Best practice di Security Command Center

Questa pagina fornisce consigli per gestire i servizi e le funzionalità di Security Command Center per aiutarti a ottenere il massimo dal prodotto.

Security Command Center è una potente piattaforma per il monitoraggio dei rischi per la sicurezza e i dati all'interno dell'organizzazione o dei singoli progetti. Security Command Center è progettato per offrire la massima protezione con una configurazione minima. Tuttavia, puoi seguire alcuni passaggi per adattare la piattaforma al tuo flusso di lavoro e assicurarti che le tue risorse siano protette.

Attiva il livello Premium o Enterprise

I livelli Premium ed Enterprise di Security Command Center offrono la massima protezione tramite un ampio insieme di funzionalità di sicurezza e operazioni di sicurezza del cloud, tra cui rilevamento delle minacce, rilevamento delle vulnerabilità del software, valutazioni della conformità, funzionalità di operazioni di sicurezza e molto altro. Il livello Standard offre solo servizi e funzionalità limitati.

Per ulteriori informazioni su tutte le funzionalità di Security Command Center, consulta la panoramica di Security Command Center.

Per informazioni sulle funzionalità incluse in ogni livello, consulta le seguenti informazioni:

Utilizzare le attivazioni a livello di progetto del livello Premium

Puoi attivare autonomamente il livello Premium per le organizzazioni o i singoli progetti nella console Google Cloud.

Con le attivazioni a livello di progetto, alcune funzionalità che richiedono accesso a livello di organizzazione non sono disponibili, indipendentemente dal livello. Per ulteriori informazioni, consulta Disponibilità delle funzionalità con le attivazioni a livello di progetto.

Le attivazioni del livello Premium vengono fatturate in base al consumo delle risorse, a meno che non acquisti un abbonamento a livello di organizzazione. Per ulteriori informazioni, consulta la sezione Prezzi.

Per ulteriori informazioni sull'attivazione di uno dei livelli di Security Command Center, consulta Panoramica dell'attivazione di Security Command Center.

Attivare tutti i servizi integrati

Ti consigliamo di attivare tutti i servizi integrati, in base alle best practice consigliate per i singoli servizi.

Se Security Command Center è già attivo, puoi verificare quali servizi sono abilitati nella pagina Impostazioni.

Puoi disattivare qualsiasi servizio, ma è meglio mantenere attivi tutti i servizi nel tuo livello. Mantenendo attivi tutti i servizi, puoi usufruire di aggiornamenti continui e contribuire a garantire che vengano fornite protezioni per le risorse nuove e modificate.

Prima di attivare Web Security Scanner in produzione, consulta le best practice di Web Security Scanner.

Inoltre, ti consigliamo di attivare i servizi integrati (Rilevamento di anomalie, Protezione dei dati sensibili e Google Cloud Armor), di esplorare i servizi di sicurezza di terze parti e di attivare Cloud Logging per il rilevamento di minacce agli eventi e il rilevamento di minacce ai contenitori. A seconda della quantità di informazioni, i costi di Sensitive Data Protection e Google Cloud Armor possono essere significativi. Segui le best practice per tenere sotto controllo i costi della protezione dei dati sensibili e leggi la guida ai prezzi di Google Cloud Armor.

Attivare i log per Event Threat Detection

Se utilizzi Event Threat Detection, potresti dover attivare determinati log esaminati da Event Threat Detection. Sebbene alcuni log siano sempre attivi, ad esempio gli audit log Attività di amministrazione di Cloud Logging, altri log, come la maggior parte degli audit log di accesso ai dati, sono disattivati per impostazione predefinita e devono essere attivati prima che il rilevamento delle minacce da eventi possa scansionarli.

Ecco alcuni dei log che ti consigliamo di attivare:

  • Audit log di accesso ai dati di Cloud Logging
  • Log di Google Workspace (solo attivazioni a livello di organizzazione)

I log da attivare dipendono da:

  • I servizi Google Cloud che utilizzi
  • Le esigenze di sicurezza della tua attività

Per il logging potrebbero essere addebitati costi per l'importazione e l'archiviazione di alcuni log. Prima di attivare i log, consulta Prezzi dei log.

Dopo aver attivato un log, Event Threat Detection inizia a scansionarlo automaticamente.

Per informazioni più dettagliate sui moduli di rilevamento che richiedono determinati log e su quali attivare, consulta Log da attivare.

Definire l'insieme di risorse di alto valore

Per aiutarti a dare la priorità ai risultati relativi a vulnerabilità e errori di configurazione che espongono le risorse più importanti da proteggere, specifica quali risorse di alto valore appartengono al tuo set di risorse di alto valore.

I risultati che espongono le risorse nel set di risorse di alto valore ricevono punteggi di esposizione agli attacchi più elevati.

Specifica le risorse che appartengono al tuo insieme di risorse di alto valore creando configurazioni dei valori delle risorse. Fino a quando non crei la tua prima configurazione del valore della risorsa, Security Command Center utilizza un insieme di risorse predefinite di alto valore che non è personalizzato in base alle tue priorità di sicurezza.

Utilizzare Security Command Center nella console Google Cloud

Nella console Google Cloud, Security Command Center fornisce funzionalità ed elementi visivi non ancora disponibili nell'API Security Command Center. Le funzionalità, tra cui un'interfaccia intuitiva, grafici formattati, report sulla conformità e gerarchie visive delle risorse, ti offrono una maggiore conoscenza della tua organizzazione. Per ulteriori informazioni, consulta Utilizzare Security Command Center nella console Google Cloud.

Espandere le funzionalità con l'API e gcloud

Se hai bisogno di accesso programmatico, prova le librerie client di Security Command Center e l'API Security Command Center, che ti consentono di accedere e controllare il tuo ambiente Security Command Center. Puoi utilizzare Explorer API, etichettato "Prova questa API", nei riquadri delle pagine di riferimento dell'API per esplorare in modo interattivo l'API Security Command Center senza una chiave API. Puoi controllare metodi e parametri disponibili, eseguire richieste e visualizzare le risposte in tempo reale.

L'API Security Command Center consente ad analisti e amministratori di gestire le risorse e i risultati. Gli ingegneri possono utilizzare l'API per creare soluzioni di monitoraggio e generazione di report personalizzati.

Espandere la funzionalità con moduli di rilevamento personalizzati

Se hai bisogno di rilevatori che soddisfino le esigenze specifiche della tua organizzazione, valuta la possibilità di creare moduli personalizzati:

Esaminare e gestire le risorse

Security Command Center mostra tutti gli asset nella pagina Asset della console Google Cloud, dove puoi eseguire query sugli asset e visualizzarne le informazioni, inclusi i risultati correlati, la cronologia delle modifiche, i metadati e i criteri IAM.

Le informazioni sulle risorse nella pagina Risorse vengono lette da Cloud Asset Inventory. Per ricevere notifiche in tempo reale sulle modifiche alle risorse e ai criteri, crea e iscriviti a un feed.

Per ulteriori informazioni, consulta la pagina Asset.

Rispondere rapidamente a vulnerabilità e minacce

I risultati di Security Command Center forniscono record dei problemi di sicurezza rilevati che includono dettagli dettagliati sulle risorse interessate e istruzioni dettagliate suggerite per indagare e correggere vulnerabilità e minacce.

I risultati relativi alle vulnerabilità descrivono la vulnerabilità o la configurazione errata rilevata, calcolano un punteggio di esposizione agli attacchi e una gravità stimata. I risultati relativi alle vulnerabilità ti avvisano anche delle violazioni di standard o benchmark di sicurezza. Per ulteriori informazioni, consulta la pagina Benchmark supportati.

Con Security Command Center Premium, i risultati relativi alle vulnerabilità includono anche informazioni di Mandiant sulla sfruttabilità e sull'impatto potenziale della vulnerabilità in base al record CVE corrispondente. Puoi utilizzare queste informazioni per stabilire la priorità della correzione della vulnerabilità. Per ulteriori informazioni, consulta Assegnare la priorità in base all'impatto e alla sfruttabilità delle CVE.

I risultati relativi alle minacce includono i dati del framework MITRE ATT&CK, che spiega le tecniche per gli attacchi alle risorse cloud e fornisce indicazioni per la correzione, nonché VirusTotal, un servizio di proprietà di Alphabet che fornisce contesto su file, URL, domini e indirizzi IP potenzialmente dannosi.

Le seguenti guide sono un punto di partenza per aiutarti a risolvere i problemi e proteggere le tue risorse.

Regolare il volume di ricerca

Per controllare il volume dei risultati in Security Command Center, puoi disattivare manualmente o tramite programmazione i singoli risultati oppure creare regole di disattivazione che disattivano automaticamente i risultati in base ai filtri che definisci. Esistono due tipi di regole di disattivazione audio che puoi utilizzare per controllare il volume delle ricerche:

  • Regole di disattivazione statiche che disattivano indefinitamente i risultati futuri.
  • Regole di disattivazione dinamiche che contengono un'opzione per disattivare temporaneamente i risultati attuali e futuri.

Ti consigliamo di utilizzare le regole di disattivazione audio dinamiche esclusivamente per ridurre il numero di risultati da esaminare manualmente. Per evitare confusione, non è consigliabile utilizzare contemporaneamente le regole di disattivazione audio statiche e dinamiche. Per un confronto tra i due tipi di regole, vedi Tipi di regole di disattivazione.

I risultati disattivati vengono nascosti e ignorati, ma continuano a essere registrati ai fini di audit e conformità. Puoi visualizzare i risultati silenziati o riattivarli in qualsiasi momento. Per approfondire, consulta Disattivare i risultati in Security Command Center.

La disattivazione dei risultati con le regole di disattivazione dinamica è l'approccio consigliato e più efficace per controllare il volume dei risultati. In alternativa, puoi utilizzare i contrassegni di sicurezza per aggiungere risorse alle liste consentite.

Ogni rilevatore di Security Health Analytics ha un tipo di indicatore dedicato che consente di escludere le risorse contrassegnate dal criterio di rilevamento. Questa funzionalità è utile se non vuoi che vengano creati risultati per risorse o progetti specifici.

Per scoprire di più sui contrassegni di sicurezza, consulta l'articolo Utilizzare i contrassegni di sicurezza.

Configurare le notifiche

Le notifiche ti avvisano di risultati nuovi e aggiornati quasi in tempo reale e, con le notifiche via email e chat, possono farlo anche quando non hai eseguito l'accesso a Security Command Center. Scopri di più nella sezione Configurare le notifiche sui risultati.

Security Command Center Premium ti consente di creare Esportazioni continue, che semplificano il processo di esportazione dei risultati in Pub/Sub.

Esplorare le funzioni Cloud Run

Le funzioni Cloud Run sono un servizio Google Cloud che ti consente di connettere servizi cloud ed eseguire codice in risposta agli eventi. Puoi utilizzare l'API Notifications e le funzioni Cloud Run per inviare i risultati a sistemi di risoluzione e ticketing di terze parti o intraprendere azioni automatiche, come la chiusura automatica dei risultati.

Per iniziare, visita il repository open source di codice delle funzioni Cloud Run di Security Command Center. Il repository contiene soluzioni che ti aiutano a eseguire azioni automatiche sui risultati di sicurezza.

Mantieni attive le comunicazioni

Security Command Center viene aggiornato regolarmente con nuovi rilevatori e funzionalità. Le note di rilascio ti informano sulle modifiche ai prodotti e sugli aggiornamenti della documentazione. Tuttavia, puoi impostare le tue preferenze di comunicazione nella console Google Cloud per ricevere aggiornamenti sui prodotti e promozioni speciali via email o dispositivo mobile. Puoi anche comunicarci se ti interessa partecipare a sondaggi sugli utenti e programmi pilota.

Se hai commenti o domande, puoi inviare un feedback parlando con il tuo agente di vendita, contattando il nostro personale dell'assistenza Cloud o registrando un bug.

Passaggi successivi