En esta página se ofrece una descripción general de la navegación por Security Command Center Enterprise y de lo que puede hacer con las páginas de nivel superior de Security Command Center. Si utilizas Security Command Center Standard o Premium, consulta el artículo sobre cómo usar Security Command Center Standard o Premium en la consola de Google Cloud Google Cloud.
Si Security Command Center no está activo, se te pedirá que lo actives. Para obtener más información sobre cómo activar Security Command Center Enterprise, consulta el artículo Activar el nivel Enterprise de Security Command Center.
Permisos de gestión de identidades y accesos necesarios
Para usar Security Command Center con todos los niveles de servicio, debes tener un rol de gestión de identidades y accesos (IAM) que contenga los permisos adecuados:
- Lector de administración del centro de seguridad (
roles/securitycenter.adminViewer) te permite ver Security Command Center. - Editor de administración del centro de seguridad (
roles/securitycenter.adminEditor) te permite ver Security Command Center y hacer cambios. - Visor de servicios de Chronicle (
roles/chroniclesm.viewer) te permite ver la instancia de Google SecOps asociada.
Si las políticas de tu organización están configuradas para restringir las identidades por dominio, debes iniciar sesión en la consola de Google Cloud con una cuenta que pertenezca a un dominio permitido.
Los roles de gestión de identidades y accesos de Security Command Center se pueden conceder a nivel de organización, carpeta o proyecto. La posibilidad de ver, editar, crear o actualizar hallazgos, recursos y fuentes de seguridad depende del nivel de acceso que se te haya concedido. Para obtener más información sobre los roles de Security Command Center, consulta Control de acceso.
También necesitas alguno de los siguientes roles de gestión de identidades y accesos:
- Administrador de Chronicle SOAR (
roles/chronicle.soarAdmin) - Gestor de amenazas de Chronicle SOAR (
roles/chronicle.soarThreatManager) - Gestor de vulnerabilidades de Chronicle SOAR
(
roles/chronicle.soarVulnerabilityManager)
Para habilitar el acceso a las funciones relacionadas con SOAR, también debe asignar estos roles de gestión de identidades y accesos a un rol de SOC, un grupo de permisos y un entorno en la página Configuración > Configuración de SOAR. Para obtener más información, consulta Asignar y autorizar usuarios mediante IAM.
Acceder a Security Command Center en la Google Cloud consola
Puedes acceder al contenido de Security Command Center en la Google Cloud consola desde la página Resumen de riesgos.
Ve a Security Command Center:
Selecciona la organización en la que has activado Security Command Center Enterprise.
Si Security Command Center está activo en la organización o el proyecto que selecciones, se mostrará la página Resumen de riesgos con una vista general.
Funciones y navegación de Security Command Center
A continuación se describe la navegación en Security Command Center Enterprise. Si utilizas Security Command Center Standard o Premium, consulta el artículo sobre cómo usar Security Command Center Standard o Premium en la consola de Google Cloud .
Las tareas que puedes realizar dependen de tu nivel de servicio de Security Command Center, de los servicios que estén habilitados y de los permisos del rol de gestión de identidades y accesos que se te haya concedido.
El panel de navegación de la izquierda de Security Command Center Enterprise incluye enlaces a páginas del tenant de Google Security Operations que se configuró durante la activación de Security Command Center Enterprise.
Además, el arrendatario de Google Security Operations configurado durante la activación de Security Command Center Enterprise incluye enlaces a un subconjunto de páginas de la consola. Google Cloud
Para ver qué funciones de Google Security Operations están disponibles con Security Command Center Enterprise, consulta los niveles de servicio de Security Command Center. Haz clic en un enlace para ver una explicación de la página.
| Sección de navegación de la consolaGoogle Cloud | Enlace |
|---|---|
| Riesgo | |
| Investigación | |
| Detección | |
| Respuesta | |
| Paneles de control | |
| Ajustes |
Página de resumen de riesgos
La página Resumen de riesgos ofrece una vista rápida de las nuevas amenazas y del número total de vulnerabilidades activas en su entorno deGoogle Cloud , procedentes de todos los servicios integrados y los que vienen de fábrica.
La página Resumen de riesgos es tu primer panel de control de seguridad de contactos, en el que se destacan los riesgos de alta prioridad de tus entornos de nube. Para ver información detallada sobre las áreas de investigación en Resumen, selecciona una de las siguientes vistas:
Todos los riesgos: se muestran todos los datos.
Vulnerabilidades de CVE: muestra las vulnerabilidades y la información relacionada con CVE.
Datos: muestra información sobre tu postura de seguridad de los datos (Vista previa).
Código: muestra las conclusiones de seguridad relacionadas con el código.
Seguridad de la IA: muestra las conclusiones relacionadas con la IA y los datos de la postura de seguridad.
Página Problemas
Los problemas son los riesgos de seguridad más importantes que Security Command Center Enterprise encuentra en tus entornos de nube, lo que te da la oportunidad de responder rápidamente a las vulnerabilidades y las amenazas. Security Command Center detecta problemas mediante equipos rojos virtuales y detecciones basadas en reglas. Para obtener información sobre cómo investigar problemas, consulta el artículo Introducción a los problemas.
Página Hallazgos
En la página Resultados, puede consultar, revisar, silenciar y marcar resultados de Security Command Center, que son los registros que crean los servicios de Security Command Center cuando detectan un problema de seguridad en su entorno. Para obtener más información sobre cómo trabajar con los resultados en la página Resultados, consulta Revisar y gestionar resultados.
Página Recursos
La página Recursos muestra todos los Google Cloud recursos, también llamados activos, de tu proyecto u organización.
Para obtener más información sobre cómo trabajar con recursos en la página Recursos, consulta Trabajar con recursos en la consola.
Página de cumplimiento
De forma predeterminada, cuando activas Security Command Center, la página Cumplimiento muestra la pestaña Monitor. En esta pestaña se muestran todos los marcos normativos que admite Security Command Center mediante Security Health Analytics y el porcentaje de controles de referencia superados.
La pestaña Monitor (Monitorizar) te permite ver cada marco normativo y proporciona más detalles sobre los controles normativos que comprueba Security Health Analytics, el número de infracciones detectadas en cada control y una opción para exportar un informe de cumplimiento de ese marco normativo.
Los escáneres de vulnerabilidades de Security Health Analytics monitorizan las infracciones de los controles de cumplimiento comunes basándose en una asignación de prácticas recomendadas proporcionada por Google. Los informes de cumplimiento de Security Health Analytics no sustituyen a una auditoría de cumplimiento, pero pueden ayudarte a mantener tu estado de cumplimiento y a detectar las infracciones con antelación.
Cuando habilitas Gestor de Cumplimiento (vista previa) en Security Command Center Enterprise, la página Cumplimiento muestra las siguientes pestañas adicionales: Configurar (vista previa), Monitorizar (vista previa) y Auditoría (vista previa). Estas pestañas te permiten crear y aplicar controles y marcos de trabajo en la nube, monitorizar tu entorno y completar auditorías.
Para obtener más información sobre cómo Security Command Center admite la gestión del cumplimiento si Compliance Manager no está habilitado, consulta Gestionar el cumplimiento.
Página de gestión de la postura
En la página Posición, puedes ver los detalles de las posiciones de seguridad que has creado en tu organización y aplicar las posiciones a una organización, una carpeta o un proyecto. También puedes ver las plantillas de postura predefinidas disponibles.
Búsqueda de SIEM
Esta página de la consola de Security Operations te permite encontrar eventos y alertas del modelo de datos unificado (UDM) en tu instancia de Google Security Operations. Para obtener más información, consulta Búsqueda de SIEM en la documentación de Google Security Operations.
Búsqueda de SOAR
Esta página de la consola Security Operations te permite encontrar casos o entidades específicos indexados por Google Security Operations SOAR. Para obtener más información, consulta el artículo Trabajar con la página de búsqueda en SOAR de la documentación de Google Security Operations.
Reglas y detecciones
Esta página de la consola de Operaciones de seguridad te permite habilitar detecciones seleccionadas y crear reglas personalizadas para identificar patrones en los datos recogidos mediante los mecanismos de recogida de datos de registro de la consola de Operaciones de seguridad. Para obtener información sobre las detecciones seleccionadas disponibles en Security Command Center Enterprise, consulta Investigar amenazas con detecciones seleccionadas.
Alertas e IOCs
Esta página de la consola de operaciones de seguridad te permite ver las alertas creadas por detecciones seleccionadas y reglas personalizadas. Para obtener información sobre cómo investigar alertas, consulta lo siguiente en la documentación de Google Security Operations:
- Investigar alertas de GCTI generadas por detecciones seleccionadas.
- Investigar una alerta
Guías
Esta página de la consola Operaciones de seguridad te permite gestionar los cuadernos de estrategias incluidos en el caso práctico SCC Enterprise - Cloud Orchestration and Remediation (SCC Enterprise: orquestación y corrección en la nube).
Para obtener información sobre las integraciones disponibles en este caso práctico, consulta Niveles de servicio de Security Command Center.
Para obtener información sobre los playbooks disponibles, consulta Actualizar el caso práctico de Enterprise.
Para obtener información sobre cómo usar la página Libros de jugadas de la consola de operaciones de seguridad, consulta ¿Qué hay en la página Libros de jugadas? en la documentación de operaciones de seguridad de Google.
Página Fuentes
La página Fuentes contiene tarjetas que ofrecen un resumen de los recursos y los resultados de las fuentes de seguridad que has habilitado. La tarjeta de cada fuente de seguridad muestra algunos de los resultados de esa fuente. Puedes hacer clic en el nombre de la categoría de la detección para ver todas las detecciones de esa categoría.
Paneles de control de SIEM
Esta página de la consola de Security Operations te permite ver los paneles de control de SIEM de Google Security Operations para analizar las alertas creadas por las reglas de Google Security Operations y los datos recogidos mediante las funciones de recogida de datos de registro de la consola de Security Operations.
Para obtener más información sobre cómo usar los paneles de control de SIEM, consulta el artículo Descripción general de los paneles de control de la documentación de Google Security Operations.
Paneles de control de SOAR
Esta página de la consola de Operaciones de seguridad te permite ver y crear paneles de control con datos de SOAR que se pueden usar para analizar respuestas y casos. Para obtener más información sobre cómo usar los paneles de control de SOAR, consulta el artículo Descripción general del panel de control de SOAR de la documentación de Google Security Operations.
Informes de SOAR
Esta página de la consola Security Operations te permite ver informes sobre los datos de SOAR. Para obtener más información sobre cómo usar los informes de SOAR, consulta el artículo Información sobre los informes de SOAR en la documentación de Google Security Operations.
Configuración de SCC
Te permite configurar Security Command Center, lo que incluye lo siguiente:
- Servicios adicionales de Security Command Center
- Conectores multinube
- Conjuntos de recursos de alto valor
- Reglas de silenciar hallazgos
- Exportaciones de datos continuas
Guía de configuración de SCC
Te permite activar Security Command Center Enterprise y configurar servicios adicionales. Para obtener más información, consulta el artículo Activar el nivel Enterprise.
Configuración de SIEM
Esta página de la consola de Security Operations te permite cambiar la configuración de las funciones relacionadas con el SIEM de Google Security Operations. Para obtener información sobre cómo usar estas funciones, consulta la documentación de Google Security Operations.
Configuración de SOAR
En esta página de la consola de Security Operations, puedes cambiar la configuración de las funciones relacionadas con SOAR de Google Security Operations. Para obtener información sobre cómo usar estas funciones, consulta la documentación de Google Security Operations.
Diferencias entre las páginas de Security Command Center Enterprise
El nivel Enterprise de Security Command Center incluye funciones disponibles tanto en las páginas de la consola de Google Cloud Security Command Center como en las de Security Operations.
Inicia sesión en la consola de Google Cloud y ve a las páginas de la consola de operaciones de seguridad desde la navegación de la consola de Google Cloud . En esta sección se describen las tareas que puedes realizar en cada una de ellas.
Google Cloud páginas de la consola
Las páginas de la consola Google Cloud te permiten realizar tareas como las siguientes:
- Activa Security Command Center.
- Configura los permisos de gestión de identidades y accesos (IAM) para todos los usuarios de Security Command Center.
- Conéctate a otros entornos de nube para recoger datos de recursos y de configuración.
- Trabajar con las conclusiones y exportarlas.
- Evalúa los riesgos con las puntuaciones de exposición a ataques.
- Trabaja con los problemas, los riesgos de seguridad más importantes que Security Command Center Enterprise ha encontrado en tus entornos de nube.
- Identifica datos de alta sensibilidad con Protección de Datos Sensibles.
- Investiga y corrige los resultados concretos de tu Google Cloud.
- Configura Security Health Analytics, Web Security Scanner y otros Google Cloud servicios integrados.
- Gestionar las posturas de seguridad.
- Configurar controles y marcos de trabajo en la nube.
- Gestionar una postura de seguridad de los datos.
- Evalúa y genera informes sobre tu cumplimiento de los estándares o las comparativas de seguridad habituales.
- Consulta y busca tus Google Cloud recursos.
En la siguiente imagen se muestra el contenido de Security Command Center en la consolaGoogle Cloud .
Páginas de la consola Operaciones de seguridad
La página de la consola Operaciones de seguridad te permite realizar tareas como las siguientes:
- Conéctate a otros entornos de nube para recoger datos de registro de detecciones seleccionadas en la gestión de eventos y de información de seguridad (SIEM).
- Configura los ajustes de orquestación, automatización y respuesta de seguridad (SOAR).
- Configurar usuarios y grupos para la gestión de incidentes y casos.
- Trabajar con casos, lo que incluye agrupar resultados, asignar tickets y trabajar con alertas.
- Usa una secuencia automatizada de pasos conocida como manuales de procedimientos para solucionar problemas.
- Usa Workdesk para gestionar las acciones y tareas pendientes de los casos y los playbooks abiertos.
En la siguiente imagen se muestra la consola de operaciones de seguridad.
Las páginas de la consola de operaciones de seguridad tienen una URL similar al siguiente patrón.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
Donde CUSTOMER_SUBDOMAIN es el identificador específico de tu cliente.