Le niveau de service Enterprise de Security Command Center offre des fonctionnalités supplémentaires par rapport aux niveaux Standard et Premium, y compris une sélection de fonctionnalités Google Security Operations et la possibilité d'ingérer des données provenant d'autres fournisseurs de services cloud. Ces fonctionnalités font de Security Command Center une plate-forme cloud native de protection des applications (CNAPP).
Les fonctionnalités Google Security Operations du niveau Security Command Center Enterprise ont des limites différentes de celles des forfaits Google Security Operations. Ces limites sont décrites dans le tableau suivant.
| Fonctionnalité | Limites |
|---|---|
| Renseignement sur les menaces appliqué | Aucun accès |
| Détections sélectionnées | Limité à la détection des menaces cloud sur Google Cloud, Microsoft Azure et AWS. |
| Règles personnalisées | 20 règles personnalisées à événement unique , les règles à événements multiples ne sont pas prises en charge. |
| Conservation des données | 3 mois |
| Gemini pour Google Security Operations | Limité à la recherche en langage naturel et aux résumés des investigations sur les cas |
| Gestion des informations et des événements de sécurité (SIEM) Google SecOps | Données cloud uniquement. |
| Orchestration de la sécurité, automatisation et réponse (SOAR) Google SecOps | Intégrations de réponses cloud uniquement. Pour obtenir la liste des intégrations compatibles, consultez Intégrations Google Security Operations compatibles.
Compatible avec un environnement SOAR. |
| Ingestion de journaux |
Limité aux journaux compatibles avec la détection des menaces cloud. Pour obtenir la liste, consultez Collecte des données de journaux compatibles dans Google SecOps. |
| Données analytiques sur les risques | Aucun accès |
Intégrations Google Security Operations compatibles
Les sections suivantes listent les intégrations Google Security Operations Marketplace compatibles avec Security Command Center Enterprise. Elles sont listées dans des colonnes distinctes dans le tableau ci-dessous.
Les intégrations packagées et préconfigurées sont incluses dans le cas d'utilisation SCC Enterprise – Orchestration et correction dans le cloud et sont préconfigurées pour prendre en charge les cas d'utilisation de la plate-forme de protection des applications cloud natives (CNAPP). Elles sont disponibles lorsque vous activez Security Command Center Enterprise et mettez à jour le cas d'utilisation Enterprise.
Les configurations du cas d'utilisation SCC Enterprise – Orchestration et correction dans le cloud incluent, par exemple, des playbooks dédiés qui utilisent Jira et ServiceNow avec une gestion prédéfinie des cas de réponse. Les intégrations sont préconfigurées pour être compatibles avec tous les fournisseurs de services cloud acceptés par Security Command Center Enterprise.
Intégrations téléchargeables : avec Security Command Center Enterprise, vous pouvez télécharger les intégrations suivantes et les utiliser dans un playbook. Les versions que vous téléchargez depuis Google Security Operations Marketplace ne sont pas configurées spécifiquement pour Security Command Center Enterprise et nécessitent une configuration manuelle supplémentaire.
Chaque intégration est listée par nom. Pour en savoir plus sur une intégration spécifique, consultez Intégrations Google Security Operations Marketplace.
Type de demande ou d'informations |
Intégrations packagées et préconfigurées |
Intégrations téléchargeables |
|---|---|---|
Google Cloud et les intégrations Google Workspace |
|
|
Intégrations Amazon Web Services |
|
|
Intégrations Microsoft Azure et Office 365 |
|
|
Applications liées à la gestion des services informatiques (ITSM) |
|
|
Applications liées à la communication |
|
|
Renseignement sur les menaces |
|
|
| * L'intégration n'est pas incluse dans le cas d'utilisation SCC Enterprise – Orchestration et correction dans le cloud. | ||
Collecte des données de journaux Google SecOps compatibles
Les sections suivantes décrivent le type de données de journaux que les clients Security Command Center Enterprise peuvent ingérer directement dans le locataire Google Security Operations. Ce mécanisme de collecte de données est différent du connecteur AWS dans Security Command Center , qui collecte les données de ressources et de configuration.
Les informations sont regroupées par fournisseur de services cloud.
- Données de journauxGoogle Cloud
- Données de journaux Amazon Web Services
- Données de journaux Microsoft Azure
Pour chaque type de journal listé, le libellé d'ingestion Google SecOps est fourni (par exemple, GCP_CLOUDAUDIT). Pour obtenir la liste complète des libellés d'ingestion Google SecOps, consultez Types de journaux et analyseurs par défaut acceptés.
Google Cloud
Les données Google Cloud suivantes peuvent être ingérées dans Google SecOps :
- Cloud Audit Logs (
GCP_CLOUDAUDIT) - Cloud Intrusion Detection System (
GCP_IDS) - Cloud Next Generation Firewall (
GCP_NGFW_ENTERPRISE) - Métadonnées de l'inventaire des éléments cloud
- Contexte de la protection des données sensibles
- Journaux Model Armor
Les éléments suivants doivent également être activés et acheminés vers Cloud Logging :
- Journaux d'audit de l'accès aux données AlloyDB pour PostgreSQL
- Journaux Cloud DNS
- Journaux Cloud NAT
- Cloud Run
- Journaux d'audit de l'accès aux données Cloud SQL pour SQL Server
- Journaux d'audit d'accès aux données Cloud SQL pour MySQL
- Journaux d'audit d'accès aux données Cloud SQL pour PostgreSQL
- Journaux d'authentification des VM Compute Engine
- Journaux des services de backend de l'équilibreur de charge d'application externe
- Journaux d'audit génériques pour l'accès aux données
- Journaux d'audit pour l'accès aux données Google Kubernetes Engine
- Journaux d'audit des administrateurs Google Workspace
- Journaux d'audit des connexions Google Workspace
- Journaux d'audit pour l'accès aux données IAM
- Contexte de la protection des données sensibles
- Journaux Model Armor
- Journaux AuditD
- Journaux d'événements Windows
Pour savoir comment collecter des journaux à partir d'instances de VM Linux et Windows, puis les envoyer à Cloud Logging, consultez Agents Google Cloud Observability.
Le processus d'activation de Security Command Center Enterprise configure automatiquement l'ingestion des données Google Cloud dans Google SecOps. Pour en savoir plus, consultez Activer le niveau Security Command Center Enterprise > Provisionner une nouvelle instance.
Pour savoir comment modifier la configuration de l'ingestion de données Google Cloud , consultez Ingérer des données Google Cloud dans Google Security Operations.
Amazon Web Services
Les données AWS suivantes peuvent être ingérées dans Google SecOps :
- AWS CloudTrail (
AWS_CLOUDTRAIL) - AWS GuardDuty (
GUARDDUTY) - HÔTES AWS EC2 (
AWS_EC2_HOSTS) - INSTANCES AWS EC2 (
AWS_EC2_INSTANCES) - VPC AWS EC2 (
AWS_EC2_VPCS) - AWS Identity and Access Management (IAM) (
AWS_IAM)
Pour en savoir plus sur la collecte des données de journaux AWS et l'utilisation des détections organisées, consultez Se connecter à AWS pour la collecte des données de journaux.
Microsoft Azure
Les données Microsoft suivantes peuvent être ingérées dans Google SecOps :
- Services cloud Microsoft Azure (
AZURE_ACTIVITY). Pour savoir comment configurer la collecte de données, consultez Ingérer les journaux d'activité Microsoft Azure. - Microsoft Entra ID, anciennement Azure Active Directory (
AZURE_AD). Pour savoir comment configurer la collecte de données, consultez Collecter les journaux Microsoft Azure AD . - Journaux d'audit Microsoft Entra ID (anciennement journaux d'audit Azure AD) (
AZURE_AD_AUDIT). Pour savoir comment configurer la collecte de données, consultez Collecter les journaux Microsoft Azure AD . - Microsoft Defender pour le cloud (
MICROSOFT_GRAPH_ALERT). Pour savoir comment configurer la collecte de données, consultez Collecter les journaux d'alertes de l'API Microsoft Graph.
Pour en savoir plus sur la collecte des données de journaux Azure et l'utilisation des détections organisées, consultez Se connecter à Microsoft Azure pour la collecte des données de journaux.