Esta página fornece recomendações para gerenciar serviços e recursos do Security Command Center para ajudar você a aproveitar ao máximo o produto.
O Security Command Center é uma plataforma eficiente para monitoramento de dados e riscos de segurança da organização ou de projetos individuais. O Security Command Center foi projetado para oferecer proteção máxima com o mínimo de configuração necessária. Mas há etapas que você pode seguir para personalizar a plataforma de acordo com seu fluxo de trabalho e garantir que seus recursos estejam protegidos.
Ativar o nível Premium ou Enterprise
Os níveis Premium e Enterprise do Security Command Center oferecem a maior proteção com um amplo conjunto de recursos de operações e segurança em nuvem, incluindo detecção de ameaças, detecção de vulnerabilidades de software, avaliações de compliance, recursos de operações de segurança e muito mais. O nível Standard oferece apenas serviços e recursos limitados.
Para mais informações sobre todos os recursos do Security Command Center, consulte a Visão geral do Security Command Center.
Para saber mais sobre os recursos incluídos em cada nível, consulte:
Usar ativações do nível Premium no projeto
É possível ativar o nível Premium para organizações ou projetos individuais no console do Google Cloud.
Com as ativações para envolvidos no projeto, determinados recursos que exigem acesso no nível da organização não estão disponíveis, independentemente do nível. Para mais informações, consulte Disponibilidade de recursos com ativações para envolvidos no projeto.
As ativações do nível Premium são faturadas com base no consumo de recursos, a menos que você compre uma assinatura no nível da organização. Para saber mais informações, consulte Preços.
Para mais informações sobre como ativar qualquer nível do Security Command Center, consulte Visão geral da ativação do Security Command Center.
Ativar todos os serviços integrados
Recomendamos ativar todos os serviços nativos, sujeitos às práticas recomendadas de serviços individuais.
Se o Security Command Center já estiver ativado, é possível confirmar quais serviços estão ativados pela página Configurações.
É possível desativar qualquer serviço, mas é melhor manter todos os serviços do nível sempre ativados. Manter todos os serviços ativados permite que você aproveite as atualizações contínuas e garante que proteções sejam fornecidas para recursos novos e alterados.
Antes de ativar o Web Security Scanner na produção, consulte as práticas recomendadas do Web Security Scanner.
Além disso, considere ativar serviços integrados (detecção de anomalias, Prevenção contra perda de dados do Cloud e Google Cloud Armor), explorandoserviços de segurança de terceiros e ativando Cloud Logging para a detecção de ameaças a eventos e o Container Threat Detection. Dependendo da quantidade de informações, os custos de proteção de dados confidenciais e do Google Cloud Armor podem ser significativos. Siga as práticas recomendadas para manter os custos de proteção de dados confidenciais sob controle e leia o guia de preços do Google Cloud Armor.
Ativar registros para o Event Threat Detection
Se você usa o Event Threat Detection, talvez seja necessário ativar alguns registros que ele verifica. Embora alguns registros fiquem sempre ativados, como os registros de auditoria de atividade de administrador do Cloud Logging, outros registros, como a maioria dos registros de auditoria de acesso a dados, ficam desativados por padrão e precisam ser ativados antes que o Event Threat Detection possa verificá-los.
Alguns registros que precisam ser ativados são:
- Registros de auditoria de acesso a dados do Cloud Logging
- Registros do Google Workspace (somente ativações no nível da organização)
Os registros que precisam ser ativados dependem do seguinte:
- Dos serviços do Google Cloud que você está usando
- Das necessidades de segurança da empresa
O Logging pode cobrar pela ingestão e pelo armazenamento de determinados registros. Antes de ativar os registros, consulte os preços do Logging.
Depois que o registro é ativado, o Event Threat Detection começa a verificá-lo automaticamente.
Para informações mais detalhadas sobre quais módulos de detecção exigem quais registros e quais desses registros precisam ser ativados, consulte Registros que precisam ser ativados.
Definir seu conjunto de recursos de alto valor
Para ajudar a priorizar as descobertas de vulnerabilidade e configurações incorretas que exponham os recursos mais importantes a serem protegidos, especifique quais dos seus recursos de alto valor pertencem ao seu conjunto de recursos de alto valor
As descobertas que expõem os recursos no seu conjunto de recursos de alto valor recebem pontuações de exposição a ataques mais altas.
Para especificar os recursos que pertencem ao seu conjunto de recursos de alto valor, crie configurações de valor de recursos. Até que você crie a primeira configuração de valor de recursos, o Security Command Center usa um conjunto de recursos de alto valor padrão que não é personalizado com suas prioridades de segurança.
Usar o Security Command Center no console do Google Cloud
No Console do Google Cloud, o Security Command Center fornece recursos e elementos visuais que ainda não estão disponíveis na API Security Command Center. Os recursos, incluindo uma interface intuitiva, gráficos formatados, relatórios de conformidade e hierarquias visuais de recursos, fornecem maior insight sobre sua organização. Para mais informações, consulte Como usar o Security Command Center no console do Google Cloud.
Estender a funcionalidade com a API e o gcloud
Se você precisar de acesso programático, teste as bibliotecas de cliente do Security Command Center e a API Security Command Center, que permitem acessar e controlar seu ambiente do Security Command Center. É possível usar o API Explorer, chamado "Testar esta API" em painéis nas páginas de referência da API, para explorar interativamente a API Security Command Center sem uma chave de API. É possível conferir os métodos e parâmetros disponíveis, executar solicitações e conferir as respostas em tempo real.
Com a API Security Command Center, analistas e administradores gerenciam os recursos e as descobertas. Os engenheiros podem usar a API para criar soluções personalizadas de relatórios e monitoramento.
Estender a funcionalidade com módulos de detecção personalizados
Se você precisar de detectores que atendam às necessidades exclusivas da sua organização, considere criar módulos personalizados:
- Os módulos personalizados da Análise de integridade da segurança permitem definir regras de detecção próprias para vulnerabilidades, configurações incorretas ou violações de compliance.
- Os módulos personalizados do Event Threat Detection permitem monitorar o fluxo do Logging quanto a ameaças com base nos parâmetros especificados.
Revisar e gerenciar recursos
O Security Command Center exibe todos os seus recursos na página Recursos no console do Google Cloud, em que é possível consultar seus recursos e visualizar informações sobre eles, incluindo descobertas relacionadas, o histórico de alterações. , os metadados e as políticas do IAM.
As informações do recurso na página Recursos são lidas em Inventário de recursos do Cloud. Para receber notificações em tempo real sobre alterações de recursos e políticas, crie e assine um feed.
Para mais informações, consulte a página Recursos.
Responda rapidamente a vulnerabilidades e ameaças
As descobertas do Security Command Center fornecem registros de problemas de segurança detectados que incluem detalhes extensos sobre os recursos afetados e instruções sugeridas passo a passo para investigar e corrigir vulnerabilidades e ameaças.
As descobertas de vulnerabilidades descrevem a vulnerabilidade ou configuração incorreta detectada, calculam uma pontuação de exposição a ataques e uma severidade estimada. As descobertas de vulnerabilidades também alertam você sobre violações de padrões ou benchmarks de segurança. Para mais informações, consulte Benchmarks compatíveis.
Com o Security Command Center Premium, as descobertas de vulnerabilidade também incluem informações do Mandiant sobre a possibilidade de exploração e o possível impacto da vulnerabilidade com base no registro CVE correspondente. Use essas informações para priorizar a correção da vulnerabilidade. Para mais informações, consulte Priorizar por impacto e vulnerabilidade a CVEs.
As descobertas de ameaças incluem dados do framework MITRE ATT&CK, que explica as técnicas de ataques contra recursos da nuvem, e fornece orientações para remediação, e o VirusTotal, uma Serviço de propriedade da Alphabet que fornece contexto sobre arquivos, URLs, domínios e endereços IP potencialmente mal-intencionados.
Os guias a seguir são um ponto de partida para ajudar você a corrigir problemas e proteger seus recursos.
- Como corrigir as descobertas da análise de integridade de segurança
- Como corrigir descobertas do Web Security Scanner
- Investigar e responder a ameaças
Controlar o volume de descobertas
Para controlar o volume de descobertas no Security Command Center, você pode silenciar de maneira manual ou programática as descobertas individuais ou criar regras de silenciamento que desativam automaticamente as descobertas com base nos filtros definidos. Há dois tipos de regras de silenciamento que podem ser usadas para controlar o volume de descoberta:
- Regras de silenciamento estáticas que silenciam indefinidamente as descobertas futuras.
- Regras de silenciamento dinâmico que contêm uma opção para silenciar temporariamente as descobertas e futuras.
Recomendamos o uso de regras de silenciamento dinâmico exclusivamente para reduzir o número de resultados que você analisa manualmente. Para evitar confusão, não recomendamos usar regras de silenciamento estáticas e dinâmicas simultaneamente. Para comparar os dois tipos de regra, consulte Tipos de regras de mudança de voz.
As descobertas silenciadas são ocultas e silenciadas, mas continuam sendo registradas para fins de auditoria e conformidade. Você pode ver as descobertas silenciadas ou ativá-las a qualquer momento. Para saber mais, consulte Desativar descobertas no Security Command Center.
Desativar descobertas com regras de silenciamento dinâmicas é a abordagem recomendada e mais eficaz para controlar o volume de descobertas. Você também pode usar marcas de segurança para adicionar recursos a listas de permissões.
Cada detector do Security Health Analytics tem um tipo de marcação dedicado que permite excluir recursos marcados da política de detecção. Esse recurso é útil quando você não quer que as descobertas sejam criadas para recursos ou projetos específicos.
Para saber mais sobre marcações de segurança, consulte Como usar marcações de segurança.
Configurar notificações
As notificações alertam você sobre descobertas novas e atualizadas quase em tempo real e, com notificações por e-mail e chat, podem fazer isso mesmo quando você não está conectado ao Security Command Center. Saiba mais em Como configurar notificações de localização.
O Security Command Center Premium permite criar exportações contínuas, o que simplifica o processo de exportação de descobertas para o Pub/Sub.
Conheça as funções do Cloud Run
O Cloud Run functions é um serviço do Google Cloud que permite conectar serviços de nuvem e executar código em resposta a eventos. Use a API Notificações e as funções do Cloud Run para enviar descobertas para sistemas de correção e tíquetes de terceiros ou realizar ações automatizadas, como o encerramento automático de descobertas.
Para começar, acesse o repositório de código aberto do código do Cloud Functions no Security Command Center. O repositório contém soluções para ajudar você a tomar ações automatizadas sobre as descobertas de segurança.
Manter as comunicações ativadas
O Security Command Center é atualizado regularmente com novos detectores e recursos. As notas da versão informam sobre mudanças de produtos e atualizações na documentação. No entanto, é possível definir suas preferências de comunicação no Console do Google Cloud para receber atualizações de produtos e promoções especiais por e-mail ou dispositivo móvel. Você também pode informar se tem interesse em participar de pesquisas de usuários e programas piloto.
Se você tiver comentários ou perguntas, fale com seu vendedor, entre em contato com nossa equipe do Suporte do Cloud ou registre um bug.
A seguir
Saiba mais sobre como usar o Security Command Center.
Saiba como configurar os serviços do Security Command Center.