Security Command Center se ofrece en tres niveles de servicio: Standard, Premium y Enterprise. Cada nivel determina las funciones y los servicios disponibles en Security Command Center. A continuación, se incluye una descripción breve de cada nivel de servicio:
- Standard. Administración básica de la postura de seguridad solo para Google Cloud . El nivel Standard se puede activar a nivel del proyecto o de la organización. Es ideal para entornos deGoogle Cloud que tienen requisitos de seguridad mínimos.
- Premium. Todo lo que incluye la versión Standard, más la administración de la postura de seguridad, las rutas de ataque, la detección de amenazas y la supervisión del cumplimiento solo para Google Cloud . El nivel Premium se puede activar a nivel del proyecto o de la organización. Ideal para los clientes deGoogle Cloud que necesitan facturación de pago por uso.
- Enterprise. Seguridad completa de CNAPP de múltiples nubes para clasificar y corregir los problemas más graves. Incluye la mayoría de los servicios del nivel Premium. El nivel Enterprise solo se puede activar a nivel de la organización. Es ideal para proteger Google Cloud, AWS y Azure.
El nivel Standard se ofrece sin cargo adicional, mientras que los niveles Premium y Enterprise tienen diferentes estructuras de precios. Para obtener más información, consulta Precios de Security Command Center.
Para obtener una lista de los servicios incluidos en cada nivel, consulta la comparación entre los niveles de servicio.
Para conocer las funciones de Google SecOps compatibles con el nivel Enterprise de Security Command Center, consulta Límites de Google Security Operations en Security Command Center Enterprise.
| Servicio | Nivel de servicio | ||
|---|---|---|---|
| Standard | Premium | Enterprise | |
| Detección de vulnerabilidades | |||
| Security Health Analytics | |||
| Es un análisis administrado de evaluación de vulnerabilidades para Google Cloud que puede detectar automáticamente las vulnerabilidades de mayor gravedad y los errores de configuración de tus recursos de Google Cloud . | |||
| Supervisión del cumplimiento. Los detectores de Security Health Analytics se asignan a los controles de las comparativas de seguridad comunes, como NIST, HIPAA, PCI-DSS y CIS. | |||
| Compatibilidad con módulos personalizados. Crea tus propios detectores personalizados de Security Health Analytics. | |||
| Web Security Scanner | |||
| Análisis personalizados. Programa y ejecuta análisis personalizados en aplicaciones web implementadas de Compute Engine, Google Kubernetes Engine o App Engine que tengan URLs y direcciones IP públicas, y que no estén detrás de firewalls. | |||
| Los diez detectores principales adicionales de la OWASP | |||
| Análisis administrados. Analiza de forma semanal los extremos web públicos en busca de vulnerabilidades. Security Command Center configura y administra los análisis. | |||
| Formación de equipos rojos virtuales | |||
| La formación de equipos rojos virtuales, que se logra ejecutando simulaciones de rutas de ataque, permite identificar y priorizar los hallazgos de vulnerabilidades y de errores de configuración. Para ello, se detectan las rutas que un posible atacante podría tomar para alcanzar tus recursos de alto valor. | 1 | ||
| Evaluaciones de CVE de Mandiant | |||
| Las evaluaciones de CVE se agrupan según su capacidad de explotación y su impacto potencial. Los hallazgos se pueden consultar por ID de CVE. | |||
| Otros servicios de vulnerabilidades | |||
| Detección de anomalías.2 Identifica anomalías de seguridad en tus proyectos y las instancias de máquina virtual (VM), como posibles filtraciones de credenciales y minería de criptomonedas. | 1 | 1 | |
| Hallazgos de vulnerabilidades de imágenes de contenedor. Escribe automáticamente los hallazgos en Security Command Center a partir de los análisis de Artifact Registry que detectan imágenes de contenedor vulnerables implementadas en recursos específicos. | |||
| Hallazgos del panel de postura de seguridad de GKE (versión preliminar). Consulta los hallazgos sobre errores de configuración de seguridad de las cargas de trabajo de Kubernetes, boletines de seguridad prácticos y vulnerabilidades en el sistema operativo del contenedor o en paquetes de lenguajes. | |||
| Model Armor. Examina las instrucciones y respuestas de LLM en busca de riesgos de seguridad. | |||
| Descubrimiento de Sensitive Data Protection.2 Descubre, clasifica y ayuda a proteger los datos sensibles. | 3 | 3 | |
| Puntos críticos. Identifica los recursos o grupos de recursos en los que convergen varias rutas de ataque. | |||
| Notebook Security Scanner (versión preliminar). Detecta y resuelve vulnerabilidades en los paquetes de Python que se usan en los notebooks de Colab Enterprise. | |||
| Combinaciones tóxicas. Detecta grupos de riesgos que, cuando se dan juntos en un patrón particular, crean una ruta a uno o más de tus recursos de alto valor que un atacante determinado podría usar para llegar a esos recursos y vulnerarlos. | |||
| Informes de vulnerabilidad de VM Manager (versión preliminar).2 Si habilitas VM Manager, este escribe automáticamente los hallazgos de sus informes de vulnerabilidad en Security Command Center. | 1 | ||
| Evaluación de vulnerabilidades para Google Cloud (versión preliminar). Te ayuda a descubrir vulnerabilidades de software de gravedad crítica y alta en tus instancias de VM de Compute Engine sin necesidad de instalar agentes. | |||
| Administración de la superficie de ataque de Mandiant. Descubre y analiza tus recursos de Internet en todos los entornos, mientras supervisa continuamente el ecosistema externo en busca de exposiciones que se pueden explotar. | 4 | ||
| Evaluación de vulnerabilidades para AWS. Detecta vulnerabilidades en los recursos de AWS, incluido el software instalado en instancias de Amazon EC2 y en imágenes de Elastic Container Registry (ECR). | |||
| Detección de amenazas y respuesta ante ellas | |||
| Google Cloud Armor.2 Protege las implementaciones de Google Cloud contra amenazas como los ataques de denegación de servicio distribuido (DDoS), las secuencias de comandos entre sitios (XSS) y la inyección de SQL (SQLi). | 1 | 1 | |
| Servicio de acciones sensibles. Detecta cuándo se ejecutan acciones en tu organización, carpetas y proyectos de Google Cloud que podrían ser perjudiciales para tu empresa si las ejecuta un agente malicioso. | |||
| Detección de amenazas de Agent Engine (versión preliminar). Detecta ataques en el entorno de ejecución contra agentes que se implementan y administran a través de Vertex AI Agent Engine. | |||
| Detección de amenazas de Cloud Run. Detecta ataques del entorno de ejecución en contenedores de Cloud Run. | |||
| Container Threat Detection. Detecta ataques del entorno de ejecución en imágenes de nodos de Container-Optimized OS. | |||
| Amenazas correlacionadas (versión preliminar). Te ayuda a tomar decisiones más fundamentadas sobre los incidentes de seguridad. Esta función combina los hallazgos de amenazas relacionados con el gráfico de seguridad, lo que te ayuda a priorizar las amenazas activas y responder a ellas. | |||
| Event Threat Detection. Supervisa a Cloud Logging y Google Workspace con inteligencia de amenazas, aprendizaje automático y otros métodos avanzados para detectar amenazas como malware, minería de criptomonedas y robo de datos. | |||
| Búsqueda en el gráfico (versión preliminar). Consulta el gráfico de seguridad para identificar posibles vulnerabilidades de seguridad que quieras supervisar en tu entorno. | 1 | ||
| Problemas. Identifica los riesgos de seguridad más importantes que Security Command Center encontró en tus entornos de nube. Los problemas se descubren con la formación de equipos rojos virtuales, junto con detecciones basadas en reglas que se basan en el gráfico de seguridad de Security Command Center. | 1 | ||
| Virtual Machine Threat Detection. Detecta aplicaciones potencialmente maliciosas que se ejecutan en instancias de VM. | |||
Google SecOps. Se integra en Security Command Center para ayudarte a detectar amenazas, investigarlas y responder a ellas. Google SecOps incluye las funciones siguientes:
| |||
Mandiant Threat Defense. Se basa en el conocimiento de los expertos de Mandiant para buscar continuamente amenazas, exponer la actividad de los atacantes y reducir el impacto en tu empresa. Mandiant Threat Defense no está activado de forma predeterminada. Para obtener más información y detalles sobre los precios, comunícate con tu representante de ventas o socio de Google Cloud. | |||
| Posturas y políticas | |||
| Autorización Binaria.2 Aplica medidas de seguridad en la cadena de suministro de software cuando desarrollas e implementas aplicaciones basadas en contenedores. Supervisa y limita la implementación de imágenes de contenedor. | 1 | 1 | |
| Cyber Insurance Hub.2 Crea perfiles y genera informes sobre la postura de riesgo técnico de tu organización. | 1 | 1 | |
| Policy Controller.2 Permite la aplicación de políticas programables para tus clústeres de Kubernetes. | 1 | 1 | |
Policy Intelligence. Proporciona herramientas que te ayudan a comprender y administrar tus políticas de acceso para mejorar de forma proactiva la configuración de seguridad. Policy Intelligence proporciona algunas funciones a los clientes de Google Cloud sin cargo, como recomendaciones para roles básicos y una cantidad limitada de consultas por mes. Las funciones avanzadas están disponibles para los usuarios de Security Command Center Premium y Enterprise. Para obtener detalles, consulta Precios. | |||
| Administrador de cumplimiento. Define, implementa, supervisa y audita los controles y marcos de trabajo diseñados para ayudarte a satisfacer las obligaciones de seguridad y cumplimiento de tu entorno de Google Cloud . | 1, 5, 6 | 6 | |
| Administración de la postura de seguridad de los datos (DSPM). Evalúa, implementa y audita los marcos de seguridad de los datos y los controles de la nube para regir el acceso a los datos sensibles y su uso. | 1 | ||
| Security posture. Define e implementa una postura de seguridad para supervisar el estado de seguridad de tus recursos de Google Cloud. Aborda el desvío de la postura y los cambios no autorizados en ella. En el nivel Enterprise, también puedes supervisar tu entorno de AWS. | 1 | ||
| Administración de derechos de la infraestructura de nube (CIEM). Identifica las cuentas principales (identidades) que están mal configuradas o a las que se les otorgan permisos de IAM excesivos o sensibles para tus recursos de alojados en la nube. | 7 | ||
| Administración de datos | |||
| Residencia y encriptación de datos | |||
| Claves de encriptación administradas por el cliente (CMEK). Usa las claves de Cloud Key Management Service que creas para encriptar determinados datos de Security Command Center. De forma predeterminada, los datos de Security Command Center se encriptan en reposo con Google-owned and Google-managed encryption keys. | 1 | 1 | |
| Residencia de datos. Son controles que restringen el almacenamiento y el procesamiento de los hallazgos, las reglas de silenciamiento y las exportaciones continuas de Security Command Center, además de las exportaciones de BigQuery, a una de las multirregiones de residencia de datos que admite Security Command Center. | 1 | 1 | |
| Exportación de hallazgos | |||
| Son exportaciones de BigQuery. Exporta los hallazgos de Security Command Center a BigQuery, ya sea como una exportación masiva única o habilitando las exportaciones continuas. | |||
| Exportaciones continuas de Pub/Sub | |||
| Exportaciones continuas de Cloud Logging | 1 | ||
| Otras funciones | |||
| Validación de la infraestructura como código (IaC). Realiza validaciones en función de las políticas de la organización y los detectores de Security Health Analytics. | 1 | ||
Privileged Access Manager. Privileged Access Manager te ayuda a controlar la elevación de privilegios temporales justo a tiempo para principales específicos y proporciona registros de auditoría para hacer un seguimiento de quién tuvo acceso a qué recursos y cuándo. Las funciones siguientes están disponibles en Security Command Center:
| 1 | ||
| Consulta recursos con SQL en Cloud Asset Inventory | |||
| Solicita más cuota de Cloud Asset Inventory | |||
| Informes de riesgos (versión preliminar). Los informes de riesgo te ayudan a comprender los resultados de las simulaciones de rutas de ataque que ejecuta Security Command Center. Un informe de riesgo contiene una descripción general, ejemplos de combinaciones tóxicas y rutas de ataque asociadas. | 1 | ||
| AI Protection (versión preliminar). AI Protection te ayuda a administrar la postura de seguridad de tus cargas de trabajo de IA detectando amenazas y mitigando los riesgos de tu inventario de recursos de IA. | |||
| Assured Open Source Software. Aprovecha la seguridad y la experiencia que Google aplica al software de código abierto incorporando los mismos paquetes que protege y usa en tus propios flujos de trabajo de desarrollador. | |||
| Gestor de auditorías. Es una solución de auditoría de cumplimiento que evalúa tus recursos en función de los controles elegidos de varios marcos de trabajo de cumplimiento. Los usuarios de Security Command Center Enterprise obtienen acceso al nivel Premium del Gestor de auditorías sin costo adicional. | |||
| Compatibilidad con múltiples nubes. Conecta Security Command Center a otros proveedores de servicios en la nube para detectar amenazas, vulnerabilidades y errores de configuración. Evalúa las puntuaciones de exposición a ataques y las rutas de ataque de los recursos externos de alto valor alojados en la nube. Proveedores de servicios en la nube compatibles: AWS y Azure. | |||
| Integración de Snyk. Consulta y administra los problemas que Snyk identifica como hallazgos de seguridad. | |||
- Requiere activación a nivel de la organización.
- Se trata de un servicio de Google Cloud que se integra en las activaciones a nivel de la organización de Security Command Center para proporcionar hallazgos. Es posible que una o más funciones de este servicio tengan un precio distinto al de Security Command Center.
- No se activa de forma predeterminada. Para obtener más información y detalles sobre los precios, comunícate con tu representante de ventas o socio de Google Cloud .
- Si los controles de residencia de datos están habilitados, esta función no se admite.
- Esta función no admite claves de encriptación administradas por el cliente (CMEK).
- No admite la residencia de datos.
- Si los controles de residencia de datos están habilitados, esta función solo se admite para Google Cloud.