Consolas de Security Command Center Enterprise

El nivel empresarial de Security Command Center incluye dos consolas: la consola de Google Cloud y la consola de Security Operations.

Puedes acceder a ambas consolas con el mismo nombre de usuario y las mismas credenciales.

Consola de Google Cloud

La consola de Google Cloud te permite realizar tareas como las siguientes:

  • Activa Security Command Center.
  • Configurar los permisos de Identity and Access Management (IAM) para todos los Security Command Center usuarios.
  • Configura la conectividad de AWS para la administración de vulnerabilidades.
  • Trabaja con los resultados y expórtalos.
  • Administrar las posturas de seguridad
  • Evalúa los riesgos con puntuaciones de exposición a ataques.
  • Identifica datos de alta sensibilidad con la Protección de datos sensibles.
  • Detecta y corrige resultados individuales directamente.
  • Configurar Security Health Analytics, Web Security Scanner y otras funciones integradas de Google Cloud de Google Cloud.
  • Evalúa y genera informes sobre el cumplimiento de estándares de seguridad o comparativas comunes.
  • Consulta y busca tus recursos de Google Cloud.

Puedes acceder al contenido de Security Command Center en la consola de Google Cloud desde la página Descripción general de riesgos.

Ir a Security Command Center

En la siguiente imagen, se muestra el contenido de Security Command Center en Consola de Google Cloud

La consola de Google Cloud

Consola de operaciones de seguridad

La consola de operaciones de seguridad te permite realizar tareas como las siguientes:

  • Configura la conectividad de AWS para la detección de amenazas.
  • Configura usuarios y grupos para la administración de incidentes.
  • Configura la organización, automatización y respuesta de seguridad (SOAR).
  • Configura la transferencia de datos a la administración de información y eventos de seguridad (SIEM).
  • Investiga y corrige hallazgos individuales para tu proyecto de Google Cloud organización y el entorno de AWS.
  • Trabajar con casos, lo que incluye agrupar los resultados, asignar tickets y trabajar con alertas.
  • Usa una secuencia automatizada de pasos conocidos como manuales para solucionar problemas.
  • Usa Workdesk para administrar acciones y tareas que te esperan cuando hay casos abiertos y y manuales de tácticas.

Puedes acceder a la consola de Security Operations desde https://customer_subdomain.backstory.chronicle.security, donde customer_subdomain es tu identificador específico del cliente. Puedes determinar tu URL usando uno de los siguientes métodos:

  • En la guía de configuración de la consola de Google Cloud, del paso 4 al paso 6 se redirecciona a la consola de operaciones de seguridad. Para acceder a la guía de configuración, completa lo siguiente:

    1. Ve a la página Descripción general de riesgos de Security Command Center.

      Ir a Descripción general

    2. Haz clic en Ver la guía de configuración.

  • En la consola de Google Cloud, haz clic en uno de los vínculos del caso. Para acceder al vínculo de un caso, completa lo siguiente:

    1. En la página Resumen de riesgos de Security Command Center, ve al panel Vulnerabilidades por caso.

      Ir a Vulnerabilidades por caso

    2. Haz clic en Ver todos los casos de vulnerabilidad.

  • En la consola de Google Cloud, accede al vínculo de la página Chronicle SecOps.

    1. Ve a la página Chronicle SecOps.

      Ir a Chronicle SecOps

    2. Haz clic en Ir a Chronicle.

En la siguiente imagen, se muestra la consola de operaciones de seguridad.

La consola de Security Operations

Panel de administración de vulnerabilidades

Los paneles de la consola de Security Operations te brindan una vista rápida de los casos de postura y las vulnerabilidades en tus entornos de nube.

Con el panel de administración de vulnerabilidades en la consola de operaciones de seguridad, puedes puede investigar las vulnerabilidades de CVE identificadas en tus entornos de Google Cloud y AWS.

Para ver el panel, ve a la página Hallazgos.

  https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/overview/cve-vulnerabilities
  

Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

Si no aparece la página, selecciona Postura > Resumen en el menú de navegación y, luego, selecciona Panel de administración de vulnerabilidades en el menú.

En cada informe, puedes usar filtros para mostrar datos de todos los proveedores de servicios en la nube o un subconjunto de ellos. El panel incluye los siguientes informes:

  • En el artículo Principales vulnerabilidades y exploits comunes se muestran los hallazgos de vulnerabilidades agrupadas por explotación e impacto.

    Los posibles valores de Exploitability son los siguientes:

    • WIDE: Se informó un exploit para la vulnerabilidad o se confirmó que se produce de forma generalizada.
    • CONFIRMED: Se informaron o confirmaron actividades de explotación limitadas para la vulnerabilidad.
    • AVAILABLE: un exploit está disponible públicamente para esta vulnerabilidad.
    • ANTICIPATED: La vulnerabilidad no tiene una actividad de explotación conocida, pero tiene un alto potencial de explotación.
    • NO_KNOWN: La vulnerabilidad no tiene actividad de explotación conocida.

    Estos son los valores de ExploitationActivity que muestra la API de organizations.sources.findings para un CVE.

    Los valores de Impacto posible son una medida de la disponibilidad de un posible exploit:

    • LOW: Un exploit tendría poco o ningún impacto en la seguridad.
    • MEDIUM: Un exploit permitiría a los atacantes realizar actividades o tener un impacto directo, pero requeriría pasos adicionales.
    • HIGH: Un exploit permitiría que los atacantes tengan un impacto directo notable sin tener que superar ningún factor mitigante importante.
    • CRITICAL: un exploit socavaría fundamentalmente la seguridad de los sistemas afectados, permiten a los perpetradores realizar ataques importantes con mínimo esfuerzo y con poco o no factores de mitigación que deban superarse.

    Estos son los valores de RiskRating que muestra la API de organizations.sources.findings para un CVE.

    Haz clic en una celda del mapa de calor para ver las vulnerabilidades relacionadas filtradas por los criterios que seleccionaste.

    En la columna Recursos, se muestra la cantidad de IDs de recursos únicos que se identificados. La columna Hallazgos muestra la cantidad total de resultados identificados. en todos los recursos. Cada recurso puede tener varios resultados. Haz clic en el valor. en la columna Hallazgos para ver información detallada sobre estos hallazgos.

  • Las vulnerabilidades explotables críticas más comunes muestran CVE las vulnerabilidades y la cantidad de IDs de recursos únicos en los que en caso de que se haya identificado.

    Expande la fila de un solo ID de CVE para ver la lista de hallazgos relacionados y la cantidad de recursos en los que se identificó el hallazgo. Se pueden identificar varios hallazgos en un solo recurso. La suma de todos los recuentos de recursos de los hallazgos relacionados puede ser mayor que el recuento de IDs de recursos únicos para el ID de CVE.

  • Las últimas vulnerabilidades de procesamiento con exploits conocidos muestran las vulnerabilidades CVE relacionados con el software en instancias de procesamiento con exploits conocidos. Hallazgos de esta tienen las categorías OS_VULNERABILITY y SOFTWARE_VULNERABILITY. La tabla incluye la siguiente información:

    • Fecha de lanzamiento del exploit y Primera fecha de disponibilidad: Cuándo se creó el exploit como lanzar y cuándo estuvo disponible o confirmado.

    • Recursos expuestos: Es la cantidad de recursos identificados que también se configuran en la configuración de valores de recursos del motor de riesgo. El recuento incluye aquellos con cualquier configuración de valor de recurso: alto, medio o bajo.

    • Puntuación de exposición al ataque: Se propaga si el motor de riesgo calculó un valor. Haz clic en el valor para ver los detalles de la puntuación.

    • Máquina virtual: Es el identificador de instancia de la máquina virtual. Haz clic en el valor para ver los detalles del recurso en el entorno específico de la nube.

    • Observada en el exterior y Explotación: si se trata de un exploit se ha observado en el exterior y una medición de la actividad de explotación.

¿Qué sigue?