Niveaux de service Security Command Center

Security Command Center est proposé en trois niveaux de service: Standard, Premium et Enterprise. Chaque niveau détermine les fonctionnalités et les services disponibles dans Security Command Center. Vous trouverez ci-dessous une brève description de chaque niveau de service:

  • Standard. Gestion de base de la stratégie de sécurité pour Google Cloud uniquement. Le niveau Standard peut être activé au niveau du projet ou de l'organisation. Idéal pour les environnementsGoogle Cloud avec des exigences de sécurité minimales.
  • Premium Tout ce qui est inclus dans Standard, plus la gestion de la stratégie de sécurité, les chemins d'attaque, la détection des menaces et la surveillance de la conformité pour Google Cloud uniquement. Le niveau Premium peut être activé au niveau du projet ou de l'organisation. Idéal pour les clientsGoogle Cloud ayant besoin de la facturation à l'usage.
  • Enterprise Sécurité CNAPP multicloud complète qui vous aide à hiérarchiser et à résoudre vos problèmes les plus critiques. Inclut la plupart des services de Premium. Le niveau Enterprise ne peut être activé qu'au niveau de l'organisation. Idéal pour protéger Google Cloud, AWS et Azure.

Le niveau Standard est proposé sans frais supplémentaires, tandis que les niveaux Premium et Enterprise ont des structures tarifaires différentes. Pour en savoir plus, consultez la section Tarifs de Security Command Center.

Pour obtenir la liste des services inclus dans chaque niveau, consultez la section Comparaison des niveaux de service.

Pour connaître les fonctionnalités Google SecOps compatibles avec le niveau Enterprise de Security Command Center, consultez la page Limites des fonctionnalités Google Security Operations dans Security Command Center Enterprise.

Comparaison des niveaux de service

Service Niveau de service
Standard Premium Entreprise

Détection des failles
Analyse de l'état de la sécurité

Analyse gérée de l'évaluation des failles pour Google Cloud , qui peut détecter automatiquement les failles et les erreurs de configuration les plus graves liées à vos Google Cloud éléments.

Surveillance de la conformité Les détecteurs Security Health Analytics correspondent aux contrôles des benchmarks de sécurité courants tels que NIST, HIPAA, PCI-DSS et CIS.
Assistance pour les modules personnalisés Créez vos propres détecteurs Security Health Analytics personnalisés.
Web Security Scanner
Analyses personnalisées Planifiez et exécutez des analyses personnalisées sur les applications Web Compute Engine, Google Kubernetes Engine ou App Engine déployées qui disposent d'URL et d'adresses IP publiques et qui ne sont pas protégées par des pare-feu.
Détecteurs supplémentaires du top 10 de l'OWASP
Analyses gérées Analysez les points de terminaison Web publics pour détecter les failles une fois par semaine. Les analyses sont configurées et gérées par Security Command Center.
Red teaming virtuelle
Le red teaming virtuel, effectué en exécutant des simulations de chemin d'attaque, vous aide à identifier et à hiérarchiser les résultats de détection de failles et d'erreurs de configuration en identifiant les chemins qu'un pirate informatique potentiel pourrait emprunter pour atteindre vos ressources à forte valeur. 2
Analyses des failles de sécurité CVE par Mandiant
Les évaluations des failles CVE sont regroupées en fonction de leur exploitabilité et de leur impact potentiel. Vous pouvez interroger les résultats par ID de CVE.
Autres services de gestion des failles
Détection d'anomalies1 Identifie les anomalies de sécurité pour vos projets et instances de machines virtuelles (VM), telles que les potentielles fuites d'identifiants et le minage de cryptomonnaie. 2 2
Résultats de failles d'image de conteneur (Aperçu) Écrivez automatiquement les résultats dans Security Command Center à partir des analyses Artifact Registry qui détectent les images de conteneurs vulnérables déployées sur des éléments spécifiques.
Résultats du tableau de bord de stratégie de sécurité GKE (bêta). Consultez les résultats concernant les erreurs de configuration de la sécurité des charges de travail Kubernetes, les bulletins de sécurité exploitables et les failles dans le système d'exploitation du conteneur ou dans les packages de langage.
Détectez les données sensibles1. Il détecte, classe et aide à protéger les données sensibles. 3 3
Rapports de failles de VM Manager1 (preview) Si vous activez VM Manager, il écrit automatiquement les résultats dans ses rapports de failles dans Security Command Center. 2

Détection étendue des failles logicielles et des conteneurs dans les environnements cloud, avec les services intégrés et intégrés suivants:

  • Google Kubernetes Engine (GKE), édition Enterprise
  • Évaluation des failles pour AWS
  • VM Manager

Mandiant Attack Surface Management Détecte et analyse vos ressources Internet dans les environnements, tout en surveillant en permanence l'écosystème externe à la recherche d'expositions exploitables.

Combinaisons toxiques Détecte des groupes de risques qui, lorsqu'ils se produisent ensemble selon un modèle particulier, créent un chemin vers une ou plusieurs de vos ressources à forte valeur qu'un pirate informatique déterminé pourrait potentiellement utiliser pour atteindre et compromettre ces ressources.

Détection et gestion des menaces
Google Cloud Armor1 Protège les déploiements contre les menaces telles que les attaques par déni de service distribué (DDoS), les scripts intersites (XSS) et l'injection SQL (SQLi). Google Cloud 2 2
Service d'actions sensibles Détecte les actions effectuées dans votre Google Cloud organisation, vos dossiers et vos projets qui pourraient nuire à votre entreprise si elles étaient effectuées par un individu malveillant.

Container Threat Detection Détecte les attaques d'exécution dans les images de nœuds Container-Optimized OS.

Détection des menaces Cloud Run Détecte les attaques d'exécution dans les conteneurs Cloud Run. (Aperçu)

Event Threat Detection Surveille Cloud Logging et Google Workspace à l'aide d'informations sur les menaces, du machine learning et d'autres méthodes avancées pour détecter les menaces, telles que les logiciels malveillants, le minage de cryptomonnaie et l'exfiltration de données.
Virtual Machine Threat Detection Détecte les applications potentiellement malveillantes exécutées dans des instances de VM.
Solution SIEM (Security Information and Event Management) Google SecOps Analysez les journaux et d'autres données à la recherche de menaces dans plusieurs environnements cloud, définissez des règles de détection des menaces et recherchez les données accumulées. Consultez également les limites des fonctionnalités Google Security Operations dans Security Command Center Enterprise.
Outils d'orchestration de la sécurité, d'automatisation et de réponse (SOAR) Google SecOps Gérez les demandes, définissez des workflows de réponse et recherchez les données de réponse. Consultez également les limites des fonctionnalités Google Security Operations dans Security Command Center Enterprise.
Mandiant Hunt Faites confiance aux experts Mandiant pour rechercher en continu les menaces et exposer l'activité des pirates informatiques afin de réduire l'impact sur votre entreprise. 3

Postures et règles

Autorisation binaire1 Implémentez des mesures de sécurité de la chaîne d'approvisionnement logicielle lorsque vous développez et déployez des applications basées sur des conteneurs. Surveillez et limitez le déploiement des images de conteneurs. 2 2
Policy Controller1 Active l'application et l'application de règles programmables pour vos clusters Kubernetes. 2 2
Cyber Insurance Hub1. Créez un profil et générez des rapports sur la posture de risque technique de votre organisation. 2 2

Policy Intelligence Fonctionnalités supplémentaires pour les utilisateurs de Security Command Center Premium et Enterprise, y compris les suivantes:

  • Recommandations IAM avancées. Les fonctionnalités de recommandation incluses sont les suivantes:

    • Recommandations pour les rôles non de base
    • Recommandations concernant les rôles attribués à des ressources autres que des organisations, des dossiers et des projets. Par exemple, des recommandations sur les rôles accordés sur des buckets Cloud Storage.
    • Recommandations suggérant des rôles personnalisés
    • Insights sur les stratégies
    • Insights sur les mouvements latéraux
  • Policy Analyzer à grande échelle (plus de 20 requêtes par organisation et par jour). Cette limite est partagée entre tous les outils Policy Analyzer.
  • Visualisations pour l'analyse des règles d'administration
Situation de sécurité Définissez et déployez une stratégie de sécurité pour surveiller l'état de sécurité de vos Google Cloud ressources. Traitez la dérive de la posture et les modifications non autorisées de la posture. Au niveau de l'abonnement Enterprise, vous pouvez également surveiller votre environnement AWS. 2
Cloud Infrastructure Entitlement Management (CIEM) Identifiez les comptes principaux (identités) mal configurés ou auxquels des autorisations IAM excessives ou sensibles sont accordées pour vos ressources cloud.

Gestion des données
Résidence des données
Commandes de résidence des données qui limitent le stockage et le traitement des résultats de Security Command Center, des règles de masquage, des exportations continues et des exportations BigQuery vers l'une des multirégions de résidence des données compatibles avec Security Command Center. 2 2
Exportation des résultats
Exportations BigQuery
Exportations continues Pub/Sub

Autres fonctionnalités

Validation de l'infrastructure en tant que code (IaC) Vérifiez que les règles de votre organisation et les détecteurs Security Health Analytics sont respectés.

2

Interroger des éléments avec SQL dans l'inventaire des éléments cloud

Demander un quota supplémentaire dans l'inventaire des éléments cloud

Assured Open Source Software Bénéficiez de la sécurité et de l'expérience que Google applique aux logiciels Open Source en intégrant les mêmes packages que ceux que Google sécurise et utilise dans vos propres workflows de développement.

Gestionnaire d'audit. Une solution d'audit de conformité qui évalue vos ressources par rapport à certaines commandes de plusieurs frameworks de conformité.

Les utilisateurs de Security Command Center Enterprise ont accès au niveau Premium de Audit Manager sans frais supplémentaires.

Compatibilité avec le multicloud Connectez Security Command Center à d'autres fournisseurs de services cloud pour détecter les menaces, les failles et les erreurs de configuration. Évaluez les scores d'exposition aux attaques et les chemins d'attaque sur les ressources cloud externes de grande valeur.

Fournisseurs de services cloud pris en charge: AWS, Azure
  1. Il s'agit d'un Google Cloud service qui s'intègre aux activations de Security Command Center au niveau de l'organisation pour fournir des résultats. Une ou plusieurs fonctionnalités de ce service peuvent être facturées séparément de Security Command Center.
  2. Nécessite une activation au niveau de l'organisation pour les niveaux Standard et Premium.
  3. Non activé par défaut. Pour en savoir plus et connaître les tarifs, contactez votre conseiller commercial ou votre Google Cloud partenaire.

Limites des fonctionnalités Google Security Operations dans Security Command Center Enterprise

Le niveau Enterprise de Security Command Center offre des fonctionnalités supplémentaires par rapport aux niveaux Standard et Premium, y compris une sélection de fonctionnalités Google Security Operations et la possibilité d'ingérer des données provenant d'autres fournisseurs de services cloud. Ces fonctionnalités font de Security Command Center une plate-forme de protection des applications (CNAPP) cloud native complète. Elles sont disponibles dans la console Security Operations.

Les fonctionnalités Google Security Operations du niveau Security Command Center Enterprise présentent des limites différentes de celles des forfaits Google Security Operations. Ces limites sont décrites dans le tableau suivant.

Fonctionnalité Limites
Renseignements sur les menaces appliqués Aucun accès
Détections sélectionnées Limité à la détection des menaces cloud, y compris Google Cloud et AWS
Règles personnalisées 20  Règles personnalisées pour un événement unique. Les règles pour plusieurs événements ne sont pas acceptées.
Conservation des données 3 mois
Gemini pour Google Security Operations Limitée à la recherche en langage naturel et aux résumés d'enquêtes sur les cas
Gestion des informations et des événements de sécurité (SIEM) Google SecOps Données cloud uniquement.
Outils d'orchestration de la sécurité, d'automatisation et de réponse (SOAR) Google SecOps Intégrations de réponses cloud uniquement. Pour obtenir la liste des intégrations compatibles, consultez la section Intégrations Google Security Operations compatibles.
Ingestion de journaux

Limité aux journaux compatibles avec la détection des menaces cloud. Pour obtenir la liste, consultez la section Collecte des données de journaux compatible dans Google SecOps.

Analyse des risques Aucun accès

Intégrations Google Security Operations compatibles

Les sections suivantes répertorient les intégrations de la place de marché Google Security Operations compatibles avec Security Command Center Enterprise. Elles sont listées dans des colonnes distinctes dans le tableau suivant.

  • Intégrations empaquetées et préconfigurées: elles sont incluses dans le cas d'utilisation SCC Enterprise - Cloud Orchestration and Remediation et sont préconfigurées pour prendre en charge les cas d'utilisation de la plate-forme de protection des applications natives du cloud (CNAPP). Ils sont disponibles lorsque vous activez Security Command Center Enterprise et modifiez le cas d'utilisation Enterprise.

    Les configurations du cas d'utilisation SCC Enterprise : orchestration et correction dans le cloud incluent, par exemple, des playbooks dédiés qui utilisent Jira et ServiceNow avec une gestion prédéfinie des cas de réponse. Les intégrations sont préconfigurées pour prendre en charge tous les fournisseurs de services cloud compatibles avec Security Command Center Enterprise.

  • Intégrations téléchargeables: avec Security Command Center Enterprise, vous pouvez télécharger les intégrations suivantes et les utiliser dans un playbook. Les versions que vous téléchargez sur le Google Security Operations Marketplace ne sont pas configurées spécifiquement pour Security Command Center Enterprise et nécessitent une configuration manuelle supplémentaire.

Chaque intégration est listée par nom. Pour en savoir plus sur une intégration spécifique, consultez la section Intégrations Google Security Operations Marketplace.

Type de demande ou d'informations

Intégrations empaquetées et préconfigurées

Intégrations téléchargeables

Google Cloud et les intégrations Google Workspace
  • AppSheet
  • Centre d'alerte Google
  • Google BigQuery
  • Google Chat
  • Google Chronicle
  • Inventaire des éléments Google Cloud
  • Google Cloud Compute
  • Google Cloud IAM
  • Google Cloud Policy Intelligence
  • Google Cloud Recommender
  • Google Cloud Storage
  • Google Kubernetes Engine
  • Réponse rapide de Google (GRR)
  • Google Security Command Center
  • Google Traduction
  • G Suite
  • SCCEnterprise
  • AppSheet
  • Centre d'alerte Google
  • Google BigQuery
  • Google Chat
  • Google Chronicle
  • Inventaire des éléments Google Cloud
  • Google Cloud Compute
  • Google Cloud IAM
  • Google Cloud Policy Intelligence
  • Google Cloud Recommender
  • Google Cloud Storage
  • Google Kubernetes Engine
  • Réponse rapide de Google (GRR)
  • Google Security Command Center
  • Google Traduction
  • G Suite
  • SCCEnterprise

Intégrations Amazon Web Services
  • AWS CloudTrail
  • AWS CloudWatch
  • AWS Elastic Compute Cloud (EC2)
  • AWS GuardDuty
  • AWS Identity and Access Management (IAM)
  • Analyseur d'accès AWS IAM
  • AWS S3
  • AWS Security Hub
  • AWS WAF
  • AWS CloudTrail
  • AWS CloudWatch
  • AWS Elastic Compute Cloud (EC2)
  • AWS GuardDuty
  • AWS Identity and Access Management (IAM)
  • Analyseur d'accès AWS IAM
  • Amazon Macie*
  • AWS S3
  • AWS Security Hub
  • AWS WAF

Intégrations Microsoft Azure et Office 365
  • Azure Active Directory
  • Protection de l'identité Azure AD
  • Azure Security Center
  • Microsoft Graph Mail
  • Microsoft Teams
  • Azure Active Directory
  • Protection de l'identité Azure AD
  • Azure Security Center
  • Microsoft Graph Mail
  • Microsoft Teams

Applications liées à la gestion des services IT (ITSM)
  • BMC Helix Remedyforce
  • BMC Remedy ITSM
  • Responsable du centre d'assistance CA
  • Easy Vista
  • Freshworks Freshservice
  • Jira
  • Micro Focus ITSMA
  • Service Desk Plus V3
  • ServiceNow
  • SysAid
  • Zendesk
  • Zoho Desk
  • BMC Helix Remedyforce
  • BMC Remedy ITSM
  • Responsable du centre d'assistance CA
  • Easy Vista
  • Freshworks Freshservice
  • Jira
  • Micro Focus ITSMA
  • Service Desk Plus V3
  • ServiceNow
  • SysAid
  • Zendesk
  • Zoho Desk

Applications liées à la communication
  • E-mail V2
  • Échange
  • Google Chat
  • Microsoft Graph Mail
  • Microsoft Teams
  • Slack
  • E-mail V2
  • Échange
  • Google Chat
  • Microsoft Graph Mail
  • Microsoft Teams
  • Slack

Renseignement sur les menaces
  • Mandiant Threat Intelligence
  • Mitre Att&ck
  • VirusTotalV3
  • Mandiant Threat Intelligence
  • Mitre Att&ck
  • VirusTotalV3
* L'intégration n'est pas empaquetée dans le cas d'utilisation SCC Enterprise : orchestration et correction dans le cloud

Collecte des données de journaux Google SecOps compatible

Les sections suivantes décrivent le type de données de journal que les clients disposant de Security Command Center Enterprise peuvent ingérer directement dans le locataire Google Security Operations. Ce mécanisme de collecte de données est différent du connecteur AWS dans Security Command Center , qui collecte des données de ressources et de configuration.

Les informations sont regroupées par fournisseur de services cloud.

  • Données de journalGoogle Cloud
  • Données de journal Amazon Web Services
  • Données de journal Microsoft Azure

Pour chaque type de journal listé, le libellé d'ingestion Google SecOps est fourni, par exemple GCP_CLOUDAUDIT. Pour obtenir la liste complète des libellés d'ingestion Google SecOps, consultez la page Types de journaux compatibles et analyseurs par défaut.

Google Cloud

Les données Google Cloud suivantes peuvent être ingérées dans Google SecOps:

Les éléments suivants doivent également être activés et acheminés vers Cloud Logging:

Pour savoir comment collecter des journaux à partir d'instances de VM Linux et Windows, puis les envoyer à Cloud Logging, consultez la section Agents Google Cloud Observability.

Le processus d'activation de Security Command Center Enterprise configure automatiquement l'ingestion des données Google Cloud dans Google SecOps. Pour en savoir plus, consultez Activer le niveau Enterprise de Security Command Center > Provisionner une instance.

Pour savoir comment modifier la configuration d'ingestion de données Google Cloud , consultez Ingestion de données Google Cloud dans Google Security Operations.

Amazon Web Services

Les données AWS suivantes peuvent être ingérées dans Google SecOps:

  • AWS CloudTrail (AWS_CLOUDTRAIL)
  • AWS GuardDuty (GUARDDUTY)
  • AWS EC2 HOSTS (AWS_EC2_HOSTS)
  • INSTANCES AWS EC2 (AWS_EC2_INSTANCES)
  • VPC AWS EC2 (AWS_EC2_VPCS)
  • AWS Identity and Access Management (IAM) (AWS_IAM)

Pour en savoir plus sur la collecte des données de journal AWS et l'utilisation de détections sélectionnées, consultez Se connecter à AWS pour collecter des données de journal.

Microsoft Azure

Les données Microsoft suivantes peuvent être ingérées dans Google SecOps:

Pour en savoir plus sur la collecte des données de journal Azure et l'utilisation des détections sélectionnées, consultez Se connecter à Microsoft Azure pour collecter des données de journal.