שיטות מומלצות לשימוש ב-Security Command Center

בדף הזה מופיעות המלצות לניהול השירותים והתכונות של Security Command Center, כדי לעזור לכם להפיק את המרב מהמוצר.

‫Security Command Center היא פלטפורמה עוצמתית למעקב אחרי נתונים וסיכוני אבטחה בארגון או בפרויקטים ספציפיים. העיצוב של Security Command Center נועד לספק הגנה מקסימלית עם מינימום הגדרות. אבל יש כמה פעולות שאפשר לבצע כדי להתאים את הפלטפורמה לתהליך העבודה שלכם ולוודא שהמשאבים שלכם מוגנים.

הפעלת מסלול פרימיום או מסלול Enterprise

רמות Premium ו-Enterprise של Security Command Center מספקות את ההגנה הטובה ביותר באמצעות מגוון רחב של יכולות אבטחת ענן ותפעול אבטחה, כולל זיהוי איומים, זיהוי נקודות חולשה בתוכנה, הערכות תאימות, יכולות תפעול אבטחה ועוד. המסלולים הרגיל והרגיל (גרסה קודמת) מציעים שירותים ותכונות מוגבלים.

מידע על היכולות שכלולות בכל מסלול שירות זמין במאמר מסלולי שירות.

שימוש בהפעלות ברמת הפרויקט

במסלולי השירות Standard-legacy,‏ Standard ו-Premium, אפשר להפעיל את Security Command Center בפרויקטים ספציפיים.

בהפעלות ברמת הפרויקט, תכונות מסוימות שדורשות גישה ברמת הארגון לא זמינות, ללא קשר לרמת השירות. מידע נוסף זמין במאמר בנושא זמינות התכונות בהפעלות ברמת הפרויקט.

מידע נוסף על הפעלת מהדורה של Security Command Center זמין במאמר סקירה כללית על הפעלת Security Command Center.

במאמר תמחור מוסבר איך מתבצע החיוב על Security Command Center כשמפעילים אותו ברמת הפרויקט.

הפעלת כל השירותים המובנים

מומלץ להפעיל את כל השירותים המובנים, בהתאם להמלצות לשיטות מומלצות של כל שירות בנפרד.

אם Security Command Center כבר מופעל, אפשר לבדוק אילו שירותים מופעלים בדף ההגדרות.

אפשר להשבית כל שירות, אבל מומלץ להשאיר את כל השירותים בחבילה שלכם מופעלים כל הזמן. אם כל השירותים מופעלים, אתם יכולים ליהנות מעדכונים שוטפים ולוודא שההגנה ניתנת למשאבים חדשים ולמשאבים שעברו שינויים.

לפני שמפעילים את Web Security Scanner בסביבת ייצור, כדאי לעיין בשיטות המומלצות לשימוש ב-Web Security Scanner.

כדאי גם להפעיל שירותים משולבים (זיהוי אנומליות, הגנה על מידע אישי רגיש ו-Google Cloud Armor), לבדוק שירותי אבטחה של צד שלישי ולהפעיל את Cloud Logging כדי להשתמש בתכונות Event Threat Detection וזיהוי איומים בקונטיינר. העלויות של Sensitive Data Protection ו-Cloud Armor יכולות להיות משמעותיות, בהתאם לכמות המידע. מומלץ לפעול לפי השיטות המומלצות לשליטה בעלויות של Sensitive Data Protection ולקרוא את מדריך התמחור של Cloud Armor.

הפעלת יומנים ל-Event Threat Detection

אם אתם משתמשים ב-Event Threat Detection, יכול להיות שתצטרכו להפעיל יומנים מסוימים ש-Event Threat Detection סורק. למרות שחלק מהיומנים תמיד מופעלים, כמו יומני הביקורת של פעילות אדמין ב-Cloud Logging, יומנים אחרים, כמו רוב יומני הביקורת של גישה לנתונים, מושבתים כברירת מחדל וצריך להפעיל אותם לפני ש-Event Threat Detection יכול לסרוק אותם.

אלה כמה מהיומנים שכדאי להפעיל:

  • יומני ביקורת של גישה לנתונים ב-Cloud Logging
  • יומנים של Google Workspace (הפעלות ברמת הארגון בלבד)

היומנים שצריך להפעיל תלויים ב:

  • השירותים שבהם אתם משתמשים Google Cloud
  • הצרכים של העסק שלכם בתחום האבטחה

יכול להיות שיהיה חיוב על ההטמעה והאחסון של יומנים מסוימים. לפני שמפעילים יומנים, חשוב לעיין בתמחור של יומנים.

אחרי שמפעילים יומן, Event Threat Detection מתחיל לסרוק אותו באופן אוטומטי.

מידע מפורט יותר על היומנים שצריך להפעיל ועל המודולים לזיהוי שדורשים אותם זמין במאמר בנושא היומנים שצריך להפעיל.

הגדרה של קבוצת משאבים בעלי ערך גבוה

כדי לעזור לכם לתעדף את הממצאים לגבי פגיעות וטעויות בהגדרות שחושפים את המשאבים שהכי חשוב לכם להגן עליהם, אתם יכולים לציין אילו מהמשאבים בעלי הערך הגבוה שייכים לקבוצת המשאבים בעלי הערך הגבוה.

ממצאים שחושפים את המשאבים בקבוצת המשאבים בעלי הערך הגבוה מקבלים ציוני חשיפה גבוהים יותר להתקפה.

כדי לציין את המשאבים ששייכים לקבוצת המשאבים בעלי הערך הגבוה, צריך ליצור הגדרות של ערכי משאבים. עד שתיצרו את ההגדרה הראשונה של ערכי משאבים, Security Command Center ישתמש בקבוצת משאבים עם ערך גבוה כברירת מחדל, שלא מותאמת לסדרי העדיפויות שלכם בנושא אבטחה.

שימוש ב-Security Command Center במסוף Google Cloud

במסוף Google Cloud , Security Command Center מספק תכונות ורכיבים חזותיים שלא זמינים ב-Security Command Center API. התכונות האלה, כולל ממשק אינטואיטיבי, תרשימים מעוצבים, דוחות תאימות והיררכיות ויזואליות של משאבים, מאפשרות לכם לקבל תובנות מעמיקות יותר לגבי הארגון. מידע נוסף זמין במאמר בנושא שימוש ב-Security Command Center ב Google Cloud מסוף.

הרחבת הפונקציונליות באמצעות ה-API ו-gcloud

אם אתם צריכים גישה ברמת התוכנה, כדאי לנסות את ספריות הלקוח של Security Command Center ואת Security Command Center API, שמאפשרים לכם לגשת לסביבת Security Command Center ולשלוט בה. אתם יכולים להשתמש ב-API Explorer, שמסומן בתווית 'Try This API' בחלוניות בדפי הפניית API, כדי לבדוק את Security Command Center API באופן אינטראקטיבי בלי מפתח API. אתם יכולים לבדוק את השיטות והפרמטרים הזמינים, להריץ בקשות ולראות את התשובות בזמן אמת.

ממשק ה-API של Security Command Center מאפשר לאנליסטים ולמנהלים לנהל את המשאבים והממצאים שלכם. מהנדסים יכולים להשתמש ב-API כדי ליצור פתרונות מותאמים אישית לדיווח ולמעקב.

הרחבת הפונקציונליות באמצעות מודולים מותאמים אישית לזיהוי

אם אתם צריכים גלאים שעונים על הצרכים הייחודיים של הארגון, כדאי ליצור מודולים ואמצעי בקרה בהתאמה אישית:

בדיקה וניהול של משאבים

במסוף של Security Command Center, בדף נכסים, מוצגים כל הנכסים שלכם. תוכלו לראות שם מידע כמו הממצאים לגבי כל נכס, היסטוריית השינויים שלו, המטא-נתונים שלו ומדיניות ה-IAM שלו. Google Cloud במסלולי השירות Premium ו-Enterprise, אפשר גם להשתמש בשאילתות SQL כדי לנתח את הנכסים.

המידע על הנכסים בדף נכסים נקרא ממאגר משאבי הענן. כדי לקבל התראות בזמן אמת על שינויים במשאבים ובמדיניות, צריך ליצור פיד ולהירשם אליו.

מידע נוסף זמין במאמר בנושא דף הנכסים.

תגובה מהירה לנקודות חולשה ולאיומים

הממצאים ב-Security Command Center מספקים רשומות של בעיות אבטחה שזוהו, כולל פרטים מקיפים על המשאבים המושפעים והוראות מפורטות לחקירה ולתיקון של נקודות חולשה ואיומים.

בממצאי נקודות החולשה מתואר סוג נקודת החולשה או ההגדרה השגויה שזוהו, מחושב ציון החשיפה למתקפה ומוצגת הערכה של חומרת הבעיה. בנוסף, הממצאים לגבי נקודות חולשה מתריעים על הפרות של תקני אבטחה או של נקודות השוואה. מידע נוסף מופיע במאמר בנושא מדדים נתמכים.

בנוסף, ברמות השירות Standard,‏ Premium ו-Enterprise, הממצאים לגבי נקודות התורפה כוללים גם מידע מ-Mandiant על מידת הניצול וההשפעה הפוטנציאלית של נקודת התורפה, על סמך רשומת ה-CVE המתאימה של נקודת התורפה. אתם יכולים להשתמש במידע הזה כדי לתת עדיפות לתיקון הפגיעות. מידע נוסף זמין במאמר קביעת סדר עדיפויות לפי ההשפעה של CVE והפגיעות לניצול.

ממצאי האיומים כוללים נתונים ממסגרת MITRE ATT&CK, שמסבירה טכניקות של מתקפות נגד משאבי ענן ומספקת הנחיות לתיקון, ומ-VirusTotal, שירות בבעלות Alphabet שמספק הקשר לגבי קבצים, כתובות URL, דומיינים וכתובות IP שעלולים להיות זדוניים.

המדריכים הבאים הם נקודת התחלה שיעזרו לכם לפתור בעיות ולהגן על המשאבים שלכם.

שליטה בעוצמת הקול של התוצאות

כדי לשלוט בכמות הממצאים ב-Security Command Center, אתם יכולים להשתיק ממצאים ספציפיים באופן ידני או באמצעות תוכנה, או ליצור כללי השתקה שמשתיקים ממצאים באופן אוטומטי על סמך מסננים שאתם מגדירים. יש שני סוגים של כללי השתקה שבהם אפשר להשתמש כדי לשלוט בעוצמת הקול:

  • כללי השתקה סטטיים שמשתיקים ממצאים עתידיים ללא הגבלת זמן.
  • כללי השתקה דינמיים שכוללים אפשרות להשתיק באופן זמני ממצאים נוכחיים וגם ממצאים עתידיים.

מומלץ להשתמש רק בכללים דינמיים להשתקה כדי לצמצם את מספר הממצאים שצריך לבדוק ידנית. כדי למנוע בלבול, לא מומלץ להשתמש בו-זמנית בכללים להשתקה סטטית ודינמית. השוואה בין שני סוגי הכללים להשתקה

ממצאים שהושתקו מוסתרים ומושתקים, אבל ממשיכים להירשם ביומן למטרות ביקורת ותאימות. תמיד אפשר לראות את הממצאים שהושתקו או לבטל את ההשתקה שלהם. מידע נוסף זמין במאמר בנושא השתקת ממצאים ב-Security Command Center.

הדרך המומלצת והיעילה ביותר לשלוט בנפח הממצאים היא להשתיק אותם באמצעות כללי השתקה דינמיים. אפשרות אחרת היא להשתמש בסימני אבטחה כדי להוסיף נכסים לרשימות ההיתרים.

לכל גלאי של Security Health Analytics יש סוג סימון ייעודי שמאפשר לכם להחריג משאבים מסומנים ממדיניות הזיהוי. התכונה הזו שימושית כשלא רוצים ליצור ממצאים לגבי משאבים או פרויקטים ספציפיים.

מידע נוסף על סימוני אבטחה זמין במאמר שימוש בסימוני אבטחה.

הגדרת התראות

ההתראות מודיעות לכם על ממצאים חדשים ומעודכנים כמעט בזמן אמת, ואם מפעילים את התראות בקשר לצ'אטים, אפשר לקבל אותן גם כשלא מחוברים ל-Security Command Center. מידע נוסף על הגדרת התראות על מציאת פריטים

אפשר גם ליצור ייצוא רציף, שמפשט את תהליך הייצוא של הממצאים אל Pub/Sub.

הכרת פונקציות Cloud Run

פונקציות Cloud Run הואGoogle Cloud שירות שמאפשר לכם לחבר שירותי ענן ולהריץ קוד בתגובה לאירועים. אתם יכולים להשתמש ב-Notifications API ובפונקציות Cloud Run כדי לשלוח ממצאים למערכות של צד שלישי לתיקון ולניהול פניות לתמיכה, או כדי לבצע פעולות אוטומטיות, כמו סגירה אוטומטית של ממצאים.

כדי להתחיל, אפשר להיכנס למאגר הקוד הפתוח של פונקציות Cloud Run ב-Security Command Center. המאגר מכיל פתרונות שיעזרו לכם לבצע פעולות אוטומטיות לגבי ממצאי אבטחה.

השארת התקשורת פתוחה

אנחנו מעדכנים את Security Command Center באופן קבוע עם גלאים ותכונות חדשים. נתוני הגרסה כוללים מידע על שינויים במוצר ועדכונים במסמכים. אבל אתם יכולים להגדיר את העדפות התקשורת ב Google Cloud מסוף כדי לקבל עדכוני מוצרים ומבצעים מיוחדים באימייל או בנייד. אפשר גם לסמן אם אתם רוצים להשתתף בסקרים למשתמשים ובתוכניות פיילוט.

אם יש לכם הערות או שאלות, אתם יכולים לשלוח משוב באמצעות שיחה עם איש המכירות שלכם, יצירת קשר עם צוות התמיכה ב-Cloud, דיווח על באג או שימוש בתפריט משוב במסוף Google Cloud .

שליחת משוב דרך מסוף Google Cloud

  1. נכנסים ל-Security Command Center במסוף Google Cloud .

    מעבר אל Security Command Center

  2. בוחרים את הארגון או הפרויקט.

  3. לוחצים על משוב.

  4. כדי לציין את רמת שביעות הרצון הכוללת שלכם מ-Security Command Center, לוחצים על אהבתי או על לא אהבתי.

  5. כדי לשלוח משוב מפורט, פועלים לפי השלבים הבאים:

    1. לוחצים על שליחת משוב נוסף.
    2. מקלידים את המשוב בשדה. אין להזין מידע רגיש.
    3. כדי לצרף צילום מסך שקשור למשוב, לוחצים על יצירת צילום מסך.
    4. אופציונלי: משתמשים בכלי הדגשה או הסתרה של מידע כדי לצייר תיבות סביב חלקים שרוצים להדגיש או להסתיר בצילום המסך. לוחצים על סיום.
    5. לוחצים על שליחה.

המאמרים הבאים