O nível de serviço Enterprise do Security Command Center oferece recursos adicionais em comparação com os níveis Standard e Premium, incluindo uma seleção de recursos do Google Security Operations e a capacidade de ingerir dados de outros provedores de nuvem. Esses recursos tornam o Security Command Center uma plataforma de proteção de aplicativos nativos da nuvem (CNAPP, na sigla em inglês).
Os recursos do Google Security Operations no nível Security Command Center Enterprise têm limites diferentes dos planos do Google Security Operations. Esses limites são descritos na tabela a seguir.
| Recurso | Limites |
|---|---|
| Inteligência aplicada sobre ameaças | Sem acesso |
| Detecções selecionadas | Limitado à detecção de ameaças na nuvem no Google Cloud, no Microsoft Azure e na AWS. |
| Regras personalizadas | 20 regras personalizadas de evento único. Não há suporte para regras de vários eventos. |
| Retenção de dados | 3 meses |
| Gemini para o Google Security Operations | Limitado à pesquisa com linguagem natural e aos resumos de investigação de casos |
| Gerenciamento de eventos e informações de segurança (SIEM) do Google SecOps | Apenas dados da nuvem. |
| Orquestração, automação e resposta de segurança (SOAR) do Google SecOps | Somente integrações de resposta na nuvem. Para conferir a lista de integrações compatíveis, consulte
Integrações do Google Security Operations compatíveis.
Suporta um ambiente SOAR. |
| Ingestão de registros |
Limitado aos registros compatíveis com a detecção de ameaças na nuvem. Para conferir a lista, consulte Coleta de dados de registros compatível no Google SecOps |
| Análise de risco | Sem acesso |
Integrações com o Google Security Operations
As seções a seguir listam as integrações do Google Security Operations Marketplace compatíveis com o Security Command Center Enterprise. Eles estão listados em colunas separadas na tabela a seguir.
Integrações empacotadas e pré-configuradas: estão incluídas no caso de uso SCC Enterprise: orquestração e correção na nuvem e são pré-configuradas para oferecer suporte a casos de uso da plataforma de proteção de aplicativos nativos da nuvem (CNAPP, na sigla em inglês). Eles ficam disponíveis quando você ativa o Security Command Center Enterprise e atualiza o caso de uso do Enterprise.
As configurações no caso de uso SCC Enterprise: orquestração e correção na nuvem incluem, por exemplo, playbooks dedicados que usam o Jira e o ServiceNow com tratamento predefinido de casos de resposta. As integrações são pré-configuradas para oferecer suporte a todos os provedores de nuvem compatíveis com o Security Command Center Enterprise.
Integrações para download: com o Security Command Center Enterprise, é possível baixar as seguintes integrações e usá-las em um playbook. As versões baixadas do Google Security Operations Marketplace não são configuradas especificamente para o Security Command Center Enterprise e exigem configuração manual adicional.
Cada integração é listada por nome. Para informações sobre uma integração específica, consulte Integrações do Google Security Operations Marketplace.
Tipo de inscrição ou informação |
Integrações empacotadas e pré-configuradas |
Integrações para download |
|---|---|---|
Google Cloud e integrações do Google Workspace |
|
|
Integrações do Amazon Web Services |
|
|
Integrações do Microsoft Azure e do Office365 |
|
|
Aplicativos relacionados ao gerenciamento de serviços de TI (ITSM) |
|
|
Aplicativos relacionados à comunicação |
|
|
Inteligência contra ameaças |
|
|
| * A integração não está incluída no caso de uso SCC Enterprise: orquestração e correção na nuvem. | ||
Coleta de dados de registro do Google SecOps compatível
As seções a seguir descrevem o tipo de dados de registro que os clientes com o Security Command Center Enterprise podem ingerir diretamente no locatário do Google Security Operations. Esse mecanismo de coleta de dados é diferente do conector da AWS no Security Command Center , que coleta dados de recursos e configuração.
As informações são agrupadas por provedor de nuvem.
- Dados de registro doGoogle Cloud
- Dados de registros do Amazon Web Services
- Dados de registros do Microsoft Azure
Para cada tipo de registro listado, o rótulo de ingestão do Google SecOps é fornecido, por exemplo, GCP_CLOUDAUDIT. Consulte Tipos de registros e analisadores padrão compatíveis para ver uma lista completa de rótulos de ingestão do Google SecOps.
Google Cloud
Os seguintes dados Google Cloud podem ser ingeridos no Google SecOps:
- Registros de auditoria do Cloud (
GCP_CLOUDAUDIT) - Sistema de detecção de intrusões do Cloud (
GCP_IDS) - Cloud Next Generation Firewall (
GCP_NGFW_ENTERPRISE) - Metadados do Inventário de recursos do Cloud
- Contexto da Proteção de Dados Sensíveis
- Registros do Model Armor
O seguinte também precisa estar ativado e roteado para o Cloud Logging:
- Registros de auditoria de acesso a dados do AlloyDB para PostgreSQL
- Registros do Cloud DNS
- Registros do Cloud NAT
- Cloud Run
- Registros de auditoria de acesso a dados do Cloud SQL para SQL Server
- Registros de auditoria de acesso a dados do Cloud SQL para MySQL
- Registros de auditoria de acesso a dados do Cloud SQL para PostgreSQL
- Authlogs de VMs do Compute Engine
- Registros de serviço de back-end do balanceador de carga de aplicativo externo
- Registros de auditoria de acesso a dados genéricos
- Registros de auditoria de acesso a dados do Google Kubernetes Engine
- Registros de auditoria do administrador do Google Workspace
- Registros de auditoria de login do Google Workspace
- Registros de auditoria de acesso a dados do IAM
- Contexto da Proteção de Dados Sensíveis
- Registros do Model Armor
- Registros do AuditD
- Registros de eventos do Windows
Para informações sobre como coletar registros de instâncias de VM do Linux e do Windows e enviar para o Cloud Logging, consulte Agentes do Google Cloud Observability.
O processo de ativação do Security Command Center Enterprise configura automaticamente a ingestão de dados Google Cloud no Google SecOps. Para mais informações, consulte Ativar o Security Command Center Enterprise Center > Provisionar uma nova instância.
Para informações sobre como modificar a configuração de ingestão de dados do Google Cloud , consulte Ingerir dados do Google Cloud no Google Security Operations.
Amazon Web Services
Os seguintes dados da AWS podem ser ingeridos no Google SecOps:
- AWS CloudTrail (
AWS_CLOUDTRAIL) - AWS GuardDuty (
GUARDDUTY) - HOSTS DO AWS EC2 (
AWS_EC2_HOSTS) - INSTÂNCIAS DO AWS EC2 (
AWS_EC2_INSTANCES) - VPCs do AWS EC2 (
AWS_EC2_VPCS) - AWS Identity and Access Management (IAM) (
AWS_IAM)
Para informações sobre como coletar dados de registros da AWS e usar detecções selecionadas, consulte Conectar-se à AWS para coleta de dados de registros.
Microsoft Azure
Os seguintes dados da Microsoft podem ser ingeridos no Google SecOps:
- Serviços de nuvem do Microsoft Azure (
AZURE_ACTIVITY). Consulte Ingerir registros de atividades do Microsoft Azure para saber como configurar a coleta de dados. - ID do Microsoft Entra, antes Azure Active Directory (
AZURE_AD). Consulte Coletar registros do Microsoft Azure AD para saber como configurar a coleta de dados. - Registros de auditoria do ID do Microsoft Entra, antes registros de auditoria do Azure AD (
AZURE_AD_AUDIT). Consulte Coletar registros do Microsoft Azure AD para saber como configurar a coleta de dados. - Microsoft Defender para nuvem (
MICROSOFT_GRAPH_ALERT). Consulte Coletar registros de alerta da API Microsoft Graph para saber como configurar a coleta de dados.
Para informações sobre como coletar dados de registro do Azure e usar detecções selecionadas, consulte Conectar-se ao Microsoft Azure para coleta de dados de registro.