Consoles do Security Command Center Enterprise

O nível Enterprise do Security Command Center inclui dois consoles: o do Google Cloud e o de operações de segurança.

Você pode fazer login nos dois consoles usando o mesmo nome de usuário e credenciais.

Console do Google Cloud

No console do Google Cloud, você pode realizar tarefas como:

  • Ative o Security Command Center.
  • Configure as permissões do Identity and Access Management (IAM) para todo o Security Command Center usuários.
  • Configure a conectividade da AWS para o gerenciamento de vulnerabilidades.
  • Trabalhar com e exportar descobertas.
  • Gerenciar posturas de segurança.
  • Avalie riscos com pontuações de exposição a ataques.
  • Identifique dados de alta sensibilidade com a Proteção de Dados Sensíveis.
  • Detecte e corrija descobertas individuais diretamente.
  • Configure a Análise de integridade da segurança, o Web Security Scanner e outros produtos do Google Cloud integrados serviços.
  • Avaliar e gerar relatórios sobre sua conformidade com padrões comuns de segurança ou comparativos de mercado.
  • Consultar e pesquisar seus recursos do Google Cloud.

É possível acessar o conteúdo do Security Command Center no console do Google Cloud na página Visão geral de riscos.

Acesse Security Command Center

A imagem a seguir mostra o conteúdo do Security Command Center no console do Google Cloud.

O console do Google Cloud.

Console de operações de segurança

O console de Operações de Segurança permite que você execute tarefas como as seguintes:

  • Configure a conectividade da AWS para detecção de ameaças.
  • Configurar usuários e grupos para o gerenciamento de incidentes.
  • Defina as configurações de orquestração, automação e resposta de segurança (SOAR, na sigla em inglês).
  • Configurar a ingestão de dados no gerenciamento de eventos e informações de segurança (SIEM, na sigla em inglês).
  • Investigar e remediar descobertas individuais para sua organização do Google Cloud e o ambiente da AWS.
  • Trabalhar com casos, o que inclui agrupar descobertas, atribuir tíquetes e trabalhar com alertas.
  • Use uma sequência automatizada de etapas, conhecida como playbooks, para corrigir problemas.
  • Use o Workdesk para gerenciar ações e tarefas pendentes de casos abertos e playbooks.

É possível acessar o console do Security Operations em https://customer_subdomain.backstory.chronicle.security, onde customer_subdomain é o identificador específico do cliente. Você pode determinar seu URL usando um destes métodos:

  • No guia de configuração do console do Google Cloud, as etapas 4 a 6 redirecionam para o console de operações de segurança. Para acessar o guia de configuração, faça o seguinte:

    1. Acesse a página Visão geral de riscos do Security Command Center.

      Ir para Visão geral

    2. Clique em Ver o guia de configuração.

  • No console do Google Cloud, clique em um dos links do caso. Para acessar um link de caso, faça o seguinte:

    1. Na página Visão geral de riscos do Security Command Center, acesse Vulnerabilidades cada caso.

      Acessar "Vulnerabilidades por caso"

    2. Clique em Ver todos os casos de vulnerabilidade.

  • No console do Google Cloud, acesse o link na página Chronicle SecOps.

    1. Acesse a página Chronicle SecOps.

      Acessar o Chronicle SecOps

    2. Clique em Acessar o Chronicle.

A imagem a seguir mostra o console de Operações de Segurança.

O console de Operações de segurança.

Painel de gerenciamento de vulnerabilidades

Os painéis no console de operações de segurança oferecem uma visão rápida dos casos de postura e das vulnerabilidades em todos os seus ambientes de nuvem.

Usando o painel de gerenciamento de vulnerabilidades no console do Security Operations, é possível investigar vulnerabilidades CVE identificadas nos seus ambientes do Google Cloud e da AWS.

Para acessar o painel, acesse a página Descobertas. 

  https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/overview/cve-vulnerabilities

Substitua CUSTOMER_SUBDOMAIN pelo seu identificador específico do cliente.

Se a página não aparecer, selecione Posture > Overview na navegação e, em seguida, selecione Vulnerability Management Dashboard no menu.

Em cada relatório, você pode usar filtros para mostrar dados de todos os provedores de nuvem ou um subconjunto de provedores de nuvem. O painel inclui os seguintes relatórios:

  • Principais vulnerabilidades e explorações comuns mostra as descobertas da vulnerabilidade agrupadas por exploração e impacto.

    Os valores possíveis de Exploitability são os seguintes:

    • WIDE: uma exploração da vulnerabilidade foi relatada ou confirmada para são muito comuns.
    • CONFIRMED: houve atividades de exploração relatadas ou confirmadas limitadas para a vulnerabilidade.
    • AVAILABLE: uma exploração está disponível publicamente para essa vulnerabilidade.
    • ANTICIPATED: a vulnerabilidade não tem nenhuma atividade de exploração conhecida, mas tem uma alto potencial de exploração.
    • NO_KNOWN: a vulnerabilidade não tem atividade de exploração conhecida.

    Estas são a ExploitationActivity valores retornados para uma CVE pela API organizations.sources.findings.

    Os possíveis valores de Impacto são uma medida da disponibilidade de uma possível exploração:

    • LOW: uma exploração teria pouco ou nenhum impacto na segurança.
    • MEDIUM: uma exploração permite que os invasores realizem atividades, ou permitir que os atacantes tenham um impacto direto, mas exigiriam mais atenção etapas.
    • HIGH: uma exploração permitiria que os invasores tivessem um impacto direto notável sem precisar superar os principais fatores atenuantes.
    • CRITICAL: uma exploração prejudicaria fundamentalmente a segurança dos sistemas afetados, permitem que os agentes realizem ataques significativos com o mínimo de esforço a nenhum fator atenuante que deve ser superado.

    Estes são os valores de RiskRating retornados para um CVE pela API organizations.sources.findings.

    Clique em uma célula no mapa de calor para ver as vulnerabilidades relacionadas filtradas pelos critérios selecionados.

    A coluna Recursos mostra o número de IDs de recursos exclusivos que são identificados. A coluna Descobertas exibe o número total de descobertas identificadas em todos os recursos. Cada recurso pode ter várias descobertas. Clique no valor. na coluna Descobertas para conferir informações detalhadas sobre essas descobertas.

  • Vulnerabilidades críticas exploráveis mais comuns mostram as vulnerabilidades vulnerabilidades e o número de IDs de recursos exclusivos em que a vulnerabilidade foi identificado.

    Expanda a linha de um único ID da CVE para ver a lista de descobertas relacionadas e as e o número de recursos em que a descoberta foi identificada. Múltiplas descobertas podem ser identificados em apenas um recurso. A soma de todas as contagens de recursos para os podem ser maiores que a contagem de IDs de recursos exclusivos do ID da CVE.

  • Vulnerabilidades de computação mais recentes com exploits conhecidos mostra vulnerabilidades CVE relacionadas a software em instâncias de computação com exploits conhecidos. Descobertas nesta têm as categorias OS_VULNERABILITY e SOFTWARE_VULNERABILITY. A tabela inclui as seguintes informações:

    • Data de lançamento da exploração e Primeira data disponível: quando a exploração foi lançado e quando foi disponibilizado ou confirmado.

    • Recursos expostos: o número de recursos identificados que também estão configurados na configuração de valor de recurso do Risk Engine. A contagem inclui aqueles com qualquer configuração de valor de recurso: alta, média ou baixa.

    • Pontuação de exposição a ataques: preenchido se o valor for calculado pelo Risk Engine. Clique no valor para conferir detalhes sobre a pontuação.

    • Máquina virtual: o identificador da instância da máquina virtual. Clique no valor para conferir detalhes sobre o recurso no ambiente de nuvem específico.

    • Observado em ambiente não controlado e Exploitability: se um exploit foi observado em ambiente não controlado e uma medida da atividade de exploração.

A seguir