Security Command Center se ofrece en tres niveles de servicio: Estándar, Premium y Enterprise. Cada nivel determina las funciones y los servicios que tienes disponibles en Security Command Center. A continuación, se incluye una breve descripción de cada nivel de servicio:
- Estándar. Administración básica de la postura de seguridad solo para Google Cloud . El nivel Estándar se puede activar a nivel del proyecto o de la organización. Es ideal para entornosGoogle Cloud con requisitos de seguridad mínimos.
- Premium Todo lo que incluye la versión Standard, más la administración de postura de seguridad, las rutas de ataque, la detección de amenazas y la supervisión del cumplimiento solo para Google Cloud . El nivel Premium se puede activar a nivel del proyecto o de la organización. Ideal para los Google Cloud clientes que necesitan facturación de pago por uso.
- Empresarial Seguridad completa de CNAPP de múltiples nubes que te ayuda a priorizar y corregir tus problemas más críticos. Incluye la mayoría de los servicios que se encuentran en Premium. El nivel Enterprise solo se puede activar a nivel de la organización. Es la mejor opción para ayudar a proteger Google Cloud, AWS y Azure.
El nivel Estándar se ofrece sin cargo adicional, mientras que los niveles Premium y Enterprise tienen diferentes estructuras de precios. Para obtener más información, consulta Precios de Security Command Center.
Para obtener una lista de los servicios incluidos en cada nivel, consulta la comparación de niveles de servicio.
Para conocer las funciones de Google SecOps compatibles con el nivel de Security Command Center Enterprise, consulta Límites de Google Security Operations en Security Command Center Enterprise.
| Servicio | Nivel de servicio | ||
|---|---|---|---|
| Estándar | Premium | Para empresas | |
| Detección de vulnerabilidades | |||
| Security Health Analytics | |||
| Análisis de evaluación de vulnerabilidades administrado para Google Cloud que puede detectar automáticamente las vulnerabilidades de mayor gravedad y las configuraciones incorrectas de tus recursos de Google Cloud . | |||
| Supervisión del cumplimiento. Los detectores de Security Health Analytics se asignan a los controles de las comparativas de seguridad comunes, como NIST, HIPAA, PCI-DSS y CIS. | |||
| Compatibilidad con módulos personalizados. Crea tus propios detectores personalizados de Security Health Analytics. | |||
| Web Security Scanner | |||
| Análisis personalizados. Programa y ejecuta análisis personalizados en aplicaciones web implementadas de Compute Engine, Google Kubernetes Engine o App Engine que tengan URLs y direcciones IP públicas, y que no estén detrás de firewalls. | |||
| Detectores adicionales de OWASP Top Ten | |||
| Análisis administrados. Analiza semanalmente los extremos web públicos en busca de vulnerabilidades. Security Command Center configura y administra los análisis. | |||
| Formación de equipos rojos virtuales | |||
| La formación de equipos rojos virtuales, que se realiza ejecutando simulaciones de rutas de ataque, te ayuda a identificar y priorizar los hallazgos de vulnerabilidades y errores de configuración, ya que identifica las rutas que un atacante potencial podría tomar para llegar a tus recursos de alto valor. | 1 | ||
| Evaluaciones de CVE de Mandiant | |||
| Las evaluaciones de CVE se agrupan según su capacidad de explotación y su impacto potencial. Puedes consultar los hallazgos por ID de CVE. | |||
| Otros servicios de vulnerabilidades | |||
| Detección de anomalías.2 Identifica anomalías de seguridad para tus proyectos y las instancias de máquina virtual (VM), como posibles filtraciones de credenciales y minería de criptomonedas. | 1 | 1 | |
| Resultados de las vulnerabilidades de imágenes de contenedor. Escribe automáticamente los resultados en Security Command Center a partir de los análisis de Artifact Registry que detectan imágenes de contenedor vulnerables implementadas en recursos específicos. | |||
| Resultados del panel de postura de seguridad de GKE (vista previa). Visualiza los resultados sobre errores de configuración de seguridad de cargas de trabajo de Kubernetes, boletines de seguridad prácticos y vulnerabilidades en el sistema operativo del contenedor o en paquetes de idiomas. | |||
| Model Armor. Examina las instrucciones y respuestas de LLM en busca de riesgos de seguridad. | |||
| Descubrimiento de Sensitive Data Protection.2 Descubre, clasifica y ayuda a proteger los datos sensibles. | 3 | 3 | |
| Puntos de estrangulamiento. Identifica los recursos o grupos de recursos en los que convergen varias rutas de ataque. | |||
| Notebook Security Scanner (versión preliminar). Detecta y resuelve vulnerabilidades en los paquetes de Python que se usan en los notebooks de Colab Enterprise. | |||
| Combinaciones tóxicas. Detecta grupos de riesgos que, cuando ocurren juntos en un patrón particular, crean una ruta a uno o más de tus recursos de alto valor que un atacante determinado podría usar para llegar a esos recursos y vulnerarlos. | |||
| Informes de vulnerabilidad de VM Manager (vista previa).2 Si habilitas VM Manager, este escribe automáticamente los resultados de sus informes de vulnerabilidad en Security Command Center. | 1 | ||
| Vulnerability Assessment for Google Cloud (Vista previa). Te ayuda a descubrir vulnerabilidades de software críticas y de gravedad alta en tus instancias de VM de Compute Engine sin necesidad de instalar agentes. | |||
| Mandiant Attack Surface Management. Descubre y analiza tus recursos de Internet en todos los entornos, mientras supervisa continuamente el ecosistema externo en busca de exposiciones aprovechables. | 4 | ||
| Evaluación de vulnerabilidades para AWS. Detecta vulnerabilidades en los recursos de AWS, incluido el software instalado en instancias de Amazon EC2 y en imágenes de Elastic Container Registry (ECR). | |||
| Detección de amenazas y respuesta ante ellas | |||
| Google Cloud Armor.2 Protege las Google Cloud implementaciones contra amenazas como los ataques de denegación de servicio distribuido (DSD), las secuencia de comandos entre sitios (XSS) y la inyección de SQL (SQLi). | 1 | 1 | |
| Servicio de acciones sensibles Detecta cuándo se realizan acciones en tu organización, carpetas y proyectos de Google Cloud que podrían ser perjudiciales para tu empresa si las realiza un agente malicioso. | |||
| Detección de amenazas del motor del agente (vista previa). Detecta ataques en el tiempo de ejecución contra agentes que se implementan y administran a través de Vertex AI Agent Engine. | |||
| Detección de amenazas de Cloud Run. Detecta ataques de tiempo de ejecución en contenedores de Cloud Run. | |||
| Container Threat Detection. Detecta ataques de tiempo de ejecución en imágenes de nodos de Container-Optimized OS. | |||
| Correlated Threats (Vista previa). Te ayuda a tomar decisiones más fundamentadas sobre los incidentes de seguridad. Esta función combina los hallazgos de amenazas relacionados con el gráfico de seguridad, lo que te ayuda a priorizar las amenazas activas y responder a ellas. | |||
| Event Threat Detection. Supervisa Cloud Logging y Google Workspace con inteligencia de amenazas, aprendizaje automático y otros métodos avanzados para detectar amenazas como software malicioso, minería de criptomonedas y robo de datos. | |||
| Búsqueda en el gráfico (Vista previa). Consulta el gráfico de seguridad para identificar posibles vulnerabilidades de seguridad que quieras supervisar en tu entorno. | 1 | ||
| Problemas. Identifica los riesgos de seguridad más importantes que Security Command Center encontró en tus entornos de nube. Los problemas se descubren a través de pruebas de penetración virtuales, junto con detecciones basadas en reglas que se basan en el gráfico de seguridad de Security Command Center. | 1 | ||
| Virtual Machine Threat Detection. Detecta aplicaciones potencialmente maliciosas que se ejecutan en instancias de VM. | |||
Google SecOps. Se integra con Security Command Center para ayudarte a detectar amenazas, investigarlas y responder a ellas. Google SecOps incluye lo siguiente:
| |||
Mandiant Threat Defense. Confía en los expertos de Mandiant para realizar una búsqueda continua de amenazas y exponer la actividad de los atacantes, y reducir el impacto en tu negocio. Mandiant Threat Defense no se activa de forma predeterminada. Para obtener más información y detalles sobre los precios, comunícate con tu representante de ventas o socio de Google Cloud. | |||
| Posturas y políticas | |||
| Autorización binaria.2 Implementa medidas de seguridad de la cadena de suministro de software cuando desarrolles e implementes aplicaciones basadas en contenedores. Supervisa y limita la implementación de imágenes de contenedor. | 1 | 1 | |
| Cyber Insurance Hub.2 Crea perfiles y genera informes sobre la postura de riesgo técnico de tu organización. | 1 | 1 | |
| Policy Controller.2 Permite la aplicación de políticas programables para tus clústeres de Kubernetes. | 1 | 1 | |
Policy Intelligence. Proporciona herramientas que te ayudan a comprender y administrar tus políticas de acceso para mejorar de forma proactiva la configuración de seguridad. Policy Intelligence proporciona algunas funciones a los clientes de Google Cloud sin cargo, como recomendaciones para roles básicos y una cantidad limitada de consultas por mes. Las funciones avanzadas están disponibles para los usuarios de Security Command Center Premium y Enterprise. Para obtener más detalles, consulta Precios. | |||
| Administrador de cumplimiento. Define, implementa, supervisa y audita los controles y los marcos diseñados para ayudarte a cumplir con las obligaciones de seguridad y cumplimiento de tu entorno de Google Cloud . | 1, 5, 6 | 6 | |
| Administración de la postura de seguridad de los datos (DSPM). Evalúa, implementa y audita los marcos de seguridad de los datos y los controles de la nube para regir el acceso y el uso de los datos sensibles. | 1 | ||
| Postura de seguridad. Define e implementa una postura de seguridad para supervisar el estado de seguridad de tus recursos de Google Cloud. Aborda la desviación de la postura y los cambios no autorizados en la postura. En el nivel Enterprise, también puedes supervisar tu entorno de AWS. | 1 | ||
| Administración de derechos de la infraestructura de nube (CIEM). Identifica las cuentas principales (identidades) que están mal configuradas o que tienen permisos de IAM excesivos o sensibles para tus recursos de Cloud. | 7 | ||
| Administración de datos | |||
| Residencia y encriptación de datos | |||
| Claves de encriptación administradas por el cliente (CMEK). Usa las claves de Cloud Key Management Service que creas para encriptar los datos seleccionados de Security Command Center. De forma predeterminada, los datos de Security Command Center se encriptan en reposo con Google-owned and Google-managed encryption keys. | 1 | 1 | |
| Residencia de datos. Controles que restringen el almacenamiento y el procesamiento de los hallazgos, las reglas de silencio, las exportaciones continuas y las exportaciones de BigQuery de Security Command Center a una de las multirregiones de residencia de datos que admite Security Command Center. | 1 | 1 | |
| Exportación de resultados | |||
| Exportaciones de BigQuery Exporta los resultados de Security Command Center a BigQuery, ya sea como una exportación masiva única o habilitando las exportaciones continuas. | |||
| Exportaciones continuas de Pub/Sub | |||
| Exportaciones continuas de Cloud Logging | 1 | ||
| Otras funciones | |||
| AI Protection. AI Protection te ayuda a administrar la postura de seguridad de tus cargas de trabajo de IA, ya que detecta amenazas y te ayuda a mitigar los riesgos para tu inventario de recursos de IA. | 1 | ||
| Validación de infraestructura como código (IaC). Validar en función de las políticas de la organización y los detectores de Security Health Analytics | 1 | ||
Privileged Access Manager. Privileged Access Manager te ayuda a controlar la elevación de privilegios temporales justo a tiempo para principales específicos y proporciona registros de auditoría para hacer un seguimiento de quién tuvo acceso a qué recursos y cuándo. Las siguientes funciones están disponibles con Security Command Center:
| 1 | ||
| Consulta recursos con SQL en Cloud Asset Inventory | |||
| Solicita más cuota de Cloud Asset Inventory | |||
| Informes de riesgos (vista previa). Los informes de riesgo te ayudan a comprender los resultados de las simulaciones de rutas de ataque que ejecuta Security Command Center. Un informe de riesgo contiene una descripción general de alto nivel, ejemplos de combinaciones tóxicas y rutas de ataque asociadas. | 1 | ||
| Software de código abierto garantizado. Aprovecha la seguridad y la experiencia que Google aplica al software de código abierto incorporando los mismos paquetes que Google protege y usa en tus propios flujos de trabajo de desarrollador. | |||
| Audit Manager. Es una solución de auditoría de cumplimiento que evalúa tus recursos en función de controles seleccionados de varios frameworks de cumplimiento. Los usuarios de Security Command Center Enterprise obtienen acceso al nivel Premium del Administrador de auditorías sin costo adicional. | |||
| Compatibilidad con múltiples nubes Conecta Security Command Center a otros proveedores de servicios en la nube para detectar amenazas, vulnerabilidades y errores de configuración. Evalúa las puntuaciones de exposición al ataque y las rutas de ataque en los recursos externos de alto valor de la nube. Proveedores de servicios en la nube compatibles: AWS y Azure. | |||
| Integración de Snyk. Consulta y administra los problemas que Snyk identificó como resultados de seguridad. | |||
- Requiere una activación a nivel de la organización.
- Este es un Google Cloud servicio que se integra con las activaciones a nivel de la organización de Security Command Center para proporcionar resultados. Es posible que una o más funciones de este servicio tengan un precio independiente del de Security Command Center.
- No está activada de forma predeterminada. Para obtener más información y detalles sobre los precios, comunícate con tu representante de ventas o Google Cloud socio.
- Si los controles de residencia de datos están habilitados, esta función no se admite.
- Esta función no admite claves de encriptación administradas por el cliente (CMEK).
- No admite la residencia de datos.
- Si los controles de residencia de datos están habilitados, esta función solo se admite para Google Cloud.