En esta página, se proporcionan recomendaciones para administrar los servicios y las funciones de Security Command Center que te ayudarán a aprovechar al máximo el producto.
Security Command Center es una plataforma potente para supervisar los riesgos de seguridad y datos en toda tu organización o en proyectos individuales. Security Command Center está diseñado para proporcionar la máxima protección sin necesidad de una configuración mínima. Sin embargo, existen pasos que puedes seguir para adaptar la plataforma a tu flujo de trabajo y asegurarte de que tus recursos estén protegidos.
Habilita el nivel Premium de Security Command Center
El nivel Premium de Security Command Center incluye muchas más funciones que el nivel Estándar.
Security Command Center Estándar incluye estadísticas del estado de la seguridad, detección de anomalías y análisis no administrados en Web Security Scanner, que juntos detectan vulnerabilidades y anomalías en tus proyectos de aplicación o sitio web En el nivel Estándar, las estadísticas del estado de la seguridad solo incluyen un grupo básico de detectores de gravedad media y alta.
Security Command Center Premium incluye servicios de nivel Estándar y agrega informes de cumplimiento, análisis administrados de Web Security Scanner, todos los detectores de Security Health Analytics y los siguientes servicios integrados y exclusivos premium:
- Detección rápida de vulnerabilidadesVersión preliminar
- Detección de amenazas a máquinas virtuales
- Detección de amenazas a contenedores
- Event Threat Detection
- Postura de seguridad
Security Command Center Premium también incluye puntuaciones de exposición a ataques que puedes usar para priorizar los hallazgos de vulnerabilidades y parámetros de configuración incorrectos, además de rutas de ataque interactivas que te ayudan a visualizar cómo un atacante potencial podría acceder a tus recursos de alto valor.
Puedes activar el nivel Premium para organizaciones o proyectos individuales por tu cuenta en la consola de Google Cloud.
Sin importar el nivel, algunas funciones que requieren acceso a nivel de la organización no están disponibles, con las activaciones a nivel de proyecto. Para obtener más información, consulta Disponibilidad de funciones con activaciones a nivel de proyecto.
Las activaciones del nivel Premium se facturan según el consumo de recursos, a menos que compres una suscripción a nivel de la organización. Para obtener más información, consulta Precios.
Si quieres obtener más información para activar cualquiera de los niveles de Security Command Center, consulta Descripción general para activar Security Command Center.
Si quieres obtener más información sobre cómo usar Security Command Center para mejorar tu postura de seguridad, consulta lo siguiente:
- Descripción general de Security Command Center
- Toma el control de la seguridad con Security Command Center
- Descripción general de la postura de seguridad
Habilita todos los servicios integrados
Recomendamos habilitar todos los servicios integrados, sujeto a las recomendaciones de las prácticas recomendadas de servicios individuales.
Si Security Command Center ya está activado, puedes confirmar qué servicios están habilitados en la página Configuración.
Puedes inhabilitar cualquier servicio, pero es mejor mantener todos los servicios de tu nivel activados todo el tiempo. Mantener todos los servicios habilitados te permite aprovechar las actualizaciones continuas y ayuda a garantizar que se proporcionen protecciones para los recursos nuevos y modificados.
Antes de habilitar la Detección rápida de vulnerabilidades o Web Security Scanner en producción, revisa la información de las prácticas recomendadas:
- Prácticas recomendadas para la Detección rápida de vulnerabilidades
- Prácticas recomendadas de Web Security Scanner
Por ejemplo, durante los análisis, la Detección rápida de vulnerabilidades realiza acciones que pueden afectar de forma negativa tus recursos de producción, como el acceso a interfaces de administrador y a tus VM. Como práctica recomendada, usa la Detección rápida de vulnerabilidades para analizar los recursos en entornos que no son de producción antes de implementarlos en la producción.
Además, considera habilitar los servicios integrados (Detección de anomalías, Protección de datos sensibles y Google Cloud Armor), explorar servicios de seguridad de terceros y activar Cloud Logging para Event Threat Detection y Container Threat Detection. Según la cantidad de información, los costos de la protección de datos sensibles y de Google Cloud Armor pueden ser significativos. Sigue las prácticas recomendadas para mantener bajo control los costos de la protección de datos sensibles y lee la guía de precios de Google Cloud Armor.
Para obtener más información sobre los servicios de Security Command Center, mira los siguientes videos:
- Comienza a usar Detección de eventos de amenazas
- Getting started with Detección de amenazas a contenedores
- Getting started with Web Security Scanner
- Getting started with Security Health Analytics
- Getting started with Cloud Data Loss Prevention on Security Command Center
Habilita los registros de Event Threat Detection
Si usas Event Threat Detection, es posible que debas activar ciertos registros que analiza Event Threat Detection. Aunque algunos registros están siempre activados, como los registros de auditoría de actividad del administrador de Cloud Logging, otros, como la mayoría de los registros de auditoría de acceso a los datos, están desactivados de forma predeterminada y deben habilitarse para que Event Threat Detection pueda analizarlos.
Entre los registros que debes considerar habilitar, se incluyen los siguientes:
- Registros de auditoría de acceso a los datos de Cloud Logging
- Registros de Google Workspace (solo activaciones a nivel de la organización)
Los registros que debes habilitar dependen de lo siguiente:
- Los servicios de Google Cloud que usas
- Las necesidades de seguridad de su empresa
Es posible que Logging cobre por la transferencia y el almacenamiento de ciertos registros. Antes de habilitar cualquier registro, revisa los Precios de Logging.
Después de habilitar un registro, Event Threat Detection comienza a analizarlo automáticamente.
Para obtener información más detallada sobre qué módulos de detección requieren qué registros y cuáles de ellos debes activar, consulta Registros que debes activar.
Define tu conjunto de recursos de alto valor
Para ayudarte a priorizar los resultados de vulnerabilidades y parámetros de configuración incorrectos que exponen los recursos que es más importante que debes proteger, especifica cuáles de tus recursos de alto valor pertenecen al conjunto de recursos de alto valor.
Los resultados que exponen los recursos en tu conjunto de recursos de alto valor obtienen puntuaciones de exposición a ataques más altas.
Para especificar los recursos que pertenecen a tu conjunto de recursos de alto valor, debes crear configuraciones de valores de recursos. Hasta que crees la primera configuración de valor de recurso, Security Command Center usa un conjunto de recursos de alto valor predeterminado que no está personalizado según tus prioridades de seguridad.
Usa Security Command Center en la consola de Google Cloud
En la consola de Google Cloud, Security Command Center proporciona funciones y elementos visuales que aún no están disponibles en la API de Security Command Center. Las funciones, que incluyen una interfaz intuitiva, gráficos con formato, informes de cumplimiento y jerarquías visuales de recursos, te brindan más estadísticas sobre la organización. Para obtener más información, consulta Usa Security Command Center en la consola de Google Cloud.
Extiende la funcionalidad con la API y gcloud
Si necesitas acceso programático, prueba la API de Security Command Center, que te permite acceder a tu entorno de Security Command Center y controlarlo. Puedes usar el Explorador de API, etiquetado como “Probar esta API”, en los paneles de las páginas de referencia de la API para explorar de forma interactiva la API de Security Command Center sin una clave de API. Puedes consultar los métodos y parámetros disponibles, ejecutar solicitudes y ver respuestas en tiempo real.
La API de Security Command Center permite a los analistas y administradores administrar tus recursos y resultados. Los ingenieros pueden usar la API para crear soluciones personalizadas de supervisión y generación de informes. En un ejemplo, verás cómo los arquitectos de soluciones usaron la API de Security Command Center para informar incumplimientos de auditorías del controlador de políticas en Security Command Center.
Cómo extender la funcionalidad con módulos de detección personalizados
Si necesitas detectores que satisfagan las necesidades únicas de tu organización, considera crear módulos personalizados:
- Los módulos personalizados para Security Health Analytics te permiten definir tus propias reglas de detección para vulnerabilidades, parámetros de configuración incorrectos o incumplimientos.
- Los módulos personalizados para Event Threat Detection te permiten supervisar el flujo de Logging en busca de amenazas según los parámetros que especifiques.
Revisa y administra recursos
Security Command Center muestra todos tus recursos en la página Recursos de la consola de Google Cloud, en la que puedes consultarlos y ver su información, incluidos los resultados relacionados, su historial de cambios, sus metadatos y sus políticas de IAM.
La información de los recursos en la página Recursos se lee desde Cloud Asset Inventory. Para recibir notificaciones en tiempo real sobre cambios en recursos y políticas, crea un feed y suscríbete a él.
Para obtener más información, consulta la página Recursos.
Responde con rapidez a las vulnerabilidades y amenazas
Los hallazgos de Security Command Center proporcionan registros de los problemas de seguridad detectados que incluyen detalles extensos sobre los recursos afectados y, además, instrucciones sugeridas paso a paso para investigar y solucionar vulnerabilidades y amenazas.
Los hallazgos de vulnerabilidades describen la vulnerabilidad o la configuración incorrecta detectada, calculan una puntuación de exposición a ataques y una gravedad estimada. Los hallazgos de vulnerabilidades también te alertan sobre incumplimientos de los estándares o las comparativas de seguridad. Para obtener más información, consulta Comparativas compatibles.
Con Security Command Center Premium, los hallazgos de vulnerabilidades también incluyen información de Mandiant sobre la capacidad de explotación y el impacto potencial de la vulnerabilidad según el registro CVE correspondiente de la vulnerabilidad. Puedes usar esta información para ayudar a priorizar la solución de la vulnerabilidad. Para obtener más información, consulta Prioriza el impacto y la explotación de CVE.
Los resultados de las amenazas incluyen datos del framework de MITRE ATT&CK, que explica las técnicas para ataques a recursos en la nube y proporciona orientación para la solución, además de VirusTotal, servicio de Alphabet que proporciona contexto sobre archivos, URL, dominios y direcciones IP potencialmente maliciosos.
Las siguientes guías son un punto de partida para ayudarte a solucionar problemas y proteger tus recursos.
- Soluciona los problemas de las estadísticas de estado de seguridad
- Solución de los resultados de Web Security Scanner
- Resultados y soluciones del análisis de Detección rápida de vulnerabilidades
- Investigar amenazas y responder ante ellas
Controla el volumen de resultados
Para controlar el volumen de resultados en Security Command Center, puedes silenciar de forma manual o programática resultados individuales o crear reglas de silenciamiento que silencian de forma automática los resultados actuales y futuros según los filtros que definas.
Los resultados silenciados se ocultan y silencian, pero se siguen registrando con fines de auditoría y cumplimiento. Puedes ver los resultados silenciados o dejar de silenciarlos en cualquier momento. Para obtener más información, consulta Silencia resultados en Security Command Center.
El silenciamiento de los resultados es el enfoque recomendado y más eficaz para controlar el volumen de los resultados. Como alternativa, puedes usar marcas de seguridad para agregar recursos a las listas de entidades permitidas.
Cada detector de Security Health Analytics tiene un tipo de marca dedicado que te permite excluir recursos marcados de la política de detección. Esta característica es útil cuando no deseas resultados que se crearon para recursos o proyectos específicos.
Para obtener más información sobre las marcas de seguridad, consulta Usa marcas de seguridad.
Configure las notificaciones
Las notificaciones te alertan sobre los resultados nuevos y actualizados en tiempo casi real y, con las notificaciones por correo electrónico y chat, pueden hacerlo incluso cuando no hayas accedido a Security Command Center. Obtén más información en Configura las notificaciones de resultados.
Security Command Center Premium te permite crear exportaciones continuas, que simplifican el proceso de exportar resultados a Pub/Sub.
Explora Cloud Functions
Cloud Functions es un servicio de Google Cloud que te permite conectar servicios en la nube y ejecutar código en respuesta a eventos. Puedes usar la API de Notifications y Cloud Functions para enviar resultados a sistemas de emisión de tickets y soluciones de terceros, o bien realizar acciones automatizadas, como cerrar resultados de forma automática.
Para comenzar, visita el repositorio de código abierto del código de Cloud Functions de Security Command Center. El repositorio contiene soluciones que te ayudan a realizar acciones automatizadas con respecto a los resultados de seguridad.
Mantén las comunicaciones activadas
Security Command Center se actualiza con regularidad con detectores y funciones nuevos. Las notas de la versión te informan sobre los cambios en los productos y las actualizaciones de la documentación. Sin embargo, puedes configurar tus preferencias de comunicación en la consola de Google Cloud para recibir actualizaciones de productos y promociones especiales por correo electrónico o en dispositivos móviles. También puedes contarnos si te interesa participar en encuestas de usuarios y programas piloto.
Si tienes comentarios o preguntas, puedes hablar con tu vendedor, comunicarte con nuestro personal de Asistencia de Cloud o presentar un informe de errores.
¿Qué sigue?
Obtén más información para Usar Security Command Center.
Aprende a configurar Security Command Center