O nível de serviço Enterprise do Security Command Center oferece funcionalidades adicionais em comparação com os níveis Standard e Premium, incluindo uma seleção de funcionalidades do Google Security Operations e a capacidade de carregar dados de outros fornecedores de nuvem. Estas funcionalidades tornam o Security Command Center numa plataforma de proteção de aplicações nativa da nuvem (CNAPP).
As funcionalidades do Google Security Operations no nível Enterprise do Security Command Center têm limites diferentes dos dos planos do Google Security Operations. Estes limites estão descritos na tabela seguinte.
| Funcionalidade | Limites |
|---|---|
| Applied Threat Intelligence | Sem acesso |
| Deteções organizadas | Limitado à deteção de ameaças na nuvem no Google Cloud, Microsoft Azure e AWS. |
| Regras personalizadas | 20 regras personalizadas de evento único . As regras de vários eventos não são suportadas. |
| Retenção de dados | 3 meses |
| Gemini para o Google Security Operations | Limitado à pesquisa de linguagem natural e aos resumos de investigações de registos |
| Informação de segurança e gestão de eventos (SIEM) do Google SecOps | Apenas dados na nuvem. |
| Orquestração, automatização e resposta de segurança (SOAR) das SecOps da Google | Apenas integrações de respostas na nuvem. Para ver a lista de integrações suportadas, consulte o artigo
Integrações suportadas do Google Security Operations.
Suporta um ambiente SOAR. |
| Carregamento de registos |
Limitado aos registos suportados para a deteção de ameaças na nuvem. Para ver a lista, consulte o artigo Recolha de dados de registo suportada no Google SecOps |
| Análise de riscos | Sem acesso |
Integrações suportadas do Google Security Operations
As secções seguintes indicam as integrações do Google Security Operations Marketplace que são suportadas com o Security Command Center Enterprise. Estão listados em colunas separadas na tabela seguinte.
Integrações pré-configuradas e em pacote: estão incluídas no exemplo de utilização SCC Enterprise - Cloud Orchestration and Remediation e estão pré-configuradas para suportar exemplos de utilização da plataforma de proteção de aplicações nativas da nuvem (CNAPP). Estão disponíveis quando ativa o Security Command Center Enterprise e atualiza o exemplo de utilização empresarial.
As configurações no exemplo de utilização SCC Enterprise – Orquestração e remediação na nuvem incluem, por exemplo, guias interativos dedicados que usam o Jira e o ServiceNow com processamento predefinido de casos de resposta. As integrações estão pré-configuradas para suportar todos os fornecedores de nuvem suportados pelo Security Command Center Enterprise.
Integrações transferíveis: com o Security Command Center Enterprise, pode transferir as seguintes integrações e usá-las num plano de ação. As versões que transfere do Google Security Operations Marketplace não estão configuradas especificamente para o Security Command Center Enterprise e requerem configuração manual adicional.
Cada integração é apresentada por nome. Para informações sobre uma integração específica, consulte o artigo Integrações do Google Security Operations Marketplace.
Tipo de candidatura ou informação |
Integrações pré-configuradas e em pacote |
Integrações transferíveis |
|---|---|---|
Google Cloud e integrações do Google Workspace |
|
|
Integrações do Amazon Web Services |
|
|
Integrações do Microsoft Azure e Office365 |
|
|
Aplicações relacionadas com a gestão de serviços de TI (ITSM) |
|
|
Aplicações relacionadas com comunicação |
|
|
Informações sobre ameaças |
|
|
| * A integração não está incluída no exemplo de utilização SCC Enterprise – Orquestração e remediação na nuvem | ||
Recolha de dados de registo do Google SecOps suportada
As secções seguintes descrevem o tipo de dados de registo que os clientes com o Security Command Center Enterprise podem carregar diretamente para o inquilino do Google Security Operations. Este mecanismo de recolha de dados é diferente do conetor da AWS no Security Command Center , que recolhe dados de recursos e de configuração.
As informações são agrupadas por fornecedor de nuvem.
- Dados de registo doGoogle Cloud
- Dados de registo do Amazon Web Services
- Dados de registo do Microsoft Azure
Para cada tipo de registo apresentado, é fornecida a etiqueta de carregamento do Google SecOps, por exemplo, GCP_CLOUDAUDIT. Consulte o artigo
Tipos de registos suportados e analisadores predefinidos
para ver uma lista completa das etiquetas de carregamento do Google SecOps.
Google Cloud
Os seguintes Google Cloud dados podem ser carregados para o Google SecOps:
- Registos de auditoria do Google Cloud (
GCP_CLOUDAUDIT) - Sistema de deteção de intrusos do Cloud (
GCP_IDS) - Cloud Next Generation Firewall (
GCP_NGFW_ENTERPRISE) - Metadados do Cloud Asset Inventory
- Contexto da proteção de dados confidenciais
- Registos do Model Armor
O seguinte também tem de estar ativado e encaminhado para o Cloud Logging:
- Registos de auditoria de acesso a dados do AlloyDB para PostgreSQL
- Registos do Cloud DNS
- Registos do NAT na nuvem
- Cloud Run
- Registos de auditoria de acesso a dados do Cloud SQL para SQL Server
- Registos de auditoria de acesso a dados do Cloud SQL para MySQL
- Registos de auditoria de acesso a dados do Cloud SQL para PostgreSQL
- Authlogs de VMs do Compute Engine
- Registos do serviço de back-end do balanceador de carga de aplicações externo
- Registos de auditoria de acesso a dados genéricos
- Registos de auditoria de acesso a dados do Google Kubernetes Engine
- Registos de auditoria do administrador do Google Workspace
- Registos de auditoria de início de sessão do Google Workspace
- Registos de auditoria de acesso a dados do IAM
- Contexto da proteção de dados confidenciais
- Registos do Model Armor
- Registos do AuditD
- Registos de eventos do Windows
Para obter informações sobre como recolher registos de instâncias de VMs Linux e Windows e enviá-los para o Cloud Logging, consulte Agentes do Google Cloud Observability.
O processo de ativação do Security Command Center Enterprise configura automaticamente o carregamento de Google Cloud dados para o Google SecOps. Para mais informações sobre este assunto, consulte o artigo Ative o nível Enterprise do Security Command Center > Aprovisione uma nova instância.
Para obter informações sobre como modificar a configuração de carregamento de dados, consulte o artigo Carregue Google Cloud dados para o Google Security Operations. Google Cloud
Amazon Web Services
Os seguintes dados da AWS podem ser carregados para o Google SecOps:
- AWS CloudTrail (
AWS_CLOUDTRAIL) - AWS GuardDuty (
GUARDDUTY) - AWS EC2 HOSTS (
AWS_EC2_HOSTS) - INSTÂNCIAS DO AWS EC2 (
AWS_EC2_INSTANCES) - AWS EC2 VPCS (
AWS_EC2_VPCS) - AWS Identity and Access Management (IAM) (
AWS_IAM)
Para obter informações sobre a recolha de dados de registo da AWS e a utilização de deteções preparadas, consulte o artigo Estabeleça ligação à AWS para a recolha de dados de registo.
Microsoft Azure
Os seguintes dados da Microsoft podem ser carregados para o Google SecOps:
- Microsoft Azure Cloud Services (
AZURE_ACTIVITY). Consulte o artigo Carregue registos de atividade do Microsoft Azure para obter informações sobre como configurar a recolha de dados. - Microsoft Entra ID, anteriormente Azure Active Directory (
AZURE_AD). Consulte o artigo Recolha registos do Microsoft Azure AD para obter informações sobre como configurar a recolha de dados. - Registos de auditoria do Microsoft Entra ID, anteriormente registos de auditoria do Azure AD
(
AZURE_AD_AUDIT). Consulte o artigo Recolha registos do Microsoft Azure AD para ver informações sobre como configurar a recolha de dados. - Microsoft Defender for Cloud (
MICROSOFT_GRAPH_ALERT). Consulte o artigo Recolha registos de alertas da API Microsoft Graph para obter informações sobre como configurar a recolha de dados.
Para obter informações sobre a recolha de dados de registo do Azure e a utilização de deteções preparadas, consulte o artigo Estabeleça ligação ao Microsoft Azure para a recolha de dados de registo.