Visão geral conceitual do Security Command Center

O que o Security Command Center oferece

O Security Command Center é o serviço centralizado de vulnerabilidade e relatórios de ameaças do Google Cloud. O Security Command Center ajuda a fortalecer a postura de segurança ao avaliar a superfície de segurança e ataque de dados, fornecer inventário e descoberta de ativos e identificar configurações incorretas, vulnerabilidades e ameaças, além de ajudar você a mitigar e corrigir riscos.

Níveis do Security Command Center

O nível selecionado determina os serviços internos do Security Command Center que estão disponíveis para sua organização:

Detalhes do nível

Recursos do nível Standard

  • Security Health Analytics: no nível Standard, o Security Health Analytics oferece verificação de vulnerabilidade gerenciada para o Google Cloud. Esse processo detecta automaticamente os riscos mais altos e as configurações incorretas dos seus recursos do Google Cloud. No nível Standard, o Security Health Analytics inclui os seguintes tipos de resultados:

    • LEGACY_AUTHORIZATION_ENABLED
    • MFA_NOT_ENFORCED
    • NON_ORG_IAM_MEMBER
    • OPEN_CISCOSECURE_WEBSM_PORT
    • OPEN_DIRECTORY_SERVICES_PORT
    • OPEN_FIREWALL
    • OPEN_RDP_PORT
    • OPEN_SSH_PORT
    • OPEN_TELNET_PORT
    • PUBLIC_BUCKET_ACL
    • PUBLIC_COMPUTE_IMAGE
    • PUBLIC_DATASET
    • PUBLIC_IP_ADDRESS
    • PUBLIC_LOG_BUCKET
    • PUBLIC_SQL_INSTANCE
    • SSL_NOT_ENFORCED
    • WEB_UI_ENABLED
  • Verificações personalizadas do Web Security Scanner: no nível Standard, essa ferramenta admite verificações personalizadas de aplicativos implantados com URLs e endereços IP públicos que não estão protegidos por firewall. As verificações são configuradas, gerenciadas e executadas manualmente para todos os projetos e são compatíveis com um subconjunto de categorias em OWASP Top 10
  • Suporte para conceder aos usuários papéis do Identity and Access Management (IAM) no nível da organização.
  • Acesso a serviços integrados do Google Cloud, incluindo os seguintes:

    • O Cloud Data Loss Prevention descobre, classifica e protege dados confidenciais.
    • O Google Cloud Armor protege as implantações do Google Cloud contra ameaças
    • A detecção de anomalias identifica anomalias de segurança dos seus projetos e instâncias de máquina virtual (VM), como possíveis credenciais vazadas e mineração de moedas.
  • Integre com o Forseti Security, o kit de ferramentas de segurança de código aberto para o Google Cloud, além de aplicativos de gerenciamento de eventos e informações de segurança (SIEM, na sigla em inglês) de terceiros.

Recursos do nível Premium

O nível Premium inclui todos os recursos do nível Padrão e adiciona o seguinte:

  • O Event Threat Detection usa inteligência de ameaças, machine learning e outros métodos avançados para monitorar o Cloud Logging e o Google Workspace da sua organização e detectar as seguintes ameaças:
    • Malware
    • Criptomineração
    • Ataques de força bruta contra SSH
    • DoS de saída
    • Concessão anômala de IAM
    • Exfiltração de dados

    O Event Threat Detection também identifica as seguintes ameaças no Google Workspace:

    • Vazamento de senhas
    • Tentativa de violação de contas
    • Mudanças nas configurações da verificação em duas etapas
    • Mudanças nas configurações de Logon único (SSO)
    • Ataques apoiados pelo governo
  • O Container Threat Detection detecta os seguintes ataques ao ambiente de execução do contêiner:
    • Adição de binário executado
    • Adição de biblioteca carregada
    • Script malicioso executado
    • Shell reverso
  • Security Health Analytics: o nível Premium inclui verificações de vulnerabilidade gerenciadas para todos os detectores do Security Health Analytics (mais de 140), além de oferecer monitoramento de muitas das práticas recomendadas do setor e de conformidade no seus recursos do Google Cloud. Esses resultados também podem ser revisados em um painel de conformidade e exportado como CSVs gerenciáveis.

    No nível Premium, o Security Health Analytics inclui monitoramento e geração de relatórios para os seguintes padrões:

    • CIS 1.1
    • CIS 1.0
    • PCI DSS v3.2.1
    • NIST 800-53
    • ISO 27001
  • O Web Security Scanner no nível Premium inclui todos os recursos do nível Standard e adiciona verificações gerenciadas configuradas automaticamente. Essas verificações identificam as seguintes vulnerabilidades de segurança nos seus apps do Google Cloud:
    • Scripting em vários locais (XSS)
    • Injeção Flash
    • Conteúdo misto
    • Senhas não criptografadas
    • Uso de bibliotecas JavaScript desprotegidas
  • Suporte para conceder papéis de IAM aos usuários nos níveis de organização, pasta e projeto.
  • Exportações contínuas, que gerenciam automaticamente a exportação de novas descobertas para o Pub/Sub.

Relatórios de vulnerabilidade do VM Manager

  • Se você ativar o VM Manager, o serviço gravará automaticamente as descobertas dos relatórios de vulnerabilidade que estão em fase de pré-lançamento no Security Command Center. Os relatórios identificam vulnerabilidades nos sistemas operacionais instalados em máquinas virtuais do Compute Engine. Para mais informações, consulte VM Manager.

Para informações sobre os custos associados ao uso de um nível do Security Command Center, consulte Preços.

Para assinar o nível Premium do Security Command Center, entre em contato com seu representante de conta.

Aumente sua postura de segurança

O Security Command Center funciona com o Inventário de recursos do Cloud para fornecer visibilidade completa da infraestrutura e dos recursos do Google Cloud, também conhecidos como recursos. Os serviços integrados, como Security Health Analytics, Event Threat Detection, Container Threat Detection e Web Security Scanner, usam quase 200 módulos de detecção que monitoram e verificam continuamente seus recursos, aplicativos da Web e fluxos do Cloud Logging, registros do Google Workspace e Grupos do Google.

Com a inteligência contra ameaças do Google, o aprendizado de máquina e os insights exclusivos sobre a arquitetura do Google Cloud, o Security Command Center detecta vulnerabilidades, configurações incorretas, ameaças e violações de conformidade quase em tempo real. Os relatórios de descobertas de segurança e de conformidade ajudam a fazer a triagem e priorizar riscos, além de fornecer instruções verificadas de correção e dicas de especialistas para responder a descobertas.

A figura a seguir ilustra os principais serviços e operações no Security Command Center.

Como funciona o SCC

Inventário amplo de recursos, dados e serviços

O Security Command Center ingere dados sobre recursos novos, modificados e excluídos do Inventário de recursos do Cloud, que monitora continuamente os recursos no ambiente de nuvem. O Security Command Center é compatível com um grande subconjunto de recursos do Google Cloud. Para a maioria dos recursos, as alterações de configuração, incluindo o IAM e as políticas da organização, são detectadas quase em tempo real. É possível identificar rapidamente as alterações na sua organização e responder a perguntas como as seguintes:

  • Quantos projetos você tem e quantos projetos são novos?
  • Quais recursos do Google Cloud são implantados ou estão em uso, como máquinas virtuais (VMs) do Compute Engine, buckets do Cloud Storage ou instâncias do App Engine?
  • Qual é seu histórico de implantação?
  • Como organizar, anotar, pesquisar, selecionar, filtrar e classificar nas seguintes categorias:
    • Recursos e propriedades do recurso
    • Marcações de segurança, que permitem fazer anotações em recursos ou descobertas no Security Command Center
    • Período

O Security Command Center sempre sabe o estado atual dos recursos compatíveis e, no Console do Google Cloud ou na API Security Command Center, permite analisar as verificações históricas de descoberta para comparar recursos entre pontos no tempo. Também é possível procurar recursos subutilizados, como máquinas virtuais ou endereços IP inativos.

Insights de segurança acionáveis

Os serviços integrados e integrados do Security Command Center monitoram continuamente seus recursos e registros em busca de indicadores de comprometimento e alterações de configuração que correspondem a ameaças, vulnerabilidades e configurações incorretas. Para fornecer informações sobre incidentes, as descobertas são enriquecidas com informações das seguintes fontes:

Você recebe notificações de novas descobertas quase em tempo real, ajudando as equipes de segurança a coletar dados, identificar ameaças e agir de acordo com as recomendações antes que elas resultem em danos ou perdas aos negócios.

Com um painel centralizado e uma API robusta, é possível fazer o seguinte rapidamente:

  • Responda a perguntas como estas:
    • Quais endereços IP estáticos estão abertos ao público?
    • Quais imagens estão sendo executadas nas VMs?
    • Há evidências de que suas VMs estão sendo usadas para mineração de moedas ou outras operações abusivas?
    • Quais contas de serviço foram adicionadas ou removidas?
    • Como os firewalls são configurados?
    • Quais buckets de armazenamento contêm informações de identificação pessoal (PII) ou dados confidenciais? Este recurso requer integração com o Cloud Data Loss Prevention.
    • Quais aplicativos de nuvem são vulneráveis à vulnerabilidades entre scripts (XSS, na sigla em inglês)?
    • Todos os meus buckets do Cloud Storage estão abertos à Internet?
  • Tome medidas para proteger seus recursos:
    • Implemente etapas de remediação verificadas para configurações incorretas de recursos e violações de conformidade.
    • Combine a inteligência de ameaça do Google Cloud e de provedores terceirizados, como a Palo Alto Networks, para proteger melhor sua empresa de ameaças caras às camadas de computação.
    • Verifique se as políticas do IAM apropriadas estão em vigor e receba alertas quando as políticas forem configuradas incorretamente ou inesperadamente.
    • Integre descobertas de suas origens próprias ou de terceiros para os recursos do Google Cloud ou de recursos híbridos ou de várias nuvens. Para mais informações, consulte Como adicionar um serviço de segurança terceirizado.
    • Responda a ameaças no ambiente do Google Workspace e a alterações não seguras no Grupos do Google.

Os papéis do Security Command Center são concedidos no nível da organização, pasta ou projeto. A capacidade de visualizar, editar, criar ou atualizar descobertas, recursos, fontes de segurança e marcas de segurança depende do nível ao qual você recebe acesso. Para saber mais sobre os papéis do Security Command Center, consulte Controle de acesso.

Manter a conformidade com os padrões do setor

Os Relatórios de conformidade estão disponíveis como parte do Security Health Analytics. A maioria dos detectores do serviço é mapeada para um ou mais dos seguintes padrões de conformidade:

  • Comparativo de mercado CIS Google Cloud Computing Foundations v1.0.0 (CIS Google Cloud Foundation 1.0)
  • Comparativo de mercado CIS Google Cloud Computing Foundations v1.0.0 (CIS Google Cloud Foundation 1.0)
  • Padrão de segurança de dados do setor de cartões de pagamento 3.2.1
  • Instituto Nacional de Padrões e Tecnologia 800-53
  • Organização Internacional de Padronização 27001
  • Open Web Application Security Project (OWASP) Top 10

O Security Health Analytics avalia continuamente sua postura de segurança em relação aos padrões de conformidade. Além disso, o Security Command Center facilita a realização dos seguintes procedimentos:

  • Monitore e resolva violações de conformidade associadas a descobertas.
  • Integre eventos do Cloud Audit Logging para o Compute Engine, serviços de rede, Cloud Storage, IAM e autorização binária. Isso ajudará você a atender aos requisitos regulamentares ou a fornecer uma trilha de auditoria enquanto investiga incidentes.
  • Se você assinar o Security Command Center Premium, terá acesso a mais opções de geração de relatórios e exportação para garantir que todos os seus recursos atendam aos requisitos de conformidade.

Plataforma flexível para atender às suas necessidades de segurança

O Security Command Center inclui opções de integração que permitem otimizar o utilitário do serviço para atender às suas necessidades de segurança em constante evolução:

Quando usar o Security Command Center

A tabela a seguir inclui recursos de alto nível do produto, casos de uso e links para a documentação relevante, ajudando você a encontrar rapidamente o conteúdo necessário.

Recurso Casos de uso Documentos relacionados
Inventário e descoberta de recursos
  • Descubra recursos, serviços e dados na sua organização em um só lugar.
  • Avalie as vulnerabilidades dos recursos compatíveis e tome medidas para priorizar as correções dos problemas mais graves.
  • Analise o histórico de descobertas da verificação para identificar recursos novos, modificados ou excluídos.
Otimizar o Security Command Center

Controle de acesso

Como usar o painel do Security Command Center

Como configurar a descoberta de recursos

Como listar recursos

Identificação de dados confidenciais
  • Descubra onde dados confidenciais e regulamentados são armazenados usando o Cloud DLP.
  • Evite exposição não intencional e garanta acesso necessário.
Como enviar resultados do Cloud DLP para o SCC

Integração SIEM e SOAR
  • Exporte com facilidade os dados do Security Command Center para sistemas externos.
Como exportar dados do Security Command Center

Exportações contínuas

Detecção de vulnerabilidades
  • Receba proativamente alertas de novas vulnerabilidades e alterações na superfície de ataque.
  • Descubra vulnerabilidades comuns que colocam seus aplicativos em risco, como scripting em vários locais (XSS) e injeção de Flash.
Visão geral do Web Security Scanner

Descobertas de vulnerabilidades

Monitoramento de controle de acesso
  • Ajude a garantir que as políticas de controle de acesso apropriadas estejam implantadas em todos os recursos do Google Cloud e receba alertas quando as políticas forem configuradas incorretamente ou inesperadamente.
Controle de acesso
Detecção de ameaças
  • Detecte atividades e agentes maliciosos na sua infraestrutura e receba alertas de ameaças ativas.
Visão geral da detecção de ameaças de eventos

Visão geral da detecção de ameaças de contêiner

Riscos para correção
  • Implemente instruções de correção verificadas e recomendadas para proteger os recursos rapidamente.
  • Concentre-se nos campos mais importantes em uma descoberta para ajudar os analistas de segurança a tomar decisões de triagem informadas rapidamente.
  • Enriqueça e conecte vulnerabilidades e ameaças relacionadas para identificar e capturar TTPs.
Investigar e responder a ameaças

Como corrigir as descobertas da análise de integridade de segurança

Como corrigir descobertas do Web Security Scanner

Automação de resposta de segurança

Informações de ferramentas de segurança de terceiros
  • Integre os resultados das suas ferramentas de segurança atuais, como Cloudflare, CrowdStrike, Prisma Cloud de Palo Alto Networks e Qualys, no Security Command Center. A integração de saída pode ajudar a detectar o seguinte:

    • Ataques DDoS
    • Endpoints comprometidos
    • Violações da política de conformidade
    • Ataques de rede
    • Vulnerabilidades e ameaças de instâncias
Como configurar o Security Command Center

Como criar e gerenciar fontes de segurança

Notificações em tempo real
  • Receba alertas do Security Command Center por e-mail, SMS, Slack, WebEx e outros serviços com notificações do Pub/Sub.
  • Ajustar filtros de descoberta para excluir descobertas em listas de permissões.
Como configurar as notificações de localização

Como ativar notificações de chat e e-mail em tempo real

Como usar marcações de segurança

Como exportar dados do Security Command Center

Como filtrar notificações

Adicionar recursos a listas de permissões

API REST e SDKs de cliente
  • Use a API REST do Security Command Center ou os SDKs de clientes para facilitar a integração com seus sistemas de segurança e fluxos de trabalho atuais.
Como configurar o Security Command Center

Como acessar o Security Command Center de maneira programática

API Security Command Center

A seguir