Práticas recomendadas do Security Command Center

Nesta página, você encontra recomendações para gerenciar os serviços e o recursos para ajudar você a aproveitar o produto ao máximo.

O Security Command Center é uma plataforma eficiente para monitoramento de dados e riscos de segurança da organização ou de projetos individuais. O Security Command Center é projetada para fornecer proteção máxima com configuração mínima necessária. Mas há etapas que você pode seguir para personalizar a plataforma de acordo com seu fluxo de trabalho e garantir que seus recursos estejam protegidos.

Ativar o nível Premium ou Enterprise

Os níveis Premium e Enterprise do Security Command Center oferecem os o máximo possível de proteção por meio de um amplo conjunto de recursos de segurança capacidades operacionais, incluindo detecção de ameaças, vulnerabilidade detecção de ameaças, avaliações de conformidade, recursos de operações de segurança e e muito mais. O nível Standard oferece apenas serviços e recursos limitados.

Para mais informações sobre todos os recursos do Security Command Center, consulte Visão geral do Security Command Center.

Para obter informações sobre os recursos incluídos em cada , consulte as seguintes informações:

Usar ativações do nível Premium para envolvidos no projeto

É possível ativar o nível Premium para organizações ou projetos individuais no console do Google Cloud.

Com as ativações para envolvidos no projeto, determinados recursos que exigem acesso no nível da organização não estão disponíveis, independentemente do nível. Para mais informações, consulte Disponibilidade de recursos com ativações no nível do projeto.

As ativações do nível Premium são faturadas com base no consumo de recursos, a menos que você compre uma assinatura no nível da organização. Para saber mais informações, consulte Preços.

Para mais informações sobre como ativar qualquer um dos níveis do Security Command Center, consulte Visão geral da ativação do Security Command Center.

Ativar todos os serviços integrados

Recomendamos ativar todos os serviços nativos, sujeitos às práticas recomendadas de serviços individuais.

Se o Security Command Center já estiver ativado, é possível confirmar quais serviços estão ativados pela página Configurações.

É possível desativar qualquer serviço, mas é melhor manter todos os serviços do nível sempre ativados. Manter todos os serviços ativados permite que você aproveite as atualizações contínuas e garante que proteções sejam fornecidas para recursos novos e alterados.

Antes de ativar o Web Security Scanner na produção, revise Práticas recomendadas do Web Security Scanner.

Além disso, considere ativar serviços integrados (detecção de anomalias, Prevenção contra perda de dados do Cloud e Google Cloud Armor), explorandoserviços de segurança de terceiros e ativando Cloud Logging para a detecção de ameaças a eventos e o Container Threat Detection. Dependendo da quantidade de informações, os custos de proteção de dados confidenciais e do Google Cloud Armor podem ser significativos. Siga as práticas recomendadas para manter os custos de proteção de dados confidenciais sob controle e leia o guia de preços do Google Cloud Armor.

Ativar registros para o Event Threat Detection

Se você usa o Event Threat Detection, talvez seja necessário ativar alguns registros que ele verifica. Embora alguns registros fiquem sempre ativados, como os registros de auditoria de atividade de administrador do Cloud Logging, outros registros, como a maioria dos registros de auditoria de acesso a dados, ficam desativados por padrão e precisam ser ativados antes que o Event Threat Detection possa verificá-los.

Alguns registros que precisam ser ativados são:

  • Registros de auditoria de acesso a dados do Cloud Logging
  • Registros do Google Workspace (apenas ativações no nível da organização)

Os registros que precisam ser ativados dependem do seguinte:

  • Dos serviços do Google Cloud que você está usando
  • Das necessidades de segurança da empresa

O Logging pode cobrar pela ingestão e pelo armazenamento de determinados registros. Antes de ativar os registros, consulte Preços do Logging.

Depois que o registro é ativado, o Event Threat Detection começa a verificá-lo automaticamente.

Para informações mais detalhadas sobre quais módulos de detecção exigem quais registros e quais desses registros precisam ser ativados, consulte Registros que precisam ser ativados.

Definir seu conjunto de recursos de alto valor

Para ajudar a priorizar as descobertas de vulnerabilidade e configurações incorretas que exponham os recursos mais importantes a serem protegidos, especifique quais dos seus recursos de alto valor pertencem ao seu conjunto de recursos de alto valor

As descobertas que expõem os recursos no conjunto de recursos de alto valor aumentam pontuações de exposição a ataques.

Você especifica os recursos que pertencem ao conjunto de recursos de alto valor criando configurações do valor do recurso. Até que você crie a primeira configuração de valor de recursos, o Security Command Center usa um conjunto de recursos de alto valor padrão que não é personalizado com suas prioridades de segurança.

Usar o Security Command Center no console do Google Cloud

No Console do Google Cloud, o Security Command Center fornece recursos e elementos visuais que ainda não estão disponíveis na API Security Command Center. Os recursos, incluindo uma interface intuitiva, gráficos formatados, relatórios de conformidade e hierarquias visuais de recursos, fornecem maior insight sobre sua organização. Para mais informações, consulte Como usar o Security Command Center no console do Google Cloud.

Estender a funcionalidade com a API e o gcloud

Se você precisar de acesso programático, teste as bibliotecas de cliente do Security Command Center e a API Security Command Center, que permitem acessar e controlar seu ambiente do Security Command Center. Use o APIs Explorer, chamado "Testar esta API". nos painéis das páginas de referência da API, para conhecer interativamente a API Security Command Center sem uma chave de API. Você pode conferir métodos e parâmetros disponíveis, executar solicitações e ver respostas no tempo real.

Com a API Security Command Center, analistas e administradores gerenciam os recursos e as descobertas. Os engenheiros podem usar a API para criar soluções personalizadas de relatórios e monitoramento.

Estender a funcionalidade com módulos de detecção personalizados

Se você precisar de detectores que atendam às necessidades exclusivas da sua organização, considere criar módulos personalizados:

Revisar e gerenciar recursos

O Security Command Center exibe todos os seus recursos na página Recursos no console do Google Cloud, em que é possível consultar seus recursos e visualizar informações sobre eles, incluindo descobertas relacionadas, o histórico de alterações. , os metadados e as políticas do IAM.

As informações do recurso na página Recursos são lidas em Inventário de recursos do Cloud. Para receber notificações em tempo real sobre alterações de recursos e políticas, crie e assine um feed.

Para mais informações, consulte a página Recursos.

Responda rapidamente a vulnerabilidades e ameaças

As descobertas do Security Command Center fornecem registros dos problemas de segurança detectados que incluem detalhes sobre os recursos afetados e instruções detalhadas sugeridas para investigação e correção vulnerabilidades e ameaças.

As descobertas de vulnerabilidades descrevem a vulnerabilidade detectada configuração incorreta, calcular uma pontuação de exposição a ataques e um valor gravidade. As descobertas de vulnerabilidades também alertam sobre violações das ou comparativos de mercado. Para mais informações, consulte Comparativos de mercado compatíveis.

Com o Security Command Center Premium, as descobertas de vulnerabilidades também incluem informações da Mandiant sobre os potencial de exploração e impacto potencial da vulnerabilidade com base o registro CVE correspondente à vulnerabilidade. Você pode usar essas informações para ajudar a priorizar a correção da vulnerabilidade. Para mais informações, consulte Priorizar por impacto e vulnerabilidade a CVEs.

As descobertas de ameaças incluem dados do framework MITRE ATT&CK, que explica as técnicas de ataques contra recursos da nuvem, e fornece orientações para remediação, e o VirusTotal, uma Serviço de propriedade da Alphabet que fornece contexto sobre arquivos, URLs, domínios e endereços IP potencialmente mal-intencionados.

Os guias a seguir são um ponto de partida para ajudar você a corrigir problemas e proteger seus recursos.

Controlar o volume de descobertas

Para controlar o volume de descobertas no Security Command Center, é possível silenciar programaticamente descobertas individuais ou criar regras de silenciamento que silenciam automaticamente as descobertas com base nos filtros definidos. Há dois tipos de regras de silenciamento que podem ser usadas para controlar o volume de descobertas:

  • Regras de silenciamento estáticas que silenciam indefinidamente as descobertas futuras.
  • Regras de silenciamento dinâmico que contêm uma opção para silenciar temporariamente as descobertas e futuras.

Recomendamos usar exclusivamente as regras de silenciamento dinâmico para reduzir o número de descobertas que você analisa manualmente. Para evitar confusão, não recomendamos usar os dois regras de silenciamento estáticas e dinâmicas ao mesmo tempo. Para uma comparação das duas regras tipos, consulte Tipos de silenciamento regras.

As descobertas silenciadas são ocultas e silenciadas, mas continuam sendo registradas para fins de auditoria e conformidade. Você pode ver as descobertas silenciadas ou ativá-las a qualquer momento. Para saber mais, consulte Silenciar descobertas no Security Command Center.

Desativar descobertas com regras de silenciamento dinâmico é a abordagem recomendada e mais eficaz para controlar o volume de descobertas. Como alternativa, use o modelo marcas para adicionar recursos ao listas de permissões.

Cada detector da Análise de integridade da segurança tem um tipo de marca dedicado que permite excluir recursos marcados da política de detecção. Esse recurso é útil quando você e não quer que sejam criadas para recursos ou projetos específicos.

Para saber mais sobre marcações de segurança, consulte Como usar marcações de segurança.

Configurar notificações

As notificações alertam sobre descobertas novas e atualizadas quase em tempo real e, notificações por e-mail e chat, pode fazer isso mesmo quando não estiver conectado ao Security Command Center. Saiba mais em Como configurar notificações de localização.

O Security Command Center Premium permite criar exportações contínuas, o que simplifica o processo de exportação de descobertas para o Pub/Sub.

Conhecer as funções do Cloud Run

O Cloud Run Functions é um serviço do Google Cloud que permite conectar serviços de nuvem e executar código em resposta a eventos. É possível usar a API Notifications e as funções do Cloud Run para enviar descobertas para sistemas de correção e tiquetagem de terceiros ou tomar ações, como encerrar automaticamente as descobertas.

Para começar, acesse o repositório de código aberto do Security Command Center Código de funções do Cloud Run. O repositório contém soluções para ajudar você a tomar ações automatizadas sobre as descobertas de segurança.

Manter as comunicações ativadas

O Security Command Center é atualizado regularmente com novos detectores e recursos. As notas da versão informam sobre o produto mudanças e atualizações na documentação. No entanto, é possível definir suas preferências de comunicação no Console do Google Cloud para receber atualizações de produtos e promoções especiais por e-mail ou dispositivo móvel. Você também pode informar se tem interesse em participar de pesquisas de usuários e programas piloto.

Se você tiver comentários ou perguntas, fale com seu vendedor, entre em contato com nossa equipe do Suporte do Cloud ou registre um bug.

A seguir