Domande frequenti

L'API Security Command Center include una funzionalità di notifiche che invia informazioni a un argomento Pub/Sub per fornire aggiornamenti sui risultati e nuovi risultati entro pochi minuti. Le notifiche includono tutte le informazioni sui risultati visualizzato nella console Google Cloud. Per iniziare, consulta Configurare le notifiche dei risultati.

Security Command Center fornisce anche un'applicazione App Engine che consente di definire query personalizzate per App di notifica. L'utente di Gmail e altri strumenti di Security Command Center diventano obsoleti quando i loro vengono aggiunte alle funzionalità di Security Command Center. Per il momento, puoi utilizzare l'app per pubblicare le query in un argomento Pub/Sub definito dall'utente e integrare il feed con email e SMS. L'assistenza viene offerta secondo il criterio del "best effort" solo per tutto Security Command Center. i nostri strumenti.

La regola firewall potrebbe contenere una porta di destinazione che invia esplicitamente non produca risultati.

Potrebbero esserci diversi motivi per cui i risultati non vengono creati. La regola firewall può essere configurata come regola DENY. La regola firewall potrebbe consentire il traffico di rete che utilizza protocolli o esplicitamente ignorate dal modulo. Vengono creati risultati per le regole che consentono il traffico da qualsiasi indirizzo IP (0.0.0.0/0) di qualsiasi protocollo o a qualsiasi porta (applicabile ai protocolli TCP, UDP e SCTP) con le eccezioni indicate di seguito.

I risultati non vengono creati per i seguenti protocolli:

• ICMP
• TCP 443 (HTTPS)
• TCP 22 (SSH)
• SCTP 22 (SSH)
• TCP 3389 (RDP)
• UDP 3389 (RDP)

Il tipo di un risultato determina se Security Command Center o meno imposta automaticamente il campo state di un risultato su INACTIVE dopo la risoluzione. Il seguente elenco spiega i diversi tipi di risultati e se Security Command Center imposta lo stato del risultato a INACTIVE automaticamente o meno:

I risultati relativi alle vulnerabilità vengono aggiornati automaticamente a INACTIVE al termine dei passaggi di correzione delle vulnerabilità. Inoltre, i risultati relativi alle vulnerabilità vengono aggiornati automaticamente a INACTIVE se l'asset vulnerabile viene eliminato. I rilevatori di Security Health Analytics e Web Security Scanner generano risultati di vulnerabilità disponibili in Security Command Center. Se sono abilitati in Security Command Center, anche i servizi integrati, come VM Manager, generano risultati relativi alle vulnerabilità.

I risultati delle minacce rappresentano osservazione di uno o più eventi, come l'esecuzione di un processo o l'avvio di una connessione di rete.

Una volta risolto il rilevamento di una minaccia, Security Command Center non imposta automaticamente state su INACTIVE. Lo stato di un risultato di minaccia rimane attivo a meno che non modifichi il valore manualmente.

Le minacce sono diverse dalle vulnerabilità in quanto sono dinamiche e indicano un possibile exploit attivo contro una o più risorse. Per questo motivo, il personale addetto alla sicurezza deve utilizzare le informazioni nei risultati di Security Command Center per determinare i modi migliori per risolvere i problemi e proteggere le risorse da attacchi futuri.

Se l'indagine determina che un risultato relativo a una minaccia è un falso positivo, ti consigliamo di creare una regola di disattivazione per il risultato e di lasciare lo stato su ACTIVE.

I risultati degli errori vengono contrassegnati automaticamente come INACTIVE dopo la correzione dei problemi di configurazione. I rilevatori di errori generano risultati che indicano problemi nella configurazione del tuo ambiente Security Command Center. Questi problemi di configurazione impediscono ai servizi (noti anche come fornitori di risultati o origini) di generare risultati.