Este guia descreve a integração entre o Security Command Center, as operações de segurança do Google (Google SecOps) e o serviço de backup e DR. Essa integração ativa alertas para ações de alto risco que ocorrem no serviço de backup e DR e são exibidas no Security Command Center e no Google SecOps.
Com o Security Command Center e o Google SecOps para o serviço de backup e DR, é possível:
- Receber alertas instantâneos sobre ações de alto risco, como a remoção da proteção de uma carga de trabalho
- Investigar ameaças e identificar os recursos de backup afetados
- Agrupar ameaças de backup em casos para correção rápida e sistemática
O Security Command Center processa registros e eventos de Google Cloud para identificar possíveis riscos de segurança. O Google SecOps, incluído como parte do Security Command Center Enterprise, é uma ferramenta de SIEM (gerenciamento de eventos e informações de segurança) e SOAR (orquestração, automação e resposta de segurança) que agrega e correlaciona ameaças de forma inteligente em várias fontes. O Google SecOps também permite o gerenciamento de casos e a correção de ameaças.
Antes de começar
Ative o Security Command Center Premium, se ainda não tiver feito isso. Isso pode ser feito usando o console Google Cloud . Para o Security Command Center Enterprise, entre em contato com a Google Cloud equipe de contas.
Como gerar uma descoberta
As ações de alto risco realizadas por um usuário no serviço de backup e DR são monitoradas usando a detecção de ameaças a eventos, que faz parte do Security Command Center Premium e do Security Command Center Enterprise. Essas ações são monitoradas em tempo real, correlacionadas com outros eventos de risco no Google Cloude exibidas como encontrados (Security Command Center), alertas (Google SecOps) e casos (Google SecOps) selecionados automaticamente.
Essas ações incluem:
- Como excluir um backup
- Como excluir um plano de backup
- Como remover a proteção de backup de uma carga de trabalho
- Remover a infraestrutura de backup que pode afetar a recuperação
Confira uma lista completa de detecções na documentação do Security Command Center.
Descobertas em tempo real no Security Command Center
Quando uma ação é considerada um risco de segurança pelo Security Command Center, uma descoberta é gerada. Um administrador de segurança pode analisar melhor os recursos afetados e seguir as próximas etapas recomendadas. As descobertas incluem detalhes sobre os recursos afetados, quando o evento de segurança ocorreu e quais ações tomar para remediar uma ameaça.
O Security Command Center oferece ferramentas de investigação integradas para os clientes. Os links para o Cloud Logging, o indicador MITRE e os recursos afetados permitem a remediação rápida.
- A integração do Cloud Logging permite que você clique em uma consulta detalhada do Cloud Logging.
- A integração com o Cloud Monitoring permite a criação de alertas adicionais em eventos semelhantes.
- As classificações do MITRE indicam o tipo de ataque indicado por uma descoberta, conforme mostrado neste exemplo.
Gerenciamento e correção de casos no Google SecOps
O Google SecOps tem detecções selecionadas que mostram eventos de alto risco como alertas. Entre essas detecções selecionadas, há possíveis ameaças a backups e recursos de backup. As detecções selecionadas não exigem configuração adicional. Os alertas também são agregados em casos para triagem e correção.
A detecção de ameaças para o serviço de backup e DR está disponível para todos os clientes do Security Command Center Premium e do Security Command Center Enterprise. O Google SecOps para Backup e DR está disponível exclusivamente para clientes do Security Command Center Enterprise.