Die Enterprise-Dienststufe von Security Command Center bietet im Vergleich zu den Standard- und Premium-Stufen zusätzliche Funktionen, darunter eine Auswahl von Google Security Operations-Funktionen und die Möglichkeit, Daten von anderen Cloud-Anbietern zu erfassen. Diese Funktionen machen Security Command Center zu einer Schutzplattform für cloudnative Anwendungen (CNAPP).
Die Google Security Operations-Funktionen in Security Command Center Enterprise haben andere Limits als die in den Google Security Operations-Versionen. Diese Limits werden in der folgenden Tabelle beschrieben.
| Funktion | Limits |
|---|---|
| Angewandte Bedrohungsinformationen | Kein Zugriff |
| Ausgewählte Erkennungen | Beschränkt auf die Erkennung von Cloud-Bedrohungen auf Google Cloud, Microsoft Azure und AWS. |
| Benutzerdefinierte Regeln | 20 benutzerdefinierte Einzelereignisregeln. Mehrfachereignisregeln werden nicht unterstützt. |
| Datenaufbewahrung | 3 Monate |
| Gemini für Google Security Operations | Beschränkt auf die Suche in natürlicher Sprache und Zusammenfassungen von Falluntersuchungen |
| Security Information and Event Management (SIEM) von Google SecOps | Nur Cloud-Daten. |
| Google SecOps – Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR) | Nur Cloud-Antwortintegrationen. Eine Liste der unterstützten Integrationen finden Sie unter Unterstützte Google Security Operations-Integrationen.
Unterstützt eine SOAR-Umgebung. |
| Log-Aufnahme |
Beschränkt auf Logs, die für Cloud Threat Detection unterstützt werden. Eine Liste finden Sie unter Unterstützte Erfassung von Protokolldaten in Google SecOps. |
| Risikoanalysen | Kein Zugriff |
Unterstützte Google Security Operations-Integrationen
In den folgenden Abschnitten werden die Google Security Operations Marketplace-Integrationen aufgeführt, die mit Security Command Center Enterprise unterstützt werden. Sie sind in der folgenden Tabelle in separaten Spalten aufgeführt.
Paketierte und vorkonfigurierte Integrationen: sind im Anwendungsfall SCC Enterprise – Cloud Orchestration and Remediation enthalten und vorkonfiguriert, um CNAPP-Anwendungsfälle (Cloud-Native Application Protection Platform) zu unterstützen. Sie sind verfügbar, wenn Sie Security Command Center Enterprise aktivieren und den Enterprise-Anwendungsfall aktualisieren.
Konfigurationen im Anwendungsfall SCC Enterprise – Cloud Orchestration and Remediation umfassen beispielsweise dedizierte Playbooks, die Jira und ServiceNow mit vordefinierter Bearbeitung von Reaktionsfällen verwenden. Die Integrationen sind vorkonfiguriert, um alle Cloud-Anbieter zu unterstützen, die von Security Command Center Enterprise unterstützt werden.
Herunterladbare Integrationen: Mit Security Command Center Enterprise können Sie die folgenden Integrationen herunterladen und in einem Playbook verwenden. Die Versionen, die Sie aus dem Google Security Operations Marketplace herunterladen, sind nicht speziell für Security Command Center Enterprise konfiguriert und erfordern eine zusätzliche manuelle Konfiguration.
Jede Integration wird mit ihrem Namen aufgeführt. Informationen zu einer bestimmten Integration finden Sie unter Google Security Operations Marketplace-Integrationen.
Art des Antrags oder der Informationen |
Verpackte und vorkonfigurierte Integrationen |
Herunterladbare Integrationen |
|---|---|---|
Google Cloud und Google Workspace-Integrationen |
|
|
Amazon Web Services-Integrationen |
|
|
Microsoft Azure- und Office 365-Integrationen |
|
|
Anwendungen im Zusammenhang mit dem Management von IT-Diensten (ITSM) |
|
|
Kommunikationsbezogene Anwendungen |
|
|
Threat Intelligence |
|
|
| * Die Integration ist nicht im Anwendungsfall SCC Enterprise – Cloud Orchestration and Remediation enthalten. | ||
Wichtige Funktionen in der Security Operations-Konsole
In der Enterprise-Stufe von Security Command Center sind wichtige Funktionen von Google Security Operations integriert, auf die über die Security Operations Console zugegriffen werden kann. In den folgenden Abschnitten erhalten Sie einen kurzen Überblick über die verfügbaren Funktionen:
Benachrichtigungen und IOCs
Auf dieser Seite der Security Operations Console können Sie Benachrichtigungen ansehen, die durch kuratierte Erkennungen und benutzerdefinierte Regeln erstellt wurden. Informationen zum Untersuchen von Benachrichtigungen finden Sie in der Google Security Operations-Dokumentation unter:
- GCTI-Benachrichtigung prüfen, die durch ausgewählte Erkennungen generiert wurde.
- Benachrichtigungen nachgehen
Fälle
In der Security Operations-Konsole können Sie mit Fällen Details zu Ergebnissen abrufen, Playbooks an Ergebnisbenachrichtigungen anhängen, automatische Reaktionen auf Bedrohungen anwenden und die Behebung von Sicherheitsproblemen verfolgen.
Weitere Informationen finden Sie unter Übersicht über Kundenservicetickets.
Playbooks
Auf dieser Seite der Security Operations Console können Sie Playbooks verwalten, die im Anwendungsfall SCC Enterprise – Cloud Orchestration and Remediation enthalten sind.
Informationen zu den in diesem Anwendungsfall verfügbaren Integrationen finden Sie unter Security Command Center-Dienststufen.
Informationen zu den verfügbaren Playbooks finden Sie unter Anwendungsfall für Unternehmen aktualisieren.
Informationen zur Verwendung der Seite Playbooks in der Security Operations Console finden Sie in der Google Security Operations-Dokumentation unter Was ist auf der Seite „Playbooks“ zu sehen?.
Regeln und Erkennungen
Auf dieser Seite der Security Operations Console können Sie kuratierte Erkennungen aktivieren und benutzerdefinierte Regeln erstellen, um Muster in Daten zu erkennen, die mit den Mechanismen zum Erfassen von Logdaten der Security Operations Console erfasst wurden. Informationen zu den kuratierten Erkennungen, die mit Security Command Center Enterprise verfügbar sind, finden Sie unter Bedrohungen mit kuratierten Erkennungen untersuchen.
SIEM-Dashboards
Auf dieser Seite der Security Operations Console können Sie Google Security Operations SIEM-Dashboards aufrufen, um Warnungen zu analysieren, die von Google Security Operations-Regeln erstellt wurden, und Daten, die mit den Funktionen zum Erfassen von Logdaten der Security Operations Console erfasst wurden.
Weitere Informationen zur Verwendung von SIEM-Dashboards finden Sie in der Google Security Operations-Dokumentation unter Übersicht über Dashboards.
SIEM-Suche
Auf dieser Seite der Security Operations Console können Sie UDM-Ereignisse (Unified Data Model) und Benachrichtigungen in Ihrer Google Security Operations-Instanz suchen. Weitere Informationen finden Sie in der Google Security Operations-Dokumentation unter SIEM-Suche.
SIEM-Einstellungen
Auf dieser Seite der Security Operations Console können Sie die Konfiguration für Funktionen im Zusammenhang mit Google Security Operations SIEM ändern. Informationen zur Verwendung dieser Funktionen finden Sie in der Dokumentation zu Google Security Operations.
SOAR-Dashboards
Auf dieser Seite der Security Operations-Konsole können Sie Dashboards mit SOAR-Daten ansehen und erstellen, die zur Analyse von Reaktionen und Fällen verwendet werden können. Weitere Informationen zur Verwendung von SOAR-Dashboards finden Sie in der Google Security Operations-Dokumentation unter SOAR Dashboard Overview.
SOAR-Berichte
Auf dieser Seite der Security Operations Console können Sie Berichte zu SOAR-Daten aufrufen. Weitere Informationen zur Verwendung von SOAR-Berichten finden Sie in der Google Security Operations-Dokumentation unter SOAR-Berichte.
SOAR-Suche
Auf dieser Seite der Security Operations-Konsole können Sie nach bestimmten Fällen oder Entitäten suchen, die von Google Security Operations SOAR indexiert wurden. Weitere Informationen finden Sie in der Google Security Operations-Dokumentation unter Mit der Suchseite in SOAR arbeiten.
SOAR-Einstellungen
Auf dieser Seite der Security Operations-Konsole können Sie die Konfiguration für Funktionen im Zusammenhang mit Google Security Operations SOAR ändern. Informationen zur Verwendung dieser Funktionen finden Sie in der Dokumentation zu Google Security Operations.
Unterstützte Erhebung von Google SecOps-Protokolldaten
In den folgenden Abschnitten wird beschrieben, welche Art von Logdaten Kunden mit Security Command Center Enterprise direkt in den Google Security Operations-Mandanten aufnehmen können. Dieser Mechanismus zur Datenerfassung unterscheidet sich vom AWS-Connector in Security Command Center , mit dem Ressourcen- und Konfigurationsdaten erfasst werden.
Die Informationen sind nach Cloud-Anbieter gruppiert.
- Google Cloud Logdaten
- Amazon Web Services-Protokolldaten
- Microsoft Azure-Logdaten
Für jeden aufgeführten Logtyp wird das Google SecOps-Aufnahmelabel angegeben, z. B. GCP_CLOUDAUDIT. Eine vollständige Liste der Google SecOps-Aufnahmelabels finden Sie unter Unterstützte Logtypen und Standardparser.
Google Cloud
Die folgenden Google Cloud Daten können in Google SecOps aufgenommen werden:
- Cloud-Audit-Logs (
GCP_CLOUDAUDIT) - Cloud Intrusion Detection System (
GCP_IDS) - Cloud Next Generation Firewall (
GCP_NGFW_ENTERPRISE) - Cloud Asset Inventory-Metadaten
- Kontext für den Schutz sensibler Daten
- Model Armor-Logs
Außerdem muss Folgendes aktiviert und an Cloud Logging weitergeleitet werden:
- AlloyDB for PostgreSQL-Audit-Logs für den Datenzugriff
- Cloud DNS-Logs
- Cloud NAT-Logs
- Cloud Run
- Cloud SQL for SQL Server-Audit-Logs für den Datenzugriff
- Cloud SQL for MySQL-Audit-Logs für Datenzugriff
- Cloud SQL for PostgreSQL-Audit-Logs für den Datenzugriff
- VM-Authlogs in Compute Engine
- Logs für Backend-Dienste von externen Application Load Balancern
- Allgemeine Audit-Logs zum Datenzugriff
- Audit-Logs zum Datenzugriff in Google Kubernetes Engine
- Audit-Logs für Google Workspace-Administratoren
- Audit-Logs von Google Workspace Login
- IAM Data Access-Audit-Logs
- Kontext für den Schutz sensibler Daten
- Model Armor-Logs
- AuditD-Logs
- Windows-Ereignisprotokolle
Informationen zum Erfassen von Logs aus Linux- und Windows-VM-Instanzen und zum Senden an Cloud Logging finden Sie unter Google Cloud Observability-Agents.
Beim Aktivieren von Security Command Center Enterprise wird die Aufnahme von Google Cloud -Daten in Google SecOps automatisch konfiguriert. Weitere Informationen finden Sie unter Security Command Center Enterprise-Stufe aktivieren > Neue Instanz bereitstellen.
Informationen zum Ändern der Konfiguration für die Google Cloud Datenerfassung Google Cloud finden Sie unter Daten in Google Security Operations aufnehmen.
Amazon Web Services
Die folgenden AWS-Daten können in Google SecOps aufgenommen werden:
- AWS CloudTrail (
AWS_CLOUDTRAIL) - AWS GuardDuty (
GUARDDUTY) - AWS EC2-HOSTS (
AWS_EC2_HOSTS) - AWS EC2-INSTANZEN (
AWS_EC2_INSTANCES) - AWS EC2-VPCs (
AWS_EC2_VPCS) - AWS Identity and Access Management (IAM) (
AWS_IAM)
Informationen zum Erfassen von AWS-Logdaten und zur Verwendung kuratierter Erkennungen finden Sie unter Verbindung zu AWS für die Erfassung von Logdaten herstellen.
Microsoft Azure
Die folgenden Microsoft-Daten können in Google SecOps aufgenommen werden:
- Microsoft Azure Cloud Services (
AZURE_ACTIVITY). Informationen zum Einrichten der Datenerfassung finden Sie unter Microsoft Azure-Aktivitätsprotokolle aufnehmen. - Microsoft Entra ID, früher Azure Active Directory (
AZURE_AD). Informationen zum Einrichten der Datenerhebung finden Sie unter Microsoft Azure AD-Protokolle erfassen . - Microsoft Entra ID-Audit-Logs, früher Azure AD-Audit-Logs (
AZURE_AD_AUDIT). Informationen zum Einrichten der Datenerhebung finden Sie unter Microsoft Azure AD-Logs erfassen . - Microsoft Defender for Cloud (
MICROSOFT_GRAPH_ALERT). Informationen zum Einrichten der Datenerhebung finden Sie unter Microsoft Graph API-Benachrichtigungslogs erfassen.
Informationen zum Erfassen von Azure-Logdaten und zur Verwendung kuratierter Erkennungen finden Sie unter Verbindung zu Microsoft Azure für die Erfassung von Logdaten herstellen.