Recursos do Google SecOps no Security Command Center Enterprise

O nível de serviço Security Command Center Enterprise oferece recursos adicionais em comparação com os níveis Standard e Premium, incluindo uma seleção de recursos do Google Security Operations e a capacidade de ingerir dados de outros provedores de nuvem. Esses recursos tornam o Security Command Center uma plataforma de proteção de aplicativos nativos da nuvem (CNAPP).

Os recursos do Google Security Operations no nível Security Command Center Enterprise têm limites diferentes dos planos do Google Security Operations. Esses limites são descritos na tabela a seguir.

Recurso Limites
Inteligência contra ameaças aplicada Sem acesso
Detecções especializadas Limitado à detecção de ameaças na nuvem em Google Cloud, no Microsoft Azure e na AWS.
Regras personalizadas 20 regras personalizadas de evento único . Regras de eventos múltiplos não são aceitas.
Retenção de dados 3 meses
Gemini para o Google Security Operations Limitado à pesquisa em linguagem natural e resumos de investigação de casos
Gerenciamento de eventos e informações de segurança (SIEM) do Google SecOps Apenas dados da nuvem.
Orquestração, automação e resposta de segurança (SOAR) do Google SecOps Somente integrações de resposta na nuvem. Para conferir a lista de integrações aceitas, consulte Integrações aceitas do Google Security Operations.

Aceita um ambiente SOAR.
Ingestão de registros

Limitado a registros aceitos para detecção de ameaças na nuvem. Para conferir a lista, consulte Coleta de dados de registro aceita no Google SecOps

Análise de risco Sem acesso

Integrações aceitas do Google Security Operations

As seções a seguir listam as integrações do Google Security Operations Marketplace aceitas pelo Security Command Center Enterprise. Elas estão listadas em colunas separadas na tabela a seguir.

  • Integrações empacotadas e pré-configuradas: estão incluídas no caso de uso SCC Enterprise - Cloud Orchestration and Remediation e são pré-configuradas para aceitar casos de uso da plataforma de proteção de aplicativos nativos da nuvem (CNAPP). Elas ficam disponíveis quando você ativa o Security Command Center Enterprise e atualiza o caso de uso Enterprise.

    As configurações no caso de uso SCC Enterprise - Cloud Orchestration and Remediation incluem, por exemplo, playbooks dedicados que usam o Jira e o ServiceNow com tratamento predefinido de casos de resposta. As integrações são pré-configuradas para aceitar todos os provedores de nuvem aceitos pelo Security Command Center Enterprise.

  • Integrações para download: com o Security Command Center Enterprise, você pode fazer o download das seguintes integrações e usá-las em um playbook. As versões que você faz o download do Google Security Operations Marketplace não são configuradas especificamente para o Security Command Center Enterprise e exigem mais configuração manual.

Cada integração é listada por nome. Para informações sobre uma integração específica, consulte Integrações do Google Security Operations Marketplace.

Tipo de aplicativo ou informação

Integrações empacotadas e pré-configuradas

Integrações para download

Google Cloud e integrações do Google Workspace
  • AppSheet
  • Central de alertas do Google
  • Google BigQuery
  • Google Chat
  • Google Chronicle
  • Inventário de recursos do Cloud
  • Google Cloud Compute
  • Google Cloud IAM
  • Google Cloud Policy Intelligence
  • Google Cloud Recommender
  • Google Cloud Storage
  • Google Kubernetes Engine
  • Google Rapid Response (GRR)
  • Google Security Command Center
  • Google Tradutor
  • GSuite
  • SCCEnterprise
  • AppSheet
  • Central de alertas do Google
  • Google BigQuery
  • Google Chat
  • Google Chronicle
  • Inventário de recursos do Cloud
  • Google Cloud Compute
  • Google Cloud IAM
  • Google Cloud Policy Intelligence
  • Google Cloud Recommender
  • Google Cloud Storage
  • Google Kubernetes Engine
  • Google Rapid Response (GRR)
  • Google Security Command Center
  • Google Tradutor
  • GSuite
  • SCCEnterprise

Integrações do Amazon Web Services
  • AWS CloudTrail
  • AWS CloudWatch
  • AWS Elastic Compute Cloud (EC2)
  • AWS GuardDuty
  • AWS Identity and Access Management (IAM)
  • AWS IAM Access Analyzer
  • AWS S3
  • AWS Security Hub
  • AWS WAF
  • AWS CloudTrail
  • AWS CloudWatch
  • AWS Elastic Compute Cloud (EC2)
  • AWS GuardDuty
  • AWS Identity and Access Management (IAM)
  • AWS IAM Access Analyzer
  • Amazon Macie*
  • AWS S3
  • AWS Security Hub
  • AWS WAF

Integrações do Microsoft Azure e do Office365
  • Azure Active Directory
  • Azure AD Identity Protection
  • Central de segurança do Azure
  • Microsoft Graph Mail
  • Microsoft Teams
  • Azure Active Directory
  • Azure AD Identity Protection
  • Central de segurança do Azure
  • Microsoft Graph Mail
  • Microsoft Teams

Aplicativos relacionados ao gerenciamento de serviços de TI (ITSM)
  • BMC Helix Remedyforce
  • BMC Remedy ITSM
  • CA Service Desk Manager
  • Easy Vista
  • Freshworks Freshservice
  • Jira
  • Micro Focus ITSMA
  • Service Desk Plus V3
  • ServiceNow
  • SysAid
  • Zendesk
  • Zoho Desk
  • BMC Helix Remedyforce
  • BMC Remedy ITSM
  • CA Service Desk Manager
  • Easy Vista
  • Freshworks Freshservice
  • Jira
  • Micro Focus ITSMA
  • Service Desk Plus V3
  • ServiceNow
  • SysAid
  • Zendesk
  • Zoho Desk

Aplicativos relacionados à comunicação
  • Email V2
  • Troca
  • Google Chat
  • Microsoft Graph Mail
  • Microsoft Teams
  • Slack
  • Email V2
  • Troca
  • Google Chat
  • Microsoft Graph Mail
  • Microsoft Teams
  • Slack

Inteligência contra ameaças
  • Inteligência contra ameaças da Mandiant
  • Mitre Att&ck
  • VirusTotalV3
  • Inteligência contra ameaças da Mandiant
  • Mitre Att&ck
  • VirusTotalV3
* A integração não está empacotada no caso de uso SCC Enterprise - Cloud Orchestration and Remediation

Principais recursos no console de operações de segurança

O nível Enterprise do Security Command Center integra os principais recursos do Google Security Operations, acessíveis pelo console de operações de segurança. As seções a seguir oferecem uma breve visão geral dos recursos disponíveis:

Alertas e IOCs

Essa página do console de operações de segurança permite visualizar alertas criados por detecções especializadas e regras personalizadas. Para informações sobre como investigar alertas, consulte o seguinte na documentação do Google Security Operations:

Casos

No console de operações de segurança, você usa casos para receber detalhes sobre descobertas, anexar playbooks a alertas de descoberta, aplicar respostas automáticas a ameaças e acompanhar a correção de problemas de segurança.

Para mais informações, consulte Visão geral de casos.

Playbooks

Essa página do console de operações de segurança permite gerenciar playbooks incluídos no caso de uso SCC Enterprise - Cloud Orchestration and Remediation.

Para informações sobre as integrações disponíveis nesse caso de uso, consulte Níveis de serviço do Security Command Center.

Para informações sobre os playbooks disponíveis, consulte Atualizar o caso de uso Enterprise.

Para informações sobre como usar a página Playbooks do console de operações de segurança, consulte O que há na página "Playbooks?" na documentação do Google Security Operations.

Regras e detecções

Essa página do console de operações de segurança permite ativar detecções especializadas e criar regras personalizadas para identificar padrões em dados coletados usando os mecanismos de coleta de dados de registro do console de operações de segurança. Para informações sobre as detecções especializadas disponíveis com o Security Command Center Enterprise, consulte Investigar ameaças com detecções especializadas.

Painéis do SIEM

Essa página do console de operações de segurança permite visualizar os painéis do Google Security Operations SIEM para analisar alertas criados pelas regras do Google Security Operations e dados coletados usando os recursos de coleta de dados de registro do console de operações de segurança.

Para mais informações sobre como usar os painéis do SIEM, consulte Visão geral dos painéis na documentação do Google Security Operations.

Essa página do console de operações de segurança permite encontrar eventos e alertas do Modelo de dados unificado (UDM) na instância do Google Security Operations. Para mais informações, consulte Pesquisa no SIEM na documentação do Google Security Operations.

Configurações do SIEM

Essa página do console de operações de segurança permite mudar a configuração de recursos relacionados ao SIEM do Google Security Operations. Para informações sobre como usar esses recursos, consulte a documentação do Google Security Operations.

Painéis do SOAR

Essa página do console de operações de segurança permite visualizar e criar painéis usando dados do SOAR que podem ser usados para analisar respostas e casos. Para mais informações sobre como usar os painéis do SOAR, consulte Visão geral do painel do SOAR na documentação do Google Security Operations.

Relatórios do SOAR

Essa página do console de operações de segurança permite visualizar relatórios em relação aos dados do SOAR. Para mais informações sobre como usar os relatórios do SOAR, consulte Entender os relatórios do SOAR na documentação do Google Security Operations.

Essa página do console de operações de segurança permite encontrar casos ou entidades específicos indexados pelo Google Security Operations SOAR. Para mais informações, consulte Trabalhar com a página "Pesquisa" no SOAR na documentação do Google Security Operations.

Configurações do SOAR

Essa página do console de operações de segurança permite mudar a configuração de recursos relacionados ao SOAR do Google Security Operations. Para informações sobre como usar esses recursos, consulte a documentação do Google Security Operations.

Coleta de dados de registro aceita do Google SecOps

As seções a seguir descrevem o tipo de dados de registro que os clientes do Security Command Center Enterprise podem ingerir diretamente no locatário do Google Security Operations. Esse mecanismo de coleta de dados é diferente do conector da AWS no Security Command Center que coleta dados de recursos e configuração.

As informações são agrupadas por provedor de nuvem.

  • Google Cloud Dados de registro
  • Dados de registro do Amazon Web Services
  • Dados de registro do Microsoft Azure

Para cada tipo de registro listado, o rótulo de ingestão do Google SecOps é fornecido, por exemplo, GCP_CLOUDAUDIT. Consulte Tipos de registro aceitos e analisadores padrão para conferir uma lista completa de rótulos de ingestão do Google SecOps.

Google Cloud

Os seguintes Google Cloud dados podem ser ingeridos no Google SecOps:

O seguinte também precisa ser ativado e encaminhado para o Cloud Logging:

Para informações sobre como coletar registros de instâncias de VM do Linux e do Windows e enviar para o Cloud Logging, consulte Agentes de observabilidade do Google Cloud.

O processo de ativação do Security Command Center Enterprise configura automaticamente a ingestão de Google Cloud dados no Google SecOps. Para mais informações, consulte Ativar o Security Command Center Enterprise Center > Provisionar uma nova instância.

Para informações sobre como modificar a Google Cloud configuração de ingestão de dados, consulte Ingerir Google Cloud dados no Google Security Operations.

Amazon Web Services

Os seguintes dados da AWS podem ser ingeridos no Google SecOps:

  • AWS CloudTrail (AWS_CLOUDTRAIL)
  • AWS GuardDuty (GUARDDUTY)
  • AWS EC2 HOSTS (AWS_EC2_HOSTS)
  • AWS EC2 INSTANCES (AWS_EC2_INSTANCES)
  • AWS EC2 VPCS (AWS_EC2_VPCS)
  • AWS Identity and Access Management (IAM) (AWS_IAM)

Para informações sobre como coletar dados de registro da AWS e usar detecções especializadas, consulte Conectar-se à AWS para coleta de dados de registro.

Microsoft Azure

Os seguintes dados da Microsoft podem ser ingeridos no Google SecOps:

Para informações sobre como coletar dados de registro do Azure e usar detecções especializadas, consulte Conectar-se ao Microsoft Azure para coleta de dados de registro.