços, como a Detecção de ameaças a eventos ou a Detecção de ameaças a contêineres, detectam um indicador de ameaça, eles emitem uma descoberta. Uma descoberta é um relatório ou registro de uma ameaça individual ou outro problema que um serviço encontrou no seu ambiente de nuvem. Os serviços que emitem também são chamadas de fontes de descoberta.

No Security Command Center Enterprise, as descobertas acionam alertas que, dependendo da gravidade da descoberta, podem gerar um caso. Você pode usar um caso com um sistema de emissão de tíquetes para atribuir proprietários à investigação e resposta a um ou mais alertas no caso.

O Security Command Center Enterprise também pode detectar ameaças nas suas implantações em outras plataformas na nuvem. Para detectar ameaças em implantações em outras plataformas de nuvem, o Security Command Center ingere os registros da outra plataforma de nuvem depois que você estabelece uma conexão.

Para mais informações, consulte as seguintes páginas:

Recursos de detecção e resposta a ameaças

Com o Security Command Center, os analistas de SOC podem ter os seguintes benefícios de segurança metas:

  • Detecte eventos nos seus ambientes de nuvem que indicam uma possível ameaça e fazer a triagem das descobertas ou alertas associados.
  • Atribua proprietários e acompanhe o progresso das investigações e respostas com um fluxo de trabalho de caso integrado. Se preferir, integre suas preferências sistemas de tíquetes, como Jira ou ServiceNow.
  • Investigue os alertas de ameaças com pesquisa avançada e referência cruzada recursos.
  • Defina fluxos de trabalho de resposta e automatize ações para lidar com possíveis ataques aos seus ambientes de nuvem. Para mais informações sobre como definir fluxos de trabalho de resposta e ações automatizadas com playbooks, consulte Trabalhar com playbooks.
  • Silenciar ou excluir descobertas ou alertas que sejam falsos positivos.
  • Foque nas ameaças relacionadas a identidades e permissões de acesso comprometidas.
  • Use o Security Command Center para detectar, investigar e responder a possíveis ameaças em outros ambientes de nuvem, como a AWS.

Gerenciar vulnerabilidades

O Security Command Center oferece detecção abrangente de vulnerabilidades, verificando automaticamente os recursos no seu ambiente em busca de vulnerabilidades de software, configurações incorretas e outros tipos de problemas de segurança que podem expor você a ataques. Esse tipo de problema é chamado coletivamente de vulnerabilidades.

O Security Command Center usa modelos integrados serviços integrados do Google Cloud para detectar problemas de segurança. Os serviços que emitem descobertas também são conhecidos como origens de descobertas. Quando um serviço detecta um problema, ele emite uma descoberta para registrar o problema.

Por padrão, os casos são abertos automaticamente para casos de vulnerabilidades de gravidade crítica para ajudar você a priorizar e correção de problemas. É possível atribuir proprietários e acompanhar o progresso da correção a um caso.

Para ver mais informações, consulte os seguintes tópicos:

Combinações ruins

O mecanismo de risco do Security Command Center, um recurso do nível Enterprise, detecta grupos de problemas de segurança que, quando ocorrem juntos em um padrão específico, criam um caminho para um ou mais recursos de alto valor que um invasor determinado poderia usar para acessar e comprometer esses recursos.

Esse tipo de grupo de problemas de segurança com padrão é chamado de combinação tóxica. Quando o mecanismo de risco detecta uma combinação tóxica, ele emite uma descoberta. Para cada descoberta de combinação tóxica, O Security Command Center cria um caso no console de Operações de Segurança, para que você possa gerenciar e rastrear a resolução da combinação tóxica.

Para mais informações, consulte Visão geral das combinações tóxicas.

Vulnerabilidades de software

Para ajudar a identificar, entender e priorizar vulnerabilidades de software, o Security Command Center pode avaliar as máquinas virtuais (VMs) e os contêineres nos seus ambientes de nuvem em busca de vulnerabilidades. Para cada detecção vulnerabilidade, o Security Command Center fornece informações detalhadas em um registro ou descoberta. As informações fornecidas com uma descoberta podem incluir:

  • Detalhes do recurso afetado
  • Informações sobre qualquer registro de CVE associado, incluindo uma avaliação da Mandiant sobre o impacto e a vulnerabilidade do item de CVE
  • Uma pontuação de exposição a ataques para ajudar a priorizar a correção
  • Uma representação visual do caminho que um invasor pode seguir para acessar os recursos de alto valor expostos pela vulnerabilidade

As vulnerabilidades de software são detectadas pelos seguintes serviços:

Configurações incorretas

O Security Command Center mapeia os detectores dos serviços que verificam configurações incorretas para os controles dos padrões de compliance comuns do setor. Além de mostrar os padrões de compliance que uma configuração incorreta viola, o mapeamento permite que você veja uma medida de compliance com os vários padrões, que podem ser exportados como um relatório.

Para mais informações, consulte Avaliar e informar sobre compliance.

Violações de postura

Os níveis Premium e Enterprise do Security Command Center incluem o serviço de postura de segurança, que emite descobertas quando seus recursos de nuvem violam as políticas definidas nas posturas de segurança implantadas no seu ambiente de nuvem.

Para mais informações, consulte Serviço de postura de segurança.

Validar a infraestrutura como código

É possível verificar se os arquivos de infraestrutura como código (IaC) estão alinhados às políticas da organização e aos detectores do Security Health Analytics definidos na organização do Google Cloud. Esse recurso ajuda a garantir que você não implemente recursos que violem os padrões da sua organização. Depois de definir suas políticas organizacionais e, se necessário, ativar o serviço de Análise de integridade de segurança, use a CLI do Google Cloud para validar seu arquivo de plano do Terraform ou integre o processo de validação ao fluxo de trabalho de desenvolvedor do Cloud Build, Jenkins ou GitHub Actions. Para mais informações, consulte Validar a IaC em relação às políticas da organização.

Detecte vulnerabilidades e configurações incorretas em outras plataformas de nuvem

O Security Command Center Enterprise pode detectar vulnerabilidades em vários em ambientes de nuvem híbrida. Para detectar vulnerabilidades em outros provedores de serviços de nuvem, primeiro é necessário estabelecer uma conexão com o provedor para extrair os metadados do recurso.

Para mais informações, consulte Conectar-se à AWS para detecção de vulnerabilidades e avaliação de risco.

Recursos de gerenciamento de vulnerabilidades e postura

No Security Command Center, analistas de vulnerabilidades, administradores de postura e profissionais de segurança semelhantes podem atingir as metas de segurança a seguir:

  • Detecte diferentes tipos de vulnerabilidades, incluindo vulnerabilidades de software, configurações incorretas e violações de postura, que podem expor seus ambientes de nuvem a possíveis ataques.
  • Concentre seus esforços de resposta e correção nos problemas de maior risco usando as pontuações de exposição a ataques nas descobertas e alertas para vulnerabilidades.
  • Atribuir proprietários e acompanhar o progresso das correções de vulnerabilidades usando casos e integrando seus sistemas de tíquetes preferidos, como o Jira ou ServiceNow.
  • Proteja proativamente os recursos de alto valor nos seus ambientes de nuvem reduzindo as pontuações de exposição a ataques.
  • Defina posturas de segurança personalizadas para seus ambientes de nuvem que O Security Command Center usa para avaliar sua postura e alertar sobre violações.
  • Desative ou exclua descobertas ou alertas que sejam falsos positivos.
  • Focar em vulnerabilidades relacionadas a identidades e com excesso de permissões.
  • Detecte e gerencie vulnerabilidades e avaliações de risco do Security Command Center para outros ambientes de nuvem, como a AWS.

Avaliar o risco com pontuações de exposição a ataques e caminhos de ataque

Com as ativações dos níveis Premium e Enterprise no nível da organização, o Security Command Center fornece pontuações de exposição a ataques para recursos de alto valor e as descobertas de vulnerabilidade e configuração incorreta que afetam os recursos de alto valor.

Essas pontuações podem ser usadas para priorizar a correção de vulnerabilidades e configurações incorretas, para priorizar a segurança recursos de alto valor mais expostos e geralmente avalia quão exposto ambientes em nuvem sejam atacados.

No painel Vulnerabilidades ativas da página Visão geral do risco no console do Google Cloud, A guia Descobertas por pontuação de exposição a ataques mostra as descobertas com pontuações mais altas de exposição a ataques no seu ambiente, bem como a distribuição das pontuações.

Para mais informações, consulte Pontuações de exposição a ataques e caminhos de ataque.

Gerenciar descobertas e alertas com casos

O Security Command Center Enterprise cria casos para ajudar você a gerenciar descobertas e alertas, atribuir proprietários e gerenciar as investigações e respostas a e detectaram problemas de segurança. Os casos são abertos automaticamente nos casos de alta gravidade e problemas de gravidade crítica.

É possível integrar casos ao sistema de tíquetes de sua preferência, como o Jira ou ServiceNow. Quando os casos são atualizados, todos os tíquetes abertos para o caso podem ser atualizados automaticamente. Da mesma forma, se um tíquete for atualizado, o caso correspondente também poderá ser atualizado.

Para mais informações, consulte Visão geral de casos na a documentação do Google SecOps.

Definir fluxos de trabalho de resposta e ações automatizadas

Defina fluxos de trabalho de resposta e automatize ações para investigar e responder aos problemas de segurança detectados nos seus ambientes de nuvem.

Para mais informações sobre como definir fluxos de trabalho de resposta e ações com playbooks, consulte Trabalhar com playbooks.

Suporte a várias nuvens: proteja suas implantações em outras plataformas de nuvem

É possível estender os serviços e recursos do Security Command Center para abranger as implantações em outras plataformas de nuvem. Assim, você pode gerenciar em um único local todas as ameaças e vulnerabilidades detectadas em todos os seus ambientes de nuvem.

Para mais informações sobre como conectar o Security Command Center a outro provedor de serviços em nuvem, consulte estas páginas:

Provedores de serviços de nuvem compatíveis

O Security Command Center pode se conectar ao Amazon Web Services (AWS).

Definir e gerenciar posturas de segurança

Com as ativações do nível da organização dos níveis Premium e Enterprise do Security Command Center, é possível criar e gerenciar posturas de segurança que definem o estado necessário dos seus recursos de nuvem, incluindo a rede de nuvem e os serviços de nuvem, para garantir a segurança ideal no seu ambiente de nuvem. É possível personalizar as posturas de segurança de acordo com os requisitos de segurança e regulatórias. Ao definir uma postura de segurança, é possível minimizar os riscos de segurança cibernética organização e ajudam a prevenir ataques.

Você usa o serviço de postura de segurança do Security Command Center para definir e implantar uma postura de segurança e detectar qualquer desvio ou mudança não autorizada da postura definida.

O serviço de postura de segurança é ativado automaticamente quando você ativar o Security Command Center no nível da organização.

Para mais informações, consulte Visão geral da postura de segurança.

Identificar seus recursos

O Security Command Center inclui informações de recursos do Inventário de recursos do Cloud, que monitora continuamente os recursos no seu ambiente de nuvem. Para a maioria dos recursos, as alterações de configuração, incluindo o IAM e as políticas da organização, são detectadas quase em tempo real.

Na página Recursos do console do Google Cloud, é possível aplicar, editar e executar rapidamente consultas de recursos de amostra, adicionar uma restrição de tempo predefinida ou escrever suas próprias consultas de recursos.

Se você tiver o nível Premium ou Enterprise do Security Command Center, poderá ver quais dos seus recursos são designados como recursos de alto valor para avaliações de risco por simulações de caminho de ataque.

É possível identificar rapidamente mudanças na sua organização ou projeto e responder a perguntas como estas:

  • Quantos projetos você tem e quando eles foram criados?
  • Quais recursos do Google Cloud são implantados ou estão em uso, como máquinas virtuais (VMs) do Compute Engine, buckets do Cloud Storage ou instâncias do App Engine?
  • Qual é seu histórico de implantação?
  • Como organizar, anotar, pesquisar, selecionar, filtrar e classificar nas seguintes categorias:
    • Recursos e propriedades do recurso
    • Marcações de segurança, que permitem fazer anotações em recursos ou descobertas no Security Command Center
    • Período

O Cloud Asset Inventory sempre sabe o estado atual dos recursos compatíveis e, no Console do Google Cloud, permite analisar as verificações históricas de descoberta para comparar recursos entre pontos no tempo. Também é possível procurar recursos subutilizados, como máquinas virtuais ou endereços IP inativos.

Recursos do Gemini no Security Command Center

O Security Command Center incorpora o Gemini para fornecer resumos de descobertas e caminhos de ataque, e para auxiliar suas pesquisas e investigações de ameaças e vulnerabilidades detectadas.

Para saber mais sobre o Gemini, consulte Visão geral do Gemini.

Resumos do Gemini sobre descobertas e caminhos de ataque

Se você estiver usando o Security Command Center Enterprise ou Premium, o Gemini vai fornecer explicações geradas dinamicamente a cada descoberta e caminho de ataque simulado que o Security Command Center gera para as descobertas de classes Vulnerability e Misconfiguration.

Os resumos são escritos em linguagem natural para ajudar você a entender e agir rapidamente com base nas descobertas e nos caminhos de ataque que possam acompanhá-los.

.

Os resumos aparecem nos seguintes locais no console do Google Cloud:

  • Ao clicar no nome de uma descoberta individual, o resumo na parte superior da página de detalhes da descoberta.
  • Com os níveis Premium e Enterprise do Security Command Center, se uma descoberta tiver uma pontuação de exposição a ataques, você poderá exibir o resumo à direita do caminho de ataque clicando na pontuação de exposição a ataques e depois em Resumo da IA.

Permissões do IAM obrigatórias para resumos gerados por IA

Para ver os resumos de IA, você precisa das permissões de IAM necessárias.

Para descobertas, você precisa da permissão securitycenter.findingexplanations.get do IAM. O papel do IAM predefinido com a menor permissão que contém essa permissão é o Leitor de descobertas da Central de segurança (roles/securitycenter.findingsViewer, na sigla em inglês).

Para caminhos de ataque, a permissão securitycenter.exposurepathexplan.get do IAM é necessária. O papel do IAM predefinido com a menor permissão possível que contém essa permissão é o Leitor de caminhos de exposição da Central de segurança (roles/securitycenter.exposurePathsViewer, na sigla em inglês).

Durante a visualização, essas permissões não estão disponíveis no console do Google Cloud para adicionar a papéis personalizados do IAM.

Para adicionar a permissão a um papel personalizado, use a CLI do Google Cloud.

Para informações sobre como usar a CLI do Google Cloud para adicionar permissões a um papel personalizado, consulte Criar e gerenciar papéis personalizados.

Pesquisa em linguagem natural para investigações de ameaças

Você pode gerar pesquisas de descobertas de ameaças, alertas e outras informações usando consultas de linguagem natural e o Gemini. Para mais informações, consulte Usar linguagem natural para gerar consultas de pesquisa da UDM na documentação do Google SecOps.

Widget de investigação de IA para casos

Para ajudar você a entender e investigar casos de descobertas e alertas, O Gemini oferece um resumo de cada caso e sugere próximas etapas para investigar o caso. O resumo e as próximas etapas são exibidos no widget Investigação de IA quando você está visualizando um caso.

Insights de segurança acionáveis

Os serviços integrados e integrados do Security Command Center do Google Cloud monitoram continuamente seus recursos e registros em busca de indicadores de comprometimento e alterações de configuração que correspondem a ameaças, vulnerabilidades e configurações incorretas. Para fornecer informações sobre incidentes, as descobertas são enriquecidas com informações das seguintes fontes:

  • Com os níveis Enterprise e Premium:
    • Resumos gerados por IA que ajudam a entender e agir com relação às descobertas do Security Command Center e os caminhos de ataque incluídos nelas. Para mais informações, consulte Resumos gerados por IA.
    • As descobertas de vulnerabilidades incluem informações das entradas de CVE correspondentes, incluindo a pontuação da CVE, e avaliações da Mandiant sobre os recursos impacto potencial e potencial para ser explorado.
    • Recursos de pesquisa poderosos de SIEM e SOAR, que permitem investigar ameaças e vulnerabilidades e alternar entre entidades relacionadas em uma linha do tempo unificada.
  • O VirusTotal, um Serviço da Alphabet que fornece contexto sobre arquivos potencialmente maliciosos, URLs, domínios e endereços IP.
  • framework MITRE ATT&CK, que explica técnicas para ataques contra recursos da nuvem e fornece soluções orientação.
  • Registros de auditoria do Cloud (Registros de atividade do administrador e registros de acesso a dados).

Você recebe notificações de novas descobertas quase em tempo real, ajudando as equipes de segurança a coletar dados, identificar ameaças e agir de acordo com as recomendações antes que elas resultem em danos ou perdas aos negócios.

Com uma visualização centralizada da postura de segurança e uma API robusta, é possível fazer rapidamente o seguinte:

  • Responda a perguntas como estas:
    • Quais endereços IP estáticos estão abertos ao público?
    • Quais imagens estão sendo executadas nas VMs?
    • Há evidências de que suas VMs estão sendo usadas para mineração de moedas ou outras operações abusivas?
    • Quais contas de serviço foram adicionadas ou removidas?
    • Como os firewalls são configurados?
    • Quais buckets de armazenamento contêm informações de identificação pessoal (PII) ou dados confidenciais? Esse recurso requer integração com a Proteção de dados confidenciais.
    • Quais aplicativos de nuvem são vulneráveis à vulnerabilidades entre scripts (XSS, na sigla em inglês)?
    • Todos os meus buckets do Cloud Storage estão abertos à Internet?
  • Tome medidas para proteger seus recursos:
    • Implemente etapas de remediação verificadas para configurações incorretas de recursos e violações de conformidade.
    • Combine a inteligência de ameaça do Google Cloud e de provedores terceirizados, como a Palo Alto Networks, para proteger melhor sua empresa de ameaças caras às camadas de computação.
    • Verifique se as políticas do IAM apropriadas estão em vigor e receba alertas quando as políticas forem configuradas incorretamente ou inesperadamente.
    • Integre descobertas de fontes próprias ou de terceiros para recursos do Google Cloud ou outros recursos híbridos ou multicloud. Para mais informações, consulte Como adicionar um serviço de segurança terceirizado.
    • Responda a ameaças no ambiente do Google Workspace e a alterações não seguras no Grupos do Google.

Configurações incorretas de identidade e acesso

O Security Command Center facilita a identificação e a resolução de descobertas de identidade e configurações incorretas de acesso no Google Cloud. As descobertas de configuração incorreta identificam participantes (identidades) que estão configurados incorretamente ou que têm permissões excessivas ou sensíveis do IAM (acesso) aos recursos do Google Cloud.

Gerenciamento de direitos de infraestrutura do Cloud

O gerenciamento de problemas de segurança relacionados à identidade e ao acesso às vezes é chamado de gerenciamento de direitos de acesso à infraestrutura de nuvem (CIEM, na sigla em inglês). O Security Command Center oferece capacidades do CIEM que ajudam a fornecer uma visão abrangente a segurança da configuração de identidade e acesso da organização. O Security Command Center oferece esses recursos para várias plataformas de nuvem, incluindo Google Cloud e Amazon Web Services (AWS). Com CIEM, você pode ver quais principais têm permissões excessivas nos seus em ambientes de nuvem híbrida. Além do IAM do Google Cloud, o CIEM oferece suporte à capacidade de investigar as permissões que os principais de outros provedores de identidade (como o Entra ID (Azure AD) e o Okta) têm nos seus recursos do Google Cloud. É possível conferir as descobertas de identidade e acesso mais graves de vários provedores de nuvem no painel Identity and access findings na página Overview do Security Command Center no console do Google Cloud.

Para mais informações sobre os recursos de CIEM do Security Command Center, consulte Visão geral do gerenciamento de direitos de acesso à infraestrutura do Cloud.

Predefinições de consulta de identidade e acesso

Na página Vulnerability (Vulnerabilidade) no console do Google Cloud, é possível selecionar predefinições de consulta (consultas predefinidas) que mostram os detectores de vulnerabilidade ou as categorias relacionadas à identidade e ao acesso. O número de descobertas ativas é exibido para cada categoria.

Para mais informações sobre as predefinições de consulta, consulte Aplicar predefinições de consulta.

Gerenciar a conformidade com os padrões do setor

Monitores do Security Command Center sua conformidade com detectores associados aos controles de vários sistemas de segurança de conformidade.

Para cada padrão de segurança compatível, o Security Command Center verifica um subconjunto dos controles. Para os controles verificados, o Security Command Center mostra quantos passando. Para os controles que não são aprovados, o Security Command Center mostra uma lista de descobertas que descrevem as falhas de controle.

O CIS analisa e certifica os mapeamentos o Security Command Center de detecção a cada versão com suporte do comparativo de mercado CIS do Google Cloud Foundations. Outros mapeamentos de conformidade são incluídos apenas para fins de referência.

o Security Command Center adiciona suporte a novas versões de comparativo de mercado e padrões periodicamente. Versões mais antigas permanecem com suporte, mas se tornarão obsoletos em algum momento. Recomendamos que você use o comparativo de mercado compatível mais recente ou padrão.

Com o serviço de postura de segurança, é possível mapear políticas da organização e detectores da Análise de integridade da segurança para os padrões e controles aplicáveis à sua empresa. Depois de criar uma postura de segurança, é possível monitorar as mudanças ao ambiente que pode afetar a conformidade da sua empresa.

Para mais informações sobre como gerenciar a conformidade, consulte Avalie e relate compliance com a segurança de conformidade.

Padrões de segurança compatíveis

Google Cloud

o Security Command Center mapeia os detectores do Google Cloud para um ou mais dos requisitos de conformidade a seguir padrão:

AWS

o Security Command Center mapeia os detectores da Amazon Web Services (AWS) para um ou mais dos seguintes itens de padrão:

Plataforma flexível para atender às suas necessidades de segurança

O Security Command Center inclui opções de personalização e integração que permitem melhorar o utilitário do serviço para atender às suas necessidades de segurança em constante evolução.

Opções de personalização

As opções de customização incluem:

Opções de integração

As opções de integração incluem:

Quando usar o Security Command Center

A tabela a seguir inclui recursos de alto nível do produto, casos de uso e links para a documentação relevante, ajudando você a encontrar rapidamente o conteúdo necessário.

Recurso Casos de uso Documentos relacionados
Identificação e análise de recursos
  • visualizar em um só lugar todos os recursos, serviços e dados de toda a organização ou projeto e de nas plataformas de nuvem.
  • Avalie as vulnerabilidades dos recursos compatíveis e tome medidas para priorizar as correções dos problemas mais graves.

Security Command Center práticas recomendadas

Controle de acesso

Uso Security Command Center no console do Google Cloud

Identificação de dados confidenciais
  • Descubra onde dados confidenciais e regulamentados são armazenados usando a proteção de dados confidenciais.
  • Evite exposição não intencional e garanta acesso necessário.
  • Designe recursos que contenham dados de sensibilidade média ou dados de alta sensibilidade como _recursos de alto valor automaticamente.
Como enviar resultados da Proteção de dados sensíveis para o Security Command Center
Integração de produtos SIEM e SOAR de terceiros
  • Exporte facilmente dados do Security Command Center para um SIEM externo e SOAR.

Como exportar dados do Security Command Center

Exportações contínuas

Detecção de configuração incorreta

Análise de integridade da segurança visão geral

Visão geral do Web Security Scanner

Vulnerabilidades descobertas

Detecção de vulnerabilidades de software
  • Detecte vulnerabilidades de software em cargas de trabalho em máquinas virtuais e contêineres em vários provedores de serviços de nuvem.
  • Receba proativamente alertas de novas vulnerabilidades e alterações na superfície de ataque.
  • Descubra vulnerabilidades comuns como scripting em vários locais (XSS) e do Flash que colocam seus aplicativos em risco.
  • Com o Security Command Center Premium, priorize as descobertas de vulnerabilidade usando informações de CVE, incluindo avaliações de vulnerabilidade a explorações e impacto fornecidas pelo Mandiant.

Painel de postura de segurança do GKE

VM Manager

Visão geral do Web Security Scanner

Descobertas de vulnerabilidades

Monitoramento de controle de acesso e identidade
  • Ajude a garantir que as políticas de controle de acesso apropriadas estejam implantadas em todos os recursos do Google Cloud e receba alertas quando as políticas forem configuradas incorretamente ou inesperadamente.
  • Use predefinições de consulta para conferir rapidamente as descobertas de identidade e acesso configurações incorretas e papéis com permissões excessivas.

IAM Recomendador

Controle de acesso

Configurações incorretas de identidade e acesso

Detecção de ameaças
  • Detecte atividades e agentes maliciosos na sua infraestrutura e receba alertas de ameaças ativas.
  • Detecte ameaças em outras plataformas de nuvem

Gerenciar ameaças

Visão geral da detecção de ameaças a eventos

Visão geral da detecção de ameaças de contêiner

Detecção de erros
  • Receba alertas sobre erros e configurações incorretas que impedem o funcionamento correto do Security Command Center e dos serviços.
Visão geral dos erros do Security Command Center
Priorizar correções
  • Ataque de uso de exposição para priorizar a correção e descobertas de configuração incorreta.
  • Use as pontuações de exposição a ataques em recursos para proteger proativamente os recursos mais valiosos para sua empresa.
Visão geral do ataque pontuações de exposição e caminhos de ataque
Riscos para correção
  • Implemente instruções de correção verificadas e recomendadas para proteger os recursos rapidamente.
  • Concentre-se nos campos mais importantes em uma descoberta para ajudar os analistas de segurança a tomar decisões de triagem informadas rapidamente.
  • Enriqueça e conecte vulnerabilidades e ameaças relacionadas para identificar e capturar TTPs.
  • Resolva erros e configurações incorretas que impedem o funcionamento do Security Command Center e seus serviços como esperado.

Investigar e responder a ameaças

Como corrigir as descobertas da análise de integridade de segurança

Como corrigir descobertas do Web Security Scanner

Segurança automação de respostas

Como corrigir Erros do Security Command Center

Gerenciamento de postura
  • Garanta que suas cargas de trabalho estejam em conformidade com os padrões de segurança, as regulamentações de compliance e os requisitos de segurança personalizados da sua organização.
  • Aplique os controles de segurança a projetos, pastas ou organizações do Google Cloud antes de implantar cargas de trabalho.
  • Monitore continuamente e resolva desvios dos controles de segurança definidos.

Visão geral da postura de segurança

Gerencie um postura de segurança

Informações de ferramentas de segurança de terceiros
  • Integre os resultados das suas ferramentas de segurança atuais, como Cloudflare, CrowdStrike, Prisma Cloud da Palo Alto Networks e Qualys, no Security Command Center. A integração da saída pode ajudar você a detectar seguintes:

    • Ataques DDoS
    • Endpoints comprometidos
    • Violações da política de conformidade
    • Ataques de rede
    • Vulnerabilidades e ameaças de instâncias

Como configurar o Security Command Center

Criando e o gerenciamento de fontes de segurança

Notificações em tempo real
  • Receba alertas do Security Command Center por e-mail, SMS, Slack, WebEx e outros serviços com notificações do Pub/Sub.
  • Ajustar filtros de descoberta para excluir descobertas em listas de permissões.

Como configurar as notificações de localização

Ativação notificações de chat e e-mail em tempo real

Como usar marcações de segurança

Exportação Dados do Security Command Center

Como filtrar notificações

Adicionar recursos para as listas de permissões

API REST e SDKs de cliente
  • Use a API REST do Security Command Center ou os SDKs de clientes para facilitar a integração com seus sistemas de segurança e fluxos de trabalho atuais.

Como configurar o Security Command Center

Bibliotecas de cliente do Security Command Center

API Security Command Center

Controles de residência de dados

Para atender aos requisitos de residência de dados, quando você ativar o Security Command Center Standard ou Premium pela primeira vez, poderá ativar os controles de residência de dados.

Ativar os controles de residência de dados restringe o armazenamento e o processamento de descobertas do Security Command Center, regras de silenciamento, exportações contínuas e exportações do BigQuery para uma das multirregiões de residência de dados com suporte do Security Command Center.

Para mais informações, consulte Planejamento para residência de dados.

Níveis de serviço do Security Command Center

O Security Command Center oferece três níveis de serviço: Standard, Premium e Enterprise.

O nível selecionado determina os recursos e serviços disponíveis no Security Command Center.

Se você tiver dúvidas sobre os níveis de serviço do Security Command Center, entre em contato com seu representante de contas ou com as vendas do Google Cloud.

Para mais informações sobre os custos associados ao uso de um nível do Security Command Center, consulte Preços.

Nível Standard

O nível Standard inclui os seguintes serviços e recursos:

  • Análise de integridade da segurança: no nível Standard, a Análise de integridade da segurança fornece gerenciamento de avaliação para o Google Cloud que detecta automaticamente vulnerabilidades e configurações incorretas de maior gravidade nos recursos do Google Cloud. No nível Standard, o Security Health Analytics inclui os seguintes tipos de resultados:

    • Dataproc image outdated
    • Legacy authorization enabled
    • MFA not enforced
    • Non org IAM member
    • Open ciscosecure websm port
    • Open directory services port
    • Open firewall
    • Open group IAM member
    • Open RDP port
    • Open SSH port
    • Open Telnet port
    • Public bucket ACL
    • Public Compute image
    • Public dataset
    • Public IP address
    • Public log bucket
    • Public SQL instance
    • SSL not enforced
    • Web UI enabled
  • Web Security Scanner verificações personalizadas: no nível Standard, O Web Security Scanner oferece suporte a verificações personalizadas de aplicativos implantados com URLs públicos e endereços IP que não estão protegidos por firewall. As verificações são configuradas, gerenciadas e executadas manualmente para todos os projetos e são compatíveis com um subconjunto de categorias em OWASP Top Ten
  • Erros do Security Command Center: ele fornece orientações de detecção e remediação para erros de configuração que impedem o funcionamento correto do Security Command Center e dos serviços.
  • Contínuo Exportações, que gerencia automaticamente a exportação de novas descobertas no Pub/Sub.
  • Acesso a serviços integrados do Google Cloud, incluindo os seguintes:

  • Resultados do painel de postura de segurança do GKE: confira os resultados sobre as configurações de segurança incorretas da carga de trabalho do Kubernetes, boletins de segurança acionáveis e vulnerabilidades no sistema operacional do contêiner ou nos pacotes de linguagem. Integração do painel de postura de segurança do GKE descobertas com o Security Command Center estão disponíveis em Pré-lançamento.
  • Integração com o BigQuery, que exporta descobertas para o BigQuery para análise.
  • Serviço de ações sensíveis: que detecta quando ações são realizadas no ambiente do Google Cloud organização, pastas e projetos que possam prejudicar os negócios caso sejam tomadas por um usuário malicioso.
  • Quando o Security Command Center está ativado no nível da organização, é possível conceder aos usuários papéis do IAM nos níveis da organização, da pasta e do projeto.
  • Controles de residência de dados que restringem o armazenamento e processamento de descobertas do Security Command Center, regras de silenciamento, exportações contínuas e exportações do BigQuery para uma das multirregiões de residência de dados com suporte do Security Command Center.

    Para mais informações, consulte Planejamento para residência de dados.

Nível Premium

O nível Premium inclui todos os serviços e recursos do nível Standard. e os seguintes serviços e recursos adicionais:

  • As simulações de caminho de ataque ajudam a identificar e priorizar descobertas de vulnerabilidade e configurações incorretas, identificando os caminhos que um invasor em potencial pode seguir para acessar seus recursos de alto valor. As simulações calculam e atribuem pontuações de exposição a ataques a qualquer descoberta que exponha esses recursos. Interativa ataque caminhos ajudam a visualizar os possíveis caminhos de ataque e fornecer informações sobre os caminhos, descobertas relacionadas e os recursos afetados.
  • As descobertas de vulnerabilidades incluem CVE (em inglês) de segurança fornecidos pela Mandiant para ajudar você a priorizar a correção deles.

    Na página Visão geral do console, as principais descobertas de CVE mostra as descobertas de vulnerabilidades agrupadas por capacidade de exploração e impacto potencial, conforme avaliado Mandiant Na página Descobertas, é possível consultar as descobertas por ID da CVE.

    Para mais informações, consulte Priorizar por impacto e vulnerabilidade a CVEs.

  • O Event Threat Detection monitora o Cloud Logging e o Google Workspace, usando inteligência contra ameaças, machine learning e outros métodos avançados para detectar ameaças, como malware, mineração de criptomoeda e exfiltração de dados. Para uma lista completa de detectores integrados do Event Threat Detection, consulte Regras do Event Threat Detection. Também é possível criar detectores personalizados do Event Threat Detection. Para mais informações sobre modelos de módulo que podem ser usados para criar regras de detecção personalizadas, consulte Visão geral de módulos personalizados do Event Threat Detection.
  • O Container Threat Detection detecta os seguintes ataques ao ambiente de execução do contêiner:
    • Adição de binário executado
    • Adição de biblioteca carregada
    • Execução: adição de binário malicioso executado
    • Execução: biblioteca maliciosa carregada
    • Execução: binário malicioso integrado executado
    • Execução: binário malicioso modificado executado
    • Execução: biblioteca maliciosa modificada carregada
    • Script malicioso executado
    • Shell reverso
    • Shell filho inesperado
  • Os seguintes recursos do Policy Intelligence estão disponíveis:

    • Recursos avançados do recomendador do IAM, incluindo:
      • Recomendações para papéis não básicos
      • Recomendações para papéis concedidos em recursos diferentes organizações, pastas e projetos, por exemplo, recomendações para papéis concedidos em buckets do Cloud Storage
      • Recomendações que sugerem funções personalizadas
      • Insights de política
      • Insights de movimentação lateral
    • Análise de políticas em grande escala (mais de 20 consultas por organização por dia). Esse limite é compartilhado entre todas as ferramentas da ferramenta Análise de políticas políticas.
    • Visualizações para análise de políticas da organização.
  • É possível consultar recursos no o Inventário de recursos do Cloud.
  • O Detecção de ameaças a máquinas virtuais detecta aplicativos potencialmente maliciosos em execução em instâncias de VM.
  • O Security Health Analytics no nível Premium inclui os seguintes recursos:

    • Verificações de vulnerabilidades gerenciadas para todos os detectores do Security Health Analytics
    • Monitoramento de muitas práticas recomendadas do setor
    • Monitoramento de compliance. Mapa de detectores da Análise de integridade da segurança os controles dos comparativos de mercado de segurança comuns.
    • Suporte a módulos personalizados, que você pode usar para criar seus próprios detectores da Análise de integridade da segurança.

    No nível Premium, o Security Health Analytics é compatível com os padrões descritos em Gerenciar a conformidade com os padrões do setor.

  • O Web Security Scanner no nível Premium inclui todos os recursos do nível Standard e outros detectores compatíveis com categorias no OWASP Top 10. O Web Security Scanner também adiciona verificações gerenciadas que são configuradas automaticamente.
  • Conformidade e monitoramento em todos os recursos do Google Cloud.

    Para medir sua conformidade com os comparativos e padrões de segurança comuns, os detectores dos verificadores de vulnerabilidade do Security Command Center são mapeados para controles de padrão de segurança comuns.

    É possível conferir a conformidade com as normas, identificar que não estão em conformidade, exportar relatórios e muito mais. Para mais informações, consulte Avaliar e informar a conformidade com os padrões de segurança.

  • Será possível solicitar uma cota adicional do Inventário de recursos do Cloud se a necessidade de monitoramento estendido de recursos surgir.
  • O serviço de postura de segurança permite definir, avaliar e monitorar o status geral da segurança no Google Cloud. Para usar a postura de segurança você precisa ativar o nível Premium do Security Command Center na organização nível
  • A validação da IaC permite validar sua infraestrutura como código (IaC) em relação às políticas da organização e da Análise de integridade da segurança que você definiu no Google Cloud organização. Para usar a validação de IaC, é necessário ativar o nível Premium do Security Command Center no nível da organização.
  • Relatórios de vulnerabilidade do VM Manager
    • Se você ativar o VM Manager, o serviço gravará automaticamente as descobertas dos relatórios de vulnerabilidade que estão em fase de pré-lançamento no Security Command Center. Os relatórios identificam vulnerabilidades nos sistemas operacionais instalados em máquinas virtuais do Compute Engine. Para mais informações, consulte VM Manager.

Nível Enterprise

O nível Enterprise é uma plataforma de proteção de aplicativos nativos da nuvem (CNAPP, na sigla em inglês) completa que permite que analistas de SOC, analistas de vulnerabilidade e outros profissionais de segurança na nuvem gerenciem a segurança em vários provedores de serviços em nuvem em um local centralizado.

O nível Enterprise oferece recursos de detecção e investigação, o suporte ao gerenciamento de casos e o gerenciamento da postura, para definir e implantar regras de postura personalizadas e quantificar e visualizar o risco de que e configurações incorretas se apresentam ao seu ambiente de nuvem.

O nível Enterprise inclui todos os recursos e serviços dos níveis Standard e Premium, além dos seguintes recursos e serviços adicionais:

Resumo das funções e serviços de nível empresarial

O nível Enterprise inclui todos os recursos e serviços do nível Standard e Premium lançados para disponibilidade geral.

O nível Enterprise adiciona os seguintes serviços e recursos ao Security Command Center:

  • Detecção de combinação tóxica com tecnologia do Security Command Center o Risk Engine. Para mais informações, consulte Informações gerais sobre conteúdo tóxico de combinação.
  • Suporte a várias nuvens. É possível conectar o Security Command Center a outras provedores, como AWS, para detectar ameaças, vulnerabilidades e de configuração. Além disso, após especificar seus recursos de alto valor outro provedor, você também pode avaliar a exposição deles a ataques com as pontuações de exposição e os caminhos de ataque.
  • Recursos de SIEM (gerenciamento de eventos e informações de segurança) para ambientes de nuvem. Analise logs e outros dados em busca de ameaças em vários ambientes de nuvem, defina regras de detecção de ameaças e pesquise os dados acumulados. Para mais informações, consulte SIEM do Google SecOps Documentação.
  • Recursos de orquestração, automação e resposta de segurança (SOAR) para ambientes de nuvem. Gerencie casos, defina fluxos de trabalho de resposta e pesquise os dados de resposta. Para mais informações, consulte Google SecOps documentação do SOAR.
  • Recursos de gerenciamento de direitos de infraestrutura em nuvem (CIEM, na sigla em inglês) para ambientes de nuvem. Identifique contas principais (identidades) que estão configuradas incorretamente ou que receberam permissões (acesso) excessivas ou sensíveis do IAM aos seus recursos na nuvem. Para mais informações, consulte Visão geral do Cloud Infrastructure Entitlement Management.
  • Detecção ampliada de vulnerabilidades de software em VMs e contêineres nos seus ambientes de nuvem com os seguintes serviços integrados e integrados do Google Cloud:
    • Google Kubernetes Engine (GKE) Enterprise Edition
    • Avaliação de vulnerabilidades para a AWS
    • VM Manager

Funções do nível empresarial com tecnologia do Google Security Operations

A função de gerenciamento de casos, recursos do playbook e outros SIEM e SOAR funcionalidades do nível Enterprise do Security Command Center são fornecidos pelas Operações de segurança do Google. Ao usar alguns desses recursos e funções, o nome do Google SecOps pode aparecer na interface da Web, e você pode ser direcionado para a documentação do Google SecOps para receber orientações.

Alguns recursos do Google SecOps não são compatíveis ou limitados com o Security Command Center, mas o uso deles pode não ser desativado ou limitado nas primeiras assinaturas do nível Enterprise. Use os seguintes recursos e funções apenas de acordo com as limitações indicadas:

  • A ingestão de registros da nuvem é limitada a registros relevantes para a detecção de ameaças na nuvem, como os seguintes:

    • Google Cloud

      • Registros de auditoria do Cloud de atividade do administrador
      • Registros de acesso a dados dos Registros de auditoria do Cloud
      • Syslog do Compute Engine
      • Registro de auditoria do GKE
    • Google Workspace

      • Eventos do Google Workspace
      • Alertas do Google Workspace
    • AWS

      • Registros de auditoria do CloudTrail
      • Syslog
      • Registros de autenticação
      • Eventos do GuardDuty
  • As detecções selecionadas são limitadas àquelas que detectam ameaças em ambientes de nuvem.

  • As integrações do Google Cloud Marketplace são limitadas a:

    • Siemplify
    • Ferramentas
    • VirusTotal V3
    • Inventário de recursos do Google Cloud
    • Google Security Command Center
    • Jira
    • remotas
    • Google Cloud IAM
    • E-mail V2
    • Google Cloud Compute
    • Google Chronicle
    • Att&ck
    • Inteligência contra ameaças da Mandiant
    • Google Cloud Policy Intelligence
    • Google Cloud Recommender
    • Siemplify Utilitários
    • Service Now
    • CSV
    • SCC Enterprise
    • AWS IAM
    • AWS EC2
  • O número de regras personalizadas de evento único está limitado a 20 regras.

  • A Análise de risco para a UEBA (análise comportamental de usuários e entidades) não está disponível.

  • A Inteligência aplicada sobre ameaças não está disponível.

  • O suporte do Gemini para o Google SecOps é limitado a pesquisas de linguagem natural e resumos de investigação de casos.

  • A retenção de dados é limitada a três meses.

Níveis de ativação do Security Command Center

É possível ativar o Security Command Center em um projeto específico, conhecido comoativação no nível do projeto ou uma organização inteira, conhecida comoativação no nível da organização (em inglês).

O nível Enterprise exige uma ativação no nível da organização.

Para mais informações sobre como ativar o Security Command Center, consulte Visão geral da ativação do Security Command Center.

A seguir