Questions fréquentes

L'API Security Command Center inclut une fonctionnalité de notifications qui envoie des informations à un sujet Pub/Sub pour fournir des mises à jour de résultats et de nouveaux résultats en quelques minutes. Les notifications incluent toutes les informations de résultat affiché dans la console Google Cloud. Pour commencer, consultez la page Configurer des notifications de recherche.

Security Command Center fournit également une application App Engine qui vous permet de définir des requêtes personnalisées pour l'application de système d'alerte. L'application de système d'alerte et d'autres outils Security Command Center deviendront obsolètes lorsque leurs fonctionnalités complètes seront ajoutées aux fonctionnalités de Security Command Center. Pour l'instant, vous pouvez utiliser l'application pour publier vos requêtes dans un thème Pub/Sub défini par l'utilisateur, et intégrer le flux à une adresse e-mail et un SMS. L'assistance n'est fournie que dans la mesure du possible, pour tous les outils de Security Command Center.

Votre règle de pare-feu peut contenir un port de destination qui ne produit pas explicitement de résultats.

Il existe plusieurs raisons pour lesquelles les résultats ne sont pas créés. La règle de pare-feu peut être configurée en tant que règle DENY. Votre règle de pare-feu peut autoriser le trafic réseau qui utilise des protocoles ou des ports explicitement ignorés par le module. Les résultats sont créés pour les règles autorisant le trafic depuis n'importe quelle adresse IP (0.0.0.0/0) d'un protocole ou vers n'importe quel port (applicable aux protocoles TCP, UDP et SCTP), avec les exceptions indiquées ci-dessous.

Les résultats ne sont pas créés pour les protocoles suivants :

• ICMP
• TCP 443 (HTTPS)
• TCP 22 (SSH)
• SCTP 22 (SSH)
• TCP 3389 (RDP)
• UDP 3389 (RDP)

Le type d'un résultat détermine si Security Command Center définit automatiquement le champ state d'un résultat sur INACTIVE une fois le problème résolu. La liste suivante explique les différents types de résultats et indique si Security Command Center définit automatiquement l'état de ces résultats sur INACTIVE :

Les résultats de la détection des failles sont automatiquement mis à jour vers INACTIVE une fois les étapes de correction des failles terminées. Les résultats de failles sont également automatiquement mis à jour vers INACTIVE si l'élément vulnérable est supprimé. Les détecteurs de Security Health Analytics et de Web Security Scanner génèrent des résultats de failles disponibles dans Security Command Center. Lorsqu'ils sont activés dans Security Command Center, les services intégrés, comme VM Manager, générer des résultats de failles.

Les résultats de détection des menaces représentent l'observation d'un ou de plusieurs événements, tels que l'exécution d'un processus ou l'initiation d'une connexion réseau.

Une fois qu'une menace a été résolue, Security Command Center ne définit pas automatiquement state sur INACTIVE. L'état d'une détection des menaces reste actif tant que vous ne modifiez pas manuellement.

Les menaces diffèrent des vulnérabilités dans la mesure où elles sont dynamique et indiquent un possible exploit actif contre un ou plus de ressources. C'est pourquoi votre personnel de sécurité doit utiliser informations dans les résultats de Security Command Center afin de déterminer des moyens de résoudre les problèmes et de protéger les ressources contre de futures attaques.

Si votre investigation détermine qu'un résultat de menace est un faux positif, envisagez de créer plutôt une règle de masquage pour le résultat et de laisser l'état sur ACTIVE.

Les résultats des erreurs sont automatiquement marqués comme INACTIVE une fois les problèmes de configuration résolus. Détecteurs d'erreurs générer des résultats indiquant des problèmes de configuration Environnement Security Command Center. Ces problèmes de configuration empêchent services (également appelés sources ou fournisseurs de recherche) de générer des résultats.