Funzionalità di Google SecOps in Security Command Center Enterprise

Il livello di servizio Security Command Center Enterprise offre funzionalità aggiuntive rispetto ai livelli Standard e Premium, tra cui una selezione di funzionalità di Google Security Operations e la possibilità di importare dati da altri provider cloud. Queste funzionalità rendono Security Command Center una piattaforma di protezione delle applicazioni cloud-native (CNAPP).

Le funzionalità di Google Security Operations nel livello Security Command Center Enterprise hanno limiti diversi rispetto a quelli dei piani Google Security Operations. Questi limiti sono descritti nella tabella seguente.

Funzionalità Limiti
Applied Threat Intelligence Nessun accesso
Rilevamenti selezionati Limitato al rilevamento di minacce cloud su Google Cloud, Microsoft Azure e AWS.
Regole personalizzate 20 regole personalizzate a evento singolo , le regole a più eventi non sono supportate.
Conservazione dei dati 3 mesi
Gemini per Google Security Operations Limitato alla ricerca in linguaggio naturale e ai riepiloghi delle indagini sui casi
Gestione degli eventi e delle informazioni di sicurezza (SIEM) di Google SecOps Solo dati sul cloud.
Orchestrazione, automazione e risposta della sicurezza (SOAR) di Google SecOps Solo integrazioni di risposta al cloud. Per l'elenco delle integrazioni supportate, consulta Integrazioni di Google Security Operations supportate.

Supporta un ambiente SOAR.
Importazione dei log

Limitato ai log supportati per il rilevamento delle minacce cloud. Per l'elenco, vedi Raccolta dei dati di log supportata in Google SecOps

Analisi del rischio Nessun accesso

Integrazioni di Google Security Operations supportate

Le sezioni seguenti elencano le integrazioni di Google Security Operations Marketplace supportate con Security Command Center Enterprise. Sono elencati in colonne separate nella tabella seguente.

  • Integrazioni pacchettizzate e preconfigurate: sono incluse nel caso d'uso SCC Enterprise - Cloud Orchestration and Remediation e sono preconfigurate per supportare i casi d'uso della piattaforma di protezione delle applicazioni cloud-native (CNAPP). Sono disponibili quando attivi Security Command Center Enterprise e aggiorni il caso d'uso Enterprise.

    Le configurazioni nel caso d'uso SCC Enterprise - Cloud Orchestration and Remediation includono, ad esempio, playbook dedicati che utilizzano Jira e ServiceNow con la gestione predefinita dei casi di risposta. Le integrazioni sono preconfigurate per supportare tutti i provider cloud supportati da Security Command Center Enterprise.

  • Integrazioni scaricabili: con Security Command Center Enterprise, puoi scaricare le seguenti integrazioni e utilizzarle in un playbook. Le versioni che scarichi da Google Security Operations Marketplace non sono configurate specificamente per Security Command Center Enterprise e richiedono una configurazione manuale aggiuntiva.

Ogni integrazione è elencata per nome. Per informazioni su un'integrazione specifica, vedi Integrazioni di Google Security Operations Marketplace.

Tipo di richiesta o informazioni

Integrazioni preconfigurate e in pacchetto

Integrazioni scaricabili

Google Cloud e integrazioni di Google Workspace
  • AppSheet
  • Centro avvisi Google
  • Google BigQuery
  • Google Chat
  • Google Chronicle
  • Google Cloud Asset Inventory
  • Google Cloud Computing
  • Google Cloud IAM
  • Google Cloud Policy Intelligence
  • Google Cloud Recommender
  • Google Cloud Storage
  • Google Kubernetes Engine
  • Google Rapid Response (GRR)
  • Google Security Command Center
  • Google Traduttore
  • G Suite
  • SCCEnterprise
  • AppSheet
  • Centro avvisi Google
  • Google BigQuery
  • Google Chat
  • Google Chronicle
  • Google Cloud Asset Inventory
  • Google Cloud Computing
  • Google Cloud IAM
  • Google Cloud Policy Intelligence
  • Google Cloud Recommender
  • Google Cloud Storage
  • Google Kubernetes Engine
  • Google Rapid Response (GRR)
  • Google Security Command Center
  • Google Traduttore
  • G Suite
  • SCCEnterprise

Integrazioni di Amazon Web Services
  • AWS CloudTrail
  • AWS CloudWatch
  • AWS Elastic Compute Cloud (EC2)
  • AWS GuardDuty
  • AWS Identity and Access Management (IAM)
  • AWS IAM Access Analyzer
  • AWS S3
  • AWS Security Hub
  • AWS WAF
  • AWS CloudTrail
  • AWS CloudWatch
  • AWS Elastic Compute Cloud (EC2)
  • AWS GuardDuty
  • AWS Identity and Access Management (IAM)
  • AWS IAM Access Analyzer
  • Amazon Macie*
  • AWS S3
  • AWS Security Hub
  • AWS WAF

Integrazioni di Microsoft Azure e Office 365
  • Azure Active Directory
  • Azure AD Identity Protection
  • Azure Security Center
  • Microsoft Graph Mail
  • Microsoft Teams
  • Azure Active Directory
  • Azure AD Identity Protection
  • Azure Security Center
  • Microsoft Graph Mail
  • Microsoft Teams

Applicazioni correlate alla gestione dei servizi IT (ITSM)
  • BMC Helix Remedyforce
  • BMC Remedy ITSM
  • Responsabile del service desk del servizio CA
  • Easy Vista
  • Freshworks Freshservice
  • Jira
  • Micro Focus ITSMA
  • Service Desk Plus V3
  • ServiceNow
  • SysAid
  • Zendesk
  • Zoho Desk
  • BMC Helix Remedyforce
  • BMC Remedy ITSM
  • Responsabile del service desk del servizio CA
  • Easy Vista
  • Freshworks Freshservice
  • Jira
  • Micro Focus ITSMA
  • Service Desk Plus V3
  • ServiceNow
  • SysAid
  • Zendesk
  • Zoho Desk

Applicazioni relative alla comunicazione
  • Email V2
  • Exchange
  • Google Chat
  • Microsoft Graph Mail
  • Microsoft Teams
  • Slack
  • Email V2
  • Exchange
  • Google Chat
  • Microsoft Graph Mail
  • Microsoft Teams
  • Slack

Threat intelligence
  • Mandiant Threat Intelligence
  • Mitre Att&ck
  • VirusTotalV3
  • Mandiant Threat Intelligence
  • Mitre Att&ck
  • VirusTotalV3
* L'integrazione non è inclusa nel caso d'uso SCC Enterprise - Cloud Orchestration and Remediation

Funzionalità chiave nella console Security Operations

Il livello Security Command Center Enterprise integra le funzionalità chiave di Google Security Operations, accessibili tramite la console Security Operations. Le seguenti sezioni forniscono una breve panoramica delle funzionalità disponibili:

Avvisi e IOC

Questa pagina della console Security Operations ti consente di visualizzare gli avvisi creati da rilevamenti curati e regole personalizzate. Per informazioni sull'analisi degli avvisi, consulta le seguenti sezioni della documentazione di Google Security Operations:

Richieste

Nella console Security Operations, utilizzi i casi d'uso per ottenere dettagli sui risultati, allegare playbook agli avvisi sui risultati, applicare risposte automatiche alle minacce e monitorare la correzione dei problemi di sicurezza.

Per informazioni, vedi Panoramica delle richieste.

Playbook

Questa pagina della console Security Operations ti consente di gestire i playbook inclusi nel caso d'uso SCC Enterprise - Cloud Orchestration and Remediation.

Per informazioni sulle integrazioni disponibili in questo caso d'uso, consulta Livelli di servizio di Security Command Center.

Per informazioni sui playbook disponibili, vedi Aggiornare il caso d'uso Enterprise.

Per informazioni sull'utilizzo della pagina Playbook della console Security Operations, vedi Che cosa contiene la pagina Playbook? nella documentazione di Google Security Operations.

Regole e rilevamenti

Questa pagina della console Security Operations ti consente di attivare i rilevamenti curati e creare regole personalizzate per identificare i pattern nei dati raccolti utilizzando i meccanismi di raccolta dei dati di log della console Security Operations. Per informazioni sui rilevamenti curati disponibili con Security Command Center Enterprise, consulta Analizzare le minacce con i rilevamenti curati.

Dashboard SIEM

Questa pagina della console Security Operations ti consente di visualizzare i dashboard SIEM di Google Security Operations per analizzare gli avvisi creati dalle regole di Google Security Operations e i dati raccolti utilizzando le funzionalità di raccolta dei dati dei log della console Security Operations.

Per saperne di più sull'utilizzo delle dashboard SIEM, vedi Panoramica delle dashboard nella documentazione di Google Security Operations.

Questa pagina della console Security Operations ti consente di trovare eventi e avvisi Unified Data Model (UDM) all'interno della tua istanza Google Security Operations. Per saperne di più, consulta Ricerca SIEM nella documentazione di Google Security Operations.

Impostazioni SIEM

Questa pagina della console Security Operations ti consente di modificare la configurazione delle funzionalità correlate a Google Security Operations SIEM. Per informazioni sull'utilizzo di queste funzionalità, consulta la documentazione di Google Security Operations.

Dashboard SOAR

Questa pagina della console Security Operations ti consente di visualizzare e creare dashboard utilizzando i dati SOAR che possono essere utilizzati per analizzare risposte e casi. Per saperne di più sull'utilizzo delle dashboard SOAR, consulta Panoramica della dashboard SOAR nella documentazione di Google Security Operations.

Report SOAR

Questa pagina della console Security Operations ti consente di visualizzare i report sui dati SOAR. Per saperne di più sull'utilizzo dei report SOAR, consulta Informazioni sui report SOAR nella documentazione di Google Security Operations.

Questa pagina della console Security Operations ti consente di trovare casi o entità specifici indicizzati da Google Security Operations SOAR. Per saperne di più, consulta Utilizzare la pagina di ricerca in SOAR nella documentazione di Google Security Operations.

Impostazioni SOAR

Questa pagina della console Security Operations ti consente di modificare la configurazione delle funzionalità correlate a Google Security Operations SOAR. Per informazioni sull'utilizzo di queste funzionalità, consulta la documentazione di Google Security Operations.

Raccolta dei dati di log di Google SecOps supportata

Le sezioni seguenti descrivono il tipo di dati di log che i clienti con Security Command Center Enterprise possono importare direttamente nel tenant Google Security Operations. Questo meccanismo di raccolta dei dati è diverso dal connettore AWS in Security Command Center che raccoglie dati su risorse e configurazione.

Le informazioni sono raggruppate per fornitore di servizi cloud.

  • Google Cloud dati di log
  • Dati di log di Amazon Web Services
  • Dati dei log di Microsoft Azure

Per ogni tipo di log elencato, viene fornita l'etichetta di importazione di Google SecOps, ad esempio GCP_CLOUDAUDIT. Consulta la sezione Tipi di log supportati e parser predefiniti per un elenco completo delle etichette di importazione di Google SecOps.

Google Cloud

I seguenti dati Google Cloud possono essere importati in Google SecOps:

Devono essere abilitati e indirizzati a Cloud Logging anche:

Per informazioni su come raccogliere i log dalle istanze VM Linux e Windows e inviarli a Cloud Logging, consulta Agenti Google Cloud Observability.

La procedura di attivazione di Security Command Center Enterprise configura automaticamente l'importazione dei dati Google Cloud in Google SecOps. Per saperne di più, consulta Attivare il livello Security Command Center Enterprise > Provisionare una nuova istanza.

Per informazioni su come modificare la configurazione dell'importazione dei dati, consulta Importare i dati in Google Security Operations. Google Cloud Google Cloud

Amazon Web Services

I seguenti dati AWS possono essere importati in Google SecOps:

  • AWS CloudTrail (AWS_CLOUDTRAIL)
  • AWS GuardDuty (GUARDDUTY)
  • HOST AWS EC2 (AWS_EC2_HOSTS)
  • ISTANZE AWS EC2 (AWS_EC2_INSTANCES)
  • VPC AWS EC2 (AWS_EC2_VPCS)
  • AWS Identity and Access Management (IAM) (AWS_IAM)

Per informazioni sulla raccolta dei dati di log AWS e sull'utilizzo di rilevamenti curati, vedi Connettersi ad AWS per la raccolta dei dati di log.

Microsoft Azure

I seguenti dati Microsoft possono essere importati in Google SecOps:

Per informazioni sulla raccolta dei dati di log di Azure e sull'utilizzo di rilevamenti curati, vedi Connettersi a Microsoft Azure per la raccolta dei dati di log.