Cette page fournit des recommandations sur la gestion des services et des fonctionnalités de Security Command Center afin de vous aider à tirer le meilleur parti du produit.
Security Command Center est une plate-forme puissante permettant de surveiller les données et les risques de sécurité au sein de votre organisation ou de projets individuels. Security Command Center est conçu pour fournir une protection maximale avec une configuration minimale. Toutefois, vous pouvez prendre des mesures pour adapter la plate-forme à votre workflow et vous assurer que vos ressources sont protégées.
Activer le niveau Premium de Security Command Center
Le niveau Premium de Security Command Center comprend beaucoup plus de fonctionnalités que le niveau Standard.
Security Command Center Standard comprend Security Health Analytics, la détection d'anomalies et les analyses non gérées dansWeb Security Scanner. Ensemble, ces composants permettent de détecter les failles et anomalies courantes sur votre site Web ou dans vos projets d'application. Au niveau Standard, Security Health Analytics n'inclut qu'un groupe de base de détecteurs de gravité moyenne et élevée.
Security Command Center Premium inclut des services de niveau Standard et ajoute des rapports de conformité, des analyses Web Security Scanner gérées, tous les détecteurs de Security Health Analytics et les services intégrés premium suivants:
- Détection rapide des faillesPreview
- Virtual Machine Threat Detection
- Container Threat Detection
- Event Threat Detection
- Stratégie de sécurité
Security Command Center Premium inclut également des scores d'exposition aux attaques que vous pouvez utiliser pour hiérarchiser les résultats concernant les failles et les erreurs de configuration, ainsi que des chemins d'attaque interactifs qui vous aident à visualiser comment un pirate informatique potentiel pourrait accéder à vos ressources stratégiques.
Vous pouvez activer le niveau Premium pour des organisations ou des projets individuels dans la console Google Cloud.
Avec les activations au niveau du projet, certaines fonctionnalités nécessitant un accès au niveau de l'organisation ne sont pas disponibles, quel que soit le niveau. Pour en savoir plus, consultez Disponibilité des fonctionnalités avec les activations au niveau du projet.
Les activations du niveau Premium sont facturées en fonction de la consommation des ressources, sauf si vous souscrivez un abonnement au niveau de l'organisation. Pour en savoir plus, reportez-vous à la page Tarifs.
Pour en savoir plus sur l'activation de l'un ou l'autre niveau de Security Command Center, consultez la section Présentation de l'activation de Security Command Center.
Pour en savoir plus sur l'utilisation de Security Command Center pour améliorer votre stratégie de sécurité, consultez les pages suivantes:
- Présentation de Security Command Center
- Prenez le contrôle de la sécurité avec Security Command Center
- Présentation de la stratégie de sécurité
Activer tous les services intégrés
Nous vous recommandons d'activer tous les services intégrés, conformément aux bonnes pratiques recommandées pour chaque service.
Si Security Command Center est déjà activé, vous pouvez vérifier quels services sont activés sur la page Paramètres.
Vous pouvez désactiver n'importe quel service. Toutefois, il est préférable de laisser tous les services de votre niveau activés en permanence. Le fait de laisser tous les services activés vous permet de bénéficier de mises à jour continues et de vous assurer que des protections sont fournies pour les nouvelles ressources et celles qui ont été modifiées.
Avant d'activer la détection rapide des failles ou Web Security Scanner en production, consultez leurs bonnes pratiques:
Par exemple, lors des analyses, la détection rapide des failles effectue des actions pouvant avoir un impact négatif sur vos ressources de production, telles que l'accès aux interfaces d'administrateur et les tentatives de connexion à vos VM. Il est recommandé d'utiliser la détection rapide des failles pour analyser les ressources dans des environnements hors production avant de les déployer en production.
Nous vous conseillons également d'activer les services intégrés (détection d'anomalies, la protection des données sensibles et Google Cloud Armor), d'explorer les services de sécurité tiers et d'activer Cloud Logging pour Event Threat Detection et Container Threat Detection. Selon la quantité d'informations, les coûts liés à Sensitive Data Protection et à Google Cloud Armor peuvent être importants. Suivez les bonnes pratiques pour contrôler les coûts liés à la protection des données sensibles et consultez la grille tarifaire de Google Cloud Armor.
Pour en savoir plus sur les services Security Command Center, regardez les vidéos suivantes :
- Premiers pas avec Event Threat Detection
- Premiers pas avec Container Threat Detection
- Premiers pas avec Web Security Scanner
- Premiers pas avec Security Health Analytics
- Premiers pas avec Cloud Data Loss Prevention sur Security Command Center
Activer les journaux pour Event Threat Detection
Si vous utilisez Event Threat Detection, vous devrez peut-être activer certains journaux qu'Event Threat Detection analyse. Bien que certains journaux soient toujours activés, tels que les journaux d'audit pour les activités d'administration Cloud Logging, d'autres, comme la plupart des journaux d'audit des accès aux données, sont désactivés par défaut et doivent être activés pour qu'Event Threat Detection puisse les analyser.
Voici quelques-uns des journaux que vous pouvez envisager d'activer:
- Journaux d'audit des accès aux données dans Cloud Logging
- Journaux Google Workspace (activations au niveau de l'organisation uniquement)
Les journaux que vous devez activer dépendent des éléments suivants:
- Services Google Cloud que vous utilisez
- Les besoins de votre entreprise en termes de sécurité
Logging peut facturer l'ingestion et le stockage de certains journaux. Avant d'activer les journaux, consultez la page Tarifs de Logging.
Lorsqu'un journal est activé, Event Threat Detection commence à l'analyser automatiquement.
Pour en savoir plus sur les modules de détection qui nécessitent des journaux et les journaux à activer, consultez la section Journaux à activer.
Définissez votre ensemble de ressources à forte valeur
Pour vous aider à hiérarchiser les résultats concernant les failles et les erreurs de configuration qui exposent les ressources qu'il est le plus important de protéger, spécifiez celles de votre ensemble de ressources à forte valeur ajoutée.
Les résultats qui exposent les ressources de votre ensemble de ressources à forte valeur obtiennent des scores d'exposition aux attaques plus élevés.
Pour spécifier les ressources qui appartiennent à votre ensemble de ressources à forte valeur, créez des configurations de valeurs de ressources. Tant que vous n'avez pas créé votre première configuration de valeurs de ressources, Security Command Center utilise un ensemble de ressources à forte valeur par défaut qui n'est pas personnalisé en fonction de vos priorités de sécurité.
Utiliser Security Command Center dans la console Google Cloud
Dans la console Google Cloud, Security Command Center fournit des fonctionnalités et des éléments visuels qui ne sont pas encore disponibles dans l'API Security Command Center. Ses fonctionnalités, comme une interface intuitive, des graphiques mis en forme, des rapports de conformité et des hiérarchies visuelles des ressources, vous donnent un meilleur aperçu de votre organisation. Pour en savoir plus, consultez la page Utiliser Security Command Center dans la console Google Cloud.
Étendre les fonctionnalités avec l'API et gcloud
Si vous avez besoin d'un accès automatisé, essayez l'API Security Command Center, qui vous permet d'accéder à votre environnement Security Command Center et de le contrôler. Vous pouvez utiliser l'explorateur d'API ("Essayer cette API" dans les panneaux des pages de référence de l'API) pour explorer de manière interactive l'API Security Command Center sans clé API. Vous pouvez vérifier les méthodes et les paramètres disponibles, exécuter des requêtes et afficher les réponses en temps réel.
L'API Security Command Center permet aux analystes et aux administrateurs de gérer vos ressources et vos résultats. Les ingénieurs peuvent utiliser l'API pour créer des solutions personnalisées de surveillance et de création de rapports. Dans un exemple, découvrez comment nos architectes de solutions ont utilisé l'API Security Command Center pour signaler les violations des règles d'audit dans Policy Command Center.
Étendre les fonctionnalités à l'aide de modules de détection personnalisés
Si vous avez besoin de détecteurs répondant aux besoins uniques de votre organisation, envisagez de créer des modules personnalisés:
- Les modules personnalisés pour l'analyse de l'état de sécurité vous permettent de définir vos propres règles de détection des failles, des erreurs de configuration ou des cas de non-conformité.
- Les modules personnalisés pour Event Threat Detection vous permettent de surveiller les menaces dans votre flux Logging en fonction des paramètres que vous spécifiez.
Vérifier et gérer les ressources
Security Command Center affiche tous vos éléments sur la page Éléments de la console Google Cloud, où vous pouvez interroger vos éléments et afficher des informations les concernant, y compris les résultats associés, leur historique des modifications, leurs métadonnées et les stratégies IAM.
Les informations sur les éléments affichées sur la page Éléments sont lues à partir de l'inventaire des éléments cloud. Pour recevoir des notifications en temps réel sur les modifications de ressources et de règles, créez un flux et abonnez-vous à celui-ci.
Pour en savoir plus, consultez la section Page "Composants".
Répondre rapidement aux failles et aux menaces
Les résultats de Security Command Center fournissent des enregistrements des problèmes de sécurité détectés, avec des détails détaillés sur les ressources concernées ainsi que des suggestions d'instructions détaillées pour enquêter sur les failles et les menaces et les corriger.
Les résultats de failles décrivent la faille ou la mauvaise configuration détectée, calculent un score d'exposition aux attaques et une gravité estimée. Les résultats de failles vous avertissent également en cas de non-respect des normes ou des benchmarks de sécurité. Pour en savoir plus, consultez Benchmarks compatibles.
Avec Security Command Center Premium, les résultats de failles incluent également des informations fournies par Mandiant sur l'exploitabilité et l'impact potentiel de la faille, en fonction de l'enregistrement CVE correspondant. Ces informations peuvent vous aider à hiérarchiser la correction de la faille. Pour en savoir plus, consultez la section Hiérarchiser en fonction de l'impact et de l'exploitabilité des failles CVE.
Les résultats de menaces incluent les données du framework MITRE ATT&CK, qui explique les techniques d'attaque contre les ressources cloud et fournit des conseils de résolution des problèmes, ainsi que VirusTotal, un service appartenant à Alphabet qui fournit du contexte sur des fichiers, des URL, des domaines et des adresses IP potentiellement malveillants.
Les guides suivants constituent un point de départ pour vous aider à résoudre les problèmes et à protéger vos ressources.
- Corriger les résultats de Security Health Analytics
- Corriger les problèmes identifiés par Web Security Scanner
- Résultats de l'analyse de détection rapide des failles et corrections
- Examiner et contrer les menaces
Contrôler le volume des résultats
Pour contrôler le volume des résultats dans Security Command Center, vous pouvez désactiver manuellement ou automatiquement des résultats individuels, ou créer des règles de blocage qui désactivent automatiquement les résultats actuels et futurs en fonction des filtres que vous définissez.
Les résultats ignorés sont masqués et mis sous silence, mais ils sont toujours consignés à des fins d'audit et de conformité. Vous pouvez afficher les résultats ignorés ou les réactiver à tout moment. Pour en savoir plus, consultez la section Ignorer les résultats dans Security Command Center.
La désactivation des résultats est l'approche recommandée et la plus efficace pour contrôler le volume de résultats. Vous pouvez également utiliser des marques de sécurité pour ajouter des éléments à des listes d'autorisation.
Chaque détecteur de Security Health Analytics comporte un type de marque dédié qui vous permet d'exclure les ressources marquées de la règle de détection. Cette fonctionnalité est utile lorsque vous ne souhaitez pas générer de résultats pour des ressources ou des projets spécifiques.
Pour en savoir plus sur les marques de sécurité, consultez la page Utiliser des marques de sécurité.
Définir les notifications
Les notifications vous informent des résultats nouveaux et mis à jour en quasi-temps réel et, grâce aux notifications par e-mail et par chat, peuvent le faire même lorsque vous n'êtes pas connecté à Security Command Center. Pour en savoir plus, consultez la page Configurer des notifications de résultat.
Security Command Center Premium vous permet de créer des exportations continues afin de simplifier le processus d'exportation des résultats vers Pub/Sub.
Découvrir Cloud Functions
Cloud Functions est un service Google Cloud qui vous permet de connecter des services cloud et d'exécuter du code en réponse à des événements. Vous pouvez utiliser l'API Notifications et Cloud Functions pour envoyer des résultats à des systèmes tiers de remédiation et d'assistance, ou pour effectuer des actions automatisées comme la fermeture automatique des résultats.
Pour commencer, accédez au dépôt Open Source du code Cloud Functions de Security Command Center. Le dépôt contient des solutions permettant d'effectuer des actions automatisées sur les résultats de sécurité.
Laisser les communications activées
Security Command Center est régulièrement mis à jour avec de nouveaux détecteurs et de nouvelles fonctionnalités. Les notes de version vous informent des modifications apportées au produit et des mises à jour de la documentation. Vous pouvez toutefois définir vos préférences de communication dans la console Google Cloud pour recevoir des informations sur les produits et promotions spéciales, par e-mail ou sur mobile. Vous pouvez également nous indiquer si vous souhaitez participer aux enquêtes utilisateur et aux programmes pilotes.
Si vous avez des commentaires ou des questions, vous pouvez en faire part à votre commercial, à notre équipe d'assistance Cloud ou en signalant un bug.
Étapes suivantes
En savoir plus sur l'utilisation de Security Command Center.
Découvrez comment configurer Security Command Center.