Security Command Center wird in drei Dienststufen angeboten: Standard, Premium und Enterprise. Jede Stufe bestimmt die Funktionen und Dienste, die Ihnen im Security Command Center zur Verfügung stehen. Im Folgenden finden Sie eine kurze Beschreibung der einzelnen Dienstleistungsvarianten:
- Standard: Einfache Verwaltung des Sicherheitsstatus nur für Google Cloud . Die Standardstufe kann auf Projekt- oder Organisationsebene aktiviert werden. Am besten geeignet fürGoogle Cloud Umgebungen mit minimalen Sicherheitsanforderungen.
- Premium Alle Funktionen von Standard sowie Management des Sicherheitsstatus, Angriffspfade, Bedrohungserkennung und Compliance-Monitoring nur für Google Cloud . Die Premium-Stufe kann auf Projekt- oder Organisationsebene aktiviert werden. Am besten geeignet fürGoogle Cloud Kunden, die die Abrechnung nach Verbrauch benötigen.
- Enterprise Umfassende Multi-Cloud-CNAPP-Sicherheit, mit der Sie Ihre wichtigsten Probleme priorisieren und beheben können. Umfasst die meisten Dienste, die in Premium enthalten sind. Die Enterprise-Stufe kann nur auf Organisationsebene aktiviert werden. Am besten geeignet zum Schutz von Google Cloud, AWS und Azure.
Die Standardstufe ist kostenlos, während für die Premium- und Enterprise-Stufen unterschiedliche Preisstrukturen gelten. Weitere Informationen finden Sie unter Security Command Center-Preise.
Eine Liste der in den einzelnen Stufen enthaltenen Dienste finden Sie unter Vergleich der Dienststufen.
Informationen zu den Google SecOps-Funktionen, die mit der Security Command Center Enterprise-Stufe unterstützt werden, finden Sie unter Einschränkungen für Google SecOps-Funktionen im Security Command Center Enterprise.
Dienstebenen im Vergleich
| Dienst | Dienststufe | ||
|---|---|---|---|
| Standard | Premium | Unternehmen | |
|
Sicherheitslückenerkennung |
|||
| Security Health Analytics | |||
|
Verwaltetes Scannen der Sicherheitslückenbewertung für Google Cloud , mit dem automatisch die höchsten Sicherheitslücken und Fehlkonfigurationen für Ihre Google Cloud Assets erkannt werden. |
|||
| Compliance-Monitoring Security Health Analytics-Detektoren werden den Kontrollen gängiger Sicherheitsstandards wie NIST, HIPAA, PCI-DSS und CIS zugeordnet. | |||
| Support für benutzerdefinierte Module Benutzerdefinierte Security Health Analytics-Detektoren erstellen | |||
| Web Security Scanner | |||
| Benutzerdefinierte Scans Benutzerdefinierte Scans für bereitgestellte Compute Engine-, Google Kubernetes Engine- oder App Engine-Webanwendungen mit öffentlichen URLs und IP-Adressen planen und ausführen, die sich nicht hinter einer Firewall befinden | |||
| Zusätzliche OWASP Top Ten-Detektoren | |||
| Verwaltete Scans Wöchentliches Scannen öffentlicher Webendpunkte auf Sicherheitslücken, wobei die Scans von Security Command Center konfiguriert und verwaltet werden. | |||
| Virtuelles Red Teaming | |||
| Virtuelles Red Teaming, das durch Ausführen von Angriffspfadsimulationen durchgeführt wird, hilft Ihnen, Sicherheitslücken und Fehlkonfigurationen zu identifizieren und zu priorisieren, indem Sie die Pfade ermitteln, die ein potenzieller Angreifer einschlagen könnte, um Ihre wertvollen Ressourcen zu erreichen. | 2 | ||
| Mandiant-CVE-Bewertungen | |||
| CVE-Bewertungen werden nach Ausnutzbarkeit und potenziellen Auswirkungen gruppiert. Sie können Ergebnisse nach CVE-ID abfragen. | |||
| Andere Dienstleistungen im Zusammenhang mit Sicherheitslücken | |||
| Anomalieerkennung1. Er identifiziert Sicherheitsanomalien für Ihre Projekte und VM-Instanzen, z. B. potenzielle gehackte Anmeldedaten und Mining von Kryptowährungen. | 2 | 2 | |
| Ergebnisse zu Sicherheitslücken bei Container-Images (Vorabversion). Ergebnisse aus Artifact Registry-Scans, bei denen anfällige Container-Images erkannt werden, die auf bestimmten Assets bereitgestellt werden, automatisch in Security Command Center schreiben | |||
| Ergebnisse des GKE-Dashboards für den Sicherheitsstatus (Vorabversion). Ergebnisse zu Fehlkonfigurationen der Sicherheit von Kubernetes-Arbeitslasten, umsetzbaren Sicherheitsbulletins und Sicherheitslücken im Containerbetriebssystem oder in Sprachpaketen ansehen. | |||
| Erkennung von sensiblen Daten1 Ermittelt, klassifiziert und hilft, sensible Daten zu schützen. | 3 | 3 | |
| VM Manager-Berichte zu Sicherheitslücken1 (Vorabversion) Wenn Sie VM Manager aktivieren, schreibt er automatisch Ergebnisse aus seinen Berichten zu Sicherheitslücken in das Security Command Center. | 2 | ||
| Vulnerability Assessment for Google Cloud (Vorabversion) | |||
|
Erweiterte Erkennung von Softwarelücken und Containern in Cloud-Umgebungen mit den folgenden integrierten Diensten:
|
|||
|
Mandiant Attack Surface Management. Erkennt und analysiert Ihre Internet-Assets in verschiedenen Umgebungen und überwacht kontinuierlich das externe Ökosystem auf ausnutzbare Schwachstellen. |
|||
| Schädliche Kombinationen Hier werden Risikogruppen erkannt, die, wenn sie in einem bestimmten Muster zusammen auftreten, einen Pfad zu einer oder mehreren Ihrer wertvollen Ressourcen erstellen, den ein entschlossener Angreifer potenziell nutzen könnte, um diese Ressourcen zu erreichen und zu manipulieren. | |||
|
Bedrohungserkennung und ‑abwehr |
|||
| Google Cloud Armor1. Schützt Google Cloud Bereitstellungen vor Bedrohungen wie Distributed Denial-of-Service-Angriffen (DDoS), Cross-Site-Scripting (XSS) und SQL-Injection (SQLi). | 2 | 2 | |
| Sensitive Actions Service Erkennt, wenn in Ihrer Google Cloud Organisation, in Ordnern und in Projekten Aktionen ausgeführt werden, die Ihrem Unternehmen schaden könnten, wenn sie von einem böswilligen Akteur ausgeführt werden. | |||
|
Container Threat Detection. Erkennt Laufzeitangriffe in Container-Optimized OS-Knoten-Images. |
|||
|
Cloud Run Threat Detection Erkennt Laufzeitangriffe in Cloud Run-Containern. (Vorschau) |
|||
| Event Threat Detection Überwacht Cloud Logging und Google Workspace und erkennt mithilfe von Bedrohungsinformationen, maschinellem Lernen und anderen erweiterten Methoden Bedrohungen wie Malware, Kryptomining und Datenexfiltration. | |||
| Virtual Machine Threat Detection Erkennt potenziell schädliche Anwendungen, die in VM-Instanzen ausgeführt werden. | |||
| Google SecOps-Sicherheits- und Ereignisverwaltung (SIEM) Logs und andere Daten in mehreren Cloud-Umgebungen auf Bedrohungen scannen, Regeln zur Bedrohungserkennung definieren und in den erfassten Daten suchen Weitere Informationen finden Sie unter Funktionslimits von Google Security Operations in Security Command Center Enterprise. | |||
| Google SecOps-Sicherheitsorchestrierung, -Automatisierung und -Reaktion (SOAR) Sie können Anfragen verwalten, Reaktionsworkflows definieren und in den Antwortdaten suchen. Weitere Informationen finden Sie unter Funktionslimits von Google Security Operations in Security Command Center Enterprise. | |||
| Mandiant Hunt Die Experten von Mandiant unterstützen Sie kontinuierlich bei der Suche nach Bedrohungen, um Angreiferaktivitäten aufzudecken und die Auswirkungen auf Ihr Unternehmen zu verringern. | 3 | ||
|
Haltung und Richtlinien |
|||
| Binärautorisierung1. Implementieren Sie Sicherheitsmaßnahmen für die Softwarelieferkette, wenn Sie containerbasierte Anwendungen entwickeln und bereitstellen. Bereitstellung von Container-Images überwachen und begrenzen | 2 | 2 | |
| Policy Controller1. Ermöglicht die Anwendung und Erzwingung programmierbarer Richtlinien für Ihre Kubernetes-Cluster. | 2 | 2 | |
| Cyber Insurance Hub1. Profil erstellen und Berichte für die technische Risikobereitschaft Ihrer Organisation generieren | 2 | 2 | |
|
Policy Intelligence. Zusätzliche Funktionen für Security Command Center Premium- und Enterprise-Nutzer, darunter:
|
|||
| Sicherheitsstatus Definieren und implementieren Sie einen Sicherheitsstatus, um den Sicherheitsstatus Ihrer Google Cloud Ressourcen zu überwachen. Beheben Sie Abweichungen bei der Position und nicht autorisierte Änderungen an der Position. In der Enterprise-Stufe können Sie auch Ihre AWS-Umgebung überwachen. | 2 | ||
| Cloud Infrastructure Entitlement Management (CIEM). Identifizieren Sie Hauptkonten (Identitäten), die falsch konfiguriert sind oder denen zu viele oder sensible IAM-Berechtigungen für Ihre Cloud-Ressourcen gewährt wurden. | |||
|
Datenverwaltung |
|||
| Speicherort der Daten | |||
| Datenstandortsteuerungen, die die Speicherung und Verarbeitung von Security Command Center-Ergebnissen, Stummschaltungsregeln, kontinuierlichen Exporten und BigQuery-Exporten in eine der Multi-Regionen für den Datenstandort einschränken, die von Security Command Center unterstützt werden. | 2 | 2 | |
| Ergebnisse exportieren | |||
| BigQuery-Exporte | |||
| Pub/Sub-kontinuierliche Exporte | |||
|
Weitere Funktionen |
|||
|
Infrastruktur als Code (IaC)-Validierung Prüfen Sie die Einhaltung der Richtlinien Ihrer Organisation und der Security Health Analytics-Detektoren. |
2 | ||
|
Assured Open Source Software. Nutzen Sie die Sicherheit und Erfahrung, die Google bei Open-Source-Software anwendet, indem Sie dieselben Pakete, die Google sichert und verwendet, in Ihre eigenen Entwicklerworkflows einbinden. |
|||
|
Audit Manager Eine Compliance-Audit-Lösung, mit der Ihre Ressourcen anhand ausgewählter Kontrollen aus mehreren Compliance-Frameworks bewertet werden. Security Command Center Enterprise-Nutzer erhalten ohne Aufpreis Zugriff auf die Premium-Stufe von Audit Manager. |
|||
|
Unterstützung für Multi-Cloud. Verbinden Sie Security Command Center mit anderen Cloud-Anbietern, um Bedrohungen, Sicherheitslücken und Fehlkonfigurationen zu erkennen. Bewertung von Angriffsbewertungen und Angriffspfaden für externe hochwertige Cloud-Ressourcen Unterstützte Cloud-Anbieter: AWS, Azure. |
|||
- Google Cloud Dieser Dienst ist in Security Command Center-Aktivierungen auf Organisationsebene eingebunden und liefert Ergebnisse. Für eine oder mehrere Funktionen dieses Dienstes werden möglicherweise separate Preise von Security Command Center berechnet.
- Erfordert eine Aktivierung auf Organisationsebene für die Standard- und Premium-Stufen.
- Standardmäßig nicht aktiviert. Weitere Informationen und Preisdetails erhalten Sie von Ihrem Vertriebsmitarbeiter oder Google Cloud Partner.
Einschränkungen von Google Security Operations-Funktionen in Security Command Center Enterprise
Die Security Command Center Enterprise-Stufe bietet im Vergleich zu den Standard- und Premium-Stufen zusätzliche Funktionen, darunter eine Auswahl von Google-Sicherheitsfunktionen und die Möglichkeit, Daten von anderen Cloud-Anbietern zu importieren. Diese Funktionen machen das Security Command Center zu einer vollständigen cloudnativen Anwendungsschutzplattform (CNAPP) und sind in der Security Operations Console verfügbar.
Die Google Security Operations-Funktionen in der Security Command Center Enterprise-Stufe haben andere Limits als die in den Google Security Operations-Abos. Diese Limits werden in der folgenden Tabelle beschrieben.
| Funktion | Limits |
|---|---|
| Angewandte Bedrohungsinformationen | Kein Zugriff |
| Ausgewählte Erkennungen | Beschränkt auf die Erkennung von Cloud-Bedrohungen in Google Cloud, Microsoft Azure und AWS. |
| Benutzerdefinierte Regeln | 20 benutzerdefinierte Einzelereignisregeln; Mehrerereignisregeln werden nicht unterstützt. |
| Datenaufbewahrung | 3 Monate |
| Gemini für Google Security Operations | Eingeschränkt auf die Suche in natürlicher Sprache und Zusammenfassungen von Fallermittlungen |
| Google SecOps-Sicherheitsinformations- und Ereignisverwaltung (SIEM) | Nur Cloud-Daten. |
| Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR) von Google SecOps | Nur Cloud-Antwort-Integrationen. Eine Liste der unterstützten Integrationen finden Sie unter Unterstützte Google Security Operations-Integrationen. |
| Logaufnahme |
Eingeschränkt auf Protokolle, die für die Cloud Threat Detection unterstützt werden. Eine Liste finden Sie unter Unterstützte Erhebung von Protokolldaten in Google SecOps. |
| Risikoanalyse | Kein Zugriff |
Unterstützte Google Security Operations-Integrationen
In den folgenden Abschnitten sind die Marketplace-Integrationen von Google Security Operations aufgeführt, die mit Security Command Center Enterprise unterstützt werden. Sie sind in der folgenden Tabelle in separaten Spalten aufgeführt.
Paketierte und vorkonfigurierte Integrationen: Sie sind im Anwendungsfall SCC Enterprise – Cloud Orchestration and Remediation enthalten und für Anwendungsfälle der Cloud Native Application Protection Platform (CNAPP) vorkonfiguriert. Sie sind verfügbar, wenn Sie Security Command Center Enterprise aktivieren und den Enterprise-Nutzungsfall aktualisieren.
Konfigurationen im Anwendungsfall SCC Enterprise – Cloud Orchestration and Remediation umfassen beispielsweise spezielle Playbooks, die Jira und ServiceNow mit vordefinierter Bearbeitung von Reaktionsfällen verwenden. Die Integrationen sind für alle Cloud-Anbieter vorkonfiguriert, die von Security Command Center Enterprise unterstützt werden.
Herunterladbare Integrationen: Mit Security Command Center Enterprise können Sie die folgenden Integrationen herunterladen und in einem Playbook verwenden. Die Versionen, die Sie aus dem Google Security Operations Marketplace herunterladen, sind nicht speziell für Security Command Center Enterprise konfiguriert und erfordern eine zusätzliche manuelle Konfiguration.
Jede Integration wird mit dem Namen aufgeführt. Informationen zu einer bestimmten Integration finden Sie unter Marketplace-Integrationen für Google Security Operations.
Art der Anwendung oder Informationen |
Paketierte und vorkonfigurierte Integrationen |
Herunterladbare Integrationen |
|---|---|---|
Google Cloud und Google Workspace-Integrationen |
|
|
Amazon Web Services-Integrationen |
|
|
Microsoft Azure- und Office 365-Integrationen |
|
|
Anwendungen im Zusammenhang mit der IT-Dienstverwaltung (ITSM) |
|
|
Kommunikationsbezogene Anwendungen |
|
|
Threat Intelligence |
|
|
| * Die Integration ist nicht im Anwendungsfall SCC Enterprise – Cloud-Orchestrierung und -Behebung enthalten. | ||
Unterstützte Google SecOps-Logdatenerfassung
In den folgenden Abschnitten werden die Arten von Protokolldaten beschrieben, die Kunden mit Security Command Center Enterprise direkt in die Google Security Operations-Instanz aufnehmen können. Dieser Datenerhebungsmechanismus unterscheidet sich vom AWS-Connector in Security Command Center , mit dem Ressourcen- und Konfigurationsdaten erfasst werden.
Die Informationen sind nach Cloud-Anbieter gruppiert.
- Google Cloud Protokolldaten
- Protokolldaten von Amazon Web Services
- Microsoft Azure-Protokolldaten
Für jeden aufgeführten Protokolltyp wird das Google SecOps-Aufnahmelabel angegeben, z. B. GCP_CLOUDAUDIT. Eine vollständige Liste der Google SecOps-Aufnahmelabels finden Sie unter Unterstützte Logtypen und Standardparser.
Google Cloud
Die folgenden Google Cloud Daten können in Google SecOps aufgenommen werden:
- Cloud-Audit-Logs (
GCP_CLOUDAUDIT) - Cloud Intrusion Detection System (
GCP_IDS) - Cloud Next Generation Firewall (
GCP_NGFW_ENTERPRISE) - Cloud Asset Inventory-Metadaten
- Kontext des Schutzes sensibler Daten
- Model Armor-Protokolle
Außerdem müssen die folgenden Elemente aktiviert und an Cloud Logging weitergeleitet werden:
- Audit-Protokolle für den Datenzugriff in AlloyDB for PostgreSQL
- Cloud DNS-Logs
- Cloud NAT-Logs
- Cloud Run
- Audit-Logs zum Datenzugriff in Cloud SQL for SQL Server
- Audit-Logs für den Datenzugriff in Cloud SQL for MySQL
- Audit-Logs für den Cloud SQL for PostgreSQL-Datenzugriff
- Compute Engine-VM-Auth-Logs
- Protokolle des externen Application Load Balancer-Backend-Dienstes
- Generischer Datenzugriff
- Audit-Logs zum Datenzugriff in der Google Kubernetes Engine
- Audit-Logs von Google Workspace Admin
- Audit-Logs von Google Workspace Login
- Audit-Logs zum IAM-Datenzugriff
- Kontext des Schutzes sensibler Daten
- Model Armor-Protokolle
- AuditD-Protokolle
- Windows-Ereignisprotokolle
Informationen zum Erfassen von Logs aus Linux- und Windows-VM-Instanzen und zum Senden an Cloud Logging finden Sie unter Google Cloud Observability-Agents.
Bei der Aktivierung von Security Command Center Enterprise wird die Aufnahme von Google Cloud -Daten in Google SecOps automatisch konfiguriert. Weitere Informationen finden Sie unter Security Command Center Enterprise-Stufe aktivieren > Neue Instanz bereitstellen.
Informationen zum Ändern der Google Cloud Konfiguration für die Datenaufnahme finden Sie unter Daten in Google Security Operations aufnehmen Google Cloud .
Amazon Web Services
Die folgenden AWS-Daten können in Google SecOps aufgenommen werden:
- AWS CloudTrail (
AWS_CLOUDTRAIL) - AWS GuardDuty (
GUARDDUTY) - AWS EC2 HOSTS (
AWS_EC2_HOSTS) - AWS EC2-INSTANZEN (
AWS_EC2_INSTANCES) - AWS EC2-VPCs (
AWS_EC2_VPCS) - AWS Identity and Access Management (IAM) (
AWS_IAM)
Informationen zum Erfassen von AWS-Logdaten und zum Verwenden ausgewählter Erkennungen finden Sie unter Verbindung mit AWS für die Erfassung von Logdaten herstellen.
Microsoft Azure
Die folgenden Microsoft-Daten können in Google SecOps aufgenommen werden:
- Microsoft Azure-Cloud-Dienste (
AZURE_ACTIVITY). Informationen zum Einrichten der Datenerhebung finden Sie unter Microsoft Azure-Aktivitätsprotokolle aufnehmen. - Microsoft Entra ID, früher Azure Active Directory (
AZURE_AD). Informationen zum Einrichten der Datenerhebung finden Sie unter Microsoft Azure AD-Protokolle erfassen . - Microsoft Entra ID-Audit-Logs, früher Azure AD-Audit-Logs (
AZURE_AD_AUDIT). Informationen zum Einrichten der Datenerhebung finden Sie unter Microsoft Azure AD-Logs erfassen . - Microsoft Defender for Cloud (
MICROSOFT_GRAPH_ALERT): Informationen zum Einrichten der Datenerhebung finden Sie unter Microsoft Graph API-Benachrichtigungsprotokolle erfassen.
Informationen zum Erfassen von Azure-Logdaten und zum Verwenden ausgewählter Erkennungen finden Sie unter Verbindung mit Microsoft Azure für die Erfassung von Logdaten herstellen.