Best practice di Security Command Center

Questa pagina fornisce suggerimenti per la gestione dei servizi Security Command Center e per aiutarti a ottenere il massimo dal prodotto.

Security Command Center è una potente piattaforma per il monitoraggio dei dati e dei rischi per la sicurezza all'interno dell'organizzazione o di singoli progetti. Security Command Center è progettata per offrire la massima protezione una configurazione minima. Tuttavia, puoi seguire alcuni passaggi per adattare la piattaforma al tuo flusso di lavoro e assicurarti che le tue risorse siano protette.

Abilita il livello Premium o Enterprise

I livelli Premium ed Enterprise di Security Command Center forniscono protezione completa attraverso un ampio set di servizi di sicurezza e protezione e funzionalità operative, tra cui il rilevamento delle minacce, le vulnerabilità del software il rilevamento, le valutazioni di conformità, le funzionalità per le operazioni di sicurezza e molto di più. Il livello Standard offre solo servizi e funzionalità limitati.

Per saperne di più su tutte le funzionalità di Security Command Center, vedi Panoramica di Security Command Center.

Per informazioni sulle funzionalità incluse in ogni livello, consulta le seguenti informazioni:

Utilizzare le attivazioni a livello di progetto del livello Premium

Puoi attivare autonomamente il livello Premium per le organizzazioni o i singoli progetti nella console Google Cloud.

Con le attivazioni a livello di progetto, alcune funzionalità che richiedono accesso a livello di organizzazione non sono disponibili, indipendentemente dal livello. Per ulteriori informazioni, consulta Disponibilità delle funzionalità con le attivazioni a livello di progetto.

Le attivazioni del livello Premium vengono fatturate in base al consumo delle risorse, a meno che non acquisti un abbonamento a livello di organizzazione. Per ulteriori informazioni, consulta la sezione Prezzi.

Per saperne di più sull'attivazione di uno dei due livelli di Security Command Center, vedi Panoramica dell'attivazione di Security Command Center.

Abilita tutti i servizi integrati

Ti consigliamo di attivare tutti i servizi integrati, in base alle best practice consigliate per i singoli servizi.

Se Security Command Center è sono già attivati, puoi confermare quali servizi sono abilitati nella Pagina Impostazioni.

Puoi disattivare qualsiasi servizio, ma è meglio mantenere attivi tutti i servizi nel tuo livello. Conservazione di tutti i servizi attiva ti consente di sfruttare gli aggiornamenti continui e di garantire che fornisca protezioni sia per le risorse nuove che per quelle modificate.

Prima di attivare Web Security Scanner in produzione, consulta le best practice di Web Security Scanner.

Inoltre, valuta la possibilità di abilitare i servizi integrati (Rilevamento anomalie, Sensitive Data Protection e Google Cloud Armor), esplorando i servizi di sicurezza di terze parti e attivando Cloud Logging per Event Threat Detection e e Container Threat Detection. A seconda della quantità di informazioni, i costi di Sensitive Data Protection e Google Cloud Armor possono essere significativi. Segui le best practice per tenendo sotto controllo i costi di Sensitive Data Protection e leggi i prezzi di Google Cloud Armor .

Attivare i log per Event Threat Detection

Se utilizzi Event Threat Detection, potresti dover attivare determinati log esaminati da Event Threat Detection. Sebbene alcuni log siano sempre attivi, ad esempio gli audit log Attività di amministrazione di Cloud Logging, altri log, come la maggior parte degli audit log di accesso ai dati, sono disattivati per impostazione predefinita e devono essere attivati prima che il rilevamento delle minacce da eventi possa scansionarli.

Di seguito sono riportati alcuni log che ti consigliamo di abilitare:

  • Audit log degli accessi ai dati di Cloud Logging
  • Log di Google Workspace (solo attivazioni a livello di organizzazione)

I log da abilitare dipendono da:

  • I servizi Google Cloud che stai utilizzando
  • Le esigenze di sicurezza della tua azienda

Logging potrebbe addebitarti un costo per l'importazione e l'archiviazione alcuni log. Prima di attivare i log, consulta Prezzi dei log.

Dopo aver attivato un log, Event Threat Detection inizia a scansionarlo automaticamente.

Per informazioni più dettagliate su quali moduli di rilevamento richiedono log e quali log devi attivare, consulta Log che devi attivare.

Definire l'insieme di risorse di alto valore

Per aiutarti a dare la priorità ai risultati relativi a vulnerabilità e errori di configurazione che espongono le risorse più importanti per te, specifica quali risorse di alto valore appartengono al tuo set di risorse di alto valore.

I risultati che espongono le risorse nel tuo set di risorse di alto valore ricevono punteggi di esposizione agli attacchi più elevati.

Specifica le risorse che appartengono al tuo insieme di risorse di alto valore creando configurazioni dei valori delle risorse. Fino a quando non crei la tua prima configurazione del valore della risorsa, Security Command Center utilizza un insieme di risorse predefinite di alto valore che non è personalizzato in base alle tue priorità di sicurezza.

Utilizzare Security Command Center nella console Google Cloud

Nella console Google Cloud, Security Command Center offre funzionalità e immagini non ancora disponibili nell'API Security Command Center. Le funzionalità, tra cui un'interfaccia intuitiva, grafici formattati, report di conformità, e gerarchie visive di risorse, offrono una visione più approfondita dell'organizzazione. Per ulteriori informazioni, consulta Utilizzare Security Command Center nella console Google Cloud.

Espandere la funzionalità con l'API e gcloud

Se hai bisogno di accesso programmatico, prova le librerie client di Security Command Center e l'API Security Command Center, che ti consentono di accedere e controllare il tuo ambiente Security Command Center. Puoi utilizzare Explorer API, etichettato "Prova questa API", nei riquadri delle pagine di riferimento dell'API per esplorare in modo interattivo l'API Security Command Center senza una chiave API. Puoi controllare i metodi e i parametri disponibili, eseguire le richieste e vedere le risposte in tempo reale.

L'API Security Command Center consente ad analisti e amministratori di gestire le risorse e i risultati. Gli ingegneri possono utilizzare l'API per creare report e monitoraggio personalizzati soluzioni.

Estendi le funzionalità con moduli di rilevamento personalizzati

Se hai bisogno di rilevatori che soddisfino le esigenze specifiche della tua organizzazione, valuta creando moduli personalizzati:

Rivedi e gestisci le risorse

Security Command Center mostra tutti gli asset nella pagina Asset della console Google Cloud, dove puoi eseguire query sugli asset e visualizzarne le informazioni, inclusi i risultati correlati, la cronologia delle modifiche, i metadati e i criteri IAM.

Le informazioni sulla risorsa nella pagina Risorse vengono lette dalla data Cloud Asset Inventory. Per ricevere notifiche in tempo reale sulle modifiche alle risorse e ai criteri, creare e iscriversi a un feed.

Per ulteriori informazioni, consulta la pagina Asset.

Rispondere rapidamente a vulnerabilità e minacce

I risultati di Security Command Center forniscono record dei problemi di sicurezza rilevati che includono dettagli esaustivi sulle risorse interessate e istruzioni passo passo suggerite per l'indagine e la correzione vulnerabilità e minacce.

I risultati relativi alle vulnerabilità descrivono la vulnerabilità o la configurazione errata rilevata, calcolano un punteggio di esposizione agli attacchi e una gravità stimata. I risultati delle vulnerabilità ti avvisano anche in caso di violazioni della sicurezza standard o benchmark. Per ulteriori informazioni, consulta la pagina Benchmark supportati.

Con Security Command Center Premium, i risultati di vulnerabilità includono anche le informazioni di Mandiant sugli sfruttabilità e il potenziale impatto della vulnerabilità in base a il record CVE corrispondente della vulnerabilità. Puoi utilizzare queste informazioni per stabilire la priorità della correzione della vulnerabilità. Per ulteriori informazioni, consulta Assegnare la priorità in base all'impatto e alla sfruttabilità delle CVE.

I risultati relativi alle minacce includono i dati del framework MITRE ATT&CK, che spiega le tecniche per gli attacchi alle risorse cloud e fornisce indicazioni per la correzione, e di VirusTotal, un servizio di proprietà di Alphabet che fornisce contesto su file, URL, domini e indirizzi IP potenzialmente dannosi.

Le seguenti guide sono un punto di partenza per aiutarti a risolvere i problemi e proteggere le tue risorse.

Regolare il volume dei risultati

Per controllare il volume dei risultati in Security Command Center, puoi disattivare manualmente o tramite programmazione i singoli risultati oppure creare regole di disattivazione che disattivano automaticamente i risultati in base ai filtri che definisci. Esistono due tipi di regole di disattivazione che puoi utilizzare per controllare il volume dei risultati:

  • Regole di disattivazione statiche che disattivano in modo permanente i risultati futuri.
  • Regole di disattivazione dinamiche che contengono un'opzione per disattivare temporaneamente i risultati attuali e futuri.

Ti consigliamo di utilizzare esclusivamente regole di disattivazione dinamica per ridurre il numero di i risultati esaminati manualmente. Per evitare confusione, non è consigliabile utilizzare contemporaneamente le regole di disattivazione audio statiche e dinamiche. Per un confronto tra i due tipi di regole, vedi Tipi di regole di disattivazione.

I risultati disattivati vengono nascosti e ignorati, ma continuano a essere registrati ai fini di audit e conformità. Puoi visualizzare i risultati silenziati o riattivarli in qualsiasi momento. A per saperne di più, consulta Disattivazione dei risultati in Security Command Center.

La disattivazione dei risultati con regole di disattivazione dinamica è consigliata ed efficace per controllare il volume dei risultati. In alternativa, puoi usare le opzioni di sicurezza contrassegni per aggiungere asset a liste consentite.

Ogni rilevatore Security Health Analytics ha un tipo di contrassegno dedicato che consente di escludere le risorse contrassegnate dal criterio di rilevamento. Questa funzionalità è utile quando non vuoi che vengano creati risultati per risorse o progetti specifici.

Per scoprire di più sui contrassegni di sicurezza, consulta Utilizzare i contrassegni di sicurezza.

Configurare le notifiche

Le notifiche ti avvisano dei risultati nuovi e aggiornati quasi in tempo reale e, con notifiche via email e chat, possono farlo anche se non hai eseguito l'accesso a Security Command Center. Scopri di più in Configurazione delle notifiche sui risultati.

Security Command Center Premium ti consente di creare Esportazioni continue, che semplificano il processo di esportazione dei risultati in Pub/Sub.

Esplorare le funzioni Cloud Run

Cloud Run Functions è un Servizio Google Cloud che ti consente di connettere servizi cloud ed eseguire codice in risposta agli eventi. Puoi utilizzare l'API Notifications e le funzioni Cloud Run per inviare i risultati a sistemi di risoluzione e ticketing di terze parti o intraprendere azioni automatiche, come la chiusura automatica dei risultati.

Per iniziare, visita il repository open source di codice delle funzioni Cloud Run di Security Command Center. Il repository contiene soluzioni per aiutarti a eseguire azioni automatizzate in materia di sicurezza i risultati.

Mantieni attive le comunicazioni

Security Command Center viene aggiornato regolarmente con nuovi rilevatori e funzionalità. Le note di rilascio ti informano sul prodotto modifiche e aggiornamenti alla documentazione. Tuttavia, puoi impostare le tue preferenze di comunicazione nella console Google Cloud per ricevere aggiornamenti sui prodotti e promozioni speciali via email o dispositivo mobile. Puoi anche comunicarci se ti interessa partecipare a sondaggi sugli utenti e programmi pilota.

Se hai commenti o domande, puoi inviare un feedback parlando con il tuo agente di vendita, contattando il nostro personale dell'assistenza Cloud o registrando un bug.

Passaggi successivi