Vous pouvez vous connecter aux deux consoles à l'aide du même nom d'utilisateur et des mêmes identifiants.
console Google Cloud
La console Google Cloud vous permet d'effectuer les tâches suivantes:
- Activez Security Command Center.
- Configurer les autorisations Identity and Access Management (IAM) pour l'ensemble de Security Command Center utilisateurs.
- Configurer la connectivité AWS pour la gestion des failles
- Utiliser et exporter les résultats
- Gérer les stratégies de sécurité
- Évaluez les risques à l'aide des scores d'exposition aux attaques.
- Identifiez les données à forte sensibilité avec Sensitive Data Protection.
- Détectez et corrigez directement des résultats individuels.
- Configurez Security Health Analytics, Web Security Scanner et d'autres services intégrés Google Cloud.
- évaluer et rendre compte de votre conformité vis-à-vis des normes de sécurité courantes ou de référence.
- Afficher et rechercher vos éléments Google Cloud.
Vous pouvez accéder au contenu de Security Command Center dans la console Google Cloud depuis la page Vue d'ensemble des risques.
Accéder à Security Command Center
L'image suivante illustre le contenu de Security Command Center dans le console Google Cloud.
Console Security Operations
La console Security Operations vous permet d'effectuer les tâches suivantes :
- Configurez la connectivité AWS pour la détection des menaces.
- Configurez des utilisateurs et des groupes pour la gestion des incidents.
- Configurez les paramètres des outils d'orchestration de la sécurité, d'automatisation et de réponse (SOAR).
- Configurez l'ingestion de données dans le système de gestion des informations et des événements de sécurité (SIEM).
- Examiner et corriger des résultats individuels pour votre environnement Google Cloud organisation et à l'environnement AWS.
- travailler avec les cas, ce qui comprend le regroupement des résultats, l'attribution de tickets et à travailler avec les alertes.
- Pour résoudre les problèmes, suivez une série d'étapes automatisées appelées playbooks.
- Utilisez Workdesk pour gérer les actions et les tâches qui vous attendent à partir des demandes ouvertes et des playbooks.
Vous pouvez accéder à la console Security Operations depuis https://customer_subdomain.backstory.chronicle.security, où customer_subdomain est votre identifiant client. Vous pouvez déterminer votre URL à l'aide de l'une des méthodes suivantes:
Dans le guide de configuration de la console Google Cloud, les étapes 4 à 6 redirigent vers la console Security Operations. Pour accéder au guide de configuration, procédez comme suit :
Accédez à la page Présentation des risques de Security Command Center.
Cliquez sur Afficher le guide de configuration.
Dans la console Google Cloud, cliquez sur l'un des liens de demande. Pour accéder à un lien de demande, procédez comme suit :
Sur la page Aperçu des risques de Security Command Center, accédez à la section Vulnerabilities (Failles) au cas par cas.
Cliquez sur Afficher tous les cas de failles.
Dans la console Google Cloud, accédez au lien sur la page Chronicle SecOps.
Accédez à la page Chronicle SecOps.
Cliquez sur Accéder à Chronicle.
L'image suivante montre la console Security Operations.
Tableau de bord de gestion des failles
Les tableaux de bord de la console Opérations de sécurité vous offrent un aperçu rapide des cas de stratégie et les failles de vos environnements cloud.
Le tableau de bord de gestion des failles de la console Security Operations vous permet d'examiner les failles CVE identifiées dans vos environnements Google Cloud et AWS.
Pour afficher le tableau de bord, accédez à la page Résultats.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/overview/cve-vulnerabilities
Remplacez CUSTOMER_SUBDOMAIN par votre identifiant spécifique au client.
Si la page ne s'affiche pas, sélectionnez Posture > Overview (Posture > Aperçu) dans le menu de navigation, puis Vulnerability Management Dashboard (Tableau de bord de gestion des failles) dans le menu.
Dans chaque rapport, vous pouvez utiliser des filtres pour afficher les données de tous les fournisseurs de services cloud ou d'un sous-ensemble de fournisseurs. Le tableau de bord comprend les rapports suivants:
La section Principaux failles et codes d'exploitation courants présente les failles détectées regroupées par niveau d'exploitabilité et d'impact.
Les valeurs possibles de Exploitability sont les suivantes :
WIDE: un exploit lié à la faille a été signalé ou confirmé se produisent fréquemment.CONFIRMED: des activités d'exploitation signalées ou confirmées ont été limitées pour la faille.AVAILABLE: un exploit est publiquement disponible pour cette faille.ANTICIPATED: aucune activité d'exploitation n'est connue pour la faille, mais elle présente un fort potentiel d'exploitation.NO_KNOWN: aucune activité d'exploitation de la faille n'est connue.
Voici les valeurs ExploitationActivity renvoyées pour une faille de sécurité par l'API
organizations.sources.findings.Les valeurs possibles de l'impact sont une mesure de la disponibilité d'une faille potentielle :
LOW: un exploit aurait peu ou pas d'impact sur la sécurité.MEDIUM: un exploit permet aux pirates informatiques d'effectuer des activités ou d'avoir un impact direct, mais nécessite des étapes supplémentaires.HIGH: un exploit permettrait aux pirates informatiques d'avoir un impact direct notable. sans devoir surmonter les principaux facteurs d'atténuation.CRITICAL: un exploit compromettrait fondamentalement la sécurité des systèmes concernés, permettant aux acteurs d'effectuer des attaques importantes avec un effort minimal et avec peu ou pas de facteurs atténuants à surmonter.
Il s'agit de la colonne RiskRating Valeurs renvoyées pour une faille CVE par l'API
organizations.sources.findings.Cliquez sur une cellule de la carte thermique pour afficher les failles associées filtrées selon les critères que vous avez sélectionnés.
La colonne Ressources affiche le nombre d'ID de ressources uniques identifiés. La colonne Résultats affiche le nombre total de résultats identifiés pour toutes les ressources. Chaque ressource peut comporter plusieurs résultats. Cliquez sur la valeur dans la colonne Résultats pour afficher des informations détaillées sur ces résultats.
La section Failles critiques exploitables les plus courantes indique une faille CVE. failles et le nombre d'ID de ressources uniques dans lesquels la faille a été identifié.
Développez la ligne d'un seul ID de CVE pour afficher la liste des résultats associés et les nombre de ressources pour lesquelles le résultat a été identifié. Plusieurs résultats peuvent être sur une ressource unique. La somme de tous les nombres de ressources pour l'objet peut être supérieur au nombre d'ID de ressources uniques associés à l'ID CVE.
La section Dernières failles de calcul avec des exploits connus indique les failles CVE. liés aux instances logicielles sur compute avec des failles connues. Résultats rapport contiennent les catégories
OS_VULNERABILITYetSOFTWARE_VULNERABILITY. Le tableau comprend les informations suivantes :Date de publication de l'exploitation et Date de première disponibilité: date à laquelle l'exploit a été et quand il a été disponible pour la première fois ou confirmé.
Ressources exposées : nombre de ressources identifiées qui sont également configurées dans la configuration des valeurs de ressources du moteur de risque. Ce nombre inclut les ressources dont la valeur de ressource est configurée (élevée, moyenne ou faible).
Score d'exposition au piratage: ce champ est renseigné si le moteur de gestion des risques a calculé une valeur. Cliquez sur la valeur pour afficher les détails du score.
Virtual Machine (Machine virtuelle) : identifiant d'instance de machine virtuelle. Cliquez sur la valeur pour afficher les détails de la ressource dans l'environnement cloud spécifique.
Observée en circulation et Exploitabilité : indique si un exploit a été observé en circulation et mesure l'activité d'exploitation.