Die Enterprise-Dienststufe von Security Command Center bietet im Vergleich zur Standard- und Premium-Stufe zusätzliche Funktionen, darunter eine Auswahl von Google Security Operations-Funktionen und die Möglichkeit, Daten von anderen Cloud-Anbietern zu erfassen. Diese Funktionen machen Security Command Center zu einer Schutzplattform für cloudnative Anwendungen (CNAPP).
Die Google Security Operations-Funktionen in Security Command Center Enterprise haben andere Limits als die in den Google Security Operations-Versionen. Diese Limits werden in der folgenden Tabelle beschrieben.
| Funktion | Limits |
|---|---|
| Angewandte Bedrohungsinformationen | Kein Zugriff |
| Ausgewählte Erkennungen | Beschränkt auf die Erkennung von Cloud-Bedrohungen auf Google Cloud, Microsoft Azure und AWS. |
| Benutzerdefinierte Regeln | 20 benutzerdefinierte Einzelereignisregeln. Mehrfachereignisregeln werden nicht unterstützt. |
| Datenaufbewahrung | 3 Monate |
| Gemini für Google Security Operations | Beschränkt auf die Suche in natürlicher Sprache und Zusammenfassungen von Falluntersuchungen |
| Google SecOps Security Information and Event Management (SIEM) | Nur Cloud-Daten. |
| Google SecOps – Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR) | Nur Cloud-Antwortintegrationen. Eine Liste der unterstützten Integrationen finden Sie unter Unterstützte Google Security Operations-Integrationen.
Unterstützt eine SOAR-Umgebung. |
| Log-Aufnahme |
Beschränkt auf Logs, die für Cloud Threat Detection unterstützt werden. Eine Liste finden Sie unter Unterstützte Erfassung von Protokolldaten in Google SecOps. |
| Risikoanalysen | Kein Zugriff |
Unterstützte Google Security Operations-Integrationen
In den folgenden Abschnitten werden die Google Security Operations Marketplace-Integrationen aufgeführt, die mit Security Command Center Enterprise unterstützt werden. Sie sind in der folgenden Tabelle in separaten Spalten aufgeführt.
Verpackte und vorkonfigurierte Integrationen: sind im Anwendungsfall SCC Enterprise – Cloud Orchestration and Remediation enthalten und vorkonfiguriert, um CNAPP-Anwendungsfälle (Cloud-Native Application Protection Platform) zu unterstützen. Sie sind verfügbar, wenn Sie Security Command Center Enterprise aktivieren und den Enterprise-Anwendungsfall aktualisieren.
Konfigurationen im Anwendungsfall SCC Enterprise – Cloud Orchestration and Remediation umfassen beispielsweise dedizierte Playbooks, die Jira und ServiceNow mit vordefinierter Bearbeitung von Reaktionsfällen verwenden. Die Integrationen sind vorkonfiguriert, um alle Cloud-Anbieter zu unterstützen, die von Security Command Center Enterprise unterstützt werden.
Herunterladbare Integrationen: Mit Security Command Center Enterprise können Sie die folgenden Integrationen herunterladen und in einem Playbook verwenden. Die Versionen, die Sie aus dem Google Security Operations Marketplace herunterladen, sind nicht speziell für Security Command Center Enterprise konfiguriert und erfordern eine zusätzliche manuelle Konfiguration.
Jede Integration wird mit ihrem Namen aufgeführt. Informationen zu einer bestimmten Integration finden Sie unter Google Security Operations Marketplace-Integrationen.
Art des Antrags oder der Informationen |
Zusammengefasste und vorkonfigurierte Integrationen |
Herunterladbare Integrationen |
|---|---|---|
Google Cloud und Google Workspace-Integrationen |
|
|
Amazon Web Services-Integrationen |
|
|
Microsoft Azure- und Office 365-Integrationen |
|
|
Anwendungen im Zusammenhang mit der Verwaltung von IT-Diensten (ITSM) |
|
|
Kommunikationsbezogene Anwendungen |
|
|
Threat Intelligence |
|
|
| * Die Integration ist nicht im Anwendungsfall SCC Enterprise – Cloud Orchestration and Remediation enthalten. | ||
Unterstützte Google SecOps-Logdatenerfassung
In den folgenden Abschnitten wird beschrieben, welche Art von Logdaten Kunden mit Security Command Center Enterprise direkt in den Google Security Operations-Mandanten aufnehmen können. Dieser Mechanismus zur Datenerfassung unterscheidet sich vom AWS-Connector in Security Command Center , mit dem Ressourcen- und Konfigurationsdaten erfasst werden.
Die Informationen sind nach Cloud-Anbieter gruppiert.
- Google Cloud Logdaten
- Amazon Web Services-Protokolldaten
- Microsoft Azure-Logdaten
Für jeden aufgeführten Logtyp wird das Google SecOps-Aufnahmelabel angegeben, z. B. GCP_CLOUDAUDIT. Eine vollständige Liste der Google SecOps-Aufnahmelabels finden Sie unter Unterstützte Logtypen und Standardparser.
Google Cloud
Die folgenden Google Cloud Daten können in Google SecOps aufgenommen werden:
- Cloud-Audit-Logs (
GCP_CLOUDAUDIT) - Cloud Intrusion Detection System (
GCP_IDS) - Cloud Next Generation Firewall (
GCP_NGFW_ENTERPRISE) - Cloud Asset Inventory-Metadaten
- Kontext für den Schutz sensibler Daten
- Model Armor-Logs
Außerdem muss Folgendes aktiviert und an Cloud Logging weitergeleitet werden:
- AlloyDB for PostgreSQL-Audit-Logs für den Datenzugriff
- Cloud DNS-Logs
- Cloud NAT-Logs
- Cloud Run
- Cloud SQL for SQL Server-Audit-Logs zum Datenzugriff
- Cloud SQL for MySQL-Audit-Logs für den Datenzugriff
- Cloud SQL for PostgreSQL-Audit-Logs für Datenzugriff
- VM-Authlogs in Compute Engine
- Logs für Backend-Dienste von externen Application Load Balancern
- Allgemeine Audit-Logs zum Datenzugriff
- Audit-Logs zum Datenzugriff in Google Kubernetes Engine
- Audit-Logs für Google Workspace-Administratoren
- Audit-Logs von Google Workspace Login
- IAM Data Access-Audit-Logs
- Kontext für den Schutz sensibler Daten
- Model Armor-Logs
- AuditD-Logs
- Windows-Ereignisprotokolle
Informationen zum Erfassen von Logs aus Linux- und Windows-VM-Instanzen und zum Senden an Cloud Logging finden Sie unter Google Cloud Observability-Agents.
Beim Aktivieren von Security Command Center Enterprise wird die Aufnahme von Google Cloud -Daten in Google SecOps automatisch konfiguriert. Weitere Informationen finden Sie unter Security Command Center Enterprise-Stufe aktivieren > Neue Instanz bereitstellen.
Informationen zum Ändern der Konfiguration für die Google Cloud Datenerfassung Google Cloud finden Sie unter Daten in Google Security Operations aufnehmen.
Amazon Web Services
Die folgenden AWS-Daten können in Google SecOps aufgenommen werden:
- AWS CloudTrail (
AWS_CLOUDTRAIL) - AWS GuardDuty (
GUARDDUTY) - AWS EC2-HOSTS (
AWS_EC2_HOSTS) - AWS EC2-INSTANZEN (
AWS_EC2_INSTANCES) - AWS EC2-VPCs (
AWS_EC2_VPCS) - AWS Identity and Access Management (IAM) (
AWS_IAM)
Informationen zum Erfassen von AWS-Logdaten und zur Verwendung kuratierter Erkennungen finden Sie unter Verbindung zu AWS für die Erfassung von Logdaten herstellen.
Microsoft Azure
Die folgenden Microsoft-Daten können in Google SecOps aufgenommen werden:
- Microsoft Azure Cloud Services (
AZURE_ACTIVITY). Informationen zum Einrichten der Datenerfassung finden Sie unter Microsoft Azure-Aktivitätsprotokolle aufnehmen. - Microsoft Entra ID, früher Azure Active Directory (
AZURE_AD). Informationen zum Einrichten der Datenerhebung finden Sie unter Microsoft Azure AD-Protokolle erfassen . - Microsoft Entra ID-Audit-Logs, früher Azure AD-Audit-Logs (
AZURE_AD_AUDIT). Informationen zum Einrichten der Datenerhebung finden Sie unter Microsoft Azure AD-Logs erfassen . - Microsoft Defender for Cloud (
MICROSOFT_GRAPH_ALERT). Informationen zum Einrichten der Datenerhebung finden Sie unter Microsoft Graph API-Benachrichtigungslogs erfassen.
Informationen zum Erfassen von Azure-Logdaten und zur Verwendung kuratierter Erkennungen finden Sie unter Verbindung zu Microsoft Azure für die Erfassung von Logdaten herstellen.