שיטות מומלצות לשימוש ב-Security Command Center

בדף הזה מופיעות המלצות לניהול השירותים והתכונות של Security Command Center, כדי לעזור לכם להפיק את המרב מהמוצר.

‫Security Command Center היא פלטפורמה עוצמתית למעקב אחרי נתונים וסיכוני אבטחה בארגון או בפרויקטים ספציפיים. העיצוב של Security Command Center נועד לספק הגנה מקסימלית עם מינימום הגדרות. אבל יש כמה פעולות שאפשר לבצע כדי להתאים את הפלטפורמה לתהליך העבודה שלכם ולוודא שהמשאבים שלכם מוגנים.

הפעלת רמת Premium או רמת Enterprise

מהדורות Premium ו-Enterprise של Security Command Center מספקות את ההגנה הטובה ביותר באמצעות מגוון רחב של יכולות אבטחה בענן ופעולות אבטחה, כולל זיהוי איומים, זיהוי נקודות חולשה בתוכנה, הערכות תאימות, יכולות פעולות אבטחה ועוד. המסלולים הרגיל והרגיל (גרסה קודמת) מציעים שירותים ותכונות מוגבלים.

מידע על היכולות שכלולות בכל מסלול שירות זמין במאמר מסלולי שירות.

שימוש בהפעלות ברמת הפרויקט

Standard-legacy ו-Premium

במסלולי השירות Standard-legacy ו-Premium, אפשר להפעיל את Security Command Center לפרויקטים ספציפיים.

בהפעלות ברמת הפרויקט, תכונות מסוימות שדורשות גישה ברמת הארגון לא זמינות, ללא קשר לרמת השירות. מידע נוסף זמין במאמר בנושא זמינות התכונות בהפעלות ברמת הפרויקט.

מידע נוסף על הפעלת מהדורה של Security Command Center זמין במאמר סקירה כללית על הפעלת Security Command Center.

במאמר תמחור מוסבר איך מתבצע החיוב על Security Command Center כשמפעילים אותו ברמת הפרויקט.

הפעלת כל השירותים המובנים

מומלץ להפעיל את כל השירותים המובנים, בכפוף להמלצות לשיטות מומלצות של שירותים ספציפיים.

אם Security Command Center כבר מופעל, אפשר לבדוק אילו שירותים מופעלים בדף ההגדרות.

אפשר להשבית כל שירות, אבל מומלץ להשאיר את כל השירותים בחבילה שלכם מופעלים כל הזמן. אם כל השירותים מופעלים, אתם יכולים ליהנות מעדכונים שוטפים ולוודא שההגנה ניתנת למשאבים חדשים ולמשאבים שעברו שינוי.

לפני שמפעילים את Web Security Scanner בסביבת ייצור, כדאי לעיין בשיטות המומלצות לשימוש ב-Web Security Scanner.

כדאי גם להפעיל שירותים משולבים (זיהוי אנומליות, Sensitive Data Protection ו-Google Cloud Armor), לבדוק שירותי אבטחה של צד שלישי ולהפעיל את Cloud Logging כדי להשתמש בתכונות Event Threat Detection וזיהוי איומים בקונטיינר. העלויות של Sensitive Data Protection ו-Cloud Armor יכולות להיות משמעותיות, בהתאם לכמות המידע. מומלץ לפעול לפי השיטות המומלצות לשליטה בעלויות של Sensitive Data Protection ולקרוא את מדריך התמחור של Cloud Armor.

הפעלת יומנים ל-Event Threat Detection

אם אתם משתמשים ב-Event Threat Detection, יכול להיות שתצטרכו להפעיל יומנים מסוימים ש-Event Threat Detection סורק. למרות שחלק מהיומנים תמיד מופעלים, כמו יומני הביקורת של פעילות אדמין ב-Cloud Logging, יומנים אחרים, כמו רוב יומני הביקורת של גישה לנתונים, מושבתים כברירת מחדל וצריך להפעיל אותם לפני ש-Event Threat Detection יכול לסרוק אותם.

אלה כמה מהיומנים שכדאי להפעיל:

  • יומני ביקורת של גישה לנתונים ב-Cloud Logging
  • יומנים של Google Workspace (הפעלות ברמת הארגון בלבד)

אילו יומנים צריך להפעיל, בהתאם ל:

  • השירותים שבהם אתם משתמשים Google Cloud
  • הצרכים של העסק שלכם בתחום האבטחה

יכול להיות שיהיה חיוב על ההטמעה והאחסון של יומנים מסוימים. לפני שמפעילים יומנים, חשוב לעיין בתמחור של יומנים.

אחרי שמפעילים יומן, Event Threat Detection מתחילה לסרוק אותו באופן אוטומטי.

מידע מפורט יותר על המודולים לזיהוי שדורשים יומנים מסוימים ועל היומנים שצריך להפעיל זמין במאמר בנושא היומנים שצריך להפעיל.

הגדרה של קבוצת משאבים בעלי ערך גבוה

כדי לעזור לכם לתעדף את הממצאים לגבי פגיעויות וטעויות בהגדרות שחושפים את המשאבים שהכי חשוב לכם להגן עליהם, אתם יכולים לציין אילו מהמשאבים בעלי הערך הגבוה שייכים לקבוצת המשאבים בעלי הערך הגבוה.

ממצאים שחושפים את המשאבים בקבוצת המשאבים בעלי הערך הגבוה מקבלים ציוני חשיפה להתקפות גבוהים יותר.

כדי לציין את המשאבים ששייכים לקבוצת המשאבים בעלי הערך הגבוה, צריך ליצור הגדרות של ערכי משאבים. עד שתיצרו את ההגדרה הראשונה של ערכי משאבים, Security Command Center ישתמש בקבוצת משאבים עם ערך גבוה כברירת מחדל, שלא מותאמת לסדרי העדיפויות שלכם בנושא אבטחה.

שימוש ב-Security Command Center במסוף Google Cloud

במסוף Google Cloud , Security Command Center מספק תכונות ורכיבים חזותיים שלא זמינים ב-Security Command Center API. התכונות האלה, כולל ממשק אינטואיטיבי, תרשימים מעוצבים, דוחות תאימות והיררכיות חזותיות של משאבים, מאפשרות לכם לקבל תובנות מעמיקות יותר לגבי הארגון שלכם. מידע נוסף זמין במאמר שימוש ב-Security Command Center ב Google Cloud מסוף.

הרחבת הפונקציונליות באמצעות ה-API ו-gcloud

אם אתם צריכים גישה ברמת התוכנה, כדאי לנסות את ספריות הלקוח של Security Command Center ואת Security Command Center API, שמאפשרים לכם לגשת לסביבת Security Command Center ולשלוט בה. אתם יכולים להשתמש ב-API Explorer, שמסומן בתווית 'Try This API' בחלוניות בדפי הפניית API, כדי לבדוק את Security Command Center API באופן אינטראקטיבי בלי מפתח API. אתם יכולים לבדוק את השיטות והפרמטרים הזמינים, להריץ בקשות ולראות את התשובות בזמן אמת.

ממשק ה-API של Security Command Center מאפשר לאנליסטים ולמנהלים לנהל את המשאבים והממצאים שלכם. מהנדסים יכולים להשתמש ב-API כדי ליצור פתרונות מותאמים אישית לדיווח ולמעקב.

הרחבת הפונקציונליות באמצעות מודולים מותאמים אישית לזיהוי

אם אתם צריכים גלאים שעונים על הצרכים הייחודיים של הארגון שלכם, כדאי ליצור מודולים בהתאמה אישית:

בדיקה וניהול של משאבים

ב-Security Command Center מוצגים כל הנכסים בדף נכסים במסוף Google Cloud , שם אפשר לראות מידע כמו הממצאים לגבי כל נכס, היסטוריית השינויים שלו, המטא נתונים שלו ומדיניות ה-IAM שלו. במסלולי השירות Premium ו-Enterprise, אפשר גם להשתמש בשאילתות SQL כדי לנתח את הנכסים.

המידע על הנכסים בדף נכסים נקרא ממאגר משאבי הענן. כדי לקבל התראות בזמן אמת על שינויים במשאבים ובמדיניות, צריך ליצור פיד ולהירשם אליו.

מידע נוסף זמין במאמר בנושא דף הנכסים.

תגובה מהירה לפגיעויות ולאיומים

הממצאים ב-Security Command Center מספקים רשומות של בעיות אבטחה שזוהו, כולל פרטים מקיפים על המשאבים המושפעים והוראות מפורטות לחקירה ולתיקון של נקודות חולשה ואיומים.

בממצאי נקודות החולשה מתואר סוג נקודת החולשה או ההגדרה השגויה שאותרו, מחושב ציון החשיפה למתקפה ומוצגת הערכה של רמת החומרה. בנוסף, הממצאים של נקודות החולשה מתריעים על הפרות של תקני אבטחה או מדדים להשוואה. מידע נוסף מופיע במאמר בנושא מדדים נתמכים.

בנוסף, ברמות השירות Standard,‏ Premium ו-Enterprise, הממצאים לגבי נקודות התורפה כוללים מידע מ-Mandiant על מידת הניצול וההשפעה הפוטנציאלית של נקודת התורפה, על סמך רשומת ה-CVE המתאימה של נקודת התורפה. אתם יכולים להשתמש במידע הזה כדי לתת עדיפות לתיקון נקודת החולשה. מידע נוסף זמין במאמר קביעת סדר עדיפויות לפי ההשפעה של CVE והפגיעות לניצול.

ממצאי איומים כוללים נתונים ממסגרת MITRE ATT&CK, שמסבירה שיטות להתקפות נגד משאבי ענן ומספקת הנחיות לתיקון שגיאות, ומ-VirusTotal, שירות בבעלות Alphabet שמספק הקשר לגבי קבצים, כתובות URL, דומיינים וכתובות IP שעלולים להיות תוכנה זדונית.

המדריכים הבאים הם נקודת התחלה שיעזרו לכם לפתור בעיות ולהגן על המשאבים שלכם.

שליטה בעוצמת הקול של 'איפה המכשיר שלי'

כדי לשלוט בכמות הממצאים ב-Security Command Center, אתם יכולים להשתיק ממצאים ספציפיים באופן ידני או באמצעות תוכנה, או ליצור כללי השתקה שמשתיקים ממצאים באופן אוטומטי על סמך מסננים שאתם מגדירים. יש שני סוגים של כללי השתקה שבהם אפשר להשתמש כדי לשלוט בעוצמת הקול של ממצאים:

  • כללי השתקה סטטיים שמשתיקים ממצאים עתידיים ללא הגבלת זמן.
  • כללי השתקה דינמיים שכוללים אפשרות להשתיק באופן זמני ממצאים נוכחיים וגם ממצאים עתידיים.

מומלץ להשתמש רק בכללים להשתקה דינמית כדי לצמצם את מספר הממצאים שצריך לבדוק באופן ידני. כדי למנוע בלבול, לא מומלץ להשתמש בכללים להשתקה סטטית ודינמית בו-זמנית. השוואה בין שני סוגי הכללים להשתקה

ממצאים שהושתקו מוסתרים ומושתקים, אבל ממשיכים להירשם ביומן למטרות ביקורת ותאימות. בכל שלב אפשר לראות את הממצאים שהושתקו או לבטל את ההשתקה שלהם. מידע נוסף זמין במאמר בנושא השתקת ממצאים ב-Security Command Center.

הדרך המומלצת והיעילה ביותר לשלוט בנפח הממצאים היא להשתיק אותם באמצעות כללי השתקה דינמיים. אפשרות אחרת היא להשתמש בסימני אבטחה כדי להוסיף נכסים לרשימות ההיתרים.

לכל גלאי של Security Health Analytics יש סוג סימון ייעודי שמאפשר לכם להחריג משאבים מסומנים ממדיניות הזיהוי. התכונה הזו שימושית כשלא רוצים ליצור ממצאים לגבי משאבים או פרויקטים ספציפיים.

מידע נוסף על סימוני אבטחה זמין במאמר שימוש בסימוני אבטחה.

הגדרת התראות

ההתראות מודיעות לכם על ממצאים חדשים ומעודכנים כמעט בזמן אמת, ואם מפעילים את ההתראות באימייל ובהתראות בקשר לצ'אטים, אפשר לקבל אותן גם כשלא מחוברים ל-Security Command Center. מידע נוסף על הגדרת התראות על מציאת פריטים

אפשר גם ליצור ייצוא רציף, שמפשט את תהליך הייצוא של הממצאים אל Pub/Sub.

הכרת פונקציות Cloud Run

פונקציות Cloud Run הןGoogle Cloud שירות שמאפשר לכם לחבר שירותי ענן ולהריץ קוד בתגובה לאירועים. אתם יכולים להשתמש ב-Notifications API ובפונקציות Cloud Run כדי לשלוח ממצאים למערכות של צד שלישי לתיקון ולניהול פניות לתמיכה, או כדי לבצע פעולות אוטומטיות, כמו סגירה אוטומטית של ממצאים.

כדי להתחיל, אפשר להיכנס למאגר הקוד הפתוח של Security Command Center של פונקציות Cloud Run. המאגר מכיל פתרונות שיעזרו לכם לבצע פעולות אוטומטיות לגבי ממצאי אבטחה.

השארת התקשורת פתוחה

אנחנו מעדכנים את Security Command Center באופן קבוע עם גלאים ותכונות חדשים. נתוני הגרסה כוללים מידע על שינויים במוצר ועדכונים במסמכים. אבל אתם יכולים להגדיר את העדפות התקשורת ב Google Cloud מסוף כדי לקבל עדכוני מוצרים ומבצעים מיוחדים באימייל או בנייד. אפשר גם לציין אם אתם מעוניינים להשתתף בסקרים למשתמשים ובתוכניות פיילוט.

אם יש לכם הערות או שאלות, אתם יכולים לשלוח משוב באמצעות שיחה עם איש המכירות שלכם, פנייה לצוות התמיכה ב-Cloud, דיווח על באג או שימוש בתפריט משוב במסוף Google Cloud .

שליחת משוב דרך מסוף Google Cloud

  1. נכנסים ל-Security Command Center במסוף Google Cloud .

    מעבר אל Security Command Center

  2. בוחרים את הארגון או הפרויקט.

  3. לוחצים על משוב.

  4. כדי לציין את רמת שביעות הרצון הכללית שלכם מ-Security Command Center, לוחצים על אהבתי או על לא אהבתי.

  5. כדי לשלוח משוב מפורט, פועלים לפי השלבים הבאים:

    1. לוחצים על שליחת משוב נוסף.
    2. מקלידים את המשוב בשדה. אין להזין מידע רגיש.
    3. כדי לצרף צילום מסך שקשור למשוב, לוחצים על יצירת צילום מסך.
    4. אופציונלי: משתמשים בכלי הדגשה או הסתרה של מידע כדי לצייר תיבות מסביב לקטעים שרוצים להדגיש או להסתיר בצילום המסך. לוחצים על סיום.
    5. לוחצים על שליחה.

המאמרים הבאים