Cette page présente Security Command Center, une solution de gestion des risques qui, avec le niveau Entreprise, combine sécurité cloud et opérations de sécurité d'entreprise pour dégager des insights de l'expertise de Mandiant et de l'intelligence artificielle Gemini.
Security Command Center permet aux analystes du SOC (Security Operations Center), aux analystes des failles et des stratégies, aux responsables de la conformité et à d'autres professionnels de la sécurité d'évaluer, d'examiner et de résoudre rapidement les problèmes de sécurité sur plusieurs environnements cloud.
Chaque déploiement cloud présente des risques uniques. Security Command Center peut vous aider à comprendre et à évaluer la surface d'attaque de vos projets ou de votre organisation sur Google Cloud, ainsi que la surface d'attaque de vos autres environnements cloud. Correctement configuré pour protéger vos ressources, Security Command Center peut vous aider à comprendre les failles et les menaces détectées dans vos environnements cloud, et à hiérarchiser leurs corrections.
Security Command Center s'intègre à de nombreux services Google Cloud pour détecter les problèmes de sécurité dans plusieurs environnements cloud. Ces services détectent les problèmes de différentes manières, par exemple en analysant les métadonnées des ressources, les journaux cloud, les conteneurs et les machines virtuelles.
Certains de ces services intégrés, tels que Opérations de sécurité Chronicle et Mandiant, fournissent également des fonctionnalités et des informations essentielles pour hiérarchiser et gérer vos investigations et la réponse aux problèmes détectés.
Gérer les menaces
Security Command Center utilise à la fois les services Google Cloud intégrés et intégrés pour détecter les menaces. Ces services analysent vos journaux, conteneurs et machines virtuelles Google Cloud à la recherche d'indicateurs de menace.
Lorsque certains de ces services, tels qu'Event Threat Detection ou Container Threat Detection, détectent un indicateur de menace, ils émettent un résultat. Un résultat est un rapport ou un enregistrement concernant une menace individuelle ou un autre problème qu'un service a détecté dans votre environnement cloud. Les services qui émettent des résultats sont également appelés sources.
Les résultats déclenchent des alertes qui, en fonction de la gravité du résultat, peuvent générer une demande. Vous pouvez utiliser une demande avec un système de tickets pour affecter des propriétaires à l'enquête et à la réponse à une ou plusieurs alertes dans la demande. La génération d'alertes et de demandes dans Security Command Center est assurée par Chronicle SecOps.
Security Command Center peut détecter les menaces dans plusieurs environnements cloud. Pour détecter les menaces sur d'autres plates-formes cloud, une fois la connexion établie, Security Command Center ingère les journaux provenant de l'autre fournisseur. L'ingestion de journaux est fournie par Chronicle SecOps.
Pour en savoir plus, consultez les pages suivantes :
- Sources de sécurité des menaces
- Documentation Chronicle SecOps
- Gérez les résultats et les alertes avec les demandes d'assistance.
Fonctionnalités de détection et de gestion des menaces
Avec Security Command Center, les analystes SOC peuvent atteindre les objectifs de sécurité suivants:
- Détectez les événements dans vos environnements cloud qui indiquent une menace potentielle et triez les résultats ou les alertes associés.
- Désignez des propriétaires, et suivez la progression des enquêtes et des réponses avec un workflow intégré pour les demandes. Vous pouvez éventuellement intégrer vos systèmes de tickets préférés, tels que Jira ou ServiceNow.
- Étudiez les alertes de menace à l'aide de puissantes fonctionnalités de recherche et de recoupement.
- Définissez des workflows de réponse et automatisez les actions pour faire face aux attaques potentielles sur vos environnements cloud. Pour en savoir plus sur la définition de workflows de réponse et d'actions automatisées à l'aide de playbooks, qui sont basés sur Chronicle SecOps, consultez la page Utiliser des playbooks.
- Ignorez ou excluez les résultats ou les alertes qui sont de faux positifs.
- Concentrez-vous sur les menaces liées aux identités compromises et aux autorisations d'accès.
- Utilisez Security Command Center pour détecter, analyser et gérer les menaces potentielles dans vos autres environnements cloud, comme AWS.
Gérer les failles
Security Command Center offre des fonctionnalités complètes de détection des failles en exploitant divers services Google Cloud pour analyser automatiquement les ressources de votre environnement à la recherche de failles logicielles, d'erreurs de configuration et d'autres types de problèmes de sécurité susceptibles de vous exposer à des attaques. Ensemble, ces types de problèmes sont collectivement appelés failles.
Security Command Center utilise à la fois des services Google Cloud intégrés et intégrés pour détecter les problèmes de sécurité. Les services qui émettent des résultats sont également appelés sources. Lorsqu'un service détecte un problème, il émet un résultat pour l'enregistrer.
Par défaut, les demandes d'assistance sont ouvertes automatiquement pour les résultats de failles de gravité élevée et critique afin de vous aider à hiérarchiser leur correction. Vous pouvez attribuer des propriétaires à une demande et suivre la progression des actions correctives.
Pour en savoir plus, consultez ce document :
- Gérez les résultats et les alertes avec les demandes d'assistance.
- Services de détection des failles et des erreurs de configuration.
Failles logicielles
Pour vous aider à identifier, comprendre et hiérarchiser les failles logicielles, Security Command Center peut rechercher d'éventuelles failles au niveau des machines virtuelles (VM) et des conteneurs de vos environnements cloud. Pour chaque faille détectée, Security Command Center fournit des informations détaillées dans un enregistrement de résultat ou un résultat. Les informations fournies avec un résultat peuvent inclure les éléments suivants:
- Détails de la ressource concernée
- Des informations sur les enregistrements CVE associés, y compris une évaluation par Mandiant de l'impact et de l'exploitabilité de l'élément CVE
- Score d'exposition aux attaques pour vous aider à prioriser les mesures correctives
- Représentation visuelle du chemin qu'un pirate informatique peut emprunter vers les ressources de forte valeur exposées par la faille
Erreurs de configuration
Security Command Center mappe les détecteurs des services qui recherchent les erreurs de configuration aux contrôles des normes de conformité courantes du secteur. En plus de vous indiquer les normes de conformité non respectées par une erreur de configuration, le mappage vous permet de consulter une mesure de votre conformité avec les différentes normes, que vous pouvez ensuite exporter sous forme de rapport.
Pour en savoir plus, consultez la page Évaluer et signaler la conformité.
Non-respect des stratégies
Les niveaux Premium et Enterprise de Security Command Center incluent le service de stratégie de sécurité, qui émet des résultats lorsque vos ressources cloud ne respectent pas les règles définies dans les stratégies de sécurité que vous avez déployées dans votre environnement cloud.
Pour en savoir plus, consultez la page Service de stratégie de sécurité.
Valider l'Infrastructure as Code
Vous pouvez vérifier que vos fichiers IaC (Infrastructure as Code) sont conformes aux règles que vous définissez dans votre organisation Google Cloud, y compris à celles que vous définissez dans votre stratégie de sécurité. Cette fonctionnalité vous permet de vous assurer que vous ne déployez pas de ressources qui enfreignent les normes de votre organisation. Une fois que vous avez défini vos règles d'administration et, si nécessaire, activé le service Security Health Analytics, vous pouvez valider votre fichier de plan Terraform à l'aide de Google Cloud CLI, ou intégrer le processus de validation à votre workflow de développement Jenkins ou GitHub. Pour en savoir plus, consultez Vérifier que votre IaC respecte les règles de votre organisation.
Détecter les failles et les erreurs de configuration sur d'autres plates-formes cloud
Security Command Center Enterprise peut détecter les failles de plusieurs environnements cloud. Pour détecter les failles d'autres fournisseurs de services cloud, vous devez d'abord établir une connexion avec le fournisseur afin d'ingérer les métadonnées de ressource.
Pour en savoir plus, consultez Se connecter à AWS pour la détection des failles et l'évaluation des risques.
Fonctionnalités de gestion des failles et des stratégies
Avec Security Command Center, les analystes de failles, les administrateurs de stratégie et les professionnels de la sécurité similaires peuvent atteindre les objectifs de sécurité suivants:
- Détectez différents types de failles, y compris les failles logicielles, les erreurs de configuration et les cas de non-respect des stratégies, qui peuvent exposer vos environnements cloud à des attaques potentielles.
- Concentrez vos efforts de réponse et de remédiation sur les problèmes à haut risque en utilisant les scores d'exposition aux attaques sur les résultats et les alertes de failles.
- Attribuez des propriétaires et suivez la progression de la correction des failles en utilisant des cas et en intégrant vos systèmes de tickets préférés, tels que Jira ou ServiceNow.
- Sécurisez de manière proactive les ressources à forte valeur ajoutée de vos environnements cloud en diminuant leurs scores d'exposition aux attaques.
- Définissez des stratégies de sécurité personnalisées pour vos environnements cloud que Security Command Center utilise pour évaluer votre stratégie et vous alerter en cas de non-respect des règles.
- Ignorez ou excluez les résultats ou les alertes qui sont de faux positifs.
- Concentrez-vous sur les failles liées aux identités et aux autorisations excessives.
- Détectez et gérez les failles et les évaluations des risques de Security Command Center dans vos autres environnements cloud, comme AWS.
Évaluez les risques à l'aide des scores d'exposition aux attaques et des chemins d'attaque
Grâce aux activations des niveaux Premium et Enterprise au niveau de l'organisation, Security Command Center fournit des scores d'exposition aux attaques pour les ressources de forte valeur, ainsi que les résultats de failles et d'erreurs de configuration qui affectent les ressources de forte valeur.
Vous pouvez utiliser ces scores pour hiérarchiser la correction des failles et les erreurs de configuration, la sécurité de vos ressources de forte valeur les plus exposées, et l'évaluation générale du degré d'exposition de vos environnements cloud aux attaques.
Dans le volet Failles actives de la page Présentation des risques de la console Google Cloud, l'onglet Résultats par score d'exposition aux attaques affiche les résultats présentant les scores d'exposition aux attaques les plus élevés dans votre environnement, ainsi que la répartition de ces scores.
Pour en savoir plus, consultez l'article Scores d'exposition aux attaques et chemins d'attaque.
Gérer les résultats et les alertes avec les demandes
Security Command Center Enterprise crée des demandes pour vous aider à gérer les résultats et les alertes, à attribuer des propriétaires, et à gérer les enquêtes et les réponses aux problèmes de sécurité détectés. Les demandes sont ouvertes automatiquement pour les problèmes sévères ou critiques.
Vous pouvez intégrer des demandes à votre système de tickets préféré, tel que Jira ou ServiceNow. Lorsque des demandes sont mises à jour, toutes les demandes en cours peuvent être mises à jour automatiquement. De même, si une demande d'assistance est mise à jour, la demande correspondante peut également être mise à jour.
La fonctionnalité de demande est fournie par Chronicle SecOps.
Pour en savoir plus, consultez la section Présentation des demandes dans la documentation Chronicle SecOps.
Définir des workflows de réponse et des actions automatisées
Définissez des workflows de réponse et automatisez les actions permettant d'examiner les problèmes de sécurité détectés dans vos environnements cloud et d'y répondre.
Pour en savoir plus sur la définition de workflows de réponse et d'actions automatisées à l'aide de playbooks, qui sont basés sur Chronicle SecOps, consultez la page Utiliser des playbooks.
Compatibilité multicloud: sécurisez vos déploiements sur d'autres plates-formes cloud
Vous pouvez étendre les services et fonctionnalités de Security Command Center à vos déploiements sur d'autres plates-formes cloud. Cela vous permet de gérer de manière centralisée toutes les menaces et failles détectées dans l'ensemble de vos environnements cloud.
Pour en savoir plus sur la connexion de Security Command Center à un autre fournisseur de services cloud, consultez les pages suivantes:
- Pour la détection des menaces, consultez Se connecter à AWS pour détecter les menaces.
- Pour obtenir des scores d'exposition aux attaques et de détection des failles, consultez Se connecter à AWS pour la détection des failles et l'évaluation des risques.
Fournisseurs de services cloud acceptés
Security Command Center peut se connecter à Amazon Web Services (AWS).
Définir et gérer des stratégies de sécurité
En activant les niveaux Premium et Enterprise de Security Command Center au niveau de l'organisation, vous pouvez créer et gérer des stratégies de sécurité qui définissent l'état requis de vos éléments cloud, y compris votre réseau cloud et vos services cloud, pour une sécurité optimale dans votre environnement cloud. Vous pouvez personnaliser les stratégies de sécurité en fonction des besoins réglementaires et de sécurité de votre entreprise. En définissant une stratégie de sécurité, vous pouvez minimiser les risques de cybersécurité pour votre organisation et empêcher les attaques.
Le service de stratégie de sécurité de Security Command Center vous permet de définir et de déployer une stratégie de sécurité, et de détecter toute dérive ou modification non autorisée par rapport à la stratégie que vous avez définie.
Le service Stratégie de sécurité est automatiquement activé lorsque vous activez Security Command Center au niveau de l'organisation.
Pour en savoir plus, consultez la page Présentation de la stratégie de sécurité.
Identifier vos éléments
Security Command Center inclut des informations sur les éléments provenant de l'inventaire des éléments cloud, qui surveille en permanence les éléments de votre environnement cloud. Pour la plupart des éléments, les modifications de configuration, y compris les stratégies IAM et les règles d'administration, sont détectées quasiment en temps réel.
Sur la page Éléments de la console Google Cloud, vous pouvez rapidement appliquer, modifier et exécuter des exemples de requêtes d'éléments, ajouter une contrainte de temps prédéfinie ou rédiger vos propres requêtes d'éléments.
Si vous disposez du niveau Premium ou Entreprise de Security Command Center, vous pouvez identifier les éléments désignés comme ressources à forte valeur ajoutée pour l'évaluation des risques par des simulations de chemin d'attaque.
Vous pouvez rapidement identifier les changements dans votre organisation ou votre projet et répondre à des questions telles que:
- Combien de projets avez-vous et quand ont-ils été créés ?
- Quelles sont vos ressources Google Cloud déployées ou utilisées (VM Compute Engine, buckets Cloud Storage ou instances App Engine, par exemple) ?
- Quel est votre historique de déploiement ?
- Comment organiser, annoter, rechercher, sélectionner, filtrer et trier dans les catégories suivantes :
- Éléments et propriétés des éléments
- Marques de sécurité, qui vous permettent d'annoter des éléments ou des résultats dans Security Command Center
- Période
L'inventaire des éléments cloud connaît toujours l'état actuel des éléments compatibles et, dans la console Google Cloud, vous permet d'examiner l'historique des analyses de découverte afin de comparer les éléments entre des moments précis. Vous pouvez également rechercher les éléments sous-utilisés, telles que les machines virtuelles ou les adresses IP inactives.
Fonctionnalités Gemini dans Security Command Center
Security Command Center intègre Gemini pour fournir des résumés des résultats et des chemins d'attaque, et pour vous aider dans vos recherches et vos enquêtes sur les menaces et les failles détectées.
Pour en savoir plus sur Gemini, consultez la page Présentation de Gemini.
Récapitulatifs Gemini des résultats et chemins d'attaque
Si vous utilisez Security Command Center Enterprise ou Premium, Gemini fournit des explications générées dynamiquement pour chaque résultat et pour chaque chemin d'attaque simulé que Security Command Center génère pour les résultats des classes Vulnerability et Misconfiguration.
Les résumés sont écrits en langage naturel pour vous aider à comprendre rapidement les résultats et les chemins d'attaque associés, et à prendre les mesures qui s'imposent.
Ils apparaissent aux emplacements suivants dans la console Google Cloud:
- Lorsque vous cliquez sur le nom d'un résultat individuel, le résumé s'affiche en haut de sa page d'informations.
- Avec les niveaux Premium et Enterprise de Security Command Center, si un résultat présente un score d'exposition aux attaques, vous pouvez afficher le résumé à droite du chemin d'attaque en cliquant sur le score d'exposition aux attaques, puis sur Résumé de l'IA.
Autorisations IAM requises pour les résumés générés par IA
Pour afficher les résumés de l'IA, vous devez disposer des autorisations IAM requises.
Pour les résultats, vous devez disposer de l'autorisation IAM securitycenter.findingexplanations.get. Le rôle IAM prédéfini le moins permissif qui contient cette autorisation est le rôle Lecteur de résultats du centre de sécurité (roles/securitycenter.findingsViewer).
Pour les chemins d'attaque, vous avez besoin de l'autorisation IAM securitycenter.exposurepathexplan.get. Le rôle IAM prédéfini le moins permissif qui contient cette autorisation est le rôle Lecteur des chemins d'exposition du centre de sécurité (roles/securitycenter.exposurePathsViewer).
Pendant la phase preview, ces autorisations ne sont pas disponibles dans la console Google Cloud et ne peuvent pas être ajoutées aux rôles IAM personnalisés.
Pour ajouter l'autorisation à un rôle personnalisé, vous pouvez utiliser la Google Cloud CLI.
Pour en savoir plus sur l'utilisation de Google Cloud CLI pour ajouter des autorisations à un rôle personnalisé, consultez la page Créer et gérer des rôles personnalisés.
Recherche en langage naturel pour les investigations de menaces
Vous pouvez générer des recherches de résultats de menaces, d'alertes et d'autres informations à l'aide de requêtes en langage naturel et de Gemini. L'intégration à Gemini pour la recherche en langage naturel est fournie par Chronicle SecOps. Pour en savoir plus, consultez la section Utiliser le langage naturel pour générer des requêtes de recherche UDM dans la documentation Chronicle SecOps.
Widget d'investigation par IA pour les demandes
Pour vous aider à comprendre et à étudier les cas pour les résultats et les alertes, Genemini fournit un résumé de chaque cas et suggère les prochaines étapes à suivre pour étudier le cas. Le résumé et les étapes suivantes apparaissent dans le widget Investigation IA lorsque vous consultez une demande.
Cette intégration à Gemini est fournie par Chronicle SecOps.
Informations exploitables sur la sécurité
Les services Google Cloud intégrés et intégrés de Security Command Center surveillent en permanence vos éléments et vos journaux pour détecter les indicateurs de compromission et les modifications de configuration qui correspondent aux menaces, failles et erreurs de configuration connues. Pour fournir du contexte sur les incidents, les résultats sont enrichis avec des informations provenant des sources suivantes :
- Avec les niveaux Enterprise et Premium :
- Résumés générés par IA qui vous aident à comprendre les résultats de Security Command Center et à prendre des mesures en conséquence, ainsi que les chemins d'attaque associés. Pour en savoir plus, consultez Résumés générés par IA.
- Les résultats de failles comprennent des informations provenant des entrées CVE correspondantes, y compris le score CVE, ainsi que les évaluations de Mandiant concernant l'impact potentiel de la faille et son potentiel d'exploitation.
- Les puissantes fonctionnalités de recherche SIEM et SOAR fournies par Chronicle SecOps vous permettent d'examiner les menaces et les failles, et de croiser les données des entités associées sur une chronologie unifiée.
- VirusTotal, un service appartenant à Alphabet qui fournit du contexte sur les fichiers, URL, domaines et adresses IP potentiellement malveillants.
- Framework MITRE ATT&CK, qui explique les techniques d'attaque contre les ressources cloud et fournit des conseils pour y remédier.
- Cloud Audit Logs (journaux des activités d'administration et journaux d'accès aux données)
Des notifications en quasi-temps réel pour les nouveaux résultats permettent à vos équipes de sécurité de recueillir des données, d'identifier les menaces et d'appliquer les recommandations avant tout impact négatif sur l'activité commerciale.
Grâce à une vue centralisée de votre stratégie de sécurité et à une API robuste, vous pouvez rapidement effectuer les opérations suivantes:
- Répondre à des questions telles que les suivantes :
- Quelles sont les adresses IP statiques ouvertes au public ?
- Quelles sont les images en cours d'exécution sur vos VM ?
- Y a-t-il des preuves que vos VM sont utilisées à des fins de minage de cryptomonnaie ou d'autres opérations abusives ?
- Quels comptes de service ont été ajoutés ou supprimés ?
- Comment les pare-feu sont-ils configurés ?
- Quels buckets de stockage contiennent des informations personnelles ou des données sensibles ? Cette fonctionnalité nécessite une intégration à la protection des données sensibles.
- Quelles applications cloud sont vulnérables aux failles de script intersites (XSS) ?
- Certains de vos buckets Cloud Storage sont-ils ouverts à Internet ?
- Prendre les mesures nécessaires pour protéger vos ressources :
- Mettre en œuvre des mesures correctives validées pour les erreurs de configuration des éléments et les cas de non-conformité.
- Combiner la détection des menaces de Google Cloud et celle de fournisseurs tiers tels que Palo Alto Networks pour mieux protéger votre entreprise des menaces potentiellement coûteuses ciblant la couche de calcul.
- Vérifier que des stratégies IAM appropriées sont en place et recevoir des alertes lorsque ces stratégies sont mal configurées ou modifiées de manière inattendue.
- Intégrez les résultats de vos sources propres ou tierces aux ressources Google Cloud ou à d'autres ressources hybrides ou multicloud. Pour en savoir plus, consultez Ajouter un service de sécurité tiers.
- Réagissez aux menaces dans votre environnement Google Workspace et aux modifications potentiellement dangereuses de vos groupes Google.
Erreurs de configuration concernant l'identité et les accès
Security Command Center vous permet d'identifier et de résoudre plus facilement les erreurs de configuration d'identité et d'accès sur Google Cloud. La gestion des problèmes de sécurité liés à l'identité et aux accès est parfois appelée gestion des droits d'accès de l'infrastructure cloud (CIEM, Cloud Infrastructure Entitlement Management).
Les résultats d'erreur de configuration de Security Command Center identifient les comptes principaux (identities) mal configurés ou qui disposent d'autorisations IAM excessives ou sensibles (identities) aux ressources Google Cloud.
Vous pouvez consulter les résultats les plus critiques concernant l'identité et les accès dans le panneau Résultats sur l'identité et les accès au bas de la page Présentation de Security Command Center dans la console Google Cloud.
Sur la page Failles de la console Google Cloud, vous pouvez sélectionner des requêtes prédéfinies (requêtes prédéfinies) qui affichent les détecteurs ou catégories de failles liés à l'identité et aux accès. Pour chaque catégorie, le nombre de résultats actifs s'affiche.
Pour en savoir plus sur les préréglages de requête, consultez Appliquer des préréglages de requête.
Gérer la conformité avec les normes du secteur
Security Command Center surveille votre conformité à l'aide de détecteurs mappés aux contrôles d'un large éventail de normes de sécurité.
Pour chaque norme de sécurité compatible, Security Command Center vérifie un sous-ensemble des contrôles. Pour les commandes cochées, Security Command Center vous indique le nombre de commandes validées. Pour les contrôles qui ne réussissent pas, Security Command Center affiche une liste de résultats décrivant les échecs des contrôles.
Le CIS examine et certifie les mappages des détecteurs Security Command Center avec chaque version compatible du benchmark CIS de Google Cloud Foundations. Les mappages de conformité supplémentaires sont inclus à titre de référence uniquement.
Security Command Center ajoute régulièrement la prise en charge de nouvelles versions et normes de benchmark. Les anciennes versions restent compatibles, mais finissent par devenir obsolètes. Nous vous recommandons d'utiliser la norme ou le benchmark compatible le plus récent.
Avec le service de stratégie de sécurité, vous pouvez mapper les règles d'administration et les détecteurs Security Health Analytics avec les normes et les contrôles qui s'appliquent à votre entreprise. Une fois que vous avez créé une stratégie de sécurité, vous pouvez surveiller les modifications de l'environnement qui pourraient affecter la conformité de votre entreprise.
Pour en savoir plus sur la gestion de la conformité, consultez la page Évaluer et signaler la conformité avec les normes de sécurité.
Normes de sécurité compatibles avec Google Cloud
Security Command Center mappe les détecteurs pour Google Cloud sur une ou plusieurs des normes de conformité suivantes:
- Center for Information Security (CIS) Controls 8.0
- Benchmark Google Cloud Computing Foundations Benchmark CIS v2.0.0, v1.3.0, v1.2.0, v1.1.0 et v1.0.0
- Benchmark CIS de Kubernetes v1.5.1
- Cloud Controls Matrix (CCM) 4
- Health Insurance Portability and Accountability Act (HIPAA)
- Organisation internationale de normalisation (ISO) 27001, 2022 et 2013
- National Institute of Standards and Technology (NIST) 800-53 R5 et R4
- NIST CSF 1.0
- Open Web Application Security Project (OWASP) Top Ten, 2021 et 2017
- Norme PCI DSS (Payment Card Industry Data Security Standard) 4.0 et 3.2.1
- Systèmes et contrôles d'organisation (SOC) 2 2017 Trusted Services Criteria (TSC)
Normes de sécurité compatibles avec AWS
Security Command Center mappe les détecteurs pour Amazon Web Services (AWS) sur une ou plusieurs des normes de conformité suivantes:
- CIS Amazon Web Services Foundations 2.0.0
- CIS Controls 8.0
- CCM 4
- HIPAA
- ISO 27001 2022
- NIST 800-53 R5
- NIST CSF 1.0
- PCI DSS 4.0 et 3.2.1
- SOC 2 2017 TSC
Une plate-forme flexible répondant à tous vos besoins en matière de sécurité
Security Command Center comprend des options de personnalisation et d'intégration qui vous permettent d'améliorer l'utilité du service pour répondre à l'évolution de vos besoins de sécurité.
Options de personnalisation
Vous disposez des options de personnalisation suivantes:
- Créez des modules personnalisés pour Security Health Analytics afin de définir vos propres règles de détection des failles, des erreurs de configuration ou des cas de non-conformité.
- Créez des modules personnalisés pour Event Threat Detection afin de surveiller votre flux Logging pour détecter les menaces basées sur les paramètres que vous spécifiez.
- Créez des stratégies de sécurité qui vous permettent de surveiller tout changement de l'environnement susceptible d'affecter votre conformité avec diverses normes réglementaires.
Options d'intégration
Les options d'intégration sont les suivantes:
- Utilisez Pub/Sub pour exporter les résultats vers Splunk ou d'autres systèmes SIEM pour l'analyse.
- Utilisez Pub/Sub et Cloud Functions pour corriger rapidement et automatiquement les résultats.
- Accédez à des outils Open Source pour étendre les fonctionnalités et automatiser les réponses.
- Intégration aux services de sécurité Google Cloud :
- Intégrez des solutions de sécurité de partenaires tiers :
- Les insights sur la sécurité de Google Cloud issus des produits partenaires sont agrégés dans Security Command Center, et vous pouvez les introduire dans des systèmes et des workflows existants.
Quand utiliser Security Command Center
Le tableau suivant présente les caractéristiques générales des produits et inclut des cas d'utilisation ainsi que des liens vers la documentation pertinente pour vous aider à trouver rapidement le contenu dont vous avez besoin.
| Sélection | Cas d'utilisation | Documents associés |
|---|---|---|
| Identification et examen des assets |
|
Bonnes pratiques concernant Security Command Center Utiliser Security Command Center dans la console Google Cloud |
| Identification des données sensibles |
|
Envoyer les résultats de la protection des données sensibles à Security Command Center |
| Intégration de produits SIEM et SOAR tiers |
|
Exporter des données Security Command Center |
| Détection des erreurs de configuration |
|
Présentation de Security Health Analytics
Présentation de Web Security Scanner |
| Détection des vulnérabilités logicielles |
|
Présentation de Web Security Scanner |
| Surveillance du contrôle des identités et des accès |
|
Outil de recommandation IAM |
| Détection des menaces |
|
Gérer les menaces |
| Détection d'erreurs |
|
Présentation des erreurs de Security Command Center |
| Hiérarchiser les corrections |
|
Présentation des scores d'exposition aux attaques et des chemins d'attaque |
| Corriger les risques |
|
Examiner et contrer les menaces
Corriger les résultats de Security Health Analytics Corriger les problèmes identifiés par Web Security Scanner Résultats et corrections rapides des failles |
| Gestion de la stratégie |
|
Présentation de la stratégie de sécurité |
| Intégration d'outils de sécurité tiers |
|
Configurer Security Command Center |
| Notifications en temps réel |
|
Configurer des notifications de recherche Activer les notifications par e-mail et de chat en temps réel Utiliser des marques de sécurité |
| API REST et SDK client |
|
Configurer Security Command Center |
Contrôles de la résidence des données
Pour répondre aux exigences de résidence des données, vous pouvez activer les contrôles de résidence des données lorsque vous activez Security Command Center Premium pour la première fois.
L'activation des contrôles de résidence des données limite le stockage et le traitement des résultats, des règles de masquage, des exportations continues et des exportations BigQuery de Security Command Center vers l'une des zones multirégionales de résidence des données compatibles avec Security Command Center.
Pour en savoir plus, consultez Planifier la résidence des données.
Niveaux de service de Security Command Center
Security Command Center propose trois niveaux de service: Standard, Premium et Enterprise.
Le niveau que vous sélectionnez détermine les fonctionnalités et les services disponibles avec Security Command Center.
Si vous avez des questions sur les niveaux de service de Security Command Center, contactez votre responsable de compte ou le service commercial Google Cloud.
Pour en savoir plus sur les coûts associés à l'utilisation d'un niveau de Security Command Center, consultez la section Tarifs.
Niveau standard
Le niveau Standard comprend les services et fonctionnalités suivants:
-
Security Health Analytics : au niveau Standard, Security Health Analytics fournit une analyse gérée de l'évaluation des failles pour Google Cloud, qui peut détecter automatiquement les failles et les erreurs de configuration les plus graves liées à vos éléments Google Cloud. Au niveau Standard, Security Health Analytics inclut les types de résultats suivants:
Dataproc image outdatedLegacy authorization enabledMFA not enforcedNon org IAM memberOpen ciscosecure websm portOpen directory services portOpen firewallOpen group IAM memberOpen RDP portOpen SSH portOpen Telnet portPublic bucket ACLPublic Compute imagePublic datasetPublic IP addressPublic log bucketPublic SQL instanceSSL not enforcedWeb UI enabled
- Analyses personnalisées de Web Security Scanner: au niveau Standard, Web Security Scanner accepte les analyses personnalisées des applications déployées avec des URL publiques et des adresses IP qui ne sont pas protégées par un pare-feu. Les analyses sont configurées, gérées et exécutées manuellement pour tous les projets. Elles acceptent un sous-ensemble de catégories du Top 10 de l'OWASP.
- Erreurs de Security Command Center : Security Command Center fournit des conseils de détection et de résolution pour les erreurs de configuration qui empêchent Security Command Center et ses services de fonctionner correctement.
- Fonctionnalité d'exportations continues, qui gère automatiquement l'exportation des nouveaux résultats vers Pub/Sub.
-
Accès aux services Google Cloud intégrés, y compris :
- La protection des données sensibles détecte, classe et protège les données sensibles.
- Google Cloud Armor protège les déploiements Google Cloud contre les menaces.
- La fonctionnalité Détection d'anomalies identifie les anomalies de sécurité dans vos projets et vos instances de machines virtuelles (VM), telles que la fuite potentielle d'identifiants et le minage de cryptomonnaie.
- Policy Controller permet d'appliquer des règles programmables pour vos clusters Kubernetes.
- Résultats du tableau de bord de stratégie de sécurité GKE : consultez les résultats concernant les erreurs de configuration de la sécurité des charges de travail Kubernetes, les bulletins de sécurité exploitables et les failles du système d'exploitation du conteneur ou des packages de langage. L'intégration des résultats du tableau de bord de stratégie de sécurité GKE à Security Command Center est disponible en version preview.
- L'intégration à BigQuery, qui exporte les résultats vers BigQuery à des fins d'analyse.
- Intégration à Forseti Security, la boîte à outils de sécurité Open Source pour Google Cloud, et à des applications tierces de gestion des informations et des événements de sécurité (SIEM).
- Lorsque Security Command Center est activé au niveau de l'organisation, vous pouvez attribuer aux utilisateurs des rôles IAM au niveau de l'organisation, des dossiers et du projet.
Niveau Premium
Le niveau Premium comprend tous les services et fonctionnalités du niveau Standard, ainsi que les services et fonctionnalités supplémentaires suivants:
- Les simulations de chemin d'attaque vous permettent d'identifier et de hiérarchiser les résultats de failles et de mauvaises configurations en identifiant les chemins qu'un pirate informatique pourrait emprunter pour accéder à vos ressources de forte valeur. Les simulations calculent et attribuent des scores d'exposition aux attaques à tous les résultats qui exposent ces ressources. Les chemins d'attaque interactifs vous aident à visualiser les chemins d'attaque possibles et à fournir des informations sur ces chemins, les résultats associés et les ressources affectées.
-
Les résultats de failles incluent des évaluations CVE fournies par Mandiant pour vous aider à hiérarchiser leur correction.
Sur la page Présentation de la console, la section Principaux résultats CVE regroupe les failles identifiées, regroupées en fonction de leur potentiel d'exploitabilité et de leur impact potentiel, évalués par Mandiant. Sur la page Résultats, vous pouvez interroger les résultats par ID de CVE.
Pour en savoir plus, consultez la section Hiérarchiser en fonction de l'impact et de l'exploitabilité des failles CVE.
- Event Threat Detection surveille Cloud Logging et Google Workspace à l'aide des renseignements sur les menaces, du machine learning et d'autres méthodes avancées permettant de détecter les menaces telles que les logiciels malveillants, le minage de cryptomonnaie et l'exfiltration de données. Pour obtenir la liste complète des détecteurs Event Threat Detection intégrés, consultez la page Règles Event Threat Detection. Vous pouvez également créer des détecteurs personnalisés Event Threat Detection. Pour en savoir plus sur les modèles de module que vous pouvez utiliser pour créer des règles de détection personnalisées, consultez la page Présentation des modules personnalisés pour Event Threat Detection.
-
Container Threat Detection détecte les attaques suivantes visant l'environnement d'exécution des conteneurs :
- Fichier binaire ajouté exécuté
- Ajout de bibliothèque chargée
- Exécution: ajout d'un binaire malveillant exécuté
- Exécution: ajout d'une bibliothèque malveillante chargée
- Exécution: fichier binaire malveillant intégré exécuté
- Exécution: binaire malveillant modifié exécuté
- Exécution: Bibliothèque malveillante modifiée chargée
- Script malveillant exécuté
- Shell inversé
- Shell enfant inattendu
- Le service Actions sensibles détecte les actions effectuées par un acteur malveillant dans votre organisation, vos dossiers et vos projets Google Cloud, qui pourraient nuire à votre entreprise.
- Virtual Machine Threat Detection détecte les applications potentiellement malveillantes qui s'exécutent sur des instances de VM.
-
Security Health Analytics au niveau Premium inclut les fonctionnalités suivantes:
- Analyses des failles gérées pour tous les détecteurs Security Health Analytics
- Surveillance de nombreuses bonnes pratiques du secteur
- Surveillance de la conformité Les détecteurs Security Health Analytics correspondent aux contrôles des benchmarks de sécurité courants.
- Compatibilité avec des modules personnalisés, que vous pouvez utiliser pour créer vos propres détecteurs Security Health Analytics personnalisés
Au niveau Premium, Security Health Analytics respecte les normes décrites dans Gérer la conformité avec les normes du secteur.
- Web Security Scanner au niveau Premium inclut toutes les fonctionnalités du niveau Standard et des détecteurs supplémentaires compatibles avec les catégories du top 10 de l'OWASP. Web Security Scanner ajoute également des analyses gérées, configurées automatiquement.
Surveillance de la conformité de vos éléments Google Cloud.
Pour évaluer votre conformité avec les normes et benchmarks de sécurité courants, les détecteurs des analyseurs de failles de Security Command Center sont associés aux contrôles des normes de sécurité courantes.
Vous pouvez vérifier votre conformité avec les normes, identifier les contrôles non conformes, exporter des rapports et plus encore. Pour en savoir plus, consultez la page Évaluer et signaler la conformité avec les normes de sécurité.
- Vous pouvez demander une augmentation du quota sur l'inventaire des éléments cloud si vous avez besoin d'une surveillance étendue des éléments.
- La détection rapide des failles analyse les réseaux et les applications Web afin de détecter les identifiants faibles, les installations logicielles incomplètes et les autres failles critiques susceptibles d'être exploitées.
- Le service de stratégie de sécurité vous permet de définir, d'évaluer et de surveiller l'état général de votre sécurité dans Google Cloud. Le service "Stratégie de sécurité" n'est disponible que dans le niveau Premium de Security Command Center pour les clients qui souscrivent un abonnement à prix fixe et activent le niveau Premium de Security Command Center au niveau de l'organisation. Le service de stratégie de sécurité n'est pas compatible avec la facturation en fonction de l'utilisation ni avec les activités au niveau du projet.
- Le service Secured Destination Zone ne peut être activé qu'au niveau Premium de Security Command Center. Lorsque cette option est activée, ce service affiche les résultats en cas de non-respect des règles dans les ressources du plan déployé, génère les alertes correspondantes et prend des mesures correctives automatiques de manière sélective.
- Rapports sur les failles de VM Manager
- Si vous activez VM Manager, le service écrit automatiquement les résultats de ses rapports de failles, en version preview, dans Security Command Center. Les rapports identifient les failles des systèmes d'exploitation installés sur les machines virtuelles Compute Engine. Pour en savoir plus, consultez la page VM Manager.
Niveau Entreprise
Le niveau Entreprise est une plate-forme cloud native complète de protection des applications (CNAPP) qui permet aux analystes SOC, aux analystes de failles et à d'autres professionnels de la sécurité cloud de gérer la sécurité de plusieurs fournisseurs de services cloud dans une interface centralisée.
Le niveau Entreprise offre des fonctionnalités de détection et d'investigation, une assistance à la gestion des demandes et la gestion des stratégies, y compris la possibilité de définir et de déployer des règles de stratégie personnalisées, ainsi que de quantifier et de visualiser les risques liés aux failles et aux erreurs de configuration pour votre environnement cloud.
Le niveau Entreprise comprend l'ensemble des services et fonctionnalités des niveaux Standard et Premium, ainsi que les services et fonctionnalités supplémentaires suivants:
Fonctions à l'échelle de l'entreprise basées sur la solution Opérations de sécurité Chronicle
La fonction de gestion des demandes, les fonctionnalités des playbooks et les autres fonctionnalités SIEM et SOAR du niveau Entreprise de Security Command Center sont basées sur la solution Opérations de sécurité Chronicle. Lorsque vous utilisez certaines de ces fonctionnalités, le nom Chronicle peut s'afficher dans l'interface Web. Vous pouvez être redirigé vers la documentation de Chronicle SecOps pour obtenir des conseils.
Certaines fonctionnalités Chronicle SecOps ne sont pas compatibles ou limitées avec Security Command Center, mais il est possible que leur utilisation ne soit pas désactivée ni limitée dans les abonnements anticipés au niveau Enterprise. N'utilisez les fonctionnalités suivantes que dans les limites indiquées:
- L'ingestion de journaux cloud est limitée aux journaux pertinents pour la détection des menaces dans le cloud, par exemple :
- Google Cloud
- Journaux des activités d'administration Cloud Audit Logs
- Journaux d'accès aux données Cloud Audit Logs
- syslog de Compute Engine
- Journal d'audit GKE
- Google Workspace
- Événements Google Workspace
- Alertes Google Workspace
- AWS
- Journaux d'audit CloudTrail
- Syslog
- Journaux d'authentification
- Événements GuardDuty
- Les détections sélectionnées sont limitées à celles qui détectent les menaces dans les environnements cloud.
- Les intégrations à Google Cloud Marketplace sont limitées aux éléments suivants :
- Simplifier
- Outils
- VirusTotal V3
- Inventaire des éléments Google Cloud
- Google Security Command Center
- Jira
- Fonctions
- Google Cloud IAM
- E-mail V2
- Google Cloud Compute
- Google Chronicle
- Mitre att&ck
- Mandiant Threat Intelligence
- Google Cloud Policy Intelligence
- Outil de recommandation Google Cloud
- Siemplify Utilitaires
- Service Now
- CSV
- SCC Enterprise
- AWS IAM
- AWS EC2
- Le nombre de règles personnalisées pour un événement unique est limité à 20 règles.
- L'analyse des risques pour UEBA (analyse des comportements des utilisateurs et des entités) n'est pas disponible.
- Applied Threat Intelligence indisponible.
- La compatibilité de Chronicle SecOps avec Gemini est limitée à la recherche en langage naturel et aux résumés d'investigations de cas.
- La conservation des données est limitée à trois mois.
Récapitulatif des fonctions et services du niveau Enterprise
Le niveau Entreprise comprend tous les services et fonctionnalités des niveaux Standard et Premium, à l'exception de la résidence des données.
Le niveau Entreprise ajoute les services et fonctionnalités suivants à Security Command Center:
- Compatibilité multicloud Vous pouvez connecter Security Command Center à d'autres fournisseurs cloud, tels qu'AWS, pour détecter les menaces, les failles et les erreurs de configuration. Après avoir spécifié vos ressources de forte valeur chez l'autre fournisseur, vous pouvez également évaluer leur exposition aux attaques à l'aide des scores d'exposition aux attaques et des chemins d'attaque.
- Fonctionnalités SIEM (gestion des informations et des événements de sécurité) pour les environnements cloud, basées sur Chronicle SecOps. Analysez les journaux et les autres données à la recherche de menaces pour plusieurs environnements cloud, définissez des règles de détection des menaces et recherchez les données accumulées. Pour en savoir plus, consultez la documentation SIEM Chronicle SecOps.
- Fonctionnalités SOAR (orchestration de la sécurité, automatisation et réponse) pour les environnements cloud, basées sur Chronicle SecOps. Gérez les demandes, définissez des workflows de réponse et effectuez des recherches dans les données de réponse. Pour en savoir plus, consultez la documentation sur le SOAR Chronicle SecOps.
- Détection étendue des failles logicielles dans les VM et les conteneurs de vos environnements cloud avec l'évaluation des failles, VM Manager et Google Kubernetes Engine (GKE) édition Enterprise.
Niveaux d'activation de Security Command Center
Vous pouvez activer Security Command Center sur un projet individuel, ce que l'on appelle une activation au niveau du projet, ou une organisation entière (activation au niveau de l'organisation).
Le niveau Entreprise nécessite une activation au niveau de l'organisation.
Pour en savoir plus sur l'activation de Security Command Center, consultez la section Présentation de l'activation de Security Command Center.
Étapes suivantes
- Découvrez comment activer Security Command Center.
- En savoir plus sur les sources de sécurité de Security Command Center
- Découvrez comment utiliser Security Command Center dans la console Google Cloud.