Consolas de Security Command Center Enterprise

El nivel empresarial de Security Command Center incluye dos consolas: la consola de Google Cloud y la consola de Security Operations.

Puedes acceder a ambas consolas con el mismo nombre de usuario y las mismas credenciales.

Consola de Google Cloud

La consola de Google Cloud te permite realizar tareas como las siguientes:

  • Activa Security Command Center.
  • Configura los permisos de Identity and Access Management (IAM) para todos los usuarios de Security Command Center.
  • Configura la conectividad de AWS para la administración de vulnerabilidades.
  • Trabajar con los resultados y exportarlos
  • Administrar las posturas de seguridad
  • Evalúa los riesgos con las puntuaciones de exposición a ataques.
  • Identifica datos de alta sensibilidad con la Protección de datos sensibles.
  • Detecta y corrige los resultados individuales directamente.
  • Configura Security Health Analytics, Web Security Scanner y otros servicios integrados de Google Cloud.
  • Evalúa y genera informes sobre el cumplimiento de estándares de seguridad o comparativas comunes.
  • Consulta y busca tus recursos de Google Cloud.

Puedes acceder al contenido de Security Command Center en la consola de Google Cloud desde la página Resumen de riesgos.

Ir a Security Command Center

En la siguiente imagen, se muestra el contenido de Security Command Center en la consola de Google Cloud.

La consola de Google Cloud

Consola de operaciones de seguridad

La consola de operaciones de seguridad te permite realizar tareas como las siguientes:

  • Configura la conectividad de AWS para la detección de amenazas.
  • Configura usuarios y grupos para la administración de incidentes.
  • Configura la organización, automatización y respuesta de seguridad (SOAR).
  • Configura la transferencia de datos a la administración de información y eventos de seguridad (SIEM).
  • Investiga y corrige los hallazgos individuales de tu organización de Google Cloud y el entorno de AWS.
  • Trabajar con casos, lo que incluye agrupar hallazgos, asignar tickets y trabajar con alertas
  • Usa una secuencia automatizada de pasos conocidos como manuales para solucionar problemas.
  • Usa Workdesk para administrar las acciones y tareas que te esperan en los casos abiertos y los planes de acción.

Puedes acceder a la consola de Security Operations desde https://customer_subdomain.backstory.chronicle.security, donde customer_subdomain es tu identificador específico del cliente. Puedes determinar tu URL con uno de los siguientes métodos:

  • En la guía de configuración de la consola de Google Cloud, los pasos del 4 al 6 redireccionan a la consola de Security Operations. Para acceder a la guía de configuración, completa lo siguiente:

    1. Ve a la Guía de configuración de Security Command Center.

      Ir a la Guía de configuración

    2. Selecciona la organización en la que está activado Security Command Center.

    3. Haz clic en el vínculo de cualquiera de los siguientes pasos:

      • Paso 4: Configura los usuarios y los grupos
      • Paso 5: Configura las integraciones
      • Paso 6: Configura la transferencia de registros

  • En la consola de Google Cloud, haz clic en uno de los vínculos del caso. Para acceder a un vínculo de caso, completa lo siguiente:

    1. Ve a la página Vulnerabilidades por caso.

      Ir a Vulnerabilidades por caso

    2. Selecciona la organización en la que está activado Security Command Center.

    3. Haz clic en cualquier vínculo de la columna Case Id en la tabla Vulnerability findings.

  • En la consola de Google Cloud, accede al vínculo de la página Configuración de administración de operaciones de seguridad de Google. Para usar este método, debes conocer el proyecto de administración que se usó para activar Security Command Center Enterprise en tu organización.

    1. Ve a la página Google SecOps.

      Ve a Google SecOps

    2. Selecciona el proyecto de administración de tu organización.

    3. Haz clic en Ir a Google Security Operations.

En la siguiente imagen, se muestra la consola de Security Operations.

La consola de Security Operations

Panel de administración de vulnerabilidades

Los paneles de la consola de Security Operations te brindan una vista rápida de los casos de postura y las vulnerabilidades en tus entornos de nube.

Con el panel de administración de vulnerabilidades de la consola de Security Operations, puedes investigar las vulnerabilidades de CVE identificadas en tus entornos de Google Cloud y AWS.

Para ver el panel, ve a la página Resultados. 

  https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/overview/cve-vulnerabilities

Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

Si no aparece la página, selecciona Posture > Overview en la navegación y, luego, Vulnerability Management Dashboard en el menú.

En cada informe, puedes usar filtros para mostrar datos de todos los proveedores de servicios en la nube o un subconjunto de ellos. El panel incluye los siguientes informes:

  • En Principales vulnerabilidades y exploits comunes, se muestran los hallazgos de vulnerabilidades agrupados por capacidad de explotación y por impacto.

    Los posibles valores de Exploitability son los siguientes:

    • WIDE: Se informó un exploit para la vulnerabilidad o se confirmó que se produce de forma generalizada.
    • CONFIRMED: Se informaron o confirmaron actividades de explotación limitadas para la vulnerabilidad.
    • AVAILABLE: Hay un exploit disponible públicamente para esta vulnerabilidad.
    • ANTICIPATED: La vulnerabilidad no tiene una actividad de explotación conocida, pero tiene un alto potencial de explotación.
    • NO_KNOWN: La vulnerabilidad no tiene actividad de explotación conocida.

    Estos son los valores de ExploitationActivity que muestra la API de organizations.sources.findings para un CVE.

    Los posibles valores de Impacto son una medida de la disponibilidad de un posible exploit:

    • LOW: Un exploit tendría poco o ningún impacto en la seguridad.
    • MEDIUM: Un exploit permitiría a los atacantes realizar actividades o tener un impacto directo, pero requeriría pasos adicionales.
    • HIGH: Un exploit permitiría que los atacantes tengan un impacto directo notable sin tener que superar ningún factor mitigante importante.
    • CRITICAL: Un exploit socavaría fundamentalmente la seguridad de los sistemas afectados y permitiría a los actores realizar ataques significativos con un esfuerzo mínimo y con pocos o sin factores de mitigación que se deban superar.

    Estos son los valores de RiskRating que muestra la API de organizations.sources.findings para un CVE.

    Haz clic en una celda del mapa de calor para ver las vulnerabilidades relacionadas filtradas según los criterios que seleccionaste.

    La columna Recursos muestra la cantidad de IDs de recursos únicos que se identifican. La columna Resultados muestra la cantidad total de resultados identificados en todos los recursos. Cada recurso puede tener varios resultados. Haz clic en el valor de la columna Resultados para ver información detallada sobre estos resultados.

  • En Vulnerabilidades críticas explotables más comunes, se muestran las vulnerabilidades de CVE y la cantidad de IDs de recursos únicos en los que se identificó la vulnerabilidad.

    Expande la fila de un solo ID de CVE para ver la lista de hallazgos relacionados y la cantidad de recursos en los que se identificó el hallazgo. Se pueden identificar varios hallazgos en un solo recurso. La suma de todos los recuentos de recursos de los hallazgos relacionados puede ser mayor que el recuento de IDs de recursos únicos para el ID de CVE.

  • En Vulnerabilidades de Compute más recientes con exploits conocidos, se muestran las vulnerabilidades de CVE relacionadas con el software en instancias de Compute con exploits conocidos. Los resultados de este informe tienen las categorías OS_VULNERABILITY y SOFTWARE_VULNERABILITY. La tabla incluye la siguiente información:

    • Fecha de lanzamiento del exploit y Primera fecha disponible: Indican cuándo se lanzó el exploit y cuándo estuvo disponible por primera vez o se confirmó.

    • Recursos expuestos: Es la cantidad de recursos identificados que también se configuran en la configuración de valores de recursos de Risk Engine. El recuento incluye aquellos con cualquier configuración de valor de recurso: alto, medio o bajo.

    • Puntuación de exposición al ataque: Se propaga si el motor de riesgo calculó un valor. Haz clic en el valor para ver los detalles de la puntuación.

    • Máquina virtual: Es el identificador de la instancia de máquina virtual. Haz clic en el valor para ver los detalles del recurso en el entorno de nube específico.

    • Observada en un ambiente no controlado y Exploitability: Indica si se observó un exploit en un ambiente no controlado y una medida de la actividad de explotación.

  • Contenedores con vulnerabilidades explotables muestra los contenedores que tienen vulnerabilidades CVE explotables en las que la actividad de explotación de la vulnerabilidad es available, confirmed o wide, y la calificación de riesgo es critical, según la evaluación de Google Threat Intelligence.

    El informe incluye detalles sobre cada contenedor y se ordena según la puntuación de exposición a ataques. Los contenedores con la mayor cantidad de recursos afectados aparecen en la parte superior.

    • Contenedor: Muestra el nombre del contenedor y el entorno de nube en el que se ejecuta.

    • Imagen de contenedor: Muestra el nombre de la imagen que se usa para implementar el contenedor.

    • Hallazgo: Muestra el ID de CVE y proporciona un vínculo a los detalles del hallazgo.

    • Vínculo al recurso: En el caso de un contenedor que se ejecuta en Google Cloud, proporciona un vínculo para mostrar más detalles sobre el recurso. En el caso de un contenedor que se ejecuta en otro entorno de nube, proporciona un vínculo al otro entorno de nube para obtener más detalles cuando es posible crear un vínculo directo.

    • Puntuación de AES: Muestra la puntuación de exposición a ataques. Haz clic en la puntuación para ver la ruta de ataque.

¿Qué sigue?