Preguntas frecuentes

La API de Security Command Center incluye una función de notificaciones que envía información a un tema de Pub/Sub para proporcionar actualizaciones y resultados nuevos en unos minutos. Las notificaciones incluyen toda la información de los resultados que se muestra en Google Cloud Console. Para comenzar, consulta Configura la búsqueda de notificaciones.

Security Command Center también proporciona una aplicación de App Engine que te permite definir consultas personalizadas para la app de Notifier. La app del notificador y otras herramientas de Security Command Center dejarán de estar disponibles, ya que se agregarán todas las funciones a las funciones de Security Command Center. Por ahora, puedes usar la app para publicar tus consultas en un tema de Pub/Sub definido por el usuario y, luego, integrar el feed con correo electrónico y SMS. La asistencia se ofrece en función del mejor esfuerzo para todas las herramientas de Security Command Center.

Tu regla de firewall puede contener un puerto de destino que no produzca explícitamente resultados.

Pueden existir varias razones por las que no se crean los resultados. La regla de firewall se puede configurar como una regla DENY. Tu regla de firewall puede permitir el tráfico de red que usa protocolos o puertos que el módulo ignora de forma explícita. Los resultados se crean para las reglas que permiten el tráfico desde cualquier dirección IP (0.0.0.0/0) de cualquier protocolo o puerto (aplicable a los protocolos TCP, UDP y SCTP) con las excepciones que se muestran a continuación.

Los resultados no se crean para los siguientes protocolos:

• ICMP
• TCP 443 (HTTPS)
• TCP 22 (SSH)
• SCTP 22 (SSH)
• TCP 3389 (RDP)
• UDP 3389 (RDP)

El tipo de hallazgo determina si Security Command Center configura automáticamente el campo state de un hallazgo en INACTIVE después de que se resuelve. En la siguiente lista, se explican los diferentes tipos de resultados y si Security Command Center establece el estado del resultado en INACTIVE de forma automática o no:

Los resultados de las vulnerabilidades se actualizan automáticamente a INACTIVE después de que se completan los pasos de solución de las vulnerabilidades. Los resultados de vulnerabilidades también se actualizan automáticamente a INACTIVE si se borra el elemento vulnerable. La detección rápida de vulnerabilidades, las estadísticas del estado de seguridad y los detectores de Web Security Scanner generan resultados de vulnerabilidad que están disponibles en Security Command Center. Cuando se habilitan en Security Command Center, los servicios integrados, como VM Manager, también generan resultados de vulnerabilidades.

Los resultados de la amenaza representan la observación de uno o más eventos, como la ejecución de un proceso o el inicio de una conexión de red.

Una vez que se resuelve un hallazgo de amenazas, Security Command Center no establece automáticamente el state en INACTIVE. El estado de un hallazgo de amenazas permanece activo, a menos que cambies el estado de forma manual.

Las amenazas difieren de las vulnerabilidades en que son dinámicas y señalan una posible explotación activa contra uno o más recursos, por lo que tu personal de seguridad debe usar la información de los hallazgos de Security Command Center a fin de determinar las mejores formas de solucionar problemas y proteger los recursos contra ataques futuros.

Si tu investigación determina que un hallazgo de amenazas es un falso positivo, considera crear una regla de silencio para el hallazgo y dejar el estado como ACTIVE.

Los resultados de errores se marcan automáticamente como INACTIVE después de corregir los problemas de la configuración. Los detectores de errores generan hallazgos que apuntan a problemas en la configuración del entorno de Security Command Center. Estos problemas de configuración impiden que los servicios (también conocidos como búsqueda de proveedores o fuentes) generen resultados.