Funzionalità di Google SecOps in Security Command Center Enterprise

Il livello di servizio Security Command Center Enterprise offre funzionalità aggiuntive rispetto ai livelli Standard e Premium, tra cui una selezione di funzionalità di Google Security Operations e la possibilità di importare dati da altri provider di servizi cloud. Queste funzionalità rendono Security Command Center una piattaforma di protezione delle applicazioni cloud-native (CNAPP).

Le funzionalità di Google Security Operations nel livello Security Command Center Enterprise hanno limiti diversi rispetto a quelli dei piani Google Security Operations. Questi limiti sono descritti nella tabella seguente.

Funzionalità Limiti
Threat intelligence applicata Nessun accesso
Rilevamenti predefiniti Limitato al rilevamento delle minacce cloud su Google Cloud, Microsoft Azure e AWS.
Regole personalizzate 20 regole personalizzate a evento singolo regole, le regole a più eventi non sono supportate.
Conservazione dei dati 3 mesi
Gemini per Google Security Operations Limitato alla ricerca in linguaggio naturale e ai riepiloghi delle indagini sui casi
Security Information and Event Management (SIEM) di Google SecOps Solo dati cloud.
Security Orchestration, Automation, and response (SOAR) di Google SecOps Solo integrazioni di risposta cloud. Per l'elenco delle integrazioni supportate, vedi Integrazioni di Google Security Operations supportate.

Supporta un ambiente SOAR.
Importazione dei log

Limitato ai log supportati per il rilevamento delle minacce cloud. Per l'elenco, vedi Raccolta dei dati di log supportata in Google SecOps

Analisi dei rischi Nessun accesso

Integrazioni di Google Security Operations supportate

Le sezioni seguenti elencano le integrazioni di Google Security Operations Marketplace supportate con Security Command Center Enterprise. Sono elencate in colonne separate nella tabella seguente.

  • Integrazioni predefinite e preconfigurate: sono incluse nel caso d'uso SCC Enterprise - Cloud Orchestration and Remediation e sono preconfigurate per supportare i casi d'uso della piattaforma di protezione delle applicazioni cloud-native (CNAPP). Sono disponibili quando attivi Security Command Center Enterprise e aggiorni il caso d'uso Enterprise.

    Le configurazioni nel caso d'uso SCC Enterprise - Cloud Orchestration and Remediation includono, ad esempio, playbook dedicati che utilizzano Jira e ServiceNow con una gestione predefinita dei casi di risposta. Le integrazioni sono preconfigurate per supportare tutti i provider di servizi cloud supportati da Security Command Center Enterprise.

  • Integrazioni scaricabili: con Security Command Center Enterprise, puoi scaricare le seguenti integrazioni e utilizzarle in un playbook. Le versioni che scarichi da Google Security Operations Marketplace non sono configurate specificamente per Security Command Center Enterprise e richiedono una configurazione manuale aggiuntiva.

Ogni integrazione è elencata per nome. Per informazioni su un'intecrazione specifica, vedi Integrazioni di Google Security Operations Marketplace.

Tipo di applicazione o informazioni

Integrazioni predefinite e preconfigurate

Integrazioni scaricabili

Google Cloud e integrazioni di Google Workspace
  • AppSheet
  • Centro avvisi Google
  • Google BigQuery
  • Google Chat
  • Google Chronicle
  • Cloud Asset Inventory di Google Cloud
  • Google Cloud Computing
  • Google Cloud IAM
  • Policy Intelligence di Google Cloud
  • Recommender di Google Cloud
  • Google Cloud Storage
  • Google Kubernetes Engine
  • Google Rapid Response (GRR)
  • Google Security Command Center
  • Google Traduttore
  • GSuite
  • SCCEnterprise
  • AppSheet
  • Centro avvisi Google
  • Google BigQuery
  • Google Chat
  • Google Chronicle
  • Cloud Asset Inventory di Google Cloud
  • Google Cloud Computing
  • Google Cloud IAM
  • Policy Intelligence di Google Cloud
  • Recommender di Google Cloud
  • Google Cloud Storage
  • Google Kubernetes Engine
  • Google Rapid Response (GRR)
  • Google Security Command Center
  • Google Traduttore
  • GSuite
  • SCCEnterprise

Integrazioni di Amazon Web Services
  • AWS CloudTrail
  • AWS CloudWatch
  • AWS Elastic Compute Cloud (EC2)
  • AWS GuardDuty
  • AWS Identity and Access Management (IAM)
  • AWS IAM Access Analyzer
  • AWS S3
  • AWS Security Hub
  • AWS WAF
  • AWS CloudTrail
  • AWS CloudWatch
  • AWS Elastic Compute Cloud (EC2)
  • AWS GuardDuty
  • AWS Identity and Access Management (IAM)
  • AWS IAM Access Analyzer
  • Amazon Macie*
  • AWS S3
  • AWS Security Hub
  • AWS WAF

Integrazioni di Microsoft Azure e Office365
  • Azure Active Directory
  • Azure AD Identity Protection
  • Azure Security Center
  • Microsoft Graph Mail
  • Microsoft Teams
  • Azure Active Directory
  • Azure AD Identity Protection
  • Azure Security Center
  • Microsoft Graph Mail
  • Microsoft Teams

Applicazioni correlate alla gestione dei servizi IT (ITSM)
  • BMC Helix Remedyforce
  • BMC Remedy ITSM
  • CA Service Desk Manager
  • Easy Vista
  • Freshworks Freshservice
  • Jira
  • Micro Focus ITSMA
  • Service Desk Plus V3
  • ServiceNow
  • SysAid
  • Zendesk
  • Zoho Desk
  • BMC Helix Remedyforce
  • BMC Remedy ITSM
  • CA Service Desk Manager
  • Easy Vista
  • Freshworks Freshservice
  • Jira
  • Micro Focus ITSMA
  • Service Desk Plus V3
  • ServiceNow
  • SysAid
  • Zendesk
  • Zoho Desk

Applicazioni correlate alla comunicazione
  • Email V2
  • Exchange
  • Google Chat
  • Microsoft Graph Mail
  • Microsoft Teams
  • Slack
  • Email V2
  • Exchange
  • Google Chat
  • Microsoft Graph Mail
  • Microsoft Teams
  • Slack

Threat intelligence
  • Mandiant Threat Intelligence
  • Mitre Att&ck
  • VirusTotalV3
  • Mandiant Threat Intelligence
  • Mitre Att&ck
  • VirusTotalV3
* L'integrazione non è inclusa nel caso d'uso SCC Enterprise - Cloud Orchestration and Remediation

Funzionalità principali nella console Security Operations

Il livello Security Command Center Enterprise integra le funzionalità principali di Google Security Operations, accessibili tramite la console Security Operations. Le sezioni seguenti forniscono una breve panoramica delle funzionalità disponibili:

Avvisi e IOC

Questa pagina della console Operazioni di sicurezza ti consente di visualizzare gli avvisi creati da rilevamenti predefiniti e regole personalizzate. Per informazioni su come indagare sugli avvisi, consulta le seguenti sezioni nella documentazione di Google Security Operations:

Richieste

Nella console Security Operations, utilizzi le richieste per ottenere dettagli sui risultati, allegare playbook agli avvisi sui risultati, applicare risposte automatiche alle minacce e monitorare la correzione dei problemi di sicurezza.

Per informazioni, vedi Panoramica delle richieste.

Playbook

Questa pagina della console Security Operations ti consente di gestire i playbook inclusi nel caso d'uso SCC Enterprise - Cloud Orchestration and Remediation.

Per informazioni sulle integrazioni disponibili in questo caso d'uso, vedi Livelli di servizio di Security Command Center.

Per informazioni sui playbook disponibili, vedi Aggiornare il caso d'uso Enterprise.

Per informazioni sull'utilizzo della pagina Playbook della console Security Operations, vedi Che cosa contiene la pagina Playbook? nella documentazione di Google Security Operations.

Regole e rilevamenti

Questa pagina della console Security Operations ti consente di attivare i rilevamenti predefiniti e creare regole personalizzate per identificare pattern nei dati raccolti utilizzando i meccanismi di raccolta dei dati di logdella console Security Operations. Per informazioni sui rilevamenti predefiniti disponibili con Security Command Center Enterprise, vedi Indagare sulle minacce con i rilevamenti predefiniti.

Dashboard SIEM

Questa pagina della console Google Security Operations ti consente di visualizzare le dashboard SIEM di Google Security Operations per analizzare gli avvisi creati dalle regole di Google Security Operations e i dati raccolti utilizzando le funzionalità di raccolta dei dati di log della console Google Security Operations.

Per ulteriori informazioni sull'utilizzo delle dashboard SIEM, vedi Panoramica delle dashboard nella documentazione di Google Security Operations.

Questa pagina della console Security Operations ti consente di trovare eventi e avvisi del modello di dati unificato (UDM) all'interno della tua istanza Google Security Operations. Per ulteriori informazioni, vedi Ricerca SIEM nella documentazione di Google Security Operations.

Impostazioni SIEM

Questa pagina della console Security Operations ti consente di modificare la configurazione delle funzionalità correlate a Google Security Operations SIEM. Per informazioni sull'utilizzo di queste funzionalità, consulta la documentazione di Google Security Operations.

Dashboard SOAR

Questa pagina della console Security Operations ti consente di visualizzare e creare dashboard utilizzando i dati SOAR che possono essere utilizzati per analizzare risposte e richieste. Per ulteriori informazioni sull'utilizzo delle dashboard SOAR, vedi Panoramica della dashboard SOAR nella documentazione di Google Security Operations.

Report SOAR

Questa pagina della console Security Operations ti consente di visualizzare i report sui dati SOAR. Per ulteriori informazioni sull'utilizzo dei report SOAR, vedi Informazioni sui report SOAR nella documentazione di Google Security Operations.

Questa pagina della console Security Operations ti consente di trovare richieste o entità specifiche indicizzate da Google Security Operations SOAR. Per ulteriori informazioni, vedi Utilizzare la pagina di ricerca in SOAR nella documentazione di Google Security Operations.

Impostazioni SOAR

Questa pagina della console Security Operations ti consente di modificare la configurazione delle funzionalità correlate a Google Security Operations SOAR. Per informazioni sull'utilizzo di queste funzionalità, consulta la documentazione di Google Security Operations.

Raccolta dei dati di log di Google SecOps supportata

Le sezioni seguenti descrivono il tipo di dati di log che i clienti con Security Command Center Enterprise possono importare direttamente nel tenant Google Security Operations. Questo meccanismo di raccolta dei dati è diverso dal connettore AWS in Security Command Center che raccoglie dati di risorse e configurazione.

Le informazioni sono raggruppate per provider di servizi cloud.

  • Google Cloud Dati di log
  • Dati di log di Amazon Web Services
  • Dati di log di Microsoft Azure

Per ogni tipo di log elencato, viene fornita l'etichetta di importazione di Google SecOps, ad esempio GCP_CLOUDAUDIT. Per un elenco completo delle etichette di importazione di Google SecOps, vedi Tipi di log supportati e parser predefiniti.

Google Cloud

I seguenti Google Cloud dati possono essere importati in Google SecOps:

Devono essere abilitati e indirizzati a Cloud Logging anche i seguenti:

Per informazioni su come raccogliere i log dalle istanze VM Linux e Windows e inviarli a Cloud Logging, vedi Agenti di Google Cloud Observability.

La procedura di attivazione di Security Command Center Enterprise configura automaticamente l'importazionedei Google Cloud dati in Google SecOps. Per ulteriori informazioni, vedi Attivare il livello Security Command Center Enterprise > Provisioning di una nuova istanza.

Per informazioni su come modificare la configurazione di importazionedei dati, vedi Importare i dati in Google Security Operations. Google Cloud Google Cloud

Amazon Web Services

I seguenti dati AWS possono essere importati in Google SecOps:

  • AWS CloudTrail (AWS_CLOUDTRAIL)
  • AWS GuardDuty (GUARDDUTY)
  • HOST AWS EC2 (AWS_EC2_HOSTS)
  • ISTANZE AWS EC2 (AWS_EC2_INSTANCES)
  • VPC AWS EC2 (AWS_EC2_VPCS)
  • AWS Identity and Access Management (IAM) (AWS_IAM)

Per informazioni sulla raccolta dei dati di log AWS e sull'utilizzo dei rilevamenti predefiniti, vedi Connettersi ad AWS per la raccolta dei dati di log.

Microsoft Azure

I seguenti dati Microsoft possono essere importati in Google SecOps:

Per informazioni sulla raccolta dei dati di log di Azure e sull'utilizzo dei rilevamenti predefiniti, vedi Connettersi a Microsoft Azure per la raccolta dei dati di log.