Questa pagina fornisce suggerimenti per la gestione dei servizi e delle funzionalità di Security Command Center per aiutarti a ottenere il massimo dal prodotto.
Security Command Center è una potente piattaforma per il monitoraggio dei dati e dei rischi per la sicurezza nell'intera organizzazione o nei singoli progetti. Security Command Center è progettato per fornire la massima protezione utilizzando una configurazione minima. Tuttavia, ci sono passaggi che puoi seguire per adattare la piattaforma al tuo flusso di lavoro e garantire che le risorse siano protette.
Abilita il livello Premium di Security Command Center
Il livello Premium di Security Command Center include molte più funzionalità rispetto al livello Standard.
Security Command Center Standard include Security Health Analytics, Anomaly Detection e analisi non gestite in Web Security Scanner, che insieme rilevano vulnerabilità e anomalie comuni nei progetti dei tuoi siti web o delle tue applicazioni. Nel livello Standard, Security Health Analytics include solo un gruppo base di rilevatori di media e alta gravità.
Security Command Center Premium include servizi di livello Standard e aggiunge report di conformità, analisi di Web Security Scanner gestite, tutti i rilevatori di Security Health Analytics e i seguenti servizi integrati solo premium:
- Rilevamento rapido delle vulnerabilitàAnteprima
- Rilevamento delle minacce virtuali (Virtual Machine Threat Detection)
- Rilevamento delle minacce ai container
- Rilevamento delle minacce agli eventi
- Postura di sicurezza
Security Command Center Premium include anche punteggi di esposizione agli attacchi che puoi utilizzare per stabilire la priorità dei risultati relativi a vulnerabilità ed errori di configurazione, nonché percorsi di attacco interattivi, che ti consentono di visualizzare il modo in cui un potenziale utente malintenzionato potrebbe accedere alle tue risorse di alto valore.
Puoi attivare il livello Premium per le organizzazioni o i singoli progetti nella console Google Cloud.
Con le attivazioni a livello di progetto, alcune funzionalità che richiedono l'accesso a livello di organizzazione non sono disponibili, indipendentemente dal livello. Per ulteriori informazioni, consulta Disponibilità delle funzionalità con attivazioni a livello di progetto.
Le attivazioni del livello Premium vengono fatturate in base al consumo delle risorse, a meno che non acquisti un abbonamento a livello di organizzazione. Per ulteriori informazioni, consulta la sezione Prezzi.
Per saperne di più sull'attivazione di entrambi i livelli di Security Command Center, consulta la Panoramica dell'attivazione di Security Command Center.
Per saperne di più sull'utilizzo di Security Command Center per migliorare la postura di sicurezza, vedi:
- Panoramica di Security Command Center
- Assumi il controllo della sicurezza con Security Command Center
- Panoramica della postura di sicurezza
Abilita tutti i servizi integrati
Consigliamo di abilitare tutti i servizi integrati, in base ai suggerimenti di best practice dei singoli servizi.
Se Security Command Center è già attivato, puoi confermare quali servizi sono abilitati nella pagina Impostazioni.
Puoi disabilitare qualsiasi servizio, ma è meglio che tutti i servizi del tuo livello siano sempre attivati. Mantenere tutti i servizi abilitati ti consente di sfruttare aggiornamenti continui e di garantire che vengano fornite protezioni per le risorse nuove e modificate.
Prima di abilitare Rapid Vulnerability Detection o Web Security Scanner in produzione, rivedi le informazioni sulle best practice:
Ad esempio, durante le analisi, Rapid Vulnerability Detection esegue azioni che possono influire negativamente sulle risorse di produzione, ad esempio l'accesso alle interfacce di amministrazione e il tentativo di accedere alle VM. Come best practice, utilizza Rapid Vulnerability Detection per scansionare le risorse in ambienti non di produzione prima di eseguirne il deployment in produzione.
Inoltre, valuta la possibilità di abilitare i servizi integrati (Rilevamento di anomalie, Sensitive Data Protection e Google Cloud Armor), di esplorare i servizi di sicurezza di terze parti e di attivare Cloud Logging per Event Threat Detection e Container Threat Detection. A seconda della quantità di informazioni, i costi di Sensitive Data Protection e Google Cloud Armor possono essere significativi. Segui le best practice per tenere sotto controllo i costi di Sensitive Data Protection e leggi la guida ai prezzi di Google Cloud Armor.
Per scoprire di più sui servizi di Security Command Center, guarda i seguenti video:
- Guida introduttiva a Event Threat Detection
- Introduzione a Container Threat Detection
- Guida introduttiva a Web Security Scanner
- Introduzione a Security Health Analytics
- Introduzione a Cloud Data Loss Prevention su Security Command Center
Abilita i log per Event Threat Detection
Se utilizzi Event Threat Detection, potrebbe essere necessario attivare determinati log che Event Threat Detection analizza. Sebbene alcuni log siano sempre attivi, come gli audit log delle attività di amministrazione di Cloud Logging, altri log, come la maggior parte degli audit log di accesso ai dati, sono disattivati per impostazione predefinita e devono essere abilitati prima che Event Threat Detection possa analizzarli.
Ecco alcuni dei log che ti consigliamo di abilitare:
- Audit log degli accessi ai dati di Cloud Logging
- Log di Google Workspace (solo attivazioni a livello di organizzazione)
I log da abilitare dipendono da:
- I servizi Google Cloud che utilizzi
- Le esigenze di sicurezza della tua azienda
Logging potrebbe addebitare costi per l'importazione e l'archiviazione di determinati log. Prima di abilitare i log, consulta i prezzi di Logging.
Dopo aver abilitato un log, Event Threat Detection avvia automaticamente la scansione.
Per informazioni più dettagliate su quali moduli di rilevamento richiedono quali log e quali di questi devi attivare, consulta Log da attivare.
Definisci il set di risorse di alto valore
Per stabilire la priorità dei risultati relativi a vulnerabilità ed errori di configurazione che espongono le risorse più importanti da proteggere, specifica quali delle tue risorse di alto valore appartengono al tuo set di risorse di alto valore.
I risultati che espongono le risorse del tuo set di risorse di alto valore ricevono punteggi di esposizione agli attacchi più elevati.
Puoi specificare le risorse che appartengono al tuo set di risorse di alto valore creando configurazioni dei valori delle risorse. Finché non crei la prima configurazione dei valori delle risorse, Security Command Center utilizza un set di risorse predefinito di alto valore non personalizzato in base alle tue priorità di sicurezza.
Utilizzare Security Command Center nella console Google Cloud
Nella console Google Cloud, Security Command Center fornisce funzionalità ed elementi visivi non ancora disponibili nell'API Security Command Center. Le funzionalità, tra cui un'interfaccia intuitiva, grafici formattati, report di conformità e gerarchie visive di risorse, offrono maggiori informazioni sulla tua organizzazione. Per ulteriori informazioni, consulta la pagina relativa all'utilizzo di Security Command Center nella console Google Cloud.
Estendi la funzionalità con l'API e gcloud
Se hai bisogno dell'accesso programmatico, prova l'API Security Command Center, che ti consente di accedere al tuo ambiente Security Command Center e di controllarlo. Puoi utilizzare Explorer API, etichettato come "Prova questa API" nei riquadri delle pagine di riferimento delle API, per esplorare in modo interattivo l'API Security Command Center senza una chiave API. Puoi controllare i metodi e i parametri disponibili, eseguire le richieste e visualizzare le risposte in tempo reale.
L'API Security Command Center consente ad analisti e amministratori di gestire le risorse e i risultati. Gli ingegneri possono usare l'API per creare soluzioni di reporting e monitoraggio personalizzate. In un esempio, scopri come i nostri Solutions Architect hanno utilizzato l'API Security Command Center per segnalare le violazioni dell'audit di Policy Controller in Security Command Center.
Estensione delle funzionalità con moduli di rilevamento personalizzati
Se hai bisogno di rilevatori che soddisfino le esigenze specifiche della tua organizzazione, valuta la possibilità di creare moduli personalizzati:
- I moduli personalizzati per Security Health Analytics consentono di definire le tue regole di rilevamento per vulnerabilità, configurazioni errate o violazioni della conformità.
- I moduli personalizzati per Event Threat Detection consentono di monitorare il flusso di Logging per rilevare eventuali minacce in base a parametri da te specificati.
Rivedi e gestisci le risorse
Security Command Center visualizza tutti i tuoi asset nella pagina Asset della console Google Cloud, dove puoi eseguire query sugli asset e visualizzare informazioni a riguardo, inclusi i risultati correlati, la cronologia delle modifiche, i metadati e i criteri IAM.
Le informazioni sugli asset nella pagina Asset provengono da Cloud Asset Inventory. Per ricevere notifiche in tempo reale sulle modifiche alle risorse e ai criteri, crea e iscriviti a un feed.
Per ulteriori informazioni, consulta la pagina Risorse.
Rispondi rapidamente a vulnerabilità e minacce
I risultati di Security Command Center forniscono record dei problemi di sicurezza rilevati che includono dettagli approfonditi sulle risorse interessate e istruzioni suggerite passo passo per analizzare e risolvere vulnerabilità e minacce.
I risultati relativi alle vulnerabilità descrivono la vulnerabilità o l'errata configurazione rilevata, calcolano un punteggio di esposizione agli attacchi e una gravità stimata. I risultati relativi alle vulnerabilità ti avvisano anche di violazioni degli standard di sicurezza o dei benchmark. Per maggiori informazioni, consulta Benchmark supportati.
Con Security Command Center Premium, i risultati di vulnerabilità includono anche informazioni di Mandiant sulla sfruttabilità e sul potenziale impatto della vulnerabilità in base al record CVE corrispondente alla vulnerabilità. Puoi usare queste informazioni per stabilire le priorità della correzione della vulnerabilità. Per maggiori informazioni, consulta Assegna priorità in base a impatto e sfruttabilità CVE.
I risultati delle minacce includono i dati del framework MITRE ATT&CK, che spiega le tecniche per gli attacchi alle risorse cloud e fornisce indicazioni di correzione, e VirusTotal, un servizio di proprietà di Alphabet che fornisce contesto su file, URL, domini e indirizzi IP potenzialmente dannosi.
Le seguenti guide sono un punto di partenza per aiutarti a risolvere i problemi e a proteggere le tue risorse.
- Correzione dei risultati di Security Health Analytics
- Correzione dei risultati di Web Security Scanner
- Risultati della scansione di Rapida Vulnerability Detection e relative soluzioni
- Esaminare e rispondere alle minacce
Regolare il volume dei risultati
Per controllare il volume dei risultati in Security Command Center, puoi disattivare manualmente o a livello di programmazione i singoli risultati oppure creare regole di disattivazione che disattivano automaticamente i risultati attuali e quelli futuri in base ai filtri che definisci.
I risultati con audio disattivato vengono nascosti e silenziati, ma continuano a essere registrati per scopi di controllo e conformità. Puoi visualizzare i risultati disattivati o riattivarli in qualsiasi momento. Per scoprire di più, consulta Disattivare i risultati in Security Command Center.
La disattivazione dei risultati è l'approccio consigliato e più efficace per controllare il volume di ricerca. In alternativa, puoi utilizzare i contrassegni di sicurezza per aggiungere asset alle liste consentite.
Ogni rilevatore Security Health Analytics dispone di un tipo di contrassegno dedicato che consente di escludere le risorse contrassegnate dal criterio di rilevamento. Questa funzionalità è utile quando non vuoi che vengano creati risultati per risorse o progetti specifici.
Per scoprire di più sui contrassegni di sicurezza, consulta Utilizzare i contrassegni di sicurezza.
Configurare le notifiche
Le notifiche ti avvisano quasi in tempo reale dei risultati nuovi e aggiornati e, con notifiche via email e chat, possono farlo anche quando non hai eseguito l'accesso a Security Command Center. Scopri di più nella pagina Configurare le notifiche di rilevamento.
Security Command Center Premium consente di creare esportazioni continue, che semplificano il processo di esportazione dei risultati in Pub/Sub.
Esplora Cloud Functions
Cloud Functions è un servizio Google Cloud che consente di connettere servizi cloud ed eseguire codice in risposta agli eventi. Puoi utilizzare l'API Notifications e Cloud Functions per inviare risultati a sistemi di correzione e gestione dei ticket di terze parti o eseguire azioni automatizzate, come la chiusura automatica dei risultati.
Per iniziare, visita il repository open source di Security Command Center di codice Cloud Functions. Il repository contiene soluzioni per aiutarti a eseguire azioni automatizzate sui risultati relativi alla sicurezza.
Mantieni attive le comunicazioni
Security Command Center viene aggiornato regolarmente con nuovi rilevatori e nuove funzionalità. Le note di rilascio ti informano sulle modifiche al prodotto e sugli aggiornamenti alla documentazione. Tuttavia, puoi impostare le preferenze di comunicazione nella console Google Cloud per ricevere aggiornamenti sui prodotti e promozioni speciali via email o tramite dispositivo mobile. Puoi anche farci sapere se ti interessa partecipare a sondaggi per gli utenti e programmi pilota.
In caso di commenti o domande, puoi fornire un feedback parlando con il tuo venditore, contattando il nostro personale di assistenza Cloud o segnalando un bug.
Passaggi successivi
Scopri di più sull'utilizzo di Security Command Center.
Scopri come configurare Security Command Center