Security Command Center 提供三種服務級別:Standard、Premium 和 Enterprise。每個層級都決定了您在 Security Command Center 中可用的功能和服務。以下是各服務層級的簡短說明:
- Standard-legacy:支援 Google Cloud 的基本安全性與法規遵循狀態管理。部分機構的 Standard 舊版級別可能會遷移至 Standard 級別。
- Standard:僅支援Google Cloud 的基本安全性和法規遵循狀態管理。您可以在機構層級啟用標準級。適合 Google Cloud 安全性需求較低的環境。
進階。除了 Standard 版的所有功能,還提供進階安全性和法規遵循狀態管理、攻擊路徑分析、威脅偵測和法規遵循監控功能,僅適用於 Google Cloud 。您可以在專案或機構層級啟用進階級別。Premium 提供兩種計費方式:
- 即付即用方案適合需要彈性的客戶。
- 適合需求較為穩定的客戶。
Enterprise。完整的多雲端 CNAPP 安全防護,協助您分類及修復最重大的問題。包含 Premium 方案的大部分服務。Enterprise 級別只能在機構層級啟用。最適合用來保護 Google Cloud、AWS 和 Azure。
標準級別免費提供,進階級別和企業級別則採用不同的定價結構。詳情請參閱 Security Command Center 定價。
如要瞭解 Security Command Center Enterprise 級別支援的 Google SecOps 功能,請參閱「Security Command Center Enterprise 中的 Google Security Operations 限制」。
| 服務 | 服務級別 | |||
|---|---|---|---|---|
| Standard-legacy | 標準 | 進階 | Enterprise | |
| 安全漏洞偵測 | ||||
| 安全漏洞掃描 | ||||
| 異常偵測。1 識別專案和虛擬機器 (VM) 執行個體的安全性異常狀況,例如憑證可能遭到外洩或出現加密貨幣挖礦行為。 | 2 | 2 | 2 | |
| Artifact Registry 安全漏洞評估。 從 Artifact Registry 掃描作業自動將發現項目寫入 Security Command Center,偵測部署至特定資產的易受攻擊容器映像檔。 | ||||
| Sensitive Data Protection 探索功能。1 探索、分類及保護機密資料。 | 3 | 3 | ||
| 「 Google Cloud」的安全性弱點評估 (預先發布版)。 協助您找出 Compute Engine VM 執行個體中嚴重程度為重大和高度的軟體安全漏洞,無須安裝代理程式。標準層級僅提供部分功能。 | ||||
| Notebook Security Scanner (預先發布版)。 偵測並解決 Colab Enterprise 筆記本中使用的 Python 套件安全漏洞。 | ||||
| VM 管理員安全漏洞報告 (預先發布版)。1 如果您啟用 VM 管理員,這項服務會自動透過安全漏洞報告將發現項目寫入 Security Command Center。 | 2 | |||
| AWS 安全漏洞評估。 偵測 AWS 資源中的安全漏洞,包括安裝在 Amazon EC2 執行個體和 Elastic Container Registry (ECR) 映像檔中的軟體。 | ||||
| Security Health Analytics | ||||
受管理的安全漏洞評估掃描,可自動偵測資產是否有最高嚴重性等級的安全漏洞和錯誤設定。 Google Cloud Google Cloud 不支援新啟用的標準級。 從標準舊版層級遷移的機構,可使用標準層級的部分功能。 | ||||
| 法規遵循情形監控功能。 安全性狀態分析偵測器會對應至常見安全基準的控管措施,例如 NIST、HIPAA、PCI-DSS 和 CIS。 | ||||
| 自訂模組支援。 建立自訂的 Security Health Analytics 偵測工具。 | ||||
| Web Security Scanner | ||||
| 自訂掃描。 針對已部署的 Compute Engine、Google Kubernetes Engine 或 App Engine 網頁應用程式 (具備公開網址和 IP 位址,且不受防火牆保護),排定及執行自訂掃描。 | ||||
| 其他 OWASP 前十大安全漏洞偵測工具 | ||||
| 受管理掃描。 每週掃描公開網路端點,找出安全漏洞,掃描作業由 Security Command Center 設定及管理。 | ||||
| 虛擬紅隊演練 | ||||
| 攻擊路徑模擬。 找出潛在攻擊者可能採取的路徑,以存取高價值資源,協助您找出並優先處理安全漏洞和設定錯誤發現項目。 | 2 | |||
| 瓶頸。 找出多條攻擊路徑匯聚的資源或資源群組。 | ||||
| 問題。 找出 Security Command Center 在雲端環境中發現的最重要安全風險。系統會使用虛擬紅隊演練,以及依據 Security Command Center 安全性圖表進行的規則式偵測,找出問題。 | 2 | |||
| 風險報告 (預先發布版)。 風險報告可協助您瞭解 Security Command Center 執行的攻擊路徑模擬結果。風險報告包含高階總覽、有害組合範例和相關聯的攻擊路徑。 | 2 | |||
| 有害組合。 偵測風險群組,當這些風險以特定模式同時發生時,就會形成通往一或多個高價值資源的路徑,而有心人士可能會利用這些路徑存取及入侵資源。 | ||||
| 其他安全漏洞服務 | ||||
| GKE 安全防護機制資訊主頁的發現項目 (預覽版)。 查看 Kubernetes 工作負載安全防護錯誤設定的發現項目、可採取行動的安全公告,以及容器作業系統或語言套件中的安全漏洞。 | ||||
| Model Armor。 篩選 LLM 提示詞和回覆,找出安全風險。 所有 Google Cloud 客戶每月皆可免費使用 Model Armor,並享有一定數量的權杖。詳情請參閱「定價」。Model Armor 發現項目會發布至 Premium 和 Enterprise 層級的 Security Command Center。 | ||||
| Mandiant CVE 評估 (預覽版)。 調查結果會附上 Mandiant 威脅情報分析師的 CVE 評估,包括 CVE 可利用性及潛在影響。您可以依 CVE ID 查詢發現項目。標準層級僅提供部分功能。 | ||||
| Mandiant Attack Surface Management。 探索及分析環境中的網際網路資產,同時持續監控外部生態系統,檢查是否有可能遭人利用的漏洞。 | 4 | |||
| 立場與政策 | ||||
| 二進位授權。1 開發及部署以容器為基礎的應用程式時,請實作軟體供應鏈安全措施。監控及限制容器映像檔的部署作業。 | 2 | 2 | 2 | |
| Cyber Insurance Hub。1 分析貴機構的技術風險狀況並生成報告。 | 2 | 2 | 2 | |
| 基礎架構即程式碼 (IaC) 驗證。 根據機構政策和安全狀態分析偵測工具進行驗證。 | 2 | 2 | ||
| Policy Controller。1 可對 Kubernetes 叢集套用並強制執行可設定的政策。 | 2 | 2 | 2 | |
Policy Intelligence。 提供相關工具,協助您瞭解及管理存取權政策,主動強化安全設定。 Policy Intelligence 會免費提供部分功能給 Google Cloud 客戶,例如基本角色建議,以及每月可查詢的次數上限。Security Command Center 進階版和 Enterprise 版使用者可使用進階功能。詳情請參閱「定價」一文。 | ||||
| 法規遵循管理工具。 定義、部署、監控及稽核控管措施和架構,確保 Google Cloud 環境符合安全性與法規遵循義務。標準層級僅提供部分功能。 | 2 | 2、5、6 | 6 | |
| 資料安全防護機制管理 (DSPM)。 評估、部署及稽核資料安全架構和雲端控管機制,以管理敏感資料的存取權和使用情形。標準層級僅提供部分功能。 | 2 | 2 | ||
| AI 保護。 AI Protection 可偵測威脅,並協助您降低 AI 資產清單的風險,進而管理 AI 工作負載的安全防護機制。標準層級僅提供部分功能。 | 2 | |||
| 安全防護機制。 定義及部署安全防護機制,監控資源的安全狀態。 Google Cloud 地址姿勢漂移,以及未經授權的姿勢變更。在 Enterprise 方案中,您也可以監控 AWS 環境。 | 2 | |||
| Cloud Infrastructure Entitlement Management (CIEM)。 找出設定錯誤或獲授過多/敏感 IAM 權限的主體帳戶 (身分),以存取雲端資源。 | 7 | |||
| 威脅偵測與應變 | ||||
| Google Cloud Armor。1 防範分散式阻斷服務 (DDoS) 攻擊、跨網站指令碼攻擊 (XSS) 和 SQL 植入 (SQLi) 等威脅。 Google Cloud | 2 | 2 | 2 | |
| 敏感動作服務。 偵測在貴機構、資料夾和專案中執行的動作,如果這些動作是由惡意行為者執行,可能會對貴商家造成損害。 Google Cloud | ||||
| Agent Engine 威脅偵測 (預覽版)。 偵測透過 Vertex AI Agent Engine 部署及管理的代理執行階段攻擊。 | ||||
| Cloud Run Threat Detection。 偵測 Cloud Run 容器中的執行階段攻擊。 | ||||
| Container Threat Detection。 偵測 Container-Optimized OS 節點映像檔中的執行階段攻擊。 | ||||
| 相關威脅 (預先發布版)。 協助您根據更充分的資訊做出安全性事件決策。這項功能會使用安全圖表將相關威脅發現項目合併,協助您排定優先順序並因應現有威脅。 | ||||
| Event Threat Detection。 運用威脅情報技術、機器學習和其他進階方法監控 Cloud Logging 和 Google Workspace,偵測惡意軟體、加密貨幣挖礦和資料竊取等威脅。 | ||||
| Virtual Machine Threat Detection。 偵測在 VM 執行個體中執行的潛在惡意應用程式。 | ||||
Google SecOps。 與 Security Command Center 整合,協助您偵測、調查及因應威脅。 Google SecOps 包含下列項目:
| ||||
Mandiant Threat Defense。 Mandiant 專家會持續搜尋威脅,揭露攻擊者活動,減少對業務的影響。 Mandiant Threat Defense 預設不會啟用。如要瞭解詳情和價格,請洽詢業務代表或 Google Cloud 合作夥伴。 | ||||
| 資料管理 | ||||
| 資料落地與加密 | ||||
| 客戶自行管理的加密金鑰 (CMEK)。 使用您建立的 Cloud Key Management Service 金鑰,加密所選的 Security Command Center 資料。根據預設,Security Command Center 資料會以 Google-owned and Google-managed encryption keys加密靜態資料。 | 2 | 2 | 2 | |
| 資料落地。 這項控管機制可將 Security Command Center 發現項目、靜音規則、持續匯出和 BigQuery 匯出作業的儲存和處理作業,限制在 Security Command Center 支援的其中一個資料落地多區域中進行。 | 2 | 2 | 2 | |
| 匯出發現項目 | ||||
| BigQuery 匯出內容。 將 Security Command Center 的發現項目匯出至 BigQuery,您可以一次匯出大量資料,也可以啟用持續匯出功能。 | ||||
| Pub/Sub 持續匯出作業 | ||||
| Cloud Logging 持續匯出作業 | 2 | |||
| 其他功能 | ||||
| 圖表搜尋 (預先發布版)。 查詢安全圖表,找出您要在環境中監控的潛在安全漏洞。 | 2 | |||
Privileged Access Manager。 Privileged Access Manager 可協助您控管特定主體的即時暫時性權限提升,並提供稽核記錄,追蹤誰在何時存取了哪些資源。 Security Command Center 提供下列功能: | 2 | |||
| 在 Cloud Asset Inventory 中使用 SQL 查詢資產 | ||||
| 申請提高 Cloud Asset Inventory 配額 | ||||
| Assured Open Source Software。 將 Google 保護及使用的套件整合至自家開發人員工作流程,即可享有 Google 為開放原始碼軟體提供的安全防護機制與服務。 | ||||
| 稽核管理員。 這項法規遵循稽核解決方案會根據多個法規遵循架構中選取的控制項,評估您的資源。Security Command Center Enterprise 使用者可免費存取 Audit Manager 的進階級。 | ||||
| 支援多雲端。 將 Security Command Center 連結至其他雲端供應商,偵測威脅、安全漏洞和設定錯誤。評估外部雲端高價值資源的受攻擊風險分數和攻擊路徑。支援的雲端服務供應商:AWS、Azure。 | ||||
| Snyk 整合。 查看及管理 Snyk 發現的安全性問題。 | ||||