Security Command Center est proposé à trois niveaux de service : Standard, Premium et Enterprise. Chaque niveau détermine les fonctionnalités et les services qui sont à votre disposition dans Security Command Center. Vous trouverez ci-dessous une brève description de chaque niveau de service :
- Standard. Gestion de base de la stratégie de sécurité pour Google Cloud uniquement. Le niveau Standard peut être activé au niveau du projet ou de l'organisation. Idéal pour les environnementsGoogle Cloud avec des exigences de sécurité minimales.
- Premium Tous les avantages du forfait Standard, plus la gestion de la stratégie de sécurité, les chemins d'attaque, la détection des menaces et la surveillance de la conformité pour Google Cloud uniquement. Le niveau Premium peut être activé au niveau du projet ou de l'organisation. Idéal pour les clientsGoogle Cloud qui ont besoin de la facturation à l'usage.
- Enterprise Sécurité CNAPP multicloud complète qui vous aide à trier et à résoudre vos problèmes les plus critiques. Inclut la plupart des services proposés dans Premium. Le niveau Enterprise ne peut être activé qu'au niveau de l'organisation. Idéal pour vous aider à protéger Google Cloud, AWS et Azure.
Le niveau Standard est proposé sans frais supplémentaires, tandis que les niveaux Premium et Enterprise ont des structures tarifaires différentes. Pour en savoir plus, consultez Tarifs de Security Command Center.
Pour obtenir la liste des services inclus dans chaque niveau, consultez la comparaison des niveaux de service.
Pour connaître les fonctionnalités Google SecOps compatibles avec le niveau Enterprise de Security Command Center, consultez Limites de Google Security Operations dans Security Command Center Enterprise.
| Service | Niveau de service | ||
|---|---|---|---|
| Standard | Premium | Entreprise | |
| Détection des failles | |||
| Security Health Analytics | |||
| Analyse gérée de l'évaluation des failles pour Google Cloud , qui peut détecter automatiquement les failles et les erreurs de configuration les plus graves liées à vos ressources Google Cloud . | |||
| Contrôle de conformité. Les détecteurs Security Health Analytics sont mappés aux contrôles des benchmarks de sécurité courants tels que NIST, HIPAA, PCI-DSS et CIS. | |||
| Prise en charge des modules personnalisés. Créez vos propres détecteurs Security Health Analytics personnalisés. | |||
| Web Security Scanner | |||
| Analyses personnalisées. Planifiez et exécutez des analyses personnalisées sur les applications Web Compute Engine, Google Kubernetes Engine ou App Engine déployées qui disposent d'URL et d'adresses IP publiques et qui ne sont pas protégées par des pare-feu. | |||
| Détecteurs supplémentaires du top 10 de l'OWASP | |||
| Analyses gérées. Analysez les points de terminaison Web publics à la recherche de failles chaque semaine. Les analyses sont configurées et gérées par Security Command Center. | |||
| Red Team virtuelle | |||
| Le red teaming virtuel, effectué en exécutant des simulations de chemin d'attaque, vous aide à identifier et à hiérarchiser les résultats de recherche de failles et d'erreurs de configuration en identifiant les chemins qu'un pirate informatique pourrait emprunter pour accéder à vos ressources de forte valeur. | 1 | ||
| Évaluations Mandiant des CVE | |||
| Les évaluations CVE sont regroupées en fonction de leur exploitabilité et de leur impact potentiel. Vous pouvez interroger les résultats par ID de CVE. | |||
| Autres services liés aux failles | |||
| Détection d'anomalies2 : identifie les anomalies de sécurité pour vos projets et instances de machines virtuelles (VM), telles que les potentielles fuites d'identifiants et le minage de cryptomonnaie. | 1 | 1 | |
| Résultats de failles d'images de conteneurs. Écrivez automatiquement les résultats dans Security Command Center à partir des analyses Artifact Registry qui détectent les images de conteneurs vulnérables déployées sur des éléments spécifiques. | |||
| Résultats du tableau de bord de la stratégie de sécurité GKE (aperçu). Affichez les résultats concernant les erreurs de configuration de la sécurité des charges de travail Kubernetes, les bulletins de sécurité exploitables et les failles dans le système d'exploitation du conteneur ou dans les packages de langage. | |||
| Model Armor. Analysez les requêtes et les réponses des LLM pour détecter les risques de sécurité. | |||
| Détection Sensitive Data Protection2 Détecte, classe et protège les données sensibles. | 3 | 3 | |
| Points de blocage. Identifie les ressources ou les groupes de ressources où convergent plusieurs chemins d'attaque. | |||
| Notebook Security Scanner (Aperçu). Détectez et corrigez les failles des packages Python utilisés dans les notebooks Colab Enterprise. | |||
| Combinaisons toxiques. Détecte les groupes de risques qui, lorsqu'ils se produisent ensemble selon un schéma particulier, créent un chemin d'accès à une ou plusieurs de vos ressources à forte valeur qu'un pirate informatique déterminé pourrait potentiellement utiliser pour atteindre et compromettre ces ressources. | |||
| Rapports de failles de VM Manager (aperçu)2 : si vous activez VM Manager, il écrit automatiquement les résultats de ses rapports de failles dans Security Command Center. | 1 | ||
| Évaluation des failles pour Google Cloud (Preview). Vous aide à découvrir les failles logicielles critiques et de haute gravité dans vos instances de VM Compute Engine sans installer d'agents. | |||
| Mandiant Attack Surface Management. Détecte et analyse vos ressources Internet dans les environnements, tout en surveillant en permanence l'écosystème externe à la recherche d'expositions exploitables. | 4 | ||
| Évaluation des failles pour AWS. Détecte les failles dans les ressources AWS, y compris les logiciels installés sur les instances Amazon EC2 et dans les images Elastic Container Registry (ECR). | |||
| Détection des menaces et réponse | |||
| Google Cloud Armor2 : protège les déploiements Google Cloud contre les menaces telles que les attaques par déni de service distribué (DDoS), les scripts intersites (XSS) et l'injection SQL (SQLi). | 1 | 1 | |
| Service d'actions sensibles. Détecte les actions effectuées dans votre organisation, vos dossiers et vos projets Google Cloud qui pourraient nuire à votre entreprise si elles étaient effectuées par une personne malveillante. | |||
| Détection des menaces Agent Engine (Preview). Détecte les attaques d'exécution sur les agents déployés et gérés via Vertex AI Agent Engine. | |||
| Détection des menaces Cloud Run. Détecte les attaques d'exécution dans les conteneurs Cloud Run. | |||
| Container Threat Detection. Détecte les attaques d'exécution dans les images de nœuds Container-Optimized OS. | |||
| Menaces corrélées (preview). Vous aide à prendre des décisions plus éclairées concernant les incidents de sécurité. Cette fonctionnalité regroupe les résultats de menaces associés à l'aide du graphique de sécurité, ce qui vous aide à hiérarchiser les menaces actives et à y répondre. | |||
| Event Threat Detection. Surveille Cloud Logging et Google Workspace à l'aide d'informations sur les menaces, du machine learning et d'autres méthodes avancées pour détecter les menaces telles que les logiciels malveillants, le minage de cryptomonnaie et l'exfiltration de données. | |||
| Recherche dans le graphique (Aperçu). Interrogez le graphe de sécurité pour identifier les failles de sécurité potentielles que vous souhaitez surveiller dans votre environnement. | 1 | ||
| Problèmes. Identifie les risques de sécurité les plus importants que Security Command Center a détectés dans vos environnements cloud. Les problèmes sont détectés à l'aide de tests d'intrusion virtuels, ainsi que de détections basées sur des règles qui s'appuient sur le graphe de sécurité Security Command Center. | 1 | ||
| Virtual Machine Threat Detection. Détecte les applications potentiellement malveillantes exécutées dans des instances de VM. | |||
Google SecOps. S'intègre à Security Command Center pour vous aider à détecter, examiner et contrer les menaces. Google SecOps inclut les éléments suivants :
| |||
Mandiant Threat Defense. Faites confiance aux experts Mandiant pour rechercher en continu les menaces, exposer l'activité des pirates informatiques et réduire l'impact sur votre entreprise. Mandiant Threat Defense n'est pas activé par défaut. Pour en savoir plus et obtenir des informations sur les tarifs, contactez votre conseiller commercial ou votre partenaire Google Cloud. | |||
| Stratégies et règles | |||
| Autorisation binaire2 Mettez en œuvre des mesures de sécurité pour la chaîne d'approvisionnement logicielle lorsque vous développez et déployez des applications basées sur des conteneurs. Surveillez et limitez le déploiement des images de conteneurs. | 1 | 1 | |
| Cyber Insurance Hub2 Établissez le profil de la stratégie de votre organisation face aux risques d'origine technique et générez des rapports. | 1 | 1 | |
| Policy Controller2 : permet d'appliquer des règles programmables à vos clusters Kubernetes. | 1 | 1 | |
Policy Intelligence. Fournit des outils qui vous aident à comprendre et à gérer vos règles d'accès pour améliorer de manière proactive votre configuration de sécurité. Policy Intelligence propose certaines fonctionnalités aux clients Google Cloud sans frais, comme des recommandations pour les rôles de base et un nombre limité de requêtes par mois. Les fonctionnalités avancées sont disponibles pour les utilisateurs de Security Command Center Premium et Enterprise. Pour en savoir plus, consultez la page Tarifs. | |||
| Compliance Manager. Définissez, déployez, surveillez et auditez des contrôles et des frameworks conçus pour vous aider à respecter les obligations de sécurité et de conformité de votre environnement Google Cloud . | 1, 5, 6 | 6 | |
| Gestion de la stratégie de sécurité des données (DSPM). Évaluez, déployez et auditez les frameworks de sécurité des données et les contrôles cloud pour régir l'accès aux données sensibles et leur utilisation. | 1 | ||
| Stratégie de sécurité. Définissez et déployez une stratégie de sécurité pour surveiller l'état de sécurité de vos ressources Google Cloud. Corrigez la dérive de posture et les modifications non autorisées de la posture. Avec le forfait Enterprise, vous pouvez également surveiller votre environnement AWS. | 1 | ||
| Cloud Infrastructure Entitlement Management (CIEM). Identifiez les comptes principaux (identités) mal configurés ou disposant d'autorisations IAM excessives ou sensibles pour vos ressources cloud. | 7 | ||
| Gestion des données | |||
| Résidence et chiffrement des données | |||
| Clés de chiffrement gérées par le client (CMEK). Utilisez les clés Cloud Key Management Service que vous créez pour chiffrer certaines données Security Command Center. Par défaut, les données Security Command Center sont chiffrées au repos avec Google-owned and Google-managed encryption keys. | 1 | 1 | |
| Résidence des données. Contrôles qui limitent le stockage et le traitement des résultats, des règles de désactivation, des exportations continues et des exportations BigQuery de Security Command Center à l'une des multirégions de résidence des données compatibles avec Security Command Center. | 1 | 1 | |
| Exporter les résultats | |||
| Exportations BigQuery. Exportez les résultats de Security Command Center vers BigQuery, soit en exportant les données en masse une seule fois, soit en activant les exportations continues. | |||
| Exportations continues Pub/Sub | |||
| Exportations continues Cloud Logging | 1 | ||
| Autres caractéristiques | |||
| Validation de l'infrastructure as code (IaC). Validez les règles d'administration et les détecteurs Security Health Analytics. | 1 | ||
Privileged Access Manager. Privileged Access Manager vous aide à contrôler l'élévation temporaire des privilèges au moment opportun pour certains comptes principaux et fournit des journaux d'audit pour savoir qui a eu accès à quelles ressources et quand. Les fonctionnalités suivantes sont disponibles avec Security Command Center :
| 1 | ||
| Interroger des éléments avec SQL dans l'inventaire des éléments cloud | |||
| Demander plus de quota pour l'inventaire des éléments cloud | |||
| Rapports sur les risques (preview). Les rapports sur les risques vous aident à comprendre les résultats des simulations de chemin d'attaque exécutées par Security Command Center. Un rapport sur les risques contient une vue d'ensemble, des exemples de combinaisons toxiques et les chemins d'attaque associés. | 1 | ||
| Protection de l'IA (Aperçu). AI Protection vous aide à gérer la sécurité de vos charges de travail d'IA en détectant les menaces et en atténuant les risques pour votre inventaire d'assets d'IA. | |||
| Assured Open Source Software Profitez de la sécurité et de l'expérience que Google applique aux logiciels Open Source en intégrant les mêmes packages que ceux que Google sécurise et utilise dans vos propres workflows de développement. | |||
| Gestionnaire d'audits. Solution d'audit de conformité qui évalue vos ressources par rapport à certains contrôles de plusieurs frameworks de conformité. Les utilisateurs de Security Command Center Enterprise ont accès au niveau Premium d'Audit Manager sans frais supplémentaires. | |||
| Prise en charge du multicloud. Connectez Security Command Center à d'autres fournisseurs de services cloud pour détecter les menaces, les failles et les erreurs de configuration. Évaluez les scores d'exposition aux attaques et les chemins d'attaque sur les ressources externes de grande valeur dans le cloud. Fournisseurs de services cloud compatibles : AWS, Azure. | |||
| Intégration de Snyk : Affichez et gérez les problèmes identifiés par Snyk comme résultats de sécurité. | |||
- Nécessite une activation au niveau de l'organisation.
- Il s'agit d'un service Google Cloud qui s'intègre aux activations de Security Command Center au niveau de l'organisation pour fournir des résultats. Une ou plusieurs fonctionnalités de ce service peuvent être facturées séparément de Security Command Center.
- Non activé par défaut. Pour en savoir plus et obtenir des informations sur les tarifs, contactez votre conseiller commercial ou votre partenaire Google Cloud .
- Si les contrôles de résidence des données sont activés, cette fonctionnalité n'est pas disponible.
- Cette fonctionnalité n'est pas compatible avec les clés de chiffrement gérées par le client (CMEK).
- Non compatible avec la résidence des données.
- Si les contrôles de résidence des données sont activés, cette fonctionnalité n'est disponible que pour Google Cloud.