Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Google SecOps-Funktionen in Security Command Center Enterprise

Die Dienststufe „Security Command Center Enterprise“ bietet zusätzliche Funktionen im Vergleich zu den Dienststufen „Standard“ und „Premium“, darunter eine Auswahl von Google Security Operations -Funktionen und die Möglichkeit, Daten von anderen Cloud-Anbietern aufzunehmen. Diese Funktionen machen Security Command Center zu einer Cloud-nativen Plattform für den Anwendungsschutz (Cloud-Native Application Protection Platform, CNAPP).

Die Google Security Operations-Funktionen in der Dienststufe „Security Command Center Enterprise“ haben andere Limits als die in den Google Security Operations-Abos. Diese Limits sind in der folgenden Tabelle beschrieben.

Funktion	Limits
Angewandte Bedrohungsinformationen	Kein Zugriff
Ausgewählte Erkennungen	Beschränkt auf die Erkennung von Cloud-Bedrohungen in Google Cloud, Microsoft Azure und AWS.
Benutzerdefinierte Regeln	20 benutzerdefinierte Einzelereignis regeln, Mehrfachereignisregeln werden nicht unterstützt.
Datenaufbewahrung	3 Monate
Gemini für Google Security Operations	Beschränkt auf die Suche in natürlicher Sprache und Zusammenfassungen von Falluntersuchungen
Security Information and Event Management (SIEM) von Google SecOps	Nur Cloud-Daten.
Security Orchestration, Automation, and response (SOAR) von Google SecOps	Nur Cloud-Reaktionsintegrationen. Eine Liste der unterstützten Integrationen finden Sie unter Unterstützte Google Security Operations-Integrationen. Unterstützt eine SOAR-Umgebung.
Log-Aufnahme	Beschränkt auf Logs, die für die Erkennung von Cloud-Bedrohungen unterstützt werden. Eine Liste finden Sie unter Unterstützte Logdatenerfassung in Google SecOps
Risikoanalysen	Kein Zugriff

Unterstützte Google Security Operations-Integrationen

In den folgenden Abschnitten sind die Google Security Operations Marketplace-Integrationen aufgeführt, die mit Security Command Center Enterprise unterstützt werden. Sie sind in der folgenden Tabelle in separaten Spalten aufgeführt.

Paketierte und vorkonfigurierte Integrationen sind im Anwendungsfall SCC Enterprise – Cloud-Orchestrierung und -Abhilfe enthalten und sind vorkonfiguriert, um Anwendungsfälle für Cloud-native Plattformen für den Anwendungsschutz (CNAPP) zu unterstützen. Sie sind verfügbar, wenn Sie Security Command Center Enterprise aktivieren und den Enterprise-Anwendungsfall aktualisieren.

Die Konfigurationen im Anwendungsfall SCC Enterprise – Cloud-Orchestrierung und -Abhilfe umfassen beispielsweise dedizierte Playbooks, die Jira und ServiceNow mit einer vordefinierten Bearbeitung von Reaktionsfällen verwenden. Die Integrationen sind vorkonfiguriert, um alle Cloud-Anbieter zu unterstützen, die von Security Command Center Enterprise unterstützt werden.
Herunterladbare Integrationen: Mit Security Command Center Enterprise können Sie die folgenden Integrationen herunterladen und in einem Playbook verwenden. Die Versionen, die Sie aus dem Google Security Operations Marketplace herunterladen, sind nicht speziell für Security Command Center Enterprise konfiguriert und erfordern eine zusätzliche manuelle Konfiguration.

Jede Integration ist nach Name aufgeführt. Informationen zu einer bestimmten Integration finden Sie unter Google Security Operations Marketplace-Integrationen.

Anwendungstyp oder Informationen	Paketierte und vorkonfigurierte Integrationen	Herunterladbare Integrationen
Google Cloud und Google Workspace-Integrationen	AppSheet Google Alert Center Google BigQuery Google Chat Google Chronicle Google Cloud Asset Inventory Google Cloud Compute Google Cloud IAM Google Cloud Policy Intelligence Google Cloud Recommender Google Cloud Storage Google Kubernetes Engine Google Rapid Response (GRR) Google Security Command Center Google Übersetzer GSuite SCCEnterprise	AppSheet Google Alert Center Google BigQuery Google Chat Google Chronicle Google Cloud Asset Inventory Google Cloud Compute Google Cloud IAM Google Cloud Policy Intelligence Google Cloud Recommender Google Cloud Storage Google Kubernetes Engine Google Rapid Response (GRR) Google Security Command Center Google Übersetzer GSuite SCCEnterprise
Amazon Web Services-Integrationen	AWS CloudTrail AWS CloudWatch AWS Elastic Compute Cloud (EC2) AWS GuardDuty AWS Identity and Access Management (IAM) AWS IAM Access Analyzer AWS S3 AWS Security Hub AWS WAF	AWS CloudTrail AWS CloudWatch AWS Elastic Compute Cloud (EC2) AWS GuardDuty AWS Identity and Access Management (IAM) AWS IAM Access Analyzer Amazon Macie* AWS S3 AWS Security Hub AWS WAF
Microsoft Azure- und Office 365-Integrationen	Azure Active Directory Azure AD Identity Protection Azure Security Center Microsoft Graph Mail Microsoft Teams	Azure Active Directory Azure AD Identity Protection Azure Security Center Microsoft Graph Mail Microsoft Teams
Anwendungen für das IT-Service-Management (ITSM)	BMC Helix Remedyforce BMC Remedy ITSM CA Service Desk Manager Easy Vista Freshworks Freshservice Jira Micro Focus ITSMA Service Desk Plus V3 ServiceNow SysAid Zendesk Zoho Desk	BMC Helix Remedyforce BMC Remedy ITSM CA Service Desk Manager Easy Vista Freshworks Freshservice Jira Micro Focus ITSMA Service Desk Plus V3 ServiceNow SysAid Zendesk Zoho Desk
Anwendungen für die Kommunikation	E‑Mail V2 Datenaustausch Google Chat Microsoft Graph Mail Microsoft Teams Slack	E‑Mail V2 Datenaustausch Google Chat Microsoft Graph Mail Microsoft Teams Slack
Bedrohungsinformationen	Mandiant Threat Intelligence Mitre Att&ck VirusTotalV3	Mandiant Threat Intelligence Mitre Att&ck VirusTotalV3
* Die Integration ist nicht im Anwendungsfall SCC Enterprise – Cloud-Orchestrierung und -Abhilfe enthalten.

Wichtige Funktionen in der Security Operations-Konsole

Die Dienststufe „Security Command Center Enterprise“ umfasst wichtige Funktionen von Google Security Operations, auf die über die Security Operations-Konsole zugegriffen werden kann. In den folgenden Abschnitten erhalten Sie einen kurzen Überblick über die verfügbaren Funktionen:

Benachrichtigungen und IOCs

Auf dieser Seite der Security Operations-Konsole können Sie Benachrichtigungen ansehen, die von ausgewählten Erkennungen und benutzerdefinierten Regeln erstellt wurden. Informationen zum Untersuchen von Benachrichtigungen finden Sie in der Google Security Operations-Dokumentation unter:

GCTI-Benachrichtigung untersuchen , die von ausgewählten Erkennungen generiert wurde.
Benachrichtigungen nachgehen.

Fälle

In der Security Operations-Konsole können Sie Fälle verwenden, um Details zu Ergebnissen zu erhalten, Playbooks an Ergebnisbenachrichtigungen anzuhängen, automatische Reaktionen auf Bedrohungen anzuwenden und die Behebung von Sicherheitsproblemen zu verfolgen.

Weitere Informationen finden Sie unter Übersicht über Fälle.

Playbooks

Auf dieser Seite der Security Operations-Konsole können Sie Playbooks verwalten, die im Anwendungsfall SCC Enterprise – Cloud-Orchestrierung und -Abhilfe enthalten sind.

Informationen zu den in diesem Anwendungsfall verfügbaren Integrationen finden Sie unter Security Command Center-Dienststufen.

Informationen zu den verfügbaren Playbooks finden Sie unter Enterprise-Anwendungsfall aktualisieren.

Informationen zur Verwendung der Seite Playbooks der Security Operations-Konsole finden Sie in der Google Security Operations-Dokumentation unterWhat's on the Playbooks page? (Was ist auf der Seite „Playbooks“ zu finden?).

Regeln und Erkennungen

Auf dieser Seite der Security Operations-Konsole können Sie ausgewählte Erkennungen aktivieren und benutzerdefinierte Regeln erstellen, um Muster in Daten zu identifizieren, die mit den Mechanismen zur Erfassung von Logdaten der Security Operations-Konsole erfasst wurden. Informationen zu den ausgewählten Erkennungen, die mit Security Command Center Enterprise verfügbar sind, finden Sie unter Bedrohungen mit ausgewählten Erkennungen untersuchen.

SIEM-Dashboards

Auf dieser Seite der Security Operations-Konsole können Sie Google Security Operations SIEM Dashboards ansehen, um Benachrichtigungen zu analysieren, die von Google Security Operations-Regeln und Daten erstellt wurden, die mit den Funktionen zur Datenerhebung der Security Operations-Konsole erfasst wurden.

Weitere Informationen zur Verwendung von SIEM-Dashboards finden Sie in der Google Security Operations-Dokumentation unter Dashboards overview (Übersicht über Dashboards).

SIEM-Suche

Auf dieser Seite der Security Operations-Konsole können Sie Unified Data Model (UDM)-Ereignisse und -Benachrichtigungen in Ihrer Google Security Operations-Instanz suchen. Weitere Informationen finden Sie in der Google Security Operations-Dokumentation unter SIEM search (SIEM-Suche).

SIEM-Einstellungen

Auf dieser Seite der Security Operations-Konsole können Sie die Konfiguration für Funktionen im Zusammenhang mit Google Security Operations SIEM ändern. Informationen zur Verwendung dieser Funktionen finden Sie in der Google Security Operations-Dokumentation.

SOAR-Dashboards

Auf dieser Seite der Security Operations-Konsole können Sie Dashboards mit SOAR-Daten ansehen und erstellen, die zur Analyse von Reaktionen und Fällen verwendet werden können. Weitere Informationen zur Verwendung von SOAR-Dashboards finden Sie in der Google Security Operations-Dokumentation unter SOAR Dashboard Overview (Übersicht über SOAR-Dashboards).

SOAR-Berichte

Auf dieser Seite der Security Operations-Konsole können Sie Berichte zu SOAR-Daten ansehen. Weitere Informationen zur Verwendung von SOAR-Berichten finden Sie in der Google Security Operations-Dokumentation unter Understanding SOAR Reports (SOAR-Berichte verstehen).

SOAR-Suche

Auf dieser Seite der Security Operations-Konsole können Sie bestimmte Fälle oder Entitäten suchen, die von Google Security Operations SOAR indexiert wurden. Weitere Informationen finden Sie in der Google Security Operations-Dokumentation unter Work with the Search page in SOAR (Mit der Suchseite in SOAR arbeiten).

SOAR-Einstellungen

Auf dieser Seite der Security Operations-Konsole können Sie die Konfiguration für Funktionen im Zusammenhang mit Google Security Operations SOAR ändern. Informationen zur Verwendung dieser Funktionen finden Sie in der Google Security Operations-Dokumentation.

Unterstützte Google SecOps-Logdatenerfassung

In den folgenden Abschnitten wird der Typ von Logdaten beschrieben, die Kunden mit Security Command Center Enterprise direkt in den Google Security Operations-Mandanten aufnehmen können. Dieser Mechanismus zur Datenerfassung unterscheidet sich vom AWS-Connector in Security Command Center der Ressourcen- und Konfigurationsdaten erfasst.

Die Informationen sind nach Cloud-Anbieter gruppiert.

Google Cloud Logdaten
Amazon Web Services-Logdaten
Microsoft Azure-Logdaten

Für jeden aufgeführten Logtyp wird das Google SecOps-Aufnahmelabel angegeben, z. B. GCP_CLOUDAUDIT. Eine vollständige Liste der Google SecOps-Aufnahmelabels finden Sie unter Unterstützte Logtypen und Standardparser.

Google Cloud

Die folgenden Google Cloud Daten können in Google SecOps aufgenommen werden:

Cloud-Audit-Logs (GCP_CLOUDAUDIT)
Cloud Intrusion Detection System (GCP_IDS)
Cloud Next Generation Firewall (GCP_NGFW_ENTERPRISE)
Cloud Asset Inventory-Metadaten
Kontext für Sensitive Data Protection
Model Armor-Logs

Außerdem müssen die folgenden Elemente aktiviert und an Cloud Logging weitergeleitet werden:

Informationen zum Erfassen von Logs aus Linux- und Windows-VM-Instanzen und zum Senden an Cloud Logging finden Sie unter Google Cloud Observability-Agents.

Beim Aktivieren von Security Command Center Enterprise wird die Aufnahme von Daten in Google SecOps automatisch konfiguriert. Google Cloud Weitere Informationen finden Sie unter _Dienststufe „Security Command Center Enterprise“ aktivieren_ > _Neue Instanz bereitstellen_.

Informationen zum Ändern der Google Cloud Konfiguration für die Datenaufnahme finden Sie unter Daten in Google Security Operations aufnehmen. Google Cloud

Amazon Web Services

Die folgenden AWS-Daten können in Google SecOps aufgenommen werden:

AWS CloudTrail (AWS_CLOUDTRAIL)
AWS GuardDuty (GUARDDUTY)
AWS EC2-HOSTS (AWS_EC2_HOSTS)
AWS EC2-INSTANZEN (AWS_EC2_INSTANCES)
AWS EC2-VPCs (AWS_EC2_VPCS)
AWS Identity and Access Management (IAM) (AWS_IAM)

Informationen zur Erhebung von AWS-Logdaten und zur Verwendung ausgewählter Erkennungen finden Sie unter Verbindung zu AWS für die Erfassung von Logdaten herstellen.

Microsoft Azure

Die folgenden Microsoft-Daten können in Google SecOps aufgenommen werden:

Microsoft Azure Cloud Services (AZURE_ACTIVITY). Siehe Microsoft Azure-Aktivitätslogs aufnehmen für Informationen zum Einrichten der Datenerfassung.
Microsoft Entra ID, früher Azure Active Directory (AZURE_AD). Informationen zum Einrichten der Datenerfassung finden Sie unter Microsoft Azure AD-Logs erfassen .
Microsoft Entra ID-Audit-Logs, früher Azure AD-Audit-Logs (AZURE_AD_AUDIT). Informationen zum Einrichten der Datenerfassung finden Sie unter Microsoft Azure AD-Logs erfassen .
Microsoft Defender for Cloud (MICROSOFT_GRAPH_ALERT). Informationen zum Einrichten der Datenerfassung finden Sie unter Microsoft Graph API-Benachrichtigungslogs erfassen.

Informationen zum Erfassen von Azure-Logdaten und zur Verwendung ausgewählter Erkennungen finden Sie unter Verbindung zu Microsoft Azure für die Erfassung von Logdaten herstellen.