Nesta página, você verá recomendações para gerenciar os serviços e recursos do Security Command Center a fim de aproveitar o produto ao máximo.
O Security Command Center é uma plataforma eficiente para monitoramento de dados e riscos de segurança da organização ou de projetos individuais. O Security Command Center foi projetado para fornecer proteção máxima com configuração mínima necessária. Mas há etapas que você pode seguir para personalizar a plataforma de acordo com seu fluxo de trabalho e garantir que seus recursos estejam protegidos.
Ativar o nível Premium do Security Command Center
O nível Premium do Security Command Center tem muito mais recursos do que o nível Standard.
O Security Command Center Standard incluiAnálise de integridade de segurança .Detecção de anomalias e verificações não gerenciadasWeb Security Scanner , que juntos detectam vulnerabilidades e anomalias comuns no seu site ou projetos de aplicativo. No nível Standard, o Security Health Analytics inclui apenas um grupo básico de detectores de média e alta gravidade.
O Security Command Center Premium inclui serviços de nível Standard e adiciona relatórios de conformidade, verificações gerenciadas do Web Security Scanner, todos os detectores de Security Health Analytics e os seguintes serviços premium exclusivos, em serviços:
- Detecção rápida de vulnerabilidadesVisualização
- Detecção de ameaças a máquinas virtuais
- Container Threat Detection
- Event Threat Detection
- Postura de segurança
O Security Command Center Premium também inclui pontuações de exposição a ataques, que podem ser usadas para priorizar descobertas de vulnerabilidades e configurações incorretas, além de caminhos de ataque interativos que ajudam a visualizar como um possível invasor pode acessar seus recursos de alto valor.
É possível ativar o nível Premium para organizações ou projetos individuais no console do Google Cloud.
Com as ativações para envolvidos no projeto, determinados recursos que exigem acesso no nível da organização não estão disponíveis, independentemente do nível. Para mais informações, consulte Disponibilidade de recursos com ativações para envolvidos no projeto.
As ativações do nível Premium são faturadas com base no consumo de recursos, a menos que você compre uma assinatura no nível da organização. Para saber mais informações, consulte Preços.
Para mais informações sobre como ativar qualquer nível do Security Command Center, consulte Visão geral da ativação do Security Command Center.
Para mais informações sobre como usar o Security Command Center para melhorar sua postura de segurança, consulte:
- Visão geral do Security Command Center
- Assumir o controle da segurança com o Security Command Center
- Visão geral da postura de segurança
Ativar todos os serviços integrados
Recomendamos ativar todos os serviços nativos, sujeitos às práticas recomendadas de serviços individuais.
Se o Security Command Center já estiver ativado, é possível confirmar quais serviços estão ativados pela página Configurações.
É possível desativar qualquer serviço, mas é melhor manter todos os serviços do nível sempre ativados. Manter todos os serviços ativados permite que você aproveite as atualizações contínuas e garante que proteções sejam fornecidas para recursos novos e alterados.
Antes de ativar a Detecção rápida de vulnerabilidades ou o Web Security Scanner em produção, revise as informações de práticas recomendadas deles:
- Práticas recomendadas para Detecção rápida de vulnerabilidades
- Práticas recomendadas do Web Security Scanner
Por exemplo, durante as verificações, a Detecção rápida de vulnerabilidades executa ações que podem afetar negativamente os recursos de produção, como acessar interfaces de administrador e tentar fazer login nas VMs. Como prática recomendada, use a Detecção rápida de vulnerabilidades para verificar recursos em ambientes que não sejam de produção, antes de implantá-los na produção.
Além disso, considere ativar serviços integrados (detecção de anomalias, Prevenção contra perda de dados do Cloud e Google Cloud Armor), explorandoserviços de segurança de terceiros e ativando Cloud Logging para a detecção de ameaças a eventos e o Container Threat Detection. Dependendo da quantidade de informações, os custos de proteção de dados confidenciais e do Google Cloud Armor podem ser significativos. Siga as práticas recomendadas para manter os custos de proteção de dados confidenciais sob controle e leia o guia de preços do Google Cloud Armor.
Para saber mais sobre os serviços do Security Command Center, assista aos seguintes vídeos:
- Primeiros passos com o Event Threat Detection
- Primeiros passos com o Container Threat Detection
- Primeiros passos com o Web Security Scanner
- Primeiros passos com o Security Health Analytics
- Primeiros passos com o Cloud Data Loss Prevention no Security Command Center
Ativar registros para o Event Threat Detection
Se você usa o Event Threat Detection, pode ser necessário ativar determinados registros verificados pelo Event Threat Detection. Embora alguns registros fiquem sempre ativados, como os registros de auditoria de atividade de administrador do Cloud Logging, outros registros, como a maioria dos registros de auditoria de acesso a dados, ficam desativados por padrão e precisam ser ativados antes que o Event Threat Detection possa verificá-los.
Alguns registros que precisam ser ativados são:
- Registros de auditoria de acesso a dados do Cloud Logging
- Registros do Google Workspace (apenas ativações no nível da organização)
Os registros que precisam ser ativados dependem do seguinte:
- Dos serviços do Google Cloud que você está usando
- Das necessidades de segurança da empresa
O Logging pode cobrar pela ingestão e pelo armazenamento de determinados registros. Antes de ativar quaisquer registros, consulte Preços do Logging.
Depois que o registro é ativado, o Event Threat Detection começa a verificá-lo automaticamente.
Para informações mais detalhadas sobre quais módulos de detecção exigem quais registros e quais desses registros precisam ser ativados, consulte Registros que precisam ser ativados.
Definir seu conjunto de recursos de alto valor
Para ajudar a priorizar as descobertas de vulnerabilidade e configurações incorretas que exponham os recursos mais importantes a serem protegidos, especifique quais dos seus recursos de alto valor pertencem ao seu conjunto de recursos de alto valor
As descobertas que expõem os recursos no seu conjunto de recursos de alto valor recebem pontuações de exposição a ataques mais altas.
Para especificar os recursos que pertencem ao seu conjunto de recursos de alto valor, crie configurações de valor de recursos. Até que você crie a primeira configuração de valor de recursos, o Security Command Center usa um conjunto de recursos de alto valor padrão que não é personalizado com suas prioridades de segurança.
Usar o Security Command Center no console do Google Cloud
No Console do Google Cloud, o Security Command Center fornece recursos e elementos visuais que ainda não estão disponíveis na API Security Command Center. Os recursos, incluindo uma interface intuitiva, gráficos formatados, relatórios de conformidade e hierarquias visuais de recursos, fornecem maior insight sobre sua organização. Para mais informações, consulte Como usar o Security Command Center no console do Google Cloud.
Estender a funcionalidade com a API e o gcloud
Se você precisar de acesso programático, teste a API Security Command Center, que permite acessar e controlar seu ambiente do Security Command Center. É possível usar o API Explorer, chamado "Testar esta API" em painéis nas páginas de referência da API, para explorar interativamente a API Security Command Center sem uma chave de API. É possível conferir os métodos e parâmetros disponíveis, executar solicitações e ver respostas em tempo real.
Com a API Security Command Center, analistas e administradores gerenciam os recursos e as descobertas. Os engenheiros podem usar a API para criar soluções personalizadas de relatórios e monitoramento. Em um exemplo, veja como os arquitetos de soluções usaram a API Security Command Center para denunciar violações de auditoria do controlador de políticas no Security Command Center.
Estender a funcionalidade com módulos de detecção personalizados
Se você precisar de detectores que atendam às necessidades exclusivas da sua organização, considere criar módulos personalizados:
- Os módulos personalizados da Análise de integridade da segurança permitem definir regras de detecção próprias para vulnerabilidades, configurações incorretas ou violações de conformidade.
- Os módulos personalizados do Event Threat Detection permitem monitorar o fluxo do Logging quanto a ameaças com base nos parâmetros especificados.
Revisar e gerenciar recursos
O Security Command Center exibe todos os seus recursos na página Recursos no console do Google Cloud, em que é possível consultar seus recursos e visualizar informações sobre eles, incluindo descobertas relacionadas, o histórico de alterações. , os metadados e as políticas do IAM.
As informações do recurso na página Recursos são lidas em Inventário de recursos do Cloud. Para receber notificações em tempo real sobre alterações de recursos e políticas, crie e assine um feed.
Para mais informações, consulte a página Recursos.
Responda rapidamente a vulnerabilidades e ameaças
As descobertas do Security Command Center fornecem registros dos problemas de segurança detectados que incluem detalhes completos sobre os recursos afetados e instruções sugeridas detalhadas para investigação e correção de vulnerabilidades e ameaças.
As descobertas de vulnerabilidades descrevem a vulnerabilidade ou configuração incorreta detectada, calculam uma pontuação de exposição a ataques e uma gravidade estimada. As descobertas de vulnerabilidades também alertam você sobre violações de padrões de segurança ou comparativos de mercado. Para ver mais informações, consulte Comparativos de mercado compatíveis.
Com o Security Command Center Premium, as descobertas de vulnerabilidade também incluem informações da Mandiant sobre a capacidade de exploração e o possível impacto da vulnerabilidade com base no registro de CVE correspondente à vulnerabilidade. Use essas informações para ajudar a priorizar a correção da vulnerabilidade. Para mais informações, consulte Priorizar por impacto e vulnerabilidade a exploração da CVE.
As descobertas de ameaças incluem dados do framework MITRE ATT&CK, que explica as técnicas de ataques contra recursos da nuvem, e fornece orientações para remediação, e o VirusTotal, uma Serviço de propriedade da Alphabet que fornece contexto sobre arquivos, URLs, domínios e endereços IP potencialmente mal-intencionados.
Os guias a seguir são um ponto de partida para ajudar você a corrigir problemas e proteger seus recursos.
- Como corrigir as descobertas da análise de integridade de segurança
- Como corrigir descobertas do Web Security Scanner
- Detecção e remediação rápidas da verificação de vulnerabilidades
- Investigar e responder a ameaças
Controlar o volume de descobertas
Para controlar o volume de descobertas no Security Command Center, você pode silenciar de maneira manual ou programática as descobertas individuais ou criar regras de silenciamento que desativam automaticamente as descobertas atuais e futuras com base nos filtros definidos.
As descobertas silenciadas são ocultas e silenciadas, mas continuam sendo registradas para fins de auditoria e conformidade. Você pode ver as descobertas silenciadas ou ativá-las a qualquer momento. Para saber mais, consulte Ignorar descobertas no Security Command Center.
Ignorar as descobertas é a abordagem recomendada e mais eficaz para controlar o volume de descobertas. Você também pode usar marcas de segurança para adicionar recursos a listas de permissões.
Cada detector do Security Health Analytics tem um tipo de marcação dedicado que permite excluir recursos marcados da política de detecção. Esse recurso é útil quando você não quer que as descobertas sejam criadas para recursos ou projetos específicos.
Para saber mais sobre marcações de segurança, consulte Como usar marcações de segurança.
Configurar notificações
As notificações alertam você sobre descobertas novas e atualizadas quase em tempo real e, com notificações por e-mail e chat, podem fazer isso mesmo quando você não está conectado ao Security Command Center. Saiba mais em Como configurar notificações de localização.
O Security Command Center Premium permite criar exportações contínuas, o que simplifica o processo de exportação de descobertas para o Pub/Sub.
Conheça o Cloud Functions
O Cloud Functions é um serviço do Google Cloud que permite conectar serviços de nuvem e executar código em resposta a eventos. Use a API Notificações e o Cloud Functions para enviar descobertas para sistemas de correção e tíquetes de terceiros ou executar ações automatizadas, como o encerramento automático de descobertas.
Para começar, acesse o repositório de código aberto do Cloud Functions code no Security Command Center. O repositório contém soluções para ajudar você a tomar ações automatizadas sobre as descobertas de segurança.
Manter as comunicações ativadas
O Security Command Center é atualizado regularmente com novos detectores e recursos. As Notas de lançamento informam sobre alterações de produtos e atualizações na documentação. No entanto, é possível definir suas preferências de comunicação no Console do Google Cloud para receber atualizações de produtos e promoções especiais por e-mail ou dispositivo móvel. Você também pode informar se tem interesse em participar de pesquisas de usuários e programas piloto.
Se você tiver comentários ou perguntas, fale com seu vendedor, entre em contato com nossa equipe do Suporte do Cloud ou registre um bug.
A seguir
Saiba mais sobre como usar o Security Command Center.
Saiba como configurar o Security Command Center.