שימוש ב-Security Command Center במסוף Google Cloud

בדף הזה מובאת סקירה כללית של Security Command Center במסוף Google Cloud , תיאור של הניווט וסקירה כללית של הדפים ברמה העליונה.

אם לא הגדרתם את Security Command Center, תוכלו לקרוא את אחד מהמאמרים הבאים כדי להבין איך להפעיל אותו:

סקירה כללית של Security Command Center

אם הפעלתם לאחרונה את Security Command Center, יכול להיות שיעבור זמן עד שהנתונים יופיעו. מידע על תדירות הסריקה של שירותי Security Command Center זמין במאמר מתי אפשר לצפות לתוצאות ב-Security Command Center.

הרשאות IAM נדרשות

כדי להשתמש ב-Security Command Center בכל רמות השירות, אתם צריכים תפקיד בניהול הזהויות והרשאות הגישה (IAM) שכולל את ההרשאות המתאימות:

Standard-legacy

  • צפייה ב-Security Center Admin (roles/securitycenter.adminViewer) מאפשרת לכם לצפות ב-Security Command Center.
  • מנהל מערכת בעל הרשאת עריכה להגדרות מרכז האבטחה (roles/securitycenter.adminEditor) מאפשר לכם להציג את Security Command Center ולבצע שינויים.

רגילה

צריך להיות לכם אחד מהפריטים הבאים:

  • אדמין ב-Security Center (roles/securitycenter.admin)
  • עריכה של אדמין ב-Security Center (roles/securitycenter.adminEditor)
  • צפייה במרכז האבטחה (roles/securitycenter.adminViewer)

פרימיום

  • צפייה ב-Security Center Admin (roles/securitycenter.adminViewer) מאפשרת לכם לצפות ב-Security Command Center.
  • מנהל מערכת בעל הרשאת עריכה להגדרות מרכז האבטחה (roles/securitycenter.adminEditor) מאפשר לכם להציג את Security Command Center ולבצע שינויים.

Enterprise

  • צפייה ב-Security Center Admin (roles/securitycenter.adminViewer) מאפשרת לכם לצפות ב-Security Command Center.
  • עורך של Security Center Admin (roles/securitycenter.adminEditor) מאפשר לכם להציג את Security Command Center ולבצע בו שינויים.
  • Chronicle Service Viewer (roles/chroniclesm.viewer) מאפשר לכם לצפות במופע המשויך של Google SecOps.

בנוסף, דרוש לכם אחד מהתפקידים הבאים ב-IAM:

  • אדמין ב-Chronicle SOAR (roles/chronicle.soarAdmin)
  • Chronicle SOAR Threat Manager (roles/chronicle.soarThreatManager)
  • Chronicle SOAR Vulnerability Manager (roles/chronicle.soarVulnerabilityManager)

כדי להפעיל גישה לתכונות שקשורות ל-SOAR, צריך גם למפות את התפקידים האלה בניהול זהויות והרשאות גישה (IAM) לתפקיד SOC, לקבוצת הרשאות ולסביבה בדף הגדרות > הגדרות SOAR. מידע נוסף זמין במאמר מיפוי משתמשים והענקת הרשאות באמצעות IAM.

אם המדיניות של הארגון מוגדרת להגבלת זהויות לפי דומיין, צריך להיכנס ל Google Cloud מסוף באמצעות חשבון שנמצא בדומיין מותר.

אפשר להעניק את תפקידי ה-IAM של Security Command Center ברמת הארגון, התיקייה או הפרויקט. היכולת שלכם להציג, לערוך, ליצור או לעדכן ממצאים, נכסים ומקורות אבטחה תלויה ברמת הגישה שניתנה לכם. מידע נוסף על תפקידים ב-Security Command Center זמין במאמר בקרת גישה.

גישה ל-Security Command Center

כדי לגשת ל-Security Command Center במסוף Google Cloud :

  1. עוברים אל Security Command Center:

    מעבר אל Security Command Center

    אם התכונה 'שמירת נתונים במיקום גיאוגרפי' מופעלת והארגון שלכם משתמש במסוף Google Cloud האזורי, אפשר לעיין במאמר מידע על מסוף Google Cloud אזורי.

  2. בוחרים את הפרויקט או הארגון שרוצים להציג.

    אם Security Command Center פעיל בארגון או בפרויקט שבחרתם, יופיע הדף סקירת סיכונים.

    אם Security Command Center לא פעיל, תוצג לכם הזמנה להפעיל אותו. מידע נוסף על הפעלת Security Command Center זמין באחד מהמאמרים הבאים:

ניווט ב-Security Command Center

בהמשך מוסבר על הניווט ב-Security Command Center. הניווט משתנה בהתאם לרמת השירות של Security Command Center. הפעולות שאתם יכולים לבצע תלויות גם בשירותים שמופעלים ובהרשאות IAM שניתנו לכם.

לוחצים על קישור כדי לקבל הסבר על הדף.

Standard-legacy

בהמשך מוסבר על הניווט ב-Security Command Center Standard – רמת שירות מדור קודם.

רגילה

בקטעים הבאים מתואר הניווט ב-Security Command Center Standard.

פרימיום

בקטעים הבאים מתואר הניווט ב-Security Command Center Premium.

Enterprise

בסרגל הניווט הימני של Security Command Center Enterprise, הקישור Cases מוביל לדפים בדייר Google Security Operations שהוגדר במהלך ההפעלה של Security Command Center Enterprise.

מידע על התכונות שזמינות ב-Google Security Operations מופיע במאמר קישורים מ-Security Command Center Enterprise למסוף Security Operations.

סקירה כללית של הסיכון

הדף סקירת סיכונים הוא לוח הבקרה הראשון שלכם בנושא אבטחה. הוא מציג סיכונים בעדיפות גבוהה בסביבות הענן שזוהו על ידי כל השירותים המובנים והמשולבים.

התצוגות בדף סקירת הסיכונים משתנות בהתאם לרמת השירות.

Standard-legacy

כדי לקבל מידע נוסף על כל תצוגת חקירה, בוחרים באחת מהתצוגות הבאות:

  • All risk: shows misconfiguration findings.
  • נקודות חולשה: מציג נקודות חולשה ומידע קשור על CVE.
  • זהות: סיכום של הממצאים בנושא זהות וגישה לפי קטגוריה.
  • איומים: מוצגת לכם הנחיה לשדרג לרמת השירות Premium.

רגילה

כדי לקבל מידע נוסף על כל תצוגת חקירה, בוחרים באחת מהתצוגות הבאות:

  • All risk: shows misconfiguration findings.
  • נקודות חולשה: מציג נקודות חולשה ומידע קשור על CVE.
  • זהות: סיכום של הממצאים בנושא זהות וגישה לפי קטגוריה.
  • נתונים: הצגת מידע על מצב אבטחת הנתונים.
  • איומים: מוצגת לכם הנחיה לשדרג לרמת השירות Premium.

פרימיום

כדי לקבל מידע נוסף על כל תצוגת חקירה, בוחרים באחת מהתצוגות הבאות:

  • כל הסיכונים: מוצגים כל הנתונים.
  • נקודות חולשה: מציג נקודות חולשה ומידע קשור על CVE.
  • זהות: סיכום של הממצאים בנושא זהות וגישה לפי קטגוריה.
  • נתונים: הצגת מידע על מצב אבטחת הנתונים.
  • AI Security: מציג ממצאים שקשורים ל-AI ונתונים על מצב האבטחה.
  • איומים: תוצאות שקשורות לאיומים.

Enterprise

כדי לקבל מידע נוסף על כל תצוגת חקירה, בוחרים באחת מהתצוגות הבאות:

  • כל הסיכונים: מוצגים כל הנתונים.
  • נקודות חולשה: מציג נקודות חולשה ומידע קשור על CVE.
  • זהות: סיכום של הממצאים בנושא זהות וגישה לפי קטגוריה.
  • נתונים: הצגת מידע על מצב אבטחת הנתונים.
  • AI Security: מציג ממצאים שקשורים ל-AI ונתונים על מצב האבטחה.
  • איומים: תוצאות שקשורות לאיומים.

נכסים

בדף נכסים מוצגים כל המשאבים שלכם ב- Google Cloud, שנקראים גם נכסים, בפרויקט או בארגון.

מידע נוסף על עבודה עם נכסים בדף נכסים זמין במאמר עבודה עם משאבים במסוף.

תאימות

כברירת מחדל, כשמפעילים את Security Command Center, מפעילים גם את Compliance Manager. בדף תאימות מופיעות הכרטיסיות הבאות: הגדרה (חדש), מעקב (חדש) וביקורת (חדש). בכרטיסיות האלה אפשר ליצור ולהחיל מסגרות ובקרות בענן, לנטר את הסביבה ולהשלים ביקורות.

אם הפעלתם את Security Command Center לפני שהשקנו את Compliance Manager, ולא הפעלתם את Compliance Manager, בדף Compliance תופיע רק הכרטיסייה Monitor. בכרטיסייה הזו מוצגים כל מדדי ההשוואה בענף ש-Security Command Center תומך בהם באמצעות Security Health Analytics, ואחוז אמצעי הבקרה שעומדים בדרישות מדדי ההשוואה. מידע נוסף על האופן שבו Security Command Center תומך בניהול התאימות אם Compliance Manager לא מופעל זמין במאמר הערכת תאימות ללא Compliance Manager.

ממצאים

בדף ממצאים אפשר לבצע שאילתות, לבדוק, להשתיק ולסמן ממצאים של Security Command Center – הרשומות שנוצרות על ידי השירותים של Security Command Center כשהם מזהים בעיית אבטחה בסביבה שלכם. מידע נוסף על עבודה עם ממצאים בדף ממצאים זמין במאמר בדיקה וניהול של ממצאים.

חיפוש גרפים

Security Graph ב-Security Command Center הוא מסד נתונים שמבין וממפה את הקשרים בין משאבי הענן, ההגדרות שלהם וסיכוני האבטחה שקשורים אליהם. הסיכונים האלה כוללים פגיעויות, הרשאות גישה, רגישות נתונים וחשיפה לרשת. התרשים הזה מציג תצוגה מקיפה של נכסי הענן והתלות ההדדית ביניהם.

בדף Graph Search, אפשר להריץ שאילתות ב-Security Graph כדי לזהות ולנטר באופן יזום נקודות חולשה פוטנציאליות באבטחה בסביבה שלכם.

בעיות

בעיות הן סיכוני האבטחה החשובים ביותר ש-Security Command Center מוצא בסביבות הענן שלכם, והן מאפשרות לכם להגיב במהירות לנקודות חולשה ולאיומים. ‫Security Command Center מגלה בעיות באמצעות צוות אדום וירטואלי וזיהויים מבוססי-כללים. מידע על בדיקת בעיות מופיע במאמר סקירה כללית על בעיות.

ניהול מצב האבטחה

בדף Posture אפשר לראות פרטים על תנוחות האבטחה שיצרתם בארגון, ולהחיל את התנוחות על ארגון, תיקייה או פרויקט. אפשר גם לראות את תבניות התנוחה המוגדרות מראש שזמינות.

הגדרות

פותחים את הדף הגדרות מהקישור הגדרות בחלונית הניווט. בדף הגדרות אפשר להגדיר את Security Command Center, כולל ההגדרות הבאות:

מדריך להגדרת סעיפים חוזיים סטנדרטיים (SCC)

בדף מדריך ההגדרה אפשר להפעיל את Security Command Center Enterprise ולהגדיר שירותים נוספים. מידע נוסף זמין במאמר בנושא הפעלת מהדורת Enterprise של Security Command Center.

מקורות

הדף מקורות מכיל כרטיסים עם סיכום של נכסים וממצאים ממקורות האבטחה שהפעלתם. בכרטיס של כל מקור אבטחה מוצגים חלק מהממצאים של המקור הזה. אפשר ללחוץ על שם קטגוריית הממצאים כדי לראות את כל הממצאים בקטגוריה הזו.

ממצאים לפי מקור

בכרטיס ממצאים לפי מקור מוצג מספר הממצאים בכל קטגוריה, לפי המקורות שהפעלתם.

  • כדי לראות פרטים על הממצאים ממקור ספציפי, לוחצים על שם המקור.
  • כדי לראות פרטים על כל הממצאים, לוחצים על הדף ממצאים, שבו אפשר לקבץ ממצאים או לראות פרטים על ממצא ספציפי.

סיכומי מקורות

מתחת לכרטיס ממצאים לפי מקור, מופיעים כרטיסים נפרדים לכל מקור מובנה, משולב או של צד שלישי שהפעלתם. בכל כרטיס מופיע מספר הממצאים הפעילים של אותו מקור.

איומים

איומים הם אירועים שעלולים להזיק למשאבי הענן שלכם. ב-Security Command Center מוצגים איומים בתצוגות שונות, בהתאם לרמת השירות.

רגיל ורגיל (גרסה קודמת)

הדף Threats לא נתמך ב-Security Command Center Standard וב-Standard-legacy. אפשר לראות את הממצאים לגבי האיומים בדף Findings.

פרימיום

ב-Security Command Center Premium, הקישור Threats בתפריט הניווט פותח את Risk Overview > Threats dashboard.

Enterprise

ב-Security Command Center Enterprise, אפשר לראות את האיומים בסקירת הסיכונים > לוח הבקרה של האיומים.

הדף 'נקודות חולשה' מדור קודם

בדף Vulnerabilities (נקודות חולשה) בגרסה הקודמת מופיעים כל הממצאים לגבי טעויות בהגדרות ונקודות חולשה בתוכנה, ששירותי הזיהוי המובנים של Security Command Center מריצים בסביבות הענן שלכם. לכל גלאי שמופיע ברשימה מוצג מספר הממצאים הפעילים.

כדי להציג את הדף Vulnerabilities ב-Security Command Center:

  1. במסוף Google Cloud , נכנסים לדף Risk overview.

    לסקירה הכללית של הסיכונים

  2. בדף Risk Overview (סקירת סיכונים), לוחצים על Vulnerabilities (נקודות חולשה).

  3. במרכז הבקרה Vulnerabilities (נקודות חולשה), לוחצים על Go to legacy page (מעבר לדף הקודם).

שירותים לזיהוי נקודות חולשה

בדף Vulnerabilities (נקודות חולשה) מפורטים גלאים לשירותי הזיהוי המובנים הבאים של Security Command Center:

שירותים אחרים Google Cloud שמשולבים ב-Security Command Center גם מזהים נקודות חולשה בתוכנה והגדרות שגויות. הממצאים מתוך מבחר של השירותים האלה מוצגים גם בדף Vulnerabilities (נקודות חולשה). מידע נוסף על השירותים שמפיקים ממצאי פגיעות ב-Security Command Center זמין במאמר שירותי זיהוי.

מידע על קטגוריות של כלי לזיהוי נקודות חולשה

לכל גלאי של טעויות בהגדרות או של נקודות חולשה בתוכנה, בדף Vulnerabilities (נקודות חולשה) מוצגים הפרטים הבאים:

סינון ממצאים של נקודות חולשה

בארגון גדול יכולות להיות הרבה נקודות חולשה בפריסה שלו שצריך לבדוק, לתעדף ולעקוב אחריהן. באמצעות המסננים שזמינים בדפים Vulnerabilities (נקודות חולשה) ו-Findings (ממצאים) ב Google Cloud מסוף Security Command Center, אתם יכולים להתמקד בנקודות החולשה ברמת החומרה הגבוהה ביותר בארגון, ולבדוק נקודות חולשה לפי סוג הנכס, הפרויקט ועוד.

מידע נוסף על סינון ממצאים של נקודות חולשה זמין במאמר סינון ממצאים של נקודות חולשה ב-Security Command Center.

קישורים למסוף Security Operations

רמת השירות Enterprise של Security Command Center כוללת תכונות שזמינות גם בדפי המסוף וגם בדפי המסוף של Security Operations. Google Cloud

נכנסים למסוף Google Cloud ועוברים לדפים של מסוף Security Operations דרך הניווט במסוף Google Cloud . בקטע הזה מתוארות המשימות שאפשר לבצע בכל דף וקישורי הניווט שפותחים דפים במסוף Security Operations.

מידע על התכונות של Google Security Operations שזמינות ברמת Enterprise של Security Command Center מופיע במאמר תכונות של Google SecOps ב-Security Command Center Enterprise.

Google Cloud דפים במסוף

בדפי המסוף Google Cloud אפשר לבצע משימות כמו:

  • הפעלת Security Command Center.
  • הגדרת הרשאות לניהול זהויות והרשאות גישה (IAM) לכל המשתמשים ב-Security Command Center.
  • מתחברים לסביבות ענן אחרות כדי לאסוף נתונים של משאבים ונתוני תצורה.
  • עבודה עם ממצאים וייצוא שלהם.
  • הערכת סיכונים באמצעות ציוני חשיפה למתקפות.
  • טיפול בבעיות, שהן סיכוני האבטחה הכי חשובים שנמצאו בסביבות הענן שלכם ב-Security Command Center Enterprise.
  • זיהוי נתונים ברמת רגישות גבוהה באמצעות Sensitive Data Protection.
  • בודקים ומטפלים בממצאים ספציפיים.
  • הגדרת Security Health Analytics,‏ Web Security Scanner ושירותים משולבים אחרים. Google Cloud
  • ניהול מצבי אבטחה.
  • הגדרת אמצעי בקרה ומסגרות בענן.
  • ניהול מצב אבטחת מידע.
  • הערכה של התאימות שלכם לתקני אבטחה נפוצים או למדדים, ודיווח עליה.
  • צפייה בנכסים וחיפוש שלהם Google Cloud .

דפים במסוף Security Operations

בדף של מסוף פעולות האבטחה אפשר לבצע משימות כמו:

  • להתחבר לסביבות ענן אחרות כדי לאסוף נתוני יומן לצורך זיהויים שנבחרו בקפידה בניהול אבטחת מידע ואירועים (SIEM).
  • הגדרת תזמור, אוטומציה ותגובה (SOAR) בנושאי אבטחה.
  • הגדרת משתמשים וקבוצות לניהול אירועים ותיקים.
  • עבודה עם כרטיסי תמיכה, כולל קיבוץ ממצאים, הקצאת כרטיסים ועבודה עם התראות.
  • משתמשים ברצף אוטומטי של שלבים שנקראים playbooks כדי לפתור בעיות.
  • אפשר להשתמש ב-Workdesk כדי לנהל פעולות ומשימות שממתינות לכם מבקשות פתוחות ומספרי הדרכה.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

כאשר CUSTOMER_SUBDOMAIN הוא המזהה הספציפי ללקוח.

בקשות תמיכה

במסוף Security Operations, אתם יכולים להשתמש בתרחישי שימוש כדי לקבל פרטים על ממצאים, לצרף תוכניות פעולה להתרעות על ממצאים, להחיל תגובות אוטומטיות לאיומים ולעקוב אחרי הטיפול בבעיות אבטחה.

מידע נוסף זמין במאמר סקירה כללית על תיקים במאמרי העזרה של Google Security Operations.

המאמרים הבאים