与标准层级和高级层级相比,Security Command Center Enterprise 服务层级提供了其他功能,包括一组选定 Google Security Operations 功能,以及从其他云服务提供商注入数据的功能。这些功能使 Security Command Center 成为云原生应用保护平台 (CNAPP)。
Security Command Center Enterprise 层级中的 Google Security Operations 功能的限制与 Google Security Operations 方案中的限制不同。下表介绍了这些限制。
| 功能 | 限制 |
|---|---|
| 实用威胁情报 | 无访问权限 |
| 精选检测 | 仅限于检测 Google Cloud、Microsoft Azure 和 AWS 上的云威胁。 |
| 自定义规则 | 20 个自定义单事件规则,不支持多事件规则。 |
| 数据保留 | 3 个月 |
| Gemini for Google Security Operations | 仅限于自然语言搜索和案例调查摘要 |
| Google SecOps 安全信息和事件管理 (SIEM) | 仅限云端数据。 |
| Google SecOps 安全编排、自动化和响应 (SOAR) | 仅限云响应集成。如需查看支持的集成列表,请参阅支持的 Google Security Operations 集成。
支持一个 SOAR 环境。 |
| 日志提取 |
仅限于云威胁检测支持的日志。 如需查看列表,请参阅 Google SecOps 中支持的日志数据收集 |
| 风险分析 | 无访问权限 |
支持的 Google Security Operations 集成
以下部分列出了 Security Command Center Enterprise 支持的 Google Security Operations Marketplace 集成。它们在下表的单独列中列出。
打包和预配置的集成:包含在 SCC Enterprise - 云端编排和修复应用场景中,并预配置为支持云原生应用保护平台 (CNAPP) 应用场景。您在激活 Security Command Center Enterprise 并更新 Enterprise 应用场景后,即可使用这些功能。
例如,SCC Enterprise - 云端编排和修复应用场景中的配置包括使用 Jira 和 ServiceNow 的专用 playbook,以及预定义的响应支持请求处理方式。这些集成已预先配置为支持 Security Command Center Enterprise 支持的所有云服务提供商。
可下载的集成:借助 Security Command Center Enterprise,您可以下载以下集成并在 playbook 中使用它们。您从 Google Security Operations Marketplace 下载的版本并未专门针对 Security Command Center Enterprise 进行配置,需要进行额外的人工配置。
每个集成都按名称列出。如需了解特定集成,请参阅 Google Security Operations Marketplace 集成。
应用或信息的类型 |
打包和预配置的集成 |
可下载的集成 |
|---|---|---|
Google Cloud 和 Google Workspace 集成 |
|
|
Amazon Web Services 集成 |
|
|
Microsoft Azure 和 Office365 集成 |
|
|
与 IT 服务管理 (ITSM) 相关的应用 |
|
|
与通信相关的应用 |
|
|
威胁情报 |
|
|
| * 集成未打包在 SCC Enterprise - 云端编排和修复应用场景中 | ||
支持的 Google SecOps 日志数据收集
以下部分介绍了 Security Command Center Enterprise 客户可以直接注入到 Google Security Operations 租户的日志数据类型。此数据收集机制与用于收集资源和配置数据的 Security Command Center 中的 AWS 连接器不同。
这些信息按云服务提供商分组。
- Google Cloud 日志数据
- Amazon Web Services 日志数据
- Microsoft Azure 日志数据
对于列出的每种日志类型,都会提供 Google SecOps 注入标签,例如 GCP_CLOUDAUDIT。如需查看 Google SecOps 注入标签的完整列表,请参阅支持的日志类型和默认解析器。
Google Cloud
以下 Google Cloud 数据可注入到 Google SecOps:
- Cloud Audit Logs (
GCP_CLOUDAUDIT) - Cloud Intrusion Detection System (
GCP_IDS) - Cloud Next Generation Firewall (
GCP_NGFW_ENTERPRISE) - Cloud Asset Inventory 元数据
- Sensitive Data Protection 上下文
- Model Armor 日志
还必须启用以下项并将其路由到 Cloud Logging:
- AlloyDB for PostgreSQL 数据访问审核日志
- Cloud DNS 日志
- Cloud NAT 日志
- Cloud Run
- Cloud SQL for SQL Server 数据访问审核日志
- Cloud SQL for MySQL 数据访问审核日志
- Cloud SQL for PostgreSQL 数据访问审核日志
- Compute Engine 虚拟机 authlogs
- 外部应用负载均衡器后端服务日志
- 通用数据访问审核日志
- Google Kubernetes Engine 数据访问审核日志
- Google Workspace 管理员审核日志
- Google Workspace 登录审核日志
- IAM 数据访问审核日志
- Sensitive Data Protection 上下文
- Model Armor 日志
- AuditD 日志
- Windows 事件日志
如需了解如何从 Linux 和 Windows 虚拟机实例收集日志并将其发送到 Cloud Logging,请参阅 Google Cloud Observability 代理。
Security Command Center Enterprise 激活过程会自动将 Google Cloud 数据注入到 Google SecOps。 如需了解详情,请参阅“激活 Security Command Center Enterprise 层级” > 配置新实例。
如需了解如何修改 Google Cloud 数据注入配置,请参阅将 Google Cloud 数据注入到 Google Security Operations。
Amazon Web Services
以下 AWS 数据可注入到 Google SecOps:
- AWS CloudTrail (
AWS_CLOUDTRAIL) - AWS GuardDuty (
GUARDDUTY) - AWS EC2 HOSTS (
AWS_EC2_HOSTS) - AWS EC2 实例 (
AWS_EC2_INSTANCES) - AWS EC2 VPC (
AWS_EC2_VPCS) - AWS Identity and Access Management (IAM) (
AWS_IAM)
如需了解如何收集 AWS 日志数据和使用精选检测,请参阅连接到 AWS 以收集日志数据。
Microsoft Azure
以下 Microsoft 数据可以注入到 Google SecOps:
- Microsoft Azure 云服务 (
AZURE_ACTIVITY)。如需了解如何设置数据收集,请参阅注入 Microsoft Azure 活动日志。 - Microsoft Entra ID(以前称为 Azure Active Directory)(
AZURE_AD)。如需了解如何设置数据收集,请参阅收集 Microsoft Azure AD 日志。 - Microsoft Entra ID 审核日志(以前称为 Azure AD 审核日志)(
AZURE_AD_AUDIT)。如需了解如何设置数据收集,请参阅收集 Microsoft Azure AD 日志。 - Microsoft Defender for Cloud (
MICROSOFT_GRAPH_ALERT)。如需了解如何设置数据收集,请参阅收集 Microsoft Graph API 提醒日志。
如需了解如何收集 Azure 日志数据和使用精选检测,请参阅连接到 Microsoft Azure 以收集日志数据。