Security Command Center e Google SecOps para o serviço de backup e DR

Este guia descreve a integração entre o Security Command Center, as operações de segurança do Google (Google SecOps) e o serviço de backup e DR. Essa integração ativa alertas para ações de alto risco que ocorrem no serviço de backup e DR e são exibidas no Security Command Center e no Google SecOps.

Com o Security Command Center e o Google SecOps para o serviço de backup e DR, é possível:

  • Receber alertas instantâneos sobre ações de alto risco, como a remoção da proteção de uma carga de trabalho
  • Investigar ameaças e identificar os recursos de backup afetados
  • Agrupar ameaças de backup em casos para correção rápida e sistemática

O Security Command Center processa registros e eventos de Google Cloud para identificar possíveis riscos de segurança. O Google SecOps, incluído como parte do Security Command Center Enterprise, é uma ferramenta de SIEM (gerenciamento de eventos e informações de segurança) e SOAR (orquestração, automação e resposta de segurança) que agrega e correlaciona ameaças de forma inteligente em várias fontes. O Google SecOps também permite o gerenciamento de casos e a correção de ameaças.

Antes de começar

Ative o Security Command Center Premium, se ainda não tiver feito isso. Isso pode ser feito usando o console Google Cloud . Para o Security Command Center Enterprise, entre em contato com a Google Cloud equipe de contas.

Como gerar uma descoberta

As ações de alto risco realizadas por um usuário no serviço de backup e DR são monitoradas usando a detecção de ameaças a eventos, que faz parte do Security Command Center Premium e do Security Command Center Enterprise. Essas ações são monitoradas em tempo real, correlacionadas com outros eventos de risco no Google Cloude exibidas como encontrados (Security Command Center), alertas (Google SecOps) e casos (Google SecOps) selecionados automaticamente.

Essas ações incluem:

  • Como excluir um backup
  • Como excluir um plano de backup
  • Como remover a proteção de backup de uma carga de trabalho
  • Remover a infraestrutura de backup que pode afetar a recuperação

Confira uma lista completa de detecções na documentação do Security Command Center.

Descobertas em tempo real no Security Command Center

Quando uma ação é considerada um risco de segurança pelo Security Command Center, uma descoberta é gerada. Um administrador de segurança pode analisar melhor os recursos afetados e seguir as próximas etapas recomendadas. As descobertas incluem detalhes sobre os recursos afetados, quando o evento de segurança ocorreu e quais ações tomar para remediar uma ameaça.

O Security Command Center oferece ferramentas de investigação integradas para os clientes. Os links para o Cloud Logging, o indicador MITRE e os recursos afetados permitem a remediação rápida.

  • A integração do Cloud Logging permite que você clique em uma consulta detalhada do Cloud Logging.
  • A integração com o Cloud Monitoring permite a criação de alertas adicionais em eventos semelhantes.
  • As classificações do MITRE indicam o tipo de ataque indicado por uma descoberta, conforme mostrado neste exemplo.

Gerenciamento e correção de casos no Google SecOps

O Google SecOps tem detecções selecionadas que mostram eventos de alto risco como alertas. Entre essas detecções selecionadas, há possíveis ameaças a backups e recursos de backup. As detecções selecionadas não exigem configuração adicional. Os alertas também são agregados em casos para triagem e correção.

A detecção de ameaças para o serviço de backup e DR está disponível para todos os clientes do Security Command Center Premium e do Security Command Center Enterprise. O Google SecOps para Backup e DR está disponível exclusivamente para clientes do Security Command Center Enterprise.