O Security Command Center é oferecido em três níveis de serviço: Standard, Premium e Enterprise. Cada nível determina as funcionalidades e os serviços que lhe são disponibilizados no Security Command Center. Segue-se uma breve descrição de cada nível de serviço:
- Padrão. Gestão básica da postura de segurança apenas para o Google Cloud . O nível Standard pode ser ativado ao nível do projeto ou da organização. Ideal para Google Cloud ambientes com requisitos de segurança mínimos.
- Premium. Tudo o que o Standard inclui, além da gestão da postura de segurança, caminhos de ataque, deteção de ameaças e monitorização da conformidade, Google Cloud apenas. O nível Premium pode ser ativado ao nível do projeto ou da organização. Ideal para Google Cloud clientes que precisam de faturação pré-paga.
- Enterprise. Segurança CNAPP multinuvem completa que ajuda a fazer a triagem e a corrigir os seus problemas mais críticos. Inclui a maioria dos serviços que estão no Premium. O nível Enterprise só pode ser ativado ao nível da organização. Ideal para ajudar a proteger o Google Cloud, o AWS e o Azure.
O nível Standard é oferecido sem custos adicionais, enquanto os níveis Premium e Enterprise têm estruturas de preços diferentes. Para mais informações, consulte o artigo Preços do Security Command Center.
Para ver uma lista dos serviços incluídos em cada nível, consulte a Comparação dos níveis de serviço.
Para as funcionalidades do Google SecOps suportadas com o nível Enterprise do Security Command Center, consulte os limites de funcionalidades do Google Security Operations no Security Command Center Enterprise.
Comparação de níveis de serviço
| Serviço | Nível de serviço | ||
|---|---|---|---|
| Standard | Premium | Empresarial | |
| Deteção de vulnerabilidades | |||
| Security Health Analytics | |||
| Análise de vulnerabilidades gerida para Google Cloud que pode detetar automaticamente as vulnerabilidades e as configurações incorretas de gravidade mais elevada para os seus recursos Google Cloud . | |||
| Monitorização da conformidade. Os detetores do Security Health Analytics são mapeados para os controlos de referências de segurança comuns, como NIST, HIPAA, PCI-DSS e CIS. | |||
| Suporte de módulos personalizados. Crie os seus próprios detetores personalizados do Security Health Analytics. | |||
| Web Security Scanner | |||
| Análises personalizadas. Agende e execute análises personalizadas em aplicações Web do Compute Engine, Google Kubernetes Engine ou App Engine implementadas que tenham URLs e endereços IP públicos e não estejam protegidas por firewalls. | |||
| Detetores adicionais dos 10 principais OWASP | |||
| Análises geridas. Analise os pontos finais da Web públicos semanalmente para detetar vulnerabilidades, com análises configuradas e geridas pelo Security Command Center. | |||
| Testes de penetração virtuais | |||
| Os testes de intrusão virtuais, realizados através da execução de simulações de caminhos de ataque, ajudam a identificar e dar prioridade às conclusões de vulnerabilidades e erros de configuração, identificando os caminhos que um potencial atacante pode seguir para alcançar os seus recursos de elevado valor. | 1 | ||
| Avaliações de CVEs da Mandiant | |||
| As avaliações de CVE são agrupadas pela respetiva capacidade de exploração e potencial impacto. Pode consultar as conclusões por ID de CVE. | |||
| Outros serviços de vulnerabilidade | |||
| Deteção de anomalias.2 Identifica anomalias de segurança para os seus projetos e instâncias de máquinas virtuais (VM), como potenciais credenciais roubadas e mineração de criptomoedas. | 1 | 1 | |
| Resultados de vulnerabilidades de imagens de contentores (Pré-visualização). Escrever automaticamente as conclusões no Security Command Center a partir de análises do Artifact Registry que detetam imagens de contentores vulneráveis implementadas em recursos específicos. | |||
| Resultados do painel de controlo da postura de segurança do GKE (Pré-visualização). Veja as conclusões sobre as configurações incorretas de segurança das cargas de trabalho do Kubernetes, os boletins de segurança acionáveis e as vulnerabilidades no sistema operativo do contentor ou nos pacotes de idiomas. | |||
| Model Armor. Filtrar comandos e respostas de MDIs para riscos de segurança. | |||
| Deteção da proteção de dados confidenciais.2 Descobre, classifica e ajuda a proteger dados confidenciais. | 1, 3 | 1, 3 | |
| Pontos de estrangulamento. Identifica recursos ou grupos de recursos onde convergem vários caminhos de ataque. | |||
| Scanner de segurança do notebook (Pré-visualização). Detetar e resolver vulnerabilidades em pacotes Python usados em blocos de notas do Colab Enterprise. | |||
| Combinações tóxicas. Deteta grupos de riscos que, quando ocorrem em conjunto num padrão específico, criam um caminho para um ou mais dos seus recursos de elevado valor que um atacante determinado pode usar potencialmente para alcançar e comprometer esses recursos. | |||
| Relatórios de vulnerabilidades do VM Manager (pré-visualização).2 Se ativar o VM Manager, este escreve automaticamente as conclusões dos respetivos relatórios de vulnerabilidades no Security Command Center. | 1 | ||
| Avaliação de vulnerabilidades para Google Cloud (pré-visualização). Ajuda a descobrir vulnerabilidades de software críticas e de gravidade elevada nas suas instâncias de VM do Compute Engine sem instalar agentes. | |||
| Mandiant Attack Surface Management. Descobre e analisa os seus ativos de Internet em todos os ambientes, enquanto monitoriza continuamente o ecossistema externo para exposições exploráveis. | 4 | ||
| Avaliação de vulnerabilidades para a AWS. Deteta vulnerabilidades em recursos da AWS, incluindo software instalado em instâncias do Amazon EC2 e em imagens do Elastic Container Registry (ECR). | |||
| Deteção e resposta a ameaças | |||
| Google Cloud Armor.2 Protege Google Cloud implementações contra ameaças como ataques de negação de serviço distribuída (DDoS), scripting entre sites (XSS) e injeção SQL (SQLi). | 1 | 1 | |
| Serviço de ações sensíveis. Deteta quando são tomadas ações na sua Google Cloud organização, pastas e projetos que podem ser prejudiciais para a sua empresa se forem tomadas por um ator malicioso. | |||
| Deteção de ameaças do Cloud Run. Deteta ataques em tempo de execução em contentores do Cloud Run. | |||
| Deteção de ameaças de contentores. Deteta ataques em tempo de execução em imagens de nós do SO otimizado para contentores. | |||
| Deteção de ameaças de eventos. Monitoriza o Cloud Logging e o Google Workspace, usando informações sobre ameaças, aprendizagem automática e outros métodos avançados para detetar ameaças como software malicioso, mineração de criptomoedas e exfiltração de dados. | |||
| Deteção de ameaças de máquinas virtuais. Deteta aplicações potencialmente maliciosas em execução em instâncias de VM. | |||
| Ameaças correlacionadas (Pré-visualização). Ajuda a tomar decisões mais informadas sobre incidentes de segurança. Esta funcionalidade combina as conclusões de ameaças relacionadas através do gráfico de segurança, o que ajuda a priorizar e responder a ameaças ativas. | |||
Google SecOps. Integra-se com o Security Command Center para ajudar a detetar, investigar e responder a ameaças. O Google SecOps inclui o seguinte:
| |||
| Pesquisa de gráficos (Pré-visualização). Consultar o gráfico de segurança para identificar potenciais vulnerabilidades de segurança que quer monitorizar no seu ambiente. | |||
| Problemas. Identifica os riscos de segurança mais importantes que o Security Command Center encontrou nos seus ambientes de nuvem. Os problemas são descobertos através de testes de intrusão virtuais, juntamente com deteções baseadas em regras que dependem do gráfico de segurança do Security Command Center. | |||
Mandiant Threat Defense. Confie nos especialistas da Mandiant para fornecer uma procura contínua de ameaças para expor a atividade dos atacantes e reduzir o impacto na sua empresa. O Mandiant Threat Defense não está ativado por predefinição. Para mais informações e detalhes de preços, contacte o seu representante de vendas ou Google Cloud Partner. | |||
| Posturas e políticas | |||
| Autorização binária.2 Implemente medidas de segurança da cadeia de abastecimento de software quando desenvolver e implementar aplicações baseadas em contentores. Monitorize e limite a implementação de imagens de contentores. | 1 | 1 | |
| Cyber Insurance Hub.2 Crie perfis e gere relatórios para a postura de risco técnico da sua organização. | 1 | 1 | |
| Policy Controller.2 Permite a aplicação e a imposição de políticas programáveis para os seus clusters do Kubernetes. | 1 | 1 | |
Inteligência de políticas. Funcionalidades adicionais para utilizadores do Security Command Center Premium e Enterprise, incluindo o seguinte:
| |||
| Postura de segurança. Defina e implemente uma postura de segurança para monitorizar o estado de segurança dos seus Google Cloud recursos. Resolva a deriva da postura e as alterações não autorizadas à postura. No nível Enterprise, também pode monitorizar o seu ambiente AWS. | 1 | ||
| Gestão de autorizações da infraestrutura na nuvem (CIEM). Identifique contas principais (identidades) que estão configuradas incorretamente ou às quais foram concedidas autorizações de IAM excessivas ou confidenciais aos seus recursos da nuvem. | 5 | ||
| Gestor de conformidade. Defina e implemente frameworks concebidos para lhe permitir cumprir as obrigações de segurança e conformidade para o seu Google Cloud ambiente. | 6 | ||
| Monitorização e auditoria do Gestor de conformidade (pré-visualização). Monitorize e audite as estruturas do Gestor de conformidade que implementou na sua Google Cloud organização. | 6 | ||
| Gestão da postura de segurança dos dados (DSPM) (Pré-visualização). Avalie, implemente e audite as estruturas de segurança de dados e os controlos na nuvem para reger o acesso e a utilização de dados confidenciais. | |||
| Gestão de dados | |||
| Residência e encriptação de dados | |||
| Chaves de encriptação geridas pelo cliente (CMEK). Use chaves do Cloud Key Management Service criadas por si para encriptar dados selecionados do Security Command Center. Por predefinição, os dados do Security Command Center são encriptados em repouso com o Google-owned and Google-managed encryption keys. | 1 | 1 | |
| Exportação de resultados | |||
| Exportações do BigQuery. Exporte conclusões do Security Command Center para o BigQuery, como uma exportação em massa única ou ativando exportações contínuas. | |||
| Exportações contínuas do Pub/Sub | |||
| Exportações contínuas do Cloud Logging | 1 | ||
| Outras funcionalidades | |||
| Validação da infraestrutura como código (IaC). Valide em relação às políticas da organização e aos detetores do Security Health Analytics. | 1 | ||
Gestor de acessos privilegiados. O Privileged Access Manager ajuda a controlar a elevação de privilégios temporários e just-in-time para principais específicos e fornece registos de auditoria para acompanhar quem teve acesso a que recursos e quando. As seguintes funcionalidades estão disponíveis com o Security Command Center:
| 1 | ||
| Consulte recursos com SQL no Cloud Asset Inventory | |||
| Peça mais quota do Cloud Asset Inventory | |||
| Relatórios de risco (Pré-visualização). Os relatórios de risco ajudam a compreender os resultados das simulações de caminhos de ataque que o Security Command Center executa. Um relatório de risco contém uma vista geral de nível elevado, exemplos de combinações tóxicas e caminhos de ataque associados. | 1 | ||
| Proteção de IA (Pré-visualização). A proteção de IA ajuda a gerir a postura de segurança das suas cargas de trabalho de IA através da deteção de ameaças e da mitigação de riscos para o seu inventário de recursos de IA. | |||
| Assured Open Source Software. Tire partido da segurança e da experiência que a Google aplica ao software de código aberto incorporando os mesmos pacotes que a Google protege e usa nos seus próprios fluxos de trabalho de programador. | |||
| Gestor de auditorias. Uma solução de auditoria de conformidade que avalia os seus recursos em função de controlos selecionados de várias estruturas de conformidade. Os utilizadores do Security Command Center Enterprise têm acesso ao nível Premium do Gestor de auditorias sem custos adicionais. | |||
| Suporte de várias nuvens. Ligue o Security Command Center a outros fornecedores de nuvem para detetar ameaças, vulnerabilidades e configurações incorretas. Avalie as pontuações de exposição a ataques e os caminhos de ataque em recursos externos de nuvem de valor elevado. Fornecedores de nuvem suportados: AWS e Azure. | |||
| Integração da Snyk. Veja e faça a gestão dos problemas identificados pela Snyk como conclusões de segurança. | |||
- Requer uma ativação ao nível da organização.
- Este é um Google Cloud serviço que se integra com as ativações ao nível da organização do Security Command Center para fornecer resultados. Uma ou mais funcionalidades deste serviço podem ter um preço separado do Security Command Center.
- Não ativada por predefinição. Para mais informações e detalhes de preços, contacte o seu representante de vendas ou Google Cloud parceiro.
- Se os controlos de residência dos dados estiverem ativados, esta funcionalidade não é suportada.
- Se os controlos de residência de dados estiverem ativados, esta funcionalidade só é suportada para Google Cloud.
- Não suporta a residência de dados.
Limites de funcionalidades do Google Security Operations no Security Command Center Enterprise
O nível Enterprise do Security Command Center oferece funcionalidades adicionais em comparação com os níveis Standard e Premium, incluindo uma seleção de funcionalidades do Google Security Operations e a capacidade de carregar dados de outros fornecedores de nuvem. Estas funcionalidades tornam o Security Command Center uma plataforma de proteção de aplicações nativa da nuvem (CNAPP).
As funcionalidades do Google Security Operations no nível Enterprise do Security Command Center têm limites diferentes dos encontrados nos planos do Google Security Operations. Estes limites estão descritos na tabela seguinte.
| Funcionalidade | Limites |
|---|---|
| Applied Threat Intelligence | Sem acesso |
| Deteções organizadas | Limitado à deteção de ameaças na nuvem no Google Cloud, Microsoft Azure e AWS. |
| Regras personalizadas | 20 regras personalizadas de evento único . As regras de vários eventos não são suportadas. |
| Retenção de dados | 3 meses |
| Gemini para o Google Security Operations | Limitado à pesquisa em linguagem natural e aos resumos de investigações de registos |
| Informação de segurança e gestão de eventos (SIEM) do Google SecOps | Apenas dados na nuvem. |
| Orquestração, automatização e resposta de segurança (SOAR) das SecOps da Google | Apenas integrações de respostas na nuvem. Para ver a lista de integrações suportadas, consulte o artigo
Integrações suportadas do Google Security Operations.
Suporta um ambiente SOAR. |
| Carregamento de registos |
Limitado aos registos suportados para a deteção de ameaças na nuvem. Para ver a lista, consulte o artigo Recolha de dados de registo suportada no Google SecOps |
| Análise de riscos | Sem acesso |
Integrações suportadas do Google Security Operations
As secções seguintes indicam as integrações do Google Security Operations Marketplace que são suportadas com o Security Command Center Enterprise. Estão listados em colunas separadas na tabela seguinte.
Integrações pré-configuradas e em pacote: estão incluídas no exemplo de utilização SCC Enterprise - Cloud Orchestration and Remediation e estão pré-configuradas para suportar exemplos de utilização da plataforma de proteção de aplicações nativas da nuvem (CNAPP). Estão disponíveis quando ativa o Security Command Center Enterprise e atualiza o exemplo de utilização empresarial.
As configurações no exemplo de utilização SCC Enterprise – Orquestração e remediação na nuvem incluem, por exemplo, guias interativos dedicados que usam o Jira e o ServiceNow com processamento predefinido de casos de resposta. As integrações estão pré-configuradas para suportar todos os fornecedores de nuvem suportados pelo Security Command Center Enterprise.
Integrações transferíveis: com o Security Command Center Enterprise, pode transferir as seguintes integrações e usá-las num plano de ação. As versões que transfere do Google Security Operations Marketplace não estão configuradas especificamente para o Security Command Center Enterprise e requerem configuração manual adicional.
Cada integração é apresentada por nome. Para informações sobre uma integração específica, consulte o artigo Integrações do Google Security Operations Marketplace.
Tipo de candidatura ou informação |
Integrações pré-configuradas e em pacote |
Integrações transferíveis |
|---|---|---|
Google Cloud e integrações do Google Workspace |
|
|
Integrações do Amazon Web Services |
|
|
Integrações do Microsoft Azure e Office365 |
|
|
Aplicações relacionadas com a gestão de serviços de TI (ITSM) |
|
|
Aplicações relacionadas com comunicação |
|
|
Informações sobre ameaças |
|
|
| * A integração não está incluída no exemplo de utilização SCC Enterprise - Cloud Orchestration and Remediation | ||
Recolha de dados de registo do Google SecOps suportada
As secções seguintes descrevem o tipo de dados de registo que os clientes com o Security Command Center Enterprise podem carregar diretamente para o inquilino do Google Security Operations. Este mecanismo de recolha de dados é diferente do conetor da AWS no Security Command Center , que recolhe dados de recursos e de configuração.
As informações são agrupadas por fornecedor de nuvem.
- Dados de registo doGoogle Cloud
- Dados de registo do Amazon Web Services
- Dados de registo do Microsoft Azure
Para cada tipo de registo apresentado, é fornecida a etiqueta de carregamento do Google SecOps, por exemplo, GCP_CLOUDAUDIT. Consulte o artigo
Tipos de registos suportados e analisadores predefinidos
para ver uma lista completa das etiquetas de carregamento do Google SecOps.
Google Cloud
Os seguintes Google Cloud dados podem ser carregados para o Google SecOps:
- Registos de auditoria do Google Cloud (
GCP_CLOUDAUDIT) - Sistema de deteção de intrusos do Cloud (
GCP_IDS) - Cloud Next Generation Firewall (
GCP_NGFW_ENTERPRISE) - Metadados do Cloud Asset Inventory
- Contexto da proteção de dados confidenciais
- Registos do Model Armor
O seguinte também tem de estar ativado e encaminhado para o Cloud Logging:
- Registos de auditoria de acesso a dados do AlloyDB para PostgreSQL
- Registos do Cloud DNS
- Registos do NAT na nuvem
- Cloud Run
- Registos de auditoria de acesso a dados do Cloud SQL para SQL Server
- Registos de auditoria de acesso a dados do Cloud SQL para MySQL
- Registos de auditoria de acesso a dados do Cloud SQL para PostgreSQL
- Authlogs de VMs do Compute Engine
- Registos do serviço de back-end do balanceador de carga de aplicações externo
- Registos de auditoria de acesso a dados genéricos
- Registos de auditoria de acesso a dados do Google Kubernetes Engine
- Registos de auditoria do administrador do Google Workspace
- Registos de auditoria de início de sessão do Google Workspace
- Registos de auditoria de acesso a dados do IAM
- Contexto da proteção de dados confidenciais
- Registos do Model Armor
- Registos do AuditD
- Registos de eventos do Windows
Para obter informações sobre como recolher registos de instâncias de VMs Linux e Windows e enviá-los para o Cloud Logging, consulte o artigo Agentes do Google Cloud Observability.
O processo de ativação do Security Command Center Enterprise configura automaticamente o carregamento de Google Cloud dados para o Google SecOps. Para mais informações sobre este assunto, consulte o artigo Ative o nível Enterprise do Security Command Center > Aprovisione uma nova instância.
Para obter informações sobre como modificar a configuração de carregamento de dados, consulte o artigo Carregue Google Cloud dados para o Google Security Operations. Google Cloud
Amazon Web Services
Os seguintes dados da AWS podem ser carregados para o Google SecOps:
- AWS CloudTrail (
AWS_CLOUDTRAIL) - AWS GuardDuty (
GUARDDUTY) - AWS EC2 HOSTS (
AWS_EC2_HOSTS) - INSTÂNCIAS DO AWS EC2 (
AWS_EC2_INSTANCES) - AWS EC2 VPCS (
AWS_EC2_VPCS) - AWS Identity and Access Management (IAM) (
AWS_IAM)
Para obter informações sobre a recolha de dados de registo da AWS e a utilização de deteções preparadas, consulte o artigo Estabeleça ligação à AWS para a recolha de dados de registo.
Microsoft Azure
Os seguintes dados da Microsoft podem ser carregados para o Google SecOps:
- Microsoft Azure Cloud Services (
AZURE_ACTIVITY). Consulte o artigo Ingira registos de atividade do Microsoft Azure para obter informações sobre como configurar a recolha de dados. - Microsoft Entra ID, anteriormente Azure Active Directory (
AZURE_AD). Consulte o artigo Recolha registos do Microsoft Azure AD para obter informações sobre como configurar a recolha de dados. - Registos de auditoria do Microsoft Entra ID, anteriormente registos de auditoria do Azure AD
(
AZURE_AD_AUDIT). Consulte o artigo Recolha registos do Microsoft Azure AD para ver informações sobre como configurar a recolha de dados. - Microsoft Defender for Cloud (
MICROSOFT_GRAPH_ALERT). Consulte o artigo Recolha registos de alertas da API Microsoft Graph para obter informações sobre como configurar a recolha de dados.
Para obter informações sobre a recolha de dados de registo do Azure e a utilização de deteções preparadas, consulte o artigo Estabeleça ligação ao Microsoft Azure para a recolha de dados de registo.