Panoramica di Security Command Center

Questa pagina fornisce una panoramica di Security Command Center, una soluzione di gestione del rischio che, con il livello Enterprise, combina la sicurezza cloud e le operazioni di sicurezza aziendale e fornisce approfondimenti grazie alle competenze di Mandiant e all'intelligenza artificiale di Gemini.

Security Command Center consente agli analisti dei centri operativi di sicurezza (SOC), agli analisti di vulnerabilità e di conformità, ai gestori della conformità e ad altri professionisti della sicurezza di valutare, esaminare e rispondere rapidamente ai problemi di sicurezza in più ambienti cloud.

Ogni implementazione cloud presenta rischi unici. Security Command Center può aiutarti a comprendere e valutare la superficie di attacco dei tuoi progetti o della tua organizzazione su Google Cloud, nonché la superficie di attacco dei tuoi altri ambienti cloud. Se configurato correttamente per proteggere le tue risorse, Security Command Center può aiutarti a interpretare le vulnerabilità e le minacce rilevate nei tuoi ambienti cloud e dare la priorità alle relative correzioni.

Security Command Center si integra con molti servizi Google Cloud per rilevare problemi di sicurezza in più ambienti cloud. Questi servizi rilevano i problemi in vari modi, ad esempio analizzando i metadati delle risorse, analizzando i log cloud, analizzando i container e analizzando le macchine virtuali.

Alcuni di questi servizi integrati, come Google Security Operations e Mandiant, forniscono inoltre funzionalità e informazioni fondamentali per dare la priorità e gestire le indagini e la risposta ai problemi rilevati.

Gestire le minacce

Nei livelli Premium ed Enterprise, Security Command Center utilizza sia i servizi Google Cloud integrati sia quelli integrati per rilevare le minacce. Questi servizi analizzano i log, i container e le macchine virtuali di Google Cloud alla ricerca di indicatori di minacce.

Quando questi servizi, come Event Threat Detection o Container Threat Detection, rilevano un indicatore di minaccia, emettono un risultato. Un rilevamento è un report o un record di una singola minaccia o di un altro problema rilevato da un servizio nel tuo ambiente cloud. I servizi che emettono risultati sono chiamati anche origini dei risultati.

In Security Command Center Enterprise, i risultati attivano gli avvisi che, a seconda della gravità del risultato, possono generare una richiesta. Puoi utilizzare una richiesta con un sistema di ticketing per assegnare i proprietari all'indagine e alla risposta a uno o più avvisi nella richiesta.

Security Command Center Enterprise può anche rilevare minacce nei tuoi implementamenti su altre piattaforme cloud. Per rilevare le minacce nei deployment su altre piattaforme cloud, Security Command Center acquisisce i log dall'altra piattaforma cloud dopo che hai stabilito una connessione.

Per ulteriori informazioni, consulta le seguenti pagine:

Funzionalità di rilevamento e risposta alle minacce

Con Security Command Center, gli analisti SOC possono raggiungere i seguenti scopi di sicurezza:

  • Rileva gli eventi nei tuoi ambienti cloud che indicano una potenziale minaccia e smista i risultati o gli avvisi associati.
  • Assegna i proprietari e monitora l'avanzamento delle indagini e delle risposte con un flussi di lavoro integrato delle richieste. Se vuoi, puoi integrare i sistemi di ticketing che preferisci, come Jira o ServiceNow.
  • Esaminare gli avvisi di minacce con potenti funzionalità di ricerca e di riferimento incrociato.
  • Definisci flussi di lavoro di risposta e automatizza le azioni per gestire potenziali attacchi ai tuoi ambienti cloud. Per ulteriori informazioni sulla definizione di flussi di lavoro di risposta e azioni automatiche con i playbook, consulta Lavorare con i playbook.
  • Disattivare o escludere risultati o avvisi che sono falsi positivi.
  • Concentrati sulle minacce relative a identità e autorizzazioni di accesso compromesse.
  • Utilizza Security Command Center per rilevare, esaminare e rispondere alle potenziali minacce negli altri tuoi ambienti cloud, come AWS.

Gestire le vulnerabilità

Security Command Center offre un rilevamento completo delle vulnerabilità, analizzando automaticamente le risorse del tuo ambiente per rilevare vulnerabilità del software, errori di configurazione e altri tipi di problemi di sicurezza che potrebbero esporre l'organizzazione ad attacchi. Insieme, questi tipi di problemi sono indicizzati collettivamente come vulnerabilità.

Security Command Center utilizza i servizi Google Cloud integrati e integrati per rilevare i problemi di sicurezza. I servizi che emettono risultati sono chiamati anche origini dei risultati. Quando un servizio rileva un problema, genera un risultato per registrarlo.

Per impostazione predefinita, le richieste vengono aperte automaticamente per i risultati relativi a vulnerabilità con gravità elevata e critica per aiutarti a dare la priorità alla loro correzione. Puoi assegnare proprietari e monitorare l'avanzamento delle attività di correzione con una richiesta.

Per ulteriori informazioni, consulta le seguenti risorse:

Combinazioni dannose

Il motore di analisi dei rischi di Security Command Center, una funzionalità del livello Enterprise, rileva gruppi di problemi di sicurezza che, se si verificano contemporaneamente in un determinato pattern, creano un percorso verso una o più delle tue risorse di alto valore che un utente malintenzionato determinato potrebbe potenzialmente utilizzare per raggiungerle e comprometterle.

Questo tipo di gruppo di problemi di sicurezza con un pattern è chiamato combinazione tossica. Quando il motore di rischio rileva una combinazione tossica, genera un rilevamento. Per ogni risultato relativo a una combinazione tossica, Security Command Center crea una richiesta nella console Security Operations, in modo da poter gestire e monitorare la risoluzione della combinazione tossica.

Per ulteriori informazioni, consulta la sezione Panoramica delle combinazioni dannose.

Vulnerabilità del software

Per aiutarti a identificare, comprendere e dare la priorità alle vulnerabilità software, Security Command Center può valutare la presenza di vulnerabilità nelle macchine virtuali (VM) e nei container dei tuoi ambienti cloud. Per ogni vulnerabilità rilevata, Security Command Center fornisce informazioni approfondite in un record del risultato o nel risultato. Le informazioni fornite con un rilevamento possono includere:

  • Dettagli della risorsa interessata
  • Informazioni su eventuali record CVE associati, inclusa una valutazione di Mandiant dell'impatto e della sfruttabilità dell'elemento CVE
  • Un punteggio di esposizione agli attacchi per aiutarti ad assegnare la priorità alla correzione
  • Una rappresentazione visiva del percorso che un utente malintenzionato potrebbe seguire per raggiungere le risorse di alto valore esposte dalla vulnerabilità

Le vulnerabilità del software vengono rilevate dai seguenti servizi:

Errori di configurazione

Security Command Center mappa i rilevatori dei servizi che rilevano le configurazioni errate ai controlli degli standard di conformità comuni del settore. Oltre a mostrare gli standard di conformità violati da una configurazione errata, la mappatura consente di misurare la conformità ai vari standard, che puoi poi esportare come report.

Per ulteriori informazioni, consulta Valutare e segnalare la conformità.

Violazioni della postura

I livelli Premium ed Enterprise di Security Command Center includono il servizio di security posture, che genera risultati quando le risorse cloud violano i criteri definiti nelle security posture di cui hai eseguito il deployment nel tuo ambiente cloud.

Per ulteriori informazioni, consulta Servizio Postura di sicurezza.

Convalida l'infrastruttura come codice

Puoi verificare che i file di Infrastructure as Code (IaC) siano in linea con i criteri dell'organizzazione e con i rilevatori di Security Health Analytics che definisci nella tua organizzazione Google Cloud. Questa funzionalità ti aiuta a non implementare risorse che violino gli standard della tua organizzazione. Dopo aver definito i criteri dell'organizzazione e, se necessario, aver attivato il servizio Security Health Analytics, puoi utilizzare Google Cloud CLI per convalidare il file del piano Terraform oppure integrare la procedura di convalida nel flusso di lavoro degli sviluppatori di Cloud Build, Jenkins o GitHub Actions. Per ulteriori informazioni, consulta Convalidare l'IaC in base ai criteri dell'organizzazione.

Rileva vulnerabilità ed errori di configurazione su altre piattaforme cloud

Security Command Center Enterprise può rilevare vulnerabilità in più ambienti cloud. Per rilevare le vulnerabilità in altri provider di servizi cloud, devi prima stabilire una connessione al provider per importare i metadati delle risorse.

Per ulteriori informazioni, consulta Connettersi ad AWS per il rilevamento delle vulnerabilità e la valutazione dei rischi.

Funzionalità di gestione delle vulnerabilità e della postura

Con Security Command Center, gli analisti delle vulnerabilità, gli amministratori della postura e professionisti della sicurezza simili possono raggiungere i seguenti obiettivi di sicurezza:

  • Rileva diversi tipi di vulnerabilità, tra cui vulnerabilità del software, configurazioni errate e violazioni della postura, che possono esporre i tuoi ambienti cloud a potenziali attacchi.
  • Concentra le tue attività di risposta e correzione sui problemi di rischio più elevato utilizzando i punteggi di esposizione agli attacchi sui risultati e sugli avvisi relativi alle vulnerabilità.
  • Assegna i proprietari e monitora l'avanzamento delle correzioni delle vulnerabilità utilizzando le richieste e integrando i sistemi di gestione dei ticket che preferisci, come Jira o ServiceNow.
  • Proteggi in modo proattivo le risorse di alto valore nei tuoi ambienti cloud riducendo i relativi punteggi di esposizione agli attacchi
  • Definisci strategie di sicurezza personalizzate per i tuoi ambienti cloud che Security Command Center utilizza per valutare la tua strategia e avvisarti delle violazioni.
  • Disattivare o escludere risultati o avvisi che sono falsi positivi.
  • Concentrati sulle vulnerabilità correlate a identità e autorizzazioni eccessive.
  • Rileva e gestisci in Security Command Center le vulnerabilità e le valutazioni del rischio per gli altri tuoi ambienti cloud, come AWS.

Valutare il rischio con i punteggi di esposizione agli attacchi e i percorsi di attacco

Con le attivazioni a livello di organizzazione dei livelli Premium ed Enterprise, Security Command Center fornisce i punteggi di esposizione agli attacchi per le risorse di alto valore e i risultati relativi a vulnerabilità e configurazioni errate che interessano le risorse di alto valore.

Puoi utilizzare questi punteggi per dare la priorità alla correzione delle vulnerabilità e delle configurazioni errate, per dare la priorità alla sicurezza delle tue risorse di alto valore più esposte e, in generale, per valutare l'esposizione dei tuoi ambienti cloud agli attacchi.

Nel riquadro Vulnerabilità attive della pagina Panoramica dei rischi nella console Google Cloud, la scheda Ritrovate per punteggio di esposizione agli attacchi mostra i risultati con i punteggi di esposizione agli attacchi più elevati nel tuo ambiente, nonché la distribuzione dei punteggi dei risultati.

Per ulteriori informazioni, consulta Punteggi di esposizione agli attacchi e percorsi di attacco.

Gestire risultati e avvisi con le richieste

Security Command Center Enterprise crea casi per aiutarti a gestire i risultati e gli avvisi, assegnare i proprietari e gestire le indagini e le risposte ai problemi di sicurezza rilevati. Le richieste vengono aperte automaticamente per problemi con gravità elevata e critica.

Puoi integrare le richieste con il sistema di gestione delle richieste che preferisci, ad esempio Jira o ServiceNow. Quando le richieste vengono aggiornate, eventuali ticket aperti per la richiesta possono essere aggiornati automaticamente. Allo stesso modo, se un ticket viene aggiornato, può essere aggiornata anche la richiesta corrispondente.

Per ulteriori informazioni, consulta la Panoramica delle richieste nella documentazione di Google SecOps.

Definisci flussi di lavoro di risposta e azioni automatiche

Definisci i flussi di lavoro di risposta e automatizza le azioni per esaminare e rispondere ai problemi di sicurezza rilevati nei tuoi ambienti cloud.

Per ulteriori informazioni sulla definizione di flussi di lavoro di risposta e azioni automatiche con i playbook, consulta Utilizzare i playbook.

Supporto multi-cloud: proteggi i tuoi deployment su altre piattaforme cloud

Puoi estendere i servizi e le funzionalità di Security Command Center per coprire i tuoi deployment su altre piattaforme cloud, in modo da gestire in un'unica posizione tutte le minacce e le vulnerabilità rilevate in tutti i tuoi ambienti cloud.

Per ulteriori informazioni su come collegare Security Command Center a un altro fornitore di servizi cloud, consulta le seguenti pagine:

Provider di servizi cloud supportati

Security Command Center può connettersi ad Amazon Web Services (AWS).

Definire e gestire le security posture

Con le attivazioni a livello di organizzazione dei livelli Premium ed Enterprise di Security Command Center, puoi creare e gestire posture di sicurezza che definiscono lo stato richiesto dei tuoi asset cloud, inclusa la rete e i servizi cloud, per una sicurezza ottimale nel tuo ambiente cloud. Puoi personalizzare le posture di sicurezza in base alle esigenze di sicurezza e adempimenti normativi della tua attività. Definire una security posture consente di ridurre al minimo i rischi di cybersecurity per la tua organizzazione e di contribuire a prevenire gli attacchi.

Utilizza il servizio di posture di sicurezza di Security Command Center per definire e implementare una postura di sicurezza e rilevare eventuali deviazioni o modifiche non autorizzate rispetto alla postura definita.

Il servizio di analisi della posizione di sicurezza viene attivato automaticamente quando attivi Security Command Center a livello di organizzazione.

Per ulteriori informazioni, consulta la Panoramica della postura di sicurezza.

Identifica i tuoi asset

Security Command Center include le informazioni sugli asset di Cloud Asset Inventory, che monitora costantemente gli asset nel tuo ambiente cloud. Per la maggior parte degli asset, le modifiche alla configurazione, inclusi i criteri IAM e dell'organizzazione, vengono rilevate quasi in tempo reale.

Nella pagina Asset della console Google Cloud, puoi applicare, modificare ed eseguire rapidamente query sugli asset di esempio, aggiungere un vincolo di tempo preimpostato o scrivere le tue query sugli asset.

Se hai il livello Premium o Enterprise di Security Command Center, puoi vedere quali asset sono designati come risorse di alto valore per le valutazioni del rischio tramite le simulazioni dei percorsi di attacco.

Puoi identificare rapidamente le modifiche nell'organizzazione o nel progetto e rispondere a domande come:

  • Quanti progetti hai e quando sono stati creati?
  • Quali risorse Google Cloud sono implementate o in uso, ad esempio VM (macchine virtuali) Compute Engine, bucket Cloud Storage o istanze App Engine?
  • Qual è la tua cronologia di deployment?
  • Come organizzare, annotare, cercare, selezionare, filtrare e ordinare le seguenti categorie:
    • Asset e proprietà degli asset
    • Indicatori di sicurezza, che ti consentono di annotare asset o risultati in Security Command Center
    • Periodo di tempo

Cloud Asset Inventory conosce sempre lo stato attuale degli asset supportati e, nella console Google Cloud, ti consente di esaminare le analisi di rilevamento storiche per confrontare gli asset tra un punto in tempo e l'altro. Puoi anche cercare asset sottoutilizzati, come macchine virtuali o indirizzi IP inattivi.

Funzionalità di Gemini in Security Command Center

Security Command Center integra Gemini per fornire riepiloghi dei risultati e dei percorsi di attacco, nonché per aiutarti nelle ricerche e nelle indagini sulle minacce e sulle vulnerabilità rilevate.

Per informazioni su Gemini, consulta Panoramica di Gemini.

Riepiloghi di Gemini dei risultati e dei percorsi di attacco

Se utilizzi Security Command Center Enterprise o Premium, Gemini fornisce spiegazioni generate dinamicamente di ogni risultato e di ogni percorso di attacco simulato che Security Command Center genera per i risultati di classi Vulnerability e Misconfiguration.

I riepiloghi sono scritti in linguaggio naturale per aiutarti a comprendere e intervenire rapidamente sui risultati e su eventuali percorsi di attacco che potrebbero accompagnarli.

I riepiloghi vengono visualizzati nei seguenti punti della console Google Cloud:

  • Quando fai clic sul nome di un singolo rilevamento, viene visualizzato il riepilogo nella parte superiore della pagina dei dettagli del rilevamento.
  • Con i livelli Premium ed Enterprise di Security Command Center, se un risultato ha un punteggio di esposizione agli attacchi, puoi visualizzare il riepilogo a destra del percorso di attacco facendo clic sul punteggio di esposizione agli attacchi e poi su Riepilogo AI.

Autorizzazioni IAM richieste per i riepiloghi creati con AI'IA

Per visualizzare i riepiloghi dellAI, devi disporre delle autorizzazioni IAM necessarie.

Per i risultati, devi disporre dell'autorizzazione IAM securitycenter.findingexplanations.get. Il ruolo IAM predefinito meno permissivo che contiene questa autorizzazione è il ruolo Visualizzatore risultati Centro sicurezza (roles/securitycenter.findingsViewer).

Per i percorsi di attacco, devi disporre dell'autorizzazione IAM securitycenter.exposurepathexplan.get. Il ruolo IAM predefinito meno permissivo che contiene questa autorizzazione è il ruolo Security Center Exposure Paths Reader (roles/securitycenter.exposurePathsViewer).

Durante l'anteprima, queste autorizzazioni non sono disponibili nella console Google Cloud per l'aggiunta ai ruoli IAM personalizzati.

Per aggiungere l'autorizzazione a un ruolo personalizzato, puoi utilizzare Google Cloud CLI.

Per informazioni sull'utilizzo di Google Cloud CLI per aggiungere autorizzazioni a un ruolo personalizzato, consulta Creare e gestire i ruoli personalizzati.

Ricerca in linguaggio naturale per le indagini sulle minacce

Puoi generare ricerche di risultati relativi alle minacce, avvisi e altre informazioni utilizzando le query in linguaggio naturale e Gemini. Per maggiori informazioni, consulta Utilizzare il linguaggio naturale per generare query di ricerca UDM nella documentazione di Google SecOps.

Widget di indagine AI per le richieste

Per aiutarti a comprendere e esaminare le richieste per rilevamenti e avvisi, Gemini fornisce un riepilogo di ogni richiesta e suggerisce i passaggi successivi che puoi svolgere per esaminarla. Il riepilogo e i passaggi successivi vengono visualizzati nel widget Indagine AI quando visualizzi una richiesta.

Informazioni strategiche sulla sicurezza

I servizi Google Cloud integrati e integrati di Security Command Center monitorano continuamente le risorse e i log per rilevare indicatori di compromissione e modifiche alla configurazione che corrispondono a minacce, vulnerabilità e errori di configurazione noti. Per fornire un contesto per gli incidenti, i risultati vengono arricchiti con informazioni provenienti dalle seguenti fonti:

  • Con i livelli Enterprise e Premium:
    • Riepiloghi creati con l'IA che ti aiutano a comprendere e intervenire in base ai risultati di Security Command Center e a eventuali percorsi di attacco inclusi. Per ulteriori informazioni, consulta la sezione Sintesi create con l'IA.
    • I risultati relativi alle vulnerabilità includono informazioni provenienti dalle voci CVE corrispondenti, incluso il punteggio CVE, nonché le valutazioni di Mandiant dell'impatto potenziale della vulnerabilità e della sua potenziale possibilità di essere sfruttata.
    • Potenti funzionalità di ricerca SIEM e SOAR che ti consentono di esaminare minacce e vulnerabilità e di passare da un'entità all'altra in un'unica cronologia.
  • VirusTotal, un servizio di proprietà di Alphabet che fornisce contesto su file, URL, domini e indirizzi IP potenzialmente dannosi.
  • Framework MITRE ATT&CK, che illustra le tecniche di attacco alle risorse cloud e fornisce indicazioni per la correzione.
  • Cloud Audit Logs (log delle attività di amministrazione e log degli accessi ai dati).

Riceverai notifiche relative ai nuovi risultati quasi in tempo reale, aiutando i tuoi team di sicurezza a raccogliere dati, identificare minacce e applicare i consigli prima che causino danni o perdite per l'attività.

Con una visione centralizzata della tua posizione di sicurezza e un'API solida, puoi eseguire rapidamente le seguenti operazioni:

  • Rispondi a domande come:
    • Quali indirizzi IP statici sono aperti al pubblico?
    • Quali immagini sono in esecuzione sulle tue VM?
    • Esistono prove che le tue VM vengono utilizzate per il mining di criptovalute o altre operazioni illecite?
    • Quali account di servizio sono stati aggiunti o rimossi?
    • Come vengono configurati i firewall?
    • Quali bucket di archiviazione contengono informazioni che consentono l'identificazione personale (PII) o dati sensibili? Questa funzionalità richiede l'integrazione con Sensitive Data Protection.
    • Quali applicazioni cloud sono vulnerabili alle vulnerabilità di cross-site scripting (XSS)?
    • Alcuni dei miei bucket Cloud Storage sono aperti a internet?
  • Intervieni per proteggere i tuoi asset:
    • Implementa i passaggi di correzione verificati per gli errori di configurazione delle risorse e le violazioni della conformità.
    • Combina le informazioni sulle minacce di Google Cloud e di fornitori di terze parti, come Palo Alto Networks, per proteggere meglio la tua azienda dalle minacce di livello di calcolo costose.
    • Assicurati che vengano applicati i criteri IAM appropriati e ricevi degli avvisi quando i criteri vengono configurati erroneamente o cambiano inaspettatamente.
    • Integra i risultati provenienti da origini tue o di terze parti per le risorse Google Cloud o altre risorse ibride o multi-cloud. Per ulteriori informazioni, consulta Aggiungere un servizio di sicurezza di terze parti.
    • Rispondere alle minacce nel tuo ambiente Google Workspace e alle modifiche non sicure in Google Gruppi.

Configurazioni errate di identità e accesso

Security Command Center semplifica l'identificazione e la risoluzione degli annunci di errori di configurazione di identità e accesso su Google Cloud. I risultati relativi alle configurazioni errate identificano le entità (identità) con configurazione errata o con autorizzazioni IAM (accesso) eccessive o sensibili alle risorse Google Cloud.

Cloud Infrastructure Entitlement Management

La gestione dei problemi di sicurezza relativi a identità e accessi è talvolta indicata come gestione dei diritti dell'infrastruttura cloud (CIEM). Security Command Center offre funzionalità CIEM che contribuiscono a fornire una visione completa della sicurezza della configurazione di identità e accesso della tua organizzazione. Security Command Center offre queste funzionalità per più piattaforme cloud, tra cui Google Cloud e Amazon Web Services (AWS). Con CIEM, puoi vedere quali entità hanno autorizzazioni eccessive nei tuoi ambienti cloud. Oltre a Google Cloud IAM, CIEM supporta la possibilità di esaminare le autorizzazioni dei principali di altri provider di identità (come Entra ID (Azure AD) e Okta) sulle risorse Google Cloud. Puoi visualizzare i risultati più gravi relativi a identità e accesso di più provider cloud nel riquadro Risultati relativi a identità e accesso nella pagina Panoramica di Security Command Center nella console Google Cloud.

Per ulteriori informazioni sulle funzionalità CIEM di Security Command Center, consulta la Panoramica di Cloud Infrastructure Entitlement Management.

Preimpostazioni di query per identità e accesso

Nella pagina Vulnerabilità della console Google Cloud, puoi selezionare le preimpostazioni di query (query predefinite) che mostrano i rilevatori o le categorie di vulnerabilità correlati a identità e accesso. Per ogni categoria viene visualizzato il numero di risultati attivi.

Per ulteriori informazioni sui valori preimpostati delle query, consulta Applicare i valori preimpostati delle query.

Gestire la conformità agli standard di settore

Security Command Center monitora la tua conformità con i rilevatori mappati ai controlli di una vasta gamma di standard di sicurezza.

Per ogni standard di sicurezza supportato, Security Command Center controlla un sottoinsieme di controlli. Per i controlli selezionati, Security Command Center mostra quanti sono superati. Per i controlli che non superano la verifica, Security Command Center mostra un elenco di risultati che descrivono gli errori di controllo.

Il CIS esamina e certifica le mappature dei rilevatori di Security Command Center a ogni versione supportata del benchmark CIS Google Cloud Foundations. Le mappature di conformità aggiuntive sono incluse solo a scopo di riferimento.

Security Command Center aggiunge periodicamente il supporto di nuove versioni e standard di benchmark. Le versioni precedenti rimangono supportate, ma vengono eventualmente ritirate. Ti consigliamo di utilizzare lo standard o il benchmark supportato più recente disponibile.

Con il servizio di stato della sicurezza, puoi mappare i criteri dell'organizzazione e i rilevatori di Security Health Analytics agli standard e ai controlli applicabili alla tua attività. Dopo aver creato una strategia di sicurezza, puoi monitorare eventuali modifiche all'ambiente che potrebbero influire sulla conformità della tua attività.

Per ulteriori informazioni sulla gestione della conformità, consulta Valutare e segnalare la conformità agli standard di sicurezza.

Standard di sicurezza supportati

Google Cloud

Security Command Center mappa i rilevatori per Google Cloud a uno o più dei seguenti standard di conformità:

AWS

Security Command Center mappa i rilevatori per Amazon Web Services (AWS) a uno o più dei seguenti standard di conformità:

Piattaforma flessibile per soddisfare le tue esigenze di sicurezza

Security Command Center include opzioni di personalizzazione e integrazione che ti consentono di migliorare l'utilità del servizio per soddisfare le tue esigenze di sicurezza in continua evoluzione.

Opzioni di personalizzazione

Le opzioni di personalizzazione includono:

Opzioni di integrazione

Le opzioni di integrazione includono:

Quando utilizzare Security Command Center

La seguente tabella include funzionalità di prodotto di alto livello, casi d'uso e link alla documentazione pertinente per aiutarti a trovare rapidamente i contenuti di cui hai bisogno.

Funzionalità Casi d'uso Documenti correlati
Identificazione e revisione delle risorse
  • Visualizza in un unico posto tutti gli asset, i servizi e i dati della tua organizzazione o del tuo progetto e delle tue piattaforme cloud.
  • Valuta le vulnerabilità per le risorse supportate e intervieni per dare la priorità alle correzioni dei problemi più gravi.

Best practice per Security Command Center

Controllo dell'accesso

Utilizzare Security Command Center nella console Google Cloud

Identificazione dei dati sensibili
  • Scopri dove vengono archiviati i dati sensibili e regolamentati utilizzando la protezione dei dati sensibili.
  • Contribuisci a prevenire l'esposizione accidentale alle minacce e assicura che l'accesso segua il principio della necessità di sapere (need-to-know).
  • Designare automaticamente le risorse che contengono dati con sensibilità media o elevata come _risorse di alto valore.
Invio dei risultati di Sensitive Data Protection a Security Command Center
Integrazione di prodotti SIEM e SOAR di terze parti
  • Esporta facilmente i dati di Security Command Center in sistemi SIEM e SOAR esterni.

Esportazione dei dati di Security Command Center

Esportazioni continue

Rilevamento degli errori di configurazione

Panoramica di Security Health Analytics

Panoramica di Web Security Scanner

Risultati relativi alle vulnerabilità

Rilevamento delle vulnerabilità del software
  • Rileva le vulnerabilità del software nei carichi di lavoro su macchine virtuali e container di vari fornitori di servizi cloud.
  • Ricevi avvisi proattivi su nuove vulnerabilità e modifiche alla tua superficie di attacco.
  • Scopri vulnerabilità comuni come cross-site scripting (XSS) e Flash injection che mettono a rischio le tue applicazioni.
  • Con Security Command Center Premium, assegna priorità ai risultati relativi alle vulnerabilità utilizzando le informazioni CVE,incluse le valutazioni di sfruttabilità e impatto fornite da Mandiant.

Dashboard della strategia di sicurezza di GKE

VM Manager

Panoramica di Web Security Scanner

Risultati relativi alle vulnerabilità

Monitoraggio controllo dell'accesso e delle identità
  • Contribuisci a garantire che vengano applicati criteri adeguati di controllo dell'accesso nelle tue risorse Google Cloud e ricevi un avviso quando i criteri vengono configurati erroneamente o cambiano inaspettatamente.
  • Utilizza le preimpostazioni di query per visualizzare rapidamente i risultati relativi a configurazioni errate di identità e accesso e a ruoli a cui sono state concesse autorizzazioni eccessive.

Motore per suggerimenti IAM

Controllo dell'accesso

Configurazioni errate di identità e accesso

Rilevamento delle minacce
  • Rileva attività e attori dannosi nella tua infrastruttura e ricevi avvisi per le minacce attive.
  • Rileva le minacce su altre piattaforme cloud

Gestire le minacce

Panoramica di Event Threat Detection

Panoramica di Container Threat Detection

Rilevamento degli errori
  • Ricevi avvisi su errori e configurazioni errate che impediscono il funzionamento di Security Command Center e dei suoi servizi come previsto.
Panoramica degli errori di Security Command Center
Assegnare priorità alle correzioni
  • Utilizza i punteggi di esposizione agli attacchi per dare la priorità alla correzione dei risultati relativi a vulnerabilità e configurazioni errate.
  • Utilizza i punteggi di esposizione agli attacchi sulle risorse per proteggere in modo proattivo quelle più importanti per la tua attività.
Panoramica dei punteggi di esposizione agli attacchi e dei percorsi di attacco
Risolvere i rischi
  • Implementa le istruzioni di correzione verificate e consigliate per proteggere rapidamente gli asset.
  • Concentrati sui campi più importanti dei risultati per aiutare gli analisti della sicurezza a prendere rapidamente decisioni informate sul triage.
  • Arricchisci e collega le vulnerabilità e le minacce correlate per identificare e acquisire le TTP.
  • Risolvi gli errori e le configurazioni errate che impediscono il funzionamento di Security Command Center e dei relativi servizi come previsto.

Analisi e risposta alle minacce

Correzione dei risultati di Security Health Analytics

Correzione dei risultati di Web Security Scanner

Automazione della risposta di sicurezza

Correggere gli errori di Security Command Center

Gestione della configurazione di sicurezza
  • Assicurati che i carichi di lavoro siano conformi agli standard di sicurezza, alle normative di conformità e ai requisiti di sicurezza personalizzati della tua organizzazione.
  • Applica i controlli di sicurezza a progetti, cartelle o organizzazioni Google Cloud prima di eseguire il deployment di qualsiasi carico di lavoro.
  • Monitora continuamente e risolvi eventuali deviazioni dai controlli di sicurezza definiti.

Panoramica della security posture

Gestire una postura di sicurezza

Input da strumenti di sicurezza di terze parti
  • Integra gli output dei tuoi strumenti di sicurezza esistenti, come Cloudflare, CrowdStrike, Prisma Cloud di Palo Alto Networks e Qualys, in Security Command Center. L'integrazione dell'output può aiutarti a rilevare quanto segue:

    • Attacchi DDoS
    • Endpoint compromessi
    • Violazioni delle norme relative alla conformità
    • Attacchi alla rete
    • Vulnerabilità e minacce delle istanze

Configurazione di Security Command Center

Creare e gestire le origini di sicurezza

Notifiche in tempo reale
  • Ricevi avvisi di Security Command Center via email, SMS, Slack, WebEx e altri servizi con le notifiche Pub/Sub.
  • Modifica i filtri dei risultati per escludere quelli presenti nelle liste consentite.

Configurare le notifiche dei risultati

Attivare le notifiche via email e chat in tempo reale

Utilizzare i contrassegni di sicurezza

Esportazione dei dati di Security Command Center

Filtrare le notifiche

Aggiungere asset alle liste consentite

API REST e SDK client
  • Utilizza l'API REST di Security Command Center o gli SDK client per un'integrazione semplice con i tuoi flussi di lavoro e sistemi di sicurezza esistenti.

Configurazione di Security Command Center

Librerie client Security Command Center

API Security Command Center

Controlli per la residenza dei dati

Per soddisfare i requisiti di residenza dei dati, quando attivi Security Command Center Standard o Premium per la prima volta, puoi abilitare i controlli della residenza dei dati.

L'attivazione dei controlli di residenza dei dati limita lo stoccaggio e l'elaborazione dei risultati di Security Command Center, delle regole di disattivazione, delle esportazioni continue e delle esportazioni di BigQuery a una delle regioni multidata di residenza dei dati supportate da Security Command Center.

Per ulteriori informazioni, consulta Pianificare la residenza dei dati.

Livelli di servizio di Security Command Center

Security Command Center offre tre livelli di servizio: Standard, Premium ed Enterprise.

Il livello selezionato determina le funzionalità e i servizi disponibili con Security Command Center.

Se hai domande sui livelli di servizio di Security Command Center, contatta il rappresentante del tuo account o il team di vendita di Google Cloud.

Per informazioni sui costi associati all'utilizzo di un livello di Security Command Center, consulta Prezzi.

Livello Standard

Il livello Standard include i seguenti servizi e funzionalità:

  • Security Health Analytics: nel livello Standard, Security Health Analytics fornisce l'analisi delle vulnerabilità gestita per Google Cloud, che può rilevare automaticamente le vulnerabilità e le configurazioni errate di gravità più elevata per i tuoi asset Google Cloud. Nel livello Standard, Security Health Analytics include i seguenti tipi di risultati:

    • Dataproc image outdated
    • Legacy authorization enabled
    • MFA not enforced
    • Non org IAM member
    • Open ciscosecure websm port
    • Open directory services port
    • Open firewall
    • Open group IAM member
    • Open RDP port
    • Open SSH port
    • Open Telnet port
    • Public bucket ACL
    • Public Compute image
    • Public dataset
    • Public IP address
    • Public log bucket
    • Public SQL instance
    • SSL not enforced
    • Web UI enabled
  • Scansioni personalizzate di Web Security Scanner: nel livello Standard, Web Security Scanner supporta le scansioni personalizzate per le applicazioni di cui è stato eseguito il deployment con URL e indirizzi IP pubblici che non sono protetti da un firewall. Le scansioni vengono configurate, gestite ed eseguite manualmente per tutti i progetti e supportano un sottoinsieme di categorie della OWASP Top Ten.
  • Errori di Security Command Center: Security Command Center fornisce indicazioni per il rilevamento e la correzione degli errori di configurazione che impediscono il corretto funzionamento di Security Command Center e dei relativi servizi.
  • La funzionalità Esportazioni continue, che gestisce automaticamente l'esportazione di nuovi risultati in Pub/Sub.
  • Accesso ai servizi Google Cloud integrati, tra cui:

    • Sensitive Data Protection rileva, classifica e protegge i dati sensibili.
    • Google Cloud Armor protegge le implementazioni di Google Cloud dalle minacce.
    • Il rilevamento di anomalie identifica anomalie di sicurezza per i tuoi progetti e le tue istanze di macchine virtuali (VM), tra cui potenziali credenziali divulgate e mining di criptovalute.
    • Policy Controller consente l'applicazione, anche forzata, dei criteri programmabili per i tuoi cluster Kubernetes.
  • Risultati della dashboard della security posture di GKE: visualizza i risultati relativi a configurazioni errate della sicurezza dei workload Kubernetes, bollettini sulla sicurezza strategici e vulnerabilità nel sistema operativo del container o nei pacchetti di linguaggio. L'integrazione dei risultati della dashboard della postura di sicurezza di GKE con Security Command Center è disponibile in anteprima.
  • Integrazione con BigQuery, che esporta i risultati in BigQuery per l'analisi.
  • Sensitive Actions Service, che rileva quando vengono intraprese azioni nell'organizzazione, nelle cartelle e nei progetti Google Cloud che potrebbero danneggiare la tua attività se intraprese da un attore malintenzionato.
  • Quando Security Command Center è attivato a livello di organizzazione, puoi assegnare agli utenti i ruoli IAM a livello di organizzazione, cartella e progetto.
  • Controlli di residenza dei dati che limitano lo stoccaggio e l'elaborazione dei risultati di Security Command Center, le regole di disattivazione, le esportazioni continue e le esportazioni BigQuery in una delle regioni multi con residenza dei dati supportate da Security Command Center.

    Per ulteriori informazioni, consulta Pianificare la residenza dei dati.

Livello Premium

Il livello Premium include tutti i servizi e le funzionalità del livello Standard, nonché i seguenti servizi e funzionalità aggiuntivi:

  • Le simulazioni del percorso di attacco ti aiutano a identificare e dare la priorità ai risultati relativi a vulnerabilità e errori di configurazione identificando i percorsi che un potenziale utente malintenzionato potrebbe seguire per raggiungere le tue risorse di alto valore. Le simulazioni calcolano e assegnano punteggi di esposizione agli attacchi a tutti i risultati che espongono queste risorse. I percorsi di attacco interattivi ti aiutano a visualizzare i possibili percorsi di attacco e forniscono informazioni sui percorsi, sui risultati correlati e sulle risorse interessate.
  • I risultati relativi alle vulnerabilità includono le valutazioni delle CVE fornite da Mandiant per aiutarti a dare la priorità alla loro correzione.

    Nella pagina Panoramica della console, la sezione Principali risultati relativi alle CVE mostra i risultati relativi alle vulnerabilità raggruppati in base alla loro sfruttabilità e al potenziale impatto, come valutato da Mandiant. Nella pagina Risultati, puoi eseguire query sui risultati in base all'ID CVE.

    Per ulteriori informazioni, consulta Assegnare la priorità in base all'impatto e alla sfruttabilità delle CVE.

  • Event Threat Detection monitora Cloud Logging e Google Workspace utilizzando l'intelligence per le minacce, il machine learning e altri metodi avanzati per rilevare minacce come malware, mining di criptovalute ed esfiltrazione di dati. Per un elenco completo dei rilevatori di Event Threat Detection integrati, consulta le regole di Event Threat Detection. Puoi anche creare rilevatori Event Threat Detection personalizzati. Per informazioni sui modelli di moduli che puoi utilizzare per creare regole di rilevamento personalizzate, consulta la Panoramica dei moduli personalizzati per Event Threat Detection.
  • Container Threat Detection rileva i seguenti attacchi a runtime di container:
    • Programma binario aggiuntivo eseguito
    • Libreria aggiuntiva caricata
    • Esecuzione: programma binario dannoso aggiuntivo eseguito
    • Esecuzione: caricamento di una libreria dannosa aggiuntiva
    • Esecuzione: programma binario dannoso integrato eseguito
    • Esecuzione: programma binario dannoso modificato eseguito
    • Esecuzione: caricamento di una libreria dannosa modificata
    • Script dannoso eseguito
    • Shell inversa
    • Shell secondario imprevisto
  • Sono disponibili le seguenti funzionalità di Policy Intelligence:

    • Funzionalità avanzate del motore per suggerimenti IAM, tra cui:
      • Suggerimenti per i ruoli non di base
      • Consigli per i ruoli concessi a risorse diverse da organizzazioni, cartelle e progetti, ad esempio consigli per i ruoli concessi ai bucket Cloud Storage
      • Consigli che suggeriscono ruoli personalizzati
      • Approfondimenti sulle norme
      • Approfondimenti sul movimento laterale
    • Policy Analyzer su larga scala (più di 20 query per organizzazione al giorno). Questo limite è condiviso tra tutti gli strumenti di Analizzatore criteri.
    • Visualizzazioni per l'analisi dei criteri dell'organizzazione.
  • Puoi eseguire query sugli asset in Cloud Asset Inventory.
  • Virtual Machine Threat Detection rileva le applicazioni potenzialmente dannose in esecuzione nelle istanze VM.
  • Security Health Analytics nel livello Premium include le seguenti funzionalità:

    • Scansioni delle vulnerabilità gestite per tutti i rilevatori di Security Health Analytics
    • Monitoraggio per molte best practice di settore
    • Monitoraggio della conformità. I rilevatori di Security Health Analytics mappano i controlli dei benchmark di sicurezza comuni.
    • Supporto dei moduli personalizzati, che puoi utilizzare per creare i tuoi rilevatori personalizzati di Security Health Analytics.

    Nel livello Premium, Security Health Analytics supporta gli standard descritti in Gestire la conformità agli standard di settore.

  • Web Security Scanner nel livello Premium include tutte le funzionalità di livello Standard e altri rilevatori che supportano le categorie della OWASP Top Ten. Web Security Scanner aggiunge anche scansioni gestite che vengono configurate automaticamente.
  • Monitoraggio della conformità delle risorse Google Cloud.

    Per misurare la conformità ai benchmark e agli standard di sicurezza comuni, i rilevatori degli scanner di vulnerabilità di Security Command Center vengono mappati ai controlli standard di sicurezza comuni.

    Puoi visualizzare la tua conformità agli standard, identificare i controlli non conformi, esportare i report e altro ancora. Per ulteriori informazioni, consulta Valutare e segnalare la conformità agli standard di sicurezza.

  • Puoi richiedere una quota aggiuntiva per l'Cloud Asset Inventory Cloud se si rende necessario un monitoraggio degli asset esteso.
  • Il servizio di strategia di sicurezza ti consente di definire, valutare e monitorare lo stato complessivo della tua sicurezza in Google Cloud. Per utilizzare il servizio di analisi della postura di sicurezza, devi attivare il livello Premium di Security Command Center a livello di organizzazione.
  • La convalida IaC ti consente di verificare la tua infrastruttura come codice (IaC) in base ai criteri dell'organizzazione e ai rilevatori di Security Health Analytics che hai definito nella tua organizzazione Google Cloud. Per utilizzare la convalida IaC, devi attivare il livello Premium di Security Command Center a livello di organizzazione.
  • Report sulle vulnerabilità di VM Manager
    • Se attivi VM Manager, il servizio scrive automaticamente i risultati dei report sulle vulnerabilità, che sono in anteprima, in Security Command Center. I report identificano le vulnerabilità nei sistemi operativi installati sulle macchine virtuali di Compute Engine. Per ulteriori informazioni, consulta VM Manager.

Livello Enterprise

Il livello Enterprise è una piattaforma di protezione delle applicazioni cloud-native (CNAPP) completa che consente ad analisti SOC, analisti delle vulnerabilità e altri professionisti della sicurezza cloud di gestire la sicurezza su più fornitori di servizi cloud in un unico posto centralizzato.

Il livello Enterprise offre funzionalità di rilevamento e indagine, assistenza per la gestione delle richieste e gestione della postura, inclusa la possibilità di definire e implementare regole di postura personalizzate e quantificare e visualizzare il rischio rappresentato da vulnerabilità e errori di configurazione per il tuo ambiente cloud.

Il livello Enterprise include tutti i servizi e le funzionalità dei livelli Standard e Premium, nonché i seguenti servizi e funzionalità aggiuntivi:

Riepilogo delle funzionalità e dei servizi di livello Enterprise

Il livello Enterprise include tutti i servizi e le funzionalità dei livelli Standard e Premium che vengono rilasciati in versione generale.

Il livello Enterprise aggiunge i seguenti servizi e funzionalità a Security Command Center:

  • Rilevamento di combinazioni tossiche, basato sul motore dei rischi di Security Command Center. Per ulteriori informazioni, consulta la Panoramica delle combinazioni tossiche.
  • Supporto multicloud. Puoi collegare Security Command Center ad altri provider cloud, come AWS, per rilevare minacce, vulnerabilità e errori di configurazione. Inoltre, dopo aver specificato le risorse di alto valore sull'altro provider, puoi anche valutarne l'esposizione agli attacchi con i punteggi di esposizione agli attacchi e i percorsi di attacco.
  • Funzionalità SIEM (Security Information and Event Management) per ambienti cloud. Scansiona i log e altri dati alla ricerca di minacce per più ambienti cloud, definisci regole di rilevamento delle minacce e cerca nei dati accumulati. Per ulteriori informazioni, consulta la documentazione di Google SecOps SIEM.
  • Funzionalità SOAR (orchestrazione della sicurezza, automazione e risposta) per gli ambienti cloud. Gestisci le richieste, definisci i flussi di lavoro di risposta e cerca i dati di risposta. Per ulteriori informazioni, consulta la documentazione di SOAR di Google SecOps.
  • Funzionalità CIEM (Cloud Infrastructure Entitlement Management) per gli ambienti cloud. Identifica gli account principali (identità) configurati in modo errato o a cui sono state concesse autorizzazioni (accesso) IAM eccessive o sensibili alle tue risorse cloud. Per saperne di più, consulta la Panoramica di Cloud Infrastructure Entitlement Management.
  • Rilevamento ampliato delle vulnerabilità del software in VM e container nei tuoi ambienti cloud con i seguenti servizi Google Cloud integrati e integrati:
    • Versione Enterprise di Google Kubernetes Engine (GKE)
    • Vulnerability Assessment per AWS
    • VM Manager

Funzioni di livello Enterprise basate su Google Security Operations

La funzionalità di gestione dei casi, le funzionalità dei playbook e altre funzionalità SIEM e SOAR del livello Enterprise di Security Command Center si basano su Google Security Operations. Quando utilizzi alcune di queste funzionalità, potresti visualizzare il nome di Google SecOps nell'interfaccia web e potresti essere reindirizzato alla documentazione di Google SecOps per ricevere indicazioni.

Alcune funzionalità di Google SecOps non sono supportate o limitate con Security Command Center, ma il loro utilizzo potrebbe non essere disattivato o limitato negli abbonamenti iniziali al livello Enterprise. Utilizza le seguenti funzionalità e funzioni solo in conformità con le limitazioni indicate:

  • L'importazione dei log cloud è limitata ai log pertinenti per il rilevamento delle minacce cloud, ad esempio:

    • Google Cloud

      • Log delle attività di amministrazione di Cloud Audit Logs
      • Log di accesso ai dati di Cloud Audit Logs
      • Log di sistema Compute Engine
      • Registro di controllo GKE
    • Google Workspace

      • Eventi Google Workspace
      • Avvisi di Google Workspace
    • AWS

      • Audit log di CloudTrail
      • Syslog
      • Log di autenticazione
      • Eventi GuardDuty
  • I rilevamenti selezionati sono limitati a quelli che rilevano minacce negli ambienti cloud.

  • Le integrazioni di Google Cloud Marketplace sono limitate a quanto segue:

    • Siemplify
    • Strumenti
    • VirusTotal V3
    • Cloud Asset Inventory di Google
    • Google Security Command Center
    • Jira
    • Funzioni
    • Google Cloud IAM
    • Email V2
    • Google Cloud Computing
    • Google Chronicle
    • Mitre Att&ck
    • Mandiant Threat Intelligence
    • Google Cloud Policy Intelligence
    • Motore per suggerimenti Google Cloud
    • Utilità Siemplify
    • Service Now
    • CSV
    • SCC Enterprise
    • AWS IAM
    • AWS EC2
  • Il numero di regole personalizzate per singolo evento è limitato a 20.

  • Risk Analytics per UEBA (analisi del comportamento di entità e utente) non è disponibile.

  • La funzionalità Informazioni sulle minacce applicate non è disponibile.

  • Il supporto di Gemini per Google SecOps è limitato alla ricerca in linguaggio naturale e ai riepiloghi delle indagini sui casi.

  • La conservazione dei dati è limitata a tre mesi.

Livelli di attivazione di Security Command Center

Puoi attivare Security Command Center in un singolo progetto, attivazione a livello di progetto, o in un'intera organizzazione, attivazione a livello di organizzazione.

Il livello Enterprise richiede un'attivazione a livello di organizzazione.

Per ulteriori informazioni sull'attivazione di Security Command Center, consulta Panoramica dell'attivazione di Security Command Center.

Passaggi successivi