Descripción general de Security Command Center

En esta página, se proporciona una descripción general de Security Command Center, una solución de administración de riesgos que, con el nivel empresarial, combina la seguridad de la nube y las operaciones de seguridad empresarial, y proporciona estadísticas de la experiencia de Mandiant y la inteligencia artificial de Gemini.

Security Command Center permite que los analistas del Centro de operaciones de seguridad (SOC), los analistas de vulnerabilidades y postura, los administradores de cumplimiento y otros profesionales de la seguridad evalúen, investiguen y respondan con rapidez a los problemas de seguridad en varios entornos de nube.

Cada implementación en la nube tiene riesgos únicos. Security Command Center puede ayudarte a comprender y evaluar la superficie de ataque de tus organizaciones o proyectos en Google Cloud, así como la superficie de ataque de tus otros entornos de nube. Security Command Center está bien configurado para proteger tus recursos y puede ayudarte a comprender las vulnerabilidades y amenazas detectadas en tus entornos de nube y a priorizar sus soluciones.

Security Command Center se integra en muchos servicios de Google Cloud para detectar problemas de seguridad en varios entornos de nube. Estos servicios detectan problemas de varias maneras, como analizar metadatos de recursos y registros de la nube, analizar contenedores y máquinas virtuales.

Algunos de estos servicios integrados, como Chronicle Security Operations y Mandiant, también proporcionan información y capacidades esenciales para priorizar y administrar tus investigaciones y responder a los problemas detectados.

Gestionar amenazas

Security Command Center usa servicios integrados y también integrados de Google Cloud para detectar amenazas. Estos servicios analizan tus registros, contenedores y máquinas virtuales de Google Cloud en busca de indicadores de amenazas.

Cuando algunos de estos servicios, como Event Threat Detection o Container Threat Detection, detectan un indicador de amenaza, emiten un resultado. Un hallazgo es un informe o registro de una amenaza individual o de otro problema que un servicio encontró en tu entorno de nube. Los servicios que presentan problemas también se conocen como fuentes de búsqueda.

Los resultados activan alertas que, según su gravedad, pueden generar un caso. Puedes usar un caso con un sistema de tickets para asignar propietarios a la investigación y la respuesta de una o más alertas en el caso. Chronicle SecOps impulsa la generación de alertas y casos en Security Command Center.

Security Command Center puede detectar amenazas en varios entornos de nube. Para detectar amenazas en otras plataformas en la nube, Security Command Center transfiere los registros del otro proveedor después de que estableces una conexión. La transferencia de registros cuenta con la tecnología de Chronicle SecOps.

Si deseas obtener más información, consulta las siguientes páginas:

Características de detección y respuesta ante amenazas

Con Security Command Center, los analistas del SOC pueden lograr los siguientes objetivos de seguridad:

Detecta eventos en tus entornos de nube que indiquen una amenaza potencial y clasifica los resultados o las alertas asociados.
Asigna propietarios y haz un seguimiento del progreso de las investigaciones y respuestas con un flujo de trabajo de casos integrado. De manera opcional, puedes integrar tus sistemas de tickets preferidos, como Jira o ServiceNow.
Investiga las alertas de amenazas con potentes funciones de búsqueda y referencia cruzada.
Define flujos de trabajo de respuesta y automatiza acciones para abordar posibles ataques en tus entornos de nube. Si quieres obtener más información para definir flujos de trabajo de respuesta y acciones automatizadas con guías, que usan la tecnología de Chronicle SecOps, consulta Trabaja con guías.
Silencia o excluye hallazgos o alertas que sean falsos positivos.
Enfócate en las amenazas relacionadas con las identidades vulneradas y los permisos de acceso.
Usa Security Command Center para detectar, investigar y responder a posibles amenazas en tus otros entornos de nube, como AWS.

Administrar vulnerabilidades

Security Command Center proporciona capacidades de detección de vulnerabilidades integrales mediante el aprovechamiento de una variedad de servicios de Google Cloud para analizar de forma automática los recursos en tu entorno en busca de vulnerabilidades de software, parámetros de configuración incorrectos y otros tipos de problemas de seguridad que podrían exponerte a ataques. En conjunto, este tipo de problemas se denominan en conjunto vulnerabilidades.

Security Command Center usa servicios integrados y también integrados de Google Cloud para detectar problemas de seguridad. Los servicios que generan problemas también se denominan fuentes de búsqueda. Cuando un servicio detecta un problema, emite un hallazgo para registrar el problema.

De forma predeterminada, los casos se abren automáticamente para detectar vulnerabilidades de gravedad alta y crítica a fin de ayudarte a priorizar su solución. Puedes asignar propietarios y hacer un seguimiento del progreso de las medidas de corrección de un caso.

Para obtener más información, siga estas sugerencias:

Vulnerabilidades del software

Para ayudarte a identificar, comprender y priorizar las vulnerabilidades de software, Security Command Center puede evaluar las máquinas virtuales (VM) y los contenedores en los entornos de nube en busca de vulnerabilidades. Para cada vulnerabilidad detectada, Security Command Center proporciona información detallada en un registro o resultado de resultado. La información proporcionada con un resultado puede incluir lo siguiente:

Detalles del recurso afectado
Información sobre cualquier registro de CVE asociado, incluida una evaluación de Mandiant del impacto y la capacidad de explotación del elemento de CVE
Una puntuación de exposición a ataques para ayudarte a priorizar la corrección
Una representación visual de la ruta que un atacante podría tomar a los recursos de alto valor que expone la vulnerabilidad

Parámetros de configuración incorrectos

Security Command Center asigna los detectores de los servicios que buscan opciones de configuración incorrectas con los controles de los estándares comunes de cumplimiento de la industria. Además de mostrarte los estándares de cumplimiento que infringe una configuración incorrecta, la asignación te permite ver una medida del cumplimiento de los diversos estándares, que luego puedes exportar como un informe.

Para obtener más información, consulta Cómo informar y evaluar el cumplimiento.

Infracciones de la postura

Los niveles Premium y Empresarial de Security Command Center incluyen el servicio de postura de seguridad, que emite resultados cuando tus recursos en la nube infringen las políticas definidas en las posturas de seguridad que implementaste en el entorno de nube.

Para obtener más información, consulta Servicio de postura de seguridad.

Valida la infraestructura como código

Puedes verificar que tus archivos de infraestructura como código (IaC) se alineen con las políticas que defines en tu organización de Google Cloud, incluidas las políticas que defines en tu postura de seguridad. Esta función ayuda a garantizar que no implementes recursos que infringirán los estándares de tu organización. Después de definir las políticas de la organización y, si es necesario, habilitar el servicio de estadísticas del estado de la seguridad, puedes usar Google Cloud CLI para validar tu archivo de plan de Terraform o integrar el proceso de validación a tu flujo de trabajo de desarrollador de Acciones de Jenkins o GitHub. Para obtener más información, consulta Valida tu IaC en función de las políticas de tu organización.

Detecta vulnerabilidades y parámetros de configuración incorrectos en otras plataformas en la nube.

Security Command Center Enterprise puede detectar vulnerabilidades en entornos de nube múltiples. Para detectar vulnerabilidades en otros proveedores de servicios en la nube, primero debes establecer una conexión con el proveedor para transferir metadatos de recursos.

Si deseas obtener más información, consulta Conéctate a AWS para detectar vulnerabilidades y evaluar riesgos.

Funciones de administración de posturas y vulnerabilidades

Con Security Command Center, los analistas de vulnerabilidades, los administradores de postura y los profesionales de seguridad similares pueden lograr los siguientes objetivos de seguridad:

Detecta diferentes tipos de vulnerabilidades, incluidas vulnerabilidades de software, infracciones de postura y parámetros de configuración incorrectos, que pueden exponer tus entornos de nube a posibles ataques.
Enfoca tus esfuerzos de respuesta y corrección en los problemas de mayor riesgo mediante las puntuaciones de exposición a ataques en los hallazgos y las alertas de vulnerabilidades.
Asigna propietarios y realiza un seguimiento del progreso de las soluciones de vulnerabilidades mediante el uso de casos y la integración de tus sistemas de tickets preferidos, como Jira o ServiceNow.
Disminuye las puntuaciones de exposición a ataques para proteger de forma proactiva los recursos de alto valor en tus entornos de nube.
Define posiciones de seguridad personalizadas para tus entornos de nube que Security Command Center usa a fin de evaluar tu postura y alertarte sobre los incumplimientos.
Silencia o excluye hallazgos o alertas que sean falsos positivos.
Enfócate en las vulnerabilidades relacionadas con las identidades y los permisos excesivos.
Detecta y administra vulnerabilidades y evaluaciones de riesgos en Security Command Center para tus otros entornos de nube, como AWS.

Evalúa el riesgo con puntuaciones de exposición a ataques y rutas de ataque

Con las activaciones a nivel de organización de los niveles Premium y Enterprise, Security Command Center proporciona puntuaciones de exposición a ataques para recursos de alto valor y los hallazgos de vulnerabilidades y parámetros de configuración incorrectos que afectan a los recursos de alto valor.

Puedes usar estas puntuaciones para priorizar la solución de vulnerabilidades y configuraciones incorrectas, priorizar la seguridad de los recursos de alto valor más expuestos y, en general, evaluar qué tan expuestos están tus entornos de nube a los ataques.

En el panel Vulnerabilidades activas de la página Descripción general de riesgos en la consola de Google Cloud, la pestaña Resultados por puntuación de exposición a ataques muestra los resultados que tienen las puntuaciones de exposición a ataques más altas en tu entorno, así como la distribución de las puntuaciones de los resultados.

Para obtener más información, consulta Puntuaciones de exposición a ataques y rutas de ataque.

Administrar resultados y alertas con casos

Security Command Center Enterprise crea casos para ayudarte a administrar los resultados y las alertas, asignar propietarios y administrar las investigaciones y respuestas a los problemas de seguridad detectados. Los casos se abren automáticamente para problemas de gravedad alta y crítica.

Puedes integrar casos con tu sistema de tickets preferido, como Jira o ServiceNow. Cuando se actualizan los casos, los tickets abiertos correspondientes se pueden actualizar automáticamente. Del mismo modo, si se actualiza un ticket, también se puede actualizar el caso correspondiente.

La funcionalidad de casos cuenta con la tecnología de Chronicle SecOps.

Para obtener más información, consulta la Descripción general de casos en la documentación de Chronicle SecOps.

Definir flujos de trabajo de respuesta y acciones automatizadas

Define flujos de trabajo de respuesta y automatiza las acciones para investigar y responder a los problemas de seguridad que se detectan en los entornos de nube.

Si quieres obtener más información para definir flujos de trabajo de respuesta y acciones automatizadas con guías, que usan la tecnología de Chronicle SecOps, consulta Trabaja con guías.

Compatibilidad con múltiples nubes: Protege tus implementaciones en otras plataformas en la nube

Puedes extender los servicios y las capacidades de Security Command Center para que abarquen las implementaciones en otras plataformas en la nube y, así, puedas administrar en una sola ubicación todas las amenazas y vulnerabilidades que se detectan en todos los entornos de nube.

Si quieres obtener más información para conectar Security Command Center a otro proveedor de servicios en la nube, consulta las siguientes páginas:

Para detectar amenazas, consulta Conéctate a AWS para detectar amenazas.
Para conocer las puntuaciones de exposición a ataques y detección de vulnerabilidades, consulta Conéctate a AWS para detectar vulnerabilidades y evaluar riesgos

Proveedores de servicios en la nube compatibles

Security Command Center se puede conectar a Amazon Web Services (AWS).

Define y administra posturas de seguridad

Con las activaciones a nivel de la organización de los niveles Premium y Enterprise de Security Command Center, puedes crear y administrar posturas de seguridad que definan el estado requerido de tus elementos en la nube, incluidos la red en la nube y los servicios en la nube, para lograr una seguridad óptima en tu entorno de nube. Puedes personalizar las posturas de seguridad para que coincidan con las necesidades reglamentarias y de seguridad de tu empresa. Mediante la definición de una postura de seguridad, puedes minimizar los riesgos de seguridad cibernética para tu organización y ayudar a evitar que ocurran ataques.

El servicio de postura de seguridad de Security Command Center se usa para definir y, luego, implementar una postura de seguridad y detectar cualquier desvío o cambio no autorizado de la postura definida.

El servicio de postura de seguridad se habilita de forma automática cuando activas Security Command Center a nivel de la organización.

Para obtener más información, consulta Descripción general de la postura de seguridad.

Identifica tus activos

Security Command Center incluye información de los recursos de Cloud Asset Inventory, que supervisa los recursos de tu entorno de nube de forma continua. Para la mayoría de los elementos, los cambios de configuración, incluidas las políticas de IAM y de la organización, se detectan casi en tiempo real.

En la página Recursos de la consola de Google Cloud, puedes aplicar, editar y ejecutar consultas de recursos de muestra con rapidez, agregar una restricción de tiempo predeterminada o escribir tus propias consultas de recursos.

Si tienes el nivel Premium o Enterprise de Security Command Center, puedes ver cuáles de tus elementos están designados como recursos de alto valor para las evaluaciones de riesgo mediante simulaciones de rutas de ataque.

Puedes identificar con rapidez los cambios en tu organización o proyecto y responder preguntas como las siguientes:

¿Cuántos proyectos tienes y cuándo se crearon?
¿Qué recursos de Google Cloud se implementan o usan, como las máquinas virtuales (VM) de Compute Engine, los buckets de Cloud Storage o las instancias de App Engine?
¿Cuál es su historial de implementaciones?
Cómo organizar, anotar, buscar, seleccionar, filtrar y ordenar las siguientes categorías:
- Recursos y propiedades de los recursos
- Marcas de seguridad, que te permiten anotar recursos o resultados en Security Command Center
- Período

Cloud Asset Inventory siempre conoce el estado actual de los elementos compatibles y, en la consola de Google Cloud, te permite revisar análisis de descubrimiento históricos para comparar recursos entre distintos momentos. También puedes buscar elementos con poco uso, como máquinas virtuales o direcciones IP inactivas.

Funciones de Gemini en Security Command Center

Security Command Center incorpora Gemini para proporcionar resúmenes de los hallazgos y las rutas de ataque, y para ayudarte en las búsquedas y las investigaciones de las amenazas y vulnerabilidades detectadas.

Para obtener más información sobre Gemini, consulta la Descripción general de Gemini.

Resúmenes de Gemini de los hallazgos y las rutas de ataque

Si usas Security Command Center Enterprise o Premium, Gemini proporciona explicaciones generadas de forma dinámica de cada resultado y de cada ruta de ataque simulada que genera Security Command Center para los hallazgos de las clases Vulnerability y Misconfiguration.

Los resúmenes se escriben en lenguaje natural para ayudarte a comprender con rapidez los hallazgos y a cualquier ruta de ataque que pueda acompañarlos y tomar medidas al respecto.

Los resúmenes aparecen en los siguientes lugares de la consola de Google Cloud:

Cuando haces clic en el nombre de un resultado individual, aparece el resumen en la parte superior de la página de detalles del resultado.
Con los niveles Premium y Enterprise de Security Command Center, si un resultado tiene una puntuación de exposición a ataques, puedes mostrar el resumen a la derecha de la ruta de ataque si haces clic en la puntuación de exposición a ataques y, luego, en Resumen de IA.

Permisos de IAM obligatorios para los resúmenes generados por IA

Para ver los resúmenes de la IA, necesitas los permisos de IAM necesarios.

Para los resultados, necesitas el permiso securitycenter.findingexplanations.get de IAM. La función de IAM predefinida menos permisiva que contiene este permiso es la función de visualizador de hallazgos del centro de seguridad (roles/securitycenter.findingsViewer).

Para rutas de ataque, necesitas el permiso securitycenter.exposurepathexplan.get de IAM. La función de IAM predefinida menos permisiva que contiene este permiso es la función Lector de rutas de exposición del centro de seguridad (roles/securitycenter.exposurePathsViewer).

Durante la versión preliminar, estos permisos no están disponibles en la consola de Google Cloud para agregar a roles de IAM personalizados.

Para agregar el permiso a un rol personalizado, puedes usar Google Cloud CLI.

Si quieres obtener información sobre cómo usar Google Cloud CLI para agregar permisos a un rol personalizado, consulta Crea y administra roles personalizados.

Búsqueda de lenguaje natural para investigaciones de amenazas

Puedes generar búsquedas de hallazgos de amenazas, alertas y otra información mediante consultas de lenguaje natural y Gemini. La integración de Gemini para las búsquedas en lenguaje natural cuenta con la tecnología de Chronicle SecOps. Si quieres obtener más información, consulta Usa lenguaje natural para generar búsquedas de UDM en la documentación de Chronicle SecOps.

Widget de investigación de IA para casos

Para ayudarte a comprender y, además, investigar casos para los hallazgos y las alertas, Gemini proporciona un resumen de cada caso y sugiere los siguientes pasos que puedes seguir para investigarlo. El resumen y los próximos pasos aparecen en el widget de IA investigación cuando ves un caso.

Esta integración con Gemini usa la tecnología de Chronicle SecOps.

Estadísticas de seguridad prácticas

Los servicios integrados y, también integrados de Google Cloud de Security Command Center, supervisan de forma continua tus recursos y registros en busca de indicadores de compromiso y cambios de configuración que coincidan con las amenazas, vulnerabilidades y parámetros de configuración incorrectos conocidos. A fin de proporcionar contexto para los incidentes, los resultados se enriquecen con información de las siguientes fuentes:

Con los niveles Enterprise y Premium, puedes hacer lo siguiente:
- Resúmenes generados por IA que te ayudan a comprender los hallazgos de Security Command Center y tomar medidas al respecto. Para obtener más información, consulta los resúmenes generados por IA.
- Los hallazgos de vulnerabilidades incluyen información de sus entradas de CVE correspondientes, incluida la puntuación de CVE, y las evaluaciones de Mandiant del impacto potencial de la vulnerabilidad y el potencial de ser aprovechado.
- Funciones potentes de búsqueda de SIEM y SOAR con la tecnología de Chronicle SecOps, que te permiten investigar amenazas y vulnerabilidades y alternar a través de entidades relacionadas en un cronograma unificado.
VirusTotal, un servicio de Alphabet que proporciona contexto sobre archivos, URLs, dominios y direcciones IP potencialmente maliciosos.
Framework MITRE ATT&CK, que explica las técnicas para los ataques contra los recursos de la nube y proporciona orientación para solucionarlos
Registros de auditoría de Cloud (registros de actividad del administrador y registros de acceso a los datos).

Recibes notificaciones de resultados nuevos casi en tiempo real, lo que permite a que tus equipos de seguridad recopilen datos, identifiquen amenazas y tomen medidas al respecto antes de que se generen daños o pérdidas empresariales.

Con una vista centralizada de tu postura de seguridad y una API sólida, puedes hacer lo siguiente con rapidez:

Responde preguntas como estas:
- ¿Qué direcciones IP están abiertas al público?
- ¿Qué imágenes se ejecutan en tus VM?
- ¿Hay alguna evidencia de que tus VMs se usen para la minería de criptomoneda o para otras operaciones abusivas?
- ¿Qué cuentas de servicio se agregaron o quitaron?
- ¿Cómo se configuran los firewalls?
- ¿Qué buckets de almacenamiento contienen información de identificación personal (PII) o datos sensibles? Esta función requiere integración en la Protección de datos sensibles.
- ¿Qué aplicaciones en la nube están expuestas a las vulnerabilidades de las secuencias de comandos entre sitios (XSS)?
- ¿Algunos de mis buckets de Cloud Storage están abiertos a Internet?
Toma medidas para proteger tus activos:
- Implementa pasos de solución verificados para las configuraciones incorrectas de elementos y las infracciones de cumplimiento.
- Combina la inteligencia de amenazas de Google Cloud y proveedores externos, como Palo Alto Networks, para proteger mejor tu empresa de las amenazas de capas de procesamiento costosas.
- Asegúrate de que las políticas de IAM adecuadas estén implementadas y obtén alertas cuando las políticas se configuren de forma incorrecta o cambien de manera inesperada.
- Integra los hallazgos de tus propias fuentes o de terceros en los recursos de Google Cloud o en otros recursos híbridos o de múltiples nubes. Para obtener más información, consulta Agrega un servicio de seguridad de terceros.
- Responde a las amenazas en tu entorno de Google Workspace y a los cambios no seguros en Grupos de Google.

Parámetros de configuración incorrectos de identidad y acceso

Security Command Center facilita la identificación y resolución de los resultados de configuraciones incorrectas de identidad y acceso en Google Cloud. La administración de los problemas de seguridad de identidades y accesos a veces se conoce como administración de derechos de infraestructura de nube (CIEM).

Los resultados de una configuración incorrecta de Security Command Center identifican las cuentas principales (identities) que están mal configuradas o a las que se les otorgaron permisos de IAM excesivos o sensibles (identities) a los recursos de Google Cloud.

Puedes ver los resultados de identidad y acceso más graves en el panel Resultados de identidad y acceso cerca de la parte inferior de la página Descripción general de Security Command Center en la consola de Google Cloud.

En la página Vulnerabilidad de la consola de Google Cloud, puedes seleccionar ajustes predeterminados de consulta (consultas predefinidas) que muestren los detectores de vulnerabilidades o las categorías relacionadas con la identidad y el acceso. Para cada categoría, se muestra la cantidad de resultados activos.

Para obtener más información sobre los ajustes predeterminados de consulta, consulta Cómo aplicar los ajustes predeterminados de consulta.

Administra el cumplimiento de los estándares de la industria

Security Command Center supervisa el cumplimiento de los detectores asignados a los controles de una amplia variedad de estándares de seguridad.

Para cada estándar de seguridad compatible, Security Command Center verifica un subconjunto de los controles. En el caso de los controles marcados, Security Command Center te muestra cuántos están pasando. En el caso de los controles que no se aprueban, Security Command Center te muestra una lista de resultados que describen las fallas de control.

CIS revisa y certifica las asignaciones de los detectores de Security Command Center para cada versión compatible de la comparativa de CIS para Google Cloud Foundations. Las asignaciones de cumplimiento adicionales se incluyen solo como referencia.

Security Command Center agrega compatibilidad con versiones de comparativas y estándares nuevos de forma periódica. Las versiones anteriores siguen siendo compatibles, pero con el tiempo se darán de baja. Te recomendamos que uses la versión comparativa o estándar más reciente que esté disponible.

Con el servicio de postura de seguridad, puedes asignar políticas de la organización y detectores de Security Health Analytics a los estándares y controles que se aplican a tu empresa. Después de crear una postura de seguridad, puedes supervisar cualquier cambio en el entorno que pueda afectar el cumplimiento de tu empresa.

Para obtener más información sobre la administración del cumplimiento, consulta Evalúa el cumplimiento de los estándares de seguridad y genera informes sobre ellos.

Estándares de seguridad compatibles con Google Cloud

Security Command Center asigna los detectores de Google Cloud a uno o más de los siguientes estándares de cumplimiento:

Center for Information Security Controls (CIS) Controls 8.0
Comparativa de CIS para Google Cloud Computing Foundations v2.0.0, v1.3.0, v1.2.0, v1.1.0 y v1.0.0
Comparativas de CIS en Kubernetes v1.5.1
Cloud Controls Matrix (CCM) 4
Ley de Responsabilidad y Portabilidad de Seguros Médicos (HIPAA)
Organización Internacional de Normalización (ISO) 27001, 2022 y 2013
Instituto Nacional de Estándares y Tecnología (NIST) 800-53 R5 y R4
NIST CSF 1.0
Open Web Application Security Project (OWASP) Top 10, 2021 y 2017
Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) 4.0 y 3.2.1
Controles del sistema y de la organización (SOC) 2 Criterios de servicios de confianza (TSC) 2017

Estándares de seguridad compatibles con AWS

Security Command Center asigna los detectores de Amazon Web Services (AWS) a uno o más de los siguientes estándares de cumplimiento:

CIS Amazon Web Services Foundations 2.0.0
CIS Controls 8.0

Plataforma flexible para satisfacer tus necesidades de seguridad

Security Command Center incluye opciones de integración y personalización que te permiten mejorar la utilidad del servicio para satisfacer tus necesidades de seguridad en constante evolución.

Opciones de personalización

Las opciones de personalización incluyen las siguientes:

Crea módulos personalizados para Security Health Analytics para definir tus propias reglas de detección de vulnerabilidades, parámetros de configuración incorrectos o incumplimientos de cumplimiento.
Crea módulos personalizados para Event Threat Detection y supervisa tu transmisión de Logging en busca de amenazas según los parámetros que especifiques.
Crea posturas de seguridad que te ayuden a supervisar cualquier cambio en el entorno que pueda afectar el cumplimiento de varios estándares regulatorios.

Opciones de integración

Las opciones de integración incluyen las siguientes:

Usa Pub/Sub a fin de exportar los resultados a Splunk o a otras SIEM para su análisis.
Usa Pub/Sub y Cloud Functions para solucionar resultados de forma rápida y automática.
Accede a herramientas de código abierto para expandir la funcionalidad y automatizar las respuestas.
Integrar los servicios de seguridad de Google Cloud, incluidos los siguientes:
Integra en soluciones de seguridad de socios externos:
- Las estadísticas de seguridad de Google Cloud de los productos de socios se agregan en Security Command Center y puedes usarlas en sistemas y flujos de trabajo existentes.

Cuándo usar Security Command Center

En la siguiente tabla, se incluyen funciones de producto de alto nivel, casos de uso y vínculos a documentación relevante para ayudarte a encontrar rápidamente el contenido que necesitas.

Atributo	Casos de uso	Documentos relacionados
Identificación y revisión de recursos	Visualiza en un solo lugar todos los recursos, servicios y datos de tu organización o proyecto, y de todas tus plataformas en la nube. Evalúa las vulnerabilidades de los recursos compatibles y toma medidas para priorizar las correcciones de los problemas más graves.	Prácticas recomendadas de Security Command Center Control de acceso Usa Security Command Center en la consola de Google Cloud
Identificación de datos sensibles	Descubre dónde se almacenan los datos sensibles y regulados con la protección de datos sensibles. Evita exposiciones no deseadas y cerciórate de que solo se pueda acceder en el caso exclusivo de que sea necesario. Designa recursos que contengan datos de sensibilidad media o alta como recursos_de valor alto automáticamente.	Envía resultados de la protección de datos sensibles a Security Command Center
Integración de productos SIEM y SOAR de terceros	Exporta con facilidad los datos de Security Command Center a sistemas SIEM y SOAR externos.	Exporta datos de Security Command Center Exportaciones continuas
Detección de errores de configuración	Detecta los parámetros de configuración incorrectos que pueden dejar vulnerable tu infraestructura de nube. Detecta configuraciones incorrectas en tus implementaciones en otros proveedores de servicios en la nube. Mejora tu cumplimiento de los estándares de seguridad mediante la observación de los hallazgos de parámetros de configuración incorrectos realizados por los controles del estándar de seguridad que infringen. Prioriza la corrección de los resultados de parámetros de configuración incorrectos según las puntuaciones de exposición a ataques.	Descripción general de Security Health Analytics Descripción general de Web Security Scanner Descripción general de la Detección rápida de vulnerabilidades Hallazgos de vulnerabilidades
Detección de vulnerabilidades de software	Correlaciona los resultados de vulnerabilidades con los controles estándar de seguridad que infringen. Recibe alertas proactivas sobre nuevas vulnerabilidades y cambios en tu superficie de ataque. Descubre vulnerabilidades comunes, como secuencias de comandos entre sitios (XSS) y la inyección de Flash, que ponen en riesgo tus aplicaciones. Con Security Command Center Premium, prioriza los hallazgos de vulnerabilidades mediante el uso de información de CVE,incluidas las evaluaciones de explotación e impacto proporcionadas por Mandiant.	Descripción general de Web Security Scanner Descripción general de la Detección rápida de vulnerabilidades Hallazgos de vulnerabilidades
Supervisión del control de identidad y acceso	Ayuda a garantizar que se implementen las políticas de control de acceso adecuadas en todos tus recursos de Google Cloud y recibe alertas cuando las políticas se configuren de forma incorrecta o cambien de forma inesperada. Usa los ajustes predeterminados de consulta para ver con rapidez los resultados de la identidad y acceder a los parámetros de configuración incorrectos y las funciones a las que se les otorgó permisos excesivos.	Recomendador de IAM Control de acceso Parámetros de configuración incorrectos de identidad y acceso
Detección de amenazas	Detecta actividades y actores maliciosos en tu infraestructura, y recibe alertas de amenazas activas. Detecta amenazas en otras plataformas en la nube	Administrar amenazas Descripción general de Event Threat Detection Descripción general de la detección de amenazas de contenedores
Detección de errores	Recibe alertas de errores y configuraciones incorrectas que impidan que Security Command Center y sus servicios funcionen según lo previsto.	Descripción general de los errores de Security Command Center
Prioriza las correcciones	Usa las puntuaciones de exposición a ataques para priorizar la solución de los hallazgos de vulnerabilidades y parámetros de configuración incorrectos. Usa las puntuaciones de exposición a ataques en los recursos para proteger de forma proactiva los recursos más valiosos para tu empresa.	Descripción general de las puntuaciones de exposición a ataques y las rutas de ataque
Soluciona los riesgos	Implementa instrucciones de solución verificadas y recomendadas para proteger los elementos con rapidez. Enfócate en los campos más importantes de los resultados para ayudar a los analistas de seguridad a tomar decisiones de evaluación fundamentadas con rapidez. Enriquece y conecta vulnerabilidades y amenazas relacionadas para identificar y capturar TTP. Resuelve errores y configuraciones incorrectas que evitan que Security Command Center y sus servicios funcionen según lo previsto.	Investiga las amenazas y responde ante ellas Soluciona los problemas de las estadísticas de estado de seguridad Solución de los resultados de Web Security Scanner Resultados y soluciones de la Detección rápida de vulnerabilidades Automatización de la respuesta de seguridad Soluciona los errores de Security Command Center
Administración de la postura	Asegúrate de que tus cargas de trabajo cumplan con los estándares de seguridad, las reglamentaciones de cumplimiento y los requisitos de seguridad personalizados de tu organización. Aplica tus controles de seguridad a los proyectos, las carpetas o las organizaciones de Google Cloud antes de implementar las cargas de trabajo. Supervise y resuelva continuamente cualquier desvío de sus controles de seguridad definidos.	Descripción general de la postura de seguridad Administra una postura de seguridad
Entradas de herramientas de seguridad de terceros	Integra los resultados de tus herramientas de seguridad existentes, como Cloudflare, CrowdStrike, Prisma Cloud de Palo Alto Networks y Qualys, en Security Command Center. La integración de resultados puede ayudarte a detectar lo siguiente: Ataques de DDoS Extremos vulnerados Incumplimientos de la política de cumplimiento Ataques de red Vulnerabilidades y amenazas de instancias	Configurar Security Command Center Crea y administra recursos de seguridad
Notificaciones en tiempo real	Recibe alertas de Security Command Center a través de correo electrónico, SMS, Slack, WebEx y otros servicios con notificaciones de Pub/Sub. Ajusta los filtros de resultados para excluir los resultados de las lista de entidades permitidas.	Configura la búsqueda de notificaciones Habilitar notificaciones de chat y correo electrónico en tiempo real Usa marcas de seguridad Exporta datos de Security Command Center Filtra notificaciones Agrega elementos a las listas de entidades permitidas
API de REST y SDK de cliente	Usa la API de REST de Security Command Center o los SDK cliente para lograr una integración sencilla en tus sistemas de seguridad y flujos de trabajo existentes.	Configurar Security Command Center Accede a Security Command Center de manera programática API de Security Command Center

Controles de residencia de datos

Para cumplir con los requisitos de residencia de datos, cuando activas Security Command Center Premium por primera vez, puedes habilitar los controles de residencia de datos.

Habilitar los controles de residencia de datos restringe el almacenamiento y el procesamiento de los resultados de Security Command Center, las reglas de silencio, las exportaciones continuas y las exportaciones de BigQuery a una de las multirregiones de residencia de datos que admite Security Command Center.

Si deseas obtener más información, consulta Planifica la residencia de los datos.

Niveles de servicio de Security Command Center

Security Command Center ofrece tres niveles de servicio: Estándar, Premium y Empresarial.

El nivel que selecciones determinará las funciones y los servicios que estarán disponibles con Security Command Center.

Si tienes preguntas sobre los niveles de servicio de Security Command Center, comunícate con tu representante de cuenta o con el equipo de Ventas de Google Cloud.

Para obtener información sobre los costos asociados con el uso de un nivel de Security Command Center, consulta Precios.

Nivel Estándar

El nivel Estándar incluye los siguientes servicios y funciones:

Security Health Analytics: En el nivel Standard, Security Health Analytics proporciona análisis de evaluación de vulnerabilidades administrado para Google Cloud, que puede detectar automáticamente las vulnerabilidades de mayor gravedad y los parámetros de configuración incorrectos de tus recursos de Google Cloud. En el nivel Estándar, Security Health Analytics incluye los siguientes tipos de resultados:
- Dataproc image outdated
- Legacy authorization enabled
- MFA not enforced
- Non org IAM member
- Open ciscosecure websm port
- Open directory services port
- Open firewall
- Open group IAM member
- Open RDP port
- Open SSH port
- Open Telnet port
- Public bucket ACL
- Public Compute image
- Public dataset
- Public IP address
- Public log bucket
- Public SQL instance
- SSL not enforced
- Web UI enabled
Análisis personalizados de Web Security Scanner: en el nivel Estándar, Web Security Scanner admite análisis personalizados de aplicaciones implementadas con URLs públicas y direcciones IP que no están detrás de un firewall. Los análisis se configuran, administran y ejecutan de forma manual para todos los proyectos, y admiten un subconjunto de categorías en los Diez principales de OWASP.
Errores de Security Command Center: Security Command Center proporciona orientación de detección y solución para los errores de configuración que impiden que Security Command Center y sus servicios funcionen de forma correcta.
Función de exportaciones continuas, que administra de forma automática la exportación de resultados nuevos a Pub/Sub.
Acceso a servicios integrados de Google Cloud, que incluyen lo siguiente:
- La Protección de datos sensibles descubre, clasifica y protege los datos sensibles.
- Google Cloud Armor protege las implementaciones de Google Cloud contra amenazas.
- La detección de anomalías identifica anomalías de seguridad en los proyectos y las instancias de máquina virtual (VM), como posibles filtraciones de credenciales y minería de criptomonedas.
- El controlador de políticas permite la aplicación de políticas programables para tus clústeres de Kubernetes.
Resultados del panel de postura de seguridad de GKE: Consulta los resultados sobre los parámetros de configuración incorrectos de seguridad de las cargas de trabajo de Kubernetes, los boletines de seguridad prácticos y las vulnerabilidades en el sistema operativo del contenedor o en los paquetes de lenguaje. La integración de los resultados del panel de postura de seguridad de GKE con Security Command Center está disponible en Vista previa.
Integración en BigQuery, que exporta los resultados a BigQuery para su análisis.
Integración en Forseti Security, el kit de herramientas de seguridad de código abierto para Google Cloud y las aplicaciones de administración de información y eventos de seguridad (SIEM) de terceros.
Cuando se activa Security Command Center a nivel de la organización, puedes otorgar a los usuarios roles de IAM a nivel de la organización, la carpeta y el proyecto.

Nivel Premium

El nivel Premium incluye todos los servicios y las funciones del nivel Estándar, así como los siguientes servicios y funciones adicionales:

Las simulaciones de rutas de ataque te ayudan a identificar y priorizar los hallazgos de vulnerabilidades y parámetros de configuración incorrectos a través de la identificación de las rutas que un atacante potencial podría tomar para llegar a tus recursos de alto valor. Las simulaciones calculan y asignan puntuaciones de exposición a ataques a cualquier resultado que exponga esos recursos. Las rutas de ataque interactivas te ayudan a visualizar las posibles rutas de ataque y a proporcionar información sobre las rutas, los hallazgos relacionados y los recursos afectados.
Los hallazgos de vulnerabilidades incluyen evaluaciones de CVE que proporciona Mandiant para ayudarte a priorizar su corrección.

En la página Descripción general de la consola, la sección Resultados principales de CVE muestra los resultados de vulnerabilidades agrupados por su capacidad de explotación y su impacto potencial, según la evaluación de Mandiant. En la página Resultados, puedes consultar los resultados por ID de CVE.

Para obtener más información, consulta Prioriza el impacto y la explotación de CVE.
Event Threat Detection supervisa Cloud Logging y Google Workspace mediante la inteligencia de amenazas, el aprendizaje automático y otros métodos avanzados para detectar amenazas, como software malicioso, minería de criptomonedas y robo de datos. Para obtener una lista completa de los detectores integrados de Event Threat Detection, consulta Reglas de Event Threat Detection. También puedes crear detectores personalizados de Event Threat Detection. Si quieres obtener información sobre las plantillas de módulos que puedes usar para crear reglas de detección personalizadas, consulta Descripción general de los módulos personalizados para Event Threat Detection.
Container Threat Detection detecta los siguientes ataques en el entorno de ejecución de los contenedores:
- Se ejecutó el objeto binario añadido
- Se cargó la biblioteca agregada
- Ejecución: Ejecución de binario malicioso agregado
- Ejecución: Se cargó una biblioteca maliciosa
- Ejecución: Ejecución de binario malicioso integrado
- Ejecución: Ejecución de binario malicioso modificado
- Ejecución: Se cargó la biblioteca maliciosa modificada
- Secuencia de comandos maliciosa ejecutada
- Shells inversas
- Shell secundario inesperado
El servicio de acciones sensibles detecta cuándo se realizan acciones en tu organización, carpetas y proyectos de Google Cloud que podrían dañar tu negocio si las lleva a cabo una persona malintencionada.
Virtual Machine Threat Detection detecta las aplicaciones potencialmente maliciosas que se ejecutan en las instancias de VM.
Las estadísticas del estado de la seguridad del nivel Premium incluyen las siguientes funciones:
- Análisis de vulnerabilidades administrados para todos los detectores de Security Health Analytics
- Supervisión de muchas prácticas recomendadas de la industria
- Supervisión del cumplimiento Los detectores de Security Health Analytics se asignan a los controles de las comparativas de seguridad comunes.
- Compatibilidad con módulos personalizados, que puedes usar para crear tus propios detectores personalizados de Security Health Analytics.
En el nivel Premium, Security Health Analytics admite los estándares descritos en Administra el cumplimiento de los estándares de la industria.
Web Security Scanner en el nivel Premium incluye todas las funciones del nivel Estándar y los detectores adicionales que admiten categorías en los OWASP Top 10.
Nota: La categoría A09:2021 Security Logging and Monitoring Failures (anteriormente A10:2017 Insufficient Logging y Monitoring) no es compatible. En esta categoría, se describen las insuficiencias que permiten que los atacantes no se detecten. A diferencia de las otras nueve categorías de OWASP, no se relacionan con vulnerabilidades específicas que los atacantes pueden explotar. Del mismo modo, Web Security Scanner no puede atacar aplicaciones web para provocar una respuesta detectable. Los temas incluidos en esta categoría requieren un criterio humano.
Web Security Scanner también agrega análisis administrados que se configuran automáticamente.
Supervisión del cumplimiento en todos tus recursos de Google Cloud.

Para medir tu cumplimiento de estándares y comparativas de seguridad comunes, los detectores de los análisis de vulnerabilidades de Security Command Center se asignan a controles estándar de seguridad comunes.

Puedes consultar tu cumplimiento de los estándares, identificar los controles que no están en cumplimiento, exportar informes y mucho más. Para obtener más información, consulta Evalúa el cumplimiento de los estándares de seguridad y genera informes sobre ellos.
Puedes solicitar una cuota adicional de Cloud Asset Inventory si es necesario extender la supervisión de los recursos.
La detección rápida de vulnerabilidades analiza redes y aplicaciones web para detectar credenciales débiles, instalaciones de software incompletas y otras vulnerabilidades críticas que tienen altas probabilidades de explotación.

Vista previa

Esta función está sujeta a las "Condiciones de las Ofertas de Fase Previa a la DG" de la sección Condiciones Generales del Servicio de las Condiciones Específicas del Servicio. Las funciones de fase previa a la DG están disponibles “tal cual” y podrían tener asistencia limitada. Para obtener más información, consulta las descripciones de la etapa de lanzamiento.
El servicio de postura de seguridad te permite definir, evaluar y supervisar el estado general de tu seguridad en Google Cloud. El servicio de postura de seguridad solo está disponible en el nivel Premium de Security Command Center para los clientes que compran una suscripción de precio fijo y activan el nivel Premium de Security Command Center a nivel de la organización. El servicio de postura de seguridad no admite facturación basada en el uso ni actividades a nivel de proyecto.
Solo se puede habilitar el servicio Secured Landing Zone en el nivel Premium de Security Command Center. Cuando se habilita, este servicio muestra los resultados si hay incumplimientos de políticas en los recursos del plano implementado, genera las alertas correspondientes y toma medidas automáticas de corrección de forma selectiva.

Vista previa

Esta función está sujeta a las "Condiciones de las Ofertas de Fase Previa a la DG" de la sección Condiciones Generales del Servicio de las Condiciones Específicas del Servicio. Las funciones de fase previa a la DG están disponibles “tal cual” y podrían tener asistencia limitada. Para obtener más información, consulta las descripciones de la etapa de lanzamiento.
Informes de vulnerabilidad de VM Manager

Vista previa

Esta función está sujeta a las "Condiciones de las Ofertas de Fase Previa a la DG" de la sección Condiciones Generales del Servicio de las Condiciones Específicas del Servicio. Las funciones de fase previa a la DG están disponibles “tal cual” y podrían tener asistencia limitada. Para obtener más información, consulta las descripciones de la etapa de lanzamiento.
- Si habilitas VM Manager, el servicio escribe automáticamente los resultados de sus informes de vulnerabilidades, que están en versión preliminar, en Security Command Center. Los informes identifican vulnerabilidades en los sistemas operativos instalados en las máquinas virtuales de Compute Engine. Para obtener más información, consulta VM Manager.

Nivel empresarial

El nivel empresarial es una plataforma de protección de aplicaciones nativa de la nube (CNAPP) completa que permite a los analistas del SOC, los analistas de vulnerabilidades y otros profesionales de la seguridad en la nube administrar la seguridad en varios proveedores de servicios en la nube en un solo lugar centralizado.

El nivel empresarial ofrece funciones de investigación y detección, asistencia para la administración de casos y administración de posturas, incluida la capacidad de definir e implementar reglas de postura personalizadas, y cuantificar y visualizar el riesgo que representan las vulnerabilidades y los parámetros de configuración incorrectos en tu entorno de nube.

El nivel Enterprise incluye todos los servicios y las funciones de los niveles Estándar y Premium, así como los servicios y funciones adicionales siguientes:

Funciones de nivel empresarial con la tecnología de Chronicle Security Operations

La función de administración de casos, las funciones de la guía y otras funcionalidades de SIEM y SOAR del nivel Enterprise de Security Command Center están impulsadas por Chronicle Security Operations. Cuando uses algunas de ellas, es posible que veas el nombre de Chronicle en la interfaz web y que se te dirija a la documentación de Chronicle SecOps para obtener orientación.

Algunas funciones de Chronicle SecOps no son compatibles o limitadas con Security Command Center, pero es posible que su uso no esté inhabilitado ni limitado en las suscripciones anticipadas al nivel Enterprise. Usa las siguientes características y funciones solo de acuerdo con sus limitaciones indicadas:

La transferencia de registros en la nube se limita a los registros relevantes para la detección de amenazas en la nube, como los siguientes:
- Google Cloud
- Registros de actividad del administrador de Registros de auditoría de Cloud
- Registros de auditoría de Cloud: Registros de acceso a los datos
- syslog de Compute Engine
- Registro de auditoría de GKE
- Google Workspace
- Eventos de Google Workspace
- Alertas de Google Workspace
- AWS
- Registros de auditoría de CloudTrail
- Syslog
- Registros de Auth
- Eventos de GuardDuty
Las detecciones seleccionadas se limitan a aquellas que detectan amenazas en entornos de nube.
Las integraciones de Google Cloud Marketplace se limitan a lo siguiente:
- Siemplify
- Herramientas
- VirusTotal V3
- Google Cloud Asset Inventory
- Google Security Command Center
- Jira
- Funciones
- Google Cloud IAM
- Correo electrónico V2
- Procesamiento de Google Cloud
- Google Chronicle
- Ataque Mitre
- Mandiant Threat Intelligence
- Google Cloud Policy Intelligence
- Recomendador de Google Cloud
- Utilidades de Siemplify
- ServiceNow
- CSV
- SCC Enterprise
- IAM de AWS
- AWS EC2
La cantidad de reglas personalizadas de un solo evento se limita a 20 reglas.
Las estadísticas de riesgos para UEBA (estadísticas de comportamiento de usuarios y entidades) no están disponibles.
La información sobre amenazas aplicada no está disponible.
La compatibilidad de Gemini con Chronicle SecOps se limita a la búsqueda en lenguaje natural y los resúmenes de investigaciones de casos.
La retención de datos se limita a tres meses.

Resumen de funciones y servicios del nivel empresarial

El nivel Enterprise incluye todos los servicios y las funciones de los niveles Estándar y Premium, con la excepción de la residencia de los datos.

El nivel Enterprise agrega los siguientes servicios y funciones a Security Command Center:

Compatibilidad con múltiples nubes Puedes conectar Security Command Center a otros proveedores de servicios en la nube, como AWS, para detectar amenazas, vulnerabilidades y parámetros de configuración incorrectos. Además, después de especificar tus recursos de alto valor en el otro proveedor, también puedes evaluar su exposición a los ataques con puntuaciones de exposición a ataques y rutas de ataque.
Funciones de SIEM (información de seguridad y administración de eventos) para entornos de nube, con la tecnología de Chronicle SecOps. Analiza registros y otros datos en busca de amenazas para múltiples entornos de nube, define reglas de detección de amenazas y busca los datos acumulados. Para obtener más información, consulta la documentación de la SIEM de Chronicle SecOps.
Funciones de SOAR (organización de seguridad, automatización y respuesta) para entornos de nube, con la tecnología de Chronicle SecOps. Administrar casos, definir flujos de trabajo de respuesta y buscar en los datos de respuesta Para obtener más información, consulta la documentación de la SOAR de Chronicle SecOps.
Detección expandida de vulnerabilidades de software en VMs y contenedores en todos tus entornos de nube con la evaluación de vulnerabilidades, VM Manager y las ediciones Google Kubernetes Engine (GKE) Enterprise.

Niveles de activación de Security Command Center

Puedes activar Security Command Center en un proyecto individual, que se conoce como activación a nivel de proyecto, o en una organización completa, que se conoce como activación a nivel de la organización.

El nivel empresarial requiere una activación a nivel de la organización.

Si quieres obtener más información para activar Security Command Center, consulta Descripción general de la activación de Security Command Center.

¿Qué sigue?

Obtén más información para activar Security Command Center.
Obtén más información sobre las fuentes de seguridad de Security Command Center.
Aprende a usar Security Command Center en la consola de Google Cloud.