En esta página se ofrecen recomendaciones para gestionar los servicios y las funciones de Security Command Center, de modo que puedas sacar el máximo partido al producto.
Security Command Center es una plataforma potente para monitorizar los riesgos de seguridad y de datos en toda tu organización o en proyectos concretos. Security Command Center se ha diseñado para ofrecer la máxima protección con la mínima configuración necesaria. Sin embargo, puedes seguir algunos pasos para adaptar la plataforma a tu flujo de trabajo y asegurarte de que tus recursos estén protegidos.
Habilitar el nivel Premium o Enterprise
Los niveles Premium y Enterprise de Security Command Center ofrecen la máxima protección a través de un amplio conjunto de funciones de seguridad en la nube y de operaciones de seguridad, como la detección de amenazas, la detección de vulnerabilidades de software, las evaluaciones de cumplimiento y las funciones de operaciones de seguridad, entre muchas otras. El nivel Estándar solo ofrece servicios y funciones limitados.
Para obtener información sobre las funciones incluidas en cada nivel de servicio, consulta Niveles de servicio.
Usar activaciones a nivel de proyecto
Para el Standard y Premium niveles de servicio, puedes activar Security Command Center en proyectos concretos.
Con las activaciones a nivel de proyecto, algunas funciones que requieren acceso a nivel de organización no están disponibles, independientemente del nivel. Para obtener más información, consulta Disponibilidad de las funciones con activaciones a nivel de proyecto.
Para obtener más información sobre cómo activar cualquiera de los niveles de Security Command Center, consulta el artículo Descripción general de la activación de Security Command Center.
Para saber cómo se te cobra por Security Command Center cuando lo activas a nivel de proyecto, consulta la página Precios.
Habilitar todos los servicios integrados
Te recomendamos que habilites todos los servicios integrados, de acuerdo con las prácticas recomendadas de cada servicio.
Si Security Command Center ya está activado, puedes confirmar qué servicios están habilitados en la página Configuración.
Puedes inhabilitar cualquier servicio, pero es mejor que todos los servicios de tu nivel estén activados en todo momento. Si mantienes todos los servicios habilitados, podrás aprovechar las actualizaciones continuas y asegurarte de que se proporcionen protecciones para los recursos nuevos y modificados.
Antes de habilitar Web Security Scanner en producción, consulta las prácticas recomendadas de Web Security Scanner.
También puedes habilitar servicios integrados (Detección de anomalías, Protección de Datos Sensibles y Google Cloud Armor), consultar servicios de seguridad de terceros y activar Cloud Logging para Detección de amenazas de eventos y Container Threat Detection. En función de la cantidad de información, los costes de Protección de Datos Sensibles y Cloud Armor pueden ser significativos. Sigue las prácticas recomendadas para controlar los costes de Protección de Datos Sensibles y consulta la guía de precios de Cloud Armor.
Habilitar los registros de Event Threat Detection
Si usas Event Threat Detection, puede que tengas que activar determinados registros que analiza Event Threat Detection. Aunque algunos registros están siempre activados, como los registros de auditoría de actividad de administración de Cloud Logging, otros, como la mayoría de los registros de auditoría de acceso a datos, están desactivados de forma predeterminada y deben habilitarse para que Detección de amenazas de eventos pueda analizarlos.
Estos son algunos de los registros que deberías habilitar:
- Registros de auditoría de acceso a datos de Cloud Logging
- Registros de Google Workspace (solo activaciones a nivel de organización)
Los registros que debes habilitar dependen de lo siguiente:
- Los servicios de Google Cloud que estás usando
- Las necesidades de seguridad de tu empresa
Logging puede cobrar por la ingestión y el almacenamiento de determinados registros. Antes de habilitar cualquier registro, consulta los precios de los registros.
Una vez que se ha habilitado un registro, Event Threat Detection empieza a analizarlo automáticamente.
Para obtener información más detallada sobre qué módulos de detección requieren qué registros y cuáles de esos registros debes activar, consulta Registros que debes activar.
Definir un conjunto de recursos de alto valor
Para ayudarte a priorizar las vulnerabilidades y los errores de configuración que exponen los recursos que más te interesa proteger, especifica cuáles de tus recursos de gran valor pertenecen a tu conjunto de recursos de gran valor.
Los hallazgos que exponen los recursos de tu conjunto de recursos de alto valor obtienen puntuaciones de exposición a ataques más altas.
Para especificar los recursos que pertenecen a tu conjunto de recursos de alto valor, debes crear configuraciones de valor de recursos. Hasta que crees tu primera configuración de valor de recurso, Security Command Center usará un conjunto de recursos de alto valor predeterminado que no se ajusta a tus prioridades de seguridad.
Usar Security Command Center en la Google Cloud consola
En la Google Cloud consola, Security Command Center ofrece funciones y elementos visuales que no están disponibles en la API de Security Command Center. Estas funciones, que incluyen una interfaz intuitiva, gráficos formateados, informes de cumplimiento y jerarquías visuales de recursos, le ofrecen más información valiosa sobre su organización. Para obtener más información, consulta Usar Security Command Center en la consola de Google Cloud .
Ampliar la funcionalidad con la API y gcloud
Si necesitas acceso programático, prueba las bibliotecas de cliente de Security Command Center y la API de Security Command Center, que te permiten acceder a tu entorno de Security Command Center y controlarlo. Puedes usar el Explorador de APIs, etiquetado como "Probar esta API", en los paneles de las páginas de referencia de la API para explorar de forma interactiva la API de Security Command Center sin una clave de API. Puedes consultar los métodos y parámetros disponibles, ejecutar solicitudes y ver las respuestas en tiempo real.
La API de Security Command Center permite a los analistas y administradores gestionar sus recursos y resultados. Los ingenieros pueden usar la API para crear soluciones de informes y monitorización personalizadas.
Ampliar la funcionalidad con módulos de detección personalizados
Si necesitas detectores que se adapten a las necesidades específicas de tu organización, puedes crear módulos personalizados:
- Los módulos personalizados de Security Health Analytics te permiten definir tus propias reglas de detección de vulnerabilidades, errores de configuración o infracciones de cumplimiento.
- Los módulos personalizados de Event Threat Detection te permiten monitorizar tu flujo de Logging para detectar amenazas en función de los parámetros que especifiques.
Revisar y gestionar recursos
Security Command Center muestra todos tus recursos en la página Recursos de la consola Google Cloud , donde puedes ver información como los resultados de cada recurso, su historial de cambios, sus metadatos y sus políticas de gestión de identidades y accesos. En los niveles de servicio Premium y Enterprise, también puedes usar consultas de SQL para analizar tus recursos.
La información de los recursos de la página Recursos se lee de Inventario de Recursos de Cloud. Para recibir notificaciones en tiempo real sobre los cambios en los recursos y las políticas, crea un feed y suscríbete a él.
Para obtener más información, consulta la página Recursos.
Responde rápidamente a las vulnerabilidades y las amenazas
Los hallazgos de Security Command Center proporcionan registros de los problemas de seguridad detectados, que incluyen información detallada sobre los recursos afectados e instrucciones paso a paso para investigar y corregir vulnerabilidades y amenazas.
Los hallazgos de vulnerabilidades describen la vulnerabilidad o el error de configuración detectados, calculan una puntuación de exposición a ataques y una gravedad estimada. Las vulnerabilidades detectadas también te alertan de las infracciones de los estándares o las comparativas de seguridad. Para obtener más información, consulta Comparativas admitidas.
En los niveles de servicio Premium y Enterprise, los resultados de las vulnerabilidades también incluyen información de Mandiant sobre la posibilidad de explotar la vulnerabilidad y el impacto potencial de la vulnerabilidad en función del registro CVE correspondiente. Puedes usar esta información para priorizar la corrección de la vulnerabilidad. Para obtener más información, consulta Priorizar por impacto y posibilidad de exploit de las CVEs.
Las detecciones de amenazas incluyen datos del framework MITRE ATT&CK, que explica las técnicas de ataques contra recursos en la nube y proporciona orientación sobre las medidas correctivas, y de VirusTotal, un servicio propiedad de Alphabet que proporciona contexto sobre archivos, URLs, dominios y direcciones IP potencialmente maliciosos.
Las siguientes guías son un punto de partida para ayudarte a solucionar problemas y proteger tus recursos.
- Corregir resultados de Security Health Analytics
- Corregir resultados de Web Security Scanner
- Investigar y responder a amenazas
Controlar el volumen de búsqueda
Para controlar el volumen de resultados en Security Command Center, puedes silenciar manualmente o mediante programación resultados concretos, o bien crear reglas de silencio que silencien automáticamente los resultados en función de los filtros que definas. Hay dos tipos de reglas de silencio que puedes usar para controlar el volumen de búsqueda:
- Reglas de silencio estáticas que silencian indefinidamente los resultados futuros.
- Reglas de silencio dinámicas que incluyen una opción para silenciar temporalmente los resultados actuales y futuros.
Te recomendamos que uses las reglas de silencio dinámicas exclusivamente para reducir el número de resultados que revisas manualmente. Para evitar confusiones, no recomendamos usar reglas de silencio estáticas y dinámicas al mismo tiempo. Para ver una comparación de los dos tipos de reglas, consulta Tipos de reglas de silenciar.
Las detecciones silenciadas se ocultan y se silencian, pero se siguen registrando con fines de auditoría y cumplimiento. Puedes ver los resultados silenciados o reactivarlos en cualquier momento. Para obtener más información, consulta Silenciar resultados en Security Command Center.
Silenciar resultados con reglas de silencio dinámicas es el método recomendado y más eficaz para controlar el volumen de los resultados. También puedes usar marcas de seguridad para añadir recursos a listas de permitidos.
Cada detector de Security Health Analytics tiene un tipo de marca específico que te permite excluir los recursos marcados de la política de detección. Esta función es útil cuando no quieres que se creen resultados para recursos o proyectos específicos.
Para obtener más información sobre las marcas de seguridad, consulta Usar marcas de seguridad.
Configurar las notificaciones
Las notificaciones te avisan de los resultados nuevos y actualizados casi en tiempo real y, con las notificaciones por correo y chat, pueden hacerlo incluso cuando no has iniciado sesión en Security Command Center. Consulta más información en Configurar notificaciones de resultados.
También puedes crear exportaciones continuas, que simplifican el proceso de exportación de hallazgos a Pub/Sub.
Explorar Cloud Run Functions
Cloud Run Functions es un Google Cloud servicio que te permite conectar servicios en la nube y ejecutar código en respuesta a eventos. Puedes usar la API Notifications y las funciones de Cloud Run para enviar resultados a sistemas de corrección y gestión de incidencias de terceros, o para llevar a cabo acciones automatizadas, como cerrar resultados automáticamente.
Para empezar, visita el repositorio de código abierto de funciones de Cloud Run de Security Command Center. El repositorio contiene soluciones que te ayudarán a tomar medidas automatizadas en función de los resultados de seguridad.
Mantener las comunicaciones activadas
Security Command Center se actualiza periódicamente con nuevos detectores y funciones. Las notas de la versión te informan sobre los cambios en los productos y las actualizaciones de la documentación. Sin embargo, puedes definir tus preferencias de comunicación en la consola Google Cloud para recibir novedades de productos y promociones especiales por correo electrónico o por móvil. También puedes indicarnos si te interesa participar en encuestas de usuarios y programas piloto.
Si tienes algún comentario o pregunta, puedes enviarnos tus sugerencias hablando con tu representante de ventas, poniéndote en contacto con nuestro equipo de Asistencia de Cloud o registrando un error.
Siguientes pasos
Consulta más información sobre cómo usar Security Command Center.
Consulta cómo configurar los servicios de Security Command Center.