Best practice di Security Command Center

Questa pagina fornisce consigli per la gestione dei servizi e delle funzionalità di Security Command Center per aiutarti a ottenere il massimo dal prodotto.

Security Command Center è una piattaforma potente per monitorare i rischi per la sicurezza e i dati nell'intera organizzazione o in singoli progetti. Security Command Center è progettato per fornire la massima protezione con una configurazione minima necessaria. Tuttavia, puoi adottare misure per personalizzare la piattaforma in base al tuo workflow e assicurarti che le tue risorse siano protette.

Abilita il livello Premium o Enterprise

I livelli Premium ed Enterprise di Security Command Center forniscono la massima protezione grazie a un ampio set di funzionalità di sicurezza e operazioni di sicurezza del cloud, tra cui rilevamento delle minacce, rilevamento delle vulnerabilità del software, valutazioni della conformità, funzionalità di operazioni di sicurezza e molto altro ancora. Il livello Standard offre solo servizi e funzionalità limitati.

Per informazioni sulle funzionalità incluse in ogni livello di servizio, vedi Livelli di servizio.

Utilizzare le attivazioni a livello di progetto

Per il Standard e Premium, puoi attivare Security Command Center per singoli progetti.

Con le attivazioni a livello di progetto, alcune funzionalità che richiedono l'accesso a livello di organizzazione non sono disponibili, indipendentemente dal livello. Per ulteriori informazioni, vedi Disponibilità delle funzionalità con le attivazioni a livello di progetto.

Per saperne di più sull'attivazione di uno dei due livelli di Security Command Center, consulta la panoramica dell'attivazione di Security Command Center.

Per scoprire come ti viene addebitato Security Command Center quando lo attivi a livello di progetto, consulta la sezione Prezzi.

Attivare tutti i servizi integrati

Ti consigliamo di abilitare tutti i servizi integrati, in base alle best practice consigliate per i singoli servizi.

Se Security Command Center è già attivo, puoi verificare quali servizi sono abilitati nella pagina Impostazioni.

Puoi disattivare qualsiasi servizio, ma è consigliabile mantenere sempre attivi tutti i servizi del tuo livello. Se mantieni attivi tutti i servizi, puoi usufruire di aggiornamenti continui e contribuire a garantire la protezione delle risorse nuove e modificate.

Prima di attivare Web Security Scanner in produzione, consulta le best practice per Web Security Scanner.

Inoltre, valuta la possibilità di attivare i servizi integrati (Anomaly Detection, Sensitive Data Protection e Google Cloud Armor), esplora i servizi di sicurezza di terze parti e attiva Cloud Logging per Event Threat Detection e Container Threat Detection. A seconda della quantità di informazioni, i costi di Sensitive Data Protection e Cloud Armor possono essere significativi. Segui le best practice per tenere sotto controllo i costi di Sensitive Data Protection e leggi la guida ai prezzi di Cloud Armor.

Attivare i log per Event Threat Detection

Se utilizzi Event Threat Detection, potresti dover attivare determinati log che vengono analizzati da Event Threat Detection. Anche se alcuni log sono sempre attivi, come gli audit log Attività di amministrazione di Cloud Logging, altri log, come la maggior parte degli audit log Accesso ai dati, sono disattivati per impostazione predefinita e devono essere abilitati prima che Event Threat Detection possa eseguirne la scansione.

Alcuni dei log che dovresti prendere in considerazione di attivare includono:

  • Audit log di accesso ai dati di Cloud Logging
  • Log di Google Workspace (solo attivazioni a livello di organizzazione)

I log che devi attivare dipendono da:

  • I servizi Google Cloud che utilizzi
  • Le esigenze di sicurezza della tua attività

Logging potrebbe addebitare un costo per l'importazione e l'archiviazione di determinati log. Prima di attivare qualsiasi log, consulta i prezzi di Logging.

Una volta attivato un log, Event Threat Detection inizia a eseguirne la scansione automaticamente.

Per informazioni più dettagliate sui moduli di rilevamento che richiedono quali log e quali di questi log devi attivare, consulta Log da attivare.

Definisci il set di risorse di alto valore

Per aiutarti a dare la priorità ai risultati di vulnerabilità ed errori di configurazione che espongono le risorse più importanti da proteggere, specifica quali delle tue risorse di alto valore appartengono al tuo insieme di risorse di alto valore.

I risultati che espongono le risorse nel tuo set di risorse di alto valore ottengono punteggi di esposizione agli attacchi più elevati.

Specifica le risorse che appartengono al tuo set di risorse di alto valore creando configurazioni dei valori delle risorse. Finché non crei la prima configurazione del valore delle risorse, Security Command Center utilizza un insieme di risorse predefinito di alto valore che non è personalizzato in base alle tue priorità di sicurezza.

Utilizzare Security Command Center nella console Google Cloud

Nella console Google Cloud , Security Command Center fornisce funzionalità ed elementi visivi che non sono disponibili nell'API Security Command Center. Queste funzionalità, tra cui un'interfaccia intuitiva, grafici formattati, report di conformità e gerarchie visive delle risorse, ti offrono una visione più approfondita della tua organizzazione. Per ulteriori informazioni, vedi Utilizzo di Security Command Center nella console Google Cloud .

Estendere le funzionalità con l'API e gcloud

Se hai bisogno di un accesso programmatico, prova le librerie client di Security Command Center e l'API Security Command Center, che ti consentono di accedere e controllare il tuo ambiente Security Command Center. Puoi utilizzare Explorer API, etichettato "Prova questa API", nei riquadri delle pagine di riferimento dell'API per esplorare in modo interattivo l'API Security Command Center senza una chiave API. Puoi controllare i metodi e i parametri disponibili, eseguire le richieste e visualizzare le risposte in tempo reale.

L'API Security Command Center consente ad analisti e amministratori di gestire le risorse e i risultati. Gli ingegneri possono utilizzare l'API per creare soluzioni personalizzate di report e monitoraggio.

Estendere la funzionalità con moduli di rilevamento personalizzati

Se hai bisogno di rilevatori che soddisfino le esigenze specifiche della tua organizzazione, valuta la possibilità di creare moduli personalizzati:

Esaminare e gestire le risorse

Security Command Center mostra tutti i tuoi asset nella pagina Asset della console Google Cloud , dove puoi visualizzare informazioni come i risultati per ogni asset, la cronologia delle modifiche, i metadati e i criteri IAM. Per i livelli di servizio Premium ed Enterprise, puoi anche utilizzare query SQL per analizzare le tue risorse.

Le informazioni sugli asset nella pagina Asset vengono lette da Cloud Asset Inventory. Per ricevere notifiche in tempo reale sulle modifiche alle risorse e alle policy, crea un feed e abbonati.

Per ulteriori informazioni, consulta la pagina Asset.

Rispondere rapidamente a vulnerabilità e minacce

I risultati di Security Command Center forniscono record dei problemi di sicurezza rilevati che includono dettagli esaustivi sulle risorse interessate e istruzioni passo passo suggerite per l'analisi e la correzione di vulnerabilità e minacce.

I risultati relativi alle vulnerabilità descrivono la vulnerabilità o la configurazione errata rilevata, calcolano un punteggio di esposizione agli attacchi e una gravità stimata. I risultati di vulnerabilità ti avvisano anche in caso di violazioni di standard o benchmark di sicurezza. Per maggiori informazioni, vedi Benchmark supportati.

Per i livelli di servizio Premium ed Enterprise, i risultati delle vulnerabilità includono anche informazioni di Mandiant sull'exploitability e sul potenziale impatto della vulnerabilità in base al record CVE corrispondente. Puoi utilizzare queste informazioni per stabilire le priorità per la correzione della vulnerabilità. Per saperne di più, consulta Dare la priorità in base all'impatto e alla sfruttabilità della CVE.

I risultati delle minacce includono dati del framework MITRE ATT&CK, che spiega le tecniche per gli attacchi alle risorse cloud e fornisce indicazioni per la correzione, e di VirusTotal, un servizio di proprietà di Alphabet che fornisce il contesto di file, URL, domini e indirizzi IP potenzialmente dannosi.

Le seguenti guide sono un punto di partenza per aiutarti a risolvere i problemi e proteggere le tue risorse.

Controllare il volume della funzionalità di ricerca

Per controllare il volume dei risultati in Security Command Center, puoi disattivare manualmente o in modo programmatico i singoli risultati oppure creare regole di disattivazione che disattivano automaticamente i risultati in base ai filtri che definisci. Esistono due tipi di regole di disattivazione audio che puoi utilizzare per controllare il volume dei risultati:

  • Regole di disattivazione statiche che disattivano indefinitamente i risultati futuri.
  • Regole di disattivazione dinamiche che contengono un'opzione per disattivare temporaneamente i risultati attuali e futuri.

Ti consigliamo di utilizzare le regole di disattivazione dinamica esclusivamente per ridurre il numero di risultati che esamini manualmente. Per evitare confusione, non è consigliabile utilizzare contemporaneamente regole di disattivazione statiche e dinamiche. Per un confronto tra i due tipi di regole, vedi Tipi di regole di disattivazione.

I risultati disattivati sono nascosti e silenziati, ma continuano a essere registrati ai fini di audit e conformità. Puoi visualizzare i risultati disattivati o riattivarli in qualsiasi momento. Per scoprire di più, consulta Disattivazione dei risultati in Security Command Center.

La disattivazione dei risultati con regole di disattivazione dinamiche è l'approccio consigliato e più efficace per controllare il volume dei risultati. In alternativa, puoi utilizzare i segni di sicurezza per aggiungere asset alle liste consentite.

Ogni rilevatore di Security Health Analytics ha un tipo di segno dedicato che consente di escludere le risorse contrassegnate dai criteri di rilevamento. Questa funzionalità è utile quando non vuoi che vengano creati risultati per risorse o progetti specifici.

Per scoprire di più sui contrassegni di sicurezza, consulta l'articolo Utilizzo dei contrassegni di sicurezza.

Configurare le notifiche

Le notifiche ti avvisano di risultati nuovi e aggiornati in tempo quasi reale e, con le notifiche via email e chat, possono farlo anche quando non hai eseguito l'accesso a Security Command Center. Scopri di più in Configurazione delle notifiche sui risultati.

Puoi anche creare esportazioni continue, che semplificano il processo di esportazione dei risultati in Pub/Sub.

Esplora Cloud Run Functions

Cloud Run Functions è un Google Cloud servizio che ti consente di connettere servizi cloud ed eseguire codice in risposta agli eventi. Puoi utilizzare l'API Notifications e le funzioni Cloud Run per inviare i risultati a sistemi di gestione dei ticket e correzione di terze parti o intraprendere azioni automatizzate, come la chiusura automatica dei risultati.

Per iniziare, visita il repository open source di Security Command Center del codice di Cloud Run Functions. Il repository contiene soluzioni per aiutarti a intraprendere azioni automatizzate in base ai risultati di sicurezza.

Mantenere attive le comunicazioni

Security Command Center viene aggiornato regolarmente con nuovi rilevatori e funzionalità. Le note di rilascio ti informano sulle modifiche al prodotto e sugli aggiornamenti alla documentazione. Tuttavia, puoi impostare le tue preferenze di comunicazione nella console Google Cloud per ricevere aggiornamenti sui prodotti e promozioni speciali via email o dispositivo mobile. Puoi anche comunicarci se ti interessa partecipare a sondaggi sugli utenti e programmi pilota.

Se hai commenti o domande, puoi inviare feedback parlando con il tuo venditore, contattando il nostro personale di assistenza Cloud o segnalando un bug.

Passaggi successivi