שאלות נפוצות

ה-API של Security Command Center כולל תכונת התראות ששולחת מידע לנושא Pub/Sub כדי לספק עדכונים על ממצאים וממצאים חדשים תוך דקות. ההתראות כוללות את כל פרטי הממצאים שמוצגים במסוף Google Cloud . כדי להתחיל, כדאי לעיין במאמר בנושא הגדרת התראות על מציאת מכשיר.

ב-Security Command Center יש גם אפליקציית App Engine שמאפשרת להגדיר שאילתות מותאמות אישית עבור אפליקציית Notifier. אפליקציית Notifier וכלי Security Command Center אחרים הופכים למיותרים כי הפונקציונליות המלאה שלהם מתווספת לתכונות של Security Command Center. בשלב הזה, אפשר להשתמש באפליקציה כדי לפרסם את השאילתות בנושא Pub/Sub שהוגדר על ידי המשתמש ולשלב את הפיד עם אימייל ו-SMS. התמיכה ניתנת כמיטב היכולת רק לכל הכלים של Security Command Center.

יכול להיות שכלל חומת האש מכיל יציאת יעד שלא יוצרת ממצאים באופן מפורש.

יכולות להיות כמה סיבות לכך שלא נוצרות ממצאים. יכול להיות שכלל חומת האש מוגדר ככלל DENY (דחייה). יכול להיות שכלל חומת האש מאפשר תעבורת נתונים ברשת שמשתמשת בפרוטוקולים או ביציאות שהמודול מתעלם מהם במפורש. המערכת יוצרת ממצאים לגבי כללים שמאפשרים תנועה מכל כתובות ה-IP ‏(0.0.0.0/0) של כל פרוטוקול או לכל יציאה (רלוונטי לפרוטוקולים TCP, ‏ UDP ו-SCTP), למעט החריגים שמפורטים בהמשך.

הממצאים לא נוצרים עבור הפרוטוקולים הבאים:

• ICMP
• ‫TCP 443 ‏ (HTTPS)
• ‫TCP 22 (SSH)
• SCTP 22 (SSH)
• ‫TCP 3389 (RDP)
• ‫UDP 3389 (RDP)

סוג הממצא קובע אם Security Command Center יגדיר אוטומטית את השדה state של הממצא לערך INACTIVE אחרי שהבעיה נפתרה. ברשימה הבאה מוסבר על סוגי הממצאים השונים ועל האופן שבו Security Command Center מגדיר את מצב הממצא ל-INACTIVE באופן אוטומטי או לא:

ממצאי פגיעות מתעדכנים אוטומטית לסטטוס INACTIVE אחרי השלמת שלבי התיקון של הפגיעות. ממצאים לגבי פגיעויות מתעדכנים אוטומטית לערך INACTIVE אם הנכס הפגיע נמחק. גלאים של Security Health Analytics ו-Web Security Scanner יוצרים ממצאים לגבי נקודות חולשה שזמינים ב-Security Command Center. כשמפעילים אותם ב-Security Command Center, שירותים משולבים כמו VM Manager גם יוצרים ממצאי נקודות חולשה.

ממצאים לגבי איומים מייצגים תצפית על אירוע אחד או יותר, כמו הפעלה של תהליך או יצירה של חיבור לרשת.

אחרי שפותרים ממצא איום ב-Security Command Center, המערכת לא משנה אוטומטית את הסטטוס של הבעיה מ-state ל-INACTIVE. ממצא איום נשאר פעיל אלא אם משנים את המצב שלו באופן ידני.

איומים שונים מנקודות חולשה בכך שהם דינמיים ומצביעים על ניצול פעיל אפשרי של משאב אחד או יותר. לכן, צוות האבטחה שלכם צריך להשתמש במידע שבממצאים של Security Command Center כדי לקבוע את הדרכים הטובות ביותר לפתור בעיות ולאבטח משאבים מפני התקפות עתידיות.

אם הבדיקה שלכם קובעת שממצא האיום הוא חיובי כוזב, כדאי ליצור כלל להשתקת ממצאים לממצא במקום זאת ולהשאיר את המצב כ-ACTIVE.

ממצאים של שגיאות מסומנים אוטומטית כINACTIVE אחרי שמתקנים את הבעיות בהגדרות. גלאי שגיאות יוצרים ממצאים שמצביעים על בעיות בהגדרה של סביבת Security Command Center. בעיות ההגדרה האלה מונעות משירותים (שנקראים גם ספקי חיפוש או מקורות) ליצור ממצאים.