Fonctionnalités Google SecOps dans Security Command Center Enterprise

Le niveau de service Security Command Center Enterprise offre des fonctionnalités supplémentaires par rapport aux niveaux Standard et Premium, y compris une sélection de fonctionnalités Google Security Operations et la possibilité d'ingérer des données provenant d'autres fournisseurs de services cloud. Ces fonctionnalités font de Security Command Center une plate-forme cloud native de protection des applications (CNAPP).

Les fonctionnalités Google Security Operations du niveau Security Command Center Enterprise ont des limites différentes de celles des forfaits Google Security Operations. Ces limites sont décrites dans le tableau suivant.

Fonctionnalité	Limites
Renseignement sur les menaces appliqué	Aucun accès
Détections optimisées	Limité à la détection des menaces cloud sur Google Cloud, Microsoft Azure et AWS.
Règles personnalisées	20 règles personnalisées à événement unique , les règles à événements multiples ne sont pas prises en charge.
Conservation des données	3 mois
Gemini pour Google Security Operations	Limité à la recherche en langage naturel et aux résumés d'investigation des cas
Gestion des informations et des événements de sécurité (SIEM) Google SecOps	Données cloud uniquement.
Orchestration de la sécurité, automatisation et réponse (SOAR) Google SecOps	Intégrations de réponses cloud uniquement. Pour obtenir la liste des intégrations compatibles, consultez Intégrations Google Security Operations compatibles. Compatible avec un environnement SOAR.
Ingestion de journaux	Limité aux journaux compatibles avec la détection des menaces cloud. Pour obtenir la liste, consultez Collecte des données de journaux compatibles dans Google SecOps.
Données analytiques sur les risques	Aucun accès

Intégrations Google Security Operations compatibles

Les sections suivantes listent les intégrations Google Security Operations Marketplace compatibles avec Security Command Center Enterprise. Elles sont listées dans des colonnes distinctes dans le tableau ci-dessous.

Les intégrations packagées et préconfigurées sont incluses dans le cas d'utilisation SCC Enterprise – Cloud Orchestration and Remediation et sont préconfigurées pour prendre en charge les cas d'utilisation de la plate-forme de protection des applications cloud natives (CNAPP). Elles sont disponibles lorsque vous activez Security Command Center Enterprise et mettez à jour le cas d'utilisation Enterprise.

Les configurations du cas d'utilisation SCC Enterprise – Cloud Orchestration and Remediation incluent, par exemple, des playbooks dédiés qui utilisent Jira et ServiceNow avec une gestion prédéfinie des cas de réponse. Les intégrations sont préconfigurées pour être compatibles avec tous les fournisseurs de services cloud compatibles avec Security Command Center Enterprise.
Intégrations téléchargeables : avec Security Command Center Enterprise, vous pouvez télécharger les intégrations suivantes et les utiliser dans un playbook. Les versions que vous téléchargez depuis Google Security Operations Marketplace ne sont pas configurées spécifiquement pour Security Command Center Enterprise et nécessitent une configuration manuelle supplémentaire.

Chaque intégration est listée par nom. Pour en savoir plus sur une intégration spécifique, consultez Intégrations Google Security Operations Marketplace.

Type de demande ou d'informations	Intégrations packagées et préconfigurées	Intégrations téléchargeables
Google Cloud et les intégrations Google Workspace	AppSheet Centre d'alerte Google Google BigQuery Google Chat Google Chronicle Inventaire des éléments cloud Google Cloud Google Cloud Compute Google Cloud IAM Google Cloud Policy Intelligence Google Cloud Recommender Google Cloud Storage Google Kubernetes Engine Google Rapid Response (GRR) Google Security Command Center Google Traduction G Suite SCCEnterprise	AppSheet Centre d'alerte Google Google BigQuery Google Chat Google Chronicle Inventaire des éléments cloud Google Cloud Google Cloud Compute Google Cloud IAM Google Cloud Policy Intelligence Google Cloud Recommender Google Cloud Storage Google Kubernetes Engine Google Rapid Response (GRR) Google Security Command Center Google Traduction G Suite SCCEnterprise
Intégrations Amazon Web Services	AWS CloudTrail AWS CloudWatch AWS Elastic Compute Cloud (EC2) AWS GuardDuty AWS Identity and Access Management (IAM) AWS IAM Access Analyzer AWS S3 AWS Security Hub AWS WAF	AWS CloudTrail AWS CloudWatch AWS Elastic Compute Cloud (EC2) AWS GuardDuty AWS Identity and Access Management (IAM) AWS IAM Access Analyzer Amazon Macie* AWS S3 AWS Security Hub AWS WAF
Intégrations Microsoft Azure et Office 365	Azure Active Directory Azure AD Identity Protection Azure Security Center Microsoft Graph Mail Microsoft Teams	Azure Active Directory Azure AD Identity Protection Azure Security Center Microsoft Graph Mail Microsoft Teams
Applications liées à la gestion des services informatiques (ITSM)	BMC Helix Remedyforce BMC Remedy ITSM Responsable du centre d'assistance CA Easy Vista Freshworks Freshservice Jira Micro Focus ITSMA Service Desk Plus V3 ServiceNow SysAid Zendesk Zoho Desk	BMC Helix Remedyforce BMC Remedy ITSM Responsable du centre d'assistance CA Easy Vista Freshworks Freshservice Jira Micro Focus ITSMA Service Desk Plus V3 ServiceNow SysAid Zendesk Zoho Desk
Applications liées à la communication	E-mail V2 Échange Google Chat Microsoft Graph Mail Microsoft Teams Slack	E-mail V2 Échange Google Chat Microsoft Graph Mail Microsoft Teams Slack
Renseignement sur les menaces	Mandiant Threat Intelligence Mitre Att&ck VirusTotalV3	Mandiant Threat Intelligence Mitre Att&ck VirusTotalV3
* L'intégration n'est pas incluse dans le cas d'utilisation SCC Enterprise – Cloud Orchestration and Remediation.

Fonctionnalités clés de la console Security Operations

Le niveau Security Command Center Enterprise intègre des fonctionnalités clés de Google Security Operations, accessibles via la console Security Operations. Les sections suivantes offrent un bref aperçu des fonctionnalités disponibles :

Alertes et IOC

Cette page de la console Security Operations vous permet d'afficher les alertes créées par des détections sélectionnées et des règles personnalisées. Pour en savoir plus sur l'analyse des alertes, consultez les sections suivantes de la documentation Google Security Operations :

Examiner une alerte GCTI générée par des détections optimisées
Examiner une alerte

Demandes

Dans la console Security Operations, vous utilisez des demandes pour obtenir des informations sur les résultats, associer des playbooks aux alertes de résultats, appliquer des réponses automatiques aux menaces et suivre la correction des problèmes de sécurité.

Pour en savoir plus, consultez Présentation des demandes.

Guides

Cette page de la console Security Operations vous permet de gérer les playbooks inclus dans le cas d'utilisation SCC Enterprise – Cloud Orchestration and Remediation.

Pour en savoir plus sur les intégrations disponibles dans ce cas d'utilisation, consultez Niveaux de service Security Command Center.

Pour en savoir plus sur les playbooks disponibles, consultez Mettre à jour le cas d'utilisation Enterprise.

Pour en savoir plus sur l'utilisation de la page Playbooks de la console Security Operations, consultez Contenu de la page "Playbooks" dans la documentation Google Security Operations.

Règles et détections

Cette page de la console Security Operations vous permet d'activer des détections sélectionnées et de créer des règles personnalisées pour identifier des schémas dans les données collectées à l'aide des mécanismes de collecte des données de journaux de la console Security Operations. Pour en savoir plus sur les détections organisées disponibles avec Security Command Center Enterprise, consultez Examiner les menaces avec les détections organisées.

Tableaux de bord SIEM

Cette page de la console Security Operations vous permet d'afficher les tableaux de bord Google Security Operations SIEM pour analyser les alertes créées par les règles Google Security Operations et les données collectées à l'aide des fonctionnalités de collecte des données de journaux de la console Security Operations.

Pour en savoir plus sur l'utilisation des tableaux de bord SIEM, consultez Présentation des tableaux de bord dans la documentation Google Security Operations.

Recherche SIEM

Cette page de la console Security Operations vous permet de trouver des événements et des alertes UDM (Unified Data Model) dans votre instance Google Security Operations. Pour en savoir plus, consultez Recherche SIEM dans la documentation Google Security Operations.

Paramètres SIEM

Cette page de la console Security Operations vous permet de modifier la configuration des fonctionnalités liées à Google Security Operations SIEM. Pour en savoir plus sur l'utilisation de ces fonctionnalités, consultez la documentation Google Security Operations.

Tableaux de bord SOAR

Cette page de la console Security Operations vous permet d'afficher et de créer des tableaux de bord à l'aide de données SOAR. Vous pouvez ainsi analyser les réponses et les demandes. Pour en savoir plus sur l'utilisation des tableaux de bord SOAR, consultez Présentation des tableaux de bord SOAR dans la documentation Google Security Operations.

Rapports SOAR

Cette page de la console Security Operations vous permet d'afficher des rapports sur les données SOAR. Pour en savoir plus sur l'utilisation des rapports SOAR, consultez Comprendre les rapports SOAR dans la documentation Google Security Operations.

Recherche SOAR

Cette page de la console Security Operations vous permet de trouver des demandes ou des entités spécifiques indexées par Google Security Operations SOAR. Pour en savoir plus, consultez Utiliser la page "Rechercher" dans SOAR dans la documentation Google Security Operations.

Paramètres SOAR

Cette page de la console Security Operations vous permet de modifier la configuration des fonctionnalités liées à Google Security Operations SOAR. Pour en savoir plus sur l'utilisation de ces fonctionnalités, consultez la documentation Google Security Operations.

Collecte des données de journaux Google SecOps compatibles

Les sections suivantes décrivent le type de données de journaux que les clients Security Command Center Enterprise peuvent ingérer directement dans le locataire Google Security Operations. Ce mécanisme de collecte de données est différent du connecteur AWS dans Security Command Center , qui collecte les données de ressources et de configuration.

Les informations sont regroupées par fournisseur de services cloud.

Données de journauxGoogle Cloud
Données de journaux Amazon Web Services
Données de journaux Microsoft Azure

Pour chaque type de journal listé, le libellé d'ingestion Google SecOps est fourni (par exemple, GCP_CLOUDAUDIT). Pour obtenir la liste complète des libellés d'ingestion Google SecOps, consultez Types de journaux et analyseurs par défaut acceptés.

Google Cloud

Les données Google Cloud suivantes peuvent être ingérées dans Google SecOps :

Cloud Audit Logs (GCP_CLOUDAUDIT)
Cloud Intrusion Detection System (GCP_IDS)
Cloud Next Generation Firewall (GCP_NGFW_ENTERPRISE)
Métadonnées de l'inventaire des éléments cloud
Contexte de la protection des données sensibles
Journaux Model Armor

Les éléments suivants doivent également être activés et acheminés vers Cloud Logging :

Pour savoir comment collecter des journaux à partir d'instances de VM Linux et Windows, et les envoyer à Cloud Logging, consultez Agents Google Cloud Observability.

Le processus d'activation de Security Command Center Enterprise configure automatiquement l'ingestion des données Google Cloud dans Google SecOps. Pour en savoir plus, consultez Activer le niveau Security Command Center Enterprise > Provisionner une nouvelle instance.

Pour savoir comment modifier la configuration de l'ingestion de données Google Cloud , consultez Ingérer des données Google Cloud dans Google Security Operations.

Amazon Web Services

Les données AWS suivantes peuvent être ingérées dans Google SecOps :

AWS CloudTrail (AWS_CLOUDTRAIL)
AWS GuardDuty (GUARDDUTY)
HÔTES AWS EC2 (AWS_EC2_HOSTS)
INSTANCES AWS EC2 (AWS_EC2_INSTANCES)
VPC AWS EC2 (AWS_EC2_VPCS)
AWS Identity and Access Management (IAM) (AWS_IAM)

Pour en savoir plus sur la collecte de données de journaux AWS et l'utilisation de détections organisées, consultez Se connecter à AWS pour collecter des données de journaux.

Microsoft Azure

Les données Microsoft suivantes peuvent être ingérées dans Google SecOps :

Microsoft Azure Cloud Services (AZURE_ACTIVITY). Pour savoir comment configurer la collecte de données, consultez Ingérer les journaux d'activité Microsoft Azure.
Microsoft Entra ID, anciennement Azure Active Directory (AZURE_AD). Pour savoir comment configurer la collecte de données, consultez Collecter les journaux Microsoft Azure AD .
Journaux d'audit Microsoft Entra ID (anciennement journaux d'audit Azure AD) (AZURE_AD_AUDIT). Pour savoir comment configurer la collecte de données, consultez Collecter les journaux Microsoft Azure AD .
Microsoft Defender pour le cloud (MICROSOFT_GRAPH_ALERT). Pour savoir comment configurer la collecte de données, consultez Collecter les journaux d'alertes de l'API Microsoft Graph.

Pour savoir comment collecter des données de journaux Azure et utiliser des détections sélectionnées, consultez Se connecter à Microsoft Azure pour collecter des données de journaux.