Security Command Center wird in drei Dienststufen angeboten: Standard, Premium und Enterprise. Die einzelnen Stufen legen fest, welche Funktionen und Dienste in Security Command Center für Sie verfügbar sind. Im Folgenden finden Sie eine kurze Beschreibung der einzelnen Dienstleistungsvarianten:
- Standard: Einfache Verwaltung des Sicherheitsstatus nur für Google Cloud . Das Standard-Tier kann auf Projekt- oder Organisationsebene aktiviert werden. Am besten geeignet fürGoogle Cloud -Umgebungen mit minimalen Sicherheitsanforderungen.
- Premium Alle Funktionen von Standard sowie Verwaltung des Sicherheitsstatus, Angriffspfade, Bedrohungserkennung und Compliance-Monitoring nur für Google Cloud . Die Premium-Stufe kann auf Projekt- oder Organisationsebene aktiviert werden. Am besten geeignet fürGoogle Cloud -Kunden, die eine nutzungsbasierte Abrechnung benötigen.
- Enterprise Umfassende Multi-Cloud-CNAPP-Sicherheit, mit der Sie Ihre wichtigsten Probleme priorisieren und beheben können. Enthält die meisten Dienste, die in Premium enthalten sind. Die Enterprise-Stufe kann nur auf Organisationsebene aktiviert werden. Am besten geeignet zum Schutz von Google Cloud, AWS und Azure.
Die Standard-Stufe wird ohne zusätzliche Kosten angeboten, während die Premium- und Enterprise-Stufen unterschiedliche Preisstrukturen haben. Weitere Informationen finden Sie unter Security Command Center-Preise.
Eine Liste der in den einzelnen Stufen enthaltenen Dienste finden Sie im Vergleich der Dienststufen.
Informationen zu den Google SecOps-Funktionen, die mit der Security Command Center Enterprise-Stufe unterstützt werden, finden Sie unter Google Security Operations-Limits in Security Command Center Enterprise.
| Dienst | Dienststufe | ||
|---|---|---|---|
| Standard | Premium | Unternehmen | |
| Erkennung von Sicherheitslücken | |||
| Security Health Analytics | |||
| Verwaltetes Scannen auf Sicherheitslücken für Google Cloud , mit dem automatisch die höchsten Sicherheitslücken und Fehlkonfigurationen für Ihre Google Cloud -Assets erkannt werden. | |||
| Compliance-Monitoring: Security Health Analytics-Detektoren werden den Kontrollen gängiger Sicherheitsbenchmarks wie NIST, HIPAA, PCI DSS und CIS zugeordnet. | |||
| Unterstützung für benutzerdefinierte Module: Eigene benutzerdefinierte Security Health Analytics-Detektoren erstellen | |||
| Web Security Scanner | |||
| Benutzerdefinierte Scans: Sie können benutzerdefinierte Scans für bereitgestellte Compute Engine-, Google Kubernetes Engine- oder App Engine-Webanwendungen mit öffentlichen URLs und IP-Adressen planen und ausführen, die sich nicht hinter Firewalls befinden. | |||
| Zusätzliche OWASP Top Ten-Detektoren | |||
| Verwaltete Scans: Öffentliche Webendpunkte werden wöchentlich auf Sicherheitslücken gescannt. Die Scans werden von Security Command Center konfiguriert und verwaltet. | |||
| Virtuelles Red Teaming | |||
| Virtuelles Red Teaming, das durch Ausführen von Angriffspfadsimulationen durchgeführt wird, hilft Ihnen, Sicherheitslücken und Fehlkonfigurationen zu erkennen und zu priorisieren, indem die Pfade identifiziert werden, über die ein potenzieller Angreifer auf Ihre hochwertigen Ressourcen zugreifen könnte. | 1 | ||
| Mandiant-CVE-Bewertungen | |||
| CVE-Bewertungen werden nach Ausnutzbarkeit und potenziellen Auswirkungen gruppiert. Sie können Ergebnisse nach CVE-ID abfragen. | |||
| Andere Dienste für Sicherheitslücken | |||
| Anomalieerkennung2 Erkennt Sicherheitsanomalien für Ihre Projekte und VM-Instanzen, z. B. potenzielle gehackte Anmeldedaten und Mining von Kryptowährungen. | 1 | 1 | |
| Ergebnisse zu Sicherheitslücken bei Container-Images. Ergebnisse aus Artifact Registry-Scans, bei denen anfällige Container-Images erkannt werden, die auf bestimmten Assets bereitgestellt werden, automatisch in Security Command Center schreiben. | |||
| Ergebnisse des GKE-Sicherheitsstatus-Dashboards (Vorschau). Sie können Ergebnisse zu Sicherheitskonfigurationsfehlern, umsetzbaren Sicherheitsbulletins und Sicherheitslücken im Containerbetriebssystem oder in Sprachpaketen von Kubernetes-Arbeitslasten ansehen. | |||
| Model Armor. LLM-Prompts und ‑Antworten auf Sicherheitsrisiken prüfen. | |||
| Sensitive Data Protection-Erkennung:2 Ermittelt, klassifiziert und schützt sensible Daten. | 3 | 3 | |
| Engstellen: Gibt Ressourcen oder Ressourcengruppen an, in denen mehrere Angriffspfade zusammenlaufen. | |||
| Notebook Security Scanner (Vorschau). Sicherheitslücken in Python-Paketen, die in Colab Enterprise-Notebooks verwendet werden, erkennen und beheben | |||
| Schädliche Kombinationen: Es werden Risikogruppen erkannt, die, wenn sie in einem bestimmten Muster auftreten, einen Pfad zu einer oder mehreren Ihrer hochwertigen Ressourcen bilden, den ein entschlossener Angreifer potenziell nutzen könnte, um auf diese Ressourcen zuzugreifen und sie zu kompromittieren. | |||
| VM Manager-Berichte zu Sicherheitslücken (Vorschau).2 Wenn Sie VM Manager aktivieren, werden Ergebnisse aus den Berichten zu Sicherheitslücken automatisch in Security Command Center geschrieben. | 1 | ||
| Sicherheitslückenbewertung für Google Cloud (Vorschau). Damit können Sie kritische und schwerwiegende Softwarelücken in Ihren Compute Engine-VM-Instanzen erkennen, ohne Agents installieren zu müssen. | |||
| Mandiant Attack Surface Management. Erkennt und analysiert Ihre Internet-Assets in verschiedenen Umgebungen und überwacht kontinuierlich das externe Ökosystem auf ausnutzbare Schwachstellen. | 4 | ||
| Sicherheitslückenbewertung für AWS Erkennt Sicherheitslücken in AWS-Ressourcen, einschließlich Software, die auf Amazon EC2-Instanzen und in Elastic Container Registry-Images (ECR) installiert ist. | |||
| Bedrohungserkennung und ‑abwehr | |||
| Google Cloud Armor.2 Schützt Google Cloud Bereitstellungen vor Bedrohungen wie DDoS-Angriffen (Distributed Denial-of-Service), Cross-Site-Scripting (XSS) und SQL-Injection (SQLi). | 1 | 1 | |
| Sensitive Actions Service Erkennt, wenn in Ihrer Google Cloud Organisation, Ihren Ordnern und Projekten Google Cloud Aktionen ausgeführt werden, die Ihrem Unternehmen schaden könnten, wenn sie von einem böswilligen Akteur ausgeführt werden. | |||
| Agent Engine Threat Detection (Vorschau). Erkennt Laufzeitangriffe auf Agents, die über Vertex AI Agent Engine bereitgestellt und verwaltet werden. | |||
| Cloud Run Threat Detection. Erkennt Laufzeitangriffe in Cloud Run-Containern. | |||
| Container Threat Detection. Erkennt Laufzeitangriffe in Container-Optimized OS-Knoten-Images. | |||
| Correlated Threats (Vorabversion) So können Sie fundiertere Entscheidungen in Bezug auf Sicherheitsvorfälle treffen. Bei dieser Funktion werden mithilfe des Sicherheitsdiagramms ähnliche Bedrohungsbefunde zusammengefasst, damit Sie aktive Bedrohungen besser priorisieren und darauf reagieren können. | |||
| Event Threat Detection. Überwacht Cloud Logging und Google Workspace mithilfe von Bedrohungsinformationen, maschinellem Lernen und anderen fortschrittlichen Methoden, um Bedrohungen wie Malware, Kryptowährungs-Mining und Datenexfiltration zu erkennen. | |||
| Graphsuche (Vorschau). Fragen Sie den Sicherheitsgraphen ab, um potenzielle Sicherheitslücken zu identifizieren, die Sie in Ihrer Umgebung überwachen möchten. | 1 | ||
| Probleme Hier werden die wichtigsten Sicherheitsrisiken aufgeführt, die von Security Command Center in Ihren Cloud-Umgebungen gefunden wurden. Probleme werden mithilfe von virtuellem Red Teaming sowie regelbasierten Erkennungen erkannt, die auf dem Security Command Center-Sicherheitsdiagramm basieren. | 1 | ||
| Virtual Machine Threat Detection Erkennt potenziell schädliche Anwendungen, die in VM-Instanzen ausgeführt werden. | |||
Google SecOps. Wird in Security Command Center eingebunden, damit Sie Bedrohungen erkennen, untersuchen und darauf reagieren können. Google SecOps umfasst Folgendes:
| |||
Mandiant Threat Defense. Mit Mandiant-Experten können Sie kontinuierlich nach Bedrohungen suchen, um Angreiferaktivitäten aufzudecken und die Auswirkungen auf Ihr Unternehmen zu reduzieren. Mandiant Threat Defense ist standardmäßig nicht aktiviert. Weitere Informationen und Preisdetails erhalten Sie von Ihrem Vertriebsmitarbeiter oder Google Cloud-Partner. | |||
| Postures und Richtlinien | |||
| Binärautorisierung2 Implementieren Sie Sicherheitsmaßnahmen für die Softwarelieferkette, wenn Sie containerbasierte Anwendungen entwickeln und bereitstellen. Bereitstellung von Container-Images überwachen und einschränken | 1 | 1 | |
| Cyber Insurance Hub2 Profile erstellen und Berichte zur technischen Risikolage Ihrer Organisation generieren | 1 | 1 | |
| Policy Controller2 Ermöglicht die Anwendung und Erzwingung programmierbarer Richtlinien für Ihre Kubernetes-Cluster. | 1 | 1 | |
Policy Intelligence. Bietet Tools, mit denen Sie Ihre Zugriffsrichtlinien nachvollziehen und verwalten können, um Ihre Sicherheitskonfiguration proaktiv zu verbessern. Policy Intelligence bietet Google Cloud Kunden einige Funktionen kostenlos an, z. B. Empfehlungen für einfache Rollen und eine begrenzte Anzahl von Anfragen pro Monat. Erweiterte Funktionen sind für Security Command Center Premium- und Enterprise-Nutzer verfügbar. Weitere Informationen finden Sie unter Preise. | |||
| Compliance Manager Sie können Kontrollen und Frameworks definieren, bereitstellen, überwachen und prüfen, die Ihnen helfen, die Sicherheits- und Compliance-Verpflichtungen für Ihre Google Cloud Umgebung zu erfüllen. | 1, 5, 6 | 6 | |
| Verwaltung des Datensicherheitsstatus: Bewerten, implementieren und prüfen Sie Datensicherheitsframeworks und Cloud-Kontrollen, um den Zugriff auf und die Verwendung von sensiblen Daten zu steuern. | 1 | ||
| Sicherheitsstatus Definieren und stellen Sie einen Sicherheitsstatus bereit, um den Sicherheitsstatus Ihrer Google Cloud-Ressourcen zu überwachen. Abweichungen und unbefugte Änderungen an der Haltung korrigieren. Im Enterprise-Tarif können Sie auch Ihre AWS-Umgebung überwachen. | 1 | ||
| Cloud Infrastructure Entitlement Management (CIEM). Identifizieren Sie Hauptkonten (Identitäten), die falsch konfiguriert sind oder denen übermäßige oder vertrauliche IAM-Berechtigungen für Ihre Cloud-Ressourcen gewährt wurden. | 7 | ||
| Datenverwaltung | |||
| Datenstandort und ‑verschlüsselung | |||
| Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK). Verwenden Sie Cloud Key Management Service-Schlüssel, die Sie erstellen, um ausgewählte Security Command Center-Daten zu verschlüsseln. Security Command Center-Daten werden standardmäßig mit Google-owned and Google-managed encryption keysverschlüsselt. | 1 | 1 | |
| Datenstandort Steuerelemente, die die Speicherung und Verarbeitung von Security Command Center-Ergebnissen, Stummschaltungsregeln, kontinuierlichen Exporten und BigQuery-Exporten auf eine der Multi-Regionen für den Datenstandort beschränken, die von Security Command Center unterstützt werden. | 1 | 1 | |
| Ergebnisse exportieren | |||
| BigQuery-Exporte: Ergebnisse aus Security Command Center nach BigQuery exportieren, entweder als einmaligen Bulk-Export oder durch Aktivieren von kontinuierlichen Exporten. | |||
| Kontinuierliche Pub/Sub-Exporte | |||
| Kontinuierliche Cloud Logging-Exporte | 1 | ||
| Weitere Funktionen | |||
| Validierung von Infrastructure as Code (IaC): Anhand von Organisationsrichtlinien und Security Health Analytics-Detektoren validieren | 1 | ||
Privileged Access Manager. Mit Privileged Access Manager können Sie die temporäre Just-in-Time-Ausweitung von Berechtigungen für bestimmte Hauptkonten steuern und Audit-Logs aufrufen, um herauszufinden, wer wann auf welche Ressourcen zugegriffen hat. Die folgenden Funktionen sind mit Security Command Center verfügbar:
| 1 | ||
| Assets mit SQL in Cloud Asset Inventory abfragen | |||
| Mehr Cloud Asset Inventory-Kontingent anfordern | |||
| Risikoberichte (Vorschau). Risikoberichte helfen Ihnen, die Ergebnisse der Angriffspfadsimulationen zu verstehen, die in Security Command Center ausgeführt werden. Ein Risikobericht enthält eine allgemeine Übersicht, Beispiele für schädliche Kombinationen und die zugehörigen Angriffspfade. | 1 | ||
| AI Protection (Vorschau). AI Protection hilft Ihnen, den Sicherheitsstatus Ihrer KI-Arbeitslasten zu verwalten, indem Bedrohungen erkannt und Risiken für Ihr KI-Asset-Inventar minimiert werden. | |||
| Assured Open Source Software. Profitieren Sie von der Sicherheit und den Funktionen, die Google für Open-Source-Software bietet, indem Sie die gleichen Pakete, die Google sichert und verwendet, in Ihre eigenen Entwicklerworkflows einbinden. | |||
| Audit Manager Eine Compliance-Prüfungslösung, mit der Ihre Ressourcen anhand ausgewählter Kontrollen aus mehreren Compliance-Frameworks bewertet werden. Security Command Center Enterprise-Nutzer erhalten ohne zusätzliche Kosten Zugriff auf die Premium-Stufe von Audit Manager. | |||
| Unterstützung von Multi-Cloud. Verbinden Sie Security Command Center mit anderen Cloud-Anbietern, um Bedrohungen, Sicherheitslücken und Fehlkonfigurationen zu erkennen. Bewerten Sie Angriffsbewertungen und Angriffspfade für externe hochwertige Cloud-Ressourcen. Unterstützte Cloud-Anbieter: AWS, Azure. | |||
| Snyk-Integration: Von Snyk als Sicherheitsergebnisse identifizierte Probleme ansehen und verwalten. | |||
- Hierfür ist eine Aktivierung auf Organisationsebene erforderlich.
- Dies ist ein Google Cloud -Dienst, der in Aktivierungen von Security Command Center auf Organisationsebene eingebunden wird, um Ergebnisse zu liefern. Für eine oder mehrere Funktionen dieses Dienstes fallen möglicherweise separate Kosten an, die nicht in Security Command Center enthalten sind.
- Nicht standardmäßig aktiviert. Weitere Informationen und Preisdetails erhalten Sie von Ihrem Vertriebsmitarbeiter oder Google Cloud Partner.
- Wenn Datenstandortkontrollen aktiviert sind, wird diese Funktion nicht unterstützt.
- Diese Funktion unterstützt keine vom Kunden verwalteten Verschlüsselungsschlüssel (CMEK).
- Datenstandort wird nicht unterstützt.
- Wenn Datenstandortkontrollen aktiviert sind, wird diese Funktion nur für Google Cloudunterstützt.