Questa pagina fornisce suggerimenti per la gestione dei servizi Security Command Center e per aiutarti a ottenere il massimo dal prodotto.
Security Command Center è una potente piattaforma per il monitoraggio dei dati e dei rischi per la sicurezza all'interno dell'organizzazione o di singoli progetti. Security Command Center è progettata per offrire la massima protezione configurazione minima. ma ci sono alcune azioni che puoi intraprendere adatta la piattaforma al tuo flusso di lavoro e assicurati che le tue risorse siano protette.
Abilita il livello Premium o Enterprise
I livelli Premium ed Enterprise di Security Command Center forniscono protezione completa attraverso un ampio set di servizi di sicurezza e protezione funzionalità operative, tra cui il rilevamento delle minacce e le vulnerabilità del software il rilevamento, le valutazioni di conformità, le funzionalità per le operazioni di sicurezza e molto di più. Il livello Standard offre solo servizi e funzionalità limitati.
Per saperne di più su tutte le funzionalità di Security Command Center, consulta la panoramica di Security Command Center.
Per informazioni sulle funzionalità incluse in ogni livello, consulta le seguenti informazioni:
Utilizza le attivazioni a livello di progetto del livello Premium
Puoi attivare il livello Premium per organizzazioni o singoli utenti nella console Google Cloud.
Con le attivazioni a livello di progetto, alcune funzionalità che richiedono l'accesso a livello di organizzazione non è disponibile, indipendentemente dal livello. Per maggiori informazioni per informazioni, consulta Disponibilità delle funzionalità con le attivazioni a livello di progetto.
Attivazioni del Il livello Premium viene fatturato in base al consumo delle risorse, a meno che tu acquistare un abbonamento a livello di organizzazione. Per ulteriori informazioni, consulta la sezione Prezzi.
Per saperne di più sull'attivazione di uno dei due livelli di Security Command Center, consulta la Panoramica dell'attivazione di Security Command Center.
Abilita tutti i servizi integrati
Ti consigliamo di abilitare tutti i servizi integrati, secondo la best practice e i consigli dei singoli servizi.
Se Security Command Center è sono già attivati, puoi confermare quali servizi sono abilitati nella Pagina Impostazioni.
Puoi disattivare qualsiasi servizio, ma è preferibile mantenere tutti i servizi nel sempre attivo. Conservazione di tutti i servizi attiva ti consente di sfruttare gli aggiornamenti continui e di garantire che fornisca protezioni sia per le risorse nuove che per quelle modificate.
Prima di attivare Web Security Scanner in produzione, consulta le best practice di Web Security Scanner.
Inoltre, valuta la possibilità di abilitare i servizi integrati (Rilevamento anomalie, Sensitive Data Protection e Google Cloud Armor), esplorando i servizi di sicurezza di terze parti e attivando Cloud Logging per Event Threat Detection e e Container Threat Detection. A seconda della quantità di informazioni, Sensitive Data Protection e i costi di Google Cloud Armor possono essere significativi. Segui le best practice per tenendo sotto controllo i costi di Sensitive Data Protection e leggi i prezzi di Google Cloud Armor .
Abilita i log per Event Threat Detection
Se utilizzi Event Threat Detection, potrebbe essere necessario attivare determinati log che Event Threat Detection analizza. Anche se alcuni log sono sempre attivi, ad esempio l'attività di amministrazione di Cloud Logging gli audit log, altri log, come la maggior parte degli audit log di accesso ai dati, sono disattivati predefiniti e devono essere abilitati prima che Event Threat Detection possa analizzarli.
Di seguito sono riportati alcuni log che ti consigliamo di abilitare:
- Audit log degli accessi ai dati di Cloud Logging
- Log di Google Workspace (solo attivazioni a livello di organizzazione)
I log da abilitare dipendono da:
- I servizi Google Cloud che stai utilizzando
- Le esigenze di sicurezza della tua azienda
Logging potrebbe addebitarti un costo per l'importazione e l'archiviazione alcuni log. Prima di abilitare i log, esamina Prezzi di Logging.
Una volta abilitato un log, Event Threat Detection avvia automaticamente la sua scansione.
Per informazioni più dettagliate su quali moduli di rilevamento richiedono log e quali log devi attivare, consulta Log che devi attivare.
Definisci il set di risorse di alto valore
Per aiutarti a dare la priorità ai risultati relativi a vulnerabilità ed errori di configurazione che le risorse più importanti per te da proteggere, specifica quali delle tue risorse di alto valore appartengono insieme di risorse di alto valore.
I risultati che espongono le risorse nel set di risorse di alto valore punteggi di esposizione agli attacchi più elevati.
Devi specificare le risorse che appartengono al set di risorse di alto valore creando configurazioni dei valori delle risorse. Fino a quando non crei il tuo primo configurazione dei valori delle risorse, Security Command Center utilizza un valore predefinito di risorse non personalizzato in base alle priorità della sicurezza.
Usa Security Command Center nella console Google Cloud
Nella console Google Cloud, Security Command Center offre funzionalità e immagini non ancora disponibili nell'API Security Command Center. Le funzionalità, tra cui un'interfaccia intuitiva, grafici formattati, report di conformità, e gerarchie visive di risorse, offrono una visione più approfondita dell'organizzazione. Per ulteriori informazioni, consulta Utilizzo di Security Command Center nella console Google Cloud.
Estendi la funzionalità con l'API e gcloud
Se hai bisogno dell'accesso programmatico, prova l'API Security Command Center, che ti consente di accedere e controllare i tuoi Ambiente Security Command Center. Puoi utilizzare Explorer API con l'etichetta "Prova questa API" in riquadri nelle pagine di riferimento delle API, per esplorare in modo interattivo API Security Command Center senza chiave API. Puoi dare un'occhiata ai metodi disponibili i parametri, eseguire le richieste e visualizzare le risposte in tempo reale.
L'API Security Command Center consente ad analisti e amministratori di gestire le tue risorse e risultati. Gli ingegneri possono utilizzare l'API per creare report e monitoraggio personalizzati soluzioni.
Estendi le funzionalità con moduli di rilevamento personalizzati
Se hai bisogno di rilevatori che soddisfino le esigenze specifiche della tua organizzazione, valuta creando moduli personalizzati:
- Moduli personalizzati per Security Health Analytics ti consente definire regole di rilevamento personalizzate per vulnerabilità, configurazioni errate violazioni della conformità.
- I moduli personalizzati per Event Threat Detection ti consentono di monitorare il flusso di Logging per rilevare le minacce in base ai parametri impostati specificare.
Rivedi e gestisci le risorse
Security Command Center mostra tutti i tuoi asset nella pagina Asset nella console Google Cloud, dove puoi eseguire query sugli asset e visualizzare informazioni su di loro, tra cui risultati correlati, cronologia delle modifiche, e criteri IAM.
Le informazioni sulla risorsa nella pagina Risorse vengono lette Cloud Asset Inventory. Per ricevere notifiche in tempo reale sulle modifiche alle risorse e ai criteri, creare e iscriversi a un feed.
Per ulteriori informazioni, vedi Pagina Asset.
Rispondi rapidamente a vulnerabilità e minacce
I risultati di Security Command Center forniscono record dei problemi di sicurezza rilevati che includono dettagli esaustivi sulle risorse interessate e istruzioni dettagliate consigliate per l'indagine e la correzione vulnerabilità e minacce.
I risultati delle vulnerabilità descrivono la vulnerabilità rilevata un'errata configurazione, calcolare un punteggio di esposizione agli attacchi e una gravità. I risultati delle vulnerabilità ti avvisano anche in caso di violazioni della sicurezza standard o benchmark. Per ulteriori informazioni, vedi Benchmark supportati.
Con Security Command Center Premium, i risultati di vulnerabilità includono anche le informazioni di Mandiant sugli sfruttabilità e il potenziale impatto della vulnerabilità in base a il record CVE corrispondente della vulnerabilità. Puoi utilizzare queste informazioni per stabilire le priorità per correggere la vulnerabilità. Per ulteriori informazioni, vedi Assegna la priorità in base all'impatto e alla sfruttabilità delle CVE.
I risultati delle minacce includono i dati del MITRE ATT&CK , che spiega le tecniche di attacchi contro le risorse cloud e fornisce una guida per porvi rimedio. VirusTotal, uno strumento servizio di proprietà di Alphabet che fornisce contesto su file potenzialmente dannosi, URL, domini e indirizzi IP.
Le seguenti guide sono un punto di partenza per aiutarti a risolvere i problemi e proteggere le tue risorse.
- Correzione dei risultati di Security Health Analytics
- Correzione dei risultati di Web Security Scanner
- Analisi e risposta alle minacce
Regolare il volume dei risultati
Per controllare il volume dei risultati in Security Command Center, puoi scegliere tra disattivare in modo programmatico singoli risultati o creare regole di disattivazione disattivare automaticamente i risultati attuali e futuri in base ai filtri che definisci.
I risultati disattivati vengono nascosti e silenziati, ma continuano a essere registrati per l'audit e ai fini della conformità. Puoi visualizzare i risultati disattivati o riattivarli in qualsiasi momento. A Per saperne di più, vedi Disattivazione dei risultati in Security Command Center.
La disattivazione dei risultati è l'approccio consigliato e più efficace per controllare dei risultati. In alternativa, puoi utilizzare i contrassegni di sicurezza per aggiungere asset a liste consentite.
Ogni rilevatore Security Health Analytics ha un tipo di contrassegno dedicato che consente di: escludere le risorse contrassegnate dal criterio di rilevamento. Questa funzionalità è utile quando non vuoi che vengano creati risultati per risorse o progetti specifici.
Per scoprire di più sui contrassegni di sicurezza, consulta Utilizzare i contrassegni di sicurezza.
Configurare le notifiche
Le notifiche ti avvisano dei risultati nuovi e aggiornati quasi in tempo reale e, con notifiche via email e chat, puoi farlo anche se non hai eseguito l'accesso a Security Command Center. Scopri di più nella sezione Configurazione la ricerca di notifiche.
Security Command Center Premium consente di creare esportazioni continue, che semplificano il processo di esportazione i risultati in Pub/Sub.
Esplora Cloud Functions
Cloud Functions è un Servizio Google Cloud che ti consente di connettere servizi cloud ed eseguire codice in risposta agli eventi. Puoi utilizzare l'API Notifications e Cloud Functions per inviare i risultati a sistemi di correzione e gestione delle richieste di terze parti o acquisire come la chiusura automatica dei risultati.
Per iniziare, visita il repository open source di Security Command Center Codice Cloud Functions. Il repository contiene soluzioni per aiutarti a eseguire azioni automatizzate in materia di sicurezza i risultati.
Mantieni attive le comunicazioni
Security Command Center viene aggiornato regolarmente con nuovi rilevatori e nuove funzionalità. Le note di rilascio ti informano su modifiche e aggiornamenti del prodotto. alla documentazione. Ma puoi impostare le tue preferenze di comunicazione in la console Google Cloud per ricevere aggiornamenti sui prodotti e promozioni speciali via email o da dispositivo mobile. Puoi anche farci sapere se ti interessa partecipare a sondaggi sugli utenti e programmi pilota.
Se hai commenti o domande, puoi fornire un feedback contattando il tuo commerciale, contattando il personale dell'assistenza Cloud o segnalando un bug.
Passaggi successivi
Scopri di più sull'utilizzo di Security Command Center.
Scopri come configurare i servizi Security Command Center