Console Security Command Center Enterprise

Il livello Security Command Center Enterprise include due console: la console Google Cloud e la console Security Operations.

Puoi accedere a entrambe le console utilizzando lo stesso nome utente e le stesse credenziali.

Console Google Cloud

La console Google Cloud ti consente di svolgere attività come le seguenti:

  • Attiva Security Command Center.
  • Configura le autorizzazioni di Identity and Access Management (IAM) per tutti gli utenti di Security Command Center.
  • Configura la connettività AWS per la gestione delle vulnerabilità.
  • Lavorare con ed esportare i risultati.
  • Gestisci le posture di sicurezza.
  • Valuta i rischi con i punteggi di esposizione agli attacchi.
  • Identifica i dati ad alta sensibilità con Sensitive Data Protection.
  • Rileva e correggi direttamente i singoli risultati.
  • Configura Security Health Analytics, Web Security Scanner e altri servizi integrati di Google Cloud.
  • Valuta e genera report sulla conformità a standard o benchmark di sicurezza comuni.
  • Visualizza e cerca i tuoi asset Google Cloud.

Puoi accedere ai contenuti di Security Command Center nella console Google Cloud dalla pagina Panoramica dei rischi.

Andare a Security Command Center

L'immagine seguente mostra i contenuti di Security Command Center nella console Google Cloud.

La console Google Cloud.

Console Security Operations

La console Operazioni di sicurezza ti consente di svolgere attività quali:

  • Configura la connettività AWS per il rilevamento delle minacce.
  • Configura gli utenti e i gruppi per la gestione degli incidenti.
  • Configura le impostazioni di Security Orchestration, Automation and Response (SOAR).
  • Configura l'importazione dati nella gestione degli eventi e delle informazioni di sicurezza (SIEM).
  • Esamina e correggi i singoli risultati per la tua organizzazione Google Cloud e il tuo ambiente AWS.
  • Gestire le richieste, ad esempio raggruppare i risultati, assegnare i ticket e gestire gli avvisi.
  • Utilizza una sequenza automatica di passaggi, nota come playbook, per risolvere i problemi.
  • Utilizza Workdesk per gestire le azioni e le attività che ti aspettano dalle richieste aperte e dalle procedure.

Puoi accedere alla console Security Operations da https://customer_subdomain.backstory.chronicle.security, dove customer_subdomain è l'identificatore specifico del cliente. Puoi determinare il tuo URL utilizzando uno dei seguenti metodi:

  • Nella guida alla configurazione della console Google Cloud, i passaggi da 4 a 6 rimandano alla console Security Operations. Per accedere alla guida alla configurazione, svolgi i seguenti passaggi:

    1. Vai alla Guida alla configurazione di Security Command Center.

      Vai alla Guida alla configurazione

    2. Seleziona l'organizzazione in cui è attivato Security Command Center.

    3. Fai clic sul link in uno dei seguenti passaggi:

      • Passaggio 4: configura utenti e gruppi
      • Passaggio 5: configura le integrazioni
      • Passaggio 6: configura l'importazione dei log

  • Nella console Google Cloud, fai clic su uno dei link della richiesta. Per accedere a un link della richiesta, svolgi i seguenti passaggi:

    1. Vai alla pagina Vulnerabilità per caso.

      Vai a Vulnerabilità per caso

    2. Seleziona l'organizzazione in cui è attivato Security Command Center.

    3. Fai clic su un link nella colonna Case Id (ID richiesta) della tabella Vulnerability Findings (Risultati relativi alle vulnerabilità).

  • Nella console Google Cloud, accedi al link nella pagina Impostazioni di amministrazione delle operazioni di sicurezza di Google. Questo metodo richiede di conoscere il progetto di gestione utilizzato per attivare Security Command Center Enterprise per la tua organizzazione.

    1. Vai alla pagina Google SecOps.

      Vai a Google SecOps

    2. Seleziona il progetto di gestione della tua organizzazione.

    3. Fai clic su Vai a Google Security Operations.

L'immagine seguente mostra la console Security Operations.

La console Security Operations.

Dashboard di gestione delle vulnerabilità

Le dashboard nella console Security Operations ti offrono una rapida visualizzazione delle richieste relative al livello di sicurezza e delle vulnerabilità nei tuoi ambienti cloud.

Utilizzando la dashboard Gestione delle vulnerabilità nella console Security Operations, puoi esaminare le vulnerabilità CVE identificate nei tuoi ambienti Google Cloud e AWS.

Per visualizzare la dashboard, vai alla pagina Risultati. 

  https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/overview/cve-vulnerabilities

Sostituisci CUSTOMER_SUBDOMAIN con l'identificatore specifico del cliente.

Se la pagina non viene visualizzata, seleziona Posture > Panoramica dal menu di navigazione, quindi Dashboard di gestione delle vulnerabilità dal menu.

In ogni report, puoi utilizzare i filtri per visualizzare i dati di tutti i fornitori di servizi cloud o di un sottoinsieme di questi. La dashboard include i seguenti report:

  • Principali vulnerabilità ed exploit comuni mostra i risultati relativi alle vulnerabilità grouped per sfruttabilità e impatto.

    I possibili valori di Esploitabilità sono:

    • WIDE: è stato segnalato o confermato che un exploit per la vulnerabilità si verifica ampiamente.
    • CONFIRMED: sono state registrate o confermate attività di sfruttamento limitate per la vulnerabilità.
    • AVAILABLE: è disponibile pubblicamente un exploit per questa vulnerabilità.
    • ANTICIPATED: la vulnerabilità non ha attività di sfruttamento note, ma ha un alto potenziale di sfruttamento.
    • NO_KNOWN: la vulnerabilità non ha attività di sfruttamento note.

    Questi sono i valori ExploitationActivity retituti per una CVE dall'API organizations.sources.findings.

    I possibili valori di Impatto sono una misura della disponibilità di un potenziale exploit:

    • LOW: un exploit avrebbe un impatto sulla sicurezza minimo o nullo.
    • MEDIUM: un exploit consentirebbe agli utenti malintenzionati di eseguire attività o di avere un impatto diretto, ma richiederebbe passaggi aggiuntivi.
    • HIGH: un exploit consentirebbe agli aggressori di avere un impatto diretto notevole senza dover superare fattori di mitigazione importanti.
    • CRITICAL: un exploit minerebbe in modo fondamentale la sicurezza dei sistemi interessati, consentendo agli attori di eseguire attacchi significativi con il minimo sforzo e con pochi o nessun fattore di mitigazione da superare.

    Questi sono i valori RiskRating retituti per una CVE dall'API organizations.sources.findings.

    Fai clic su una cella nella mappa di calore per visualizzare le vulnerabilità correlate filtrate in base ai criteri selezionati.

    La colonna Risorse mostra il numero di ID risorsa univoci identificati. La colonna Risultati mostra il numero totale di risultati identificati in tutte le risorse. Ogni risorsa potrebbe avere più risultati. Fai clic sul valore nella colonna Risultati per visualizzare informazioni dettagliate su questi risultati.

  • Le vulnerabilità critiche sfruttabili più comuni mostra le vulnerabilità CVE e il numero di ID risorsa univoci in cui è stata identificata la vulnerabilità.

    Espandi la riga di un singolo ID CVE per visualizzare l'elenco dei problemi correlati e il numero di risorse in cui è stato identificato il problema. È possibile identificare più risultati su una singola risorsa. La somma di tutti i conteggi delle risorse per i risultati correlati potrebbe essere superiore al conteggio degli ID risorsa univoci per l'ID CVE.

  • Ultime vulnerabilità di calcolo con exploit noti mostra le vulnerabilità CVE relative al software nelle istanze di calcolo con exploit noti. I risultati di questo report hanno la categoria OS_VULNERABILITY e SOFTWARE_VULNERABILITY. La tabella include le seguenti informazioni:

    • Data di rilascio dell'exploit e Prima data di disponibilità: la data di rilascio dell'exploit e la data in cui è stato reso disponibile per la prima volta o confermato.

    • Risorse esposte: il numero di risorse identificate che sono configurate anche nella configurazione del valore della risorsa di Risk Engine. Il conteggio include le risorse con qualsiasi configurazione del valore della risorsa: alto, medio o basso.

    • Punteggio di esposizione agli attacchi: viene compilato se Risk Engine ha calcolato un valore. Fai clic sul valore per visualizzare i dettagli del punteggio.

    • Macchina virtuale: l'identificatore dell'istanza della macchina virtuale. Fai clic sul valore per visualizzare i dettagli della risorsa nell'ambiente cloud specifico.

    • Osservato in circolazione ed Esploitabilità: indica se un exploit è stato osservato in circolazione e una misura dell'attività di sfruttamento.

  • Container con vulnerabilità sfruttabili mostra i container che hanno vulnerabilità CVE sfruttabili in cui l'attività di sfruttamento della vulnerabilità è available, confirmed o wide e la valutazione del rischio è critical, in base alla valutazione di Google Threat Intelligence.

    Il report include i dettagli di ciascun contenitore ed è ordinato in base al voto di esposizione agli attacchi. I contenitori con il maggior numero di risorse interessate vengono visualizzati in alto.

    • Contenitore: mostra il nome del contenitore e l'ambiente cloud in cui è in esecuzione.

    • Immagine del contenitore: mostra il nome dell'immagine utilizzata per il deployment del contenitore.

    • Risultato: mostra l'ID CVE e fornisce un link ai dettagli del risultato.

    • Link alla risorsa: per un contenitore in esecuzione in Google Cloud, fornisce un link per visualizzare maggiori dettagli sulla risorsa. Per un contenitore in esecuzione in un altro ambiente cloud, fornisce un link all'altro ambiente cloud per ulteriori dettagli, se è possibile creare un link diretto.

    • Punteggio AES: mostra il punteggio di esposizione agli attacchi. Fai clic sul punteggio per visualizzare il percorso di attacco.

Passaggi successivi