与标准层级和高级层级相比,Security Command Center 企业方案服务层级提供了其他功能,包括一组选定 Google Security Operations 功能,以及从其他云服务提供商注入数据的功能。这些功能使 Security Command Center 成为云原生应用保护平台 (CNAPP)。
Security Command Center Enterprise 层级中的 Google Security Operations 功能的限制与 Google Security Operations 方案中的限制不同。下表介绍了这些限制。
| 功能 | 限制 |
|---|---|
| 实用威胁情报 | 无访问权限 |
| 精选检测 | 仅限于检测 Google Cloud、Microsoft Azure 和 AWS 上的云威胁。 |
| 自定义规则 | 20 个自定义单事件规则,不支持多事件规则。 |
| 数据保留 | 3 个月 |
| Gemini for Google Security Operations | 仅限于自然语言搜索和案例调查摘要 |
| Google SecOps 安全信息和事件管理 (SIEM) | 仅限云端数据。 |
| Google SecOps 安全编排、自动化和响应 (SOAR) | 仅限云响应集成。如需查看支持的集成列表,请参阅支持的 Google Security Operations 集成。
支持一个 SOAR 环境。 |
| 日志提取 |
仅限于云威胁检测支持的日志。 如需查看列表,请参阅 Google SecOps 中支持的日志数据收集 |
| 风险分析 | 无访问权限 |
支持的 Google Security Operations 集成
以下部分列出了 Security Command Center Enterprise 支持的 Google Security Operations Marketplace 集成。它们在下表的单独列中列出。
打包和预配置的集成:包含在 SCC Enterprise - 云端编排和修复应用场景中,并预配置为支持云原生应用保护平台 (CNAPP) 应用场景。您在激活 Security Command Center Enterprise 并更新 Enterprise 应用场景后,即可使用这些功能。
例如,SCC Enterprise - 云端编排和修复应用场景中的配置包括使用 Jira 和 ServiceNow 的专用 playbook,以及预定义的响应支持请求处理方式。这些集成已预先配置为支持 Security Command Center Enterprise 支持的所有云服务提供商。
可下载的集成:借助 Security Command Center Enterprise,您可以下载以下集成并在 playbook 中使用它们。您从 Google Security Operations Marketplace 下载的版本并未专门针对 Security Command Center Enterprise 进行配置,需要进行额外的人工配置。
每个集成都按名称列出。如需了解特定集成,请参阅 Google Security Operations Marketplace 集成。
应用或信息的类型 |
打包和预配置的集成 |
可下载的集成 |
|---|---|---|
Google Cloud 和 Google Workspace 集成 |
|
|
Amazon Web Services 集成 |
|
|
Microsoft Azure 和 Office365 集成 |
|
|
与 IT 服务管理 (ITSM) 相关的应用 |
|
|
与通信相关的应用 |
|
|
威胁情报 |
|
|
| * 集成未打包在 SCC Enterprise - 云端编排和修复应用场景中 | ||
Security Operations 控制台中的主要功能
Security Command Center 企业方案层级集成了 Google Security Operations 的关键功能,可通过 Security Operations 控制台访问这些功能。以下部分简要概述了可用的功能:
提醒和 IOC
您可以在此安全运维控制台页面中查看由精选检测和自定义规则创建的提醒。如需了解如何调查提醒,请参阅 Google Security Operations 文档中的以下内容:
支持请求
在 Security Operations 控制台中,您可以使用支持请求来获取有关发现结果的详细信息、将 playbook 附加到发现结果提醒、应用自动威胁响应,以及跟踪安全问题的修复情况。
如需了解详情,请参阅支持请求概览。
策略方案
您可以在此安全运维控制台页面上管理 SCC Enterprise - 云端编排和修复应用场景中包含的 playbook。
如需了解此应用场景中可用的集成,请参阅 Security Command Center 服务层级。
如需了解可用的 playbook,请参阅更新 Enterprise 应用场景。
如需了解如何使用 Security Operations 控制台的 Playbook 页面,请参阅 Google Security Operations 文档中的“Playbook”页面上显示的内容。
规则和检测
您可以在此安全运维控制台页面中启用精选检测功能,并创建自定义规则,以识别通过安全运维控制台提供的日志数据收集机制收集的数据中的模式。如需了解 Security Command Center Enterprise 提供的精选检测功能,请参阅使用精选检测功能调查威胁。
SIEM 信息中心
您可以在此安全运维控制台页面中查看 Google Security Operations SIEM 信息中心,以分析由 Google Security Operations 规则创建的提醒,以及通过安全运维控制台的日志数据收集功能收集的数据。
如需详细了解如何使用 SIEM 信息中心,请参阅 Google Security Operations 文档中的信息中心概览。
SIEM 搜索
您可以在此安全运维控制台页面中查找 Google Security Operations 实例中的统一数据模型 (UDM) 事件及提醒。如需了解详情,请参阅 Google Security Operations 文档中的 SIEM 搜索。
SIEM 设置
您可以在此 Security Operations 控制台页面中更改与 Google Security Operations SIEM 相关的各项功能的配置。如需了解如何使用这些功能,请参阅 Google Security Operations 文档。
SOAR 信息中心
您可以在此安全运维控制台页面中查看和创建使用 SOAR 数据的信息中心,以通过这些数据分析响应和案例。如需详细了解如何使用 SOAR 信息中心,请参阅 Google Security Operations 文档中的 SOAR 信息中心概览。
SOAR 报告
您可以在此安全运维控制台页面上查看基于 SOAR 数据的报告。如需详细了解如何使用 SOAR 报告,请参阅 Google Security Operations 文档中的了解 SOAR 报告。
SOAR 搜索
您可以在此安全运维控制台页面中查找由 Google Security Operations SOAR 编入索引的特定案例或实体。如需了解详情,请参阅 Google Security Operations 文档中的在 SOAR 中使用“搜索”页面。
SOAR 设置
您可以在此 Security Operations 控制台页面中更改与 Google Security Operations SOAR 相关的各项功能的配置。如需了解如何使用这些功能,请参阅 Google Security Operations 文档。
支持的 Google SecOps 日志数据收集
以下部分介绍了 Security Command Center Enterprise 客户可以直接注入到 Google Security Operations 租户的日志数据类型。此数据收集机制与用于收集资源和配置数据的 Security Command Center 中的 AWS 连接器不同。
这些信息按云服务提供商分组。
- Google Cloud 日志数据
- Amazon Web Services 日志数据
- Microsoft Azure 日志数据
对于列出的每种日志类型,都会提供 Google SecOps 注入标签,例如 GCP_CLOUDAUDIT。如需查看 Google SecOps 注入标签的完整列表,请参阅支持的日志类型和默认解析器。
Google Cloud
以下 Google Cloud 数据可注入到 Google SecOps:
- Cloud Audit Logs (
GCP_CLOUDAUDIT) - Cloud Intrusion Detection System (
GCP_IDS) - Cloud Next Generation Firewall (
GCP_NGFW_ENTERPRISE) - Cloud Asset Inventory 元数据
- Sensitive Data Protection 上下文
- Model Armor 日志
还必须启用以下项并将其路由到 Cloud Logging:
- AlloyDB for PostgreSQL 数据访问审核日志
- Cloud DNS 日志
- Cloud NAT 日志
- Cloud Run
- Cloud SQL for SQL Server 数据访问审核日志
- Cloud SQL for MySQL 数据访问审核日志
- Cloud SQL for PostgreSQL 数据访问审核日志
- Compute Engine 虚拟机 authlogs
- 外部应用负载均衡器后端服务日志
- 通用数据访问审核日志
- Google Kubernetes Engine 数据访问审核日志
- Google Workspace 管理员审核日志
- Google Workspace 登录审核日志
- IAM 数据访问审核日志
- Sensitive Data Protection 上下文
- Model Armor 日志
- AuditD 日志
- Windows 事件日志
如需了解如何从 Linux 和 Windows 虚拟机实例收集日志并将其发送到 Cloud Logging,请参阅 Google Cloud Observability 代理。
Security Command Center Enterprise 激活过程会自动将 Google Cloud 数据注入到 Google SecOps。 如需了解详情,请参阅“激活 Security Command Center Enterprise 层级” > 配置新实例。
如需了解如何修改 Google Cloud 数据注入配置,请参阅将 Google Cloud 数据注入到 Google Security Operations。
Amazon Web Services
以下 AWS 数据可注入到 Google SecOps:
- AWS CloudTrail (
AWS_CLOUDTRAIL) - AWS GuardDuty (
GUARDDUTY) - AWS EC2 HOSTS (
AWS_EC2_HOSTS) - AWS EC2 实例 (
AWS_EC2_INSTANCES) - AWS EC2 VPC (
AWS_EC2_VPCS) - AWS Identity and Access Management (IAM) (
AWS_IAM)
如需了解如何收集 AWS 日志数据和使用精选检测,请参阅连接到 AWS 以收集日志数据。
Microsoft Azure
以下 Microsoft 数据可以注入到 Google SecOps:
- Microsoft Azure 云服务 (
AZURE_ACTIVITY)。如需了解如何设置数据收集,请参阅注入 Microsoft Azure 活动日志。 - Microsoft Entra ID(以前称为 Azure Active Directory)(
AZURE_AD)。如需了解如何设置数据收集,请参阅收集 Microsoft Azure AD 日志。 - Microsoft Entra ID 审核日志(以前称为 Azure AD 审核日志)(
AZURE_AD_AUDIT)。如需了解如何设置数据收集,请参阅收集 Microsoft Azure AD 日志。 - Microsoft Defender for Cloud (
MICROSOFT_GRAPH_ALERT)。如需了解如何设置数据收集,请参阅收集 Microsoft Graph API 提醒日志。
如需了解如何收集 Azure 日志数据和使用精选检测,请参阅连接到 Microsoft Azure 以收集日志数据。