Se usó la API de Cloud Translation para traducir esta página.

Niveles de servicio de Security Command Center
Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Security Command Center se ofrece en tres niveles de servicio: Estándar, Premium y Empresarial. Cada nivel determina las funciones y los servicios que tienes disponibles en Security Command Center. A continuación, se incluye una breve descripción de cada nivel de servicio:

Estándar. Administración básica de la postura de seguridad solo para Google Cloud . El nivel estándar se puede activar a nivel del proyecto o de la organización. Es mejor para entornosGoogle Cloud con requisitos de seguridad mínimos.
Premium Todo lo que incluye la versión estándar, además de la administración de la postura de seguridad, las trayectorias de ataque, la detección de amenazas y la supervisión del cumplimiento solo para Google Cloud . El nivel Premium se puede activar a nivel del proyecto o de la organización. Es la mejor opción para los Google Cloud clientes que necesitan facturación prepago.
Empresarial Seguridad completa de CNAPP de múltiples nubes que te ayuda a priorizar y solucionar tus problemas más críticos Incluye la mayoría de los servicios que se encuentran en Premium. El nivel Enterprise solo se puede activar a nivel de la organización. Es mejor para ayudar a proteger Google Cloud, AWS y Azure.

El nivel estándar se ofrece sin cargo adicional, mientras que los niveles Premium y Enterprise tienen diferentes estructuras de precios. Para obtener más información, consulta Precios de Security Command Center.

Para obtener una lista de los servicios incluidos en cada nivel, consulta Comparación de niveles de servicio.

Para conocer las funciones de Google SecOps compatibles con el nivel Enterprise de Security Command Center, consulta Límites de las funciones de Google Security Operations en Security Command Center Enterprise.

Comparación de niveles de servicio

Servicio	Nivel de servicio
Servicio	Estándar	Premium	Enterprise
Detección de vulnerabilidades
Security Health Analytics
Análisis de evaluación de vulnerabilidades administrado para Google Cloud que puede detectar automáticamente las vulnerabilidades de mayor gravedad y los parámetros de configuración incorrectos de tus Google Cloud recursos.
Supervisión del cumplimiento. Los detectores de Security Health Analytics se asignan a los controles de comparativas de seguridad comunes, como NIST, HIPAA, PCI-DSS y CIS.
Compatibilidad con módulos personalizados. Crea tus propios detectores personalizados de Security Health Analytics.
Web Security Scanner
Análisis personalizados. Programa y ejecuta análisis personalizados en aplicaciones web de Compute Engine, Google Kubernetes Engine o App Engine que se hayan implementado y que tengan URLs e IP públicas y no estén detrás de firewalls.
Detectores adicionales de los diez principales de OWASP
Análisis administrados. Analiza los extremos web públicos en busca de vulnerabilidades semanalmente con análisis configurados y administrados por Security Command Center.
Formación de equipos rojos virtuales
La formación de equipos rojos virtuales, que se realiza mediante la ejecución de simulaciones de rutas de ataque, te ayuda a identificar y priorizar los hallazgos de vulnerabilidades y parámetros de configuración incorrectos, ya que identifica las rutas que puede tomar un atacante potencial para llegar a tus recursos de alto valor.		²
Evaluaciones de CVE de Mandiant
Las evaluaciones de CVE se agrupan según su capacidad de explotación y su posible impacto. Puedes consultar los hallazgos por ID de CVE.
Otros servicios de vulnerabilidad
Detección de anomalías ¹. Identifica anomalías de seguridad en tus proyectos y instancias de máquina virtual (VM), como posibles filtraciones de credenciales y minería de criptomonedas.	²	²
Resultados de las vulnerabilidades de imágenes de contenedores (Versión preliminar). Escribe los resultados automáticamente en Security Command Center a partir de los análisis de Artifact Registry que detectan imágenes de contenedores vulnerables implementadas en recursos específicos.
Hallazgos del panel de postura de seguridad de GKE (versión preliminar). Consulta los resultados sobre la configuración incorrecta de la seguridad de las cargas de trabajo de Kubernetes, los boletines de seguridad prácticos y las vulnerabilidades en el sistema operativo del contenedor o en los paquetes de lenguaje.
Descubrimiento de Protección de datos sensibles ¹. Descubre, clasifica y ayuda a proteger datos sensibles.	³	³
Informes de vulnerabilidades de VM Manager¹ (versión preliminar). Si habilitas VM Manager, este escribe automáticamente los resultados de sus informes de vulnerabilidades en Security Command Center.		²
Detección expandida de vulnerabilidades y contenedores de software en todos los entornos de nube, con los siguientes servicios integrados y precompilados: Edición Enterprise de Google Kubernetes Engine (GKE) Evaluación de vulnerabilidades para AWS VM Manager
Administración de la superficie de ataque de Mandiant. Descubre y analiza tus recursos de Internet en todos los entornos, mientras supervisas continuamente el ecosistema externo en busca de exposiciones aprovechables.
Combinaciones tóxicas. Detecta grupos de riesgos que, cuando ocurren juntos en un patrón particular, crean una ruta a uno o más de tus recursos de alto valor que un atacante determinado podría usar para llegar a esos recursos y vulnerarlos.
Detección y respuesta a amenazas
Google Cloud Armor ¹. Protege las Google Cloud implementaciones contra amenazas como los ataques de denegación de servicio distribuido (DDoS), la secuencia de comandos entre sitios (XSS) y la inyección de SQL (SQLi).	²	²
Servicio de Acciones Delicadas. Detecta cuando se realizan acciones en tu Google Cloud organización, carpetas y proyectos que podrían ser perjudiciales para tu empresa si las realiza un agente malicioso.
Detección de amenazas a contenedores. Detecta ataques en el entorno de ejecución en las imágenes de nodos de Container-Optimized OS.
Detección de amenazas de Cloud Run. Detecta ataques al entorno de ejecución en los contenedores de Cloud Run. (Vista previa)
Detección de eventos de amenazas. Supervisa Cloud Logging y Google Workspace con inteligencia de amenazas, aprendizaje automático y otros métodos avanzados para detectar amenazas, como software malicioso, minería de criptomonedas y robo de datos.
Virtual Machine Threat Detection. Detecta aplicaciones potencialmente maliciosas que se ejecutan en instancias de VM.
Administración de información y eventos de seguridad (SIEM) de Google SecOps Analiza registros y otros datos en busca de amenazas en varios entornos de nube, define reglas de detección de amenazas y busca los datos acumulados. Consulta también los límites de las funciones de Google Security Operations en Security Command Center Enterprise.
Organización, automatización y respuesta de seguridad (SOAR) de Google SecOps. Administrar casos, definir flujos de trabajo de respuesta y buscar los datos de respuesta Consulta también los límites de las funciones de Google Security Operations en Security Command Center Enterprise.
Mandiant Hunt. Confía en los expertos de Mandiant para realizar una búsqueda continua de amenazas y exponer la actividad de los atacantes y reducir el impacto en tu empresa.			³
Posiciones y políticas
Autorización binaria ¹. Implementa medidas de seguridad de la cadena de suministro de software cuando desarrollas e implementas aplicaciones basadas en contenedores. Supervisa y limita la implementación de imágenes de contenedor.	²	²
Controlador de políticas ¹. Habilita la aplicación de políticas programables para tus clústeres de Kubernetes.	²	²
Cyber Insurance Hub ¹. Crea perfiles y genera informes para la postura de riesgo técnico de tu organización.	²	²
Policy Intelligence. Funciones adicionales para los usuarios de Security Command Center Premium y Enterprise, incluidas las siguientes: Recomendaciones avanzadas de IAM. Las funciones de Recommender incluidas son las siguientes: Recomendaciones para roles no básicos Recomendaciones para los roles otorgados en recursos que no son organizaciones, carpetas ni proyectos. Por ejemplo, recomendaciones para roles otorgados en buckets de Cloud Storage. Recomendaciones que sugieren roles personalizados. Estadísticas de políticas Estadísticas de movimiento lateral Analizador de políticas a gran escala (más de 20 consultas por organización por día). Este límite se comparte entre todas las herramientas del Analizador de políticas. Visualizaciones para el análisis de políticas de la organización.
Postura de seguridad. Define y, luego, implementa una postura de seguridad para supervisar el estado de seguridad de tus Google Cloud recursos. Soluciona la deriva de la postura y los cambios no autorizados en ella. En el nivel empresarial, también puedes supervisar tu entorno de AWS.		²
Administración de derechos de infraestructura de nube (CIEM). Identifica las cuentas principales (identidades) que tienen una configuración incorrecta o a las que se les otorgaron permisos de IAM excesivos o sensibles a tus recursos en la nube.
Administración de datos
Residencia de datos
Controles de residencia de datos que restringen el almacenamiento y el procesamiento de los resultados de Security Command Center, las reglas de silenciamiento, las exportaciones continuas y las exportaciones de BigQuery a una de las multiregiones de residencia de datos que admite Security Command Center	²	²
Exportación de resultados
Exportaciones de BigQuery
Exportaciones continuas de Pub/Sub
Otras funciones
Validación de la infraestructura como código (IaC). Valida según las políticas de la organización y los detectores de Security Health Analytics.		²
Consulta recursos con SQL en Cloud Asset Inventory
Solicita más cuota de Cloud Asset Inventory
Software de código abierto garantizado. Aprovecha la seguridad y la experiencia que Google aplica al software de código abierto incorporando los mismos paquetes que Google protege y usa en tus propios flujos de trabajo de desarrollador.
Audit Manager. Una solución de auditoría de cumplimiento que evalúa tus recursos en función de controles seleccionados de varios marcos de cumplimiento. Los usuarios de Security Command Center Enterprise obtienen acceso al nivel Premium de Audit Manager sin costo adicional.
Compatibilidad con varias nubes Conecta Security Command Center a otros proveedores de servicios en la nube para detectar amenazas, vulnerabilidades y parámetros de configuración incorrectos. Evalúa las puntuaciones de exposición a ataques y las rutas de ataque en recursos externos de alto valor de la nube. Proveedores de servicios en la nube compatibles: AWS y Azure

Este es un Google Cloud servicio que se integra con las activaciones a nivel de la organización de Security Command Center para proporcionar resultados. Es posible que una o más funciones de este servicio tengan un precio independiente de Security Command Center.
Requiere una activación a nivel de la organización para los niveles Premium y Estándar.
No está activada de forma predeterminada. Para obtener más información y detalles sobre los precios, comunícate con tu representante de ventas o Google Cloud socio.

Límites de las funciones de Google Security Operations en Security Command Center Enterprise

El nivel Enterprise de Security Command Center ofrece funciones adicionales en comparación con los niveles Standard y Premium, incluida una selección de funciones de Operaciones de seguridad de Google y la capacidad de transferir datos de otros proveedores de servicios en la nube. Estas funciones hacen que Security Command Center sea una plataforma de protección de aplicaciones nativas de la nube (CNAPP) completa y están disponibles en la consola de Security Operations.

Las funciones de Google Security Operations en el nivel de Security Command Center Enterprise tienen límites diferentes a los que se encuentran en los planes de Google Security Operations. Estos límites se describen en la siguiente tabla.

Función	Límites
Aplicamos inteligencia contra amenazas	Sin acceso
Detecciones seleccionadas	Se limita a detectar amenazas en la nube, incluidas Google Cloud y AWS.
Reglas personalizadas	20 reglas personalizadas de un solo evento (no se admiten reglas de varios eventos)
Retención de datos	3 meses
Gemini para Google Security Operations	Se limita a la búsqueda de lenguaje natural y a los resúmenes de investigación de casos
Administración de información y eventos de seguridad (SIEM) de Google SecOps	Solo datos en la nube.
Organización, automatización y respuesta de seguridad (SOAR) de Google SecOps	Solo integraciones de respuesta en la nube. Para obtener la lista de integraciones compatibles, consulta Integraciones compatibles de Google Security Operations.
Transferencia de registros	Se limita a los registros compatibles con la detección de amenazas de cloud. Para ver la lista, consulta Recopilación de datos de registro compatibles en Google SecOps
Análisis de riesgos	Sin acceso

Integraciones admitidas de Google Security Operations

En las siguientes secciones, se enumeran las integraciones de Google Security Operations Marketplace que son compatibles con Security Command Center Enterprise. Se enumeran en columnas separadas en la siguiente tabla.

Integraciones empaquetadas y preconfiguradas: Se incluyen en el caso de uso de SCC Enterprise: orquestación y solución de problemas en la nube y están preconfiguradas para admitir casos de uso de plataformas de protección de aplicaciones nativas de la nube (CNAPP). Están disponibles cuando activas Security Command Center Enterprise y actualizas el caso de uso empresarial.

Las configuraciones del caso de uso de SCC Enterprise: orquestación y solución de problemas en la nube incluyen, como ejemplo, libros de jugadas dedicados que usan Jira y ServiceNow con un manejo predefinido de casos de respuesta. Las integraciones están preconfiguradas para admitir todos los proveedores de servicios en la nube que admite Security Command Center Enterprise.
Integraciones descargables: Con Security Command Center Enterprise, puedes descargar las siguientes integraciones y usarlas en un libro de jugadas. Las versiones que descargas de Google Security Operations Marketplace no están configuradas específicamente para Security Command Center Enterprise y requieren una configuración manual adicional.

Cada integración se muestra por nombre. Para obtener información sobre una integración específica, consulta Integraciones de Google Security Operations Marketplace.

Tipo de aplicación o información	Integraciones empaquetadas y preconfiguradas	Integraciones descargables
Integraciones deGoogle Cloud y Google Workspace	AppSheet Centro de alertas de Google Google BigQuery Google Chat Google Chronicle Google Cloud Asset Inventory Procesamiento de Google Cloud Google Cloud IAM Google Cloud Policy Intelligence Google Cloud Recommender Google Cloud Storage Google Kubernetes Engine Respuesta rápida de Google (GRR) Google Security Command Center Google Traductor G Suite SCCEnterprise	AppSheet Centro de alertas de Google Google BigQuery Google Chat Google Chronicle Google Cloud Asset Inventory Procesamiento de Google Cloud Google Cloud IAM Google Cloud Policy Intelligence Google Cloud Recommender Google Cloud Storage Google Kubernetes Engine Respuesta rápida de Google (GRR) Google Security Command Center Google Traductor G Suite SCCEnterprise
Integraciones de Amazon Web Services	AWS CloudTrail AWS CloudWatch AWS Elastic Compute Cloud (EC2) AWS GuardDuty Identity and Access Management (IAM) de AWS AWS IAM Access Analyzer AWS S3 AWS Security Hub AWS WAF	AWS CloudTrail AWS CloudWatch AWS Elastic Compute Cloud (EC2) AWS GuardDuty Identity and Access Management (IAM) de AWS AWS IAM Access Analyzer Amazon Macie* AWS S3 AWS Security Hub AWS WAF
Integraciones de Microsoft Azure y Office 365	Azure Active Directory Protección de identidad de Azure AD Azure Security Center Correo electrónico de Microsoft Graph Microsoft Teams	Azure Active Directory Protección de identidad de Azure AD Azure Security Center Correo electrónico de Microsoft Graph Microsoft Teams
Aplicaciones relacionadas con la administración de servicios de TI (ITSM)	BMC Helix Remedyforce ITSM de BMC Remedy Administrador del departamento de ayuda del Servicio de CA Vista simplificada Freshworks Freshservice Jira Micro Focus ITSMA Service Desk Plus V3 ServiceNow SysAid Zendesk Zoho Desk	BMC Helix Remedyforce ITSM de BMC Remedy Administrador del departamento de ayuda del Servicio de CA Vista simplificada Freshworks Freshservice Jira Micro Focus ITSMA Service Desk Plus V3 ServiceNow SysAid Zendesk Zoho Desk
Aplicaciones relacionadas con la comunicación	Correo electrónico V2 Intercambio Google Chat Correo electrónico de Microsoft Graph Microsoft Teams Slack	Correo electrónico V2 Intercambio Google Chat Correo electrónico de Microsoft Graph Microsoft Teams Slack
Inteligencia contra amenazas	Mandiant Threat Intelligence MITRE ATT&CK VirusTotalV3	Mandiant Threat Intelligence MITRE ATT&CK VirusTotalV3
* La integración no está empaquetada en el caso de uso de SCC Enterprise: orquestación y solución de problemas en la nube.

Recopilación de datos de registro de Google SecOps admitida

En las siguientes secciones, se describe el tipo de datos de registro que los clientes con Security Command Center Enterprise pueden transferir directamente al inquilino de Google Security Operations. Este mecanismo de recopilación de datos es diferente del conector de AWS en Security Command Center que recopila datos de recursos y configuración.

La información se agrupa por proveedor de servicios en la nube.

Google Cloud datos de registro
Datos de registro de Amazon Web Services
Datos de registro de Microsoft Azure

Para cada tipo de registro que se muestra, se proporciona la etiqueta de transferencia de SecOps de Google, por ejemplo, GCP_CLOUDAUDIT. Consulta Tipos de registros admitidos y analizadores predeterminados para obtener una lista completa de las etiquetas de transferencia de SecOps de Google.

Google Cloud

Los siguientes Google Cloud datos se pueden transferir a Google SecOps:

Registros de auditoría de Cloud (GCP_CLOUDAUDIT)
Sistema de detección de intrusiones de Cloud (GCP_IDS)
Cloud Next Generation Firewall (GCP_NGFW_ENTERPRISE)
Metadatos de Cloud Asset Inventory
Contexto de la Protección de datos sensibles
Registros de Model Armor

También se deben habilitar y enrutar los siguientes elementos a Cloud Logging:

Para obtener información sobre cómo recopilar registros de instancias de VM de Linux y Windows, y enviarlos a Cloud Logging, consulta Agentes de Google Cloud Observability.

El proceso de activación de Security Command Center Enterprise configura automáticamente la transferencia de datos de Google Cloud a Google SecOps. Para obtener más información sobre esto, consulta Cómo activar el nivel de Security Command Center Enterprise > Cómo aprovisionar una instancia nueva.

Para obtener información sobre cómo modificar la Google Cloud configuración de transferencia de datos, consulta Cómo transferir Google Cloud datos a Google Security Operations.

Amazon Web Services

Los siguientes datos de AWS se pueden transferir a Google SecOps:

AWS CloudTrail (AWS_CLOUDTRAIL)
AWS GuardDuty (GUARDDUTY)
AWS EC2 HOSTS (AWS_EC2_HOSTS)
AWS EC2 INSTANCES (AWS_EC2_INSTANCES)
VPC de AWS EC2 (AWS_EC2_VPCS)
AWS Identity and Access Management (IAM) (AWS_IAM)

Si deseas obtener información para recopilar datos de registros de AWS y usar detecciones seleccionadas, consulta Cómo conectarse a AWS para recopilar datos de registros.

Microsoft Azure

Los siguientes datos de Microsoft se pueden transferir a Google SecOps:

Servicios en la nube de Microsoft Azure (AZURE_ACTIVITY). Consulta Cómo transferir registros de actividad de Microsoft Azure para obtener información sobre cómo configurar la recopilación de datos.
Microsoft Entra ID, antes Azure Active Directory (AZURE_AD). Consulta Cómo recopilar registros de Microsoft Azure AD para obtener información sobre cómo configurar la recopilación de datos.
Registros de auditoría de Microsoft Entra ID, antes registros de auditoría de Azure AD (AZURE_AD_AUDIT). Consulta Cómo recopilar registros de Microsoft Azure AD para obtener información sobre cómo configurar la recopilación de datos.
Microsoft Defender for Cloud (MICROSOFT_GRAPH_ALERT). Consulta Cómo recopilar registros de alertas de la API de Microsoft Graph para obtener información sobre cómo configurar la recopilación de datos.

Para obtener información sobre cómo recopilar datos de registro de Azure y usar detecciones seleccionadas, consulta Cómo conectarse a Microsoft Azure para la recopilación de datos de registro.

Niveles de servicio de Security Command Center Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.