Funciones de Google SecOps en Security Command Center Enterprise

El nivel de servicio Enterprise de Security Command Center ofrece funciones adicionales en comparación con los niveles Standard y Premium, incluida una selección de funciones de Google Security Operations y la capacidad de transferir datos de otros proveedores de servicios en la nube. Estas funciones convierten a Security Command Center en una plataforma de protección de aplicaciones nativas de la nube (CNAPP).

Las funciones de Google Security Operations en el nivel de Security Command Center Enterprise tienen límites diferentes a los de los planes de Google Security Operations. Estos límites se describen en la siguiente tabla.

Función	Límites
Inteligencia contra amenazas aplicada	Sin acceso
Detecciones seleccionadas	Se limita a detectar amenazas en la nube en Google Cloud, Microsoft Azure y AWS.
Reglas personalizadas	20 reglas personalizadas de evento único, no se admiten reglas de varios eventos.
Retención de datos	3 meses
Gemini para Google Security Operations	Se limita a la búsqueda en lenguaje natural y a los resúmenes de investigación de casos
Administración de información y eventos de seguridad (SIEM) de Google SecOps	Solo datos de la nube.
Organización, automatización y respuesta de seguridad (SOAR) de Google SecOps	Solo integraciones de respuesta en la nube. Para obtener la lista de integraciones compatibles, consulta Integraciones compatibles con Google Security Operations. Admite un entorno de SOAR.
Transferencia de registros	Se limita a los registros compatibles con la detección de amenazas de Cloud. Para ver la lista, consulta Recopilación de datos de registro admitida en Google SecOps.
Análisis de riesgos	Sin acceso

Integraciones compatibles con Google Security Operations

En las siguientes secciones, se enumeran las integraciones de Google Security Operations Marketplace que son compatibles con Security Command Center Enterprise. Se enumeran en columnas separadas en la siguiente tabla.

Integraciones empaquetadas y preconfiguradas: Se incluyen en el caso de uso de SCC Enterprise: organización y corrección en la nube y están preconfiguradas para admitir casos de uso de la plataforma de protección de aplicaciones nativas de la nube (CNAPP). Están disponibles cuando activas Security Command Center Enterprise y actualizas el caso de uso de Enterprise.

Las configuraciones del caso de uso de SCC Enterprise - Cloud Orchestration and Remediation incluyen, por ejemplo, guías dedicadas que usan Jira y ServiceNow con un manejo predefinido de los casos de respuesta. Las integraciones están preconfiguradas para admitir todos los proveedores de servicios en la nube que admite Security Command Center Enterprise.
Integraciones descargables: Con Security Command Center Enterprise, puedes descargar las siguientes integraciones y usarlas en una guía. Las versiones que descargas de Google Security Operations Marketplace no están configuradas específicamente para Security Command Center Enterprise y requieren configuración manual adicional.

Cada integración se muestra por su nombre. Para obtener información sobre una integración específica, consulta Integraciones de Google Security Operations Marketplace.

Tipo de solicitud o información	Integraciones preconfiguradas y empaquetadas	Integraciones descargables
Google Cloud y las integraciones de Google Workspace	AppSheet Centro de alertas de Google Google BigQuery Google Chat Google Chronicle Google Cloud Asset Inventory Procesamiento de Google Cloud Google Cloud IAM Google Cloud Policy Intelligence Google Cloud Recommender Google Cloud Storage Google Kubernetes Engine Google Rapid Response (GRR) Google Security Command Center Google Traductor G Suite SCCEnterprise	AppSheet Centro de alertas de Google Google BigQuery Google Chat Google Chronicle Google Cloud Asset Inventory Procesamiento de Google Cloud Google Cloud IAM Google Cloud Policy Intelligence Google Cloud Recommender Google Cloud Storage Google Kubernetes Engine Google Rapid Response (GRR) Google Security Command Center Google Traductor G Suite SCCEnterprise
Integraciones de Amazon Web Services	AWS CloudTrail AWS CloudWatch AWS Elastic Compute Cloud (EC2) AWS GuardDuty AWS Identity and Access Management (IAM) AWS IAM Access Analyzer AWS S3 AWS Security Hub AWS WAF	AWS CloudTrail AWS CloudWatch AWS Elastic Compute Cloud (EC2) AWS GuardDuty AWS Identity and Access Management (IAM) AWS IAM Access Analyzer Amazon Macie* AWS S3 AWS Security Hub AWS WAF
Integraciones de Microsoft Azure y Office 365	Azure Active Directory Protección de identidad de Azure AD Azure Security Center Correo de Microsoft Graph Microsoft Teams	Azure Active Directory Protección de identidad de Azure AD Azure Security Center Correo de Microsoft Graph Microsoft Teams
Aplicaciones relacionadas con la administración de servicios de TI (ITSM)	BMC Helix Remedyforce BMC Remedy ITSM Administrador de la mesa de ayuda del Servicio de CA Easy Vista Freshworks Freshservice Jira Micro Focus ITSMA Service Desk Plus V3 ServiceNow SysAid Zendesk Zoho Desk	BMC Helix Remedyforce BMC Remedy ITSM Administrador de la mesa de ayuda del Servicio de CA Easy Vista Freshworks Freshservice Jira Micro Focus ITSMA Service Desk Plus V3 ServiceNow SysAid Zendesk Zoho Desk
Aplicaciones relacionadas con la comunicación	Correo electrónico V2 Intercambio Google Chat Correo de Microsoft Graph Microsoft Teams Slack	Correo electrónico V2 Intercambio Google Chat Correo de Microsoft Graph Microsoft Teams Slack
Inteligencia contra amenazas	Mandiant Threat Intelligence MITRE ATT&CK VirusTotalV3	Mandiant Threat Intelligence MITRE ATT&CK VirusTotalV3
* La integración no se incluye en el caso de uso de SCC Enterprise - Cloud Orchestration and Remediation

Funciones clave de la consola de Security Operations

El nivel Security Command Center Enterprise integra funciones clave de Google Security Operations, a las que se puede acceder a través de la consola de Security Operations. En las siguientes secciones, se proporciona una breve descripción general de las funciones disponibles:

IOC y alertas

En esta página de la consola de Security Operations, puedes ver las alertas creadas por detecciones seleccionadas y reglas personalizadas. Para obtener información sobre cómo investigar alertas, consulta lo siguiente en la documentación de Google Security Operations:

Investigar una alerta de GCTI generada por detecciones seleccionadas
Investigar una alerta

Casos

En la consola de Security Operations, usas casos para obtener detalles sobre los hallazgos, adjuntar guías a las alertas de hallazgos, aplicar respuestas automáticas ante amenazas y hacer un seguimiento de la corrección de los problemas de seguridad.

Para obtener más información, consulta Descripción general de los casos.

Guías

Esta página de la consola de Security Operations te permite administrar las guías incluidas en el caso de uso de SCC Enterprise: organización y corrección en la nube.

Para obtener información sobre las integraciones disponibles en este caso de uso, consulta Niveles de servicio de Security Command Center.

Para obtener información sobre las guías disponibles, consulta Actualiza el caso de uso de Enterprise.

Para obtener información sobre cómo usar la página Guías de la consola de Security Operations, consulta ¿Qué se incluye en la página Guías? en la documentación de Google Security Operations.

Reglas y detecciones

Esta página de la consola de Security Operations te permite habilitar detecciones seleccionadas y crear reglas personalizadas para identificar patrones en los datos recopilados con los mecanismos de recopilación de datos de registro de la consola de Security Operations. Para obtener información sobre las detecciones seleccionadas disponibles con Security Command Center Enterprise, consulta Investiga amenazas con detecciones seleccionadas.

Paneles de SIEM

En esta página de la consola de Security Operations, puedes ver los paneles de Google Security Operations SIEM para analizar las alertas creadas por las reglas de Google Security Operations y los datos recopilados con las capacidades de recopilación de datos de registro de la consola de Security Operations.

Para obtener más información sobre el uso de los paneles de SIEM, consulta Descripción general de los paneles en la documentación de Google Security Operations.

Búsqueda de SIEM

En esta página de la consola de Security Operations, puedes encontrar eventos y alertas del Modelo de datos unificado (UDM) en tu instancia de Google Security Operations. Para obtener más información, consulta Búsqueda en el SIEM en la documentación de Google Security Operations.

Configuración de SIEM

En esta página de la consola de Security Operations, puedes cambiar la configuración de las funciones relacionadas con Google Security Operations SIEM. Para obtener información sobre el uso de estas funciones, consulta la documentación de Google Security Operations.

Paneles de SOAR

En esta página de la consola de Security Operations, puedes ver y crear paneles con datos de SOAR que se pueden usar para analizar respuestas y casos. Para obtener más información sobre el uso de los paneles de SOAR, consulta Descripción general del panel de SOAR en la documentación de Google Security Operations.

Informes de SOAR

En esta página de la consola de Security Operations, puedes ver informes basados en datos de SOAR. Para obtener más información sobre el uso de los informes de SOAR, consulta Understanding SOAR Reports en la documentación de Google Security Operations.

Búsqueda de SOAR

En esta página de la consola de Security Operations, puedes encontrar casos o entidades específicos indexados por Google Security Operations SOAR. Para obtener más información, consulta Trabaja con la página de búsqueda en SOAR en la documentación de Google Security Operations.

Configuración de SOAR

En esta página de la consola de Security Operations, puedes cambiar la configuración de las funciones relacionadas con Google Security Operations SOAR. Para obtener información sobre el uso de estas funciones, consulta la documentación de Google Security Operations.

Recopilación de datos de registro de Google SecOps admitida

En las siguientes secciones, se describe el tipo de datos de registro que los clientes de Security Command Center Enterprise pueden transferir directamente al usuario de Google Security Operations. Este mecanismo de recopilación de datos es diferente del conector de AWS en Security Command Center , que recopila datos de recursos y configuración.

La información se agrupa por proveedor de servicios en la nube.

Datos de registro deGoogle Cloud
Datos de registro de Amazon Web Services
Datos de registro de Microsoft Azure

Para cada tipo de registro que se indica, se proporciona la etiqueta de transferencia de Google SecOps, por ejemplo, GCP_CLOUDAUDIT. Consulta Tipos de registros admitidos y analizadores predeterminados para obtener una lista completa de las etiquetas de transferencia de datos de Google SecOps.

Google Cloud

Los siguientes Google Cloud datos se pueden transferir a Google SecOps:

Registros de auditoría de Cloud (GCP_CLOUDAUDIT)
Sistema de detección de intrusiones de Cloud (GCP_IDS)
Cloud Next Generation Firewall (GCP_NGFW_ENTERPRISE)
Metadatos de Cloud Asset Inventory
Contexto de Sensitive Data Protection
Registros de Model Armor

También se deben habilitar los siguientes elementos y enrutarlos a Cloud Logging:

Para obtener información sobre cómo recopilar registros de instancias de VM de Linux y Windows, y enviarlos a Cloud Logging, consulta Agentes de Google Cloud Observability.

El proceso de activación de Security Command Center Enterprise configura automáticamente la transferencia de datos de Google Cloud a Google SecOps. Para obtener más información, consulta Activa Security Command Center Enterprise Center > Aprovisiona una instancia nueva.

Si quieres obtener información para modificar la configuración de la transferencia de datos, consulta Transfiere datos de Google Cloud a Google Security Operations. Google Cloud

Amazon Web Services

Los siguientes datos de AWS se pueden transferir a Google SecOps:

AWS CloudTrail (AWS_CLOUDTRAIL)
AWS GuardDuty (GUARDDUTY)
HOSTS DE AWS EC2 (AWS_EC2_HOSTS)
INSTANCIAS DE AWS EC2 (AWS_EC2_INSTANCES)
VPC de AWS EC2 (AWS_EC2_VPCS)
AWS Identity and Access Management (IAM) (AWS_IAM)

Si deseas obtener información para recopilar datos de registro de AWS y usar detecciones seleccionadas, consulta Conéctate a AWS para recopilar datos de registro.

Microsoft Azure

Los siguientes datos de Microsoft se pueden transferir a Google SecOps:

Servicios en la nube de Microsoft Azure (AZURE_ACTIVITY). Consulta Cómo ingerir registros de actividad de Microsoft Azure para obtener información sobre cómo configurar la recopilación de datos.
Microsoft Entra ID, antes Azure Active Directory (AZURE_AD). Consulta Recopila registros de Microsoft Azure AD para obtener información sobre cómo configurar la recopilación de datos.
Registros de auditoría de Microsoft Entra ID (antes, registros de auditoría de Azure AD) (AZURE_AD_AUDIT). Consulta Recopila registros de Microsoft Azure AD para obtener información sobre cómo configurar la recopilación de datos.
Microsoft Defender for Cloud (MICROSOFT_GRAPH_ALERT). Consulta Recopila registros de alertas de la API de Microsoft Graph para obtener información sobre cómo configurar la recopilación de datos.

Para obtener información sobre la recopilación de datos de registro de Azure y el uso de detecciones seleccionadas, consulta Conéctate a Microsoft Azure para la recopilación de datos de registro.