Cet article fournit des recommandations pour la gestion des services et des fonctionnalités de Security Command Center afin de vous aider à tirer le meilleur parti du produit.
Security Command Center est une plate-forme puissante qui permet de surveiller les données et les risques de sécurité au sein de votre organisation ou de vos projets individuels. Security Command Center est conçu pour offrir une protection maximale tout en nécessitant une configuration minimale. Toutefois, vous pouvez prendre des mesures pour adapter la plate-forme à votre workflow et vous assurer que vos ressources sont protégées.
Activer le niveau Premium ou Enterprise
Les niveaux Premium et Enterprise de Security Command Center offrent la meilleure protection grâce à un large éventail de fonctionnalités de sécurité cloud et d'opérations de sécurité, y compris la détection des menaces, la détection des failles logicielles, les évaluations de conformité, les fonctionnalités d'opérations de sécurité et bien plus encore. Les niveaux Standard et Standard-hérité proposent des services et des fonctionnalités limités.
Pour en savoir plus sur les fonctionnalités incluses dans chaque niveau de service, consultez la section Niveaux de service.
Utiliser les activations au niveau du projet
Pour les niveaux de service Standard-hérité, Standard et Premium, vous pouvez activer Security Command Center pour des projets individuels.
Avec les activations au niveau du projet, certaines fonctionnalités qui nécessitent un accès au niveau de l'organisation ne sont pas disponibles, quel que soit le niveau. Pour en savoir plus, consultez la section Fonctionnalités disponibles avec les activations au niveau du projet.
Pour en savoir plus sur l'activation d'un niveau Security Command Center, consultez la présentation de l'activation de Security Command Center.
Pour savoir comment vous êtes facturé pour Security Command Center lorsque vous l'activez au niveau du projet, consultez la section Tarifs.
Activer tous les services intégrés
Nous vous recommandons d'activer tous les services intégrés, conformément aux recommandations de bonnes pratiques des services individuels.
Si Security Command Center est déjà activé, vous pouvez vérifier les services activés sur la page Paramètres.
Vous pouvez désactiver n'importe quel service, mais il est préférable de laisser tous les services de votre niveau activés en permanence. Le fait de laisser tous les services activés vous permet de bénéficier de mises à jour continues et de vous assurer que des protections sont fournies pour les ressources nouvelles et modifiées.
Avant d'activer Web Security Scanner en production, consultez les bonnes pratiques de Web Security Scanner.
Vous pouvez également envisager d'activer les services intégrés (Détection d'anomalies, Protection des données sensibles et Google Cloud Armor), de découvrir plus en détail les services de sécurité tiers, et d'activer Cloud Logging pour Event Threat Detection et Container Threat Detection. Selon la quantité d'informations, les coûts liés à la protection des données sensibles et à Cloud Armor peuvent être importants. Suivez les bonnes pratiques pour contrôler les coûts liés à la protection des données sensibles et consultez le guide des tarifs de Cloud Armor.
Activer les journaux pour Event Threat Detection
Si vous utilisez Event Threat Detection, vous devrez peut-être activer certains journaux analysés par Event Threat Detection. Bien que certains journaux soient toujours activés, comme les journaux d'audit des activités d'administration de Cloud Logging, d'autres journaux, comme la plupart des journaux d'audit des accès aux données, sont désactivés par défaut et doivent être activés pour qu'Event Threat Detection puisse les analyser.
Voici quelques-uns des journaux que vous devriez envisager d'activer :
- Journaux d'audit des accès aux données de Cloud Logging
- Journaux Google Workspace (activations au niveau de l'organisation uniquement)
Les journaux que vous devez activer dépendent des éléments suivants :
- Les Google Cloud services que vous utilisez
- Les besoins de sécurité de votre entreprise
Logging peut facturer l'ingestion et le stockage de certains journaux. Avant d'activer des journaux, consultez les tarifs de Logging.
Une fois qu'un journal est activé, Event Threat Detection commence automatiquement à l'analyser.
Pour en savoir plus sur les modules de détection qui nécessitent des journaux et sur ceux que vous devez activer, consultez la section Journaux que vous devez activer.
Définir votre ensemble de ressources de forte valeur
Pour vous aider à hiérarchiser les résultats concernant les failles et les erreurs de configuration qui exposent les ressources les plus importantes à protéger, spécifiez les ressources de forte valeur qui appartiennent à votre ensemble de ressources de forte valeur.
Les résultats qui exposent les ressources de votre ensemble de ressources de forte valeur obtiennent des scores d'exposition aux attaques plus élevés .
Vous spécifiez les ressources qui appartiennent à votre ensemble de ressources de forte valeur en créant des configurations de valeurs de ressources. Tant que vous n'avez pas créé votre première configuration de valeurs de ressources, Security Command Center utilise un ensemble de ressources de forte valeur par défaut qui n'est pas personnalisé en fonction de vos priorités de sécurité.
Utiliser Security Command Center dans la Google Cloud console
Dans la Google Cloud console, Security Command Center fournit des fonctionnalités et des éléments visuels qui ne sont pas disponibles dans l'API Security Command Center. Ces fonctionnalités, qui incluent une interface intuitive, des graphiques formatés, des rapports de conformité et des hiérarchies visuelles des ressources, vous permettent de mieux comprendre votre organisation. Pour en savoir plus, consultez la section Utiliser Security Command Center dans la Google Cloud console.
Étendre les fonctionnalités avec l'API et gcloud
Si vous avez besoin d'un accès automatisé, essayez les bibliothèques clientes Security Command Center et l'API Security Command Center, qui vous permettent d'accéder à votre environnement Security Command Center et de le contrôler. Vous pouvez utiliser l'explorateur d'API ("Essayer cette API" dans les panneaux des pages de référence de l'API) pour explorer de manière interactive l'API Security Command Center sans clé API. Vous pouvez vérifier les méthodes et les paramètres disponibles, exécuter des requêtes et afficher les réponses en temps réel.
L'API Security Command Center permet aux analystes et aux administrateurs de gérer vos ressources et vos résultats. Les ingénieurs peuvent utiliser l'API pour créer des solutions personnalisées de surveillance et de création de rapports.
Étendre les fonctionnalités avec des modules de détection personnalisés
Si vous avez besoin de détecteurs qui répondent aux besoins uniques de votre organisation, envisagez de créer des modules personnalisés :
- Les modules personnalisés pour Security Health Analytics vous permettent de définir vos propres règles de détection des failles, des erreurs de configuration ou des violations de conformité.
- Les modules personnalisés pour Event Threat Detection vous permettent de surveiller votre flux Logging pour détecter les menaces en fonction des paramètres que vous spécifiez.
Vérifier et gérer les ressources
Security Command Center affiche tous vos éléments sur la page Éléments de la Google Cloud console, où vous pouvez afficher des informations telles que les résultats de chaque élément, son historique des modifications, ses métadonnées et ses règles IAM. Pour les niveaux de service Premium et Enterprise, vous pouvez également utiliser des requêtes SQL pour analyser vos éléments.
Les informations sur les éléments de la page Éléments sont lues à partir de l'inventaire des éléments cloud. Pour recevoir des notifications en temps réel concernant les modifications de ressources et de règles, créez un flux et abonnez-vous.
Pour en savoir plus, consultez la page Éléments.
Répondre rapidement aux failles et aux menaces
Les résultats de Security Command Center fournissent des enregistrements des problèmes de sécurité détectés, qui incluent des informations détaillées sur les ressources affectées et des instructions détaillées pour identifier et corriger les failles et les menaces.
Les résultats concernant les failles décrivent la faille ou l'erreur de configuration détectée, calculent un score d'exposition aux attaques et une gravité estimée. Les résultats concernant les failles vous avertissent également en cas de non-respect des normes ou des benchmarks de sécurité. Pour en savoir plus, consultez la section Benchmarks compatibles.
Pour les niveaux de service Standard, Premium et Enterprise, les résultats concernant les failles incluent également des informations de Mandiant sur l' exploitabilité et l'impact potentiel de la faille en fonction de l'enregistrement CVE correspondant. Vous pouvez utiliser ces informations pour hiérarchiser la correction de la faille. Pour en savoir plus, consultez la section Hiérarchiser par impact et exploitabilité des CVE.
Les résultats de menaces incluent les données du framework MITRE ATT&CK, qui explique les techniques d' attaque contre les ressources cloud et fournit des conseils de résolution des problèmes, ainsi que VirusTotal, un service appartenant à Alphabet qui fournit du contexte sur des fichiers, URL, domaines et adresses IP potentiellement malveillants.
Les guides suivants constituent un point de départ pour vous aider à résoudre les problèmes et à protéger vos ressources.
- Corriger les résultats de Security Health Analytics
- Corriger les problèmes identifiés par Web Security Scanner
- Examiner et contrer les menaces
Contrôler le volume des résultats
Pour contrôler le volume des résultats dans Security Command Center, vous pouvez désactiver manuellement ou automatiquement des résultats individuels, ou créer des règles Ignorer qui désactivent automatiquement les résultats en fonction des filtres que vous définissez. Vous pouvez utiliser deux types de règles Ignorer pour contrôler le volume de résultats :
- Règles Ignorer statiques qui bloquent indéfiniment les résultats futurs
- Règles Ignorer dynamiques qui contiennent une option permettant d'ignorer temporairement les résultats actuels et futurs
Nous vous recommandons d'utiliser des règles Ignorer dynamiques exclusivement pour réduire le nombre de résultats que vous examinez manuellement. Pour éviter toute confusion, nous vous déconseillons de vous servir simultanément de règles Ignorer statiques et dynamiques. Pour comparer les deux types de règles, consultez Types de règles Ignorer.
Les résultats ignorés sont masqués et mis sous silence, mais ils sont toujours consignés à des fins d'audit et de conformité. Vous pouvez afficher les résultats ignorés ou les réactiver à tout moment. Pour en savoir plus, consultez Ignorer les résultats dans Security Command Center.
La désactivation des résultats à l'aide de règles Ignorer dynamiques est l'approche recommandée et la plus efficace pour contrôler le volume de résultats. Vous pouvez également utiliser des marques de sécurité pour ajouter des éléments à des listes d'autorisation.
Chaque détecteur de Security Health Analytics comporte un type de marque dédié qui vous permet d'exclure les ressources marquées de la règle de détection. Cette fonctionnalité est utile lorsque vous ne souhaitez pas générer de résultats pour des ressources ou des projets spécifiques.
Pour en savoir plus sur les marques de sécurité, consultez la page Utiliser des marques de sécurité.
Définir les notifications
Les notifications vous informent des résultats nouveaux et mis à jour en quasi-temps réel et, grâce aux notifications par e-mail et par chat, peuvent le faire même lorsque vous n'êtes pas connecté à Security Command Center. Pour en savoir plus, consultez la page Configurer des notifications de résultat.
Vous pouvez également créer des exportations continues, afin de simplifier le processus d'exportation des résultats vers Pub/Sub.
Découvrir les fonctions Cloud Run
Cloud Run Functions est un Google Cloud service qui vous permet de connecter des services cloud et d'exécuter du code en réponse à des événements. Vous pouvez utiliser l'API Notifications et Cloud Run Functions pour envoyer des résultats à des systèmes tiers de remédiation et d'assistance, ou pour effectuer des actions automatisées comme la fermeture automatique des résultats.
Pour commencer, accédez au dépôt Open Source du code Cloud Run Functions de Security Command Center. Le dépôt contient des solutions permettant d'effectuer des actions automatisées sur les résultats de sécurité.
Laisser les communications activées
Security Command Center est régulièrement mis à jour avec de nouveaux détecteurs et de nouvelles fonctionnalités. Les notes de version vous informent des modifications apportées au produit et des mises à jour de la documentation. Vous pouvez toutefois définir vos préférences de communication dans la Google Cloud console pour recevoir des informations sur les produits et promotions spéciales, par e-mail ou sur mobile. Vous pouvez également nous indiquer si vous souhaitez participer aux enquêtes utilisateur et aux programmes pilotes.
Si vous avez des commentaires ou des questions, vous pouvez en faire part à votre commercial, à notre équipe d'assistance Cloud, en signalant un bug, ou en utilisant le menu Commentaires de la Google Cloud console.
Envoyer des commentaires via la Google Cloud console
Dans la Google Cloud console, accédez à Security Command Center.
Sélectionnez votre organisation ou votre projet.
Cliquez sur Commentaires.
Pour indiquer votre niveau de satisfaction global concernant Security Command Center, cliquez sur J'aime ou Je n'aime pas.
Pour envoyer des commentaires détaillés, procédez comme suit :
- Cliquez sur Envoyer plus de commentaires.
- Rédigez ensuite vos commentaires dans ce champ. Veuillez ne pas saisir d'informations sensibles.
- Pour fournir une capture d'écran liée à vos commentaires, cliquez sur Effectuer une capture d'écran.
- Facultatif : Utilisez l'outil Signaler ou masquer des infos pour dessiner des cases autour des sections que vous souhaitez mettre en surbrillance ou masquer dans la capture d'écran. Cliquez sur OK.
- Cliquez sur Envoyer.
Étape suivante
En savoir plus sur l'utilisation de Security Command Center.
Découvrez comment configurer les services Security Command Center.