Questa pagina fornisce consigli per la gestione dei servizi e delle funzionalità di Security Command Center per aiutarti a ottenere il massimo dal prodotto.
Security Command Center è una piattaforma potente per il monitoraggio dei rischi per i dati e la sicurezza nella tua organizzazione o nei singoli progetti. Security Command Center è progettato per fornire la massima protezione con una configurazione minima. Tuttavia, puoi adottare alcune misure per personalizzare la piattaforma in base al tuo flusso di lavoro e assicurarti che le tue risorse siano protette.
Abilitare il livello Premium o Enterprise
I livelli Premium ed Enterprise di Security Command Center offrono la massima protezione grazie a un'ampia gamma di funzionalità di sicurezza del cloud e di operazioni di sicurezza, tra cui rilevamento delle minacce, rilevamento delle vulnerabilità del software, valutazioni della conformità, funzionalità di operazioni di sicurezza e molto altro ancora. I livelli Standard e Standard-legacy offrono servizi e funzionalità limitati.
Per informazioni sulle funzionalità incluse in ogni livello di servizio, vedi Livelli di servizio.
Utilizzare le attivazioni a livello di progetto
Per i livelli di servizio Standard-legacy, Standard e Premium, puoi attivare Security Command Center per i singoli progetti.
Con le attivazioni a livello di progetto, alcune funzionalità che richiedono l'accesso a livello di organizzazione non sono disponibili, indipendentemente dal livello. Per ulteriori informazioni, consulta Disponibilità delle funzionalità con le attivazioni a livello di progetto.
Per ulteriori informazioni sull'attivazione di un livello di Security Command Center, consulta Panoramica dell'attivazione di Security Command Center.
Per scoprire come ti viene addebitato Security Command Center quando lo attivi a livello di progetto, consulta Prezzi.
Abilitare tutti i servizi integrati
Ti consigliamo di abilitare tutti i servizi integrati, in base alle best practice dei singoli servizi.
Se Security Command Center è già attivato, puoi verificare quali servizi sono abilitati nella pagina Impostazioni.
Puoi disabilitare qualsiasi servizio, ma è consigliabile mantenere tutti i servizi del tuo livello sempre attivi. Mantenere tutti i servizi abilitati ti consente di usufruire degli aggiornamenti continui e di garantire la protezione delle risorse nuove e modificate.
Prima di abilitare Web Security Scanner in produzione, consulta le best practice di Web Security Scanner.
Inoltre, valuta la possibilità di abilitare i servizi integrati (Rilevamento di anomalie, Sensitive Data Protection e Google Cloud Armor), di esplorare i servizi di sicurezza di terze parti, e di attivare Cloud Logging per Event Threat Detection e Container Threat Detection. A seconda della quantità di informazioni, i costi di Sensitive Data Protection e Cloud Armor possono essere significativi. Segui le best practice per tenere sotto controllo i costi di Sensitive Data Protection e leggi la guida ai prezzi di Cloud Armor.
Abilitare i log per Event Threat Detection
Se utilizzi Event Threat Detection, potresti dover attivare alcuni log sottoposti a scansione da Event Threat Detection. Sebbene alcuni log siano sempre attivi, come gli audit log delle attività di amministrazione di Cloud Logging, altri log, come la maggior parte degli audit log degli accessi ai dati, sono disattivati per impostazione predefinita e devono essere abilitati prima che Event Threat Detection possa eseguirne la scansione.
Alcuni dei log che dovresti prendere in considerazione per l'abilitazione includono:
- Audit log degli accessi ai dati di Cloud Logging
- Log di Google Workspace (solo attivazioni a livello di organizzazione)
I log che devi abilitare dipendono da:
- I Google Cloud servizi che utilizzi
- Le esigenze di sicurezza della tua attività
Logging potrebbe addebitare l'inserimento e l'archiviazione di determinati log. Prima di abilitare qualsiasi log, consulta i prezzi di Logging.
Dopo l'abilitazione di un log, Event Threat Detection inizia automaticamente la scansione.
Per informazioni più dettagliate sui moduli di rilevamento che richiedono i log e su quali log devi attivare, consulta Log che devi attivare.
Definire il set di risorse di alto valore
Per aiutarti a dare la priorità ai risultati relativi a vulnerabilità e configurazioni errate che espongono le risorse più importanti da proteggere, specifica quali delle tue risorse di alto valore appartengono al tuo set di risorse di alto valore.
I risultati che espongono le risorse nel set di risorse di alto valore ottengono punteggi di esposizione agli attacchi più elevati .
Specifica le risorse che appartengono al set di risorse di alto valore creando configurazioni di valori delle risorse. Finché non crei la prima configurazione di valori delle risorse, Security Command Center utilizza un set di risorse di alto valore predefinito che non è personalizzato in base alle tue priorità di sicurezza.
Utilizzare Security Command Center nella Google Cloud console
Nella Google Cloud console, Security Command Center fornisce funzionalità ed elementi visivi non disponibili nell'API Security Command Center. Queste funzionalità, tra cui un'interfaccia intuitiva, grafici formattati, report sulla conformità e gerarchie visive delle risorse, ti offrono maggiori informazioni sulla tua organizzazione. Per ulteriori informazioni, consulta Utilizzare Security Command Center nella Google Cloud console.
Estendere la funzionalità con l'API e gcloud
Se hai bisogno di accesso programmatico, prova le librerie client di Security Command Center e l'API Security Command Center, che ti consentono di accedere e controllare il tuo ambiente Security Command Center. Puoi utilizzare Explorer API, etichettato come "Prova questa API" nei riquadri delle pagine di riferimento dell'API, per esplorare in modo interattivo l'API Security Command Center senza una chiave API. Puoi controllare i metodi e i parametri disponibili, eseguire le richieste e visualizzare le risposte in tempo reale.
L'API Security Command Center consente ad analisti e amministratori di gestire le risorse e i risultati. Gli ingegneri possono utilizzare l'API per creare soluzioni di reporting e monitoraggio personalizzate.
Estendere la funzionalità con moduli di rilevamento personalizzati
Se hai bisogno di rilevatori che soddisfino le esigenze specifiche della tua organizzazione, valuta la possibilità di creare moduli e controlli personalizzati:
- I controlli cloud personalizzati in Compliance Manager creano le regole che valutano le proprietà delle risorse sottoposte a scansione.
- I moduli personalizzati per Security Health Analytics ti consentono di definire le tue regole di rilevamento per vulnerabilità, configurazioni errate o violazioni della conformità.
- I moduli personalizzati per Event Threat Detection ti consentono di monitorare il flusso di Logging per le minacce in base ai parametri che specifichi.
Esaminare e gestire le risorse
Security Command Center visualizza tutti i tuoi asset nella pagina Asset della Google Cloud console, dove puoi visualizzare informazioni come i risultati per ogni asset, la cronologia delle modifiche, i metadati e le policy IAM. Per i livelli di servizio Premium ed Enterprise, puoi anche utilizzare le query SQL per analizzare i tuoi asset.
Le informazioni sugli asset nella pagina Asset vengono lette da Cloud Asset Inventory. Per ricevere notifiche in tempo reale sulle modifiche alle risorse e alle policy, crea e abbonati a un feed.
Per ulteriori informazioni, consulta la pagina Asset.
Rispondere rapidamente a vulnerabilità e minacce
I risultati di Security Command Center forniscono record dei problemi di sicurezza rilevati che includono dettagli completi sulle risorse interessate e istruzioni passo passo suggerite per l'analisi e la correzione di vulnerabilità e minacce.
I risultati relativi alle vulnerabilità descrivono la vulnerabilità o la configurazione errata rilevata, calcolano un punteggio di esposizione agli attacchi e una gravità stimata. I risultati relativi alle vulnerabilità ti avvisano anche delle violazioni degli standard o dei benchmark di sicurezza. Per ulteriori informazioni, consulta Benchmark supportati.
Per i livelli di servizio Standard, Premium ed Enterprise, i risultati relativi alle vulnerabilità includono anche informazioni di Mandiant sull' esplorabilità e sul potenziale impatto della vulnerabilità in base al record CVE corrispondente della vulnerabilità. Puoi utilizzare queste informazioni per dare la priorità alla correzione della vulnerabilità. Per ulteriori informazioni, consulta Dare la priorità in base all'impatto e all'esplorabilità delle CVE.
I risultati relativi alle minacce includono dati del framework MITRE ATT&CK, che spiega le tecniche per gli attacchi alle risorse cloud e fornisce indicazioni per la correzione, e VirusTotal, un servizio di proprietà di Alphabet che fornisce il contesto di file potenzialmente dannosi, URL, domini e indirizzi IP.
Le seguenti guide sono un punto di partenza per aiutarti a risolvere i problemi e proteggere le tue risorse.
- Correzione dei risultati di Security Health Analytics
- Correzione dei risultati di Web Security Scanner
- Analisi e risposta alle minacce
Controllare il volume dei risultati
Per controllare il volume dei risultati in Security Command Center, puoi disattivare manualmente o a livello di programmazione i singoli risultati oppure creare regole di disattivazione che disattivano automaticamente i risultati in base ai filtri che definisci. Esistono due tipi di regole di disattivazione che puoi utilizzare per controllare il volume dei risultati:
- Regole di disattivazione statiche che disattivano a tempo indeterminato i risultati futuri.
- Regole di disattivazione dinamiche che contengono un'opzione per disattivare temporaneamente i risultati attuali e futuri.
Ti consigliamo di utilizzare esclusivamente le regole di disattivazione dinamiche per ridurre il numero di risultati da esaminare manualmente. Per evitare confusione, non consigliamo di utilizzare contemporaneamente regole di disattivazione statiche e dinamiche. Per un confronto tra i due tipi di regole, consulta Tipi di regole di disattivazione.
I risultati disattivati sono nascosti e silenziati, ma continuano a essere registrati per scopi di audit e conformità. Puoi visualizzare i risultati disattivati o riattivarli in qualsiasi momento. Per saperne di più, consulta Disattivazione dei risultati in Security Command Center.
La disattivazione dei risultati con le regole di disattivazione dinamiche è l'approccio consigliato e più efficace per controllare il volume dei risultati. In alternativa, puoi utilizzare i contrassegni di sicurezza per aggiungere asset alle liste consentite.
Ogni rilevatore di Security Health Analytics ha un tipo di contrassegno dedicato che ti consente di escludere le risorse contrassegnate dalla policy di rilevamento. Questa funzionalità è utile quando non vuoi che vengano creati risultati per risorse o progetti specifici.
Per saperne di più sui contrassegni di sicurezza, consulta Utilizzare i contrassegni di sicurezza.
Configurare le notifiche
Le notifiche ti avvisano dei risultati nuovi e aggiornati quasi in tempo reale e, con le notifiche via email e chat, possono farlo anche quando non hai eseguito l'accesso a Security Command Center. Scopri di più in Configurare le notifiche dei risultati.
Puoi anche creare esportazioni continue, che semplificano la procedura di esportazione dei risultati in Pub/Sub.
Esplorare Cloud Run Functions
Cloud Run Functions è un Google Cloud servizio che ti consente di connettere i servizi cloud ed eseguire il codice in risposta agli eventi. Puoi utilizzare l'API Notifications e Cloud Run Functions per inviare i risultati a sistemi di ticketing e correzione di terze parti o intraprendere azioni automatizzate, come la chiusura automatica dei risultati.
Per iniziare, visita il repository open source di Security Command Center del codice di Cloud Run Functions. Il repository contiene soluzioni per aiutarti a intraprendere azioni automatizzate sui risultati di sicurezza.
Mantenere attive le comunicazioni
Security Command Center viene aggiornato regolarmente con nuovi rilevatori e funzionalità. Le note di rilascio ti informano sulle modifiche al prodotto e sugli aggiornamenti della documentazione. Tuttavia, puoi impostare le tue preferenze di comunicazione in the Google Cloud console per ricevere aggiornamenti sui prodotti e promozioni speciali via email o dispositivo mobile. Puoi anche comunicarci se ti interessa partecipare a sondaggi sugli utenti e programmi pilota.
Se hai commenti o domande, puoi inviare feedback parlando con il tuo venditore, contattando il nostro personale di assistenza Cloud, segnalando un bug, o utilizzando il menu Feedback nella Google Cloud console.
Inviare feedback tramite la Google Cloud console
Nella Google Cloud console, vai a Security Command Center.
Seleziona la tua organizzazione o il tuo progetto.
Fai clic su Feedback.
Per indicare la tua soddisfazione generale per Security Command Center, fai clic su Mi piace o Non mi piace.
Per fornire feedback dettagliati:
- Fai clic su Fornisci altro feedback.
- Nel campo, inserisci il tuo feedback. Non inserire informazioni sensibili.
- Per fornire uno screenshot correlato al tuo feedback, fai clic su Acquisisci screenshot.
- (Facoltativo) Utilizza lo strumento Evidenzia o nascondi le informazioni per disegnare riquadri intorno alle sezioni che vuoi evidenziare o nascondere nello screenshot. Fai clic su Fine.
- Fai clic su Invia.
Passaggi successivi
Scopri come configurare i servizi di Security Command Center.