Bonnes pratiques concernant Security Command Center

Cette page fournit des recommandations pour gérer les services Security Command Center et caractéristiques pour vous aider à tirer le meilleur parti du produit.

Security Command Center est une plate-forme puissante qui permet de surveiller les données et les risques de sécurité au sein de votre organisation ou dans des projets individuels. Security Command Center est conçu pour offrir une protection maximale une configuration minimale requise. Toutefois, vous pouvez prendre des mesures pour adapter la plate-forme à votre workflow et vous assurer que vos ressources sont protégées.

Activer le niveau Premium ou Enterprise

Les niveaux Premium et Enterprise de Security Command Center offrent le plus haut niveau de protection grâce aux nombreuses fonctionnalités de sécurité du cloud les fonctionnalités opérationnelles, y compris la détection des menaces, la détection, les évaluations de la conformité, les capacités des opérations de sécurité, et bien plus encore. Le niveau Standard n'offre que des services et des fonctionnalités limités.

Pour en savoir plus sur toutes les fonctionnalités de Security Command Center, consultez la page Présentation de Security Command Center.

Pour en savoir plus sur les fonctionnalités incluses dans chaque consultez les informations suivantes:

Utiliser les activations du niveau Premium au niveau du projet

Vous pouvez activer le niveau Premium pour les organisations ou les particuliers vous-même dans la console Google Cloud.

Avec les activations au niveau du projet, certaines fonctionnalités qui nécessitent les accès au niveau de l'organisation ne sont pas disponibles, quel que soit le niveau. Pour plus en savoir plus, consultez Disponibilité des fonctionnalités avec activations au niveau du projet.

Activations Le niveau Premium est facturé en fonction de la consommation des ressources, sauf si vous souscrire un abonnement au niveau de l'organisation. Pour en savoir plus, reportez-vous à la page Tarifs.

Pour en savoir plus sur l'activation de l'un ou l'autre des niveaux de Security Command Center, consultez la page Présentation de l'activation de Security Command Center.

Activer tous les services intégrés

Nous vous recommandons d'activer tous les services intégrés, conformément aux bonnes pratiques. des recommandations de services individuels.

Si Security Command Center est déjà activés, vous pouvez vérifier quels services sont activés sur le Page Paramètres.

Vous pouvez désactiver n'importe quel service, mais il est préférable de conserver tous les services est activée en permanence. Conserver tous les services vous permet de profiter de mises à jour continues et de vous assurer des protections sont fournies pour les ressources nouvelles et modifiées.

Avant d'activer Web Security Scanner production, consultez les bonnes pratiques de Web Security Scanner.

Envisagez également d'activer les services intégrés (détection d'anomalies, protection des données sensibles et Google Cloud Armor), en explorant les services de sécurité tiers et en activant Cloud Logging pour Event Threat Detection et Container Threat Detection Selon la quantité d'informations, Sensitive Data Protection et Google Cloud Armor peuvent être importants. Suivez les bonnes pratiques pour maintenir la maîtrise des coûts de Sensitive Data Protection et lire les tarifs de Google Cloud Armor .

Activer les journaux pour Event Threat Detection

Si vous utilisez Event Threat Detection, vous devrez peut-être activer certains journaux analysés par Event Threat Detection. Bien que certains journaux soient toujours activés, comme les journaux des activités d'administration les autres journaux, comme la plupart des journaux d'audit des accès aux données, sont désactivés par défaut et doivent être activées pour qu'Event Threat Detection puisse les analyser.

Voici certains des journaux que vous devriez envisager d'activer:

  • Journaux d'audit des accès aux données Cloud Logging
  • Journaux Google Workspace (activations au niveau de l'organisation uniquement)

Les journaux que vous devez activer dépendent des éléments suivants:

  • Les services Google Cloud que vous utilisez
  • Les besoins de votre entreprise en termes de sécurité

Logging peut facturer l'ingestion et le stockage certains journaux. Avant d'activer les journaux, vérifiez Tarifs de Logging

Une fois qu'un journal est activé, Event Threat Detection commence à l'analyser automatiquement.

Pour en savoir plus sur les modules de détection dont les modules et ceux que vous devez activer, consultez Les journaux que vous devez activer.

Définissez votre ensemble de ressources à forte valeur

Pour vous aider à hiérarchiser les résultats de failles et d'erreurs de configuration exposer les ressources que vous devez protéger en priorité, spécifier quelles ressources à forte valeur appartiennent ensemble de ressources à forte valeur.

Les résultats qui exposent les ressources de votre ensemble de ressources à forte valeur obtiennent des scores d'exposition aux attaques plus élevés.

Vous spécifiez les ressources appartenant à votre ensemble de ressources à forte valeur en créant des configurations de valeurs de ressources. Tant que vous n'aurez pas créé configuration de la valeur de la ressource, Security Command Center utilise une valeur par défaut un ensemble de ressources non personnalisé selon vos priorités en termes de sécurité.

Utiliser Security Command Center dans la console Google Cloud

Dans la console Google Cloud, Security Command Center fournit des fonctionnalités qui ne sont pas encore disponibles dans l'API Security Command Center. Les caractéristiques, une interface intuitive, des graphiques formatés, des rapports de conformité, et des hiérarchies visuelles des ressources, vous donne une meilleure idée organisation. Pour en savoir plus, consultez la page Utiliser Security Command Center dans la console Google Cloud.

Étendre les fonctionnalités avec l'API et gcloud

Si vous avez besoin d'un accès automatisé, essayez l'API Security Command Center, qui vous permet d'accéder à votre environnement Security Command Center et de le contrôler. Vous pouvez utiliser l'explorateur d'API ("Essayer cette API" dans les panneaux des pages de référence de l'API) pour explorer de manière interactive l'API Security Command Center sans clé API. Vous pouvez vérifier les méthodes et les paramètres disponibles, exécuter des requêtes et afficher les réponses en temps réel.

L'API Security Command Center permet aux analystes et aux administrateurs de gérer vos ressources et vos résultats. Les ingénieurs peuvent utiliser l'API pour créer des solutions personnalisées de surveillance et de création de rapports.

Étendre les fonctionnalités avec des modules de détection personnalisés

Si vous avez besoin de détecteurs qui répondent aux besoins spécifiques de votre entreprise, envisagez créer des modules personnalisés:

Vérifier et gérer les ressources

Security Command Center affiche tous vos éléments sur la page Éléments dans la console Google Cloud, qui vous permet d'interroger vos éléments et d'afficher des informations y compris les résultats associés, l'historique des modifications, les métadonnées et stratégies IAM.

Sur la page Composants, les informations sont lues depuis Inventaire des éléments cloud. Pour recevoir des notifications en temps réel concernant les modifications de ressources et de stratégies, créer un flux et s'y abonner.

Pour en savoir plus, consultez Page "Composants".

Répondre rapidement aux failles et aux menaces

Les résultats de Security Command Center fournissent des enregistrements des problèmes de sécurité détectés qui incluent des détails complets sur les ressources concernées et instructions détaillées suggérées pour enquêter et résoudre les problèmes les failles et les menaces.

Les résultats des failles décrivent la vulnérabilité ou une mauvaise configuration, un score d'exposition au piratage et une estimation et leur gravité. Les résultats de failles vous avertissent aussi des violations de sécurité des normes ou des benchmarks. Pour en savoir plus, consultez Benchmarks acceptés.

Avec Security Command Center Premium, les résultats de failles incluent des informations de Mandiant sur l'exploitabilité et l'impact potentiel de la vulnérabilité l'enregistrement CVE correspondant à la faille. Vous pouvez utiliser ces informations pour vous aider à hiérarchiser la correction de la faille. Pour en savoir plus, consultez Hiérarchisez en fonction de l'impact et de l'exploitabilité de la CVE.

Les résultats de menaces incluent les données du framework MITRE ATT&CK, qui explique les techniques d'attaque contre les ressources cloud et fournit des conseils de résolution des problèmes, ainsi que VirusTotal, un service appartenant à Alphabet qui fournit du contexte sur des fichiers, des URL, des domaines et des adresses IP potentiellement malveillants.

Les guides suivants constituent un point de départ pour vous aider à résoudre les problèmes et à protéger vos ressources.

Contrôler le volume des résultats

Pour contrôler le volume des résultats dans Security Command Center, vous pouvez désactiver manuellement ou automatiquement des résultats individuels, ou créer des règles de blocage qui désactivent automatiquement les résultats actuels et futurs en fonction des filtres que vous définissez.

Les résultats ignorés sont masqués et mis sous silence, mais ils sont toujours consignés à des fins d'audit et de conformité. Vous pouvez afficher les résultats ignorés ou les réactiver à tout moment. Pour en savoir plus, consultez la section Ignorer les résultats dans Security Command Center.

La désactivation des résultats est l'approche recommandée et la plus efficace pour contrôler le volume de résultats. Vous pouvez également utiliser des marques de sécurité pour ajouter des éléments à des listes d'autorisation.

Chaque détecteur de Security Health Analytics comporte un type de marque dédié qui vous permet d'exclure les ressources marquées de la règle de détection. Cette fonctionnalité est utile lorsque vous ne souhaitez pas générer de résultats pour des ressources ou des projets spécifiques.

Pour en savoir plus sur les marques de sécurité, consultez la page Utiliser des marques de sécurité.

Définir les notifications

Les notifications vous informent des résultats nouveaux et mis à jour en quasi-temps réel et, grâce aux notifications par e-mail et par chat, peuvent le faire même lorsque vous n'êtes pas connecté à Security Command Center. Pour en savoir plus, consultez la page Configurer des notifications de résultat.

Security Command Center Premium vous permet de créer des exportations continues afin de simplifier le processus d'exportation des résultats vers Pub/Sub.

Découvrir Cloud Functions

Cloud Functions est un service Google Cloud qui vous permet de connecter des services cloud et d'exécuter du code en réponse à des événements. Vous pouvez utiliser l'API Notifications et Cloud Functions pour envoyer des résultats à des systèmes tiers de remédiation et d'assistance, ou pour effectuer des actions automatisées comme la fermeture automatique des résultats.

Pour commencer, accédez au dépôt Open Source du code Cloud Functions de Security Command Center. Le dépôt contient des solutions permettant d'effectuer des actions automatisées sur les résultats de sécurité.

Laisser les communications activées

Security Command Center est régulièrement mis à jour avec de nouveaux détecteurs et de nouvelles fonctionnalités. Les notes de version vous informent des modifications apportées au produit et des mises à jour de la documentation. Vous pouvez toutefois définir vos préférences de communication dans la console Google Cloud pour recevoir des informations sur les produits et promotions spéciales, par e-mail ou sur mobile. Vous pouvez également nous indiquer si vous souhaitez participer aux enquêtes utilisateur et aux programmes pilotes.

Si vous avez des commentaires ou des questions, vous pouvez en faire part à votre commercial, à notre équipe d'assistance Cloud ou en signalant un bug.

Étape suivante