Questa pagina fornisce una panoramica di Security Command Center, una soluzione di gestione dei rischi che, con il livello Enterprise, combina sicurezza del cloud e operazioni di sicurezza aziendale e fornisce insight dalle competenze di Mandiant e dall'intelligenza artificiale di Gemini.
Security Command Center consente agli analisti dei SOC (Security Operations Center), agli analisti di vulnerabilità e posture, ai responsabili della conformità e di altri professionisti della sicurezza di valutare, analizzare e rispondere rapidamente ai problemi di sicurezza in diversi ambienti cloud.
Ogni deployment cloud presenta rischi unici. Security Command Center può aiutarti a comprendere e valutare la superficie di attacco dei tuoi progetti o della tua organizzazione su Google Cloud, nonché la superficie di attacco degli altri tuoi ambienti cloud. Configurato correttamente per proteggere le risorse, Security Command Center può aiutarti a comprendere le vulnerabilità e le minacce rilevate nei tuoi ambienti cloud e a dare priorità alle relative correzioni.
Security Command Center si integra con molti servizi Google Cloud per rilevare i problemi di sicurezza. Questi servizi rilevano i problemi in diversi modi, ad esempio durante l'analisi dei metadati delle risorse e dei log del cloud, dei container e delle macchine virtuali.
Alcuni di questi servizi integrati, come Google Security Operations e Mandiant, forniscono anche funzionalità e informazioni fondamentali per dare priorità e gestire le indagini e rispondere ai problemi rilevati.
Gestisci le minacce
Nei livelli Premium ed Enterprise, Security Command Center utilizza i servizi Google Cloud integrati e integrati per rilevare le minacce. Questi servizi analizzano i log, i container e le macchine virtuali di Google Cloud alla ricerca di indicatori di minaccia.
Quando questi servizi, come Event Threat Detection o Container Threat Detection, rilevano un indicatore di minaccia, emettono un rilevamento. Un risultato è un report o un record di una singola minaccia o di un altro problema rilevato da un servizio nel tuo ambiente cloud. I servizi che emettono risultati sono denominati anche origini di ricerca.
In Security Command Center Enterprise, i risultati attivano gli avvisi che, a seconda della gravità del risultato, possono generare una richiesta. Puoi utilizzare una richiesta con un sistema di gestione delle richieste di assistenza per assegnare ai proprietari l'indagine e la risposta a uno o più avvisi relativi alla richiesta. La generazione di avvisi e richieste in Security Command Center si basa su Google SecOps.
Security Command Center Enterprise può inoltre rilevare le minacce nei deployment su altre piattaforme cloud. Per rilevare le minacce nei deployment su altre piattaforme cloud, Security Command Center importa i log dall'altra piattaforma cloud, dopo aver stabilito una connessione. L'importazione dei log da altre piattaforme cloud si basa su Google SecOps.
Per ulteriori informazioni, consulta le seguenti pagine:
- Fonti di sicurezza delle minacce
- Documentazione di Google SecOps
- Gestisci risultati e avvisi con le richieste.
Funzionalità di rilevamento delle minacce e di risposta
Con Security Command Center, gli analisti dei SOC possono raggiungere i seguenti obiettivi di sicurezza:
- Rileva gli eventi nei tuoi ambienti cloud che indicano una potenziale minaccia e classifica i risultati o gli avvisi associati.
- Assegna proprietari e monitora l'avanzamento delle indagini e delle risposte con un flusso di lavoro delle richieste integrato. Facoltativamente, puoi integrare i tuoi sistemi di gestione dei ticket preferiti, come Jira o ServiceNow.
- Analizza gli avvisi di minacce con potenti funzionalità di ricerca e controllo incrociato.
- Definisci i flussi di lavoro di risposta e automatizza le azioni per affrontare i potenziali attacchi ai tuoi ambienti cloud. Per ulteriori informazioni sulla definizione dei flussi di lavoro di risposta e delle azioni automatizzate con i playbook basati su Google SecOps, consulta Utilizzare i playbook.
- Disattiva o escludi i risultati o gli avvisi che sono falsi positivi.
- Concentrati sulle minacce relative a identità e autorizzazioni di accesso compromesse.
- Utilizza Security Command Center per rilevare, analizzare e rispondere a potenziali minacce in altri ambienti cloud come AWS.
Gestisci le vulnerabilità
Security Command Center fornisce un rilevamento completo delle vulnerabilità, analizzando automaticamente le risorse nel tuo ambiente per rilevare vulnerabilità del software, configurazioni errate e altri tipi di problemi di sicurezza che potrebbero esporti agli attacchi. Insieme, questi tipi di problemi vengono denominati collettivamente vulnerabilità.
Security Command Center usa i servizi Google Cloud integrati e integrati per rilevare i problemi. I servizi che emettono risultati sono chiamati anche fonti di ricerca. Quando un servizio rileva un problema, emette un risultato per registrarlo.
Per impostazione predefinita, le richieste vengono aperte automaticamente per rilevare vulnerabilità di gravità elevata e critica, che ti consentono di stabilire le priorità per la correzione. Puoi assegnare proprietari e monitorare l'avanzamento delle operazioni di correzione per una richiesta.
Per ulteriori informazioni, consulta le seguenti risorse:
- Gestire risultati e avvisi con le richieste
- Servizi di rilevamento di vulnerabilità e configurazioni errate
Vulnerabilità del software
Per aiutarti a identificare, comprendere e dare priorità alle vulnerabilità del software, Security Command Center può valutare le vulnerabilità delle macchine virtuali (VM) e dei container nei tuoi ambienti cloud. Per ogni vulnerabilità rilevata, Security Command Center fornisce informazioni approfondite in un record o rilevamento. Le informazioni fornite con un risultato possono includere:
- Dettagli della risorsa interessata
- Informazioni su qualsiasi record CVE associato, inclusa una valutazione di Mandiant dell'impatto
- Un punteggio di esposizione agli attacchi per aiutarti a stabilire le priorità delle correzioni
- Una rappresentazione visiva del percorso che un utente può seguire per accedere alle risorse di alto valore
Le vulnerabilità del software vengono rilevate dai seguenti servizi:
- VM Manager per sistemi operativi su macchine virtuali Compute Engine
- Dashboard della strategia di sicurezza di Google Kubernetes Engine per i sistemi operativi nei container
- Valutazione delle vulnerabilità per Amazon Web Services (AWS) per istanze EC2 su AWS
- Web Security Scanner per le applicazioni web in esecuzione su App Engine, Google Kubernetes Engine (GKE) e Compute Engine
Errori di configurazione
Security Command Center mappa i rilevatori dei servizi che analizzano le configurazioni errate ai controlli dei più comuni standard di conformità del settore. Oltre a mostrare gli standard di conformità violati da una configurazione errata, la mappatura ti consente di visualizzare una misurazione della tua conformità ai vari standard, che puoi esportare come report.
Per ulteriori informazioni, vedi Valutare e segnalare la conformità.
Violazioni della postura
I livelli Premium ed Enterprise di Security Command Center includono il servizio di security posture, che genera risultati quando le tue risorse cloud violano i criteri definiti nelle posizioni di sicurezza di cui hai eseguito il deployment nell'ambiente cloud.
Per ulteriori informazioni, consulta Servizio Security posture.
Convalida l'infrastruttura come codice
Puoi verificare che i file Infrastructure as Code (IaC) siano conformi ai criteri dell'organizzazione e ai rilevatori di Security Health Analytics che definisci nella tua organizzazione Google Cloud. Questa funzionalità aiuta a garantire che non venga eseguito il deployment di risorse che violano gli standard della tua organizzazione. Dopo aver definito i criteri dell'organizzazione e, se necessario, aver attivato il servizio Security Health Analytics, puoi utilizzare Google Cloud CLI per convalidare il file del piano Terraform oppure integrare il processo di convalida nel flusso di lavoro per sviluppatori di Azioni Jenkins o GitHub. Per ulteriori informazioni, vedi Convalidare il servizio IaC in base ai criteri dell'organizzazione.
Rileva vulnerabilità e configurazioni errate su altre piattaforme cloud
Security Command Center Enterprise può rilevare le vulnerabilità in più ambienti cloud. Per rilevare vulnerabilità in altri provider di servizi cloud, devi prima stabilire una connessione al provider per importare i metadati delle risorse.
Per maggiori informazioni, vedi Connettersi ad AWS per il rilevamento delle vulnerabilità e la valutazione dei rischi.
Funzionalità di gestione delle vulnerabilità e della postura
Con Security Command Center, gli analisti delle vulnerabilità, gli amministratori delle posture e professionisti della sicurezza simili possono raggiungere i seguenti obiettivi di sicurezza:
- Rileva diversi tipi di vulnerabilità, tra cui vulnerabilità del software, configurazioni e violazioni della postura, che possono esporre gli ambienti cloud a potenziali attacchi.
- Concentra le tue attività di risposta e correzione sui problemi a rischio più elevato utilizzando i punteggi di esposizione agli attacchi sui risultati e sugli avvisi per le vulnerabilità.
- Assegna i proprietari e monitora l'avanzamento delle correzioni di vulnerabilità utilizzando le richieste e integrando i tuoi sistemi di gestione dei ticket preferiti, come Jira o ServiceNow.
- Proteggi in modo proattivo le risorse di alto valore nei tuoi ambienti cloud riducendo i punteggi di esposizione agli attacchi
- Definisci security posture personalizzate per i tuoi ambienti cloud che Security Command Center utilizza per valutare la tua postura e avvisarti in caso di violazioni.
- Disattiva o escludi i risultati o gli avvisi che sono falsi positivi.
- Concentrati sulle vulnerabilità legate alle identità e alle autorizzazioni eccessive.
- Rileva e gestisci le vulnerabilità e le valutazioni dei rischi di Security Command Center per gli altri ambienti cloud, come AWS.
Valuta il rischio con i punteggi di esposizione agli attacchi e i percorsi di attacco
Con le attivazioni a livello di organizzazione dei livelli Premium ed Enterprise, Security Command Center fornisce punteggi di esposizione agli attacchi per le risorse di alto valore e i risultati di vulnerabilità e configurazione che interessano le risorse di alto valore.
Puoi utilizzare questi punteggi per dare priorità alla correzione di vulnerabilità ed errori di configurazione, per dare priorità alla sicurezza delle tue risorse di alto valore più esposte e in generale valutare l'esposizione agli attacchi dei tuoi ambienti cloud.
Nel riquadro Vulnerabilità attive della pagina Panoramica dei rischi della console Google Cloud, la scheda Risultati per punteggio di esposizione agli attacchi mostra i risultati con i punteggi di esposizione agli attacchi più elevati nel tuo ambiente, nonché la distribuzione dei punteggi dei risultati.
Per ulteriori informazioni, consulta Punteggi di esposizione agli attacchi e percorsi di attacco.
Gestisci risultati e avvisi con casi
Security Command Center Enterprise crea richieste per aiutarti a gestire risultati e avvisi, assegnare proprietari e gestire indagini e risposte ai problemi di sicurezza rilevati. Le richieste vengono aperte automaticamente per i problemi di gravità elevata.
Puoi integrare le richieste con il tuo sistema di gestione dei ticket preferito, come Jira o ServiceNow. Quando le richieste vengono aggiornate, tutti i ticket aperti possono essere aggiornati automaticamente. Analogamente, se viene aggiornato un ticket, è possibile aggiornare anche la richiesta corrispondente.
La funzionalità della custodia si basa su Google SecOps.
Per saperne di più, consulta la panoramica delle richieste nella documentazione di Google SecOps.
Definire i flussi di lavoro di risposta e le azioni automatiche
Definire flussi di lavoro di risposta e automatizzare le azioni per indagare e rispondere ai problemi di sicurezza rilevati nei tuoi ambienti cloud.
Per ulteriori informazioni sulla definizione dei flussi di lavoro di risposta e delle azioni automatizzate con i playbook basati su Google SecOps, consulta Utilizzare i playbook.
Supporto multi-cloud: proteggi i tuoi deployment su altre piattaforme cloud
Puoi estendere i servizi e le funzionalità di Security Command Center per coprire i deployment su altre piattaforme cloud, in modo da gestire in un'unica posizione tutte le minacce e le vulnerabilità rilevate in tutti i tuoi ambienti cloud.
Per saperne di più sulla connessione di Security Command Center a un altro provider di servizi cloud, consulta le pagine seguenti:
- Per il rilevamento delle minacce, vedi Connettersi ad AWS per il rilevamento delle minacce
- Per i punteggi di rilevamento delle vulnerabilità e di esposizione agli attacchi, consulta Connettersi ad AWS per il rilevamento delle vulnerabilità e la valutazione del rischio
Provider di servizi cloud supportati
Security Command Center può connettersi ad Amazon Web Services (AWS).
Definisci e gestisci le posture di sicurezza
Con le attivazioni a livello di organizzazione dei livelli Premium ed Enterprise di Security Command Center, puoi creare e gestire posture di sicurezza che definiscono lo stato richiesto dei tuoi asset cloud, compresi la rete cloud e i servizi cloud, per una sicurezza ottimale nell'ambiente cloud. Puoi personalizzare le posizioni di sicurezza in base alle esigenze normative e di sicurezza della tua azienda. Se definisci una security posture, puoi ridurre al minimo i rischi di cybersicurezza per la tua organizzazione e prevenire il rischio di attacchi.
Puoi utilizzare il servizio Security Command Center per definire ed eseguire il deployment di una postura di sicurezza e rilevare eventuali deviazioni o modifiche non autorizzate rispetto alla postura definita.
Il servizio Security posture viene abilitato automaticamente quando si attiva Security Command Center a livello di organizzazione.
Per saperne di più, consulta Panoramica della security posture.
Identifica i tuoi asset
Security Command Center include informazioni sugli asset da Cloud Asset Inventory, che monitora continuamente gli asset nel tuo ambiente cloud. Per la maggior parte degli asset, le modifiche alla configurazione, inclusi i criteri IAM e dell'organizzazione, vengono rilevate quasi in tempo reale.
Nella pagina Asset della console Google Cloud, puoi applicare, modificare ed eseguire rapidamente query sugli asset di esempio, aggiungere un vincolo di tempo preimpostato oppure puoi scrivere le tue query sugli asset.
Se hai il livello Premium o Enterprise di Security Command Center, puoi vedere quali dei tuoi asset sono designati come risorse di alto valore per la valutazione del rischio mediante simulazioni dei percorsi di attacco.
Puoi identificare rapidamente i cambiamenti nella tua organizzazione o nel tuo progetto e rispondere a domande quali:
- Quanti progetti hai e quando sono stati creati?
- Di quali risorse Google Cloud viene eseguito il deployment o sono in uso, ad esempio le macchine virtuali (VM Compute Engine), i bucket Cloud Storage o le istanze App Engine?
- Qual è la cronologia dei tuoi deployment?
- Come organizzare, annotare, cercare, selezionare, filtrare e ordinare nelle seguenti categorie:
- Asset e proprietà degli asset
- Contrassegni di sicurezza, che consentono di annotare asset o risultati in Security Command Center
- Periodo di tempo
Cloud Asset Inventory conosce sempre lo stato attuale degli asset supportati e, nella console Google Cloud, consente di rivedere le scansioni di rilevamento storiche per confrontare gli asset tra i diversi momenti. Puoi anche cercare asset sottoutilizzati, come macchine virtuali o indirizzi IP inattivi.
Funzionalità di Gemini in Security Command Center
Security Command Center incorpora Gemini per fornire riepiloghi dei risultati e dei percorsi di attacco, nonché per assistere le ricerche e le indagini delle minacce e delle vulnerabilità rilevate.
Per informazioni su Gemini, consulta la panoramica di Gemini.
Riepiloghi di Gemini dei risultati e dei percorsi di attacco
Se utilizzi Security Command Center Enterprise o Premium, Gemini fornisce spiegazioni generate dinamicamente di ogni risultato e percorso di attacco simulato generato da Security Command Center per i risultati delle classi Vulnerability e Misconfiguration.
I riepiloghi sono scritti in linguaggio naturale per aiutarti a comprendere e rispondere rapidamente ai risultati e agli eventuali percorsi di attacco che potrebbero accompagnarli.
I riepiloghi vengono visualizzati nelle seguenti posizioni nella console Google Cloud:
- Quando fai clic sul nome di un singolo risultato, viene visualizzato il riepilogo nella parte superiore della pagina dei dettagli del risultato.
- Con i livelli Premium ed Enterprise di Security Command Center, se un risultato ha un punteggio di esposizione agli attacchi, puoi visualizzare il riepilogo a destra del percorso di attacco facendo clic sul punteggio di esposizione all'attacco e quindi su Riepilogo AI.
Autorizzazioni IAM richieste per i riepiloghi creati con AI'IA
Per visualizzare i riepiloghi AI, devi disporre delle autorizzazioni IAM necessarie.
Per i risultati, devi disporre dell'autorizzazione IAM securitycenter.findingexplanations.get. Il ruolo IAM predefinito meno permissivo che contiene questa autorizzazione è il ruolo Visualizzatore risultati Centro sicurezza (roles/securitycenter.findingsViewer).
Per i percorsi di attacco, devi disporre dell'autorizzazione IAM securitycenter.exposurepathexplan.get. Il ruolo IAM predefinito meno permissivo che contiene questa autorizzazione è il ruolo Lettore percorsi di esposizione Centro sicurezza (roles/securitycenter.exposurePathsViewer).
Durante l'anteprima, queste autorizzazioni non sono disponibili nella console Google Cloud per essere aggiunte ai ruoli IAM personalizzati.
Per aggiungere l'autorizzazione a un ruolo personalizzato, puoi utilizzare Google Cloud CLI.
Per informazioni sull'utilizzo di Google Cloud CLI per aggiungere autorizzazioni a un ruolo personalizzato, vedi Creare e gestire ruoli personalizzati.
Ricerca in linguaggio naturale per le indagini delle minacce
Puoi generare ricerche di risultati relativi a minacce, avvisi e altre informazioni utilizzando query in linguaggio naturale e Gemini. L'integrazione con Gemini per le ricerche in linguaggio naturale si basa su Google SecOps. Per maggiori informazioni, consulta Utilizzare il linguaggio naturale per generare query di ricerca UDM nella documentazione di Google SecOps.
Widget di indagine IA per i casi
Per aiutarti a comprendere ed esaminare i casi alla ricerca di risultati e avvisi, Gemini fornisce un riepilogo di ogni caso e suggerisce i passaggi successivi che puoi intraprendere per esaminare la richiesta. Il riepilogo e i passaggi successivi vengono visualizzati nel widget Indagini IA quando visualizzi una richiesta.
Questa integrazione con Gemini si basa su Google SecOps.
Informazioni strategiche sulla sicurezza
I servizi Google Cloud integrati e integrati di Security Command Center monitorano continuamente i tuoi asset e log alla ricerca di indicatori di compromissione e di modifiche alla configurazione che corrispondono a minacce note, vulnerabilità ed errori di configurazione. Per fornire il contesto degli incidenti, i risultati sono arricchiti con informazioni provenienti dalle seguenti fonti:
- Con i livelli Enterprise e Premium:
- Riepiloghi creati con l'AI che ti aiutano a comprendere e ad agire sui risultati di Security Command Center e sugli eventuali percorsi di attacco inclusi. Per maggiori informazioni, consulta i riepiloghi creati con l'IA.
- I risultati della vulnerabilità includono informazioni provenienti dalle voci CVE corrispondenti, tra cui il punteggio CVE e valutazioni di Mandiant sul potenziale impatto della vulnerabilità e sul potenziale sfruttamento della vulnerabilità.
- Potenti funzionalità di ricerca SIEM e SOAR basate su Google SecOps, che ti consentono di esaminare minacce e vulnerabilità e di orientarti tra le entità correlate in una sequenza temporale unificata.
- VirusTotal, un servizio di proprietà di Alphabet che fornisce il contesto su file, URL, domini e indirizzi IP potenzialmente dannosi.
- Framework MITRE ATT&CK, che spiega le tecniche per gli attacchi contro le risorse cloud e fornisce indicazioni per la correzione.
- Cloud Audit Logs (log delle attività di amministrazione e log degli accessi ai dati).
Riceverai notifiche per i nuovi risultati quasi in tempo reale, aiutando i team di sicurezza a raccogliere dati, identificare le minacce e agire in base ai suggerimenti prima che causino danni o perdite all'azienda.
Con una vista centralizzata della tua security posture e un'API solida, puoi fare rapidamente quanto segue:
- Rispondi a domande come:
- Quali indirizzi IP statici sono aperti al pubblico?
- Quali immagini sono in esecuzione sulle tue VM?
- Ci sono prove che le tue VM vengono utilizzate per il mining di criptovaluta o altre operazioni illecite?
- Quali account di servizio sono stati aggiunti o rimossi?
- Come vengono configurati i firewall?
- Quali bucket di archiviazione contengono informazioni che consentono l'identificazione personale (PII) o dati sensibili? Questa funzionalità richiede l'integrazione con Sensitive Data Protection.
- Quali applicazioni cloud sono vulnerabili alle vulnerabilità cross-site scripting (XSS)?
- Ci sono dei miei bucket Cloud Storage aperti a internet?
- Intraprendi azioni per proteggere i tuoi asset:
- Implementare passaggi di correzione verificati per errori di configurazione degli asset e violazioni della conformità.
- Combina l'intelligence sulle minacce di Google Cloud e di fornitori di terze parti, come Palo Alto Networks, per proteggere meglio la tua azienda da costose minacce a livello di computing.
- Assicurati che siano attivi i criteri IAM appropriati e ricevi avvisi quando i criteri vengono configurati in modo errato o modificati inaspettatamente.
- Integra i risultati provenienti da origini tue o di terze parti per le risorse Google Cloud o altre risorse ibride o multi-cloud. Per ulteriori informazioni, vedi Aggiunta di un servizio di sicurezza di terze parti.
- Rispondere alle minacce nel tuo ambiente Google Workspace e ai cambiamenti non sicuri in Google Gruppi.
Configurazioni errate di identità e accesso
Security Command Center semplifica l'identificazione e la risoluzione dei risultati di configurazione errata dell'identità e dell'accesso su Google Cloud. I risultati relativi agli errori di configurazione identificano le entità (identities) configurate in modo errato o che dispongono di autorizzazioni IAM (identities) eccessive o sensibili alle risorse Google Cloud.
Gestione dei diritti dell'infrastruttura cloud
La gestione dei problemi di sicurezza relativi a identità e accessi è a volte indicata come gestione dei diritti dell'infrastruttura cloud (CIEM). Security Command Center offre funzionalità CIEM che forniscono una visione completa della sicurezza della configurazione di identità e accessi della tua organizzazione. Security Command Center offre queste funzionalità per più piattaforme cloud, tra cui Google Cloud e Amazon Web Services (AWS). Con CIEM puoi vedere quali entità hanno autorizzazioni eccessive nei tuoi ambienti cloud. Oltre a Google Cloud IAM, CIEM supporta la possibilità di esaminare le autorizzazioni di cui le entità di altri provider di identità (come Entra ID (Azure AD) e Okta) hanno sulle tue risorse Google Cloud. Puoi visualizzare i risultati più gravi relativi a identità e accessi di più cloud provider nel riquadro Risultati di identità e accesso nella pagina Panoramica di Security Command Center della console Google Cloud.
Per maggiori informazioni sulle funzionalità CIEM di Security Command Center, consulta Panoramica della gestione dei diritti dell'infrastruttura cloud.
Preimpostazioni query di identità e accesso
Nella pagina Vulnerabilità della console Google Cloud, puoi selezionare le query preimpostate (query predefinite) che mostrano i rilevatori di vulnerabilità o le categorie relative a identità e accesso. Per ogni categoria viene visualizzato il numero di risultati attivi.
Per saperne di più sulle preimpostazioni query, consulta Applicare le preimpostazioni query.
Gestisci la conformità agli standard di settore
Security Command Center monitora la tua conformità con rilevatori mappati ai controlli di un'ampia gamma di standard di sicurezza.
Per ogni standard di sicurezza supportato, Security Command Center controlla un sottoinsieme di controlli. Per i controlli selezionati, Security Command Center mostra quanti controlli vengono superati. Per i controlli che non vengono superati, Security Command Center mostra un elenco di risultati che descrivono gli errori dei controlli.
CIS esamina e certifica le mappature dei rilevatori di Security Command Center a ogni versione supportata del benchmark CIS Google Cloud Foundations. Ulteriori mappature di conformità sono incluse solo a scopo di riferimento.
Security Command Center aggiunge periodicamente supporto per nuovi standard e versioni di benchmark. Le versioni precedenti rimangono supportate, ma verranno ritirate. Ti consigliamo di utilizzare l'ultimo benchmark o lo standard supportato disponibile.
Con il servizio Security posture puoi mappare i criteri dell'organizzazione e i rilevatori di Security Health Analytics agli standard e ai controlli applicabili alla tua attività. Dopo aver creato una postura di sicurezza, puoi monitorare eventuali modifiche all'ambiente che potrebbero influire sulla conformità dell'azienda.
Per ulteriori informazioni sulla gestione della conformità, vedi Valutare e segnalare la conformità con gli standard di sicurezza.
Standard di sicurezza supportati su Google Cloud
Security Command Center mappa i rilevatori per Google Cloud a uno o più dei seguenti standard di conformità:
- Controlli per la sicurezza delle informazioni (CIS) 8.0
- Benchmark CIS di Google Cloud Computing Foundations v2.0.0, v1.3.0, v1.2.0, v1.1.0 e v1.0.0
- Benchmark CIS per Kubernetes v1.5.1
- Cloud Controls Matrix (CCM) 4
- HIPAA (Health Insurance Portability and Accountability Act)
- Organizzazione internazionale per la standardizzazione (ISO) 27001, 2022 e 2013
- National Institute of Standards and Technology (NIST) 800-53 R5 e R4
- NIST CSF 1.0
- Open Web Application Security Project (OWASP) Top Ten, 2021 e 2017
- Standard di sicurezza dei dati dell'industria delle carte di pagamento (PCI DSS) 4.0 e 3.2.1
- Controlli di sistema e organizzazione (SOC) 2 Criteri di Trusted Services (TSC) del 2017
Standard di sicurezza supportati su AWS
Security Command Center mappa i rilevatori per Amazon Web Services (AWS) a uno o più dei seguenti standard di conformità:
- CIS Amazon Web Services Foundations 2.0.0
- Controlli CS 8.0
- CCM 4
- HIPAA
- ISO 27001 2022
- NIST 800-53 R5
- NIST CSF 1.0
- PCI DSS 4.0 e 3.2.1
- SOC 2 2017, TSC
Piattaforma flessibile per soddisfare le tue esigenze di sicurezza
Security Command Center include opzioni di personalizzazione e integrazione che consentono di migliorare l'utilità del servizio per soddisfare le tue esigenze di sicurezza in continua evoluzione.
Opzioni di personalizzazione
Le opzioni di personalizzazione includono:
- Crea moduli personalizzati per Security Health Analytics per definire le tue regole di rilevamento per vulnerabilità, configurazioni errate o violazioni della conformità.
- Crea moduli personalizzati per Event Threat Detection per monitorare il flusso di Logging alla ricerca di minacce in base ai parametri da te specificati.
- Crea posture di sicurezza per monitorare eventuali modifiche dell'ambiente che potrebbero influire sulla conformità ai vari standard normativi.
Opzioni di integrazione
Le opzioni di integrazione includono:
- Utilizza Pub/Sub per esportare i risultati in Splunk o in altri SIEM per l'analisi.
- Usa Pub/Sub e Cloud Functions per correggere i risultati in modo rapido e automatico.
- Accedi a strumenti open source per espandere le funzionalità e automatizzare le risposte.
- Eseguire l'integrazione con i servizi di sicurezza di Google Cloud, tra cui:
- Integrazione con soluzioni di sicurezza di partner terzi:
- Gli insight sulla sicurezza di Google Cloud provenienti dai prodotti dei partner vengono aggregati in Security Command Center e puoi inserirli nei sistemi e nei flussi di lavoro esistenti.
Quando utilizzare Security Command Center
La seguente tabella include funzionalità generali del prodotto, casi d'uso e link alla documentazione pertinente per aiutarti a trovare rapidamente i contenuti di cui hai bisogno.
| Selezione delle | Casi d'uso | Documenti correlati |
|---|---|---|
| Identificazione e revisione degli asset |
|
Best practice di Security Command Center Utilizzo di Security Command Center nella console Google Cloud |
| Identificazione dei dati sensibili |
|
Invio dei risultati di Sensitive Data Protection a Security Command Center |
| Integrazione di prodotti SIEM e SOAR di terze parti |
|
Esportazione dei dati di Security Command Center |
| Rilevamento degli errori di configurazione |
|
Panoramica di Security Health Analytics
Panoramica di Web Security Scanner |
| Rilevamento delle vulnerabilità del software |
|
Dashboard della strategia di sicurezza di GKE |
| Monitoraggio del controllo di identità e accessi |
|
Motore per suggerimenti IAM |
| Rilevamento delle minacce |
|
Gestire le minacce |
| Rilevamento degli errori |
|
Panoramica degli errori di Security Command Center |
| Assegnare priorità alle correzioni |
|
Panoramica dei punteggi di esposizione agli attacchi e dei percorsi di attacco |
| Risolvi i rischi |
|
Analisi e risposta alle minacce
Correzione dei risultati di Security Health Analytics Correzione dei risultati di Web Security Scanner Risultati e correzioni di Rapid Vulnerability Detection |
| Gestione della postura |
|
Panoramica della postura di sicurezza |
| Input da strumenti di sicurezza di terze parti |
|
Configurazione di Security Command Center |
| Notifiche in tempo reale |
|
Configurazione delle notifiche sui risultati Attivazione delle notifiche via email e chat in tempo reale Utilizzo dei contrassegni di sicurezza |
| API REST e SDK client |
|
Configurazione di Security Command Center |
Controlli per la residenza dei dati
Per soddisfare i requisiti di residenza dei dati, quando attivi Security Command Center Standard o Premium per la prima volta, puoi abilitare i controlli per la residenza dei dati.
L'abilitazione dei controlli di residenza dei dati limita l'archiviazione e l'elaborazione dei risultati di Security Command Center, della disattivazione delle regole, delle esportazioni continue e delle esportazioni di BigQuery a una delle regioni multiple di residenza dei dati supportate da Security Command Center.
Per saperne di più, consulta Pianificazione della residenza dei dati.
Livelli di servizio di Security Command Center
Security Command Center offre tre livelli di servizio: Standard, Premium ed Enterprise.
Il livello selezionato determina le funzionalità e i servizi disponibili con Security Command Center.
Se hai domande sui livelli di servizio di Security Command Center, contatta il tuo rappresentante dell'account o il team di vendita Google Cloud.
Per informazioni sui costi associati all'utilizzo di un livello di Security Command Center, consulta Prezzi.
Livello Standard
Il livello Standard include i seguenti servizi e funzionalità:
-
Security Health Analytics: nel livello Standard, Security Health Analytics fornisce la scansione gestita della valutazione delle vulnerabilità per Google Cloud, che può rilevare automaticamente le vulnerabilità e gli errori di configurazione più gravi per i tuoi asset Google Cloud. Nel livello Standard, Security Health Analytics include i seguenti tipi di risultati:
Dataproc image outdatedLegacy authorization enabledMFA not enforcedNon org IAM memberOpen ciscosecure websm portOpen directory services portOpen firewallOpen group IAM memberOpen RDP portOpen SSH portOpen Telnet portPublic bucket ACLPublic Compute imagePublic datasetPublic IP addressPublic log bucketPublic SQL instanceSSL not enforcedWeb UI enabled
- Scansioni personalizzate di Web Security Scanner: nel livello Standard, Web Security Scanner supporta le scansioni personalizzate delle applicazioni di cui è stato eseguito il deployment con URL pubblici e indirizzi IP che non sono protetti da un firewall. Le analisi vengono configurate, gestite ed eseguite manualmente per tutti i progetti e supportano un sottoinsieme di categorie nella categoria OWASP Top Ten.
- Errori di Security Command Center: Security Command Center fornisce indicazioni per il rilevamento e la correzione degli errori di configurazione che impediscono il corretto funzionamento di Security Command Center e dei suoi servizi.
- Funzionalità di esportazioni continue, che gestisce automaticamente l'esportazione dei nuovi risultati in Pub/Sub.
-
Accesso ai servizi Google Cloud integrati, tra cui:
- Sensitive Data Protection rileva, classifica e protegge i dati sensibili.
- Google Cloud Armor protegge i deployment di Google Cloud dalle minacce.
- Il rilevamento di anomalie identifica le anomalie di sicurezza per i tuoi progetti e per le istanze di macchine virtuali (VM), come potenziali credenziali divulgate e mining di criptovaluta.
- Policy Controller consente l'applicazione, anche forzata, dei criteri programmabili per i tuoi cluster Kubernetes.
- Risultati della dashboard della strategia di sicurezza di GKE: visualizza i risultati relativi agli errori di configurazione della sicurezza dei carichi di lavoro Kubernetes, ai bollettini sulla sicurezza strategici e alle vulnerabilità nel sistema operativo dei container o nei pacchetti di linguaggio. L'integrazione dei risultati della dashboard della strategia di sicurezza di GKE con Security Command Center è disponibile in Anteprima.
- Integrazione con BigQuery, che esporta i risultati in BigQuery per l'analisi.
- Integrazione con Forseti Security, il toolkit di sicurezza open source per Google Cloud e applicazioni di gestione degli eventi e delle informazioni di sicurezza di terze parti (SIEM).
- Servizio per le azioni sensibili, che rileva le azioni intraprese nell'organizzazione, nelle cartelle e nei progetti Google Cloud che potrebbero essere dannosi per la tua attività se vengono intraprese da un utente malintenzionato.
- Quando Security Command Center viene attivato a livello di organizzazione, puoi concedere agli utenti ruoli IAM a livello di organizzazione, cartella e progetto.
- Controlli di residenza dei dati che limitano l'archiviazione e l'elaborazione dei risultati di Security Command Center, la disattivazione delle regole, le esportazioni continue e le esportazioni di BigQuery in una delle regioni multiple per la residenza dei dati supportate da Security Command Center.
Per saperne di più, consulta Pianificazione della residenza dei dati.
Livello Premium
Il livello Premium include tutti i servizi e le funzionalità del livello Standard e i seguenti servizi e funzionalità aggiuntivi:
- Le simulazioni dei percorsi di attacco ti aiutano a identificare e dare priorità ai risultati di vulnerabilità ed errori di configurazione identificando i percorsi che un potenziale utente malintenzionato potrebbe seguire per raggiungere le tue risorse di alto valore. Le simulazioni calcolano e assegnano punteggi di esposizione agli attacchi a tutti i risultati che espongono queste risorse. I percorsi di attacco interattivi consentono di visualizzare i possibili percorsi di attacco e fornire informazioni su percorsi, risultati correlati e risorse interessate.
-
I risultati delle vulnerabilità includono le valutazioni CVE fornite da Mandiant per aiutarti a dare priorità alla loro correzione.
Nella pagina Panoramica della console, la sezione Primi risultati CVE mostra i risultati di vulnerabilità raggruppati per sfruttabilità e impatto potenziale, in base alla valutazione di Mandiant. Nella pagina Risultati, puoi eseguire query sui risultati in base all'ID CVE.
Per maggiori informazioni, consulta Assegnare priorità in base all'impatto e alla sfruttabilità delle CVE.
- Event Threat Detection monitora Cloud Logging e Google Workspace utilizzando l'intelligence sulle minacce, il machine learning e altri metodi avanzati per rilevare minacce come malware, mining di criptovaluta ed esfiltrazione di dati. Per un elenco completo dei rilevatori di Event Threat Detection integrati, consulta le regole di Event Threat Detection. Puoi anche creare rilevatori di Event Threat Detection personalizzati. Per informazioni sui modelli di moduli che puoi utilizzare per creare regole di rilevamento personalizzate, consulta Panoramica dei moduli personalizzati per Event Threat Detection.
-
Container Threat Detection rileva i seguenti attacchi al runtime dei container:
- Programma binario aggiuntivo eseguito
- Libreria aggiuntiva caricata
- Esecuzione: esecuzione di elementi binari dannosi aggiunta
- Esecuzione: aggiunta di libreria dannosa caricata
- Esecuzione: esecuzione binaria dannosa integrata
- Esecuzione: esecuzione di un file binario dannoso modificato
- Esecuzione: libreria dannosa modificata caricata
- Script dannoso eseguito
- Shell inversa
- Shell figlio imprevista
-
Sono disponibili le seguenti funzionalità di Policy Intelligence:
- Funzionalità avanzate del motore per suggerimenti IAM, tra cui:
- Suggerimenti per i ruoli non di base
- Suggerimenti per i ruoli concessi per risorse diverse da organizzazioni, cartelle e progetti, ad esempio suggerimenti per i ruoli concessi per i bucket Cloud Storage
- Consigli che suggeriscono ruoli personalizzati
- Approfondimenti sulle norme
- Informazioni sul movimento laterale
- Policy Analyzer su larga scala (oltre 20 query per organizzazione al giorno). Questo limite è condiviso tra tutti gli strumenti di Policy Analyzer.
- Visualizzazioni per l'analisi dei criteri dell'organizzazione.
- Funzionalità avanzate del motore per suggerimenti IAM, tra cui:
- Puoi eseguire query sugli asset in Cloud Asset Inventory.
- Virtual Machine Threat Detection rileva le applicazioni potenzialmente dannose in esecuzione nelle istanze VM.
-
Security Health Analytics al livello Premium include le seguenti funzionalità:
- Scansioni delle vulnerabilità gestite per tutti i rilevatori di Security Health Analytics
- Monitoraggio di molte best practice del settore
- Monitoraggio della conformità. I rilevatori di Security Health Analytics mappano ai controlli dei benchmark di sicurezza comuni.
- Supporto per moduli personalizzati, che puoi utilizzare per creare rilevatori di Security Health Analytics personalizzati.
Nel livello Premium, Security Health Analytics supporta gli standard descritti in Gestire la conformità con gli standard di settore.
- Web Security Scanner nel livello Premium include tutte le funzionalità del livello Standard e rilevatori aggiuntivi che supportano le categorie della categoria OWASP Top Ten. Web Security Scanner aggiunge anche scansioni gestite che vengono configurate automaticamente.
Monitoraggio della conformità tra i tuoi asset Google Cloud.
Per misurare la conformità agli standard e ai benchmark di sicurezza più comuni, i rilevatori degli scanner di vulnerabilità di Security Command Center vengono mappati ai controlli degli standard di sicurezza più comuni.
Puoi visualizzare la conformità agli standard, identificare i controlli non conformi, esportare i report e altro ancora. Per maggiori informazioni, consulta Valutare e segnalare la conformità agli standard di sicurezza.
- Puoi richiedere una quota aggiuntiva di Cloud Asset Inventory se risulta necessario il monitoraggio esteso degli asset.
- Il servizio di security posture consente di definire, valutare e monitorare lo stato generale della sicurezza in Google Cloud. Il servizio Security posture è disponibile solo nel livello Premium di Security Command Center per i clienti che acquistano un abbonamento a prezzo fisso e attivano il livello Premium di Security Command Center a livello di organizzazione. Il servizio Security posture non supporta la fatturazione basata sull'utilizzo o le attivazioni a livello di progetto.
- La funzionalità di convalida IaC ti consente di convalidare l'infrastruttura come codice (IaC) in base ai criteri dell'organizzazione e ai rilevatori di Security Health Analytics che hai definito nella tua organizzazione Google Cloud. Questa funzionalità è disponibile solo nel livello Premium di Security Command Center per i clienti che acquistano un abbonamento a prezzo fisso e attivano il livello Premium di Security Command Center a livello di organizzazione. Questa funzionalità non supporta la fatturazione basata sull'utilizzo o le attivazioni a livello di progetto.
- Report sulle vulnerabilità di VM Manager
- Se abiliti VM Manager, il servizio scrive automaticamente in Security Command Center i risultati dei propri report sulle vulnerabilità, che sono in anteprima. I report identificano le vulnerabilità nei sistemi operativi installati sulle macchine virtuali di Compute Engine. Per maggiori informazioni, consulta VM Manager.
Livello Enterprise
Il livello Enterprise è una piattaforma CNAPP (Application Protection Platform) completamente cloud-native che consente agli analisti dei SOC, agli analisti di vulnerabilità e ad altri professionisti della sicurezza cloud di gestire la sicurezza su più provider di servizi cloud in un'unica posizione centralizzata.
Il livello Enterprise offre funzionalità di rilevamento e indagine, supporto per la gestione dei casi e gestione della postura, inclusa la possibilità di definire ed eseguire il deployment di regole personalizzate per la postura, nonché di quantificare e visualizzare il rischio che vulnerabilità e configurazioni errate rappresentano per il tuo ambiente cloud.
Il livello Enterprise include tutti i servizi e le funzionalità dei livelli Standard e Premium, nonché i seguenti servizi e funzionalità aggiuntivi:
Funzioni di livello Enterprise basate su Google Security Operations
La funzione di gestione dei casi, le funzionalità del playbook e altre funzionalità SIEM e SOAR del livello Enterprise di Security Command Center si basano su Google Security Operations. Quando utilizzi alcune di queste funzionalità, potresti vedere il nome Google SecOps nell'interfaccia web e potresti essere indirizzato alla documentazione di Google SecOps come guida.
Alcune funzionalità di Google SecOps non sono supportate o limitate con Security Command Center, ma il loro utilizzo potrebbe non essere disabilitato o limitato negli abbonamenti in anteprima al livello Enterprise. Utilizza le seguenti funzionalità e funzioni solo in conformità con le limitazioni dichiarate:
L'importazione dei log del cloud è limitata ai log pertinenti per il rilevamento delle minacce cloud, come:
Google Cloud
- Log delle attività di amministrazione di Cloud Audit Logs
- Log di accesso ai dati di Cloud Audit Logs
- syslog di Compute Engine
- Audit log di GKE
Google Workspace
- Eventi di Google Workspace
- Avvisi di Google Workspace
AWS
- Audit log di CloudTrail
- Syslog
- Log di autorizzazione
- Eventi GuardDuty
I rilevamenti selezionati sono limitati a quelli che rilevano le minacce negli ambienti cloud.
Le integrazioni di Google Cloud Marketplace sono limitate a quanto segue:
- Siemplify
- Strumenti
- VirusTotal V3
- Google Cloud Asset Inventory
- Google Security Command Center
- Jira
- Funzioni
- IAM di Google
- Email V2
- Google Cloud Computing
- Google Chronicle
- Attacco a mitra
- Mandiant Threat Intelligence
- Policy Intelligence di Google Cloud
- Motore per suggerimenti Google Cloud
- Utilità Siemplify
- Servizio ora
- CSV
- SCC Enterprise
- IAM AWS
- AWS EC2
Il numero massimo di regole personalizzate per un evento singolo è 20.
Analisi del rischio per UEBA (analisi del comportamento di utenti ed entità) non è disponibile.
Applied Threat Intelligence non è disponibile.
Il supporto di Gemini per Google SecOps è limitato alla ricerca in linguaggio naturale e ai riepiloghi delle indagini dei casi.
La conservazione dei dati è limitata a tre mesi.
Riepilogo delle funzioni e dei servizi del livello Enterprise
Il livello Enterprise include tutti i servizi e le funzionalità dei livelli Standard e Premium che vengono rilasciati in disponibilità generale.
Il livello Enterprise aggiunge i seguenti servizi e funzionalità a Security Command Center:
- Supporto multi-cloud. Puoi connettere Security Command Center ad altri cloud provider, come AWS, per rilevare minacce, vulnerabilità ed errori di configurazione. Inoltre, dopo aver specificato le risorse di alto valore sull'altro provider, puoi anche valutarne l'esposizione agli attacchi con punteggi e percorsi di attacco.
- Funzionalità SIEM (security information and event management) per ambienti cloud, basate su Google SecOps. Analizza log e altri dati per rilevare eventuali minacce in più ambienti cloud, definisci le regole di rilevamento delle minacce ed esegui ricerche nei dati accumulati. Per maggiori informazioni, consulta la documentazione di Google SecOps SIEM.
- Funzionalità SOAR (security orchestration, automation, and response) per ambienti cloud, basate su Google SecOps. Gestisci i casi, definisci i flussi di lavoro delle risposte e cerca i dati delle risposte. Per maggiori informazioni, consulta la documentazione di Google SecOps SOAR.
- Funzionalità CIEM (Cloud Infrastructure Entitlement Management) per gli ambienti cloud. Identifica gli account (identità) entità che non sono configurati correttamente o a cui sono state concesse autorizzazioni IAM (accesso) eccessive o sensibili alle tue risorse cloud. Per maggiori informazioni, consulta Panoramica della gestione dei diritti dell'infrastruttura cloud.
- Rilevamento esteso delle vulnerabilità del software in VM e container
nei tuoi ambienti cloud con i seguenti servizi Google Cloud
integrati e integrati:
- Versione Google Kubernetes Engine (GKE) Enterprise
- Valutazione delle vulnerabilità per AWS
- VM Manager
Livelli di attivazione di Security Command Center
Puoi attivare Security Command Center su un singolo progetto (funzionalità nota come attivazione a livello di progetto) o su un'intera organizzazione, nota come attivazione a livello di organizzazione.
Il livello Enterprise richiede un'attivazione a livello di organizzazione.
Per saperne di più sull'attivazione di Security Command Center, consulta Panoramica dell'attivazione di Security Command Center.
Passaggi successivi
- Scopri di più sull'attivazione di Security Command Center.
- Scopri di più sui servizi di rilevamento di Security Command Center.
- Scopri come utilizzare Security Command Center nella console Google Cloud.