Security Command Center est proposé à trois niveaux de service : Standard, Premium et Enterprise. Chaque niveau détermine les fonctionnalités et les services qui sont à votre disposition dans Security Command Center. Vous trouverez ci-dessous une brève description de chaque niveau de service :
- Standard-ancienne version Permet de gérer la stratégie de sécurité et de conformité de base pour Google Cloud uniquement. Il est possible que le niveau Standard (ancienne version) soit migré vers le niveau Standard dans certaines organisations.
- Standard. Compatible avec la gestion de base de la stratégie de sécurité et de conformité pourGoogle Cloud uniquement. Le niveau Standard peut être activé au niveau de l'organisation. Idéal pour les environnements Google Cloud avec des exigences de sécurité minimales.
Premium Tout ce qui est inclus dans Standard, plus la gestion avancée de la stratégie de sécurité et de la conformité, les chemins d'attaque, la détection des menaces et la surveillance de la conformité pour Google Cloud uniquement. Le niveau Premium peut être activé au niveau du projet ou de l'organisation. Premium est proposé selon deux modalités de facturation :
- Paiement à l'usage pour les clients qui souhaitent bénéficier de flexibilité.
- Abonnement destiné aux clients dont les besoins sont plus prévisibles.
Enterprise Sécurité CNAPP multicloud complète qui vous aide à trier et à résoudre vos problèmes les plus critiques. Inclut la plupart des services proposés dans Premium. Le niveau Enterprise ne peut être activé qu'au niveau de l'organisation. Idéal pour vous aider à protéger Google Cloud, AWS et Azure.
Le niveau Standard est proposé sans frais supplémentaires, tandis que les niveaux Premium et Enterprise ont des structures tarifaires différentes. Pour en savoir plus, consultez Tarifs de Security Command Center.
Pour connaître les fonctionnalités Google SecOps compatibles avec le niveau Security Command Center Enterprise, consultez Limites de Google Security Operations dans Security Command Center Enterprise.
| Service | Niveau de service | |||
|---|---|---|---|---|
| Standard-legacy | Standard | Premium | Entreprise | |
| Détection des failles | ||||
| Analyse des failles | ||||
| Détection d'anomalies1 : identifie les anomalies de sécurité pour vos projets et instances de machines virtuelles (VM), telles que les potentielles fuites d'identifiants et le minage de cryptomonnaie. | 2 | 2 | 2 | |
| Évaluation des failles Artifact Registry Écrivez automatiquement les résultats dans Security Command Center à partir des analyses Artifact Registry qui détectent les images de conteneurs vulnérables déployées sur des éléments spécifiques. | ||||
| Découverte Sensitive Data Protection1 Détecte, classe et protège les données sensibles. | 3 | 3 | ||
| Évaluation des failles pour Google Cloud (Preview). Vous aide à découvrir les failles logicielles critiques et de haute gravité dans vos instances de VM Compute Engine sans installer d'agents. Un ensemble limité de fonctionnalités est disponible au niveau Standard. | ||||
| Notebook Security Scanner (Preview). Détectez et corrigez les failles des packages Python utilisés dans les notebooks Colab Enterprise. | ||||
| Rapports de failles de VM Manager (aperçu)1 : si vous activez VM Manager, il écrit automatiquement les résultats de ses rapports de failles dans Security Command Center. | 2 | |||
| Évaluation des failles pour AWS. Détecte les failles dans les ressources AWS, y compris les logiciels installés sur les instances Amazon EC2 et dans les images Elastic Container Registry (ECR). | ||||
| Security Health Analytics | ||||
Analyse gérée de l'évaluation des failles pour Google Cloud , qui peut détecter automatiquement les failles et les erreurs de configuration les plus graves liées à vos éléments Google Cloud . Non compatible avec les nouvelles activations du forfait Standard. Un sous-ensemble de fonctionnalités est disponible dans le niveau Standard pour les organisations qui ont été migrées depuis l'ancien niveau Standard. | ||||
| Contrôle de conformité. Les détecteurs Security Health Analytics sont mappés aux contrôles des benchmarks de sécurité courants tels que NIST, HIPAA, PCI-DSS et CIS. | ||||
| Prise en charge des modules personnalisés. Créez vos propres détecteurs Security Health Analytics personnalisés. | ||||
| Web Security Scanner | ||||
| Analyses personnalisées. Planifiez et exécutez des analyses personnalisées sur les applications Web Compute Engine, Google Kubernetes Engine ou App Engine déployées qui disposent d'URL et d'adresses IP publiques et qui ne sont pas protégées par des pare-feu. | ||||
| Détecteurs supplémentaires du top 10 de l'OWASP | ||||
| Analyses gérées. Analysez les points de terminaison Web publics à la recherche de failles chaque semaine. Les analyses sont configurées et gérées par Security Command Center. | ||||
| Red Team virtuelle | ||||
| Simulations de chemins d'attaque. Vous aide à identifier et à hiérarchiser les failles et les erreurs de configuration en identifiant les chemins qu'un pirate informatique pourrait emprunter pour accéder à vos ressources de forte valeur. | 2 | |||
| Points de blocage. Identifie les ressources ou les groupes de ressources où convergent plusieurs chemins d'attaque. | ||||
| Problèmes. Identifie les risques de sécurité les plus importants détectés par Security Command Center dans vos environnements cloud. Les problèmes sont détectés à l'aide de la technologie de red teaming virtuel et des détections basées sur des règles qui s'appuient sur le graphe de sécurité Security Command Center. | 2 | |||
| Rapports sur les risques (preview). Les rapports sur les risques vous aident à comprendre les résultats des simulations de chemin d'attaque exécutées par Security Command Center. Un rapport sur les risques contient une vue d'ensemble, des exemples de combinaisons toxiques et les chemins d'attaque associés. | 2 | |||
| Combinaisons toxiques. Détecte les groupes de risques qui, lorsqu'ils se produisent ensemble selon un schéma particulier, créent un chemin d'accès à une ou plusieurs de vos ressources à forte valeur qu'un pirate informatique déterminé pourrait potentiellement utiliser pour atteindre et compromettre ces ressources. | ||||
| Autres services liés aux failles | ||||
| Résultats du tableau de bord de la stratégie de sécurité GKE (aperçu). Affichez les résultats concernant les erreurs de configuration de la sécurité des charges de travail Kubernetes, les bulletins de sécurité exploitables et les failles dans le système d'exploitation du conteneur ou dans les packages de langage. | ||||
| Model Armor. Analysez les requêtes et les réponses des LLM pour détecter les risques de sécurité. Model Armor fournit un certain nombre de jetons par mois sans frais à tous les clients Google Cloud . Pour en savoir plus, consultez la page Tarifs. Les résultats Model Armor sont publiés dans Security Command Center pour les niveaux Premium et Enterprise. | ||||
| Évaluations Mandiant des CVE (Aperçu). Les résultats sont enrichis par les évaluations CVE des analystes Mandiant Threat Intelligence, y compris l'exploitabilité et l'impact potentiel des CVE. Vous pouvez interroger les résultats par ID de CVE. Un ensemble limité de fonctionnalités est disponible dans le forfait Standard. | ||||
| Mandiant Attack Surface Management. Détecte et analyse vos ressources Internet dans les environnements, tout en surveillant en permanence l'écosystème externe à la recherche d'expositions exploitables. | 4 | |||
| Stratégies et règles | ||||
| Autorisation binaire1 Mettez en œuvre des mesures de sécurité pour la chaîne d'approvisionnement logicielle lorsque vous développez et déployez des applications basées sur des conteneurs. Surveillez et limitez le déploiement des images de conteneurs. | 2 | 2 | 2 | |
| Cyber Insurance Hub1 Établissez le profil de la stratégie de sécurité technique de votre organisation et générez des rapports. | 2 | 2 | 2 | |
| Validation de l'infrastructure as code (IaC). Validez les règles d'administration et les détecteurs Security Health Analytics. | 2 | 2 | ||
| Policy Controller1 : permet d'appliquer des règles programmables à vos clusters Kubernetes. | 2 | 2 | 2 | |
Policy Intelligence. Fournit des outils qui vous aident à comprendre et à gérer vos règles d'accès pour améliorer de manière proactive votre configuration de sécurité. Policy Intelligence propose certaines fonctionnalités aux clients Google Cloud sans frais, comme des recommandations pour les rôles de base et un nombre limité de requêtes par mois. Les fonctionnalités avancées sont disponibles pour les utilisateurs de Security Command Center Premium et Enterprise. Pour en savoir plus, consultez la page Tarifs. | ||||
| Compliance Manager. Définissez, déployez, surveillez et auditez des contrôles et des frameworks conçus pour vous aider à respecter les obligations de sécurité et de conformité de votre environnement Google Cloud . Un ensemble limité de fonctionnalités est disponible au niveau Standard. | 2 | 2, 5, 6 | 6 | |
| Gestion de la stratégie de sécurité des données (DSPM). Évaluez, déployez et auditez les frameworks de sécurité des données et les contrôles cloud pour gérer l'accès aux données sensibles et leur utilisation. Un ensemble limité de fonctionnalités est disponible au niveau Standard. | 2 | 2 | ||
| Protection de l'IA. AI Protection vous aide à gérer la sécurité de vos charges de travail d'IA en détectant les menaces et en vous aidant à atténuer les risques pour votre inventaire de ressources d'IA. Un ensemble limité de fonctionnalités est disponible au niveau Standard. | 2 | |||
| Stratégie de sécurité. Définissez et déployez une stratégie de sécurité pour surveiller l'état de sécurité de vos ressources Google Cloud. Corrigez la dérive de posture et les modifications non autorisées de la posture. Avec le forfait Enterprise, vous pouvez également surveiller votre environnement AWS. | 2 | |||
| Cloud Infrastructure Entitlement Management (CIEM). Identifiez les comptes principaux (identités) mal configurés ou disposant d'autorisations IAM excessives ou sensibles sur vos ressources cloud. | 7 | |||
| Détection des menaces et réponse | ||||
| Google Cloud Armor1 : protège les déploiements Google Cloud contre les menaces telles que les attaques par déni de service distribué (DDoS), les scripts intersites (XSS) et l'injection SQL (SQLi). | 2 | 2 | 2 | |
| Service d'actions sensibles. Détecte les actions effectuées dans votre organisation, vos dossiers et vos projets Google Cloud qui pourraient nuire à votre entreprise si elles étaient effectuées par une personne malveillante. | ||||
| Détection des menaces Agent Engine (Preview). Détecte les attaques d'exécution sur les agents déployés et gérés via Vertex AI Agent Engine. | ||||
| Détection des menaces Cloud Run. Détecte les attaques d'exécution dans les conteneurs Cloud Run. | ||||
| Container Threat Detection. Détecte les attaques d'exécution dans les images de nœuds Container-Optimized OS. | ||||
| Menaces corrélées (Preview). Vous aide à prendre des décisions plus éclairées concernant les incidents de sécurité. Cette fonctionnalité regroupe les résultats de menaces associés à l'aide du graphique de sécurité, ce qui vous aide à hiérarchiser les menaces actives et à y répondre. | ||||
| Event Threat Detection. Surveille Cloud Logging et Google Workspace à l'aide d'informations sur les menaces, du machine learning et d'autres méthodes avancées pour détecter les menaces telles que les logiciels malveillants, le minage de cryptomonnaie et l'exfiltration de données. | ||||
| Virtual Machine Threat Detection. Détecte les applications potentiellement malveillantes exécutées dans des instances de VM. | ||||
Google SecOps. S'intègre à Security Command Center pour vous aider à détecter, examiner et contrer les menaces. Google SecOps inclut les éléments suivants :
| ||||
Mandiant Threat Defense. Faites confiance aux experts Mandiant pour rechercher en continu les menaces, exposer l'activité des pirates informatiques et réduire l'impact sur votre entreprise. Mandiant Threat Defense n'est pas activé par défaut. Pour en savoir plus et obtenir des informations sur les tarifs, contactez votre conseiller commercial ou votre partenaire Google Cloud. | ||||
| Gestion des données | ||||
| Résidence et chiffrement des données | ||||
| Clés de chiffrement gérées par le client (CMEK). Utilisez les clés Cloud Key Management Service que vous créez pour chiffrer certaines données Security Command Center. Par défaut, les données Security Command Center sont chiffrées au repos avec Google-owned and Google-managed encryption keys. | 2 | 2 | 2 | |
| Résidence des données. Contrôles qui limitent le stockage et le traitement des résultats, des règles de désactivation, des exportations continues et des exportations BigQuery de Security Command Center à l'une des multirégions de résidence des données compatibles avec Security Command Center. | 2 | 2 | 2 | |
| Exportation des résultats | ||||
| Exportations BigQuery. Exportez les résultats de Security Command Center vers BigQuery, soit en exportant les données en bloc, soit en activant les exportations continues. | ||||
| Exportations continues Pub/Sub | ||||
| Exportations continues Cloud Logging | 2 | |||
| Autres caractéristiques | ||||
| Recherche dans le graphique (Aperçu). Interrogez le graphe de sécurité pour identifier les failles de sécurité potentielles que vous souhaitez surveiller dans votre environnement. | 2 | |||
Privileged Access Manager. Privileged Access Manager vous aide à contrôler l'élévation temporaire des privilèges au moment opportun pour certains comptes principaux et fournit des journaux d'audit pour savoir qui a eu accès à quelles ressources et quand. Les fonctionnalités suivantes sont disponibles avec Security Command Center :
| 2 | |||
| Interroger des éléments avec SQL dans l'inventaire des éléments cloud | ||||
| Demander plus de quota pour l'inventaire des éléments cloud | ||||
| Assured Open Source Software Profitez de la sécurité et de l'expérience que Google applique aux logiciels Open Source en intégrant les mêmes packages que ceux que Google sécurise et utilise dans vos propres workflows de développement. | ||||
| Gestionnaire d'audits. Solution d'audit de conformité qui évalue vos ressources par rapport à certains contrôles de plusieurs frameworks de conformité. Les utilisateurs de Security Command Center Enterprise ont accès au niveau Premium d'Audit Manager sans frais supplémentaires. | ||||
| Prise en charge du multicloud. Connectez Security Command Center à d'autres fournisseurs de services cloud pour détecter les menaces, les failles et les erreurs de configuration. Évaluez les scores d'exposition aux attaques et les chemins d'attaque sur les ressources cloud externes de grande valeur. Fournisseurs de services cloud compatibles : AWS, Azure. | ||||
| Intégration de Snyk. Affichez et gérez les problèmes identifiés par Snyk comme résultats de sécurité. | ||||
- Il s'agit d'un service Google Cloud qui s'intègre aux activations de Security Command Center au niveau de l'organisation pour fournir des résultats. Une ou plusieurs fonctionnalités de ce service peuvent être facturées séparément de Security Command Center.
- Nécessite une activation au niveau de l'organisation.
- Non activé par défaut. Pour en savoir plus et obtenir des informations sur les tarifs, contactez votre conseiller commercial ou votre partenaire Google Cloud .
- Si les contrôles de résidence des données sont activés, cette fonctionnalité n'est pas disponible.
- Cette fonctionnalité n'est pas compatible avec les clés de chiffrement gérées par le client (CMEK).
- Non compatible avec la résidence des données.
- Si les contrôles de résidence des données sont activés, cette fonctionnalité n'est disponible que pour Google Cloud.