Visão geral do Security Command Center

Nesta página, você encontra uma visão geral do Security Command Center, uma solução de gerenciamento de riscos que, com o nível Enterprise, combina segurança na nuvem e operações de segurança corporativa, além de fornecer insights da experiência da Mandiant e da inteligência artificial Gemini.

O Security Command Center permite que os analistas da Central de Operações de Segurança (SOC, na sigla em inglês), os analistas de vulnerabilidade e postura, os gerentes de conformidade e outros profissionais de segurança avaliem, investiguem e respondam rapidamente a problemas de segurança em vários ambientes de nuvem.

Toda implantação de nuvem tem riscos únicos. O Security Command Center pode ajudar você a entender e avaliar a superfície de ataque dos seus projetos ou da sua organização no Google Cloud, bem como a superfície de ataque de seus outros ambientes de nuvem. Configurado adequadamente para proteger seus recursos, o Security Command Center pode ajudar você a entender as vulnerabilidades e ameaças detectadas nos seus ambientes de nuvem e priorizar as correções deles.

O Security Command Center integra-se a muitos serviços do Google Cloud para detectar problemas de segurança em vários ambientes de nuvem. Esses serviços detectam problemas de várias maneiras, como verificar metadados de recursos, analisar registros de nuvem, verificar contêineres e verificar máquinas virtuais.

Alguns desses serviços integrados, como Google Security Operations e Mandiant, também oferecem recursos e informações essenciais para priorizar e gerenciar suas investigações e resposta a problemas detectados.

Gerenciar ameaças

Nos níveis Premium e Enterprise, o Security Command Center usa serviços integrados e integrados do Google Cloud para detectar ameaças. Esses serviços verificam os registros, contêineres e máquinas virtuais do Google Cloud em busca de indicadores de ameaças.

Quando esses serviços, como o Event Threat Detection ou o Container Threat Detection, detectam um indicador de ameaça, eles emitem uma descoberta. Uma descoberta é um relatório ou registro de uma ameaça individual ou outro problema que um serviço encontrou no seu ambiente de nuvem. Os serviços que emitem descobertas também são chamados de origens de busca.

No Security Command Center Enterprise, as descobertas acionam alertas que, dependendo da gravidade da descoberta, podem gerar um caso. É possível usar um caso com um sistema de tíquetes para atribuir proprietários à investigação e à resposta a um ou mais alertas. A geração de alertas e casos no Security Command Center é desenvolvida pelo Google SecOps.

O Security Command Center Enterprise também pode detectar ameaças em implantações em outras plataformas de nuvem. Para detectar ameaças em implantações em outras plataformas de nuvem, o Security Command Center ingere os registros da outra plataforma de nuvem depois que você estabelece uma conexão. A ingestão de registros de outras plataformas de nuvem usa a tecnologia do Google SecOps.

Para mais informações, consulte as seguintes páginas:

Recursos de detecção e resposta a ameaças

Com o Security Command Center, os analistas de SOC podem atingir os seguintes objetivos de segurança:

  • Detecte eventos nos ambientes de nuvem que indicam uma possível ameaça e faça a triagem das descobertas ou alertas associados.
  • Atribua proprietários e acompanhe o progresso das investigações e respostas com um fluxo de trabalho de casos integrado. Outra opção é integrar os sistemas de tíquetes que preferir, como Jira ou ServiceNow.
  • Investigue os alertas de ameaças com recursos avançados de pesquisa e referência cruzada.
  • Defina fluxos de trabalho de resposta e automatize ações para lidar com possíveis ataques nos ambientes de nuvem. Para mais informações sobre como definir fluxos de trabalho de resposta e ações automatizadas com playbooks, que têm a tecnologia do Google SecOps, consulte Trabalhar com playbooks.
  • Silenciar ou excluir descobertas ou alertas que sejam falsos positivos.
  • Foco nas ameaças relacionadas a identidades e permissões de acesso comprometidas.
  • Use o Security Command Center para detectar, investigar e responder a possíveis ameaças em outros ambientes de nuvem, como a AWS.

Gerenciar vulnerabilidades

O Security Command Center fornece uma detecção abrangente de vulnerabilidades, verificando automaticamente os recursos do ambiente em busca de vulnerabilidades de software, configurações incorretas e outros tipos de problemas de segurança que possam expor você a ataques. Juntos, esses tipos de problemas são chamados coletivamente de vulnerabilidades.

O Security Command Center usa serviços integrados e integrados do Google Cloud para detectar problemas de segurança. Os serviços que emitem descobertas também são chamados de fontes de busca. Quando um serviço detecta um problema, ele emite uma descoberta para registrá-lo.

Por padrão, os casos são abertos automaticamente para descobertas de vulnerabilidades de alta e gravidade crítica, o que ajuda a priorizar a correção. É possível atribuir proprietários e acompanhar o progresso dos esforços de correção com um caso.

Para ver mais informações, consulte os seguintes tópicos:

Vulnerabilidades de software

Para ajudar você a identificar, entender e priorizar vulnerabilidades de software, o Security Command Center pode avaliar as máquinas virtuais (VMs) e os contêineres nos ambientes de nuvem em busca de vulnerabilidades. Para cada vulnerabilidade detectada, o Security Command Center fornece informações detalhadas sobre um registro ou descoberta de descoberta. As informações fornecidas com uma descoberta podem incluir:

  • Detalhes do recurso afetado
  • Informações sobre qualquer registro de CVE associado, incluindo uma avaliação da Mandiant sobre o impacto e a capacidade de exploração do item da CVE
  • Uma pontuação de exposição a ataques para ajudar você a priorizar a correção
  • Uma representação visual do caminho que um invasor pode seguir para os recursos de alto valor expostos pela vulnerabilidade

As vulnerabilidades de software são detectadas pelos seguintes serviços:

Configurações incorretas

O Security Command Center associa os detectores dos serviços que verificam configurações incorretas aos controles dos padrões de compliance comuns do setor. Além de mostrar os padrões de conformidade violados por uma configuração incorreta, o mapeamento permite que você tenha uma medida da sua conformidade com os vários padrões, que podem ser exportados como um relatório.

Para mais informações, consulte Avaliar e relatar a conformidade.

Violações de postura

Os níveis Premium e Enterprise do Security Command Center incluem o serviço de postura de segurança, que emite descobertas quando os recursos de nuvem violam as políticas definidas nas posturas de segurança implantadas no ambiente de nuvem.

Para mais informações, consulte Serviço de postura de segurança.

Validar a infraestrutura como código

É possível verificar se os arquivos de infraestrutura como código (IaC, na sigla em inglês) estão alinhados com as políticas da organização e os detectores da Análise de integridade da segurança definidos na organização do Google Cloud. Esse recurso ajuda a garantir que você não implante recursos que violem os padrões da sua organização. Depois de definir as políticas organizacionais e, se necessário, ativar o serviço Análise de integridade da segurança, é possível usar o Google Cloud CLI para validar o arquivo de plano do Terraform ou integrar o processo de validação ao fluxo de trabalho do desenvolvedor do Jenkins ou GitHub Actions. Para mais informações, consulte Validar a IaC em relação às políticas da organização.

Detecte vulnerabilidades e configurações incorretas em outras plataformas de nuvem

O Security Command Center Enterprise pode detectar vulnerabilidades em vários ambientes de nuvem. Para detectar vulnerabilidades em outros provedores de serviços em nuvem, primeiro você precisa estabelecer uma conexão com o provedor para ingerir metadados de recursos.

Para mais informações, consulte Conectar-se à AWS para detecção de vulnerabilidades e avaliação de risco.

Recursos de gerenciamento de vulnerabilidades e postura

Com o Security Command Center, analistas de vulnerabilidades, administradores de postura e profissionais de segurança semelhantes podem atingir as metas de segurança a seguir:

  • Detecte diferentes tipos de vulnerabilidades, incluindo vulnerabilidades de software, configurações incorretas e violações de postura, que podem expor os ambientes de nuvem a possíveis ataques.
  • Concentre seus esforços de resposta e correção nos problemas de maior risco usando as pontuações de exposição a ataques nas descobertas e alertas de vulnerabilidades.
  • Atribua proprietários e acompanhe o progresso das correções de vulnerabilidades por meio de casos de uso e integrando seus sistemas de emissão de tíquetes preferidos, como o Jira ou o ServiceNow.
  • Proteger proativamente os recursos de alto valor nos ambientes de nuvem reduzindo as pontuações de exposição a ataques
  • Defina posturas de segurança personalizadas para seus ambientes de nuvem que o Security Command Center usa para avaliá-la e alertá-lo sobre violações.
  • Silenciar ou excluir descobertas ou alertas que sejam falsos positivos.
  • Foco em vulnerabilidades relacionadas a identidades e permissões excessivas.
  • Detecte e gerencie vulnerabilidades e avaliações de risco no Security Command Center de outros ambientes de nuvem, como a AWS.

Avalie o risco com pontuações de exposição e caminhos de ataque

Com ativações dos níveis Premium e Enterprise no nível da organização, o Security Command Center fornece pontuações de exposição a ataques para recursos de alto valor e as descobertas de vulnerabilidade e configuração que afetam esses recursos.

É possível usar essas pontuações para priorizar a correção de vulnerabilidades e configurações incorretas, priorizar a segurança dos recursos de alto valor mais expostos e avaliar o nível de exposição dos ambientes de nuvem a ataques.

No painel Vulnerabilidades ativas da página Visão geral do risco no console do Google Cloud, a guia Descobertas por pontuação de exposição a ataques mostra as descobertas com pontuações mais altas de exposição a ataques no seu ambiente, além da distribuição dessas pontuações.

Para mais informações, consulte Pontuações de exposição a ataques e caminhos de ataque.

Gerenciar descobertas e alertas com casos

O Security Command Center Enterprise cria casos para ajudar a gerenciar descobertas e alertas, atribuir proprietários e gerenciar as investigações e respostas a problemas de segurança detectados. Os casos são abertos automaticamente para problemas de alta gravidade e crítica.

É possível integrar casos ao sistema de tíquetes de sua preferência, como o Jira ou o ServiceNow. Quando os casos são atualizados, todos os tíquetes abertos para o caso podem ser atualizados automaticamente. Da mesma forma, se um tíquete for atualizado, o caso correspondente também poderá ser atualizado.

A funcionalidade do caso é fornecida pelo Google SecOps.

Para mais informações, consulte Visão geral de casos na documentação do Google SecOps.

Definir fluxos de trabalho de resposta e ações automatizadas

Defina fluxos de trabalho de resposta e automatize ações para investigar e responder aos problemas de segurança detectados nos ambientes de nuvem.

Para mais informações sobre como definir fluxos de trabalho de resposta e ações automatizadas com playbooks, que usam a tecnologia do Google SecOps, consulte Trabalhar com playbooks.

Suporte a várias nuvens: proteja suas implantações em outras plataformas de nuvem

É possível estender os serviços e recursos do Security Command Center para abranger suas implantações em outras plataformas de nuvem. Assim, é possível gerenciar em um único local todas as ameaças e vulnerabilidades detectadas em todos os ambientes de nuvem.

Para mais informações sobre como conectar o Security Command Center a outro provedor de serviços de nuvem, consulte as seguintes páginas:

Provedores de serviços de nuvem compatíveis

O Security Command Center pode se conectar à Amazon Web Services (AWS).

Definir e gerenciar posturas de segurança

Com as ativações dos níveis Premium e Enterprise do Security Command Center no nível da organização, é possível criar e gerenciar posturas de segurança que definem o estado necessário dos recursos de nuvem, incluindo rede e serviços de nuvem, para ter a segurança ideal no ambiente de nuvem. É possível personalizar as posturas de segurança para atender às necessidades regulatórias e de segurança da sua empresa. Ao definir uma postura de segurança, você pode minimizar os riscos de segurança cibernética para sua organização e ajudar a evitar ataques.

Use o serviço de postura de segurança do Security Command Center para definir e implantar uma postura de segurança e detectar qualquer desvio ou alteração não autorizada da postura definida.

O serviço de postura de segurança é ativado automaticamente quando você ativa o Security Command Center no nível da organização.

Para mais informações, consulte Visão geral da postura de segurança.

Identificar seus recursos

O Security Command Center inclui informações de recursos do Inventário de recursos do Cloud, que monitora continuamente os recursos no ambiente de nuvem. Para a maioria dos recursos, as alterações de configuração, incluindo o IAM e as políticas da organização, são detectadas quase em tempo real.

Na página Recursos no console do Google Cloud, é possível aplicar, editar e executar rapidamente consultas de recursos de amostra, adicionar uma restrição de tempo predefinida ou criar suas próprias consultas de recursos.

Se você tiver o nível Premium ou Enterprise do Security Command Center, poderá ver quais dos seus recursos são designados como recursos de alto valor para avaliações de risco por simulações de caminho de ataque.

É possível identificar rapidamente mudanças na sua organização ou projeto e responder a perguntas como estas:

  • Quantos projetos você tem e quando eles foram criados?
  • Quais recursos do Google Cloud são implantados ou estão em uso, como máquinas virtuais (VMs) do Compute Engine, buckets do Cloud Storage ou instâncias do App Engine?
  • Qual é seu histórico de implantação?
  • Como organizar, anotar, pesquisar, selecionar, filtrar e classificar nas seguintes categorias:
    • Recursos e propriedades do recurso
    • Marcações de segurança, que permitem fazer anotações em recursos ou descobertas no Security Command Center
    • Período

O Inventário de recursos do Cloud sempre sabe o estado atual dos recursos compatíveis e, no console do Google Cloud, permite revisar verificações históricas de descoberta para comparar recursos entre pontos no tempo. Também é possível procurar recursos subutilizados, como máquinas virtuais ou endereços IP inativos.

Recursos do Gemini no Security Command Center

O Security Command Center incorpora o Gemini para fornecer resumos de descobertas e caminhos de ataque, além de auxiliar em pesquisas e investigações de ameaças e vulnerabilidades detectadas.

Para saber mais sobre o Gemini, consulte Visão geral do Gemini.

Resumos do Gemini de descobertas e caminhos de ataque

Se você usa o Security Command Center Enterprise ou Premium, o Gemini fornece explicações geradas dinamicamente sobre cada descoberta e sobre cada caminho de ataque simulado que o Security Command Center gera para as descobertas das classes Vulnerability e Misconfiguration.

Os resumos são escritos em linguagem natural para ajudar você a entender e agir rapidamente com base nas descobertas e nos caminhos de ataque que possam acompanhá-los.

.

Os resumos aparecem nos seguintes locais no console do Google Cloud:

  • Ao clicar no nome de uma descoberta individual, o resumo na parte superior da página de detalhes da descoberta.
  • Com os níveis Premium e Enterprise do Security Command Center, se uma descoberta tiver uma pontuação de exposição a ataques, é possível exibir o resumo à direita do caminho de ataque clicando na pontuação de exposição a ataques e em Resumo da IA.

Permissões do IAM obrigatórias para resumos gerados por IA

Para ver os resumos de IA, você precisa das permissões de IAM necessárias.

Para descobertas, você precisa da permissão securitycenter.findingexplanations.get do IAM. O papel do IAM predefinido com a menor permissão que contém essa permissão é o Leitor de descobertas da Central de segurança (roles/securitycenter.findingsViewer, na sigla em inglês).

Para caminhos de ataque, a permissão securitycenter.exposurepathexplan.get do IAM é necessária. O papel do IAM predefinido com a menor permissão possível que contém essa permissão é o Leitor de caminhos de exposição da Central de segurança (roles/securitycenter.exposurePathsViewer, na sigla em inglês).

Durante a visualização, essas permissões não estão disponíveis no console do Google Cloud para adicionar a papéis personalizados do IAM.

Para adicionar a permissão a um papel personalizado, use a CLI do Google Cloud.

Para informações sobre como usar a CLI do Google Cloud para adicionar permissões a um papel personalizado, consulte Criar e gerenciar papéis personalizados.

Pesquisa com linguagem natural para investigações de ameaças

É possível gerar pesquisas de descobertas de ameaças, alertas e outras informações usando consultas em linguagem natural e o Gemini. A integração com o Gemini para pesquisas em linguagem natural é desenvolvida pelo Google SecOps. Para mais informações, acesse Usar linguagem natural para gerar consultas de pesquisa do UDM na documentação do Google SecOps.

Widget de investigação de IA para casos

Para ajudar você a entender e investigar casos de descobertas e alertas, o Gemini fornece um resumo de cada caso e sugere as próximas etapas para investigar o caso. O resumo e as próximas etapas aparecem no widget Investigação de IA quando você visualiza um caso.

Essa integração com o Gemini é desenvolvida pelo Google SecOps.

Insights de segurança acionáveis

Os serviços integrados e integrados do Google Cloud do Security Command Center monitoram continuamente seus recursos e registros em busca de indicadores de comprometimento e alterações de configuração que correspondam a ameaças, vulnerabilidades e configurações incorretas conhecidas. Para fornecer informações sobre incidentes, as descobertas são enriquecidas com informações das seguintes fontes:

  • Com os níveis Enterprise e Premium:
    • Resumos gerados por IA que ajudam a entender e agir com relação às descobertas do Security Command Center e os caminhos de ataque incluídos nelas. Para mais informações, consulte Resumos gerados por IA.
    • As descobertas de vulnerabilidade incluem informações das entradas de CVE correspondentes, incluindo a pontuação da CVE, e avaliações da Mandiant sobre o impacto potencial e o potencial de exploração da vulnerabilidade.
    • Recursos avançados de pesquisa SIEM e SOAR com tecnologia do Google SecOps, que permitem investigar ameaças e vulnerabilidades e lidar com entidades relacionadas em uma linha do tempo unificada.
  • VirusTotal, um serviço do Alphabet que fornece contexto sobre arquivos, URLs, domínios e endereços IP potencialmente maliciosos.
  • Framework MITRE ATT&CK, que explica as técnicas de ataques contra recursos da nuvem e fornece orientações de correção.
  • Registros de auditoria do Cloud (Registros de atividade do administrador e Registros de acesso a dados).

Você recebe notificações de novas descobertas quase em tempo real, ajudando as equipes de segurança a coletar dados, identificar ameaças e agir de acordo com as recomendações antes que elas resultem em danos ou perdas aos negócios.

Com uma visualização centralizada da postura de segurança e uma API robusta, é possível fazer rapidamente o seguinte:

  • Responda a perguntas como estas:
    • Quais endereços IP estáticos estão abertos ao público?
    • Quais imagens estão sendo executadas nas VMs?
    • Há evidências de que suas VMs estão sendo usadas para mineração de moedas ou outras operações abusivas?
    • Quais contas de serviço foram adicionadas ou removidas?
    • Como os firewalls são configurados?
    • Quais buckets de armazenamento contêm informações de identificação pessoal (PII) ou dados confidenciais? Esse recurso requer integração com a Proteção de dados confidenciais.
    • Quais aplicativos de nuvem são vulneráveis à vulnerabilidades entre scripts (XSS, na sigla em inglês)?
    • Todos os meus buckets do Cloud Storage estão abertos à Internet?
  • Tome medidas para proteger seus recursos:
    • Implemente etapas de remediação verificadas para configurações incorretas de recursos e violações de conformidade.
    • Combine a inteligência de ameaça do Google Cloud e de provedores terceirizados, como a Palo Alto Networks, para proteger melhor sua empresa de ameaças caras às camadas de computação.
    • Verifique se as políticas do IAM apropriadas estão em vigor e receba alertas quando as políticas forem configuradas incorretamente ou inesperadamente.
    • Integre descobertas de fontes próprias ou de terceiros para recursos do Google Cloud ou outros recursos híbridos ou de multicloud. Para mais informações, consulte Como adicionar um serviço de segurança de terceiros.
    • Responda a ameaças no ambiente do Google Workspace e a alterações não seguras no Grupos do Google.

Configurações incorretas de identidade e acesso

O Security Command Center facilita a identificação e a resolução de descobertas de configurações incorretas de identidade e acesso no Google Cloud. O gerenciamento de problemas de segurança de identidade e acesso é às vezes chamado de gerenciamento de direitos de infraestrutura em nuvem (CIEM, na sigla em inglês).

As descobertas de configuração incorreta do Security Command Center identificam contas principais (identities) que foram configuradas incorretamente ou que recebem permissões do IAM excessivas ou confidenciais (identities) aos recursos do Google Cloud.

É possível ver as descobertas mais graves de identidade e acesso no painel Descobertas de identidade e acesso, perto da parte de baixo da página Visão geral do Security Command Center no console do Google Cloud.

Na página Vulnerabilidade no Console do Google Cloud, é possível selecionar predefinições de consulta (consultas predefinidas) que mostram os detectores de vulnerabilidades ou categorias relacionadas à identidade e ao acesso. O número de descobertas ativas é exibido para cada categoria.

Para mais informações sobre as predefinições de consulta, confira Aplicar predefinições de consulta.

Gerenciar a conformidade com os padrões do setor

O Security Command Center monitora sua conformidade com detectores associados aos controles de uma ampla variedade de padrões de segurança.

Para cada padrão de segurança compatível, o Security Command Center verifica um subconjunto de controles. Para os controles marcados, o Security Command Center mostra quantos estão passando. Para os controles que não estão sendo aprovados, o Security Command Center mostra uma lista de descobertas que descrevem as falhas de controle.

O CIS analisa e certifica os mapeamentos dos detectores do Security Command Center para cada versão compatível do comparativo de mercado CIS do Google Cloud Foundations. Outros mapeamentos de conformidade estão incluídos apenas para fins de referência.

O Security Command Center adiciona suporte a novas versões de comparativo de mercado e padrões periodicamente. As versões mais antigas permanecem compatíveis, mas serão descontinuadas. Recomendamos usar o comparativo de mercado ou o padrão compatível mais recente disponível.

Com o serviço de postura de segurança, é possível associar as políticas da organização e os detectores da Análise de integridade da segurança aos padrões e controles que se aplicam ao seu negócio. Depois de criar uma postura de segurança, é possível monitorar as alterações no ambiente que possam afetar a conformidade da empresa.

Para mais informações sobre como gerenciar a conformidade, consulte Avaliar e relatar a conformidade com os padrões de segurança.

Padrões de segurança com suporte no Google Cloud

O Security Command Center mapeia os detectores do Google Cloud para um ou mais dos seguintes padrões de conformidade:

Padrões de segurança com suporte na AWS

O Security Command Center mapeia os detectores da Amazon Web Services (AWS) para um ou mais dos seguintes padrões de conformidade:

Plataforma flexível para atender às suas necessidades de segurança

O Security Command Center inclui opções de personalização e integração que permitem aprimorar o utilitário do serviço para atender às suas necessidades de segurança em constante evolução.

Opções de personalização

As opções de customização incluem:

Opções de integração

As opções de integração incluem:

Quando usar o Security Command Center

A tabela a seguir inclui recursos de alto nível do produto, casos de uso e links para a documentação relevante, ajudando você a encontrar rapidamente o conteúdo necessário.

Engenharia de Casos de uso Documentos relacionados
Identificação e análise de recursos
  • Veja em um só lugar todos os recursos, serviços e dados de toda a organização ou projeto e de todas as plataformas de nuvem.
  • Avalie as vulnerabilidades dos recursos compatíveis e tome medidas para priorizar as correções dos problemas mais graves.
 Práticas recomendadas do Security Command Center

Controle de acesso

Como usar o Security Command Center no console do Google Cloud
Identificação de dados confidenciais
  • Descubra onde dados confidenciais e regulamentados são armazenados usando a proteção de dados confidenciais.
  • Evite exposição não intencional e garanta acesso necessário.
  • Designe automaticamente recursos que contêm dados de sensibilidade média ou alta como recursos de alto valor.
 Como enviar resultados da Proteção de dados sensíveis para o Security Command Center
Integração de produtos SIEM e SOAR de terceiros
  • Exporte facilmente dados do Security Command Center para sistemas SIEM e SOAR externos.
 Como exportar dados do Security Command Center

Exportações contínuas
Detecção de configuração incorreta Visão geral da Análise de integridade da segurança

Visão geral do Web Security Scanner

Visão da detecção rápida de vulnerabilidades

Descobertas de vulnerabilidades

Detecção de vulnerabilidades de software
  • Detecte vulnerabilidades de software em cargas de trabalho em máquinas virtuais e contêineres nos provedores de serviços de nuvem.
  • Receba alertas de novas vulnerabilidades e mudanças na superfície de ataque de maneira proativa.
  • Descubra vulnerabilidades comuns que colocam seus aplicativos em risco, como scripting em vários locais (XSS) e injeção de Flash.
  • Com o Security Command Center Premium, priorize as descobertas de vulnerabilidade usando informações de CVE,incluindo avaliações de exploração e impacto fornecidas pela Mandiant.

Painel de postura de segurança do GKE

VM Manager

Visão geral do Web Security Scanner

Descobertas de vulnerabilidades

Monitoramento de controle de acesso e identidade
  • Ajude a garantir que as políticas de controle de acesso apropriadas estejam em vigor nos recursos do Google Cloud e receba alertas quando as políticas forem configuradas incorretamente ou forem alteradas inesperadamente.
  • Use as predefinições de consulta para visualizar rapidamente as descobertas de configurações incorretas de identidade e acesso e papéis que receberam permissões excessivas.
 Recomendador do IAM

Controle de acesso

Configurações incorretas de identidade e acesso

Detecção de ameaças
  • Detecte atividades e agentes maliciosos na sua infraestrutura e receba alertas de ameaças ativas.
  • Detecte ameaças em outras plataformas de nuvem
 Gerenciar ameaças

Visão geral da detecção de ameaças de eventos

Visão geral da detecção de ameaças de contêiner
Detecção de erros
  • Receba alertas sobre erros e configurações incorretas que impedem o funcionamento correto do Security Command Center e dos serviços.
 Visão geral dos erros do Security Command Center
Priorizar correções
  • Use pontuações de exposição a ataques para priorizar a correção de descobertas de vulnerabilidade e configurações incorretas.
  • Use pontuações de exposição a ataques em recursos para proteger proativamente os recursos mais valiosos para seu negócio.
 Visão geral das pontuações e caminhos de exposição a ataques
Riscos para correção
  • Implemente instruções de correção verificadas e recomendadas para proteger os recursos rapidamente.
  • Concentre-se nos campos mais importantes em uma descoberta para ajudar os analistas de segurança a tomar decisões de triagem informadas rapidamente.
  • Enriqueça e conecte vulnerabilidades e ameaças relacionadas para identificar e capturar TTPs.
  • Resolva erros e configurações incorretas que impedem o funcionamento do Security Command Center e seus serviços como esperado.
 Investigar e responder a ameaças

Como corrigir as descobertas da análise de integridade de segurança

Como corrigir descobertas do Web Security Scanner

Descobertas e correções do Rapid Vulnerability Detection

Automação de resposta de segurança

Como corrigir erros do Security Command Center
Gerenciamento de postura
  • Garanta que suas cargas de trabalho estejam em conformidade com os padrões de segurança, as regulamentações de compliance e os requisitos de segurança personalizados da sua organização.
  • Aplique os controles de segurança a projetos, pastas ou organizações do Google Cloud antes de implantar cargas de trabalho.
  • Monitore e resolva continuamente qualquer desvio dos controles de segurança definidos.
 Visão geral da postura de segurança

Gerenciar uma postura de segurança
Informações de ferramentas de segurança de terceiros
  • Integre os resultados das suas ferramentas de segurança atuais, como Cloudflare, CrowdStrike, Prisma Cloud de Palo Alto Networks e Qualys, no Security Command Center. A integração da saída pode ajudar a detectar o seguinte:
    • Ataques DDoS
    • Endpoints comprometidos
    • Violações da política de conformidade
    • Ataques de rede
    • Vulnerabilidades e ameaças de instâncias
 Como configurar o Security Command Center

Como criar e gerenciar fontes de segurança
Notificações em tempo real
  • Receba alertas do Security Command Center por e-mail, SMS, Slack, WebEx e outros serviços com notificações do Pub/Sub.
  • Ajustar filtros de descoberta para excluir descobertas em listas de permissões.
 Como configurar as notificações de localização

Como ativar notificações de chat e e-mail em tempo real

Como usar marcações de segurança

Como exportar dados do Security Command Center

Como filtrar notificações

Adicionar recursos a listas de permissões
API REST e SDKs de cliente
  • Use a API REST do Security Command Center ou os SDKs do cliente para facilitar a integração com seus fluxos de trabalho e sistemas de segurança atuais.
Como configurar o Security Command Center

Como acessar o Security Command Center de maneira programática

API Security Command Center

Controles de residência de dados

Para atender aos requisitos de residência de dados, ao ativar o Security Command Center Standard ou Premium pela primeira vez, é possível ativar os controles de residência de dados.

Ativar os controles de residência de dados restringe o armazenamento e o processamento de descobertas do Security Command Center, regras de silenciamento, exportações contínuas e exportações do BigQuery para uma das multirregiões de residência de dados compatíveis com o Security Command Center.

Para mais informações, consulte Planejamento para residência de dados.

Níveis de serviço do Security Command Center

O Security Command Center oferece três níveis de serviço: Standard, Premium e Enterprise.

O nível selecionado determina os recursos e serviços disponíveis no Security Command Center.

Se você tiver dúvidas sobre os níveis de serviço do Security Command Center, entre em contato com seu representante de contas ou com as vendas do Google Cloud.

Para informações sobre os custos associados ao uso de um nível do Security Command Center, consulte Preços.

Nível Standard

O nível Standard inclui os seguintes serviços e recursos:

  • Análise de integridade da segurança: no nível Standard, a Análise de integridade da segurança oferece verificação gerenciada de avaliação de vulnerabilidades para o Google Cloud, que pode detectar automaticamente as vulnerabilidades mais graves e configurações incorretas dos recursos do Google Cloud. No nível Standard, o Security Health Analytics inclui os seguintes tipos de resultados:

    • Dataproc image outdated
    • Legacy authorization enabled
    • MFA not enforced
    • Non org IAM member
    • Open ciscosecure websm port
    • Open directory services port
    • Open firewall
    • Open group IAM member
    • Open RDP port
    • Open SSH port
    • Open Telnet port
    • Public bucket ACL
    • Public Compute image
    • Public dataset
    • Public IP address
    • Public log bucket
    • Public SQL instance
    • SSL not enforced
    • Web UI enabled
  • Verificações personalizadas do Web Security Scanner: no nível Standard, essa ferramenta admite verificações personalizadas de aplicativos implantados com URLs e endereços IP públicos que não estão protegidos por firewall. As verificações são configuradas, gerenciadas e executadas manualmente para todos os projetos e são compatíveis com um subconjunto de categorias em OWASP Top Ten
  • Erros do Security Command Center: o Security Command Center fornece orientações de detecção e correção para erros de configuração que impedem o funcionamento correto do Security Command Center e dos serviços.
  • Recurso de exportações contínuas, que gerencia automaticamente a exportação de novas descobertas para o Pub/Sub.

  • Acesso a serviços integrados do Google Cloud, incluindo os seguintes:

  • Descobertas do painel de postura de segurança do GKE: confira as descobertas sobre configurações incorretas de segurança de cargas de trabalho do Kubernetes, boletins de segurança acionáveis e vulnerabilidades no sistema operacional do contêiner ou em pacotes de idiomas. A integração das descobertas do painel de postura de segurança do GKE com o Security Command Center está disponível em Pré-lançamento.
  • Integração com o BigQuery, que exporta descobertas para o BigQuery para análise.
  • Integração com o Forseti Security, o kit de ferramentas de segurança de código aberto para o Google Cloud e aplicativos de gerenciamento de eventos e informações de segurança (SIEM, na sigla em inglês) de terceiros.
  • Serviço de ações confidenciais, que detecta quando ações são realizadas na sua organização, pastas e projetos do Google Cloud que podem prejudicar seus negócios se forem realizadas por um usuário malicioso.
  • Quando o Security Command Center está ativado no nível da organização, é possível conceder aos usuários papéis do IAM nos níveis da organização, da pasta e do projeto.
  • Controles de residência de dados que restringem o armazenamento e o processamento de descobertas do Security Command Center, regras de silenciamento, exportações contínuas e exportações do BigQuery para uma das multirregiões de residência de dados aceitas pelo Security Command Center.

    Para mais informações, consulte Planejamento para residência de dados.

Nível Premium

O nível Premium inclui todos os serviços e recursos do nível Standard, além dos seguintes serviços e recursos extras:

  • As simulações de caminho de ataque ajudam a identificar e priorizar descobertas de vulnerabilidade e configurações incorretas, identificando os caminhos que um possível invasor pode seguir para alcançar seus recursos de alto valor. As simulações calculam e atribuem pontuações de exposição a ataques a qualquer descoberta que exponha esses recursos. Os caminhos de ataque interativos ajudam a visualizar os possíveis caminhos de ataque e fornecer informações sobre os caminhos, as descobertas relacionadas e os recursos afetados.

  • As descobertas de vulnerabilidades incluem CVE fornecidas pela Mandiant para ajudar você a priorizar a correção delas.

    Na página Visão geral no console, a seção Principais descobertas de CVE mostra as descobertas de vulnerabilidades agrupadas por capacidade de exploração e possível impacto, conforme avaliado pela Mandiant. Na página Descobertas, é possível consultar as descobertas por ID da CVE.

    Para mais informações, consulte Priorizar por impacto e vulnerabilidade a explorações da CVE.

  • O Event Threat Detection monitora o Cloud Logging e o Google Workspace, usando inteligência contra ameaças, machine learning e outros métodos avançados para detectar ameaças, como malware, mineração de criptomoeda e exfiltração de dados. Para uma lista completa de detectores integrados do Event Threat Detection, consulte Regras do Event Threat Detection. Também é possível criar detectores personalizados do Event Threat Detection. Para mais informações sobre modelos de módulo que podem ser usados para criar regras de detecção personalizadas, consulte Visão geral de módulos personalizados do Event Threat Detection.
  • O Container Threat Detection detecta os seguintes ataques ao ambiente de execução do contêiner:
    • Adição de binário executado
    • Adição de biblioteca carregada
    • Execução: adição de binário malicioso executado
    • Execução: biblioteca maliciosa carregada
    • Execução: criação em binário malicioso executado
    • Execução: binário malicioso modificado executado
    • Execução: biblioteca maliciosa modificada carregada
    • Script malicioso executado
    • Shell reverso
    • Shell filho inesperado

  • Os seguintes recursos do Policy Intelligence estão disponíveis:

    • Recursos avançados do recomendador do IAM, incluindo:
      • Recomendações para papéis não básicos
      • Recomendações para papéis concedidos em recursos que não são organizações, pastas e projetos. Por exemplo, recomendações para papéis concedidos em buckets do Cloud Storage
      • Recomendações que sugerem papéis personalizados
      • Insights de política
      • Insights de movimentação lateral
    • Análise de políticas em grande escala (acima de 20 consultas por organização por dia). Esse limite é compartilhado entre todas as ferramentas da ferramenta Análise de políticas políticas.
    • Visualizações para análise de políticas da organização.
  • É possível consultar recursos no Inventário de recursos do Cloud.
  • O Detecção de ameaças a máquinas virtuais detecta aplicativos potencialmente maliciosos em execução em instâncias de VM.

  • O Security Health Analytics no nível Premium inclui os seguintes recursos:

    • Verificações de vulnerabilidades gerenciadas para todos os detectores do Security Health Analytics
    • Monitoramento de muitas práticas recomendadas do setor
    • Monitoramento de compliance. Os detectores da Análise de integridade da segurança são mapeados para os controles dos comparativos de mercado de segurança comuns.
    • Suporte de módulo personalizado, que você pode usar para criar seus próprios detectores personalizados do Security Health Analytics.

    No nível Premium, a Análise de integridade da segurança é compatível com os padrões descritos em Gerenciar a conformidade com os padrões do setor.

  • O Web Security Scanner no nível Premium inclui todos os recursos do nível Standard e outros detectores compatíveis com categorias no OWASP Top 10. O Web Security Scanner também adiciona verificações gerenciadas que são configuradas automaticamente.

  • Monitoramento de compliance em todos os recursos do Google Cloud.

    Para medir sua conformidade com comparativos de mercado e padrões de segurança comuns, os detectores das verificações de vulnerabilidades do Security Command Center são associados a controles de padrão de segurança comuns.

    É possível consultar se você está em conformidade com as normas, identificar controles que não estão em conformidade, exportar relatórios e muito mais. Para mais informações, consulte Avaliar e relatar a conformidade com os padrões de segurança.

  • Será possível solicitar uma cota adicional do Inventário de recursos do Cloud se a necessidade de monitoramento estendido de recursos surgir.
  • O serviço de postura de segurança permite definir, avaliar e monitorar o status geral da sua segurança no Google Cloud. O serviço de postura de segurança está disponível apenas no nível Premium do Security Command Center para clientes que comprarem uma assinatura de preço fixo e ativarem o nível Premium do Security Command Center no nível da organização. O serviço de postura de segurança não oferece suporte ao faturamento baseado no uso ou a ativações no nível do projeto.
  • O recurso de validação de IaC permite validar sua infraestrutura como código (IaC, na sigla em inglês) em relação às políticas da organização e aos detectores de Análise de integridade da segurança definidos na sua organização do Google Cloud. Esse recurso está disponível apenas no nível Premium do Security Command Center para clientes que comprarem uma assinatura de preço fixo e ativarem o nível Premium do Security Command Center no nível da organização. Esse recurso não oferece suporte ao faturamento baseado no uso ou a ativações no nível do projeto.
  • Relatórios de vulnerabilidade do VM Manager
    • Se você ativar o VM Manager, o serviço gravará automaticamente as descobertas dos relatórios de vulnerabilidade que estão em fase de pré-lançamento no Security Command Center. Os relatórios identificam vulnerabilidades nos sistemas operacionais instalados em máquinas virtuais do Compute Engine. Para mais informações, consulte VM Manager.

Nível empresarial:

O nível Enterprise é uma plataforma completa de proteção de aplicativos nativos da nuvem (CNAPP, na sigla em inglês) que permite que analistas de SOC, analistas de vulnerabilidades e outros profissionais de segurança em nuvem gerenciem a segurança de vários provedores de serviços em nuvem em um lugar centralizado.

O nível Enterprise oferece recursos de detecção e investigação, suporte ao gerenciamento de casos e gerenciamento de postura, incluindo a capacidade de definir e implantar regras de postura personalizadas e quantificar e visualizar o risco que vulnerabilidades e configurações incorretas representam ao ambiente de nuvem.

O nível Enterprise inclui todos os serviços e recursos dos níveis Standard e Premium, bem como os seguintes serviços e recursos extras:

Funções de nível empresarial com a tecnologia das Operações de segurança do Google

A função de gerenciamento de casos, os recursos do playbook e outras funcionalidades de SIEM e SOAR do nível Enterprise do Security Command Center usam a tecnologia das Operações de segurança do Google. Ao usar alguns desses recursos e funções, talvez você veja o nome "Google SecOps" na interface da Web e acesse a documentação do Google SecOps para orientação.

Alguns recursos do Google SecOps não são compatíveis ou são limitados com o Security Command Center, mas o uso deles pode não ser desativado ou limitado nas assinaturas iniciais do nível Enterprise. Use os seguintes recursos e funções apenas de acordo com as limitações declaradas:

  • A ingestão de registros de nuvem é limitada a registros relevantes para detecção de ameaças à nuvem, como os seguintes:

    • Google Cloud

      • Registros de auditoria do Cloud de atividade do administrador
      • Registros de auditoria do Cloud de acesso a dados
      • Syslog do Compute Engine
      • Registro de auditoria do GKE

    • Google Workspace

      • Eventos do Google Workspace
      • Alertas do Google Workspace

    • AWS

      • Registros de auditoria do CloudTrail
      • Syslog
      • Registros de autenticação
      • Eventos do GuardDuty

  • Detecções selecionadas são limitadas àquelas que detectam ameaças em ambientes de nuvem.

  • As integrações do Google Cloud Marketplace são limitadas ao seguinte:

    • Siemplify
    • Ferramentas
    • VirusTotal V3
    • Inventário de recursos do Google Cloud
    • Google Security Command Center
    • Jira
    • Funções
    • Google Cloud IAM
    • E-mail V2
    • Google Cloud Compute
    • Google Chronicle
    • Att&ck
    • Inteligência contra ameaças da Mandiant
    • Inteligência de políticas do Google Cloud
    • Recomendador do Google Cloud
    • Siemplify Utilitários
    • Service Now
    • CSV
    • SCC Enterprise
    • AWS IAM
    • AWS EC2

  • O número de regras personalizadas de evento único está limitado a 20 regras.

  • A análise de risco do UEBA (análise do comportamento de usuários e entidades) não está disponível.

  • A Inteligência aplicada sobre ameaças não está disponível.

  • O suporte do Gemini para o Google SecOps é limitado à pesquisa em linguagem natural e resumos de investigação de caso.

  • A retenção de dados é limitada a três meses.

Resumo das funções e serviços da camada corporativa

O nível Enterprise inclui todos os serviços e recursos dos níveis Standard e Premium lançados para disponibilidade geral.

O nível Enterprise adiciona os seguintes serviços e recursos ao Security Command Center:

  • Suporte a várias nuvens. Conecte o Security Command Center a outros provedores de nuvem, como a AWS, para detectar ameaças, vulnerabilidades e configurações incorretas. Além disso, depois de especificar seus recursos de alto valor no outro provedor, você também pode avaliar a exposição deles a ataques com pontuações de exposição a ataques e caminhos de ataque.
  • Recursos de gerenciamento de eventos e informações de segurança (SIEM) para ambientes de nuvem, com tecnologia do Google SecOps. Verifique registros e outros dados em busca de ameaças em vários ambientes de nuvem, defina regras de detecção de ameaças e pesquise os dados acumulados. Para mais informações, consulte a documentação do Google SecOps SIEM.
  • Recursos de orquestração, automação e resposta de segurança (SOAR, na sigla em inglês) para ambientes de nuvem, com tecnologia do Google SecOps. Gerencie casos, defina fluxos de trabalho de resposta e pesquise os dados das respostas. Para mais informações, consulte a documentação do Google SecOps SOAR.
  • Detecção expandida de vulnerabilidades de software em VMs e contêineres em todos os ambientes de nuvem com os seguintes serviços do Google Cloud integrados e integrados:
    • Google Kubernetes Engine (GKE) Enterprise
    • Avaliação de vulnerabilidades para a AWS
    • VM Manager

Níveis de ativação do Security Command Center

É possível ativar o Security Command Center em um projeto específico, conhecido comoativação no nível do projeto ou uma organização inteira, conhecida comoativação no nível da organização (em inglês).

O nível Enterprise requer uma ativação no nível da organização.

Para mais informações sobre como ativar o Security Command Center, consulte Visão geral da ativação do Security Command Center.

A seguir