Nesta página, você encontra uma visão geral do Security Command Center no console Google Cloud , uma descrição da navegação e uma visão geral das páginas de nível superior.
Se você ainda não configurou o Security Command Center, consulte uma das seguintes opções para instruções sobre como ativá-lo:
- Para ativar o nível Standard ou Premium, consulte Visão geral da ativação do Security Command Center.
- Para ativar o nível Enterprise, consulte Ativar o nível Security Command Center Enterprise Center.
Para uma visão geral do Security Command Center, consulte Visão geral do Security Command Center.
Permissões do IAM obrigatórias
Para usar o Security Command Center com todos os níveis de serviço, é necessário ter um papel do Identity and Access Management (IAM) que inclua as permissões apropriadas:
Padrão
- O Leitor administrador da Central de segurança (
roles/securitycenter.adminViewer) permite que você visualize o Security Command Center. - O Editor administrador da Central de segurança (
roles/securitycenter.adminEditor) permite visualizar o Security Command Center e fazer mudanças.
Premium
- O Leitor administrador da Central de segurança (
roles/securitycenter.adminViewer) permite que você visualize o Security Command Center. - O Editor administrador da Central de segurança (
roles/securitycenter.adminEditor) permite visualizar o Security Command Center e fazer mudanças.
Enterprise
- O Leitor administrador da Central de segurança (
roles/securitycenter.adminViewer) permite que você visualize o Security Command Center. - O Editor administrador da Central de segurança (
roles/securitycenter.adminEditor) permite visualizar o Security Command Center e fazer mudanças. - Com o Visualizador de serviço do Chronicle (
roles/chroniclesm.viewer), é possível ver a instância associada do Google SecOps.
Você também precisa de um dos seguintes papéis do IAM:
- Administrador do Chronicle SOAR (
roles/chronicle.soarAdmin) - Gerenciador de ameaças do Chronicle SOAR (
roles/chronicle.soarThreatManager) - Gerenciador de vulnerabilidades do Chronicle SOAR
(
roles/chronicle.soarVulnerabilityManager)
Para ativar o acesso aos recursos relacionados ao SOAR, também é necessário mapear essas funções do Identity and Access Management para uma função do SOC, um grupo de permissões e um ambiente na página Configurações > Configurações do SOAR. Para mais informações, consulte Mapear e autorizar usuários usando o IAM.
Se as políticas da organização estiverem definidas para restringir identidades por domínio, você precisará fazer login no console do Google Cloud em uma conta que esteja em um domínio permitido.
Os papéis do IAM para o Security Command Center podem ser concedidos no nível da organização, da pasta ou do projeto. A capacidade de ver, editar, criar ou atualizar descobertas, recursos e fontes de segurança depende do nível a que você tem acesso. Para saber mais sobre os papéis do Security Command Center, consulte Controle de acesso.
Acessar o Security Command Center
Para acessar o Security Command Center no console Google Cloud :
Acesse Security Command Center:
Acesse Security Command Center
Se a residência de dados estiver ativada e sua organização usar o console jurisdicional Google Cloud , consulte Sobre o console jurisdicional Google Cloud .
Selecione o projeto ou a organização que você quer ver.
Se o Security Command Center estiver ativo na organização ou no projeto selecionado, a página Visão geral de risco vai aparecer.
Se o Security Command Center não estiver ativo, você pode convidá-lo. Para mais informações sobre como ativar o Security Command Center, consulte uma das opções a seguir:
- Standard ou Premium: Visão geral da ativação do Security Command Center.
- Enterprise: ative o Security Command Center Enterprise Center.
Navegação do Security Command Center
A seguir, descrevemos a navegação no Security Command Center. A navegação varia de acordo com o nível de serviço do Security Command Center. As tarefas que você pode realizar também dependem dos serviços ativados e das permissões do IAM concedidas a você.
Clique em um link para ver uma explicação sobre a página.
Padrão
A seguir, descrevemos a navegação no Security Command Center Standard.
- Visão geral de riscos
- Ameaças: pede para você fazer upgrade para o nível de serviço Premium.
- Vulnerabilidades
- Conformidade: pede que você faça upgrade para o nível de serviço Premium.
- Recursos
- Descobertas
- Fontes
- Gerenciamento de postura: pede que você faça upgrade para o nível de serviço Premium.
Premium
A seguir, descrevemos a navegação no Security Command Center Premium.
Enterprise
A navegação à esquerda do Security Command Center Enterprise inclui links para páginas no locatário do Google Security Operations configurado durante a ativação do Security Command Center Enterprise.
Além disso, o locatário do Google Security Operations configurado durante a ativação do Security Command Center Enterprise inclui links para um subconjunto de páginas do console Google Cloud .
Para informações sobre os recursos disponíveis no Google Security Operations, consulte Links do Security Command Center Enterprise para o console do Security Operations.
| Nome da seção | Nome do link |
|---|---|
| Risco | |
| Investigação | |
| Detecção | |
| Resposta | |
| Painéis | |
| Configurações |
Visão geral de riscos
A página Visão geral de risco serve como seu painel de segurança de primeiro contato, destacando riscos de alta prioridade nos seus ambientes de nuvem identificados por todos os serviços integrados e integrados.
As visualizações na página Visão geral do risco variam de acordo com o nível do serviço.
Padrão
A página Visão geral do risco inclui os seguintes painéis:
- Vulnerabilidades por tipo de recurso é uma exibição gráfica que mostra as vulnerabilidades ativas dos recursos no seu projeto ou organização.
- As vulnerabilidades ativas fornecem visualizações com guias das descobertas de vulnerabilidade por nome de categoria, por recurso afetado e por projeto. É possível classificar cada visualização encontrando a gravidade.
Premium
Para saber mais sobre cada visualização de investigação, selecione uma das seguintes opções:
- Todo o risco: mostra todos os dados.
- Vulnerabilidades: mostra vulnerabilidades e informações relacionadas de CVE.
- Identidade: mostra um resumo das descobertas de identidade e acesso por categoria.
- Ameaças: mostra descobertas relacionadas a ameaças.
Enterprise
Para saber mais sobre cada visualização de investigação, selecione uma das seguintes opções:
- Todo o risco: mostra todos os dados.
- Vulnerabilidades: mostra vulnerabilidades e informações relacionadas de CVE.
- Dados: mostra informações sobre sua postura de segurança de dados (pré-lançamento).
- Código: mostra descobertas de segurança relacionadas ao código (Prévia).
- Segurança de IA: mostra descobertas relacionadas à IA e dados de postura de segurança (pré-lançamento).
Recursos
A página Recursos mostra todos os recursos do Google Cloud projeto ou da organização, também chamados de recursos.
Para mais informações sobre como trabalhar com recursos na página Recursos, consulte Trabalhar com recursos no console.
Compliance
Por padrão, quando você ativa o Security Command Center, a página Conformidade mostra a guia Monitorar. Essa guia mostra todas as estruturas regulatórias compatíveis com o Security Command Center usando o Security Health Analytics e a porcentagem de controles de comparativo de mercado aprovados.
Na guia Monitorar, você pode conferir cada estrutura regulatória e mais detalhes sobre quais controles regulatórios o Security Health Analytics verifica, o número de violações detectadas para cada controle e uma opção para exportar um relatório de compliance para essa estrutura regulatória.
Os verificadores de vulnerabilidades do Security Health Analytics monitoram violações de controles de compliance comuns com base em um mapeamento de melhor esforço fornecido pelo Google. Os relatórios de compliance da Análise de integridade da segurança não substituem uma auditoria de compliance, mas podem ajudar você a manter seu status de compliance e detectar violações antecipadamente.
Ao ativar o Gerenciador de compliance para o Security Command Center Enterprise, a página Compliance mostra as seguintes guias adicionais: Configurar, Monitorar (prévia) e Auditoria (prévia). Com elas, é possível criar e aplicar controles e frameworks de nuvem, monitorar seu ambiente e concluir auditorias.
Para mais informações sobre como o Security Command Center oferece suporte ao gerenciamento de compliance se o Compliance Manager não estiver ativado, consulte Gerenciar compliance.
Descobertas
Na página Descobertas, é possível consultar, analisar, desativar o som e marcar descobertas do Security Command Center, os registros que os serviços do Security Command Center criam ao detectar um problema de segurança no seu ambiente. Para mais informações sobre como trabalhar com as descobertas na página Descobertas, consulte Analisar e gerenciar descobertas.
Problemas
Os problemas são os riscos de segurança mais importantes que o Security Command Center Enterprise encontra nos seus ambientes de nuvem, a você a oportunidade de responder rapidamente a vulnerabilidades e ameaças. O Security Command Center descobre problemas usando simulações de red team virtual e detecções baseadas em regras. Para informações sobre como investigar problemas, consulte Visão geral de problemas.
Gerenciamento de postura
Na página Postura, é possível conferir detalhes sobre as posturas de segurança criadas na sua organização e aplicá-las a uma organização, pasta ou projeto. Você também pode conferir os modelos de postura predefinidos disponíveis.
Configurações do SCC
No Security Command Center Enterprise, abra a página Configurações no link Configurações do SCC na navegação. No Security Command Center Standard e Premium, abra a página pelo link Configurações no cabeçalho.
Na página Configurações, é possível configurar o Security Command Center, incluindo o seguinte:
- Outros serviços do Security Command Center
- Conectores multicloud
- Conjuntos de recursos de alto valor
- Regras de silenciamento de descobertas
- Exportações contínuas de dados
Guia de configuração do SCC
Na página Guia de configuração, é possível ativar o Security Command Center Enterprise e configurar outros serviços. Para mais informações, consulte Ativar o Security Command Center Enterprise Center.
Fontes
A página Origens contém cartões que fornecem um resumo de recursos e descobertas das origens de segurança ativadas. O card de cada origem de segurança mostra algumas das descobertas dessa origem. Clique no nome da categoria de descoberta para visualizar todas as descobertas dela.
Descobertas por origem
O card Descobertas por origem mostra uma contagem de cada categoria de descoberta fornecida pelas origens de segurança ativadas.
- Para visualizar detalhes sobre as descobertas de uma origem específica, clique no nome da origem.
- Para ver detalhes sobre todas as descobertas, clique na página Descobertas, na qual é possível agrupar as descobertas ou ver detalhes sobre uma delas.
Resumos de fontes
Abaixo do card Descobertas por origem, aparecem cards separados para todas as fontes integradas e terceirizadas que você ativou. Cada card fornece contagens de descobertas ativas para essa origem.
Ameaças
As ameaças são eventos potencialmente prejudiciais nos seus recursos de nuvem. O Security Command Center mostra ameaças em diferentes visualizações, dependendo do nível do serviço.
Padrão
A página Ameaças não é compatível com o Security Command Center Standard. Você pode conferir as descobertas de ameaças na página Descobertas.
Premium
No Security Command Center Premium, o link de navegação Ameaças abre o Painel de ameaças > Visão geral de riscos.
Enterprise
No Security Command Center Enterprise, as ameaças são exibidas no Visão geral de riscos > Painel de ameaças.
Página legada de vulnerabilidades
A página legada Vulnerabilidades lista todas as descobertas de configurações incorretas e vulnerabilidades de software que os serviços de detecção integrados do Security Command Center executam nos seus ambientes de nuvem. Para cada detector listado, o número de descobertas ativas é mostrado.
Para acessar a página Vulnerabilidades no Security Command Center, faça o seguinte:
Padrão
No console Google Cloud , acesse a página Vulnerabilidades.
Premium
No console do Google Cloud , acesse a página Visão geral de risco.
Na página Visão geral de risco, clique em Vulnerabilidades.
No painel Vulnerabilidades, clique em Acessar a página legada.
Enterprise
No console do Google Cloud , acesse a página Visão geral de risco.
Na página Visão geral de risco, clique em Vulnerabilidades.
No painel Vulnerabilidades, clique em Acessar a página legada.
Serviços de detecção de vulnerabilidades
A página Vulnerabilidades lista detectores para os seguintes serviços de detecção integrados do Security Command Center:
- Notebook Security Scanner (prévia)
- Security Health Analytics
- Avaliação de vulnerabilidade para Amazon Web Services (AWS)
- Web Security Scanner
Outros serviços Google Cloud integrados ao Security Command Center também detectam vulnerabilidades de software e configurações incorretas. As descobertas de uma seleção desses serviços também são mostradas na página Vulnerabilidades. Para mais informações sobre os serviços que produzem descobertas de vulnerabilidade no Security Command Center, consulte Serviços de detecção.
Informações sobre as categorias do detector de vulnerabilidades
Para cada detector de vulnerabilidade de software ou configuração incorreta, a página Vulnerabilidades mostra as seguintes informações:
- Status: um ícone indica se o detector está ativo e se foi encontrada uma descoberta que precise ser encontrada. Quando você segura o ponteiro sobre o ícone de status, uma dica exibe a data e a hora em que o detector encontrou o resultado ou as informações sobre como validar a recomendação.
- Última verificação: a data e a hora da última verificação para o detector.
- Categoria: a categoria ou o tipo de vulnerabilidade. Para conferir uma lista das categorias detectadas por cada serviço do Security Command Center, consulte o seguinte:
Recomendação: um resumo de como corrigir a descoberta. Para ver mais informações, consulte os seguintes tópicos:
Ativo: o número total de descobertas na categoria.
Padrões: o comparativo de mercado de conformidade ao qual a categoria de descoberta se aplica, se houver. Para mais informações sobre comparativos de mercado, consulte Descobertas de vulnerabilidades.
Como filtrar descobertas de vulnerabilidades
Uma organização de grande porte pode ter muitas descobertas de vulnerabilidades em toda a implantação para análise, triagem e rastreamento. Ao usar os filtros disponíveis nas páginas Vulnerabilidades e Descobertas do Security Command Center no console Google Cloud , você pode se concentrar nas vulnerabilidades mais graves da organização e analisá-las por tipo de recurso, projeto e muito mais.
Para mais informações sobre como filtrar descobertas de vulnerabilidade, consulte Filtrar descobertas de vulnerabilidade no Security Command Center.
O Security Command Center Enterprise se vincula ao console do Security Operations
O nível Enterprise do Security Command Center inclui recursos disponíveis nas páginas do console Google Cloud e do console do Security Operations.
Faça login no console Google Cloud e navegue até as páginas do console de operações de segurança na navegação do console Google Cloud . Esta seção descreve as tarefas que podem ser realizadas em cada página e os links de navegação que abrem as páginas do console do Security Operations.
Google Cloud páginas do console
As páginas do console do Google Cloud permitem realizar tarefas como as seguintes:
- Ative o Security Command Center.
- Configure as permissões do Identity and Access Management (IAM) para todos os usuários do Security Command Center.
- Conecte-se a outros ambientes de nuvem para coletar dados de recursos e configurações.
- Trabalhar com descobertas e exportá-las.
- Avalie os riscos com pontuações de exposição a ataques.
- Trabalhe com problemas, os riscos de segurança mais importantes que o Security Command Center Enterprise encontrou nos seus ambientes de nuvem.
- Identifique dados de alta sensibilidade com a proteção de dados sensíveis.
- Investigue e corrija descobertas individuais.
- Configure o Security Health Analytics, o Web Security Scanner e outros Google Cloud serviços integrados.
- Gerenciar posturas de segurança.
- Configurar controles e frameworks de nuvem.
- Gerenciar uma postura de segurança de dados.
- Avalie e informe sua conformidade com padrões ou comparativos de mercado de segurança comuns.
- Ver e pesquisar seus recursos Google Cloud .
A imagem a seguir mostra o conteúdo do Security Command Center no console doGoogle Cloud .
Páginas do console de operações de segurança
Na página do console do Security Operations, é possível realizar tarefas como:
- Conecte-se a outros ambientes de nuvem para coletar dados de registro e fazer detecções selecionadas no gerenciamento de eventos e informações de segurança (SIEM).
- Configure as definições de orquestração, automação e resposta de segurança (SOAR).
- Configure usuários e grupos para gerenciamento de incidentes e casos.
- Trabalhar com casos, o que inclui agrupar descobertas, atribuir tíquetes e trabalhar com alertas.
- Use uma sequência automatizada de etapas conhecida como playbooks para corrigir problemas.
- Use a mesa de trabalho para gerenciar ações e tarefas pendentes de casos abertos e playbooks.
A imagem a seguir mostra o console do Security Operations.
As páginas do console do Security Operations têm um URL semelhante ao seguinte padrão.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
Em que CUSTOMER_SUBDOMAIN é seu identificador específico do cliente.
Alertas e IOCs
Nesta página do console do Security Operations, você pode ver os alertas criados por detecções selecionadas e regras personalizadas. Para informações sobre como investigar alertas, consulte o seguinte na documentação do Google Security Operations:
- Investigar um alerta da GCTI gerado por detecções selecionadas.
- Investigar um alerta.
Casos
No console do Security Operations, você usa casos para obter detalhes sobre descobertas, anexar playbooks a alertas de descoberta, aplicar respostas automáticas a ameaças e acompanhar a correção de problemas de segurança.
Para mais informações, consulte Visão geral de casos na documentação do Google Security Operations.
Playbooks
Nesta página do console do Security Operations, você gerencia os playbooks incluídos no caso de uso SCC Enterprise: orquestração e correção na nuvem.
Para informações sobre as integrações disponíveis neste caso de uso, consulte Níveis de serviço do Security Command Center.
Para informações sobre os playbooks disponíveis, consulte Atualizar o caso de uso empresarial.
Para informações sobre como usar a página Playbooks do console do Security Operations, consulte O que há na página "Playbooks"? na documentação do Google Security Operations.
Regras e detecções
Nesta página do console do Security Operations, é possível ativar detecções selecionadas e criar regras personalizadas para identificar padrões nos dados coletados usando os mecanismos de coleta de dados de registros do console do Security Operations. Para informações sobre as detecções selecionadas disponíveis no Security Command Center Enterprise, consulte Investigar ameaças com detecções selecionadas.
Painéis do SIEM
Nesta página do console das Operações de segurança, é possível conferir painéis do SIEM das Operações de segurança do Google para analisar alertas criados por regras das Operações de segurança do Google e dados coletados usando os recursos de coleta de dados de registro do console das Operações de segurança.
Para mais informações sobre como usar painéis do SIEM, consulte Visão geral dos painéis na documentação do Google Security Operations.
Pesquisa no SIEM
Nesta página do console do Security Operations, você encontra eventos e alertas do Modelo Unificado de Dados (UDM) na sua instância do Google Security Operations. Para mais informações, consulte Pesquisa do SIEM na documentação do Google Security Operations.
Configurações do SIEM
Nesta página do console do Security Operations, é possível mudar a configuração de recursos relacionados ao SIEM do Google Security Operations. Para informações sobre como usar esses recursos, consulte a documentação do Google Security Operations.
Painéis do SOAR
Nesta página do console do Security Operations, é possível ver e criar painéis usando dados de SOAR que podem ser usados para analisar respostas e casos. Para mais informações sobre como usar os painéis do SOAR, consulte Visão geral do painel do SOAR na documentação do Google Security Operations.
Relatórios do SOAR
Nesta página do console do Security Operations, é possível conferir relatórios com base nos dados do SOAR. Para mais informações sobre como usar relatórios do SOAR, consulte Entender os relatórios do SOAR na documentação do Google Security Operations.
Pesquisa no SOAR
Nessa página do console do Security Operations, é possível encontrar casos ou entidades específicos indexados pelo SOAR do Google Security Operations. Para mais informações, consulte Trabalhar com a página "Pesquisar" no SOAR na documentação do Google Security Operations.
Configurações do SOAR
Nesta página do console do Security Operations, é possível mudar a configuração dos recursos relacionados ao SOAR do Google Security Operations. Para informações sobre como usar esses recursos, consulte a documentação do Google Security Operations.
A seguir
- Saiba mais sobre os serviços de detecção.
- Saiba como usar marcações de segurança.
- Saiba como configurar os serviços do Security Command Center.