Descripción general de Security Command Center

En esta página, se proporciona una descripción general de Security Command Center, una solución de administración de riesgos que, con el nivel Enterprise, combina la seguridad en la nube y las operaciones de seguridad empresarial, y brinda estadísticas de la experiencia de Mandiant y de la inteligencia artificial de Gemini.

Security Command Center permite que los analistas del Centro de operaciones de seguridad (SOC), los analistas de postura y vulnerabilidad, los administradores de cumplimiento y otros profesionales de la seguridad evalúen, investiguen y respondan con rapidez los problemas de seguridad en varios entornos de nube.

Cada implementación de nube tiene riesgos únicos. Security Command Center puede ayudarte a comprender y evaluar la superficie de ataque de la organización o los proyectos en Google Cloud, así como la superficie de ataque de los otros entornos de nube. Security Command Center, que está configurado de forma correcta para proteger tus recursos, puede ayudarte a comprender las vulnerabilidades y amenazas detectadas en tus entornos de nube y priorizar sus correcciones.

Security Command Center se integra en muchos servicios de Google Cloudd para detectar problemas de seguridad. Estos servicios detectan problemas de varias maneras, como con análisis de metadatos de recursos, de registros en la nube, de contenedores y de máquinas virtuales.

Algunos de estos servicios integrados, como Google Security Operations y Mandiant, también proporcionan información y capacidades que son fundamentales para priorizar y administrar tus investigaciones y responder a problemas detectados.

Administra las amenazas

En los niveles Premium y Enterprise, Security Command Center usa servicios integrados y también integrados de Google Cloud para detectar amenazas. Los servicios analizan registros, contenedores y máquinas virtuales deGoogle Cloudd en busca de indicadores.

Cuando estos servicios, como Event Threat Detection o Container Threat Detection, detectan un indicador de amenaza, emiten un hallazgo. Un hallazgo es un informe o registro de una amenaza individual o de otro problema que un servicio haya encontrado en tu entorno de nube. Los servicios que emiten resultados también se denominan fuentes de resultados.

En Security Command Center Enterprise, los resultados activan alertas que, según la gravedad del resultado, pueden generar un caso. Puedes usar un caso con un sistema de tickets para asignar propietarios a la investigación de una o más alertas del caso y responder a ellas. La generación de alertas y casos en Security Command Centerr cuenta con la tecnología de SecOps.

Security Command Center Enterprise también puede detectar amenazas en tus implementaciones en otras plataformas en la nube. Para detectar amenazas en implementaciones en otras plataformas en la nube, Security Command Center transfiere los registros de la otra plataforma en la nube después de establecer una conexión. La transferencia de registros de otras plataformas en la nube funciona con Google SecOps.

Si deseas obtener más información, consulta las siguientes páginas:

Funciones de detección y respuesta ante amenazas

Con Security Command Center, los analistas del SOC pueden lograr los siguientes objetivos de seguridad:

  • Detecta eventos en tus entornos de nube que indiquen una amenaza potencial y clasifica los hallazgos o las alertas asociados.
  • Asigna propietarios y haz un seguimiento del progreso de las investigaciones y las respuestas con un flujo de trabajo integrado de casos. De forma opcional, puedes integrar tus sistemas de tickets preferidos, como Jira o ServiceNow.
  • Investiga las alertas de amenazas con potentes funciones de búsqueda y referencia cruzada.
  • Define flujos de trabajo de respuesta y automatiza las acciones para abordar posibles ataques en tus entornos de nube. Si quieres obtener más información para definir flujos de trabajo de respuesta y acciones automatizadas con guías, que cuentan con la tecnología de Google SecOps, consulta Trabaja con guías.
  • Silencia o excluye los resultados o las alertas que sean falsos positivos.
  • Concéntrese en las amenazas relacionadas con las identidades comprometidas y los permisos de acceso.
  • Usa Security Command Center para detectar, investigar y responder a posibles amenazas en tus otros entornos de nube, como AWS.

Administra las vulnerabilidades

Security Command Center proporciona una detección integral de vulnerabilidades, ya que analiza de forma automática los recursos de tu entorno en busca de vulnerabilidades de software, parámetros de configuración incorrectos y otros tipos de problemas de seguridad que puedan exponerte a ataques. Juntas, estos tipos de problemas se conocen, en conjunto, como vulnerabilidades.

Security Command Center usa servicios integrados y de Google Cloud para detectar problemas de seguridad. Los servicios que emiten hallazgos también se conocen como fuentes de resultados. Cuando un servicio detecta un problema, emite un hallazgo para registrarlo.

De forma predeterminada, los casos se abren automáticamente para los hallazgos de vulnerabilidades de gravedad alta y grave a fin de ayudarte a priorizar su solución. Puedes asignar propietarios y realizar un seguimiento del progreso de los esfuerzos de solución con un caso.

Para obtener más información, consulta lo siguiente:

Vulnerabilidades de software

Para ayudarte a identificar, comprender y priorizar las vulnerabilidades de software, Security Command Center puede evaluar las máquinas virtuales (VMs) y los contenedores en tus entornos de nube en busca de vulnerabilidades. Para cada vulnerabilidad detectada, Security Command Center proporciona información detallada en un registro o hallazgo de hallazgos. La información proporcionada con un hallazgo puede incluir lo siguiente:

  • Detalles del recurso afectado
  • Información sobre cualquier registro de CVE asociado, incluida una evaluación de Mandiant del impacto y la capacidad de explotación del elemento de CVE
  • Una puntuación de exposición a ataques para ayudarte a priorizar la corrección
  • Una representación visual del camino que puede tomar un atacante hacia los recursos

Los siguientes servicios detectan las vulnerabilidades de software:

Parámetros de configuración incorrectos

Security Command Center asigna los detectores de los servicios que analizan los parámetros de configuración incorrectos a los controles de los estándares comunes de cumplimiento de la industria. Además de mostrarte los estándares de cumplimiento que infringe una configuración incorrecta, la asignación te permite ver una medida de tu cumplimiento de los diversos estándares, que luego puedes exportar como un informe.

Para obtener más información, consulta Evalúa y, luego, informa el cumplimiento.

Incumplimientos de la postura

Los niveles Premium y Enterprise de Security Command Center incluyen el servicio de postura de seguridad, que emite hallazgos cuando tus recursos en la nube infringen las políticas definidas en las posturas de seguridad que implementaste en tu entorno de nube.

Para obtener más información, consulta Servicio de postura de seguridad.

Valida la infraestructura como código

Puedes verificar que los archivos de infraestructura como código (IaC) se alineen con las políticas de la organización y los detectores de Security Health Analytics que defines en tu organización de Google Cloud. Esta función te ayuda a garantizar que no implementes recursos que infrinjan los estándares de tu organización. Después de definir las políticas de la organización y, si es necesario, habilitar el servicio Security Health Analytics, puedes usar Google Cloud CLI para validar el archivo del plan de Terraform, o puedes integrar el proceso de validación a tu flujo de trabajo de desarrollador de Jenkins o GitHub Actions. Para obtener más información, consulta Valida la IaC según las políticas de tu organización.

Detecta vulnerabilidades y parámetros de configuración incorrectos en otras plataformas en la nube.

Security Command Center Enterprise puede detectar vulnerabilidades en entornos de múltiples nubes. Si quieres detectar vulnerabilidades en otros proveedores de servicios en la nube, primero debes establecer una conexión con el proveedor para transferir los metadatos de los recursos.

Si deseas obtener más información, consulta Conéctate a AWS para detectar vulnerabilidades y evaluar riesgos.

Funciones de administración de posturas y vulnerabilidades

Con Security Command Center, los analistas de vulnerabilidades, los administradores de posturas y los profesionales de seguridad similares pueden lograr los siguientes objetivos de seguridad:

  • Detecta diferentes tipos de vulnerabilidades, incluidas las vulnerabilidades de software, los parámetros de configuración y los incumplimientos de postura, que pueden exponer tus entornos de nube a posibles ataques.
  • Centra tus esfuerzos de respuesta y solución en los problemas de mayor riesgo mediante las puntuaciones de exposición a ataques en los resultados y las alertas de vulnerabilidades.
  • Asigna propietarios y haz un seguimiento del progreso de las correcciones de vulnerabilidades mediante el uso de casos y la integración de tus sistemas de tickets preferidos, como Jira o ServiceNow.
  • Protege de forma proactiva los recursos de alto valor en entornos de nube
  • Define posturas de seguridad personalizadas para tus entornos de nube que Security Command Center usa para evaluar tu postura y alertarte sobre incumplimientos.
  • Silencia o excluye los resultados o las alertas que sean falsos positivos.
  • Enfócate en vulnerabilidades relacionadas con identidades y permisos excesivos.
  • Detecta y administra vulnerabilidades y evaluaciones de riesgo en Security Command Center para tus otros entornos de nube, como AWS.

Evalúa el riesgo con puntuaciones de exposición a ataques y rutas de ataque

Con las activaciones a nivel de organización de los niveles Premium y Enterprise, Security Command Center proporciona puntuaciones de exposición a ataques para los recursos de alto valor y los hallazgos de vulnerabilidades y parámetros de configuración que afectan a los recursos de alto valor.

Puedes usar estas puntuaciones para priorizar la solución de vulnerabilidades y configuraciones incorrectas, priorizar la seguridad de los recursos de alto valor más expuestos y, en general, evaluar qué tan expuestos están tus entornos de nube a los ataques.

En el panel Vulnerabilidades activas de la página Descripción general de riesgos de la consola de Google Cloud, la pestaña Hallazgos por puntuación de exposición a ataques muestra los hallazgos que tienen las puntuaciones de exposición a ataques más altas en tu entorno, así como la distribución de las puntuaciones de los hallazgos.

Para obtener más información, consulta Puntuaciones de exposición a ataques y rutas de ataque.

Administra los resultados y las alertas con casos

Security Command Center Enterprise crea casos para ayudarte a administrar los resultados y las alertas, asignar propietarios y administrar las investigaciones y las respuestas a los problemas de seguridad detectados. Los casos se abren automáticamente en caso de problemas de alta y gravedad crítica.

Puedes integrar los casos con tu sistema de tickets preferido, como Jira o ServiceNow. Cuando se actualizan los casos, los tickets abiertos del caso se pueden actualizar automáticamente. Del mismo modo, si se actualiza un ticket, también se puede actualizar el caso correspondiente.

La funcionalidad de la funda cuenta con la tecnología de Google SecOps.

Para obtener más información, consulta la Descripción general de casos en la documentación de Google SecOps.

Definir flujos de trabajo de respuesta y acciones automatizadas

Define flujos de trabajo de respuesta y automatiza las acciones para investigar y responder a los problemas de seguridad que se detectan en tus entornos de nube.

Si quieres obtener más información para definir flujos de trabajo de respuesta y acciones automatizadas con guías, que cuentan con la tecnología de Google SecOps, consulta Trabaja con guías.

Compatibilidad con múltiples nubes: Protege tus implementaciones en otras plataformas en la nube

Puedes ampliar los servicios y las capacidades de Security Command Center para cubrir las implementaciones en otras plataformas en la nube, de modo que puedas administrar en una sola ubicación todas las amenazas y vulnerabilidades que se detecten en todos tus entornos de nube.

Para obtener más información sobre cómo conectar Security Command Center a otro proveedor de servicios en la nube, consulta las siguientes páginas:

Proveedores de servicios en la nube compatibles

Security Command Center puede conectarse a Amazon Web Services (AWS).

Define y administra posturas de seguridad

Con las activaciones a nivel de la organización de los niveles Premium y Enterprise de Security Command Center, puedes crear y administrar posturas de seguridad que definan el estado requerido de tus recursos en la nube, incluidos los servicios y la red en la nube, para lograr una seguridad óptima en tu entorno de nube. Puedes personalizar las posturas de seguridad para que coincidan con las necesidades regulatorias y de seguridad de tu empresa. Cuando defines una postura de seguridad, puedes minimizar los riesgos de seguridad cibernética para tu organización y ayudar a evitar que ocurran ataques.

Debes usar el servicio de postura de seguridad de Security Command Center para definir e implementar una postura de seguridad y detectar cualquier desvío o cambio no autorizado de la postura definida.

El servicio de postura de seguridad se habilita de forma automática cuando activas Security Command Center a nivel de la organización.

Para obtener más información, consulta Descripción general de la postura de seguridad.

Identifica tus recursos

Security Command Center incluye información de recursos de Cloud Asset Inventory, que supervisa los recursos de forma continua en tu entorno de nube. Para la mayoría de los elementos, los cambios de configuración, incluidas las políticas de IAM y de la organización, se detectan casi en tiempo real.

En la página Recursos de la consola de Google Cloud, puedes aplicar, editar y ejecutar consultas de recursos de muestra, agregar una restricción de tiempo predeterminada o escribir tus propias consultas de recursos con rapidez.

Si tienes el nivel Premium o Enterprise de Security Command Center, puedes ver cuáles de tus recursos se designan como recursos de alto valor para las evaluaciones de riesgos mediante simulaciones de rutas de ataque.

Puedes identificar con rapidez los cambios en tu organización o proyecto y responder preguntas como las siguientes:

  • ¿Cuántos proyectos tienes y cuándo se crearon?
  • ¿Qué recursos de Google Cloud se implementan o usan, como las máquinas virtuales (VM) de Compute Engine, los buckets de Cloud Storage o las instancias de App Engine?
  • ¿Cuál es su historial de implementaciones?
  • Cómo organizar, anotar, buscar, seleccionar, filtrar y ordenar las siguientes categorías:
    • Recursos y propiedades de los recursos
    • Marcas de seguridad, que te permiten anotar recursos o resultados en Security Command Center
    • Período

Cloud Asset Inventory siempre conoce el estado actual de los elementos compatibles y, en la consola de Google Cloud, te permite revisar análisis históricos de descubrimiento para comparar elementos entre puntos en el tiempo. También puedes buscar elementos con poco uso, como máquinas virtuales o direcciones IP inactivas.

Funciones de Gemini en Security Command Center

Security Command Center incorpora Gemini para proporcionar resúmenes de los hallazgos y las rutas de ataque, y ayudarte en las búsquedas y las investigaciones de las amenazas y vulnerabilidades detectadas.

Para obtener información sobre Gemini, consulta la Descripción general de Gemini.

Resúmenes de Gemini de los hallazgos y las rutas de ataque

Si usas Security Command Center Enterprise o Premium, Gemini proporciona explicaciones generadas de forma dinámica de cada hallazgo y de cada ruta de ataque simulada que Security Command Center genera para los resultados de la clase Vulnerability y Misconfiguration.

Los resúmenes se escriben en lenguaje natural para ayudarte a comprender con rapidez los hallazgos y tomar medidas al respecto y cualquier ruta de ataque que los acompañe.

Los resúmenes aparecen en los siguientes lugares de la consola de Google Cloud:

  • Cuando haces clic en el nombre de un resultado individual, el resumen en la parte superior de la página de detalles del resultado.
  • Con los niveles Premium y Enterprise de Security Command Center, si un hallazgo tiene una puntuación de exposición a ataques, puedes mostrar el resumen a la derecha de la ruta de ataque haciendo clic en la puntuación de exposición a ataques y, luego, en Resumen de IA.

Permisos de IAM obligatorios para los resúmenes generados por IA

Para ver los resúmenes de IA, necesitas los permisos de IAM necesarios.

Para los resultados, necesitas el permiso de IAM securitycenter.findingexplanations.get. La función de IAM predefinida menos permisiva que contiene este permiso es la función Visualizador de hallazgos del centro de seguridad (roles/securitycenter.findingsViewer).

Para las rutas de ataque, necesitas el permiso de IAM securitycenter.exposurepathexplan.get. La función de IAM predefinida menos permisiva que contiene este permiso es la función Lector de rutas de acceso del centro de seguridad (roles/securitycenter.exposurePathsViewer).

Durante la vista previa, estos permisos no están disponibles en la consola de Google Cloud para agregarlos a roles personalizados de IAM.

Para agregar el permiso a un rol personalizado, puedes usar Google Cloud CLI.

Si quieres obtener información sobre el uso de Google Cloud CLI para agregar permisos a una función personalizada, consulta Crea y administra funciones personalizadas.

Búsqueda de lenguaje natural para investigaciones de amenazas

Puedes generar búsquedas de hallazgos de amenazas, alertas y otra información usando consultas en lenguaje natural y Gemini. La integración con Gemini para búsquedas en lenguaje natural cuenta con la tecnología de Google SecOps. Si quieres obtener más información, consulta Usa lenguaje natural para generar búsquedas de UDM en la documentación de Google SecOps.

Widget de investigación de IA para casos

Para ayudarte a comprender e investigar casos de hallazgos y alertas, Gemini proporciona un resumen de cada caso y sugiere los siguientes pasos que puedes seguir para investigarlo. El resumen y los próximos pasos aparecen en el widget Investigación de IA cuando consultas un caso.

Esta integración con Gemini cuenta con la tecnología de Google SecOps.

Estadísticas de seguridad prácticas

Los servicios integrados e integrados de Google Cloud de Security Command Center supervisan continuamente tus recursos y registros en busca de indicadores de compromiso y cambios de configuración que coincidan con amenazas, vulnerabilidades y parámetros de configuración incorrectos conocidos. A fin de proporcionar contexto para los incidentes, los resultados se enriquecen con información de las siguientes fuentes:

  • Con los niveles Enterprise y Premium:
    • Resúmenes generados por IA que te ayudan a comprender los hallazgos de Security Command Center y las rutas de ataque incluidas en ellos, así como tomar medidas al respecto. Para obtener más información, consulta Resúmenes generados por IA.
    • Los hallazgos de vulnerabilidades incluyen información de las entradas de CVE correspondientes, incluida la puntuación de CVE, y evaluaciones de Mandiant del impacto potencial de la vulnerabilidad y el potencial de su explotación.
    • Las potentes funciones de búsqueda de SIEM y SOAR con la tecnología de Google SecOps te permiten investigar amenazas y vulnerabilidades, y alternar entre las entidades relacionadas en un cronograma unificado.
  • VirusTotal, un servicio propiedad de Alphabet que proporciona contexto sobre archivos, URL, dominios y direcciones IP potencialmente maliciosos.
  • Framework de MITRE ATT&CK, que explica las técnicas para los ataques contra recursos de la nube y proporciona orientación para solucionarlos.
  • Registros de auditoría de Cloud (registros de actividad del administrador y registros de acceso a los datos)

Recibes notificaciones de resultados nuevos casi en tiempo real, lo que permite a que tus equipos de seguridad recopilen datos, identifiquen amenazas y tomen medidas al respecto antes de que se generen daños o pérdidas empresariales.

Con una vista centralizada de tu postura de seguridad y una API sólida, puedes hacer lo siguiente con rapidez:

  • Responde preguntas como estas:
    • ¿Qué direcciones IP están abiertas al público?
    • ¿Qué imágenes se ejecutan en tus VM?
    • ¿Hay evidencia de que tus VMs se usen para la minería de criptomonedas y otras operaciones abusivas?
    • ¿Qué cuentas de servicio se agregaron o quitaron?
    • ¿Cómo se configuran los firewalls?
    • ¿Qué buckets de almacenamiento contienen información de identificación personal (PII) o datos sensibles? Esta función requiere integración con Sensitive Data Protection.
    • ¿Qué aplicaciones en la nube están expuestas a las vulnerabilidades de las secuencias de comandos entre sitios (XSS)?
    • ¿Algunos de mis buckets de Cloud Storage están abiertos a Internet?
  • Toma medidas para proteger tus activos:
    • Implementa pasos de solución verificados para las configuraciones incorrectas de elementos y las infracciones de cumplimiento.
    • Combina la inteligencia de amenazas de Google Cloud y proveedores externos, como Palo Alto Networks, para proteger mejor tu empresa de las amenazas de capas de procesamiento costosas.
    • Asegúrate de que las políticas de IAM adecuadas estén implementadas y obtén alertas cuando las políticas se configuren de forma incorrecta o cambien de manera inesperada.
    • Integra los hallazgos de tus propias fuentes o de terceros para los recursos de Google Cloud y otros recursos híbridos o de múltiples nubes. Para obtener más información, consulta Agrega un servicio de seguridad de terceros.
    • Responde a las amenazas en tu entorno de Google Workspace y a los cambios no seguros en Grupos de Google.

Parámetros de configuración incorrectos de identidad y acceso

Security Command Center facilita la identificación y resolución de resultados de parámetros de configuración incorrectos de identidad y acceso en Google Cloud. Los hallazgos de configuración incorrecta identifican las principales (identities) que están mal configuradas o que tienen permisos de IAM excesivos o sensibles (identities) a los recursos de Google Cloud.

Administración de derechos de la infraestructura de nube

La administración de los problemas de seguridad relacionados con la identidad y el acceso a veces se conoce como administración de derechos a la infraestructura de nube (CIEM). Security Command Center ofrece capacidades de CIEM que ayudan a proporcionar una vista integral de la seguridad de la configuración de identidades y accesos de tu organización. Security Command Center ofrece estas funciones para varias plataformas en la nube, incluidos Google Cloud y Amazon Web Services (AWS). Con CIEM, puedes ver qué principales tienen permisos excesivos en los entornos de nube. Además de Google Cloud IAM, CIEM admite la capacidad de investigar los permisos que las principales de otros proveedores de identidad (como el ID de Entra [Azure AD] y Okta) tienen en tus recursos de Google Cloud. Puedes ver los hallazgos más graves de identidad y acceso de varios proveedores de servicios en la nube en el panel Resultados de identidad y acceso de la página Descripción general de Security Command Center en la consola de Google Cloud.

Para obtener más información sobre las capacidades de CIEM de Security Command Center, consulta Descripción general de la administración de derechos de la infraestructura de Cloud.

Identidad y acceso a los ajustes predeterminados de las consultas

En la página Vulnerabilidad en la consola de Google Cloud, puedes seleccionar ajustes predeterminados de consulta (consultas predefinidas) que muestren los detectores de vulnerabilidades o las categorías relacionadas con la identidad y el acceso. Para cada categoría, se muestra la cantidad de hallazgos activos.

Para obtener más información sobre los ajustes predeterminados de consulta, lee Aplica ajustes predeterminados de consulta.

Administra el cumplimiento de los estándares de la industria

Security Command Center supervisa el cumplimiento mediante detectores asignados a los controles de una amplia variedad de estándares de seguridad.

Para cada estándar de seguridad admitido, Security Command Center verifica un subconjunto de los controles. En el caso de los controles marcados, Security Command Center te muestra cuántos están aprobados. Para los controles que no se aprueban, Security Command Center te muestra una lista de resultados que describen las fallas de control.

CIS revisa y certifica las asignaciones de los detectores de Security Command Center en cada versión compatible de la comparativa de CIS para Google Cloud Foundations. Se incluyen asignaciones de cumplimiento adicionales solo a modo de referencia.

Security Command Center agrega compatibilidad con nuevos estándares y versiones de comparativas de forma periódica. Las versiones anteriores siguen siendo compatibles, pero se darán de baja con el tiempo. Te recomendamos que uses las comparativas o los estándares más recientes disponibles.

Con el servicio de postura de seguridad, puedes asignar políticas de la organización y detectores de Security Health Analytics a los estándares y controles que se aplican a tu empresa. Después de crear una postura de seguridad, puedes supervisar cualquier cambio en el entorno que podría afectar el cumplimiento de tu empresa.

Para obtener más información sobre la administración del cumplimiento, consulta Evalúa y, luego, informa el cumplimiento de los estándares de seguridad.

Estándares de seguridad compatibles con Google Cloud

Security Command Center asigna los detectores de Google Cloud a uno o más de los siguientes estándares de cumplimiento:

Estándares de seguridad compatibles con AWS

Security Command Center asigna los detectores de Amazon Web Services (AWS) a uno o más de los siguientes estándares de cumplimiento:

Plataforma flexible para satisfacer tus necesidades de seguridad

Security Command Center incluye opciones de integración y personalización que te permiten mejorar la utilidad del servicio para satisfacer tus necesidades de seguridad en constante evolución.

Opciones de personalización

Entre las opciones de personalización, se incluyen las siguientes:

Opciones de integración

Las opciones de integración incluyen las siguientes:

Cuándo usar Security Command Center

En la siguiente tabla, se incluyen funciones de producto de alto nivel, casos de uso y vínculos a documentación relevante para ayudarte a encontrar rápidamente el contenido que necesitas.

Atributo Casos de uso Documentos relacionados
Identificación y revisión de recursos
  • Visualiza en un solo lugar todos los recursos, servicios y datos de tu organización o proyecto, y de todas tus plataformas en la nube.
  • Evalúa las vulnerabilidades de los recursos compatibles y toma medidas para priorizar las correcciones de los problemas más graves.
 Prácticas recomendadas de Security Command Center

Control de acceso

Usa Security Command Center en la consola de Google Cloud
Identificación de datos sensibles
  • Descubre dónde se almacenan los datos sensibles y regulados con Sensitive Data Protection.
  • Evita exposiciones no deseadas y cerciórate de que solo se pueda acceder en el caso exclusivo de que sea necesario.
  • Designa automáticamente los recursos que contengan datos de sensibilidad media o alta como recursos de alto valor.
 Envía los resultados de la protección de datos sensibles a Security Command Center
Integración de productos SIEM y SOAR de terceros
  • Exporta con facilidad los datos de Security Command Center a sistemas externos de SIEM y SOAR.
 Exporta datos de Security Command Center

Exportaciones continuas
Detección de errores de configuración
  • Detecta los parámetros de configuración incorrectos que pueden dejar vulnerable tu infraestructura de nube.
  • Detecta parámetros de configuración incorrectos en tus implementaciones en otros proveedores de servicios en la nube.
  • Para mejorar tu cumplimiento de los estándares de seguridad, visualiza los hallazgos de parámetros de configuración incorrectos a través de los controles estándar de seguridad que infringen.
  • Prioriza la solución de los hallazgos de parámetros de configuración incorrectos según sus puntuaciones de exposición a ataques.
 Descripción general de Security Health Analytics

Descripción general de Web Security Scanner

Descripción general de la Detección rápida de vulnerabilidades

Hallazgos de vulnerabilidades

Detección de vulnerabilidades de software
  • Detecta vulnerabilidades de software en cargas de trabajo en máquinas virtuales y contenedores en todos los proveedores de servicios en la nube.
  • Recibe alertas proactivas sobre vulnerabilidades y cambios nuevos en tu superficie de ataque.
  • Descubre vulnerabilidades comunes, como la secuencia de comandos entre sitios (XSS) y la inyección Flash, que ponen en riesgo tus aplicaciones.
  • Con Security Command Center Premium, prioriza los hallazgos de vulnerabilidades mediante el uso de información de CVE, incluidas las evaluaciones de la capacidad de explotación y el impacto que proporciona Mandiant.

Panel de postura de seguridad de GKE

VM Manager

Descripción general de Web Security Scanner

Hallazgos de vulnerabilidades

Supervisión del control de identidad y acceso
  • Ayuda a garantizar que se implementen las políticas de control de acceso adecuadas en tus recursos de Google Cloud y recibe alertas cuando las políticas se configuren de forma incorrecta o cambien de forma inesperada.
  • Usa los ajustes predeterminados de consulta para ver con rapidez los resultados de los parámetros de configuración incorrectos de identidad y acceso, y los roles que tienen permisos excesivos.
 Recomendador de IAM

Control de acceso

Parámetros de configuración incorrectos de identidad y acceso

Detección de amenazas
  • Detecta actividades y actores maliciosos en tu infraestructura, y recibe alertas de amenazas activas.
  • Detecta amenazas en otras plataformas en la nube
 Administra las amenazas

Descripción general de Event Threat Detection

Descripción general de la detección de amenazas de contenedores
Detección de errores
  • Recibe alertas de errores y configuraciones incorrectas que impidan que Security Command Center y sus servicios funcionen según lo previsto.
 Descripción general de los errores de Security Command Center
Priorizar las correcciones
  • Usa las puntuaciones de exposición a ataques para priorizar la solución de hallazgos de vulnerabilidades y parámetros de configuración incorrectos.
  • Usa las puntuaciones de exposición a ataques en los recursos para proteger de forma proactiva los recursos más valiosos para tu empresa.
 Descripción general de las puntuaciones de exposición a ataques y las rutas de ataque
Soluciona los riesgos
  • Implementa instrucciones de solución verificadas y recomendadas para proteger los elementos con rapidez.
  • Enfócate en los campos más importantes de los resultados para ayudar a los analistas de seguridad a tomar decisiones de evaluación fundamentadas con rapidez.
  • Enriquece y conecta vulnerabilidades y amenazas relacionadas para identificar y capturar TTP.
  • Resuelve errores y configuraciones incorrectas que evitan que Security Command Center y sus servicios funcionen según lo previsto.
 Investiga las amenazas y responde ante ellas

Soluciona los problemas de las estadísticas de estado de seguridad

Solución de los resultados de Web Security Scanner

Hallazgos y correcciones de la Detección rápida de vulnerabilidades

Automatización de la respuesta de seguridad

Soluciona los errores de Security Command Center
Administración de la postura
  • Asegúrate de que tus cargas de trabajo se ajusten a los estándares de seguridad y a las reglamentaciones de cumplimiento, y a los requisitos de seguridad personalizados de tu organización.
  • Aplica tus controles de seguridad a proyectos, carpetas o a organizaciones de Google Cloud antes de implementar cargas de trabajo.
  • Supervise y resuelva continuamente cualquier desvío de sus controles de seguridad definidos.
 Descripción general de la postura de seguridad

Administra una postura de seguridad
Entradas de herramientas de seguridad de terceros
  • Integra los resultados de tus herramientas de seguridad existentes, como Cloudflare, CrowdStrike, Prisma Cloud de Palo Alto Networks y Qualys, en Security Command Center. La integración de resultados puede ayudarte a detectar lo siguiente:
    • Ataques de DDoS
    • Extremos vulnerados
    • Incumplimientos de la política de cumplimiento
    • Ataques de red
    • Vulnerabilidades y amenazas de instancias
 Configurar Security Command Center

Crea y administra recursos de seguridad
Notificaciones en tiempo real
  • Recibe alertas de Security Command Center a través de correo electrónico, SMS, Slack, WebEx y otros servicios con notificaciones de Pub/Sub.
  • Ajusta los filtros de resultados para excluir los resultados de las lista de entidades permitidas.
 Configura la búsqueda de notificaciones

Habilitar notificaciones de chat y correo electrónico en tiempo real

Usa marcas de seguridad

Exporta datos de Security Command Center

Filtra notificaciones

Agrega elementos a las listas de entidades permitidas
API de REST y SDK de cliente
  • Usa la API de REST de Security Command Center o los SDK cliente para lograr una integración sencilla en tus sistemas de seguridad y flujos de trabajo existentes.
Configurar Security Command Center

Accede a Security Command Center de manera programática

API de Security Command Center

Controles de residencia de datos

Para cumplir con los requisitos de residencia de datos, cuando activas Security Command Center Standard o Premium por primera vez, puedes habilitar los controles de residencia de datos.

Habilitar los controles de residencia de datos restringe el almacenamiento y el procesamiento de los resultados de Security Command Center, las reglas de silencio, las exportaciones continuas y las exportaciones de BigQuery a una de las multirregiones de residencia de datos que admite Security Command Center.

Para obtener más información, consulta Planifica la residencia de los datos.

Niveles de servicio de Security Command Center

Security Command Center ofrece tres niveles de servicio: Estándar, Premium y Enterprise.

El nivel que selecciones determina las funciones y los servicios disponibles con Security Command Center.

Si tienes preguntas sobre los niveles de servicio de Security Command Center, comunícate con tu representante de cuenta o con el equipo de Ventas de Google Cloud.

Para obtener información sobre los costos asociados con el uso de un nivel de Security Command Center, consulta Precios.

Nivel Estándar

El nivel Estándar incluye los siguientes servicios y funciones:

  • Security Health Analytics: En el nivel Standard, Security Health Analytics proporciona análisis de evaluación de vulnerabilidades administrados para Google Cloud que pueden detectar automáticamente las vulnerabilidades de mayor gravedad y los parámetros de configuración incorrectos de tus recursos de Google Cloud. En el nivel Estándar, Security Health Analytics incluye los siguientes tipos de hallazgos:

    • Dataproc image outdated
    • Legacy authorization enabled
    • MFA not enforced
    • Non org IAM member
    • Open ciscosecure websm port
    • Open directory services port
    • Open firewall
    • Open group IAM member
    • Open RDP port
    • Open SSH port
    • Open Telnet port
    • Public bucket ACL
    • Public Compute image
    • Public dataset
    • Public IP address
    • Public log bucket
    • Public SQL instance
    • SSL not enforced
    • Web UI enabled
  • Análisis personalizados de Web Security Scanner: En el nivel Estándar, Web Security Scanner admite análisis personalizados de aplicaciones implementadas con URLs públicas y direcciones IP que no están detrás de un firewall. Los análisis se configuran, administran y ejecutan de forma manual para todos los proyectos, y admiten un subconjunto de categorías en el documento OWASP Top 10.
  • Errores de Security Command Center: Security Command Center proporciona orientación para la detección y corrección de errores de configuración que evitan que Security Command Center y sus servicios funcionen correctamente.
  • Función de Exportaciones continuas, que administra automáticamente la exportación de resultados nuevos a Pub/Sub.

  • Acceso a servicios integrados de Google Cloud, que incluyen lo siguiente:

  • Hallazgos del panel de postura de seguridad de GKE: Consulta los hallazgos sobre las configuraciones incorrectas de seguridad de las cargas de trabajo de Kubernetes, boletines de seguridad prácticos y vulnerabilidades en el sistema operativo del contenedor o en los paquetes de lenguajes. La integración de los hallazgos del panel de postura de seguridad de GKE con Security Command Center está disponible en vista previa.
  • Integración en BigQuery, que exporta los resultados a BigQuery para su análisis.
  • Integración en Forseti Security, el kit de herramientas de seguridad de código abierto para Google Cloud, y aplicaciones de administración de información y eventos de seguridad (SIEM) de terceros
  • El servicio de acciones sensibles detecta cuando se realizan acciones en tu organización, carpetas y proyectos de Google Cloud que podrían dañar tu empresa si las realiza un agente malicioso.
  • Cuando Security Command Center se activa a nivel de la organización, puedes otorgar a los usuarios roles de IAM a nivel de organización, carpeta y proyecto.
  • Controles de residencia de datos que restringen el almacenamiento y procesamiento de los resultados de Security Command Center, las reglas de silencio, las exportaciones continuas y las exportaciones de BigQuery a una de las multirregiones de residencia de datos que admite Security Command Center.

    Para obtener más información, consulta Planifica la residencia de los datos.

Nivel Premium

El nivel Premium incluye todos los servicios y funciones del nivel Estándar, además de los siguientes servicios y funciones adicionales:

  • Las simulaciones de rutas de ataque te ayudan a identificar y priorizar los hallazgos de vulnerabilidades y parámetros de configuración incorrectos mediante la identificación de las rutas que un atacante potencial podría tomar para llegar a tus recursos de alto valor. Las simulaciones calculan y asignan puntuaciones de exposición a ataques a cualquier resultado que exponga esos recursos. Las rutas de ataque interactivas te ayudan a visualizar las posibles rutas de ataque y proporcionan información sobre las rutas, los resultados relacionados y los recursos afectados.

  • Los hallazgos de vulnerabilidades incluyen evaluaciones de CVE que proporciona Mandiant para ayudarte a priorizar su corrección.

    En la página Descripción general de la consola, la sección Hallazgos de CVE principales muestra los hallazgos de vulnerabilidades agrupados por su explotación y posible impacto, según la evaluación de Mandiant. En la página Hallazgos, puedes consultar los resultados por ID de CVE.

    Para obtener más información, consulta Cómo priorizar por el impacto y la explotación de CVE.

  • Event Threat Detection supervisa Cloud Logging y Google Workspace mediante la inteligencia de amenazas, el aprendizaje automático y otros métodos avanzados para detectar amenazas, como software malicioso, minería de criptomonedas y robo de datos. Para obtener una lista completa de los detectores integrados de Event Threat Detection, consulta las reglas de Event Threat Detection. También puedes crear detectores personalizados de Event Threat Detection. Si deseas obtener información sobre las plantillas de módulos que puedes usar para crear reglas de detección personalizadas, consulta Descripción general de los módulos personalizados para Event Threat Detection.
  • Container Threat Detection detecta los siguientes ataques de entorno de ejecución de los contenedores:
    • Se ejecutó el objeto binario añadido
    • Se cargó la biblioteca agregada
    • Ejecución: Se ejecutó el binario malicioso agregado
    • Ejecución: Se cargó la biblioteca maliciosa agregada.
    • Ejecución: Objeto binario integrado integrado y ejecutado
    • Ejecución: ejecución de binario malicioso modificado
    • Ejecución: Se cargó la biblioteca maliciosa modificada
    • Secuencia de comandos maliciosa ejecutada
    • Shells inversas
    • Shell secundario inesperado

  • Están disponibles las siguientes funciones de Policy Intelligence:

    • Funciones avanzadas del recomendador de IAM, incluidas las siguientes:
      • Recomendaciones para roles no básicos
      • Recomendaciones para roles otorgados en recursos que no sean organizaciones, carpetas ni proyectos; por ejemplo, recomendaciones para roles otorgados en buckets de Cloud Storage
      • Recomendaciones que sugieren roles personalizados
      • Estadísticas de políticas
      • Estadísticas de desplazamiento lateral
    • Analizador de políticas a gran escala (más de 20 consultas por organización por día). Este límite se comparte entre todas las herramientas del Analizador de políticas.
    • Visualizaciones para el análisis de las políticas de la organización.
  • Puedes consultar recursos en Cloud Asset Inventory.
  • Virtual Machine Threat Detection detecta aplicaciones potencialmente maliciosas que se ejecutan en instancias de VM.

  • Security Health Analytics en el nivel Premium incluye las siguientes funciones:

    • Análisis de vulnerabilidades administrados para todos los detectores de Security Health Analytics
    • Supervisión de muchas prácticas recomendadas de la industria
    • Supervisión del cumplimiento. Los detectores de Security Health Analytics se asignan a los controles de las comparativas de seguridad comunes.
    • Compatibilidad con módulos personalizados, que puedes usar para crear tus propios detectores personalizados de Security Health Analytics.

    En el nivel Premium, Security Health Analytics admite los estándares descritos en Administra el cumplimiento de los estándares de la industria.

  • Web Security Scanner en el nivel Premium incluye todas las funciones del nivel Estándar y los detectores adicionales que admiten categorías en los OWASP Top 10. Web Security Scanner también agrega análisis administrados que se configuran automáticamente.

  • Supervisión del cumplimiento en todos tus recursos de Google Cloud.

    Para medir el cumplimiento de estándares y comparativas de seguridad comunes, los detectores de los escáneres de vulnerabilidades de Security Command Center se asignan a controles estándar de seguridad comunes.

    Puedes consultar tu cumplimiento de los estándares, identificar los controles que no cumplen con las políticas, exportar informes y mucho más. Para obtener más información, consulta Evalúa y, luego, informa el cumplimiento de los estándares de seguridad.

  • Puedes solicitar una cuota adicional de Cloud Asset Inventory si necesitas una supervisión extendida de los recursos.
  • El servicio de postura de seguridad te permite definir, evaluar y supervisar el estado general de tu seguridad en Google Cloud. El servicio de postura de seguridad solo está disponible en el nivel Premium de Security Command Center para los clientes que compran una suscripción de precio fijo y activan el nivel Premium de Security Command Center a nivel de la organización. El servicio de postura de seguridad no admite la facturación basada en el uso ni las activaciones a nivel de proyecto.
  • La función de validación de la IaC te permite validar la infraestructura como código (IaC) con las políticas de la organización y los detectores de Security Health Analytics que definiste en tu organización de Google Cloud. Esta función solo está disponible en el nivel Premium de Security Command Center para los clientes que compran una suscripción de precio fijo y activan el nivel Premium de Security Command Center a nivel de la organización. Esta función no admite la facturación basada en el uso ni las activaciones a nivel de proyecto.
  • Informes de vulnerabilidad de VM Manager
    • Si habilitas VM Manager, el servicio escribe automáticamente los resultados de sus informes de vulnerabilidades, que están en vista previa, en Security Command Center. Los informes identifican vulnerabilidades en los sistemas operativos instalados en las máquinas virtuales de Compute Engine. Para obtener más información, consulta VM Manager.

Nivel empresarial

El nivel Enterprise es una plataforma de protección de aplicaciones (CNAPP) completamente nativa de la nube que permite a los analistas del SOC, a los analistas de vulnerabilidades y a otros profesionales de la seguridad en la nube administrar la seguridad en varios proveedores de servicios en la nube en un lugar centralizado.

El nivel Enterprise ofrece capacidades de investigación y detección, asistencia para la administración de casos y administración de posturas, incluida la capacidad de definir e implementar reglas de postura personalizadas, y cuantificar y visualizar el riesgo que las vulnerabilidades y los parámetros de configuración incorrectos representan para tu entorno de nube.

El nivel Enterprise incluye todos los servicios y las funciones de los niveles Estándar y Premium, así como los siguientes servicios y funciones adicionales:

Funciones de nivel empresarial con la tecnología de Google Security Operations

La función de administración de casos, las funciones de la guía y otras funcionalidades de SIEM y SOAR del nivel empresarial de Security Command Center cuentan con la tecnología de Google Security Operations. Cuando uses algunas de estas características y funciones, es posible que veas el nombre de Google SecOps en la interfaz web y que se te redireccione a la documentación de Google SecOps para obtener orientación.

Algunas funciones de Google SecOps no son compatibles o están limitadas con Security Command Center, pero es posible que su uso no esté inhabilitado o limitado en las primeras suscripciones al nivel Enterprise. Usa las siguientes funciones solo de acuerdo con las limitaciones indicadas:

  • La transferencia de registros de nube se limita a los registros que son relevantes para la detección de amenazas en la nube, como los siguientes:

    • Google Cloud

      • Registros de actividad del administrador de Registros de auditoría de Cloud
      • Registros de auditoría de Cloud: registros de acceso a los datos
      • syslog de Compute Engine
      • Registro de auditoría de GKE

    • Google Workspace

      • Eventos de Google Workspace
      • Alertas de Google Workspace

    • AWS

      • Registros de auditoría de CloudTrail
      • Syslog
      • Registros de Auth
      • Eventos de GuardDuty

  • Las detecciones seleccionadas se limitan a aquellas que detectan amenazas en entornos de nube.

  • Las integraciones de Google Cloud Marketplace se limitan a lo siguiente:

    • Siemplifica
    • Herramientas
    • VirusTotal V3
    • Google Cloud Asset Inventory
    • Google Security Command Center
    • Jira
    • Funciones
    • Google Cloud IAM
    • Correo electrónico V2
    • Procesamiento de Google Cloud
    • Google Chronicle
    • Mitre Att&ck
    • Mandiant Threat Intelligence
    • Google Cloud Policy Intelligence
    • Recomendador de Google Cloud
    • Utilidades de Siemplify
    • ServiceNow
    • CSV
    • SCC Enterprise
    • IAM de AWS
    • AWS EC2

  • La cantidad de reglas personalizadas de un solo evento se limita a 20.

  • Los análisis de riesgos para UEBA (análisis del comportamiento de usuarios y entidades) no están disponibles.

  • La información sobre amenazas aplicada no está disponible.

  • La compatibilidad de Gemini con Google SecOps se limita a la búsqueda en lenguaje natural y los resúmenes de investigaciones de casos.

  • La retención de datos tiene un límite de tres meses.

Resumen de las funciones y los servicios del nivel empresarial

El nivel Enterprise incluye todos los servicios y las funciones de los niveles Estándar y Premium que se lanzaron con disponibilidad general.

El nivel Enterprise agrega los siguientes servicios y funciones a Security Command Center:

  • Compatibilidad con múltiples nubes Puedes conectar Security Command Center a otros proveedores de servicios en la nube, como AWS, para detectar amenazas, vulnerabilidades y parámetros de configuración incorrectos. Además, después de especificar tus recursos de alto valor en el otro proveedor, también puedes evaluar su exposición a los ataques con puntuaciones de exposición a ataques y rutas de ataque.
  • Funciones de SIEM (información de seguridad y administración de eventos) para entornos de nube, con la tecnología de Google SecOps. Analiza los registros y otros datos en busca de amenazas en entornos de múltiples nubes, define reglas de detección de amenazas y busca en los datos acumulados. Para obtener más información, consulta la documentación de SIEM de Google SecOps.
  • Capacidades de SOAR (organización, automatización y respuesta de seguridad) para entornos de nube, con la tecnología de Google SecOps. Administra casos, define los flujos de trabajo de respuesta y busca los datos de respuesta. Para obtener más información, consulta la documentación de la SOAR de Google SecOps.
  • Capacidades de CIEM (Cloud Infrastructure Entitlement Management) para entornos de nube. Identifica las cuentas principales (identidades) que están mal configuradas o a las que se les otorgaron permisos de IAM excesivos o sensibles (acceso) a tus recursos de nube. Para obtener más información, consulta Descripción general de la administración de derechos de la infraestructura de nube.
  • Detección ampliada de vulnerabilidades de software en VMs y contenedores en tus entornos de nube con los siguientes servicios integrados de Google Cloud:
    • Edición Google Kubernetes Engine (GKE) Enterprise
    • Evaluación de vulnerabilidades para AWS
    • VM Manager

Niveles de activación de Security Command Center

Puedes activar Security Command Center en un proyecto individual, que se conoce como activación a nivel de proyecto, o en toda una organización, que se conoce como activación a nivel de la organización.

El nivel Enterprise requiere una activación a nivel de la organización.

Si quieres obtener más información para activar Security Command Center, consulta Descripción general para activar Security Command Center.

¿Qué sigue?