בדף הזה מובאת סקירה כללית על Security Command Center במסוף Google Cloud , תיאור של הניווט וסקירה כללית של הדפים ברמה העליונה.
אם לא הגדרתם את Security Command Center, תוכלו לקרוא את אחד מהמאמרים הבאים כדי להבין איך להפעיל אותו:
- הוראות להפעלת מסלול Standard או Premium מופיעות במאמר סקירה כללית על הפעלת Security Command Center.
- כדי להפעיל את מהדורת Enterprise, אפשר לעיין במאמר בנושא הפעלת מהדורת Enterprise של Security Command Center.
סקירה כללית על Security Command Center זמינה במאמר סקירה כללית על Security Command Center.
אם הפעלתם לאחרונה את Security Command Center, יכול להיות שיעבור זמן עד שהנתונים יופיעו. מידע על תדירות הסריקה של שירותי Security Command Center זמין במאמר מתי אפשר לצפות לתוצאות ב-Security Command Center.
הרשאות IAM נדרשות
כדי להשתמש ב-Security Command Center בכל רמות השירות, צריך תפקיד בניהול הזהויות והרשאות הגישה (IAM) שכולל את ההרשאות המתאימות:
Standard-legacy
- מנהל מערכת בעל הרשאת צפייה ב-Security Center (
roles/securitycenter.adminViewer) מאפשר לכם לצפות ב-Security Command Center. - עורך אדמין ב-Security Center (
roles/securitycenter.adminEditor) מאפשר לכם להציג את Security Command Center ולבצע בו שינויים.
רגילה
צריך להיות לכם אחד מהפריטים הבאים:
- אדמין ב-Security Center (
roles/securitycenter.admin) - עריכה של אדמין ב-Security Center (
roles/securitycenter.adminEditor) - צפייה במרכז האבטחה (
roles/securitycenter.adminViewer)
פרימיום
- מנהל מערכת בעל הרשאת צפייה ב-Security Center (
roles/securitycenter.adminViewer) מאפשר לכם לצפות ב-Security Command Center. - עורך אדמין ב-Security Center (
roles/securitycenter.adminEditor) מאפשר לכם להציג את Security Command Center ולבצע בו שינויים.
Enterprise
- מנהל מערכת בעל הרשאת צפייה ב-Security Center (
roles/securitycenter.adminViewer) מאפשר לכם לצפות ב-Security Command Center. - עורך אדמין ב-Security Center (
roles/securitycenter.adminEditor) מאפשר לכם להציג את Security Command Center ולבצע בו שינויים. - Chronicle Service Viewer (
roles/chroniclesm.viewer) מאפשר לכם לראות את מופע Google SecOps המשויך.
בנוסף, דרוש לכם אחד מהתפקידים הבאים ב-IAM:
- אדמין ב-Chronicle SOAR (
roles/chronicle.soarAdmin) - Chronicle SOAR Threat Manager (
roles/chronicle.soarThreatManager) - Chronicle SOAR Vulnerability Manager
(
roles/chronicle.soarVulnerabilityManager)
כדי להפעיל גישה לתכונות שקשורות ל-SOAR, צריך גם למפות את התפקידים האלה בניהול זהויות והרשאות גישה (IAM) לתפקיד SOC, לקבוצת הרשאות ולסביבה בדף הגדרות > הגדרות SOAR. מידע נוסף זמין במאמר מיפוי משתמשים והענקת הרשאות גישה באמצעות IAM.
אם מדיניות הארגון שלכם מוגדרת להגבלת זהויות לפי דומיין, אתם צריכים להיכנס למסוף Google Cloud באמצעות חשבון ששייך לדומיין מותר.
אפשר להעניק את תפקידי ה-IAM של Security Command Center ברמת הארגון, התיקייה או הפרויקט. היכולת שלכם להציג, לערוך, ליצור או לעדכן ממצאים, נכסים ומקורות אבטחה תלויה ברמת הגישה שניתנה לכם. מידע נוסף על תפקידים ב-Security Command Center זמין במאמר בקרת גישה.
גישה ל-Security Command Center
כדי לגשת ל-Security Command Center במסוף Google Cloud :
עוברים אל Security Command Center:
מעבר אל Security Command Center
אם מיקום הנתונים מופעל והארגון שלכם משתמש במסוף Google Cloud האזורי, אפשר לעיין במאמר מידע על המסוף Google Cloud האזורי.
בוחרים את הפרויקט או הארגון שרוצים להציג.
אם Security Command Center פעיל בארגון או בפרויקט שבחרתם, יופיע הדף סקירת סיכונים.
אם Security Command Center לא פעיל, תוצג לכם הזמנה להפעיל אותו. מידע נוסף על הפעלת Security Command Center זמין באחד מהמאמרים הבאים:
- Standard, Standard-legacy או Premium: סקירה כללית של הפעלת Security Command Center.
- Enterprise: הפעלת רמת השירות Security Command Center Enterprise.
ניווט ב-Security Command Center
בקטעים הבאים מתואר הניווט ב-Security Command Center. הניווט משתנה בהתאם למסלול השירות של Security Command Center. הפעולות שאתם יכולים לבצע תלויות גם בשירותים שמופעלים ובהרשאות IAM שניתנו לכם.
לוחצים על קישור כדי לקבל הסבר על הדף.
Standard-legacy
בהמשך מוסבר על הניווט ב-Security Command Center Standard – רמת שירות מדור קודם.
- סקירה כללית של הסיכונים
- דף הבעיות: מוצגת בו הנחיה לשדרוג לרמת השירות Premium.
- איומים: מוצגת לכם הנחיה לשדרג לרמת השירות Premium.
- תאימות: מוצגת הנחיה לשדרוג למסלול שירות פרימיום.
- נכסים
- ממצאים
- מקורות
- ניהול מצב האבטחה: מוצגת לכם הנחיה לשדרג למסלול שירות Premium.
- הגדרות
רגילה
בקטעים הבאים מתואר הניווט ב-Security Command Center Standard.
- סקירה כללית של הסיכונים
- דף הבעיות: מוצגת בו הנחיה לשדרוג לרמת השירות Premium.
- איומים: מוצגת לכם הנחיה לשדרג לרמת השירות Premium.
- תאימות
- נכסים
- ממצאים
- מקורות
- ניהול מצב האבטחה: מוצגת לכם הנחיה לשדרג למסלול שירות Premium.
- הגדרות
פרימיום
בהמשך מוסבר על הניווט ב-Security Command Center Premium.
Enterprise
חלונית הניווט הימנית ב-Security Command Center Enterprise כוללת קישורים לדפים בדייר של Google Security Operations שהוגדר במהלך ההפעלה של Security Command Center Enterprise.
בנוסף, הדייר של Google Security Operations שהוגדר במהלך ההפעלה של Security Command Center Enterprise כולל קישורים לקבוצת משנה של דפי המסוף. Google Cloud
מידע על התכונות שזמינות ב-Google Security Operations מופיע במאמר קישורים מ-Security Command Center Enterprise למסוף Security Operations.
| שם הענף | שם הקישור |
|---|---|
| סיכון | |
| חקירה | |
| זיהוי | |
| תשובה | |
| מרכזי שליטה | |
| הגדרות |
סקירה כללית של הסיכון
הדף Risk overview הוא לוח הבקרה הראשון שלכם בנושא אבטחה. הוא מציג סיכונים בעדיפות גבוהה בסביבות הענן שזוהו על ידי כל השירותים המובנים והמשולבים.
התצוגות בדף סקירת סיכונים משתנות בהתאם לרמת השירות.
Standard-legacy
כדי לקבל מידע נוסף על כל תצוגת חקירה, בוחרים באחת מהתצוגות הבאות:
- All risk: shows misconfiguration findings.
- נקודות חולשה: מציג נקודות חולשה ומידע קשור על CVE.
- זהות: מוצג סיכום של הממצאים בנושא זהות וגישה לפי קטגוריה.
- איומים: מוצגת לכם הנחיה לשדרג לרמת השירות Premium.
רגילה
כדי לקבל מידע נוסף על כל תצוגת חקירה, בוחרים באחת מהתצוגות הבאות:
- All risk: shows misconfiguration findings.
- נקודות חולשה: מציג נקודות חולשה ומידע קשור על CVE.
- זהות: מוצג סיכום של הממצאים בנושא זהות וגישה לפי קטגוריה.
- נתונים: הצגת מידע על מצב אבטחת הנתונים.
- איומים: מוצגת לכם הנחיה לשדרג לרמת השירות Premium.
פרימיום
כדי לקבל מידע נוסף על כל תצוגת חקירה, בוחרים באחת מהתצוגות הבאות:
- כל הסיכונים: מוצגים כל הנתונים.
- נקודות חולשה: מציג נקודות חולשה ומידע קשור על CVE.
- זהות: סיכום של הממצאים בנושא זהות והרשאות גישה לפי קטגוריה.
- נתונים: הצגת מידע על מצב אבטחת הנתונים.
- AI Security: מציג ממצאים שקשורים ל-AI ונתונים על מצב האבטחה.
- איומים: ממצאים שקשורים לאיומים.
Enterprise
כדי לקבל מידע נוסף על כל תצוגת חקירה, בוחרים באחת מהתצוגות הבאות:
- כל הסיכונים: מוצגים כל הנתונים.
- נקודות חולשה: מציג נקודות חולשה ומידע קשור על CVE.
- נתונים: הצגת מידע על מצב אבטחת הנתונים.
- קוד: מציג ממצאי אבטחה שקשורים לקוד (גרסת Preview).
- AI Security: מציג ממצאים שקשורים ל-AI ונתונים על מצב האבטחה.
נכסים
בדף נכסים מוצגים כל המשאבים שלכם ב- Google Cloud, שנקראים גם נכסים, בפרויקט או בארגון.
מידע נוסף על עבודה עם נכסים בדף נכסים זמין במאמר עבודה עם משאבים במסוף.
תאימות
כברירת מחדל, כשמפעילים את Security Command Center, מפעילים גם את Compliance Manager. בדף תאימות מוצגות הכרטיסיות הבאות: הגדרה (חדש), מעקב (חדש) וביקורת (חדש). בכרטיסיות האלה אפשר ליצור ולהחיל מסגרות ובקרות בענן, לנטר את הסביבה ולהשלים ביקורות.
אם הפעלתם את Security Command Center לפני שהשקנו את Compliance Manager לכלל המשתמשים ולא הפעלתם את Compliance Manager, בדף Compliance (תאימות) תופיע רק הכרטיסייה Monitor (מעקב). בכרטיסייה הזו מוצגים כל מדדי ההשוואה לתקנים בתעשייה ש-Security Command Center תומך בהם באמצעות Security Health Analytics, ואחוז אמצעי הבקרה שעומדים בתקן. מידע נוסף על האופן שבו Security Command Center תומך בניהול תאימות אם Compliance Manager לא מופעל זמין במאמר הערכת תאימות ללא Compliance Manager.
ממצאים
בדף Findings אפשר לבצע שאילתות, לבדוק, להשתיק ולסמן ממצאים של Security Command Center – הרשומות שנוצרות על ידי השירותים של Security Command Center כשהם מזהים בעיית אבטחה בסביבה שלכם. מידע נוסף על עבודה עם ממצאים בדף ממצאים זמין במאמר בדיקה וניהול של ממצאים.
בעיות
בעיות הן סיכוני האבטחה החשובים ביותר ש-Security Command Center מוצא בסביבות הענן שלכם, והן מאפשרות לכם להגיב במהירות לנקודות חולשה ולאיומים. Security Command Center מגלה בעיות באמצעות צוות אדום וירטואלי וזיהויים מבוססי-כללים. מידע על בדיקת בעיות זמין במאמר סקירה כללית על בעיות.
ניהול מצב האבטחה
בדף Posture אפשר לראות פרטים על תנוחות האבטחה שיצרתם בארגון, ולהחיל את התנוחות על ארגון, תיקייה או פרויקט. אפשר גם לראות את תבניות המצב המוגדרות מראש שזמינות.
הגדרות
פותחים את הדף הגדרות מהקישור הגדרות בחלונית הניווט. בדף הגדרות אפשר להגדיר את Security Command Center, כולל:
- שירותים נוספים של Security Command Center
- מחברים בין כמה עננים
- קבוצות משאבים עם ערך גבוה
- השתקת כללים לגבי ממצאים
- ייצוא נתונים רציף
מדריך להגדרת סעיפים חוזיים סטנדרטיים (SCC)
בדף מדריך ההגדרה אפשר להפעיל את Security Command Center Enterprise ולהגדיר שירותים נוספים. מידע נוסף זמין במאמר בנושא הפעלת מהדורת Enterprise של Security Command Center.
מקורות
בדף מקורות יש כרטיסים עם סיכום של הנכסים והממצאים ממקורות האבטחה שהפעלתם. בכרטיס של כל מקור אבטחה מוצגים חלק מהממצאים של המקור הזה. אפשר ללחוץ על שם הקטגוריה של הממצא כדי לראות את כל הממצאים בקטגוריה הזו.
ממצאים לפי מקור
בכרטיס ממצאים לפי מקור מוצג מספר הממצאים בכל קטגוריה, שמתקבלים ממקורות האבטחה שהפעלתם.
- כדי לראות פרטים על הממצאים ממקור ספציפי, לוחצים על שם המקור.
- כדי לראות פרטים על כל הממצאים, לוחצים על הדף ממצאים, שבו אפשר לקבץ ממצאים או לראות פרטים על ממצא ספציפי.
סיכומי מקורות
מתחת לכרטיס ממצאים לפי מקור, מופיעים כרטיסים נפרדים לכל מקור מובנה, משולב או של צד שלישי שהפעלתם. בכל כרטיס מופיעים מספרים של ממצאים פעילים עבור אותו מקור.
איומים
איומים הם אירועים שעלולים להזיק למשאבי הענן שלכם. ב-Security Command Center מוצגים איומים בתצוגות שונות, בהתאם לרמת השירות.
רגיל ורגיל (גרסה קודמת)
הדף Threats לא נתמך ב-Security Command Center Standard וב-Standard-legacy. אפשר לראות את הממצאים לגבי האיומים בדף Findings.
פרימיום
ב-Security Command Center Premium, הקישור Threats בתפריט הניווט פותח את Risk Overview > Threats dashboard.
Enterprise
ב-Security Command Center Enterprise, אפשר לראות את האיומים בסקירת הסיכונים > לוח הבקרה של האיומים.
הדף 'נקודות חולשה' מהדור הקודם
בדף Vulnerabilities (נקודות חולשה) בגרסה הקודמת מופיעים כל הממצאים לגבי טעויות בהגדרות ונקודות חולשה בתוכנה, ששירותי הזיהוי המובנים של Security Command Center מריצים בסביבות הענן שלכם. לכל גלאי שמופיע ברשימה מוצג מספר הממצאים הפעילים.
כדי להציג את הדף Vulnerabilities ב-Security Command Center:
במסוף Google Cloud , נכנסים לדף Risk overview.
בדף סקירת סיכונים, לוחצים על פגיעויות.
במרכז הבקרה Vulnerabilities (נקודות חולשה), לוחצים על Go to legacy page (מעבר לדף הקודם).
שירותים לזיהוי נקודות חולשה
בדף Vulnerabilities (נקודות חולשה) מפורטים גלאים לשירותי הזיהוי המובנים הבאים של Security Command Center:
- Notebook Security Scanner (תצוגה מקדימה)
- Security Health Analytics
- הערכת נקודות חולשה ב-Amazon Web Services (AWS)
- Web Security Scanner
שירותים אחרים Google Cloud שמשולבים ב-Security Command Center מזהים גם נקודות חולשה בתוכנה והגדרות שגויות. הממצאים מחלק מהשירותים האלה מוצגים גם בדף Vulnerabilities. מידע נוסף על השירותים שמפיקים ממצאי פגיעות ב-Security Command Center זמין במאמר שירותי זיהוי.
מידע על קטגוריות של כלי לזיהוי נקודות חולשה
לכל גלאי של טעויות בהגדרות או של נקודות חולשה בתוכנה, בדף Vulnerabilities מוצגים הפרטים הבאים:
- סטטוס: סמל מציין אם הגלאי פעיל ואם הגלאי מצא ממצא שצריך לטפל בו. כשמעבירים את מצביע העכבר מעל סמל הסטטוס, מופיע הסבר קצר עם התאריך והשעה שבהם הכלי מצא את התוצאה, או מידע על אופן האימות של ההמלצה.
- סריקה אחרונה: התאריך והשעה של הסריקה האחרונה של אמצעי הזיהוי.
- קטגוריה: הקטגוריה או הסוג של נקודת החולשה. רשימת הקטגוריות שכל שירות של Security Command Center מזהה:
המלצה: סיכום של אופן הטיפול בבעיה. מידע נוסף:
פעיל: המספר הכולל של הממצאים בקטגוריה.
תקנים: קריטריון ההשוואה לעמידה בדרישות שהקטגוריה של הממצא חלה עליו, אם יש כזה. מידע נוסף על בדיקות השוואה זמין במאמר ממצאים של נקודות חולשה.
סינון ממצאים של נקודות חולשה
בארגון גדול יכולות להיות הרבה נקודות חולשה בפריסה שלו שצריך לבדוק, לסווג ולעקוב אחריהן. בעזרת המסננים שזמינים בדפים Vulnerabilities (נקודות חולשה) ו-Findings (ממצאים) ב Google Cloud מסוף של Security Command Center, אתם יכולים להתמקד בנקודות החולשה ברמת החומרה הגבוהה ביותר בארגון, ולבדוק נקודות חולשה לפי סוג הנכס, הפרויקט ועוד.
מידע נוסף על סינון ממצאים של נקודות חולשה זמין במאמר סינון ממצאים של נקודות חולשה ב-Security Command Center.
קישורים למסוף Security Operations
רמת Enterprise של Security Command Center כוללת תכונות שזמינות גם בדפי המסוף וגם בדפי מסוף פעולות האבטחה. Google Cloud
נכנסים למסוף Google Cloud ועוברים לדפים של מסוף Security Operations דרך הניווט במסוף Google Cloud . בקטע הזה מתוארות המשימות שאפשר לבצע בכל דף וקישורי הניווט שפותחים דפים במסוף Security Operations.
דפים במסוף Google Cloud
בדפי המסוף Google Cloud אפשר לבצע משימות כמו:
- הפעלת Security Command Center.
- הגדרת הרשאות לניהול זהויות והרשאות גישה (IAM) לכל המשתמשים ב-Security Command Center.
- מתחברים לסביבות ענן אחרות כדי לאסוף נתונים של משאבים ונתוני תצורה.
- עבודה עם הממצאים וייצוא שלהם.
- הערכת סיכונים באמצעות ציוני חשיפה למתקפות.
- טיפול בבעיות, שהן סיכוני האבטחה הכי חשובים שנמצאו בסביבות הענן שלכם ב-Security Command Center Enterprise.
- זיהוי נתונים ברמת רגישות גבוהה באמצעות Sensitive Data Protection.
- בודקים ומטפלים בממצאים ספציפיים.
- הגדרת Security Health Analytics, Web Security Scanner ושירותים משולבים אחרים. Google Cloud
- ניהול של מצבי אבטחה.
- הגדרת אמצעי בקרה ומסגרות בענן.
- ניהול מצב אבטחת מידע.
- הערכה ודיווח על התאימות שלכם לתקני אבטחה נפוצים או למדדים.
- צפייה בנכסים וחיפוש שלהם Google Cloud
בתמונה הבאה מוצג התוכן של Security Command Center במסוףGoogle Cloud .
דפים במסוף Security Operations
בדף של מסוף פעולות האבטחה אפשר לבצע משימות כמו:
- להתחבר לסביבות ענן אחרות כדי לאסוף נתוני יומן לצורך גלאים מוכנים מראש בניהול אבטחת מידע ואירועים (SIEM).
- הגדרת תזמור, אוטומציה ותגובה (SOAR) בנושאי אבטחה.
- הגדרת משתמשים וקבוצות לניהול אירועים ותיקים.
- עבודה עם מקרים, כולל קיבוץ ממצאים, הקצאת כרטיסים ועבודה עם התראות.
- משתמשים ברצף אוטומטי של שלבים שנקראים playbooks כדי לפתור בעיות.
- אפשר להשתמש ב-Workdesk כדי לנהל פעולות ומשימות שממתינות לכם מבקשות פתוחות ומספרי הדרכה.
בתמונה הבאה מוצג מסוף Security Operations.
לדפים במסוף Security Operations יש כתובת URL שדומה לתבנית הבאה.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
כאשר CUSTOMER_SUBDOMAIN הוא המזהה הספציפי ללקוח.
התראות ו-IOC
בדף הזה במסוף תפעול אבטחה (SecOps) אפשר לראות התראות שנוצרו על ידי גלאים מוכנים מראש וכללים בהתאמה אישית. מידע על חקירת התראות זמין במאמרים הבאים במאמרי העזרה של Google Security Operations:
- בדיקת התראה של GCTI שנוצרה על ידי גלאים מוכנים מראש.
- חקירת התראה
בקשות תמיכה
במסוף Security Operations, אתם יכולים להשתמש בתרחישי שימוש כדי לקבל פרטים על ממצאים, לצרף מדריכים להתרעות על ממצאים, להחיל תגובות אוטומטיות לאיומים ולעקוב אחרי הטיפול בבעיות אבטחה.
מידע נוסף זמין במאמר סקירה כללית על כרטיסי פנייה במאמרי העזרה של Google Security Operations.
מדריכים
בדף הזה במסוף Security Operations מוסבר איך לנהל את תרחישי השימוש שכלולים ב-SCC Enterprise – Cloud Orchestration and Remediation.
מידע על האינטגרציות שזמינות בתרחיש השימוש הזה מופיע במאמר מסלולי שירות של Security Command Center.
מידע על חוברות ההדרכה הזמינות מופיע במאמר עדכון התרחיש לדוגמה של Enterprise.
מידע על השימוש בדף Playbooks במסוף Security Operations זמין במאמר What's on the Playbooks page? בתיעוד של Google Security Operations.
כללים וזיהויים
בדף הזה במסוף תפעול אבטחה (SecOps) אפשר להפעיל גלאים מוכנים מראש וליצור כללים בהתאמה אישית כדי לזהות דפוסים בנתונים שנאספו באמצעות מנגנוני איסוף נתוני היומן של מסוף תפעול אבטחה (SecOps). מידע על גלאים מוכנים מראש שזמינים ב-Security Command Center Enterprise מופיע במאמר חקירת איומים באמצעות גלאים מוכנים מראש.
לוחות בקרה של SIEM
בדף הזה במסוף Security Operations אפשר לראות את לוחות הבקרה של Google Security Operations SIEM כדי לנתח התראות שנוצרו על ידי כללים של Google Security Operations ונתונים שנאספו באמצעות היכולות של מסוף Security Operations לאיסוף נתוני יומנים.
מידע נוסף על שימוש בלוחות בקרה של SIEM זמין במאמר סקירה כללית על לוחות בקרה במסמכי העזרה של Google Security Operations.
חיפוש ב-SIEM
בדף הזה במסוף Security Operations אפשר למצוא אירועים והתראות של Unified Data Model (UDM) במופע של Google Security Operations. מידע נוסף זמין במאמר חיפוש ב-SIEM במאמרי העזרה של Google Security Operations.
הגדרות SIEM
בדף הזה במסוף Security Operations אפשר לשנות את ההגדרה של תכונות שקשורות ל-SIEM של Google Security Operations. מידע על השימוש בתכונות האלה זמין במסמכי התיעוד של Google Security Operations.
מרכזי בקרה של SOAR
בדף הזה במסוף Security Operations אפשר לראות וליצור מרכזי בקרה באמצעות נתוני SOAR, שאפשר להשתמש בהם כדי לנתח תגובות ומקרים. מידע נוסף על שימוש בלוחות בקרה של SOAR זמין במאמר סקירה כללית על לוח הבקרה של SOAR במסמכי העזרה של Google Security Operations.
דוחות SOAR
בדף הזה במסוף Security Operations אפשר לראות דוחות על נתוני SOAR. מידע נוסף על שימוש בדוחות SOAR זמין במאמר הסבר על דוחות SOAR במסמכי Google Security Operations.
חיפוש ב-SOAR
בדף הזה במסוף Security Operations אפשר למצוא ישויות או מקרים ספציפיים שעברו אינדוקס על ידי Google Security Operations SOAR. מידע נוסף זמין במאמר עבודה עם דף החיפוש ב-SOAR במאמרי העזרה של Google Security Operations.
הגדרות SOAR
בדף הזה במסוף Security Operations אפשר לשנות את ההגדרה של תכונות שקשורות ל-Google Security Operations SOAR. מידע על השימוש בתכונות האלה זמין במסמכי התיעוד של Google Security Operations.