Security Command Center se ofrece en tres niveles de servicio: Standard, Premium y Enterprise. Cada nivel determina las funciones y los servicios que tienes disponibles en Security Command Center. A continuación, se incluye una breve descripción de cada nivel de servicio:
- Estándar. Gestión básica de la postura de seguridad solo en Google Cloud . El nivel Estándar se puede activar a nivel de proyecto o de organización. Ideal para Google Cloud entornos con requisitos de seguridad mínimos.
- Premium. Todo lo que incluye Standard, además de la gestión de la posición de seguridad, las rutas de ataque, la detección de amenazas y la monitorización del cumplimiento solo en Google Cloud . El nivel Premium se puede activar a nivel de proyecto o de organización. Es la mejor opción para los Google Cloud clientes que necesitan la facturación de pago por uso.
- Enterprise. Seguridad integral multinube de la plataforma de protección de aplicaciones nativas de la nube (CNAPP) que te ayuda a priorizar y solucionar tus problemas más críticos. Incluye la mayoría de los servicios de Premium. El nivel Enterprise solo se puede activar a nivel de organización. Ideal para proteger Google Cloud, AWS y Azure.
El nivel Estándar se ofrece sin coste adicional, mientras que los niveles Premium y Enterprise tienen estructuras de precios diferentes. Para obtener más información, consulta los precios de Security Command Center.
Para ver una lista de los servicios incluidos en cada nivel, consulta la comparativa de niveles de servicio.
Para ver las funciones de Google SecOps compatibles con el nivel Enterprise de Security Command Center, consulta Límites de las funciones de Google Security Operations en Security Command Center Enterprise.
Comparación de niveles de servicio
| Servicio | Nivel de servicio | ||
|---|---|---|---|
| Estándar | Premium | Empresa | |
| Detección de vulnerabilidades | |||
| Security Health Analytics | |||
| Análisis gestionado de evaluación de vulnerabilidades para Google Cloud detectar automáticamente las vulnerabilidades y los errores de configuración de mayor gravedad de tus recursos de Google Cloud . | |||
| Supervisión del cumplimiento. Los detectores de Security Health Analytics se corresponden con los controles de las comparativas de seguridad habituales, como NIST, HIPAA, PCI-DSS y CIS. | |||
| Asistencia para módulos personalizados. Crea tus propios detectores personalizados de Security Health Analytics. | |||
| Web Security Scanner | |||
| Búsquedas personalizadas. Programa y ejecuta análisis personalizados en aplicaciones web de Compute Engine, Google Kubernetes Engine o App Engine desplegadas que tengan URLs e IPs públicas y que no estén protegidas por cortafuegos. | |||
| Detectores adicionales de los diez principales riesgos de OWASP | |||
| Analizaciones gestionadas Analiza los endpoints web públicos en busca de vulnerabilidades cada semana. Los análisis los configura y gestiona Security Command Center. | |||
| Equipos rojos virtuales | |||
| El equipo rojo virtual, que se lleva a cabo ejecutando simulaciones de rutas de ataque, te ayuda a identificar y priorizar las vulnerabilidades y los errores de configuración al identificar las rutas que podría tomar un atacante para acceder a tus recursos de alto valor. | 1 | ||
| Evaluaciones de CVE de Mandiant | |||
| Las evaluaciones de CVE se agrupan según su posibilidad de exploit y su posible impacto. Puedes consultar las detecciones por ID de CVE. | |||
| Otros servicios de vulnerabilidades | |||
| Detección de anomalías.2 Identifica las anomalías de seguridad de tus proyectos y tus instancias de máquinas virtuales, como las credenciales potencialmente filtradas y la minería de criptomonedas. | 1 | 1 | |
| Resultados de vulnerabilidades de imágenes de contenedor (Vista previa). Escribe automáticamente los resultados en Security Command Center a partir de los análisis de Artifact Registry que detecten imágenes de contenedor vulnerables desplegadas en recursos específicos. | |||
| Resultados del panel de control de la postura de seguridad de GKE (vista previa). Consulta las detecciones sobre errores de configuración de seguridad de cargas de trabajo de Kubernetes, boletines de seguridad prácticos y vulnerabilidades en el sistema operativo del contenedor o en los paquetes de lenguaje. | |||
| Model Armor. Analiza las peticiones y respuestas de los LLMs para detectar riesgos de seguridad. | |||
| Detección de Protección de Datos Sensibles.2 Descubre, clasifica y ayuda a proteger datos sensibles. | 1, 3 | 1, 3 | |
| Puntos de bloqueo. Identifica los recursos o grupos de recursos en los que convergen varias rutas de ataque. | |||
| Notebook Security Scanner (Vista previa). Detecta y resuelve vulnerabilidades en paquetes de Python que se usan en cuadernos de Colab Enterprise. | |||
| Combinaciones tóxicas. Detecta grupos de riesgos que, cuando se producen juntos en un patrón concreto, crean una ruta a uno o varios de sus recursos de alto valor que un atacante determinado podría usar para acceder a esos recursos y ponerlos en peligro. | |||
| Informes de vulnerabilidades de VM Manager (vista previa).2 Si habilitas VM Manager, escribirá automáticamente los resultados de sus informes de vulnerabilidades en Security Command Center. | 1 | ||
| Evaluación de vulnerabilidades de Google Cloud (vista previa). Te ayuda a descubrir vulnerabilidades de software críticas y de alta gravedad en tus instancias de VM de Compute Engine sin instalar agentes. | |||
| Mandiant Attack Surface Management. Descubre y analiza tus recursos de Internet en todos los entornos, al tiempo que monitoriza continuamente el ecosistema externo para detectar exposiciones explotables. | 4 | ||
| Vulnerability Assessment for AWS. Detecta vulnerabilidades en recursos de AWS, incluido el software instalado en instancias de Amazon EC2 y en imágenes de Elastic Container Registry (ECR). | |||
| Detección y respuesta ante amenazas | |||
| Google Cloud Armor.2 Protege las Google Cloud implementaciones frente a amenazas como los ataques de denegación de servicio distribuido (DDoS), cross-site scripting (XSS) e inyección de SQL (SQLi). | 1 | 1 | |
| Servicio de acciones sensibles. Detecta cuándo se realizan acciones en tu Google Cloud organización, carpetas y proyectos que podrían dañar tu empresa si las lleva a cabo un agente malicioso. | |||
| Cloud Run Threat Detection. Detecta ataques en el tiempo de ejecución en contenedores de Cloud Run. | |||
| Container Threat Detection. Detecta ataques en el tiempo de ejecución en imágenes de nodos de Container-Optimized OS. | |||
| Event Threat Detection. Monitoriza Cloud Logging y Google Workspace mediante la inteligencia frente a amenazas, el aprendizaje automático y otros métodos avanzados para detectar amenazas como malware, minería de criptomonedas y filtración externa de datos. | |||
| Virtual Machine Threat Detection. Detecta aplicaciones potencialmente maliciosas que se ejecutan en instancias de máquina virtual. | |||
Google SecOps. Se integra con Security Command Center para ayudarte a detectar, investigar y responder a las amenazas. Google SecOps incluye lo siguiente:
| |||
| Problemas. Identifica los riesgos de seguridad más importantes que Security Command Center ha encontrado en tus entornos de nube. Los problemas se descubren mediante pruebas de penetración virtuales, junto con detecciones basadas en reglas que se basan en el gráfico de seguridad de Security Command Center. | |||
Mandiant Threat Defense. Confía en los expertos de Mandiant para buscar amenazas continuamente y exponer la actividad de los atacantes, así como para reducir el impacto en tu empresa. Mandiant Threat Defense no está activado de forma predeterminada. Para obtener más información y detalles sobre los precios, ponte en contacto con tu representante de ventas o con tu partner de Google Cloud. | |||
| Posturas y políticas | |||
| Autorización binaria.2 Implementa medidas de seguridad en la cadena de suministro de software al desarrollar y desplegar aplicaciones basadas en contenedores. Monitoriza y limita el despliegue de imágenes de contenedor. | 1 | 1 | |
| Cyber Insurance Hub.2 Crea perfiles y genera informes sobre la estrategia de riesgo técnico de tu organización. | 1 | 1 | |
| Policy Controller:2 permite aplicar políticas programables en tus clústeres de Kubernetes. | 1 | 1 | |
Policy Intelligence. Funciones adicionales para los usuarios de Security Command Center Premium y Enterprise, entre las que se incluyen las siguientes:
| |||
| Posición de seguridad. Define e implementa una estrategia de seguridad para monitorizar el estado de seguridad de tus recursos de Google Cloud. Aborda la deriva de la postura y los cambios no autorizados en la postura. En el nivel Enterprise, también puedes monitorizar tu entorno de AWS. | 1 | ||
| Gestión de infraestructuras y derechos en la nube (CIEM). Identifica las cuentas principales (identidades) que están mal configuradas o a las que se han concedido permisos de gestión de identidades y accesos excesivos o sensibles en tus recursos de la nube. | 4 | ||
| Gestor de cumplimiento (vista previa). Define, implementa, monitoriza y audita los frameworks diseñados para ayudarte a cumplir las obligaciones de seguridad y cumplimiento de tu entorno de Google Cloud . | |||
| Gestión de la postura de seguridad de los datos (DSPM) (Vista previa). Evalúa, implementa y audita los marcos de seguridad de los datos y los controles de la nube para gestionar el acceso y el uso de datos sensibles. | |||
| Gestión de los datos | |||
| Residencia y cifrado de datos | |||
| Claves de encriptado gestionadas por el cliente (CMEK). Usa las claves de Cloud Key Management Service que crees para cifrar los datos de Security Command Center que selecciones. De forma predeterminada, los datos de Security Command Center se cifran en reposo con Google-owned and Google-managed encryption keys. | 1 | 1 | |
| Exportación de hallazgos | |||
| Exportaciones de BigQuery. Exporta las detecciones de Security Command Center a BigQuery, ya sea mediante una exportación masiva única (vista previa) o habilitando las exportaciones continuas. | |||
| Exportaciones continuas de Pub/Sub | |||
| Exportaciones continuas de Cloud Logging | 1 | ||
| Otras funciones | |||
| Validación de la infraestructura como código (IaC). Validar según las políticas de la organización y los detectores de Security Health Analytics. | 1 | ||
| Consultar recursos con SQL en Inventario de Recursos de Cloud | |||
| Solicitar más cuota de Inventario de Recursos de Cloud | |||
| Informes de riesgos (vista previa). Los informes de riesgos te ayudan a comprender los resultados de las simulaciones de rutas de ataque que ejecuta Security Command Center. Un informe de riesgos contiene una vista general, combinaciones tóxicas de ejemplo y rutas de ataque asociadas. | 1 | ||
| Protección con IA (Vista previa). AI Protection te ayuda a gestionar la postura de seguridad de tus cargas de trabajo de IA detectando amenazas y mitigando los riesgos de tu inventario de recursos de IA. | |||
| Assured Open Source Software. Aprovecha la seguridad y la experiencia que Google aplica al software de código abierto incorporando los mismos paquetes que Google protege y utiliza en tus propios flujos de trabajo de desarrollador. | |||
| Gestor de auditorías. Una solución de auditoría de cumplimiento que evalúa sus recursos en función de determinados controles de varios marcos de cumplimiento. Los usuarios de Security Command Center Enterprise tienen acceso al nivel Premium de Audit Manager sin coste adicional. | |||
| Compatibilidad con entornos multinube. Conecta Security Command Center con otros proveedores de servicios en la nube para detectar amenazas, vulnerabilidades y errores de configuración. Evalúa las puntuaciones de exposición a ataques y las rutas de ataque en recursos externos de alto valor en la nube. Proveedores de servicios en la nube admitidos: AWS y Azure. | |||
| Integración con Snyk Ver y gestionar los problemas identificados por Snyk como resultados de seguridad. | |||
- Requiere una activación a nivel de organización.
- Se trata de un Google Cloud servicio que se integra con las activaciones de Security Command Center a nivel de organización para proporcionar resultados. Es posible que una o varias funciones de este servicio tengan un precio independiente de Security Command Center.
- No está activada de forma predeterminada. Para obtener más información y detalles sobre los precios, ponte en contacto con tu representante de ventas o Google Cloud partner.
- No se admite si los controles de residencia de datos están habilitados.
Límites de las funciones de Google Security Operations en Security Command Center Enterprise
El nivel Enterprise de Security Command Center ofrece funciones adicionales en comparación con los niveles Standard y Premium, como una selección de funciones de Google Security Operations y la posibilidad de ingerir datos de otros proveedores de servicios en la nube. Estas funciones convierten a Security Command Center en una plataforma de protección de aplicaciones nativa de la nube (CNAPP).
Las funciones de Google Security Operations del nivel Enterprise de Security Command Center tienen límites diferentes a los de los planes de Google Security Operations. Estos límites se describen en la siguiente tabla.
| Función | Límites |
|---|---|
| Inteligencia de amenazas aplicada | Sin acceso |
| Detecciones seleccionadas | Solo puede detectar amenazas en la nube en Google Cloud, Microsoft Azure y AWS. |
| Reglas personalizadas | 20 reglas de evento único personalizadas. No se admiten reglas de varios eventos. |
| Conservación de datos | 3 meses |
| Gemini para Google Security Operations | Limitado a la búsqueda en lenguaje natural y a los resúmenes de investigaciones de casos |
| Gestión de información y eventos de seguridad (SIEM) de Google SecOps | Solo datos de la nube. |
| Orquestación, automatización y respuesta de seguridad (SOAR) de Google SecOps | Solo integraciones de respuestas de la nube. Para ver la lista de integraciones admitidas, consulta Integraciones admitidas de Google Security Operations.
Admite un entorno SOAR. |
| Ingestión de registros |
Se limita a los registros compatibles con la detección de amenazas en la nube. Para ver la lista, consulta Recogida de datos de registro admitida en Google SecOps. |
| Analíticas de riesgos | Sin acceso |
Integraciones compatibles con Google Security Operations
En las siguientes secciones se enumeran las integraciones de Google Security Operations Marketplace que se admiten en Security Command Center Enterprise. Se indican en columnas independientes en la siguiente tabla.
Integraciones empaquetadas y preconfiguradas: se incluyen en el caso práctico SCC Enterprise - Cloud Orchestration and Remediation y se preconfiguran para admitir casos prácticos de la plataforma de protección de aplicaciones nativas de la nube (CNAPP). Están disponibles cuando activas Security Command Center Enterprise y actualizas el caso de uso de Enterprise.
Las configuraciones del caso práctico SCC Enterprise - Cloud Orchestration and Remediation (SCC Enterprise: orquestación y corrección en la nube) incluyen, por ejemplo, guías específicas que usan Jira y ServiceNow con una gestión predefinida de los casos de respuesta. Las integraciones están preconfiguradas para admitir todos los proveedores de servicios en la nube que admite Security Command Center Enterprise.
Integraciones descargables: con Security Command Center Enterprise, puedes descargar las siguientes integraciones y usarlas en un cuaderno de estrategias. Las versiones que descargues de Google Security Operations Marketplace no están configuradas específicamente para Security Command Center Enterprise y requieren una configuración manual adicional.
Cada integración se muestra por su nombre. Para obtener información sobre una integración específica, consulta Integraciones de Google Security Operations Marketplace.
Tipo de solicitud o información |
Integraciones empaquetadas y preconfiguradas |
Integraciones descargables |
|---|---|---|
Google Cloud e integraciones de Google Workspace |
|
|
Integraciones de Amazon Web Services |
|
|
Integraciones de Microsoft Azure y Office 365 |
|
|
Aplicaciones relacionadas con la gestión de servicios de TI (ITSM) |
|
|
Aplicaciones relacionadas con la comunicación |
|
|
Inteligencia frente a amenazas |
|
|
| * La integración no se incluye en el caso práctico SCC Enterprise - Cloud Orchestration and Remediation | ||
Recogida de datos de registro de Google SecOps admitida
En las siguientes secciones se describe el tipo de datos de registro que pueden ingerir directamente en el arrendatario de Google Security Operations los clientes que tengan Security Command Center Enterprise. Este mecanismo de recogida de datos es diferente del conector de AWS en Security Command Center , que recoge datos de recursos y de configuración.
La información se agrupa por proveedor de servicios en la nube.
- Google Cloud datos de registro
- Datos de registro de Amazon Web Services
- Datos de registro de Microsoft Azure
En cada tipo de registro, se proporciona la etiqueta de ingestión de Google SecOps, como GCP_CLOUDAUDIT. Consulta la lista completa de tipos de registros y analizadores predeterminados admitidos para ver todas las etiquetas de ingestión de Google SecOps.
Google Cloud
Los siguientes datos se pueden ingerir en Google SecOps: Google Cloud
- Registros de auditoría de Cloud (
GCP_CLOUDAUDIT) - Sistema de Detección de Intrusos de Cloud (
GCP_IDS) - Cloud Next Generation Firewall (
GCP_NGFW_ENTERPRISE) - Metadatos de Inventario de Recursos de Cloud
- Contexto de Protección de Datos Sensibles
- Registros de Model Armor
También deben estar habilitados y dirigirse a Cloud Logging:
- Registros de auditoría de acceso a datos de AlloyDB para PostgreSQL
- Registros de Cloud DNS
- Registros de Cloud NAT
- Cloud Run
- Registros de auditoría de acceso a datos de Cloud SQL para SQL Server
- Registros de auditoría de acceso a datos de Cloud SQL para MySQL
- Registros de auditoría de acceso a datos de Cloud SQL para PostgreSQL
- Registros de autenticación de máquinas virtuales de Compute Engine
- Registros del servicio de backend del balanceador de carga de aplicación externo
- Registros de auditoría de acceso a datos genéricos
- Registros de auditoría de acceso a datos de Google Kubernetes Engine
- Registros de auditoría de administrador de Google Workspace
- Registros de auditoría de inicio de sesión de Google Workspace
- Registros de auditoría de acceso a datos de gestión de identidades y accesos
- Contexto de Protección de Datos Sensibles
- Registros de Model Armor
- Registros de AuditD
- Registros de eventos de Windows
Para obtener información sobre cómo recoger registros de instancias de máquinas virtuales Linux y Windows y enviarlos a Cloud Logging, consulta Agentes de observabilidad de Google Cloud.
El proceso de activación de Security Command Center Enterprise configura automáticamente la ingesta de datos en Google SecOps. Google Cloud Para obtener más información al respecto, consulta Activar el nivel Enterprise de Security Command Center > Crear una instancia.
Para obtener información sobre cómo modificar la configuración de la Google Cloud ingestión de datos, consulta Ingerir Google Cloud datos en Google Security Operations.
Amazon Web Services
Los siguientes datos de AWS se pueden ingerir en Google SecOps:
- AWS CloudTrail (
AWS_CLOUDTRAIL) - AWS GuardDuty (
GUARDDUTY) - HOSTS DE AWS EC2 (
AWS_EC2_HOSTS) - INSTANCIAS DE AWS EC2 (
AWS_EC2_INSTANCES) - VPCs de AWS EC2 (
AWS_EC2_VPCS) - AWS Identity and Access Management (IAM) (
AWS_IAM)
Para obtener información sobre cómo recoger datos de registro de AWS y usar detecciones seleccionadas, consulta el artículo Conectarse a AWS para recoger datos de registro.
Microsoft Azure
Los siguientes datos de Microsoft se pueden ingerir en Google SecOps:
- Servicios en la nube de Microsoft Azure (
AZURE_ACTIVITY). Consulta Ingerir registros de actividad de Microsoft Azure para obtener información sobre cómo configurar la recogida de datos. - Microsoft Entra ID, antes Azure Active Directory (
AZURE_AD). Consulta el artículo Recoger registros de Microsoft Azure AD para obtener información sobre cómo configurar la recogida de datos. - Registros de auditoría de Microsoft Entra ID (antes, registros de auditoría de Azure AD)
(
AZURE_AD_AUDIT). Consulta el artículo sobre cómo recoger registros de Microsoft Azure AD para obtener información sobre cómo configurar la recogida de datos. - Microsoft Defender for Cloud (
MICROSOFT_GRAPH_ALERT). Consulta Recoger registros de alertas de la API Microsoft Graph para obtener información sobre cómo configurar la recogida de datos.
Para obtener información sobre cómo recoger datos de registro de Azure y usar detecciones seleccionadas, consulta el artículo Conectarse a Microsoft Azure para recoger datos de registro.