Questa pagina fornisce suggerimenti per la gestione di servizi e funzionalità di Security Command Center per aiutarti a ottenere il massimo dal prodotto.
Security Command Center è una potente piattaforma per il monitoraggio dei dati e dei rischi per la sicurezza nell'organizzazione o nei singoli progetti. Security Command Center è progettato per fornire la massima protezione con una configurazione minima. Tuttavia, puoi seguire alcuni passaggi per adattare la piattaforma al tuo flusso di lavoro e garantire che le tue risorse siano protette.
Abilita il livello Premium o Enterprise
I livelli Premium ed Enterprise di Security Command Center forniscono la massima protezione attraverso un ampio set di funzionalità relative alla sicurezza e alle operazioni di sicurezza del cloud, tra cui rilevamento delle minacce, rilevamento delle vulnerabilità del software, valutazione della conformità, funzionalità per le operazioni di sicurezza e molto altro ancora. Il livello Standard offre solo servizi e funzionalità limitati.
Per saperne di più su tutte le funzionalità di Security Command Center, consulta la panoramica di Security Command Center.
Per informazioni sulle funzionalità incluse in ogni livello, consulta le seguenti informazioni:
Utilizza le attivazioni a livello di progetto del livello Premium
Puoi attivare il livello Premium per organizzazioni o singoli progetti nella console Google Cloud.
Con le attivazioni a livello di progetto, alcune funzionalità che richiedono l'accesso a livello di organizzazione non sono disponibili, indipendentemente dal livello. Per maggiori informazioni, consulta Disponibilità delle funzionalità con le attivazioni a livello di progetto.
Le attivazioni del livello Premium vengono fatturate in base al consumo delle risorse, a meno che non acquisti un abbonamento a livello di organizzazione. Per ulteriori informazioni, consulta la sezione Prezzi.
Per saperne di più sull'attivazione di uno dei due livelli di Security Command Center, consulta Panoramica dell'attivazione di Security Command Center.
Abilita tutti i servizi integrati
Ti consigliamo di abilitare tutti i servizi integrati in base ai consigli sulle best practice dei singoli servizi.
Se Security Command Center è già attivato, puoi confermare quali servizi sono abilitati nella pagina Impostazioni.
Puoi disabilitare qualsiasi servizio, ma è meglio mantenere sempre attivi tutti i servizi del livello. Mantenere tutti i servizi abilitati ti consente di sfruttare gli aggiornamenti continui e di garantire che vengano fornite protezioni per le risorse nuove e modificate.
Prima di attivare Web Security Scanner in produzione, consulta le best practice di Web Security Scanner.
Valuta anche l'abilitazione dei servizi integrati (Rilevamento anomalie, Sensitive Data Protection e Google Cloud Armor), l'esplorazione dei servizi di sicurezza di terze parti e l'attivazione di Cloud Logging per Event Threat Detection e Container Threat Detection. A seconda della quantità di informazioni, i costi di Sensitive Data Protection e Google Cloud Armor possono essere significativi. Segui le best practice per tenere sotto controllo i costi di Sensitive Data Protection e leggi la guida ai prezzi di Google Cloud Armor.
Abilita i log per Event Threat Detection
Se utilizzi Event Threat Detection, potrebbe essere necessario attivare determinati log per la scansione di Event Threat Detection. Sebbene alcuni log siano sempre attivi, ad esempio gli audit log per le attività di amministrazione di Cloud Logging, altri, come la maggior parte degli audit log di accesso ai dati, sono disattivati per impostazione predefinita e devono essere abilitati prima che Event Threat Detection possa analizzarli.
Di seguito sono riportati alcuni log che ti consigliamo di abilitare:
- Audit log degli accessi ai dati di Cloud Logging
- Log di Google Workspace (solo attivazioni a livello di organizzazione)
I log da abilitare dipendono da:
- I servizi Google Cloud che stai utilizzando
- Le esigenze di sicurezza della tua azienda
Logging potrebbe addebitarti un costo per l'importazione e l'archiviazione di determinati log. Prima di abilitare i log, consulta la sezione Prezzi di Logging.
Una volta abilitato un log, Event Threat Detection avvia automaticamente la sua scansione.
Per informazioni più dettagliate su quali moduli di rilevamento richiedono quali log e quali di questi log devi attivare, consulta Log da attivare.
Definisci il set di risorse di alto valore
Per assegnare la priorità ai risultati relativi a vulnerabilità ed errori di configurazione che espongono le risorse più importanti che devi proteggere, specifica quale delle tue risorse di alto valore appartiene al tuo set di risorse di alto valore.
I risultati che espongono le risorse nel tuo set di risorse di alto valore ricevono punteggi di esposizione agli attacchi più elevati.
Puoi specificare le risorse che appartengono al tuo set di risorse di alto valore creando configurazioni dei valori delle risorse. Finché non crei la prima configurazione del valore delle risorse, Security Command Center utilizza un set di risorse predefinito di alto valore che non è personalizzato in base alle tue priorità di sicurezza.
Usa Security Command Center nella console Google Cloud
Nella console Google Cloud, Security Command Center fornisce funzionalità ed elementi visivi che non sono ancora disponibili nell'API Security Command Center. Le funzionalità, tra cui un'interfaccia intuitiva, grafici formattati, report di conformità e gerarchie visive di risorse, offrono informazioni più dettagliate sulla tua organizzazione. Per ulteriori informazioni, vedi Utilizzo di Security Command Center nella console Google Cloud.
Estendi la funzionalità con l'API e gcloud
Se hai bisogno dell'accesso programmatico, prova l'API Security Command Center, che ti consente di accedere e controllare il tuo ambiente Security Command Center. Puoi utilizzare Explorer API, con l'etichetta "Prova questa API" nei riquadri delle pagine di riferimento delle API, per esplorare in modo interattivo l'API Security Command Center senza una chiave API. Puoi verificare i metodi e i parametri disponibili, eseguire le richieste e vedere le risposte in tempo reale.
L'API Security Command Center consente ad analisti e amministratori di gestire le tue risorse e i tuoi risultati. Gli ingegneri possono utilizzare l'API per creare soluzioni personalizzate di reporting e monitoraggio.
Estendi le funzionalità con moduli di rilevamento personalizzati
Se hai bisogno di rilevatori che soddisfino le esigenze specifiche della tua organizzazione, valuta la possibilità di creare moduli personalizzati:
- I moduli personalizzati per Security Health Analytics consentono di definire le tue regole di rilevamento per vulnerabilità, configurazioni errate o violazioni della conformità.
- I moduli personalizzati per Event Threat Detection consentono di monitorare il flusso di Logging per rilevare eventuali minacce in base ai parametri da te specificati.
Rivedi e gestisci le risorse
Security Command Center visualizza tutti i tuoi asset nella pagina Asset della console Google Cloud, dove puoi eseguire query sugli asset e visualizzare le relative informazioni, tra cui i risultati correlati, la cronologia delle modifiche, i metadati e i criteri IAM.
Le informazioni degli asset nella pagina Asset vengono lette da Cloud Asset Inventory. Per ricevere notifiche in tempo reale sulle modifiche alle risorse e ai criteri, crea e iscriviti a un feed.
Per maggiori informazioni, consulta la pagina Risorse.
Rispondi rapidamente a vulnerabilità e minacce
I risultati di Security Command Center forniscono record dei problemi di sicurezza rilevati, con dettagli esaustivi sulle risorse interessate e istruzioni dettagliate consigliate per indagare e risolvere vulnerabilità e minacce.
I risultati delle vulnerabilità descrivono la vulnerabilità o la configurazione rilevata, calcolano il punteggio di esposizione all'attacco e una stima della gravità. I risultati delle vulnerabilità ti avvisano anche in caso di violazioni degli standard o dei benchmark di sicurezza. Per maggiori informazioni, vedi Benchmark supportati.
Con Security Command Center Premium, i risultati relativi alle vulnerabilità includono anche informazioni di Mandiant sulla sfruttabilità e sul potenziale impatto della vulnerabilità in base al record CVE corrispondente della vulnerabilità. Puoi usare queste informazioni per correggere la vulnerabilità con priorità. Per maggiori informazioni, consulta Priorità in base all'impatto e alla sfruttabilità delle CVE.
I risultati delle minacce includono i dati del framework MITRE ATT&CK, che spiega le tecniche per gli attacchi alle risorse cloud e fornisce indicazioni per porvi rimedio, e VirusTotal, un servizio di proprietà di Alphabet che fornisce contesto su file, URL, domini e indirizzi IP potenzialmente dannosi.
Le seguenti guide sono un punto di partenza per aiutarti a risolvere i problemi e proteggere le tue risorse.
- Correzione dei risultati di Security Health Analytics
- Correzione dei risultati di Web Security Scanner
- Risultati della scansione e correzioni di Rapid Vulnerability Detection
- Analisi e risposta alle minacce
Regolare il volume dei risultati
Per controllare il volume dei risultati in Security Command Center, puoi disattivare manualmente o in modo programmatico singoli risultati oppure creare regole di disattivazione che disattivano automaticamente i risultati attuali e futuri in base ai filtri che definisci.
I risultati disattivati vengono nascosti e silenziati, ma continuano a essere registrati per scopi di controllo e conformità. Puoi visualizzare i risultati disattivati o riattivarli in qualsiasi momento. Per scoprire di più, consulta Disattivazione dei risultati in Security Command Center.
La disattivazione dei risultati è l'approccio consigliato e più efficace per controllare il volume dei risultati. In alternativa, puoi utilizzare i contrassegni di sicurezza per aggiungere asset alle liste consentite.
Ogni rilevatore Security Health Analytics ha un tipo di contrassegno dedicato che consente di escludere le risorse contrassegnate dal criterio di rilevamento. Questa funzionalità è utile quando non vuoi che vengano creati risultati per risorse o progetti specifici.
Per scoprire di più sui contrassegni di sicurezza, consulta Utilizzare i contrassegni di sicurezza.
Configurare le notifiche
Le notifiche ti avvisano quasi in tempo reale dei risultati nuovi e aggiornati e, con le notifiche via email e chat, possono farlo anche se non hai eseguito l'accesso a Security Command Center. Scopri di più informazioni, consulta la pagina Configurare le notifiche sulla ricerca.
Security Command Center Premium consente di creare esportazioni continue, che semplificano il processo di esportazione dei risultati in Pub/Sub.
Esplora Cloud Functions
Cloud Functions è un servizio Google Cloud che consente di connettere servizi cloud ed eseguire codice in risposta agli eventi. Puoi utilizzare l'API Notifications e Cloud Functions per inviare i risultati a sistemi di correzione e gestione dei ticket di terze parti o eseguire azioni automatiche, come la chiusura automatica dei risultati.
Per iniziare, visita il repository open source di Security Command Center per il codice Cloud Functions. Il repository contiene soluzioni per aiutarti a eseguire azioni automatizzate sui risultati della sicurezza.
Mantieni attive le comunicazioni
Security Command Center viene aggiornato regolarmente con nuovi rilevatori e nuove funzionalità. Le note di rilascio forniscono informazioni sulle modifiche del prodotto e sugli aggiornamenti alla documentazione. Tuttavia, puoi impostare le preferenze di comunicazione nella console Google Cloud per ricevere aggiornamenti di prodotto e promozioni speciali via email o dispositivo mobile. Puoi anche farci sapere se ti interessa partecipare a sondaggi per gli utenti e programmi pilota.
In caso di commenti o domande, puoi fornire un feedback parlando con il tuo commerciale, contattando il personale dell'assistenza Cloud o segnalando un bug.
Passaggi successivi
Scopri di più sull'utilizzo di Security Command Center.
Scopri come configurare i servizi Security Command Center