Security Command Center se ofrece en tres niveles de servicio: Standard, Premium y Enterprise. Cada nivel determina las funciones y los servicios que tienes disponibles en Security Command Center. A continuación, se incluye una breve descripción de cada nivel de servicio:
- Estándar. Gestión básica de la postura de seguridad solo en Google Cloud . El nivel Estándar se puede activar a nivel de proyecto o de organización. Ideal para Google Cloud entornos con requisitos de seguridad mínimos.
- Premium. Todo lo que incluye el plan Standard, además de la gestión de la posición de seguridad, las rutas de ataque, la detección de amenazas y la monitorización del cumplimiento solo en Google Cloud . El nivel Premium se puede activar a nivel de proyecto o de organización. Es la mejor opción para los Google Cloud clientes que necesitan la facturación de pago por uso.
- Enterprise. Seguridad integral multinube de la plataforma de protección de aplicaciones nativas de la nube (CNAPP) que te ayuda a clasificar y solucionar tus problemas más críticos. Incluye la mayoría de los servicios de Premium. El nivel Enterprise solo se puede activar a nivel de organización. Ideal para proteger Google Cloud, AWS y Azure.
El nivel Estándar se ofrece sin coste adicional, mientras que los niveles Premium y Enterprise tienen estructuras de precios diferentes. Para obtener más información, consulta los precios de Security Command Center.
Para ver una lista de los servicios incluidos en cada nivel, consulta la comparativa de niveles de servicio.
Para ver las funciones de Google SecOps compatibles con el nivel Enterprise de Security Command Center, consulta los límites de Google Security Operations en Security Command Center Enterprise.
| Servicio | Nivel de servicio | ||
|---|---|---|---|
| Estándar | Premium | Empresa | |
| Detección de vulnerabilidades | |||
| Security Health Analytics | |||
| Análisis gestionado de evaluación de vulnerabilidades para Google Cloud detectar automáticamente las vulnerabilidades y los errores de configuración de mayor gravedad de tus recursos de Google Cloud . | |||
| Supervisión del cumplimiento. Los detectores de Security Health Analytics se corresponden con los controles de las comparativas de seguridad habituales, como NIST, HIPAA, PCI-DSS y CIS. | |||
| Asistencia para módulos personalizados. Crea tus propios detectores personalizados de Security Health Analytics. | |||
| Web Security Scanner | |||
| Búsquedas personalizadas. Programa y ejecuta análisis personalizados en aplicaciones web de Compute Engine, Google Kubernetes Engine o App Engine desplegadas que tengan URLs e IPs públicas y que no estén protegidas por cortafuegos. | |||
| Detectores adicionales de los diez principales riesgos de OWASP | |||
| Analizaciones gestionadas Analiza los endpoints web públicos en busca de vulnerabilidades cada semana. Los análisis los configura y gestiona Security Command Center. | |||
| Equipos rojos virtuales | |||
| El equipo rojo virtual, que se lleva a cabo ejecutando simulaciones de rutas de ataque, te ayuda a identificar y priorizar las vulnerabilidades y los errores de configuración al identificar las rutas que podría tomar un atacante para acceder a tus recursos de alto valor. | 1 | ||
| Evaluaciones de CVE de Mandiant | |||
| Las evaluaciones de CVE se agrupan según su posibilidad de exploit y su posible impacto. Puedes consultar las detecciones por ID de CVE. | |||
| Otros servicios de vulnerabilidades | |||
| Detección de anomalías:2 identifica las anomalías de seguridad de tus proyectos y tus instancias de máquinas virtuales, como las credenciales potencialmente filtradas y la minería de criptomonedas. | 1 | 1 | |
| Resultados de vulnerabilidades de imágenes de contenedor. Escribe automáticamente los resultados en Security Command Center a partir de los análisis de Artifact Registry que detecten imágenes de contenedor vulnerables desplegadas en recursos específicos. | |||
| Resultados del panel de control de la postura de seguridad de GKE (vista previa). Consulta las detecciones sobre errores de configuración de seguridad de cargas de trabajo de Kubernetes, boletines de seguridad prácticos y vulnerabilidades en el sistema operativo del contenedor o en los paquetes de lenguaje. | |||
| Model Armor. Analiza las peticiones y respuestas de los LLMs para detectar riesgos de seguridad. | |||
| Detección de Protección de Datos Sensibles.2 Descubre, clasifica y ayuda a proteger datos sensibles. | 3 | 3 | |
| Puntos de bloqueo. Identifica los recursos o grupos de recursos en los que convergen varias rutas de ataque. | |||
| Notebook Security Scanner (versión preliminar). Detecta y resuelve vulnerabilidades en paquetes de Python que se usan en cuadernos de Colab Enterprise. | |||
| Combinaciones tóxicas. Detecta grupos de riesgos que, cuando se producen juntos en un patrón concreto, crean una ruta a uno o varios de sus recursos de alto valor que un atacante determinado podría usar para acceder a esos recursos y ponerlos en peligro. | |||
| Informes de vulnerabilidades de VM Manager (vista previa).2 Si habilitas VM Manager, escribirá automáticamente los resultados de sus informes de vulnerabilidades en Security Command Center. | 1 | ||
| Evaluación de vulnerabilidades de Google Cloud (Vista previa). Te ayuda a descubrir vulnerabilidades de software críticas y de alta gravedad en tus instancias de VM de Compute Engine sin instalar agentes. | |||
| Mandiant Attack Surface Management. Descubre y analiza tus recursos de Internet en todos los entornos, al tiempo que monitoriza continuamente el ecosistema externo para detectar exposiciones explotables. | 4 | ||
| Vulnerability Assessment for AWS. Detecta vulnerabilidades en recursos de AWS, incluido el software instalado en instancias de Amazon EC2 y en imágenes de Elastic Container Registry (ECR). | |||
| Detección y respuesta ante amenazas | |||
| Google Cloud Armor.2 Protege las Google Cloud implementaciones frente a amenazas como los ataques de denegación de servicio distribuido (DDoS), cross-site scripting (XSS) e inyección de SQL (SQLi). | 1 | 1 | |
| Servicio de acciones sensibles. Detecta cuándo se realizan acciones en tu Google Cloud organización, carpetas y proyectos que podrían dañar tu empresa si las lleva a cabo un agente malicioso. | |||
| Detección de amenazas de Agent Engine (vista previa). Detecta ataques en tiempo de ejecución en agentes que se han desplegado y gestionado a través de Vertex AI Agent Engine. | |||
| Cloud Run Threat Detection. Detecta ataques en el tiempo de ejecución en contenedores de Cloud Run. | |||
| Container Threat Detection. Detecta ataques en el tiempo de ejecución en imágenes de nodos de Container-Optimized OS. | |||
| Amenazas relacionadas (Vista previa). Te ayuda a tomar decisiones más fundamentadas sobre los incidentes de seguridad. Esta función combina los resultados de amenazas relacionados mediante el gráfico de seguridad, lo que te ayuda a priorizar y responder a las amenazas activas. | |||
| Event Threat Detection. Monitoriza Cloud Logging y Google Workspace mediante la inteligencia frente a amenazas, el aprendizaje automático y otros métodos avanzados para detectar amenazas como malware, minería de criptomonedas y filtración externa de datos. | |||
| Búsqueda con gráficos (vista previa). Consulta el gráfico de seguridad para identificar posibles vulnerabilidades de seguridad que quieras monitorizar en tu entorno. | 1 | ||
| Problemas. Identifica los riesgos de seguridad más importantes que Security Command Center ha encontrado en tus entornos de nube. Los problemas se detectan mediante pruebas de penetración virtuales, así como detecciones basadas en reglas que se basan en el gráfico de seguridad de Security Command Center. | 1 | ||
| Virtual Machine Threat Detection. Detecta aplicaciones potencialmente maliciosas que se ejecutan en instancias de máquina virtual. | |||
Google SecOps. Se integra con Security Command Center para ayudarte a detectar, investigar y responder a las amenazas. Google SecOps incluye lo siguiente:
| |||
Mandiant Threat Defense. Confía en los expertos de Mandiant para buscar amenazas continuamente y exponer la actividad de los atacantes, así como para reducir el impacto en tu empresa. Mandiant Threat Defense no está activado de forma predeterminada. Para obtener más información y detalles sobre los precios, ponte en contacto con tu representante de ventas o con tu partner de Google Cloud. | |||
| Posturas y políticas | |||
| Autorización binaria.2 Implementa medidas de seguridad en la cadena de suministro de software al desarrollar y desplegar aplicaciones basadas en contenedores. Monitoriza y limita el despliegue de imágenes de contenedor. | 1 | 1 | |
| Cyber Insurance Hub:2 Crea un perfil y genera informes sobre la estrategia de riesgo técnico de tu organización. | 1 | 1 | |
| Policy Controller:2 permite aplicar políticas programables en tus clústeres de Kubernetes. | 1 | 1 | |
Policy Intelligence. Proporciona herramientas que te ayudan a comprender y gestionar tus políticas de acceso para mejorar de forma proactiva tu configuración de seguridad. Policy Intelligence ofrece algunas funciones a los clientes Google Cloud sin coste económico, como recomendaciones de roles básicos y un número limitado de consultas al mes. Las funciones avanzadas están disponibles para los usuarios de Security Command Center Premium y Enterprise. Para obtener más información, consulta la página de precios. | |||
| Gestor de cumplimiento. Define, implementa, monitoriza y audita controles y marcos diseñados para ayudarte a cumplir las obligaciones de seguridad y cumplimiento de tu Google Cloud entorno. | 1, 5, 6 | 6 | |
| Gestión de la posición de seguridad de los datos (DSPM). Evalúa, implementa y audita los marcos de seguridad de los datos y los controles de la nube para gestionar el acceso y el uso de datos sensibles. | 1 | ||
| Posición de seguridad. Define e implementa una estrategia de seguridad para monitorizar el estado de seguridad de tus recursos de Google Cloud. Corregir la deriva de la postura y los cambios no autorizados en la postura. En el nivel Enterprise, también puedes monitorizar tu entorno de AWS. | 1 | ||
| Gestión de infraestructuras y derechos en la nube (CIEM). Identifica las cuentas principales (identidades) que están mal configuradas o a las que se han concedido permisos de gestión de identidades y accesos excesivos o sensibles en tus recursos de la nube. | 7 | ||
| Gestión de los datos | |||
| Residencia y cifrado de datos | |||
| Claves de encriptado gestionadas por el cliente (CMEK). Usa las claves de Cloud Key Management Service que crees para cifrar los datos de Security Command Center que selecciones. De forma predeterminada, los datos de Security Command Center se cifran en reposo con Google-owned and Google-managed encryption keys. | 1 | 1 | |
| Residencia de datos. Controles que restringen el almacenamiento y el tratamiento de las detecciones, las reglas de silencio, las exportaciones continuas y las exportaciones de BigQuery de Security Command Center a una de las multirregiones de residencia de datos que admite Security Command Center. | 1 | 1 | |
| Exportación de hallazgos | |||
| Exportaciones de BigQuery. Exporte las detecciones de Security Command Center a BigQuery, ya sea mediante una exportación masiva única o habilitando las exportaciones continuas. | |||
| Exportaciones continuas de Pub/Sub | |||
| Exportaciones continuas de Cloud Logging | 1 | ||
| Otras funciones | |||
| Protección de la IA. AI Protection te ayuda a gestionar la postura de seguridad de tus cargas de trabajo de IA detectando amenazas y ayudándote a mitigar los riesgos de tu inventario de recursos de IA. | 1 | ||
| Validación de la infraestructura como código (IaC). Validar según las políticas de la organización y los detectores de Security Health Analytics. | 1 | ||
Privileged Access Manager. Privileged Access Manager te ayuda a controlar la elevación de privilegios temporal y puntual de determinados principales, y proporciona registros de auditoría para monitorizar quién ha tenido acceso a qué recursos y cuándo. Las siguientes funciones están disponibles con Security Command Center:
| 1 | ||
| Consultar recursos con SQL en Inventario de Recursos de Cloud | |||
| Solicitar más cuota de Inventario de Recursos de Cloud | |||
| Informes de riesgos (vista previa). Los informes de riesgos te ayudan a comprender los resultados de las simulaciones de rutas de ataque que ejecuta Security Command Center. Un informe de riesgos contiene una vista general, combinaciones tóxicas de ejemplo y rutas de ataque asociadas. | 1 | ||
| Assured Open Source Software. Aprovecha la seguridad y la experiencia que Google aplica al software de código abierto incorporando los mismos paquetes que Google protege y utiliza en tus propios flujos de trabajo de desarrollador. | |||
| Gestor de auditorías. Una solución de auditoría de cumplimiento que evalúa sus recursos en función de determinados controles de varios marcos de cumplimiento. Los usuarios de Security Command Center Enterprise tienen acceso al nivel Premium de Audit Manager sin coste adicional. | |||
| Compatibilidad con entornos multinube. Conecta Security Command Center con otros proveedores de servicios en la nube para detectar amenazas, vulnerabilidades y errores de configuración. Evalúa las puntuaciones de exposición a ataques y las rutas de ataque en recursos externos de alto valor en la nube. Proveedores de servicios en la nube admitidos: AWS y Azure. | |||
| Integración con Snyk. Ver y gestionar los problemas identificados por Snyk como resultados de seguridad. | |||
- Requiere una activación a nivel de organización.
- Se trata de un Google Cloud servicio que se integra con las activaciones de Security Command Center a nivel de organización para proporcionar resultados. Es posible que una o varias funciones de este servicio tengan un precio independiente de Security Command Center.
- No está activada de forma predeterminada. Para obtener más información y detalles sobre los precios, ponte en contacto con tu representante de ventas o Google Cloud partner.
- Si los controles de residencia de datos están habilitados, esta función no se admite.
- Esta función no admite claves de cifrado gestionadas por el cliente (CMEK).
- No admite la residencia de datos.
- Si los controles de residencia de datos están habilitados, esta función solo se admite en Google Cloud.