En esta página se ofrece una descripción general de Security Command Center en la Google Cloud consola, se describe la navegación y se proporciona una descripción general de las páginas de nivel superior.
Si no has configurado Security Command Center, consulta uno de los siguientes artículos para obtener instrucciones sobre cómo activarlo:
- Para activar el nivel Standard o Premium, consulta el resumen de la activación de Security Command Center.
- Para activar el nivel Enterprise, consulta el artículo Activar el nivel Enterprise de Security Command Center.
Para obtener una visión general de Security Command Center, consulta el artículo Información general sobre Security Command Center.
Permisos de gestión de identidades y accesos necesarios
Para usar Security Command Center con todos los niveles de servicio, debes tener un rol de gestión de identidades y accesos (IAM) que incluya los permisos adecuados:
Estándar
- Lector de administración del centro de seguridad (
roles/securitycenter.adminViewer) te permite ver Security Command Center. - Editor de administración del centro de seguridad (
roles/securitycenter.adminEditor) te permite ver Security Command Center y hacer cambios.
Premium
- Lector de administración del centro de seguridad (
roles/securitycenter.adminViewer) te permite ver Security Command Center. - Editor de administración del centro de seguridad (
roles/securitycenter.adminEditor) te permite ver Security Command Center y hacer cambios.
Empresa
- Lector de administración del centro de seguridad (
roles/securitycenter.adminViewer) te permite ver Security Command Center. - Editor de administración del centro de seguridad (
roles/securitycenter.adminEditor) te permite ver Security Command Center y hacer cambios. - Visor de servicios de Chronicle (
roles/chroniclesm.viewer) te permite ver la instancia de Google SecOps asociada.
También necesitas alguno de los siguientes roles de gestión de identidades y accesos:
- Administrador de Chronicle SOAR (
roles/chronicle.soarAdmin) - Gestor de amenazas de Chronicle SOAR (
roles/chronicle.soarThreatManager) - Gestor de vulnerabilidades de Chronicle SOAR
(
roles/chronicle.soarVulnerabilityManager)
Para habilitar el acceso a las funciones relacionadas con SOAR, también debe asignar estos roles de gestión de identidades y accesos a un rol de SOC, un grupo de permisos y un entorno en la página Configuración > Configuración de SOAR. Para obtener más información, consulta Asignar y autorizar usuarios mediante IAM.
Si las políticas de tu organización están configuradas para restringir las identidades por dominio, debes iniciar sesión en la consola de Google Cloud con una cuenta que pertenezca a un dominio permitido.
Los roles de gestión de identidades y accesos de Security Command Center se pueden conceder a nivel de organización, carpeta o proyecto. La posibilidad de ver, editar, crear o actualizar hallazgos, recursos y fuentes de seguridad depende del nivel de acceso que se te haya concedido. Para obtener más información sobre los roles de Security Command Center, consulta Control de acceso.
Acceder a Security Command Center
Para acceder a Security Command Center en la Google Cloud consola, sigue estos pasos:
Ve a Security Command Center:
Si la residencia de datos está habilitada y tu organización usa la consola jurisdiccional, consulta Información sobre la consola jurisdiccional. Google Cloud Google Cloud
Selecciona el proyecto o la organización que quieras ver.
Si Security Command Center está activo en la organización o el proyecto que selecciones, aparecerá la página Resumen de riesgos.
Si Security Command Center no está activo, se te pedirá que lo actives. Para obtener más información sobre cómo activar Security Command Center, consulta uno de los siguientes artículos:
- Standard o Premium: Información general sobre cómo activar Security Command Center
- Enterprise: activa el nivel Enterprise de Security Command Center.
Navegación por Security Command Center
A continuación se describe la navegación en Security Command Center. La navegación varía en función del nivel de servicio de Security Command Center. Las tareas que puedes realizar también dependen de los servicios que estén habilitados y de los permisos de gestión de identidades y accesos que se te hayan concedido.
Haz clic en un enlace para ver una explicación de la página.
Estándar
A continuación se describe la navegación en Security Command Center Standard.
- Resumen de riesgos
- Amenazas: te pide que actualices al nivel de servicio Premium.
- Vulnerabilidades
- Cumplimiento: te pide que actualices al nivel de servicio Premium.
- Assets
- Conclusiones
- Fuentes
- Gestión de la postura: te pide que actualices al nivel de servicio Premium.
Premium
A continuación se describe la navegación en Security Command Center Premium.
Empresa
El panel de navegación de la izquierda de Security Command Center Enterprise incluye enlaces a páginas del tenant de Google Security Operations que se configuró durante la activación de Security Command Center Enterprise.
Además, el arrendatario de Google Security Operations que se configuró durante la activación de Security Command Center Enterprise incluye enlaces a un subconjunto de páginas de la consola. Google Cloud
Para obtener información sobre las funciones disponibles en Google Security Operations, consulta el artículo Enlaces de Security Command Center Enterprise a la consola de Security Operations.
| Nombre de la sección | Nombre del enlace |
|---|---|
| Riesgo | |
| Investigación | |
| Detección | |
| Respuesta | |
| Paneles de control | |
| Ajustes |
Descripción general de los riesgos
La página Resumen de riesgos es tu panel de control de seguridad de primer contacto, que destaca los riesgos de alta prioridad de tus entornos de nube identificados por todos los servicios integrados.
Las vistas de la página Resumen de riesgos varían en función de tu nivel de servicio.
Estándar
La página Resumen de riesgos incluye los siguientes paneles:
- Vulnerabilidades por tipo de recurso es una representación gráfica que muestra las vulnerabilidades activas de los recursos de tu proyecto u organización.
- En Vulnerabilidades activas se muestran las vulnerabilidades detectadas en pestañas, agrupadas por nombre de categoría, por recurso afectado y por proyecto. Puedes ordenar cada vista por gravedad.
Premium
Para obtener más información sobre cada vista de investigación, seleccione una de las siguientes:
- Todos los riesgos: muestra todos los datos.
- Vulnerabilidades: muestra las vulnerabilidades y la información relacionada con CVE.
- Identidad: muestra un resumen de los resultados de identidad y acceso por categoría.
- Amenazas: muestra los resultados relacionados con amenazas.
Empresa
Para obtener más información sobre cada vista de investigación, seleccione una de las siguientes:
- Todos los riesgos: muestra todos los datos.
- Vulnerabilidades: muestra las vulnerabilidades y la información relacionada con CVE.
- Datos: muestra información sobre tu postura de seguridad de datos (Vista previa).
- Código: muestra las conclusiones de seguridad relacionadas con el código (Vista previa).
- AI Security: muestra los resultados relacionados con la IA y los datos de la posición de seguridad (vista previa).
Recursos
Standard, Premium y Enterprise
La página Recursos muestra todos los Google Cloud recursos, también llamados recursos, de tu proyecto u organización.
Para obtener más información sobre cómo trabajar con recursos en la página Recursos, consulta Trabajar con recursos en la consola.
Cumplimiento
De forma predeterminada, cuando activas Security Command Center, la página Cumplimiento muestra la pestaña Monitor. En esta pestaña se muestran todos los marcos normativos que admite Security Command Center mediante Security Health Analytics y el porcentaje de controles de referencia superados.
La pestaña Monitor (Monitorizar) te permite ver cada marco normativo y proporciona más detalles sobre los controles normativos que comprueba Security Health Analytics, el número de infracciones detectadas en cada control y una opción para exportar un informe de cumplimiento de ese marco normativo.
Los escáneres de vulnerabilidades de Security Health Analytics monitorizan las infracciones de los controles de cumplimiento comunes basándose en una asignación de prácticas recomendadas proporcionada por Google. Los informes de cumplimiento de Security Health Analytics no sustituyen a una auditoría de cumplimiento, pero pueden ayudarle a mantener su estado de cumplimiento y a detectar las infracciones con antelación.
Cuando habilitas Gestor de cumplimiento en Security Command Center Enterprise, la página Cumplimiento muestra las siguientes pestañas adicionales: Configurar, Monitorizar (vista previa) y Auditoría (vista previa). Estas pestañas te permiten crear y aplicar controles y marcos de trabajo en la nube, monitorizar tu entorno y completar auditorías.
Para obtener más información sobre cómo Security Command Center admite la gestión del cumplimiento si Compliance Manager no está habilitado, consulta Gestionar el cumplimiento.
Resultados
Standard, Premium y EnterpriseEn la página Resultados, puede consultar, revisar, silenciar y marcar resultados de Security Command Center, que son los registros que crean los servicios de Security Command Center cuando detectan un problema de seguridad en su entorno. Para obtener más información sobre cómo trabajar con los resultados en la página Resultados, consulta Revisar y gestionar resultados.
Problemas
EnterpriseLos problemas son los riesgos de seguridad más importantes que Security Command Center Enterprise encuentra en tus entornos de nube, lo que te da la oportunidad de responder rápidamente a las vulnerabilidades y las amenazas. Security Command Center detecta problemas mediante equipos rojos virtuales y detecciones basadas en reglas. Para obtener información sobre cómo investigar problemas, consulta el artículo Descripción general de los problemas.
Gestión de la posición
En la página Posición, puedes ver los detalles de las posiciones de seguridad que has creado en tu organización y aplicar las posiciones a una organización, una carpeta o un proyecto. También puedes ver las plantillas de postura predefinidas disponibles.
Configuración de SCC
Standard, Premium y EnterpriseEn Security Command Center Enterprise, abre la página Configuración desde el enlace Configuración de SCC en el menú de navegación. En Security Command Center Standard y Premium, puedes abrir la página desde el enlace Configuración de la cabecera.
La página Configuración te permite configurar Security Command Center, lo que incluye lo siguiente:
- Servicios adicionales de Security Command Center
- Conectores multinube
- Conjuntos de recursos de alto valor
- Reglas de silenciar hallazgos
- Exportaciones de datos continuas
Guía de configuración de SCC
En la página Guía de configuración, puedes activar Security Command Center Enterprise y configurar servicios adicionales. Para obtener más información, consulta el artículo Activar el nivel Enterprise de Security Command Center.
Fuentes
Standard, Premium y EnterpriseLa página Fuentes contiene tarjetas que ofrecen un resumen de los recursos y los resultados de las fuentes de seguridad que has habilitado. La tarjeta de cada fuente de seguridad muestra algunos de los resultados de esa fuente. Puedes hacer clic en el nombre de la categoría de la detección para ver todas las detecciones de esa categoría.
Resultados por fuente
La tarjeta Resultados por fuente muestra el número de cada categoría de resultados que proporcionan las fuentes de seguridad que has habilitado.
- Para ver los detalles de los resultados de una fuente específica, haz clic en el nombre de la fuente.
- Para ver los detalles de todos los resultados, haga clic en la página Resultados, donde puede agruparlos o ver los detalles de un resultado concreto.
Resúmenes de fuentes
Debajo de la tarjeta Resultados por fuente, aparecen tarjetas independientes para cada fuente integrada, integrada y de terceros que hayas habilitado. Cada tarjeta proporciona el número de detecciones activas de esa fuente.
Amenazas
Las amenazas son eventos potencialmente dañinos en tus recursos de la nube. Security Command Center muestra las amenazas en diferentes vistas, según tu nivel de servicio.
Estándar
La página Amenazas no está disponible en Security Command Center Standard. Puedes ver los hallazgos de amenazas en la página Hallazgos.
Premium
En Security Command Center Premium, el enlace de navegación Amenazas abre el Resumen de riesgos > panel de control Amenazas.
Empresa
En Security Command Center Enterprise, puedes ver las amenazas en Resumen de riesgos > Panel de control Amenazas.
Página Vulnerabilidades antigua
Standard, Premium y EnterpriseEn la página antigua Vulnerabilidades se muestran todos los resultados de errores de configuración y vulnerabilidades de software que los servicios de detección integrados de Security Command Center ejecutan en tus entornos de nube. Por cada detector de la lista, se muestra el número de detecciones activas.
Para ver la página Vulnerabilidades en Security Command Center, haz lo siguiente:
Estándar
En la Google Cloud consola, ve a la página Vulnerabilidades.
Premium
En la Google Cloud consola, ve a la página Resumen de riesgos.
En la página Resumen de riesgos, haga clic en Vulnerabilidades.
En el panel de control Vulnerabilidades, haga clic en Ir a la página antigua.
Empresa
En la Google Cloud consola, ve a la página Resumen de riesgos.
En la página Resumen de riesgos, haga clic en Vulnerabilidades.
En el panel de control Vulnerabilidades, haga clic en Ir a la página antigua.
Servicios de detección de vulnerabilidades
En la página Vulnerabilidades se muestran los detectores de los siguientes servicios de detección integrados de Security Command Center:
- Notebook Security Scanner (Vista previa)
- Security Health Analytics
- Evaluación de vulnerabilidades de Amazon Web Services (AWS)
- Web Security Scanner
Otros servicios Google Cloud integrados con Security Command Center también detectan vulnerabilidades de software y errores de configuración. Los resultados de una selección de estos servicios también se muestran en la página Vulnerabilidades. Para obtener más información sobre los servicios que generan resultados de vulnerabilidades en Security Command Center, consulta Servicios de detección.
Información sobre las categorías de detectores de vulnerabilidades
En la página Vulnerabilidades se muestra la siguiente información de cada detector de vulnerabilidades de software o de configuración incorrecta:
- Estado: un icono indica si el detector está activo y si ha encontrado un resultado que debe solucionarse. Si colocas el cursor sobre el icono de estado, se mostrará una descripción emergente con la fecha y la hora en las que el detector ha encontrado el resultado o información sobre cómo validar la recomendación.
- Última búsqueda: la fecha y la hora de la última búsqueda del detector.
- Categoría: la categoría o el tipo de vulnerabilidad. Para ver una lista de las categorías que detecta cada servicio de Security Command Center, consulta lo siguiente:
Recomendación: resumen de cómo solucionar el problema. Para obtener más información, consulta lo siguiente:
Activos: el número total de resultados de la categoría.
Estándares: la referencia de cumplimiento que se aplica a la categoría del resultado, si procede. Para obtener más información sobre las comparativas, consulta Resultados de vulnerabilidades.
Filtrar vulnerabilidades detectadas
Una organización grande puede tener muchas vulnerabilidades en su implementación que debe revisar, priorizar y monitorizar. Si usas los filtros disponibles en las páginas Vulnerabilidades y Resultados de Security Command Center en la consola de Google Cloud , puedes centrarte en las vulnerabilidades más graves de tu organización y consultar las vulnerabilidades por tipo de recurso, proyecto y más.
Para obtener más información sobre cómo filtrar resultados de vulnerabilidades, consulta Filtrar resultados de vulnerabilidades en Security Command Center.
Security Command Center Enterprise se vincula a la consola de operaciones de seguridad
EnterpriseEl nivel Enterprise de Security Command Center incluye funciones disponibles tanto en las páginas de la consola de Google Cloud Security Command Center como en las de Security Operations.
Inicia sesión en la consola de Google Cloud y ve a las páginas de la consola de operaciones de seguridad desde la navegación de la consola de Google Cloud . En esta sección se describen las tareas que puedes realizar en cada página y los enlaces de navegación que abren las páginas de la consola de operaciones de seguridad.
Google Cloud páginas de la consola
Las páginas de la consola Google Cloud te permiten realizar tareas como las siguientes:
- Activa Security Command Center.
- Configura los permisos de gestión de identidades y accesos (IAM) para todos los usuarios de Security Command Center.
- Conéctate a otros entornos de nube para recoger datos de recursos y de configuración.
- Trabajar con las conclusiones y exportarlas.
- Evalúa los riesgos con las puntuaciones de exposición a ataques.
- Trabaja con los problemas, los riesgos de seguridad más importantes que Security Command Center Enterprise ha encontrado en tus entornos de nube.
- Identifica datos de alta sensibilidad con Protección de Datos Sensibles.
- Investiga y corrige resultados concretos.
- Configura Security Health Analytics, Web Security Scanner y otros Google Cloud servicios integrados.
- Gestionar las posturas de seguridad.
- Configurar controles y marcos de trabajo en la nube.
- Gestionar una postura de seguridad de los datos.
- Evalúa y genera informes sobre tu cumplimiento de los estándares o las comparativas de seguridad habituales.
- Consulta y busca tus Google Cloud recursos.
En la siguiente imagen se muestra el contenido de Security Command Center en la consolaGoogle Cloud .
Páginas de la consola Operaciones de seguridad
La página de la consola Operaciones de seguridad te permite realizar tareas como las siguientes:
- Conéctate a otros entornos de nube para recoger datos de registro de detecciones seleccionadas en la gestión de información y eventos de seguridad (SIEM).
- Configura los ajustes de orquestación, automatización y respuesta de seguridad (SOAR).
- Configurar usuarios y grupos para la gestión de incidentes y casos.
- Trabajar con casos, lo que incluye agrupar resultados, asignar tickets y trabajar con alertas.
- Usa una secuencia automatizada de pasos conocida como manuales de procedimientos para solucionar problemas.
- Usa Workdesk para gestionar las acciones y las tareas pendientes de los casos y los playbooks abiertos.
En la siguiente imagen se muestra la consola de operaciones de seguridad.
Las páginas de la consola de operaciones de seguridad tienen una URL similar al siguiente patrón.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
Donde CUSTOMER_SUBDOMAIN es el identificador específico de tu cliente.
Alertas e IOCs
Esta página de la consola de operaciones de seguridad te permite ver las alertas creadas por detecciones seleccionadas y reglas personalizadas. Para obtener información sobre cómo investigar alertas, consulta lo siguiente en la documentación de Google Security Operations:
- Investigar una alerta de GCTI generada por detecciones seleccionadas.
- Investigar una alerta
Casos
En la consola de Security Operations, puedes usar casos para obtener detalles sobre las detecciones, adjuntar guías a las alertas de detecciones, aplicar respuestas automáticas a las amenazas y hacer un seguimiento de la corrección de los problemas de seguridad.
Para obtener más información, consulta el artículo Información general sobre los casos de la documentación de Google Security Operations.
Guías
Esta página de la consola Operaciones de seguridad te permite gestionar los cuadernos de estrategias incluidos en el caso práctico SCC Enterprise - Cloud Orchestration and Remediation (SCC Enterprise: orquestación y corrección en la nube).
Para obtener información sobre las integraciones disponibles en este caso práctico, consulta Niveles de servicio de Security Command Center.
Para obtener información sobre los playbooks disponibles, consulta Actualizar el caso práctico de Enterprise.
Para obtener información sobre cómo usar la página Libros de jugadas de la consola de operaciones de seguridad, consulta ¿Qué hay en la página Libros de jugadas? en la documentación de operaciones de seguridad de Google.
Reglas y detecciones
Esta página de la consola Security Operations te permite habilitar detecciones seleccionadas y crear reglas personalizadas para identificar patrones en los datos recogidos mediante los mecanismos de recogida de datos de registro de la consola Security Operations. Para obtener información sobre las detecciones seleccionadas disponibles en Security Command Center Enterprise, consulta Investigar amenazas con detecciones seleccionadas.
Paneles de control de SIEM
Esta página de la consola de Security Operations te permite ver los paneles de control de SIEM de Google Security Operations para analizar las alertas creadas por las reglas de Google Security Operations y los datos recogidos mediante las funciones de recogida de datos de registro de la consola de Security Operations.
Para obtener más información sobre cómo usar los paneles de control de SIEM, consulta el artículo Descripción general de los paneles de control de la documentación de Google Security Operations.
Búsqueda de SIEM
Esta página de la consola de Security Operations te permite encontrar eventos y alertas del modelo de datos unificado (UDM) en tu instancia de Google Security Operations. Para obtener más información, consulta Búsqueda de SIEM en la documentación de Google Security Operations.
Configuración de SIEM
Esta página de la consola de Security Operations te permite cambiar la configuración de las funciones relacionadas con Google Security Operations SIEM. Para obtener información sobre cómo usar estas funciones, consulta la documentación de Google Security Operations.
Paneles de control de SOAR
Esta página de la consola de Operaciones de seguridad te permite ver y crear paneles de control con datos de SOAR que se pueden usar para analizar respuestas y casos. Para obtener más información sobre cómo usar los paneles de control de SOAR, consulta el artículo Descripción general del panel de control de SOAR de la documentación de Google Security Operations.
Informes de SOAR
Esta página de la consola Security Operations te permite ver informes sobre datos de SOAR. Para obtener más información sobre cómo usar los informes de SOAR, consulta el artículo Información sobre los informes de SOAR de la documentación de Google Security Operations.
Búsqueda de SOAR
Esta página de la consola Security Operations te permite encontrar casos o entidades específicos indexados por Google Security Operations SOAR. Para obtener más información, consulta el artículo Trabajar con la página de búsqueda en SOAR de la documentación de Google Security Operations.
Configuración de SOAR
Esta página de la consola de Security Operations te permite cambiar la configuración de las funciones relacionadas con la SOAR de Google Security Operations. Para obtener información sobre cómo usar estas funciones, consulta la documentación de Google Security Operations.
Siguientes pasos
- Consulta información sobre los servicios de detección.
- Consulta cómo usar marcas de seguridad.
- Consulta cómo configurar los servicios de Security Command Center.