En esta página, se proporcionan recomendaciones para administrar los servicios y las funciones de Security Command Center para ayudarte a aprovechar al máximo el producto.
Security Command Center es una plataforma potente para supervisar los datos y los riesgos de seguridad en toda tu organización o en proyectos individuales. Security Command Center está diseñado para proporcionar una protección máxima con una configuración mínima necesaria. Sin embargo, existen pasos que puedes seguir para adaptar la plataforma a tu flujo de trabajo y asegurarte de que tus recursos estén protegidos.
Habilita el nivel Premium o Enterprise
Los niveles Premium y Enterprise de Security Command Center proporcionan la mayor protección a través de un amplio conjunto de capacidades de seguridad en la nube y operaciones de seguridad, que incluyen detección de amenazas, detección de vulnerabilidades de software, evaluaciones de cumplimiento, capacidades de operaciones de seguridad y mucho más. Los niveles Standard y Standard-legacy ofrecen servicios y funciones limitados.
Para obtener información sobre las capacidades que se incluyen con cada nivel de servicio, consulta Niveles de servicio.
Usa activaciones a nivel de proyecto
Para los niveles de servicio Standard-legacy, Standard y Premium, puedes activar Security Command Center para proyectos individuales.
Con las activaciones a nivel de proyecto, no están disponibles ciertas funciones que requieren acceso a nivel de la organización, independientemente del nivel. Para obtener más información, consulta Disponibilidad de funciones con activaciones a nivel de proyecto.
Para obtener más información sobre cómo activar un nivel de Security Command Center, consulta Descripción general de la activación de Security Command Center.
Para obtener información sobre cómo se te cobra por Security Command Center cuando lo activas a nivel del proyecto, consulta Precios.
Habilita todos los servicios integrados
Te recomendamos que habilites todos los servicios integrados, sujeto a las recomendaciones de prácticas recomendadas de los servicios individuales.
Si Security Command Center ya está activado, puedes confirmar qué servicios están habilitados en la página Configuración.
Puedes inhabilitar cualquier servicio, pero es mejor mantener todos los servicios del nivel activados siempre. Mantener todos los servicios habilitados te permite aprovechar las actualizaciones continuas y ayuda a garantizar que se proporcionen protecciones para los recursos nuevos y modificados.
Antes de habilitar Web Security Scanner en producción, revisa las prácticas recomendadas de Web Security Scanner.
Además, considera habilitar los servicios integrados (detección de anomalías, Sensitive Data Protection y Google Cloud Armor), explorar los servicios de seguridad de terceros, y activar Cloud Logging para Event Threat Detection y Container Threat Detection. Según la cantidad de información, los costos de Sensitive Data Protection y Cloud Armor pueden ser significativos. Sigue las prácticas recomendadas para mantener los costos de Sensitive Data Protection bajo control y lee la guía de precios de Cloud Armor.
Habilita los registros para Event Threat Detection
Si usas Event Threat Detection, es posible que debas activar ciertos registros que analiza Event Threat Detection. Aunque algunos registros siempre están activados, como los registros de auditoría de actividad del administrador de Cloud Logging, otros registros, como la mayoría de los registros de auditoría de acceso a los datos, están desactivados de forma predeterminada y deben habilitarse antes de que Event Threat Detection pueda analizarlos.
Algunos de los registros que debes considerar habilitar incluyen los siguientes:
- Registros de auditoría de acceso a los datos de Cloud Logging
- Registros de Google Workspace (solo activaciones a nivel de la organización)
Los registros que debes habilitar dependen de lo siguiente:
- Los Google Cloud servicios que usas
- Las necesidades de seguridad de tu empresa
Logging puede cobrar por la transferencia y el almacenamiento de ciertos registros. Antes de habilitar cualquier registro, revisa los precios de Logging.
Después de habilitar un registro, Event Threat Detection comienza a analizarlo automáticamente.
Para obtener información más detallada sobre qué módulos de detección requieren qué registros y cuáles de esos registros debes activar, consulta Registros que debes activar.
Define tu conjunto de recursos de alto valor
Para ayudarte a priorizar los hallazgos de vulnerabilidades y parámetros de configuración incorrectos que exponen los recursos más importantes para proteger, especifica cuáles de tus recursos de alto valor pertenecen a tu conjunto de recursos de alto valor.
Los hallazgos que exponen los recursos de tu conjunto de recursos de alto valor obtienen puntuaciones de exposición a ataques más altas .
Para especificar los recursos que pertenecen a tu conjunto de recursos de alto valor, crea opciones de configuración de valor de recursos . Hasta que crees tu primera configuración de valor de recursos, Security Command Center usará un conjunto de recursos de alto valor predeterminado que no está personalizado para tus prioridades de seguridad.
Usa Security Command Center en la Google Cloud consola de
En la Google Cloud consola de, Security Command Center proporciona funciones y elementos visuales que no están disponibles en la API de Security Command Center. Las funciones, incluidas una interfaz intuitiva, gráficos con formato, informes de cumplimiento y jerarquías visuales de recursos, te brindan estadísticas más detalladas sobre tu organización. Para obtener más información, consulta Usa Security Command Center en la Google Cloud consola.
Extiende la funcionalidad con la API y gcloud
Si necesitas acceso programático, prueba las bibliotecas cliente de Security Command Center y la API de Security Command Center, que te permiten acceder a tu entorno de Security Command Center y controlarlo. Puedes usar el Explorador de API, etiquetado como "Probar esta API" en los paneles de las páginas de referencia de la API, para explorar de forma interactiva la API de Security Command Center sin una clave de API. Puedes consultar los métodos y parámetros disponibles, ejecutar solicitudes y ver respuestas en tiempo real.
La API de Security Command Center permite a los analistas y administradores administrar tus recursos y resultados. Los ingenieros pueden usar la API para crear soluciones personalizadas de supervisión y generación de informes.
Extiende la funcionalidad con módulos de detección personalizados
Si necesitas detectores que satisfagan las necesidades únicas de tu organización, considera crear módulos personalizados:
- Los módulos personalizados para Security Health Analytics te permiten definir tus propias reglas de detección para vulnerabilidades, parámetros de configuración incorrectos o infracciones de cumplimiento.
- Los módulos personalizados para Event Threat Detection te permiten supervisar tu flujo de Logging en busca de amenazas según los parámetros que especifiques.
Revisa y administra recursos
Security Command Center muestra todos tus recursos en la página Recursos de la Google Cloud consola, donde puedes ver información como los hallazgos de cada recurso, su historial de cambios, sus metadatos y sus políticas de IAM. Para los niveles de servicio Premium y Enterprise, también puedes usar consultas de SQL para analizar tus recursos.
La información de los recursos en la página Recursos se lee de Cloud Asset Inventory. Para recibir notificaciones en tiempo real sobre los cambios en los recursos y las políticas, crea un feed y suscríbete a él.
Para obtener más información, consulta la página Recursos.
Responde con rapidez a las vulnerabilidades y amenazas
Los hallazgos de Security Command Center proporcionan registros de problemas de seguridad detectados que incluyen detalles extensos sobre los recursos afectados y las instrucciones sugeridas paso a paso para investigar y solucionar las vulnerabilidades y las amenazas.
Los hallazgos de vulnerabilidades describen la vulnerabilidad o el parámetro de configuración incorrecto detectados, calculan una puntuación de exposición a ataques y una gravedad estimada. Los hallazgos de vulnerabilidades también te alertan sobre los incumplimientos de las comparativas o los estándares de seguridad. Para obtener más información, consulta Comparativas admitidas.
Para los niveles de servicio Standard, Premium y Enterprise, los hallazgos de vulnerabilidades también incluyen información de Mandiant sobre la capacidad de explotación y el impacto potencial de la vulnerabilidad en función de su registro de CVE correspondiente. Puedes usar esta información para ayudar a priorizar la solución de la vulnerabilidad. Para obtener más información, consulta Prioriza por impacto y capacidad de explotación de CVE.
Los resultados de las amenazas incluyen datos del framework de MITRE ATT&CK, que explica las técnicas para ataques a recursos en la nube y proporciona orientación para la solución, además de VirusTotal, servicio de Alphabet que proporciona contexto sobre archivos, URLs, dominios y direcciones IP potencialmente maliciosos.
Las siguientes guías son un punto de partida para ayudarte a solucionar problemas y proteger tus recursos.
- Soluciona los problemas de las estadísticas de estado de seguridad
- Solución de los resultados de Web Security Scanner
- Investigar amenazas y responder ante ellas
Controla el volumen de resultados
Para controlar el volumen de resultados en Security Command Center, puedes silenciar de forma manual o programática resultados individuales o crear reglas de silenciamiento que silencian de forma automática los resultados según los filtros que definas. Existen dos tipos de reglas de silenciamiento que puedes usar para controlar el volumen de resultados:
- Reglas de silenciamiento estáticas que silencian de forma indefinida los resultados futuros.
- Reglas de silenciamiento dinámicas que contienen una opción para silenciar temporalmente los resultados actuales y futuros.
Te recomendamos que uses reglas de silenciamiento dinámicas exclusivamente para reducir la cantidad de resultados que revisas de forma manual. Para evitar confusiones, no recomendamos usar reglas de silenciamiento estáticas y dinámicas de forma simultánea. Para ver una comparación de los dos tipos de reglas, consulta Tipos de reglas de silenciamiento.
Los resultados silenciados se ocultan y silencian, pero se siguen registrando con fines de auditoría y cumplimiento. Puedes ver los resultados silenciados o dejar de silenciarlos en cualquier momento. Para obtener más información, consulta Silencia resultados en Security Command Center.
El silenciamiento de los resultados con reglas de silenciamiento dinámicas es el enfoque recomendado y más eficaz para controlar el volumen de los resultados. Como alternativa, puedes usar marcas de seguridad para agregar recursos a las listas de entidades permitidas.
Cada detector de Security Health Analytics tiene un tipo de marca dedicado que te permite excluir recursos marcados de la política de detección. Esta característica es útil cuando no deseas resultados que se crearon para recursos o proyectos específicos.
Para obtener más información sobre las marcas de seguridad, consulta Usa marcas de seguridad.
Configure las notificaciones
Las notificaciones te alertan sobre los resultados nuevos y actualizados en tiempo casi real y, con las notificaciones por correo electrónico y chat, pueden hacerlo incluso cuando no hayas accedido a Security Command Center. Obtén más información en Configura las notificaciones de resultados.
También puedes crear exportaciones continuas, que simplifican el proceso de exportación de resultados a Pub/Sub.
Explora Cloud Run Functions
Cloud Run Functions es un Google Cloud servicio que te permite conectar servicios en la nube y ejecutar código en respuesta a eventos. Puedes usar la API de Notifications y Cloud Run Functions para enviar resultados a sistemas de emisión de tickets y soluciones de terceros, o bien realizar acciones automatizadas, como cerrar resultados de forma automática.
Para comenzar, visita el repositorio de código abierto del código de Cloud Run Functions de Security Command Center. El repositorio contiene soluciones que te ayudan a realizar acciones automatizadas con respecto a los resultados de seguridad.
Mantén las comunicaciones activadas
Security Command Center se actualiza con regularidad con detectores y funciones nuevos. Las notas de la versión te informan sobre los cambios en los productos y las actualizaciones de la documentación. Sin embargo, puedes configurar tus preferencias de comunicación en la Google Cloud consola de para recibir actualizaciones de productos y promociones especiales por correo electrónico o en dispositivos móviles. También puedes contarnos si te interesa participar en encuestas de usuarios y programas piloto.
Si tienes comentarios o preguntas, puedes hablar con tu vendedor, comunicarte con nuestro personal de Asistencia de Cloud, presentar un informe de errores, o usar el menú Comentarios en la Google Cloud consola.
Envía comentarios a través de la Google Cloud consola de
En la Google Cloud consola de, ve a Security Command Center.
Selecciona tu organización o proyecto.
Haz clic en Comentarios.
Para indicar tu satisfacción general con Security Command Center, haz clic en Me gusta o No me gusta.
Para enviar comentarios detallados, sigue estos pasos:
- Haz clic en Enviar más comentarios.
- En el campo, ingresa tus comentarios. No ingreses información sensible.
- Para proporcionar una captura de pantalla relacionada con tus comentarios, haz clic en Tomar captura de pantalla.
- Opcional: Usa la herramienta Ocultar o destacar información para dibujar cuadros alrededor de las secciones que deseas ocultar o destacar en la captura de pantalla. Haz clic en Listo.
- Haz clic en Enviar.
¿Qué sigue?
Obtén más información para usar Security Command Center.
Obtén más información para configurar los servicios de Security Command Center.