Recursos do Google SecOps no Security Command Center Enterprise

O nível de serviço Security Command Center Enterprise oferece recursos adicionais em comparação com os níveis Standard e Premium, incluindo uma seleção de recursos do Google Security Operations e a capacidade de ingerir dados de outros provedores de nuvem. Esses recursos tornam o Security Command Center uma plataforma de proteção de aplicativos nativos da nuvem (CNAPP, na sigla em inglês).

Os recursos do Google Security Operations no nível Security Command Center Enterprise têm limites diferentes dos planos do Google Security Operations. Esses limites são descritos na tabela a seguir.

Recurso Limites
Inteligência aplicada sobre ameaças Sem acesso
Detecções especializadas Limitado à detecção de ameaças na nuvem no Google Cloud, no Microsoft Azure e na AWS.
Regras personalizadas 20 regras personalizadas de evento único. Não há suporte para regras de vários eventos.
Retenção de dados 3 meses
Gemini para o Google Security Operations Limitado à pesquisa com linguagem natural e aos resumos de investigação de casos
Gerenciamento de eventos e informações de segurança (SIEM) do Google SecOps Apenas dados da nuvem.
Orquestração, automação e resposta de segurança (SOAR) do Google SecOps Somente integrações de resposta na nuvem. Para conferir a lista de integrações compatíveis, consulte Integrações do Google Security Operations compatíveis.

Suporta um ambiente SOAR.
Ingestão de registros

Limitado aos registros compatíveis com a detecção de ameaças na nuvem. Para conferir a lista, consulte Coleta de dados de registros compatível no Google SecOps

Análise de risco Sem acesso

Integrações com o Google Security Operations

As seções a seguir listam as integrações do Google Security Operations Marketplace compatíveis com o Security Command Center Enterprise. Elas estão listadas em colunas separadas na tabela a seguir.

  • Integrações empacotadas e pré-configuradas: estão incluídas no caso de uso SCC Enterprise - Orquestração e correção na nuvem e são pré-configuradas para oferecer suporte a casos de uso da plataforma de proteção de aplicativos nativos da nuvem (CNAPP, na sigla em inglês). Eles ficam disponíveis quando você ativa o Security Command Center Enterprise e atualiza o caso de uso do Enterprise.

    As configurações no caso de uso SCC Enterprise: orquestração e correção na nuvem incluem, por exemplo, playbooks dedicados que usam o Jira e o ServiceNow com tratamento predefinido de casos de resposta. As integrações são pré-configuradas para oferecer suporte a todos os provedores de nuvem compatíveis com o Security Command Center Enterprise.

  • Integrações para download: com o Security Command Center Enterprise, é possível baixar as seguintes integrações e usá-las em um playbook. As versões baixadas do Google Security Operations Marketplace não são configuradas especificamente para o Security Command Center Enterprise e exigem configuração manual adicional.

Cada integração é listada por nome. Para informações sobre uma integração específica, consulte Integrações do Google Security Operations Marketplace.

Tipo de inscrição ou informação

Integrações empacotadas e pré-configuradas

Integrações para download

Google Cloud e integrações do Google Workspace
  • AppSheet
  • Central de alertas do Google
  • Google BigQuery
  • Google Chat
  • Google Chronicle
  • Inventário de recursos do Cloud
  • Google Cloud Compute
  • Google Cloud IAM
  • Google Cloud Policy Intelligence
  • Recomendador do Google Cloud
  • Google Cloud Storage
  • Google Kubernetes Engine
  • Resposta rápida do Google (GRR, na sigla em inglês)
  • Google Security Command Center
  • Google Tradutor
  • GSuite
  • SCCEnterprise
  • AppSheet
  • Central de alertas do Google
  • Google BigQuery
  • Google Chat
  • Google Chronicle
  • Inventário de recursos do Cloud
  • Google Cloud Compute
  • Google Cloud IAM
  • Google Cloud Policy Intelligence
  • Recomendador do Google Cloud
  • Google Cloud Storage
  • Google Kubernetes Engine
  • Resposta rápida do Google (GRR, na sigla em inglês)
  • Google Security Command Center
  • Google Tradutor
  • GSuite
  • SCCEnterprise

Integrações do Amazon Web Services
  • AWS CloudTrail
  • CloudWatch da AWS
  • AWS Elastic Compute Cloud (EC2)
  • AWS GuardDuty
  • AWS Identity and Access Management (IAM)
  • AWS IAM Access Analyzer
  • AWS S3
  • AWS Security Hub
  • WAF da AWS
  • AWS CloudTrail
  • CloudWatch da AWS
  • AWS Elastic Compute Cloud (EC2)
  • AWS GuardDuty
  • AWS Identity and Access Management (IAM)
  • AWS IAM Access Analyzer
  • Amazon Macie*
  • AWS S3
  • AWS Security Hub
  • WAF da AWS

Integrações do Microsoft Azure e do Office365
  • Azure Active Directory
  • Proteção de identidade do Azure AD
  • Central de segurança do Azure
  • Microsoft Graph Mail
  • Microsoft Teams
  • Azure Active Directory
  • Proteção de identidade do Azure AD
  • Central de segurança do Azure
  • Microsoft Graph Mail
  • Microsoft Teams

Aplicativos relacionados ao gerenciamento de serviços de TI (ITSM)
  • BMC Helix Remedyforce
  • BMC Remedy ITSM
  • Gerente de help desk de CA
  • Easy Vista
  • Freshworks Freshservice
  • Jira
  • Micro Focus ITSMA
  • Service Desk Plus V3
  • ServiceNow
  • SysAid
  • Zendesk
  • Zoho Desk
  • BMC Helix Remedyforce
  • BMC Remedy ITSM
  • Gerente de help desk de CA
  • Easy Vista
  • Freshworks Freshservice
  • Jira
  • Micro Focus ITSMA
  • Service Desk Plus V3
  • ServiceNow
  • SysAid
  • Zendesk
  • Zoho Desk

Aplicativos relacionados à comunicação
  • E-mail V2
  • Troca
  • Google Chat
  • Microsoft Graph Mail
  • Microsoft Teams
  • Slack
  • E-mail V2
  • Troca
  • Google Chat
  • Microsoft Graph Mail
  • Microsoft Teams
  • Slack

Inteligência contra ameaças
  • Inteligência contra ameaças da Mandiant
  • MITRE ATT&CK
  • VirusTotalV3
  • Inteligência contra ameaças da Mandiant
  • MITRE ATT&CK
  • VirusTotalV3
* A integração não está incluída no caso de uso SCC Enterprise - Orquestração e correção na nuvem.

Principais recursos do console Security Operations

O nível Enterprise do Security Command Center integra recursos importantes do Google Security Operations, acessíveis pelo console do Security Operations. Confira a seguir uma breve visão geral dos recursos disponíveis:

Alertas e IOCs

Nesta página do console de operações de segurança, você pode ver os alertas criados por detecções especializadas e regras personalizadas. Para informações sobre como investigar alertas, consulte o seguinte na documentação do Google Security Operations:

Casos

No console das operações de segurança, você usa casos para obter detalhes sobre descobertas, anexar playbooks a alertas de descoberta, aplicar respostas automáticas a ameaças e acompanhar a correção de problemas de segurança.

Para mais informações, consulte Visão geral de casos.

Playbooks

Nesta página do console do Security Operations, você gerencia os playbooks incluídos no caso de uso SCC Enterprise: orquestração e correção na nuvem.

Para informações sobre as integrações disponíveis neste caso de uso, consulte Níveis de serviço do Security Command Center.

Para informações sobre os playbooks disponíveis, consulte Atualizar o caso de uso empresarial.

Para informações sobre como usar a página Playbooks do console de operações de segurança, consulte O que há na página "Playbooks"? na documentação do Google Security Operations.

Regras e detecções

Nesta página do console do Security Operations, é possível ativar detecções especializadas e criar regras personalizadas para identificar padrões nos dados coletados usando os mecanismos de coleta de dados de registros do console do Security Operations. Para informações sobre as detecções especializadas disponíveis no Security Command Center Enterprise, consulte Investigar ameaças com detecções especializadas.

Painéis do SIEM

Nesta página do console do Security Operations, é possível conferir painéis do Google Security Operations SIEM para analisar alertas criados por regras do Google Security Operations e dados coletados usando os recursos de coleta de dados de registro do console do Security Operations.

Para mais informações sobre como usar painéis do SIEM, consulte Visão geral dos painéis na documentação do Google Security Operations.

Nesta página do console do Security Operations, você encontra eventos e alertas do Modelo Unificado de Dados (UDM) na sua instância do Google Security Operations. Para mais informações, consulte Pesquisa do SIEM na documentação do Google Security Operations.

Configurações do SIEM

Nesta página do console do Security Operations, é possível mudar a configuração dos recursos relacionados ao SIEM do Google Security Operations. Para informações sobre como usar esses recursos, consulte a documentação do Google Security Operations.

Painéis do SOAR

Nesta página do console de operações de segurança, é possível ver e criar painéis usando dados de SOAR que podem ser usados para analisar respostas e casos. Para mais informações sobre como usar os painéis do SOAR, consulte Visão geral do painel do SOAR na documentação do Google Security Operations.

Relatórios do SOAR

Nesta página do console do Security Operations, é possível conferir relatórios com base em dados do SOAR. Para mais informações sobre como usar relatórios do SOAR, consulte Entender os relatórios do SOAR na documentação do Google Security Operations.

Nessa página do console do Security Operations, é possível encontrar casos ou entidades específicos indexados pelo SOAR do Google Security Operations. Para mais informações, consulte Trabalhar com a página "Pesquisar" no SOAR na documentação do Google Security Operations.

Configurações do SOAR

Nesta página do console do Security Operations, é possível mudar a configuração dos recursos relacionados ao SOAR do Google Security Operations. Para informações sobre como usar esses recursos, consulte a documentação do Google Security Operations.

Coleta de dados de registro do Google SecOps compatível

As seções a seguir descrevem o tipo de dados de registro que os clientes com o Security Command Center Enterprise podem ingerir diretamente no locatário do Google Security Operations. Esse mecanismo de coleta de dados é diferente do conector da AWS no Security Command Center , que coleta dados de recursos e configuração.

As informações são agrupadas por provedor de nuvem.

  • Dados de registro doGoogle Cloud
  • Dados de registros do Amazon Web Services
  • Dados de registros do Microsoft Azure

Para cada tipo de registro listado, o rótulo de ingestão do Google SecOps é fornecido, por exemplo, GCP_CLOUDAUDIT. Consulte Tipos de registros e analisadores padrão compatíveis para ver uma lista completa de rótulos de ingestão do Google SecOps.

Google Cloud

Os seguintes dados do Google Cloud podem ser ingeridos no Google SecOps:

O seguinte também precisa estar ativado e roteado para o Cloud Logging:

Para informações sobre como coletar registros de instâncias de VM do Linux e do Windows e enviar para o Cloud Logging, consulte Agentes do Google Cloud Observability.

O processo de ativação do Security Command Center Enterprise configura automaticamente a ingestão de dados Google Cloud no Google SecOps. Para mais informações, consulte Ativar o Security Command Center Enterprise Center > Provisionar uma nova instância.

Para informações sobre como modificar a configuração de ingestão de dados do Google Cloud , consulte Ingerir dados do Google Cloud no Google Security Operations.

Amazon Web Services

Os seguintes dados da AWS podem ser ingeridos no Google SecOps:

  • AWS CloudTrail (AWS_CLOUDTRAIL)
  • AWS GuardDuty (GUARDDUTY)
  • HOSTS DO AWS EC2 (AWS_EC2_HOSTS)
  • INSTÂNCIAS DO AWS EC2 (AWS_EC2_INSTANCES)
  • VPCs do AWS EC2 (AWS_EC2_VPCS)
  • AWS Identity and Access Management (IAM) (AWS_IAM)

Para informações sobre como coletar dados de registros da AWS e usar detecções especializadas, consulte Conectar-se à AWS para coleta de dados de registros.

Microsoft Azure

Os seguintes dados da Microsoft podem ser ingeridos no Google SecOps:

Para informações sobre como coletar dados de registro do Azure e usar detecções especializadas, consulte Conectar-se ao Microsoft Azure para coleta de dados de registro.