Optimiser Security Command Center

Cet article fournit des recommandations pour la gestion des services et des fonctionnalités de Security Command Center afin de vous aider à tirer le meilleur parti du produit.

Security Command Center est une plate-forme puissante qui permet de surveiller les données et les risques de sécurité au sein de votre organisation. Elle est conçue pour offrir une protection maximale tout en nécessitant une configuration minimale. Toutefois, vous pouvez prendre des mesures pour adapter la plate-forme à votre workflow et vous assurer que vos ressources sont protégées.

Activer Security Command Center Premium

Security Command Center Premium inclut bien plus de fonctionnalités que le niveau Standard.

Security Command Center Standard comprend Security Health Analytics, la détection d'anomalies et les analyses non gérées dansWeb Security Scanner. Ensemble, ces composants permettent de détecter les failles et anomalies courantes sur votre site Web ou dans vos projets d'application. Au niveau Standard, Security Health Analytics n'inclut qu'un groupe de base de détecteurs de gravité moyenne et élevée.

Security Command Center Premium comprend des services de niveau Standard et ajoute des rapports de conformité, des analyses gérées par Web Security Scanner, tous les détecteurs Security Health Analytics, ainsi que les services intégrés suivants, Premium uniquement:

Pour vous abonner au niveau Premium, contactez votre conseiller commercial ou remplissez notre formulaire de demande. Si vous ne pensez pas avoir besoin de la version Premium, vous pouvez passer à la version standard.

Les liens suivants fournissent des informations supplémentaires sur l'utilisation de Security Command Center pour améliorer votre stratégie de sécurité :

Activer tous les services intégrés

Par défaut, Security Command Center active tous les services intégrés, au niveau que vous avez sélectionné, après l'intégration. Vous pouvez désactiver n'importe quel service, mais il est préférable de laisser tous les services de votre niveau activés en permanence (tenez compte des bonnes pratiques lorsque vous utilisez Web Security Scanner sur des ressources de production). Le fait de laisser tous les services activés vous permet de bénéficier de mises à jour continues et de vous assurer que des protections sont fournies pour les ressources nouvelles et modifiées.

Vous pouvez également envisager d'activer les services intégrés (Détection d'anomalies, Cloud Data Loss Prevention et Google Cloud Armor), de découvrir plus en détail les services de sécurité tiers et d'activerCloud Logging pour Event Threat Detection et Container Threat Detection. Selon le volume d'informations, les coûts de Cloud DLP et de Google Cloud Armor peuvent être importants. Suivez les bonnes pratiques pour contrôler les coûts Cloud DLP et consultez le guide des tarifs de Google Cloud Armor.

Pour en savoir plus sur les services Security Command Center, regardez les vidéos suivantes :

Utiliser le tableau de bord

Le tableau de bord Security Command Center fournit des fonctionnalités et des éléments visuels qui ne sont pas encore disponibles dans l'API Security Command Center. Les fonctionnalités, qui incluent une interface intuitive, des graphiques formatés, des rapports de conformité et des hiérarchies visuelles des ressources, vous permettent de mieux comprendre votre organisation. Pour en savoir plus sur les fonctionnalités du tableau de bord, consultez la page Utiliser le tableau de bord Security Command Center.

Étendre les fonctionnalités avec l'API et gcloud

Si vous avez besoin d'un accès automatisé, essayez l'API Security Command Center, qui vous permet d'accéder à votre environnement Security Command Center et de le contrôler. Vous pouvez utiliser l'explorateur d'API ("Essayer cette API" dans les panneaux des pages de référence de l'API) pour explorer de manière interactive l'API Security Command Center sans clé API. Vous pouvez vérifier les méthodes et les paramètres disponibles, exécuter des requêtes et afficher les réponses en temps réel.

L'API Security Command Center permet aux analystes et aux administrateurs de gérer vos ressources et vos résultats. Les ingénieurs peuvent utiliser l'API pour créer des solutions personnalisées de surveillance et de création de rapports. Dans un exemple, découvrez comment nos architectes de solutions ont utilisé l'API Security Command Center pour signaler les violations des règles d'audit dans Policy Command Center.

Vérifier et gérer les ressources

Security Command Center ingère des données sur les éléments compatibles à partir de l'inventaire des éléments cloud et vous permet de découvrir et d'afficher vos ressources Google Cloud dans Google Cloud Console. La page Éléments du tableau de bord Security Command Center vous permet d'examiner l'historique des analyses de découverte et d'identifier les éléments nouveaux, modifiés ou supprimés. Vous pouvez également rechercher les ressources sous-utilisées, telles que les machines virtuelles ou les adresses IP inactives. Des ressources non gérées peuvent augmenter vos coûts et élargir la surface d'attaque de votre organisation.

Pour recevoir des notifications en temps réel concernant les modifications de ressources et de règles, créez un flux et abonnez-vous.

Pour obtenir plus de conseils sur la gestion des ressources, consultez la page Gérer vos éléments.

Répondre rapidement aux failles et aux menaces

Security Command Center fournit des informations détaillées sur les ressources affectées et des instructions détaillées pour identifier et corriger les failles et les menaces.

Les résultats concernant les failles vous avertissent en cas de non-respect des benchmarks de sécurité. Les normes de conformité acceptées incluent la version 1.0.0 à 1.2.0 du benchmark CIS Google Cloud Computing Foundations (CIS Google Cloud Foundation 1.0), la version 3.2.1 de la norme de sécurité des données de l'industrie des cartes de paiement (PCI-DSS v3.2.1), le OWASP Top Ten, la norme National Institute of Standards and Technology 800-53 (NIST 800-53) et la norme International Organization for Standardization 27001 (ISO 27001)

Les résultats de menaces incluent les données du framework MITRE ATT&CK, qui explique les techniques d'attaque contre les ressources cloud et fournit des conseils de résolution des problèmes, ainsi que VirusTotal, un service appartenant à Alphabet qui fournit du contexte sur des fichiers, des URL, des domaines et des adresses IP potentiellement malveillants.

Les guides suivants constituent un point de départ pour vous aider à résoudre les problèmes et à protéger vos ressources.

Contrôler le volume des résultats

Pour contrôler le volume des résultats dans Security Command Center, vous pouvez désactiver manuellement ou automatiquement des résultats individuels, ou créer des règles de blocage qui désactivent automatiquement les résultats actuels et futurs en fonction des filtres que vous définissez.

Les résultats ignorés sont masqués et mis sous silence, mais ils sont toujours consignés à des fins d'audit et de conformité. Vous pouvez afficher les résultats ignorés ou les réactiver à tout moment. Pour en savoir plus, consultez la section Ignorer les résultats dans Security Command Center.

La désactivation des résultats est l'approche recommandée et la plus efficace pour contrôler le volume de résultats. Vous pouvez également utiliser des marques de sécurité pour ajouter des éléments à des listes d'autorisation.

Chaque détecteur de Security Health Analytics comporte un type de marque dédié qui vous permet d'exclure les ressources marquées de la règle de détection. Cette fonctionnalité est utile lorsque vous ne souhaitez pas générer de résultats pour des ressources ou des projets spécifiques.

Pour en savoir plus sur les marques de sécurité, consultez la page Utiliser des marques de sécurité.

Définir les notifications

Les notifications vous informent des résultats nouveaux et mis à jour en quasi-temps réel et, grâce aux notifications par e-mail et par chat, peuvent le faire même lorsque vous n'êtes pas connecté à Security Command Center. Pour en savoir plus, consultez la page Configurer des notifications de résultat.

Security Command Center Premium vous permet de créer des exportations continues afin de simplifier le processus d'exportation des résultats vers Pub/Sub.

Découvrir Cloud Functions

Cloud Functions est un service Google Cloud qui vous permet de connecter des services cloud et d'exécuter du code en réponse à des événements. Vous pouvez utiliser l'API Notifications et Cloud Functions pour envoyer des résultats à des systèmes tiers de remédiation et d'assistance, ou pour effectuer des actions automatisées comme la fermeture automatique des résultats.

Pour commencer, accédez au dépôt Open Source du code Cloud Functions de Security Command Center. Le dépôt contient des solutions permettant d'effectuer des actions automatisées sur les résultats de sécurité.

Laisser les communications activées

Security Command Center est régulièrement mis à jour avec de nouveaux détecteurs et de nouvelles fonctionnalités. Les notes de version vous informent des modifications apportées au produit et des mises à jour de la documentation. Vous pouvez toutefois définir vos préférences de communication dans la console Google Cloud pour recevoir des informations sur les produits et promotions spéciales, par e-mail ou sur mobile. Vous pouvez également nous indiquer si vous souhaitez participer aux enquêtes utilisateur et aux programmes pilotes.

Si vous avez des commentaires ou des questions, vous pouvez en faire part à votre commercial, à notre équipe d'assistance Cloud ou en signalant un bug.

Étapes suivantes