Práticas recomendadas do Security Command Center

Esta página fornece recomendações para gerir os serviços e as funcionalidades do Security Command Center para ajudar a tirar o máximo partido do produto.

O Security Command Center é uma plataforma poderosa para monitorizar dados e riscos de segurança na sua organização ou projetos individuais. O Security Command Center foi concebido para oferecer a máxima proteção com a configuração mínima necessária. No entanto, existem passos que pode seguir para personalizar a plataforma de acordo com o seu fluxo de trabalho e garantir que os seus recursos estão protegidos.

Ative o nível Premium ou o nível Enterprise

Os níveis Premium e Enterprise do Security Command Center oferecem a maior proteção através de um vasto conjunto de capacidades de segurança na nuvem e operações de segurança, incluindo deteção de ameaças, deteção de vulnerabilidades de software, avaliações de conformidade, capacidades de operações de segurança e muito mais. O nível Standard oferece apenas serviços e funcionalidades limitados.

Para ver informações sobre as capacidades incluídas em cada nível de serviço, consulte Níveis de serviço.

Use ativações ao nível do projeto

Para o Standard e Premium níveis de serviço, pode ativar o Security Command Center para projetos individuais.

Com as ativações ao nível do projeto, determinadas funcionalidades que requerem acesso ao nível da organização não estão disponíveis, independentemente do nível. Para mais informações, consulte o artigo Disponibilidade de funcionalidades com ativações ao nível do projeto.

Para mais informações sobre a ativação de qualquer um dos níveis do Security Command Center, consulte o artigo Vista geral da ativação do Security Command Center.

Para saber como lhe é cobrado o Security Command Center quando o ativa ao nível do projeto, consulte a secção Preços.

Ative todos os serviços integrados

Recomendamos que ative todos os serviços incorporados, sujeitos às recomendações de práticas recomendadas dos serviços individuais.

Se o Security Command Center já estiver ativado, pode confirmar que serviços estão ativados na página Definições.

Pode desativar qualquer serviço, mas é melhor manter todos os serviços no seu nível sempre ativados. Manter todos os serviços ativados permite-lhe tirar partido das atualizações contínuas e ajuda a garantir que são fornecidas proteções para recursos novos e alterados.

Antes de ativar o Web Security Scanner em produção, reveja as práticas recomendadas do Web Security Scanner.

Além disso, considere ativar os serviços integrados (deteção de anomalias, proteção de dados confidenciais e Google Cloud Armor), explorar os serviços de segurança de terceiros e ativar o Cloud Logging para a deteção de ameaças de eventos e a deteção de ameaças de contentores. Consoante a quantidade de informações, os custos da proteção de dados confidenciais e do Cloud Armor podem ser significativos. Siga as práticas recomendadas para manter os custos da proteção de dados confidenciais sob controlo e leia o guia de preços do Cloud Armor.

Ative os registos para a Deteção de ameaças de eventos

Se usar a Deteção de ameaças de eventos, pode ter de ativar determinados registos que a Deteção de ameaças de eventos analisa. Embora alguns registos estejam sempre ativados, como os registos de auditoria da atividade de administrador do Cloud Logging, outros registos, como a maioria dos registos de auditoria de acesso aos dados, estão desativados por predefinição e têm de ser ativados antes de o Event Threat Detection os poder analisar.

Alguns dos registos que deve considerar ativar incluem:

  • Registos de auditoria de acesso a dados do Cloud Logging
  • Registos do Google Workspace (apenas ativações ao nível da organização)

Os registos que tem de ativar dependem do seguinte:

  • Os serviços Google Cloud que está a usar
  • As necessidades de segurança da sua empresa

O registo pode cobrar pela carregamento e armazenamento de determinados registos. Antes de ativar quaisquer registos, reveja os Preços dos registos.

Depois de ativar um registo, a Deteção de ameaças de eventos começa a analisá-lo automaticamente.

Para obter informações mais detalhadas sobre que módulos de deteção requerem que registos e quais desses registos tem de ativar, consulte o artigo Registos que tem de ativar.

Defina o seu conjunto de recursos de elevado valor

Para ajudar a priorizar as conclusões de vulnerabilidades e configurações incorretas que expõem os recursos mais importantes para si, especifique quais dos seus recursos de elevado valor pertencem ao seu conjunto de recursos de elevado valor.

As conclusões que expõem os recursos no seu conjunto de recursos de elevado valor recebem pontuações de exposição a ataques mais elevadas.

Especifica os recursos que pertencem ao conjunto de recursos de elevado valor através da criação de configurações de valor dos recursos. Até criar a sua primeira configuração de valor do recurso, o Security Command Center usa um conjunto de recursos de valor elevado predefinido que não está personalizado para as suas prioridades de segurança.

Use o Security Command Center na Google Cloud consola

Na Google Cloud consola, o Security Command Center oferece funcionalidades e elementos visuais que não estão disponíveis na API Security Command Center. Estas funcionalidades, incluindo uma interface intuitiva, gráficos formatados, relatórios de conformidade e hierarquias visuais de recursos, oferecem-lhe informações mais detalhadas sobre a sua organização. Para mais informações, consulte o artigo Usar o Security Command Center na Google Cloud consola.

Expanda a funcionalidade com a API e o gcloud

Se precisar de acesso programático, experimente as bibliotecas cliente do Security Command Center e a API Security Command Center, que lhe permitem aceder e controlar o seu ambiente do Security Command Center. Pode usar o Explorador de APIs, etiquetado como "Experimentar esta API" nos painéis das páginas de referência da API, para explorar interativamente a API Security Command Center sem uma chave de API. Pode consultar os métodos e os parâmetros disponíveis, executar pedidos e ver as respostas em tempo real.

A API Security Command Center permite que os analistas e os administradores geram os seus recursos e resultados. Os engenheiros podem usar a API para criar soluções de relatórios e monitorização personalizadas.

Expanda a funcionalidade com módulos de deteção personalizados

Se precisar de detetores que satisfaçam as necessidades únicas da sua organização, considere criar módulos personalizados:

Reveja e faça a gestão de recursos

O Security Command Center apresenta todos os seus recursos na página Recursos na consola, onde pode ver informações como as conclusões para cada recurso, o respetivo histórico de alterações, os respetivos metadados e as respetivas políticas de IAM. Google Cloud Para os níveis de serviço Premium e Enterprise, também pode usar consultas SQL para analisar os seus recursos.

As informações dos recursos na página Recursos são lidas a partir do Cloud Asset Inventory. Para receber notificações em tempo real sobre alterações de recursos e políticas, crie e subscreva um feed.

Para mais informações, consulte a página Recursos.

Responda rapidamente a vulnerabilidades e ameaças

As conclusões do Security Command Center fornecem registos de problemas de segurança detetados que incluem detalhes extensos sobre os recursos afetados e instruções sugeridas passo a passo para investigar e corrigir vulnerabilidades e ameaças.

As conclusões de vulnerabilidades descrevem a vulnerabilidade ou a configuração incorreta detetada, calculam uma classificação de exposição a ataques e uma gravidade estimada. As conclusões de vulnerabilidades também alertam para violações de normas ou referências de segurança. Para mais informações, consulte o artigo Referências suportadas.

Para os níveis de serviço Premium e Enterprise, as conclusões de vulnerabilidades também incluem informações da Mandiant sobre a capacidade de exploração e o potencial impacto da vulnerabilidade com base no registo CVE correspondente da vulnerabilidade. Pode usar estas informações para ajudar a dar prioridade à correção da vulnerabilidade. Para mais informações, consulte o artigo Priorize por impacto e explorabilidade da CVE.

As conclusões de ameaças incluem dados da estrutura MITRE ATT&CK framework, que explica as técnicas de ataques contra recursos na nuvem e fornece orientações de remediação, e do VirusTotal, um serviço pertencente à Alphabet que fornece contexto sobre ficheiros, URLs, domínios e endereços IP potencialmente maliciosos.

Os seguintes guias são um ponto de partida para ajudar a corrigir problemas e proteger os seus recursos.

Controlar o volume de localização

Para controlar o volume de resultados no Security Command Center, pode desativar o som de resultados individuais manual ou programaticamente, ou criar regras de desativação do som que desativam automaticamente o som dos resultados com base nos filtros que definir. Existem dois tipos de regras de exclusão de som que pode usar para controlar o volume de localização:

  • Regras de desativação de som estáticas que desativam o som indefinidamente para futuras conclusões.
  • Regras de desativação de som dinâmicas que contêm uma opção para desativar temporariamente o som das conclusões atuais e futuras.

Recomendamos que use regras de desativação do som dinâmicas exclusivamente para reduzir o número de constatações que revê manualmente. Para evitar confusões, não recomendamos a utilização simultânea de regras de desativação do som estáticas e dinâmicas. Para uma comparação dos dois tipos de regras, consulte o artigo Tipos de regras de exclusão.

As conclusões com o som desativado são ocultadas e silenciadas, mas continuam a ser registadas para fins de auditoria e conformidade. Pode ver as descobertas desativadas ou reativá-las em qualquer altura. Para saber mais, consulte o artigo Desative as conclusões no Security Command Center.

Desativar o som de conclusões com regras de desativação do som dinâmicas é a abordagem recomendada e mais eficaz para controlar o volume das conclusões. Em alternativa, pode usar marcas de segurança para adicionar recursos a listas de autorizações.

Cada detetor do Security Health Analytics tem um tipo de marca dedicado que lhe permite excluir recursos marcados da política de deteção. Esta funcionalidade é útil quando não quer que sejam criadas conclusões para recursos ou projetos específicos.

Para saber mais sobre as marcas de segurança, consulte o artigo Usar marcas de segurança.

Configure as notificações

As notificações alertam para novas conclusões e conclusões atualizadas em tempo quase real e, com as notificações por email e chat, podem fazê-lo mesmo quando não tem sessão iniciada no Security Command Center. Saiba mais em Configurar notificações de localização.

Também pode criar exportações contínuas, que simplificam o processo de exportação de resultados para o Pub/Sub.

Explore as funções do Cloud Run

As funções do Cloud Run são um Google Cloud serviço que lhe permite associar serviços na nuvem e executar código em resposta a eventos. Pode usar a API Notifications e as funções do Cloud Run para enviar resultados para sistemas de remediação e emissão de pedidos de terceiros ou tomar medidas automáticas, como fechar automaticamente os resultados.

Para começar, visite o repositório de código aberto do Security Command Center de código de funções do Cloud Run. O repositório contém soluções para ajudar a tomar medidas automáticas em relação às conclusões de segurança.

Mantenha as comunicações ativadas

O Security Command Center é atualizado regularmente com novos detetores e funcionalidades. As notas de lançamento informam sobre as alterações ao produto e as atualizações à documentação. No entanto, pode definir as suas preferências de comunicação na Google Cloud consola para receber atualizações de produtos e promoções especiais por email ou dispositivo móvel. Também pode indicar-nos se tem interesse em participar em inquéritos de utilizadores e programas de teste-piloto.

Se tiver comentários ou perguntas, pode dar feedback falando com o seu vendedor, contactando a nossa equipa de apoio técnico do Google Cloud ou apresentando um erro.

O que se segue?