Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Fonctionnalités Google SecOps dans Security Command Center Enterprise

Le niveau de service Security Command Center Enterprise offre des fonctionnalités supplémentaires par rapport aux niveaux Standard et Premium, y compris une sélection de fonctionnalités Google Security Operations et la possibilité d'ingérer des données provenant d'autres fournisseurs de services cloud. Ces fonctionnalités font de Security Command Center une plate-forme cloud native de protection des applications (CNAPP).

Les fonctionnalités Google Security Operations du niveau Security Command Center Enterprise ont des limites différentes de celles des forfaits Google Security Operations. Ces limites sont décrites dans le tableau suivant.

Fonctionnalité	Limites
Renseignements sur les menaces appliqués	Aucun accès
Détections optimisées	Limité à la détection des menaces cloud sur Google Cloud, Microsoft Azure et AWS.
Règles personnalisées	20 règles personnalisées à événement unique règles. Les règles à événements multiples ne sont pas acceptées.
Conservation des données	3 mois
Gemini pour Google Security Operations	Limité à la recherche en langage naturel et aux résumés d'investigation sur les demandes
Gestion des informations et des événements de sécurité (SIEM) Google SecOps	Données cloud uniquement.
Orchestration de la sécurité, automatisation et réponse (SOAR) Google SecOps	Intégrations de réponse cloud uniquement. Pour obtenir la liste des intégrations compatibles, consultez Intégrations Google Security Operations compatibles. Compatible avec un environnement SOAR.
Ingestion de journaux	Limité aux journaux compatibles avec la détection des menaces cloud. Pour obtenir la liste, consultez Collecte des données de journaux compatibles dans Google SecOps
Analyse des risques	Aucun accès

Intégrations Google Security Operations compatibles

Les sections suivantes listent les intégrations Google Security Operations Marketplace compatibles avec Security Command Center Enterprise. Elles sont répertoriées dans des colonnes distinctes du tableau suivant.

Les intégrations empaquetées et préconfigurées sont incluses dans le cas d'utilisation SCC Enterprise – Cloud Orchestration and Remediation et sont préconfigurées pour prendre en charge les cas d'utilisation de la plate-forme cloud native de protection des applications (CNAPP). Elles sont disponibles lorsque vous activez Security Command Center Enterprise et mettez à jour le cas d'utilisation Enterprise.

Les configurations du cas d'utilisation SCC Enterprise – Cloud Orchestration and Remediation incluent, par exemple, des playbooks dédiés qui utilisent Jira et ServiceNow avec une gestion prédéfinie des cas de réponse. Les intégrations sont préconfigurées pour prendre en charge tous les fournisseurs de services cloud compatibles avec Security Command Center Enterprise.
Intégrations téléchargeables : avec Security Command Center Enterprise, vous pouvez télécharger les intégrations suivantes et les utiliser dans un playbook. Les versions que vous téléchargez depuis Google Security Operations Marketplace ne sont pas configurées spécifiquement pour Security Command Center Enterprise et nécessitent une configuration manuelle supplémentaire.

Chaque intégration est listée par nom. Pour en savoir plus sur une intégration spécifique, consultez Intégrations Google Security Operations Marketplace.

Type d'application ou d'informations	Intégrations empaquetées et préconfigurées	Intégrations téléchargeables
Google Cloud et intégrations Google Workspace	AppSheet Centre d'alertes Google Google BigQuery Google Chat Google Chronicle Inventaire des éléments cloud Google Cloud Google Cloud Compute Google Cloud IAM Google Cloud Policy Intelligence Google Cloud Recommender Google Cloud Storage Google Kubernetes Engine Google Rapid Response (GRR) Google Security Command Center Google Traduction GSuite SCCEnterprise	AppSheet Centre d'alertes Google Google BigQuery Google Chat Google Chronicle Inventaire des éléments cloud Google Cloud Google Cloud Compute Google Cloud IAM Google Cloud Policy Intelligence Google Cloud Recommender Google Cloud Storage Google Kubernetes Engine Google Rapid Response (GRR) Google Security Command Center Google Traduction GSuite SCCEnterprise
Intégrations Amazon Web Services	AWS CloudTrail AWS CloudWatch AWS Elastic Compute Cloud (EC2) AWS GuardDuty AWS Identity and Access Management (IAM) AWS IAM Access Analyzer AWS S3 AWS Security Hub AWS WAF	AWS CloudTrail AWS CloudWatch AWS Elastic Compute Cloud (EC2) AWS GuardDuty AWS Identity and Access Management (IAM) AWS IAM Access Analyzer Amazon Macie* AWS S3 AWS Security Hub AWS WAF
Intégrations Microsoft Azure et Office 365	Azure Active Directory Azure AD Identity Protection Azure Security Center Microsoft Graph Mail Microsoft Teams	Azure Active Directory Azure AD Identity Protection Azure Security Center Microsoft Graph Mail Microsoft Teams
Applications liées à la gestion des services informatiques (ITSM)	BMC Helix Remedyforce BMC Remedy ITSM CA Service Desk Manager Easy Vista Freshworks Freshservice Jira Micro Focus ITSMA Service Desk Plus V3 ServiceNow SysAid Zendesk Zoho Desk	BMC Helix Remedyforce BMC Remedy ITSM CA Service Desk Manager Easy Vista Freshworks Freshservice Jira Micro Focus ITSMA Service Desk Plus V3 ServiceNow SysAid Zendesk Zoho Desk
Applications liées à la communication	E-mail V2 Échange Google Chat Microsoft Graph Mail Microsoft Teams Slack	E-mail V2 Échange Google Chat Microsoft Graph Mail Microsoft Teams Slack
Renseignement sur les menaces	Mandiant Threat Intelligence Mitre Att&ck VirusTotalV3	Mandiant Threat Intelligence Mitre Att&ck VirusTotalV3
* L'intégration n'est pas empaquetée dans le cas d'utilisation SCC Enterprise – Cloud Orchestration and Remediation.

Fonctionnalités clés de la console Security Operations

Le niveau Security Command Center Enterprise intègre des fonctionnalités clés de Google Security Operations, accessibles via la console Security Operations. Les sections suivantes présentent brièvement les fonctionnalités disponibles :

Alertes et IOC

Cette page de la console Security Operations vous permet d'afficher les alertes créées par des détections optimisées et des règles personnalisées. Pour en savoir plus sur l'investigation sur les alertes, consultez les sections suivantes de la documentation Google Security Operations :

Investiguer sur une alerte GCTI générée par des détections optimisées.
Investiguer sur une alerte.

Demandes

Dans la console Security Operations, vous utilisez des demandes pour obtenir des informations sur les résultats, joindre des playbooks aux alertes de résultat, appliquer des réponses automatiques aux menaces et suivre la résolution des problèmes de sécurité.

Pour en savoir plus, consultez Présentation des demandes.

Guides

Cette page de la console Security Operations vous permet de gérer les playbooks inclus dans le cas d'utilisation SCC Enterprise – Cloud Orchestration and Remediation.

Pour en savoir plus sur les intégrations disponibles dans ce cas d'utilisation, consultez Niveaux de service de Security Command Center.

Pour en savoir plus sur les playbooks disponibles, consultez Mettre à jour le cas d'utilisation Enterprise.

Pour en savoir plus sur l'utilisation de la page Playbooks de la console Security Operations, consultez Qu'est-ce que la page "Playbooks" ? dans la documentation Google Security Operations.

Règles et détections

Cette page de la console Security Operations vous permet d'activer des détections optimisées et de créer des règles personnalisées pour identifier des modèles dans les données collectées à l'aide des mécanismes de collecte des données de journaux de la console Security Operations . Pour en savoir plus sur les détections optimisées disponibles avec Security Command Center Enterprise, consultez Examiner les menaces avec des détections optimisées.

Tableaux de bord SIEM

Cette page de la console Security Operations vous permet d'afficher les tableaux de bord Google Security Operations SIEM pour analyser les alertes créées par les règles Google Security Operations et les données collectées à l'aide des fonctionnalités de collecte des données de journaux de la console Security Operations.

Pour en savoir plus sur l'utilisation des tableaux de bord SIEM, consultez Présentation des tableaux de bord dans la documentation Google Security Operations.

Recherche SIEM

Cette page de la console Security Operations vous permet de trouver des événements et des alertes Unified Data Model (UDM) dans votre instance Google Security Operations. Pour en savoir plus, consultez Recherche SIEM dans la documentation Google Security Operations.

Paramètres SIEM

Cette page de la console Security Operations vous permet de modifier la configuration des fonctionnalités liées à Google Security Operations SIEM. Pour en savoir plus sur l'utilisation de ces fonctionnalités, consultez la documentation Google Security Operations.

Tableaux de bord SOAR

Cette page de la console Security Operations vous permet d'afficher et de créer des tableaux de bord à l'aide de données SOAR qui peuvent être utilisées pour analyser les réponses et les demandes. Pour en savoir plus sur l'utilisation des tableaux de bord SOAR, consultez Présentation des tableaux de bord SOAR dans la documentation Google Security Operations.

Rapports SOAR

Cette page de la console Security Operations vous permet d'afficher des rapports sur les données SOAR. Pour en savoir plus sur l'utilisation des rapports SOAR, consultez Comprendre les rapports SOAR dans la documentation Google Security Operations.

Recherche SOAR

Cette page de la console Security Operations vous permet de trouver des demandes ou des entités spécifiques indexées par Google Security Operations SOAR. Pour en savoir plus, consultez Utiliser la page "Recherche" dans SOAR dans la documentation Google Security Operations.

Paramètres SOAR

Cette page de la console Security Operations vous permet de modifier la configuration des fonctionnalités liées à Google Security Operations SOAR. Pour en savoir plus sur l'utilisation de ces fonctionnalités, consultez la documentation Google Security Operations.

Collecte des données de journaux Google SecOps compatibles

Les sections suivantes décrivent le type de données de journaux que les clients disposant de Security Command Center Enterprise peuvent ingérer directement dans le locataire Google Security Operations. Ce mécanisme de collecte de données est différent du connecteur AWS de Security Command Center qui collecte les données de ressources et de configuration.

Les informations sont regroupées par fournisseur de services cloud.

Google Cloud Données de journaux
Données de journaux Amazon Web Services
Données de journaux Microsoft Azure

Pour chaque type de journal listé, le libellé d'ingestion Google SecOps est fourni, par exemple GCP_CLOUDAUDIT. Pour obtenir la liste complète des libellés d'ingestion Google SecOps, consultez Types de journaux et analyseurs par défaut compatibles.

Google Cloud

Les données suivantes peuvent être ingérées dans Google SecOps : Google Cloud

Cloud Audit Logs (GCP_CLOUDAUDIT)
Cloud Intrusion Detection System (GCP_IDS)
Pare-feu Cloud nouvelle génération (GCP_NGFW_ENTERPRISE)
Métadonnées de l'inventaire des éléments cloud
Contexte de la protection des données sensibles
Journaux Model Armor

Les éléments suivants doivent également être activés et acheminés vers Cloud Logging :

Pour en savoir plus sur la collecte de journaux à partir d'instances de VM Linux et Windows et sur leur envoi à Cloud Logging, consultez Agents Google Cloud Observability.

Le processus d'activation de Security Command Center Enterprise configure automatiquement l'ingestion des Google Cloud données dans Google SecOps. Pour en savoir plus, consultez Activer le niveau Security Command Center Enterprise > Provisionner une nouvelle instance.

Pour en savoir plus sur la modification de la Google Cloud configuration d'ingestion des données, consultez Ingérer Google Cloud des données dans Google Security Operations.

Amazon Web Services

Les données AWS suivantes peuvent être ingérées dans Google SecOps :

AWS CloudTrail (AWS_CLOUDTRAIL)
AWS GuardDuty (GUARDDUTY)
HÔTES AWS EC2 (AWS_EC2_HOSTS)
INSTANCES AWS EC2 (AWS_EC2_INSTANCES)
VPC AWS EC2 (AWS_EC2_VPCS)
AWS Identity and Access Management (IAM) (AWS_IAM)

Pour en savoir plus sur la collecte des données de journaux AWS et l'utilisation de détections optimisées, consultez Se connecter à AWS pour collecter des données de journaux.

Microsoft Azure

Les données Microsoft suivantes peuvent être ingérées dans Google SecOps :

Services cloud Microsoft Azure (AZURE_ACTIVITY). Pour en savoir plus sur la configuration de la collecte de données, consultez Ingérer des journaux d'activité Microsoft Azure.
Microsoft Entra ID, anciennement Azure Active Directory (AZURE_AD). Pour en savoir plus sur la configuration de la collecte de données, consultez Collecter des journaux Microsoft Azure AD .
Journaux d'audit Microsoft Entra ID, anciennement journaux d'audit Azure AD (AZURE_AD_AUDIT). Pour en savoir plus sur la configuration de la collecte de données, consultez Collecter des journaux Microsoft Azure AD .
Microsoft Defender for Cloud (MICROSOFT_GRAPH_ALERT). Pour en savoir plus sur la configuration de la collecte de données, consultez Collecter des journaux d'alerte de l'API Microsoft Graph.

Pour en savoir plus sur la collecte des données de journaux Azure et l'utilisation de détections optimisées, consultez Se connecter à Microsoft Azure pour collecter des données de journaux.