與 Standard 和 Premium 方案相比,Security Command Center Enterprise 服務層級提供額外功能,包括一系列 Google Security Operations 功能,以及從其他雲端服務供應商擷取資料的功能。這些功能讓 Security Command Center 成為雲端原生應用程式保護平台 (CNAPP)。
Security Command Center Enterprise 方案的 Google Security Operations 功能,與 Google Security Operations 方案的限制不同。詳情請參閱下表。
| 功能 | 限制 |
|---|---|
| 應用威脅情報 | 沒有存取權 |
| 精選偵測項目 | 僅限偵測 Google Cloud、Microsoft Azure 和 AWS 上的 雲端威脅。 |
| 自訂規則 | 20 項自訂單一事件規則,不支援多重事件規則。 |
| 資料保留 | 3 個月 |
| Gemini for Google Security Operations | 僅限自然語言搜尋和案件調查摘要 |
| Google SecOps 安全資訊與事件管理 (SIEM) | 僅限雲端資料。 |
| Google SecOps 安全性自動化調度管理與回應 (SOAR) | 僅限雲端回應整合。如需支援的整合服務清單,請參閱「支援的 Google Security Operations 整合服務」。 支援一個 SOAR 環境。 |
| 記錄擷取 |
僅限雲端威脅偵測支援的記錄檔。 如需清單,請參閱「Google SecOps 支援的記錄資料收集作業」。 |
| 風險分析 | 沒有存取權 |
支援的 Google Security Operations 整合
下列各節列出 Security Command Center Enterprise 支援的 Google Security Operations Marketplace 整合項目。下表會分別列出這些屬性。
預先建構及設定的整合:包含在 SCC Enterprise - Cloud Orchestration and Remediation 應用情境中,且已預先設定,可支援雲端原生應用程式保護平台 (CNAPP) 應用情境。啟用 Security Command Center Enterprise 並更新 Enterprise 用途後,即可使用這些功能。
以 SCC Enterprise - Cloud Orchestration and Remediation 用例為例,其中的設定包括專用應對手冊,可搭配 Jira 和 ServiceNow 使用,並預先定義回應案件的處理方式。這些整合功能已預先設定,可支援 Security Command Center Enterprise 支援的所有雲端服務供應商。
可下載的整合項目:使用 Security Command Center Enterprise 時,您可以下載下列整合項目,並在劇本中使用。從 Google Security Operations Marketplace 下載的版本並非專為 Security Command Center Enterprise 設定,因此需要額外手動設定。
每個整合項目都會列出名稱。如要瞭解特定整合功能,請參閱「Google Security Operations Marketplace 整合功能」。
申請或資訊類型 |
預先設定的整合套件 |
可下載的整合 |
|---|---|---|
Google Cloud 和 Google Workspace 整合 |
|
|
Amazon Web Services 整合 |
|
|
與 Microsoft Azure 和 Office365 整合 |
|
|
IT 服務管理 (ITSM) 相關應用程式 |
|
|
通訊相關應用程式 |
|
|
威脅情報 |
|
|
| * 整合功能未封裝在「SCC Enterprise - Cloud Orchestration and Remediation」用途中 | ||
支援的 Google SecOps 記錄資料收集作業
以下各節說明 Security Command Center Enterprise 客戶可直接擷取至 Google Security Operations 租戶的記錄資料類型。這個資料收集機制與 Security Command Center 中的 AWS 連接器 不同,後者會收集資源和設定資料。
資訊會依雲端服務供應商分組。
- Google Cloud 記錄資料
- Amazon Web Services 記錄資料
- Microsoft Azure 記錄資料
針對列出的每種記錄類型,系統會提供 Google SecOps 擷取標籤,例如 GCP_CLOUDAUDIT。如需 Google SecOps 擷取標籤的完整清單,請參閱「支援的記錄檔類型和預設剖析器」。
Google Cloud
下列 Google Cloud 資料可擷取至 Google SecOps:
- Cloud 稽核記錄 (
GCP_CLOUDAUDIT) - 雲端入侵偵測系統 (
GCP_IDS) - Cloud Next Generation Firewall (
GCP_NGFW_ENTERPRISE) - Cloud Asset Inventory 中繼資料
- Sensitive Data Protection 內容
- Model Armor 記錄
此外,您也必須啟用下列項目,並將其轉送至 Cloud Logging:
- AlloyDB for PostgreSQL 資料存取稽核記錄
- Cloud DNS 記錄
- Cloud NAT 記錄
- Cloud Run
- SQL Server 適用的 Cloud SQL 資料存取稽核記錄
- MySQL 適用的 Cloud SQL 資料存取稽核記錄
- PostgreSQL 適用的 Cloud SQL 資料存取稽核記錄
- Compute Engine VM 驗證記錄
- 外部應用程式負載平衡器後端服務記錄
- 一般資料存取稽核記錄
- Google Kubernetes Engine 資料存取稽核記錄
- Google Workspace 管理員稽核記錄
- Google Workspace 登入稽核記錄
- IAM 資料存取稽核記錄
- Sensitive Data Protection 內容
- Model Armor 記錄
- AuditD 記錄
- Windows 事件記錄
如要瞭解如何從 Linux 和 Windows VM 執行個體收集記錄並傳送至 Cloud Logging,請參閱「Google Cloud Observability 代理程式」一文。
啟用 Security Command Center Enterprise 時,系統會自動設定將 Google Cloud 資料擷取至 Google SecOps。詳情請參閱「啟用 Security Command Center Enterprise 方案」>「佈建新執行個體」。
如要瞭解如何修改 Google Cloud 資料擷取 Google Cloud 設定,請參閱「將資料擷取至 Google Security Operations」。
Amazon Web Services
下列 AWS 資料可擷取至 Google SecOps:
- AWS CloudTrail (
AWS_CLOUDTRAIL) - AWS GuardDuty (
GUARDDUTY) - AWS EC2 主機 (
AWS_EC2_HOSTS) - AWS EC2 執行個體 (
AWS_EC2_INSTANCES) - AWS EC2 VPC (
AWS_EC2_VPCS) - AWS Identity and Access Management (IAM) (
AWS_IAM)
如要瞭解如何收集 AWS 記錄資料及使用精選偵測功能,請參閱「連結至 AWS 以收集記錄資料」。
Microsoft Azure
您可以將下列 Microsoft 資料擷取至 Google SecOps:
- Microsoft Azure Cloud Services (
AZURE_ACTIVITY)。 如要瞭解如何設定資料收集作業,請參閱「擷取 Microsoft Azure 活動記錄」。 - Microsoft Entra ID (原稱「Azure Active Directory」) (
AZURE_AD)。 如要瞭解如何設定資料收集功能,請參閱「收集 Microsoft Azure AD 記錄 」。 - Microsoft Entra ID 稽核記錄 (原稱「Azure AD 稽核記錄」) (
AZURE_AD_AUDIT)。如要瞭解如何設定資料收集功能,請參閱「收集 Microsoft Azure AD 記錄 」。 - Microsoft Defender for Cloud (
MICROSOFT_GRAPH_ALERT)。 如要瞭解如何設定資料收集作業,請參閱「收集 Microsoft Graph API 快訊記錄」。
如要瞭解如何收集 Azure 記錄檔資料及使用精選偵測規則,請參閱「連線至 Microsoft Azure 以收集記錄檔資料」。