Security Command Center מוצע בשלוש רמות שירות: Standard, Premium ו-Enterprise. כל מסלול קובע את התכונות והשירותים שזמינים לכם ב-Security Command Center. בהמשך מופיע תיאור קצר של כל רמת שירות:
- Standard-legacy. תמיכה בניהול בסיסי של סטטוס העמידה בהוראות הדין והאבטחה ל- Google Cloud בלבד. יכול להיות שבחלק מהארגונים תתבצע העברה של מהדורת Standard מדור קודם למהדורת Standard.
- Standard. תמיכה בניהול בסיסי של אבטחה וסטטוס העמידה בהוראות הדין עבורGoogle Cloud בלבד. אפשר להפעיל את רמת השירות 'רגיל' ברמת הארגון. הכי מתאים ל Google Cloud סביבות עם דרישות אבטחה מינימליות.
Premium. כל מה שכלול ב-Standard, בנוסף לניהול מתקדם של אבטחה ועמידה בדרישות, נתיבי תקיפה, זיהוי איומים ומעקב אחרי עמידה בדרישות עבור Google Cloud בלבד. אפשר להפעיל את מסלול Premium ברמת הפרויקט או הארגון. מינוי Premium מוצע בשני סוגי חיוב:
- תשלום לפי שימוש ללקוחות שרוצים גמישות.
- מינוי ללקוחות עם צרכים צפויים יותר.
Enterprise. פתרון CNAPP מלא לאבטחת סביבות מרובות עננים, שעוזר לכם לתעדף את הבעיות הקריטיות ביותר ולתקן אותן. כולל את רוב השירותים שכלולים ב-Premium. אפשר להפעיל את רמת Enterprise רק ברמת הארגון. הכי מתאים להגנה על Google Cloud, AWS ו-Azure.
המסלול הרגיל מוצע ללא תשלום נוסף, ואילו למסלולים פרימיום ו-Enterprise יש מבני תמחור שונים. מידע נוסף זמין במאמר בנושא תמחור של Security Command Center.
במאמר מגבלות של Google Security Operations ב-Security Command Center Enterprise מפורטות התכונות של Google SecOps שנתמכות ברמת Enterprise של Security Command Center.
| שירות | רמת שירות | |||
|---|---|---|---|---|
| Standard-legacy | רגילה | פרימיום | Enterprise | |
| זיהוי נקודות חולשה | ||||
| בדיקת נקודות חולשה | ||||
| זיהוי אנומליות.1 מזהה אנומליות אבטחה בפרויקטים ובמכונות וירטואליות (VM), כמו פרטי כניסה פוטנציאליים שדלפו וכמו כריית מטבעות קריפטוגרפיים. | 2 | 2 | 2 | |
| הערכת נקודות חולשה ב-Artifact Registry הממצאים נכתבים באופן אוטומטי ב-Security Command Center מסריקות של Artifact Registry שמזהות תמונות קונטיינר פגיעות שנפרסו בנכסים ספציפיים. | ||||
| גילוי מידע אישי רגיש ב-Sensitive Data Protection.1 גילוי, סיווג והגנה על מידע אישי רגיש. | 3 | 3 | ||
| הערכת נקודות חולשה עבור Google Cloud (תצוגה מקדימה). עוזר לכם לגלות פגיעויות קריטיות בתוכנה ברמת חומרה גבוהה במכונות וירטואליות (VM) של Compute Engine בלי להתקין סוכנים. קבוצה מוגבלת של יכולות זמינה ברמת Standard. | ||||
| Notebook Security Scanner (תצוגה מקדימה). זיהוי נקודות חולשה בחבילות Python שמשמשות ב-notebooks של Colab Enterprise ופתרון שלהן. | ||||
| דוחות על נקודות חולשה ב-VM Manager (גרסת Preview).1 אם מפעילים את VM Manager, הוא כותב באופן אוטומטי את הממצאים מהדוחות על נקודות החולשה ב-Security Command Center. | 2 | |||
| הערכת נקודות חולשה ב-AWS. מזהה נקודות חולשה במשאבי AWS, כולל תוכנה שמותקנת במכונות של Amazon EC2 ובתמונות של Elastic Container Registry (ECR). | ||||
| Security Health Analytics | ||||
סריקה מנוהלת להערכת פגיעות ב- Google Cloud , שיכולה לזהות באופן אוטומטי את הפגיעות וההגדרות השגויות ברמת החומרה הגבוהה ביותר בנכסי Google Cloud . האפשרות הזו לא נתמכת בהפעלות חדשות של מהדורת Standard. חלק מהיכולות זמינות במסלול Standard לארגונים שעברו מיגרציה ממסלול Standard מדור קודם. | ||||
| מעקב אחרי עמידה בדרישות. המזהים של Security Health Analytics ממופים לאמצעי הבקרה של מדדי אבטחה נפוצים כמו NIST, HIPAA, PCI-DSS ו-CIS. | ||||
| תמיכה במודולים בהתאמה אישית. יצירת גלאים מותאמים אישית משלכם ב-Security Health Analytics. | ||||
| Web Security Scanner | ||||
| סריקות בהתאמה אישית. תזמון והרצה של סריקות בהתאמה אישית באפליקציות אינטרנט שפרוסות ב-Compute Engine, ב-Google Kubernetes Engine או ב-App Engine, שיש להן כתובות IP וכתובות URL ציבוריות, ושלא מוגנות על ידי חומות אש. | ||||
| גלאים נוספים של OWASP Top Ten | ||||
| סריקות מנוהלות. סריקת נקודות קצה ציבוריות באינטרנט לאיתור נקודות חולשה מדי שבוע, עם סריקות שמוגדרות ומנוהלות על ידי Security Command Center. | ||||
| צוות אדום וירטואלי | ||||
| הדמיות של נתיבי תקיפה. התכונה עוזרת לכם לזהות ולתעדף ממצאים של פגיעויות וטעויות בהגדרות, על ידי זיהוי הנתיבים שאפשר לתקוף דרכם כדי להגיע למשאבים בעלי ערך גבוה. | 2 | |||
| נקודות חולשה. זיהוי משאבים או קבוצות משאבים שבהם מתכנסים כמה נתיבי תקיפה. | ||||
| בעיות. זיהוי סיכוני האבטחה החשובים ביותר שזוהו על ידי Security Command Center בסביבות הענן שלכם. הבעיות מתגלות באמצעות בדיקות חדירה וירטואליות, וגם באמצעות זיהויים מבוססי-כללים שמסתמכים על Security Graph של Security Command Center. | 2 | |||
| דוחות סיכון (תצוגה מקדימה). דוחות הסיכון עוזרים לכם להבין את התוצאות של סימולציות נתיבי התקפה שמופעלות על ידי Security Command Center. דוח סיכונים מכיל סקירה כללית, דוגמאות לשילובים רעילים ונתיבי תקיפה קשורים. | 2 | |||
| שילובים רעילים. זיהוי קבוצות של סיכונים, שאם הם מתרחשים יחד בדפוס מסוים, יוצרים נתיב לאחד או יותר מהמשאבים בעלי הערך הגבוה שלכם, שנחוש יכול להשתמש בו כדי להגיע למשאבים האלה ולפגוע בהם. | ||||
| שירותים אחרים לזיהוי פגיעויות | ||||
| ממצאים ממרכז הבקרה של מצב האבטחה ב-GKE (גרסת Preview). תוכלו לראות ממצאים לגבי טעויות בהגדרות של אבטחת עומסי עבודה ב-Kubernetes, עלוני מידע על אבטחה שניתן לפעול לפיהם ונקודות חולשה במערכת ההפעלה של הקונטיינר או בחבילות שפה. | ||||
| הגנה מוגברת על המודל. סינון הנחיות ותשובות של LLM כדי לזהות סיכוני אבטחה ובטיחות. הגנה מוגברת על המודל מספק מספר מסוים של טוקנים בחודש בחינם לכל הלקוחות. Google Cloud מידע נוסף מפורט בקטע תמחור. הממצאים של הגנה מוגברת על המודל מתפרסמים ב-Security Command Center ברמות Premium ו-Enterprise. | ||||
| Mandiant CVE assessments (Preview). הממצאים מועשרים בהערכות של CVE מניתוח מודיעין איומי סייבר של Mandiant, כולל מידת הפגיעות של ה-CVE וההשפעה הפוטנציאלית. אפשר לשלוח שאילתות לגבי ממצאים לפי מזהה CVE. קבוצה מוגבלת של יכולות זמינה ברמת Standard. | ||||
| Mandiant Attack Surface Management. השירות מגלה ומנתח את נכסי האינטרנט שלכם בסביבות שונות, תוך מעקב מתמשך אחרי המערכת האקולוגית החיצונית כדי לזהות חשיפות שניתן לנצל. | 4 | |||
| מצבי אבטחה ומדיניות | ||||
| Binary Authorization.1 הטמעת אמצעי אבטחה בשרשרת אספקת התוכנה כשמפתחים ופורסים אפליקציות מבוססות-קונטיינרים. מעקב אחרי פריסת קובצי אימג' של קונטיינרים והגבלת הפריסה. | 2 | 2 | 2 | |
| Cyber Insurance Hub.1 פרופיל ויצירת דוחות לגבי מצב הסיכון הטכני של הארגון. | 2 | 2 | 2 | |
| אימות של תשתית כקוד (IaC). אימות מול מדיניות הארגון ומול גלאים של Security Health Analytics. | 2 | 2 | ||
| Policy Controller.1 מאפשר להחיל מדיניות שניתנת לתכנות על אשכולות Kubernetes. | 2 | 2 | 2 | |
כלים לבקרת מדיניות. הכלים האלה עוזרים לכם להבין ולנהל את מדיניות הגישה שלכם וכך לשפר את הגדרות האבטחה. כלים לבקרת מדיניות מספקים ללקוחות כמה תכונות בחינם, כמו המלצות לתפקידים בסיסיים ומספר מוגבל של שאילתות בחודש. Google Cloud תכונות מתקדמות זמינות למשתמשים ב-Security Command Center Premium וב-Enterprise. לפרטים נוספים, אפשר לעיין במאמר בנושא תמחור. | ||||
| Compliance Manager. הגדרת אמצעי בקרה ומסגרות, פריסה שלהם, מעקב אחריהם ובדיקה שלהם, שנועדו לעזור לכם לעמוד בדרישות האבטחה והתאימות של הסביבה שלכם. Google Cloud קבוצה מוגבלת של יכולות זמינה ברמת Standard. | 2 | 2, 5, 6 | 6 | |
| ניהול מצב אבטחת נתונים (DSPM). כדאי להעריך, לפרוס ולבצע ביקורת על מסגרות אבטחת מידע ואמצעי בקרה בענן כדי לנהל את הגישה למידע אישי רגיש ואת השימוש בו. קבוצה מוגבלת של יכולות זמינה ברמת Standard. | 2 | 2 | ||
| ניהול סיכונים במערכות AI. ניהול סיכונים במערכות AI עוזר לכם לנהל את מצב האבטחה של עומסי העבודה של ה-AI על ידי זיהוי איומים ועזרה בצמצום הסיכונים למלאי נכסי ה-AI. קבוצה מוגבלת של יכולות זמינה ברמת Standard. | 2 | |||
| מצב אבטחה. הגדרת תמונת מצב אבטחתית ופריסתה כדי לעקוב אחרי סטטוס האבטחה של המשאבים שלכם. Google Cloud לזהות שינויים לא מורשים במצב האבטחה. במהדורת Enterprise, אפשר גם לעקוב אחרי סביבת AWS. | 2 | |||
| ניהול הרשאות בתשתית ענן (CIEM). זיהוי חשבונות משתמשים (זהויות) שההגדרות שלהם שגויות או שקיבלו הרשאות IAM עודפות או רגישות למשאבי הענן. | 7 | |||
| זיהוי איומים והתמודדות עם איומים | ||||
| Google Cloud Armor.1 מגן על פריסות מפני איומים כמו מתקפות מניעת שירות מבוזרות (DDoS), פרצות אבטחה XSS (cross-site scripting) והזרקות SQL. Google Cloud | 2 | 2 | 2 | |
| Sensitive Actions Service. המערכת מזהה פעולות שמתבצעות ב Google Cloud ארגון, בתיקיות ובפרויקטים שלכם, שיכולות לגרום נזק לעסק אם הן מתבצעות על ידי גורם זדוני. | ||||
| Agent Engine Threat Detection (תצוגה מקדימה). מזהה מתקפות בזמן ריצה על סוכנים שנפרסו ומנוהלים באמצעות Vertex AI Agent Engine. | ||||
| Cloud Run Threat Detection. מזהה התקפות בזמן ריצה בקונטיינרים של Cloud Run. | ||||
| זיהוי איומים בקונטיינר. מזהה התקפות בזמן ריצה בתמונות של צומת מערכת הפעלה שמותאמת לקונטיינרים. | ||||
| איומים שקשורים זה לזה (תצוגה מקדימה). עוזרות לכם לקבל החלטות מושכלות יותר לגבי אירועי אבטחה. התכונה הזו משלבת ממצאים קשורים של איומים באמצעות Security Graph, ועוזרת לכם לתעדף איומים פעילים ולהגיב להם. | ||||
| Event Threat Detection. מנטר את Cloud Logging ואת Google Workspace באמצעות מודיעין איומי סייבר, למידת מכונה ושיטות מתקדמות אחרות כדי לזהות איומים כמו תוכנות זדוניות, כריית מטבעות קריפטוגרפיים וזליגת מידע. | ||||
| זיהוי איומים במכונות וירטואליות. מזהה אפליקציות שעלולות להיות זדוניות שפועלות במכונות וירטואליות. | ||||
Google SecOps. הכלי משתלב עם Security Command Center כדי לעזור לכם לזהות איומים, לחקור אותם ולהגיב להם. Google SecOps כולל את הפריטים הבאים:
| ||||
Mandiant Threat Defense. הסתמכו על מומחי Mandiant שיספקו לכם איתור מתמשך של איומים כדי לחשוף פעילות של תוקפים ולצמצם את ההשפעה על העסק שלכם. התכונה Mandiant Threat Defense לא מופעלת כברירת מחדל. למידע נוסף ולפרטים על המחירים, אפשר לפנות לנציג המכירות או ל-Google Cloud Partner. | ||||
| ניהול נתונים | ||||
| המיקום של נתונים והצפנה | ||||
| מפתחות הצפנה בניהול הלקוח (CMEK). שימוש במפתחות של Cloud Key Management Service שאתם יוצרים כדי להצפין נתונים נבחרים של Security Command Center. כברירת מחדל, הנתונים ב-Security Command Center מוצפנים במנוחה באמצעות Google-owned and Google-managed encryption keys. | 2 | 2 | 2 | |
| המיקום של נתונים. אמצעי בקרה שמגבילים את האחסון והעיבוד של ממצאים ב-Security Command Center, כללי השתקה, ייצוא רציף וייצוא ל-BigQuery לאחד מהאזורים הרב-אזוריים של שמירת נתונים ש-Security Command Center תומך בהם. | 2 | 2 | 2 | |
| ייצוא ממצאים | ||||
| ייצוא ל-BigQuery. אפשר לייצא ממצאי אבטחה מ-Security Command Center ל-BigQuery, או כייצוא בכמות גדולה חד-פעמי או על ידי הפעלת ייצוא רציף. | ||||
| ייצוא רציף של Pub/Sub | ||||
| ייצוא רציף של Cloud Logging | 2 | |||
| תכונות אחרות | ||||
| App Hub integration. Security Command Center משתלב עם App Hub כדי לאפשר לכם לסנן נתונים שקשורים למשאבים שרשומים באפליקציה ספציפית כשאתם בודקים ממצאים ובעיות. | ||||
| חיפוש בתרשים (תצוגה מקדימה). מריצים שאילתה ב-Security Graph כדי לזהות נקודות חולשה פוטנציאליות באבטחה שרוצים לעקוב אחריהן בסביבה שלכם. | 2 | |||
Privileged Access Manager. בעזרת Privileged Access Manager תוכלו לשלוט בהעלאת הרשאות זמנית ומוגבלת בזמן עבור גורמים ספציפיים, ולקבל יומני ביקורת כדי לעקוב אחרי המשתמשים שהייתה להם גישה למשאבים מסוימים, ומתי. התכונות הבאות זמינות ב-Security Command Center:
| 2 | |||
| שאילתת נכסים באמצעות SQL במאגר משאבי הענן | ||||
| בקשה להגדלת המכסה של מאגר משאבי הענן | ||||
| Assured Open Source Software. נהנים מהאבטחה ומהחוויה ש-Google מספקת לתוכנות קוד פתוח, על ידי שילוב אותם חבילות ש-Google מאבטחת ומשתמשת בהן בתהליכי העבודה של המפתחים שלכם. | ||||
| כלי לניהול ביקורות. פתרון לביקורת תאימות שמעריך את המשאבים שלכם בהשוואה לבקרות נבחרות ממסגרות תאימות שונות. משתמשי Security Command Center Enterprise מקבלים גישה למסלול פרימיום של כלי לניהול ביקורות ללא עלות נוספת. | ||||
| תמיכה בריבוי עננים. אפשר לקשר את Security Command Center לספקי שירותי ענן אחרים כדי לזהות איומים, נקודות חולשה וטעויות בהגדרות. הערכת נקודות החשיפה להתקפות ונתיבי התקפה במשאבים חיצוניים בענן בעלי ערך גבוה. ספקי הענן הנתמכים: AWS, Azure. | ||||
| Snyk Integration. הצגה וניהול של בעיות שזוהו על ידי Snyk כממצאי אבטחה. | ||||
- זהו Google Cloud שירות שמשתלב עם הפעלות ברמת הארגון של Security Command Center כדי לספק ממצאים. יכול להיות שתכונה אחת או יותר בשירות הזה מתומחרות בנפרד מ-Security Command Center.
- נדרשת הפעלה ברמת הארגון.
- לא מופעל כברירת מחדל. למידע נוסף ולפרטים על התמחור, אפשר לפנות לנציג המכירות או ל Google Cloud שותף.
- אם מופעלים אמצעי בקרה לגבי מיקום הנתונים, התכונה הזו לא נתמכת.
- התכונה הזו לא תומכת במפתחות הצפנה בניהול הלקוח (CMEK).
- אין תמיכה במיקום של נתונים.
- אם אמצעי הבקרה של שמירת נתונים מופעלים, התכונה הזו נתמכת רק ב- Google Cloud.