En esta página, se proporcionan recomendaciones para administrar los servicios de Security Command Center y para ayudarte a aprovechar el producto al máximo.
Security Command Center es una plataforma poderosa para supervisar los datos y los riesgos de seguridad en toda tu organización o proyectos individuales. Security Command Center está diseñado para proporcionar una protección máxima con una configuración mínima necesaria. Sin embargo, existen pasos que puedes seguir para adaptar la plataforma a tu flujo de trabajo y asegurarte de que tus recursos estén protegidos.
Habilita el nivel Premium o el nivel Enterprise
Los niveles Premium y Enterprise de Security Command Center proporcionan la a través de un amplio conjunto de funciones de seguridad de las operaciones, incluida la detección de amenazas, la vulnerabilidad la detección, las evaluaciones del cumplimiento, las capacidades de operaciones de seguridad y y mucho más. El nivel Estándar solo ofrece servicios y funciones limitados.
Para obtener más información sobre todas las funciones de Security Command Center, consulta la descripción general de Security Command Center.
Para obtener información sobre las funciones que se incluyen en cada consulta la siguiente información:
Usa activaciones a nivel de proyecto del nivel Premium
Puedes activar el nivel Premium para organizaciones o usuarios tus proyectos en la consola de Google Cloud.
Con las activaciones a nivel de proyecto, ciertas funciones que requieren el acceso a nivel de organización no están disponibles, independientemente del nivel. Para ver más información, consulta Disponibilidad de funciones con activaciones a nivel de proyecto.
Activaciones del El nivel Premium se factura en función del consumo de recursos, a menos que comprar una suscripción a nivel de la organización. Para obtener más información, consulta Precios.
Para obtener más información sobre cómo activar cualquiera de los niveles de Security Command Center, consulta Descripción general de la activación de Security Command Center.
Habilita todos los servicios integrados
Se recomienda habilitar todos los servicios integrados, sujeto a las prácticas recomendadas recomendaciones de servicios individuales.
Si Security Command Center ya está activado, puedes confirmar qué servicios están habilitados en la página Configuración.
Puedes inhabilitar cualquier servicio, pero es mejor mantener todos los servicios del nivel activados siempre. Se conservan todos los servicios habilitado te permite aprovechar las actualizaciones continuas y te ayuda a garantizar de que se proporcionen protecciones para los recursos nuevos y modificados.
Antes de habilitar Web Security Scanner en producción, revisa las prácticas recomendadas de Web Security Scanner.
Además, considera habilitar servicios integrados (Detección de anomalías, Protección de datos sensibles y Google Cloud Armor), explorar servicios de seguridad de terceros y activar Cloud Logging para Event Threat Detection y Detección de amenazas a contenedores. Según la cantidad de información, Sensitive Data Protection y los costos de Google Cloud Armor pueden ser significativos. Sigue las prácticas recomendadas para lo siguiente: mantener los costos de Sensitive Data Protection bajo control y lee los precios de Google Cloud Armor guía.
Habilita los registros para Event Threat Detection
Si usas Event Threat Detection, es posible que debas activar ciertos registros que analiza esta función. Aunque algunos registros siempre están activados, como los registros de auditoría de actividad del administrador de Cloud Logging, otros, como la mayoría de los registros de auditoría de acceso a los datos, están desactivados de forma predeterminada y deben habilitarse antes de que la Detección de amenazas de eventos pueda analizarlos.
Estos son algunos de los registros que debes considerar habilitar:
- Registros de auditoría de acceso a los datos de Cloud Logging
- Registros de Google Workspace (solo activaciones a nivel de la organización)
Los registros que necesites habilitar dependen de lo siguiente:
- Los servicios de Google Cloud que usas
- Las necesidades de seguridad de tu empresa
Logging podría cobrar por la transferencia y el almacenamiento determinados registros. Antes de habilitar cualquier registro, revisa Precios de Logging.
Después de habilitar un registro, Event Threat Detection comienza a analizarlo automáticamente.
Para obtener información más detallada sobre los módulos de detección y cuáles necesitas activar, consulta Registros que debes activar.
Define tu conjunto de recursos de alto valor
Para ayudarte a priorizar los hallazgos de vulnerabilidades y parámetros de configuración que para exponer los recursos más importantes que debes proteger, cuáles de tus recursos de alto valor pertenecen a tu conjunto de recursos de alto valor.
Los hallazgos que exponen los recursos de tu conjunto de recursos de alto valor obtienen puntuaciones de exposición a ataques más altas.
Especifica los recursos que pertenecen a tu conjunto de recursos de alto valor creando configuraciones de valores de recursos. Hasta que crees tu primera configuración de valor de recurso, Security Command Center usará un conjunto de recursos de alto valor predeterminado que no está personalizado para tus prioridades de seguridad.
Usa Security Command Center en la consola de Google Cloud
En la consola de Google Cloud, Security Command Center proporciona funciones y que aún no están disponibles en la API de Security Command Center. Las funciones que incluyen una interfaz intuitiva, gráficos con formato, informes de cumplimiento, y las jerarquías visuales de los recursos, para que se adapten a las necesidades de tu organización. Para obtener más información, consulta Usa Security Command Center en la consola de Google Cloud.
Extiende la funcionalidad con la API y gcloud
Si necesitas acceso programático, prueba la las bibliotecas cliente de Security Command Center la API de Security Command Center, que te permite acceder y controlar Security Command Center. Puedes usar el Explorador de APIs, con la etiqueta "Prueba esta API" en los paneles de las páginas de referencia de la API, explorar de forma interactiva la API de Security Command Center sin una clave de API. Puedes consultar los métodos y parámetros disponibles, ejecutar solicitudes y ver las respuestas en en tiempo real.
La API de Security Command Center permite a los analistas y administradores administrar tus recursos y resultados. Los ingenieros pueden usar la API para crear soluciones personalizadas de supervisión y generación de informes.
Extiende la funcionalidad con módulos de detección personalizados
Si necesita detectores que satisfagan las necesidades únicas de su organización, considere cómo crear módulos personalizados:
- Módulos personalizados para Security Health Analytics puedes definir tus propias reglas de detección de vulnerabilidades, configuración incorrecta o incumplimientos.
- Los módulos personalizados para Event Threat Detection te permiten supervisar tu flujo de registros en busca de amenazas según los parámetros que especifiques.
Revisa y administra recursos
Security Command Center muestra todos tus recursos en la página Recursos. en la consola de Google Cloud, donde puedes consultar tus recursos y ver información sobre ellos, incluidos los hallazgos relacionados, su historial de cambios, sus metadatos, y las políticas de IAM.
La información sobre los activos que aparece en la página Activos se lee desde Cloud Asset Inventory. Sigue estos pasos para recibir notificaciones en tiempo real sobre los cambios en los recursos y las políticas: crear un feed y suscribirse a él.
Para obtener más información, consulta Página Recursos.
Responde con rapidez a las vulnerabilidades y amenazas
Los hallazgos de Security Command Center proporcionan registros de los problemas de seguridad detectados con muchos detalles sobre los recursos afectados Instrucciones paso a paso sugeridas para investigar y solucionar vulnerabilidades y amenazas.
Los hallazgos de vulnerabilidades describen la vulnerabilidad o incorrecta, calcular una puntuación de exposición a ataques y una estimación gravedad. Los hallazgos de vulnerabilidades también te alertan sobre violaciones de la seguridad estándares o comparativas. Para obtener más información, consulta Comparativas compatibles.
Con Security Command Center Premium, los hallazgos de vulnerabilidades también incluyen información de Mandiant sobre la la explotación y el impacto potencial de la vulnerabilidad según el registro CVE correspondiente de la vulnerabilidad. Puedes usar esta información para priorizar para solucionar la vulnerabilidad. Para obtener más información, consulta Priorizar según el impacto y la explotación de CVE.
Los resultados de las amenazas incluyen datos del framework de MITRE ATT&CK, que explica las técnicas para ataques a recursos en la nube y proporciona orientación para la solución, además de VirusTotal, servicio de Alphabet que proporciona contexto sobre archivos, URL, dominios y direcciones IP potencialmente maliciosos.
Las siguientes guías son un punto de partida para ayudarte a solucionar problemas y proteger tus recursos.
- Soluciona los problemas de las estadísticas de estado de seguridad
- Solución de los resultados de Web Security Scanner
- Investigar amenazas y responder ante ellas
Controla el volumen de resultados
Para controlar el volumen de resultados en Security Command Center, puedes silenciar hallazgos individuales de forma programática o crear reglas de silencio que silenciar automáticamente los resultados según los filtros que definas. Hay dos tipos de reglas de silencio que puedes usar para controlar el volumen de los resultados:
- Reglas estáticas de silencio que silencian de forma indefinida los resultados futuros
- Reglas de silencio dinámicas que contienen una opción para silenciar temporalmente las redes actuales y en los resultados futuros.
Recomendamos usar reglas de silencio dinámicas exclusivas para reducir la cantidad de resultados que revisas manualmente. Para evitar confusiones, no recomendamos utilizar ambos reglas de silencio estáticas y dinámicas simultáneamente. Para una comparación de las dos reglas tipos de elementos silenciados, consulta Tipos de elementos silenciados reglas.
Los resultados silenciados se ocultan y silencian, pero se siguen registrando con fines de auditoría y cumplimiento. Puedes ver los resultados silenciados o dejar de silenciarlos en cualquier momento. Para para obtener más información, consulta Silenciar los resultados en Security Command Center.
El silenciamiento de los resultados con reglas de silenciamiento dinámico es el enfoque recomendado y más eficaz para controlar el volumen de los resultados. Como alternativa, puedes usar Security marcas para agregar recursos a listas de entidades permitidas.
Cada detector de Security Health Analytics tiene un tipo de marca dedicado que te permite excluir los recursos marcados de la política de detección. Esta función es útil cuando no quieres que los resultados se creen para recursos o proyectos específicos.
Para obtener más información sobre las marcas de seguridad, consulta Usa marcas de seguridad.
Configure las notificaciones
Las notificaciones te avisan sobre hallazgos nuevos y actualizados casi en tiempo real y, con las notificaciones por correo electrónico y chat, puedes hacerlo aun sin acceder a Security Command Center. Más información en Configura las notificaciones de resultados.
Security Command Center Premium te permite crear exportaciones continuas, que simplifican el proceso de exportar resultados a Pub/Sub.
Explora las funciones de Cloud Run
Cloud Run Functions es una servicio de Google Cloud que te permite conectar servicios en la nube y ejecutar código en respuesta a los eventos. Puedes usar la API de Notifications y las funciones de Cloud Run para enviar los resultados a sistemas de solución de problemas y tickets de terceros, o aplicar acciones, como cerrar resultados automáticamente.
Para comenzar, visita el repositorio de código abierto del código de las funciones de Cloud Run de Security Command Center. El repositorio contiene soluciones que te ayudan a realizar acciones automatizadas con respecto a los resultados de seguridad.
Mantén las comunicaciones activadas
Security Command Center se actualiza con regularidad con detectores y funciones nuevos. Las notas de la versión te informan sobre los cambios en los productos y las actualizaciones de la documentación. Pero puedes establecer preferencias de comunicación en la consola de Google Cloud para recibir actualizaciones de productos y promociones especiales de correo electrónico o celular. También puedes contarnos si te interesa participar en encuestas de usuarios y programas piloto.
Si tienes comentarios o preguntas, puedes hablar con tu vendedor, comunicarte con nuestro personal de Asistencia de Cloud o presentar un informe de errores.
¿Qué sigue?
Obtén más información para Usar Security Command Center.
Obtén más información sobre cómo configurar los servicios de Security Command Center