O Security Command Center é oferecido em três níveis de serviço: Standard, Premium e Enterprise. Cada nível determina os recursos e serviços disponíveis para você no Security Command Center. Confira uma breve descrição de cada edição:
- Padrão. Gerenciamento básico de postura de segurança apenas para Google Cloud . O nível Standard pode ser ativado no nível do projeto ou da organização. Ideal para ambientesGoogle Cloud com requisitos mínimos de segurança.
- Premium. Tudo que o plano Padrão oferece e mais: gerenciamento de postura de segurança, caminhos de ataque, detecção de ameaças e monitoramento de compliance apenas para Google Cloud . O nível Premium pode ser ativado no nível do projeto ou da organização. Ideal para clientesGoogle Cloud que precisam de faturamento com pagamento por uso.
- Enterprise. Segurança completa do CNAPP multicloud que ajuda você a classificar e corrigir os problemas mais críticos. Inclui a maioria dos serviços do Premium. O nível Enterprise só pode ser ativado no nível da organização. Ideal para ajudar a proteger o Google Cloud, a AWS e o Azure.
O nível Standard é oferecido sem custo adicional, enquanto os níveis Premium e Enterprise têm estruturas de preços diferentes. Para mais informações, consulte Preços do Security Command Center.
Para conferir uma lista dos serviços incluídos em cada nível, consulte a comparação de níveis de serviço.
Para conferir os recursos do Google SecOps compatíveis com o nível Enterprise do Security Command Center, consulte Limites do Google Security Operations no Security Command Center Enterprise.
| Serviço | Nível de serviço | ||
|---|---|---|---|
| Padrão | Premium | Enterprise | |
| Detecção de vulnerabilidades | |||
| Análise de integridade da segurança | |||
| Verificação gerenciada de avaliação de vulnerabilidades para Google Cloud que detecta automaticamente as vulnerabilidades mais graves e configurações incorretas dos seus recursos de Google Cloud . | |||
| Monitoramento de compliance. Os detectores do Security Health Analytics são mapeados para os controles de comparativos de mercado de segurança comuns, como NIST, HIPAA, PCI-DSS e CIS. | |||
| Suporte a módulos personalizados. Crie seus próprios detectores personalizados do Security Health Analytics. | |||
| Web Security Scanner | |||
| Verificações personalizadas. Programe e execute verificações personalizadas em aplicativos da Web implantados do Compute Engine, do Google Kubernetes Engine ou do App Engine que tenham URLs e endereços IP públicos e não estejam protegidos por firewalls. | |||
| Outros detectores do OWASP Top 10 | |||
| Verificações gerenciadas. Verificar endpoints da Web públicos em busca de vulnerabilidades semanalmente, com verificações configuradas e gerenciadas pelo Security Command Center. | |||
| Equipe vermelha virtual | |||
| A equipe vermelha virtual, realizada com a execução de simulações de caminho de ataque, ajuda a identificar e priorizar descobertas de vulnerabilidade e configurações incorretas, identificando os caminhos que um possível invasor pode seguir para alcançar seus recursos de alto valor. | 1 | ||
| Avaliações de CVE da Mandiant | |||
| As avaliações de CVE são agrupadas por capacidade de exploração e possível impacto. É possível consultar descobertas por ID da CVE. | |||
| Outros serviços de vulnerabilidade | |||
| Detecção de anomalias.2 Identifica anomalias de segurança nos seus projetos e instâncias de máquina virtual (VM), como possíveis credenciais vazadas e mineração de criptomoedas. | 1 | 1 | |
| Descobertas de vulnerabilidade de imagens de contêiner. Gravar automaticamente as descobertas no Security Command Center das verificações do Artifact Registry que detectam imagens de contêiner vulneráveis implantadas em recursos específicos. | |||
| Descobertas do painel de postura de segurança do GKE (pré-lançamento). Confira descobertas sobre erros de configuração de segurança de cargas de trabalho do Kubernetes, boletins de segurança acionáveis e vulnerabilidades no sistema operacional do contêiner ou em pacotes de linguagens. | |||
| Model Armor. Verificar comandos e respostas de LLMs em busca de riscos de segurança. | |||
| Descoberta da Proteção de Dados Sensíveis.2 Descobre, classifica e ajuda a proteger dados sensíveis. | 3 | 3 | |
| Pontos de estrangulamento. Identifica recursos ou grupos de recursos em que vários caminhos de ataque convergem. | |||
| Notebook Security Scanner (visualização). Detecte e resolva vulnerabilidades em pacotes Python usados nos notebooks do Colab Enterprise. | |||
| Combinações ruins. Detecta grupos de riscos que, quando ocorrem juntos em um padrão específico, criam um caminho para um ou mais recursos de alto valor que um invasor determinado pode usar para alcançar e comprometer esses recursos. | |||
| Relatórios de vulnerabilidades do VM Manager (pré-lançamento).2 Se você ativar o VM Manager, ele gravará automaticamente as descobertas dos relatórios de vulnerabilidade no Security Command Center. | 1 | ||
| Avaliação de vulnerabilidades para Google Cloud (versão prévia). Ajuda a descobrir vulnerabilidades de software críticas e de alta gravidade nas instâncias de VM do Compute Engine sem instalar agentes. | |||
| Gerenciamento de superfície de ataque da Mandiant. Descobre e analisa seus recursos de Internet em todos os ambientes, enquanto monitora continuamente o ecossistema externo em busca de exposições exploráveis. | 4 | ||
| Avaliação de vulnerabilidades para AWS. Detecta vulnerabilidades em recursos da AWS, incluindo software instalado em instâncias do Amazon EC2 e em imagens do Elastic Container Registry (ECR). | |||
| Detecção e resposta a ameaças | |||
| Google Cloud Armor.2 Protege as implantações do Google Cloud contra ameaças como ataques distribuídos de negação de serviço (DDoS), scripting em vários locais (XSS) e injeção de SQL (SQLi). | 1 | 1 | |
| Serviço de ações sensíveis. Detecta quando ações na sua Google Cloud organização, pastas e projetos podem ser prejudiciais à sua empresa se forem realizadas por uma pessoa mal-intencionada. | |||
| Detecção de ameaças do mecanismo do agente (prévia). Detecta ataques de tempo de execução em agentes implantados e gerenciados pelo Vertex AI Agent Engine. | |||
| Detecção de ameaças do Cloud Run. Detecta ataques de tempo de execução em contêineres do Cloud Run. | |||
| Detecção de ameaças em contêineres. Detecta ataques de tempo de execução em imagens de nós do Container-Optimized OS. | |||
| Ameaças correlacionadas (pré-lançamento). Ajuda você a tomar decisões mais fundamentadas sobre incidentes de segurança. Esse recurso combina descobertas de ameaças relacionadas usando o gráfico de segurança, ajudando você a priorizar e responder a ameaças ativas. | |||
| Event Threat Detection. Monitora o Cloud Logging e o Google Workspace, usando inteligência contra ameaças, machine learning e outros métodos avançados para detectar ameaças como malware, mineração de criptomoedas e exfiltração de dados. | |||
| Pesquisa de gráficos (pré-lançamento). Consulte o gráfico de segurança para identificar possíveis vulnerabilidades que você quer monitorar no seu ambiente. | 1 | ||
| Problemas. Identifica os riscos de segurança mais importantes que o Security Command Center encontrou nos seus ambientes de nuvem. Os problemas são descobertos usando simulação de ataque virtual, além de detecções baseadas em regras que dependem do gráfico de segurança do Security Command Center. | 1 | ||
| Detecção de ameaças a máquinas virtuais. Detecta aplicativos potencialmente maliciosos em execução em instâncias de VM. | |||
Google SecOps. Integra-se ao Security Command Center para ajudar você a detectar, investigar e responder a ameaças. O Google SecOps inclui o seguinte:
| |||
Mandiant Threat Defense. Conte com os especialistas da Mandiant para caçar ameaças continuamente, expondo atividades de invasores e reduzindo o impacto nos negócios. A Mandiant Threat Defense não é ativada por padrão. Para mais informações e detalhes de preços, entre em contato com seu representante de vendas ou parceiro do Google Cloud. | |||
| Posturas e políticas | |||
| Autorização binária.2 Implemente medidas de segurança da cadeia de suprimentos de software ao desenvolver e implantar aplicativos baseados em contêiner. Monitore e limite a implantação de imagens de contêiner. | 1 | 1 | |
| Cyber Insurance Hub.2 Crie perfis e gere relatórios sobre a postura de risco técnico da sua organização. | 1 | 1 | |
| Policy Controller.2 Permite a aplicação de políticas programáveis aos clusters do Kubernetes. | 1 | 1 | |
Policy Intelligence. Fornece ferramentas que ajudam você a entender e gerenciar suas políticas de acesso para melhorar proativamente a configuração de segurança. A Política de inteligência oferece alguns recursos aos clientes do Google Cloud sem custo financeiro, como recomendações de funções básicas e um número limitado de consultas por mês. Os recursos avançados estão disponíveis para usuários do Security Command Center Premium e Enterprise. Para mais detalhes, consulte Preços. | |||
| Compliance Manager. Defina, implante, monitore e audite controles e frameworks projetados para ajudar você a cumprir as obrigações de segurança e compliance do seu ambiente Google Cloud . | 1, 5, 6 | 6 | |
| Gerenciamento da postura de segurança de dados (DSPM). Avalie, implante e audite estruturas de segurança de dados e controles de nuvem para governar o acesso e o uso de dados sensíveis. | 1 | ||
| Postura de segurança. Defina e implante uma postura de segurança para monitorar o status de segurança dos seus recursos Google Cloud. Corrigir o desvio de postura e as mudanças não autorizadas. No nível Enterprise, também é possível monitorar seu ambiente da AWS. | 1 | ||
| Gerenciamento de direitos de infraestrutura em nuvem (CIEM). Identifique contas principais (identidades) mal configuradas ou que receberam permissões excessivas ou sensíveis do IAM para seus recursos na nuvem. | 7 | ||
| Gerenciamento de dados | |||
| Residência e criptografia de dados | |||
| Chaves de criptografia gerenciadas pelo cliente (CMEK). Use as chaves do Cloud Key Management Service que você cria para criptografar os dados selecionados do Security Command Center. Por padrão, os dados do Security Command Center são criptografados em repouso com o Google-owned and Google-managed encryption keys. | 1 | 1 | |
| Residência de dados. Controles que restringem o armazenamento e o processamento de descobertas, regras de exclusão, exportações contínuas e exportações do BigQuery do Security Command Center para uma das multirregiões de residência de dados compatíveis com o Security Command Center. | 1 | 1 | |
| Exportação de descobertas | |||
| Exportações do BigQuery. Exporte as descobertas do Security Command Center para o BigQuery como uma exportação em massa única ou ativando as exportações contínuas. | |||
| Exportações contínuas do Pub/Sub | |||
| Exportações contínuas do Cloud Logging | 1 | ||
| Outros recursos | |||
| Validação de infraestrutura como código (IaC). Validar com base nas políticas da organização e nos detectores da Análise de integridade da segurança. | 1 | ||
Privileged Access Manager. O Privileged Access Manager ajuda a controlar a elevação temporária de privilégios no momento certo para principais específicos e fornece registros de auditoria para rastrear quem teve acesso a quais recursos e quando. Os seguintes recursos estão disponíveis com o Security Command Center:
| 1 | ||
| Consultar recursos com SQL no Inventário de recursos do Cloud | |||
| Solicitar mais cota do Inventário de recursos do Cloud | |||
| Relatórios de risco (prévia). Os relatórios de risco ajudam você a entender os resultados das simulações de caminho de ataque executadas pelo Security Command Center. Um relatório de risco contém uma visão geral de alto nível, exemplos de combinações tóxicas e caminhos de ataque associados. | 1 | ||
| Proteção de IA (Visualização). A Proteção para IA ajuda a gerenciar a postura de segurança das cargas de trabalho de IA detectando ameaças e reduzindo os riscos ao inventário de recursos de IA. | |||
| Assured Open Source Software. Aproveite a segurança e a experiência que o Google aplica ao software de código aberto incorporando os mesmos pacotes que o Google protege e usa nos seus próprios fluxos de trabalho de desenvolvimento. | |||
| Audit Manager. Uma solução de auditoria de compliance que avalia seus recursos em relação a controles selecionados de vários frameworks de compliance. Os usuários do Security Command Center Enterprise têm acesso ao nível Premium do Audit Manager sem custo extra. | |||
| Suporte a várias nuvens. Conecte o Security Command Center a outros provedores de nuvem para detectar ameaças, vulnerabilidades e erros de configuração. Avalie as pontuações de exposição a ataques e os caminhos de ataque em recursos externos de alto valor na nuvem. Provedores de nuvem aceitos: AWS, Azure. | |||
| Integração com o Snyk. Veja e gerencie os problemas identificados pela Snyk como descobertas de segurança. | |||
- Exige uma ativação no nível da organização.
- É um serviço Google Cloud que se integra às ativações do Security Command Center no nível da organização para fornecer descobertas. Um ou mais recursos desse serviço podem ser cobrados separadamente do Security Command Center.
- Não ativado por padrão. Para mais informações e detalhes sobre preços, entre em contato com seu representante de vendas ou parceiro Google Cloud .
- Se os controles de residência de dados estiverem ativados, esse recurso não será compatível.
- Esse recurso não é compatível com as chaves de criptografia gerenciadas pelo cliente (CMEK).
- Não oferece suporte à residência de dados.
- Se os controles de residência de dados estiverem ativados, esse recurso será compatível apenas com Google Cloud.