Security Command Center è offerto in tre livelli di servizio: Standard, Premium ed Enterprise. Ogni livello determina le funzionalità e i servizi disponibili in Security Command Center. Di seguito è riportata una breve descrizione di ciascun livello di servizio:
- Standard: Gestione di base della postura di sicurezza solo per Google Cloud . Il livello Standard può essere attivato a livello di progetto o organizzazione. Ideale per Google Cloud ambienti con requisiti di sicurezza minimi.
- Premium: Tutte le funzionalità di Standard, più la gestione della strategia di sicurezza, i percorsi di attacco, il rilevamento delle minacce e il monitoraggio della conformità solo per Google Cloud . Il livello Premium può essere attivato a livello di progetto o organizzazione. Ideale per Google Cloud i clienti che hanno bisogno della fatturazione con pagamento a consumo.
- Enterprise: Sicurezza CNAPP multicloud completa che ti aiuta a valutare e risolvere i problemi più critici. Include la maggior parte dei servizi inclusi in Premium. Il livello Enterprise può essere attivato solo a livello di organizzazione. Ideale per proteggere Google Cloud, AWS e Azure.
Il livello Standard è offerto senza costi aggiuntivi, mentre i livelli Premium ed Enterprise hanno strutture di prezzo diverse. Per saperne di più, consulta la sezione Prezzi di Security Command Center.
Per un elenco dei servizi inclusi in ogni livello, vedi Confronto tra i livelli di servizio.
Per le funzionalità di Google SecOps supportate con il livello Security Command Center Enterprise, consulta Limiti delle funzionalità di Google Security Operations in Security Command Center Enterprise.
Confronto tra i livelli di servizio
| Servizio | Livello di servizio | ||
|---|---|---|---|
| Standard | Premium | Aziende | |
| Rilevamento delle vulnerabilità | |||
| Security Health Analytics | |||
| Scansione di valutazione delle vulnerabilità gestita per Google Cloud che può rilevare automaticamente le vulnerabilità e le configurazioni errate più gravi per i tuoi asset Google Cloud . | |||
| Monitoraggio della conformità. I rilevatori di Security Health Analytics vengono mappati ai controlli dei benchmark di sicurezza comuni come NIST, HIPAA, PCI-DSS e CIS. | |||
| Supporto dei moduli personalizzati. Crea i tuoi rilevatori Security Health Analytics personalizzati. | |||
| Web Security Scanner | |||
| Scansioni personalizzate. Pianifica ed esegui scansioni personalizzate sulle applicazioni web di Compute Engine, Google Kubernetes Engine o App Engine di cui è stato eseguito il deployment che hanno URL e indirizzi IP pubblici e non sono protette da firewall. | |||
| Rilevatori OWASP Top Ten aggiuntivi | |||
| Scansioni gestite. Esegui la scansione settimanale degli endpoint web pubblici per rilevare vulnerabilità, con scansioni configurate e gestite da Security Command Center. | |||
| Red teaming virtuale | |||
| Il red team virtuale, eseguito tramite l'esecuzione di simulazioni del percorso di attacco, ti aiuta a identificare e dare la priorità ai risultati di vulnerabilità ed errori di configurazione identificando i percorsi che un potenziale utente malintenzionato potrebbe seguire per raggiungere le tue risorse di alto valore. | 1 | ||
| Valutazioni delle CVE di Mandiant | |||
| Le valutazioni delle CVE sono raggruppate in base alla loro sfruttabilità e al potenziale impatto. Puoi eseguire query sui risultati in base all'ID CVE. | |||
| Altri servizi di vulnerabilità | |||
| Rilevamento di anomalie.2 Identifica anomalie di sicurezza per i tuoi progetti e le tue istanze di macchine virtuali (VM), tra cui potenziali credenziali divulgate e mining di criptovalute. | 1 | 1 | |
| Risultati delle vulnerabilità delle immagini container (anteprima). Scrivi automaticamente i risultati in Security Command Center dalle scansioni di Artifact Registry che rilevano immagini container vulnerabili di cui è stato eseguito il deployment su asset specifici. | |||
| Risultati della dashboard della strategia di sicurezza di GKE (anteprima). Visualizza i risultati relativi a configurazioni errate della sicurezza dei workload Kubernetes, bollettini di sicurezza azionabili e vulnerabilità nel sistema operativo del container o nei pacchetti di linguaggio. | |||
| Rilevamento di Sensitive Data Protection.2 Rileva, classifica e contribuisce a proteggere i dati sensibili. | 1, 3 | 1, 3 | |
| Colli di bottiglia (anteprima). Identifica le risorse o i gruppi di risorse in cui convergono più percorsi di attacco. | |||
| Notebook Security Scanner (anteprima). Rileva e risolvi le vulnerabilità nei pacchetti Python utilizzati nei notebook Colab Enterprise. | |||
| Combinazioni dannose. Rileva gruppi di rischi che, quando si verificano insieme in un determinato pattern, creano un percorso a una o più delle tue risorse di alto valore che un utente malintenzionato determinato potrebbe potenzialmente utilizzare per raggiungere e compromettere queste risorse. | |||
| Report sulle vulnerabilità di VM Manager (anteprima).2 Se abiliti VM Manager, questo scrive automaticamente i risultati dei report sulle vulnerabilità in Security Command Center. | 1 | ||
| Vulnerability Assessment per Google Cloud (anteprima). Ti aiuta a scoprire le vulnerabilità del software critiche e di gravità elevata nelle tue istanze VM di Compute Engine senza installare agent. | |||
| Mandiant Attack Surface Management. Scopre e analizza le tue risorse internet in tutti gli ambienti, monitorando costantemente l'ecosistema esterno per individuare eventuali esposizioni sfruttabili. | |||
| Vulnerability Assessment for AWS. Rileva le vulnerabilità nelle risorse AWS, incluso il software installato sulle istanze Amazon EC2 e nelle immagini Elastic Container Registry (ECR). | |||
| Rilevamento delle minacce e risposta | |||
| Google Cloud Armor.2 Protegge le implementazioni Google Cloud da minacce come attacchi distributed denial-of-service (DDoS), cross-site scripting (XSS) e SQL injection (SQLi). | 1 | 1 | |
| Servizio Azioni sensibili. Rileva quando vengono intraprese azioni nella tua Google Cloud organizzazione, nelle cartelle e nei progetti che potrebbero danneggiare la tua attività se intraprese da un utente malintenzionato. | |||
| Cloud Run Threat Detection (anteprima). Rileva gli attacchi runtime nei container Cloud Run. | |||
| Container Threat Detection. Rileva gli attacchi runtime nelle immagini dei nodi Container-Optimized OS. | |||
| Event Threat Detection. Monitora Cloud Logging e Google Workspace utilizzando l'intelligence per le minacce, il machine learning e altri metodi avanzati per rilevare minacce come malware, mining di criptovalute ed esfiltrazione di dati. | |||
| Virtual Machine Threat Detection. Rileva applicazioni potenzialmente dannose in esecuzione nelle istanze VM. | |||
Google SecOps. Si integra con Security Command Center per aiutarti a rilevare, analizzare e rispondere alle minacce. Google SecOps include:
| |||
| Problemi (Anteprima). Identifica i rischi per la sicurezza più importanti che Security Command Center ha rilevato nei tuoi ambienti cloud. I problemi vengono rilevati utilizzando il red teaming virtuale, insieme ai rilevamenti basati su regole che si basano sul grafico della sicurezza di Security Command Center. | |||
| Mandiant Hunt. Affidati agli esperti Mandiant per una costante ricerca delle minacce per compromettere le attività degli utenti malintenzionati e ridurre l'impatto sulla tua attività. | |||
| Posture e norme | |||
| Autorizzazione binaria.2 Implementa misure di sicurezza della catena di fornitura del software quando sviluppi ed esegui il deployment di applicazioni basate su container. Monitora e limita il deployment delle immagini container. | 1 | 1 | |
| Cyber Insurance Hub.2 Crea un profilo e genera report sulla struttura relativa ai rischi tecnici della tua organizzazione. | 1 | 1 | |
| Policy Controller.2 Consente l'applicazione, anche forzata, dei criteri programmabili per i tuoi cluster Kubernetes. | 1 | 1 | |
Policy Intelligence. Funzionalità aggiuntive per gli utenti di Security Command Center Premium ed Enterprise, tra cui:
| |||
| Postura di sicurezza. Definisci e implementa una security posture per monitorare lo stato di sicurezza delle tue risorse. Google CloudDeriva della postura dell'indirizzo e modifiche non autorizzate alla postura. Nel livello Enterprise, puoi anche monitorare il tuo ambiente AWS. | 1 | ||
| Cloud Infrastructure Entitlement Management (CIEM). Identifica gli account principali (identità) configurati in modo errato o a cui sono concesse autorizzazioni IAM eccessive o sensibili per le tue risorse cloud. | |||
| Gestione dati | |||
| Residenza dei dati | |||
| Controlli della residenza dei dati che limitano l'archiviazione e l'elaborazione di risultati, regole di disattivazione, esportazioni continue ed esportazioni BigQuery di Security Command Center a una delle multiregioni di residenza dei dati supportate da Security Command Center. | 1 | 1 | |
| Esportazione dei risultati | |||
| Esportazioni BigQuery | |||
| Esportazioni continue Pub/Sub | |||
| Esportazioni continue di Cloud Logging | 1 | ||
| Altre caratteristiche | |||
| Convalida di Infrastructure as Code (IaC). Esegui la convalida in base ai criteri dell'organizzazione e ai rilevatori di Security Health Analytics. | 1 | ||
| Eseguire query sugli asset con SQL in Cloud Asset Inventory | |||
| Richiedi una quota maggiore di Cloud Asset Inventory | |||
| Report sui rischi (anteprima). I report sui rischi ti aiutano a comprendere i risultati delle simulazioni del percorso di attacco eseguite da Security Command Center. Un report sui rischi contiene una panoramica di alto livello, esempi di combinazioni tossiche e percorsi di attacco associati. | |||
| Assured Open Source Software. Sfrutta la sicurezza e l'esperienza che Google applica al software open source incorporando gli stessi pacchetti che Google protegge e utilizza nei tuoi workflow per sviluppatori. | |||
| Audit Manager. Una soluzione di audit di conformità che valuta le risorse in base a controlli selezionati di più framework di conformità. Gli utenti di Security Command Center Enterprise hanno accesso al livello Premium di Audit Manager senza costi aggiuntivi. | |||
| Supporto multicloud. Connetti Security Command Center ad altri cloud provider per rilevare minacce, vulnerabilità e configurazioni errate. Valuta i punteggi di esposizione agli attacchi e i percorsi di attacco sulle risorse di alto valore del cloud esterno. Provider cloud supportati: AWS, Azure. | |||
- Richiede un'attivazione a livello di organizzazione.
- Si tratta di un servizio Google Cloud che si integra con le attivazioni a livello di organizzazione di Security Command Center per fornire risultati. Una o più funzionalità di questo servizio potrebbero essere prezzate separatamente da Security Command Center.
- Non attivato per impostazione predefinita. Per ulteriori informazioni e dettagli sui prezzi, contatta il tuo rappresentante di vendita o il tuo partner. Google Cloud
Limiti delle funzionalità di Google Security Operations in Security Command Center Enterprise
Il livello Enterprise di Security Command Center offre funzionalità aggiuntive rispetto ai livelli Standard e Premium, tra cui una selezione di funzionalità di Google Security Operations e la possibilità di importare dati da altri provider cloud. Queste funzionalità rendono Security Command Center una piattaforma di protezione delle applicazioni cloud-native (CNAPP).
| Funzionalità | Limiti |
|---|---|
| Applied Threat Intelligence | Nessun accesso |
| Rilevamenti selezionati | Limitato al rilevamento di minacce cloud su Google Cloud, Microsoft Azure e AWS. |
| Regole personalizzate | 20 regole personalizzate a evento singolo , le regole a più eventi non sono supportate. |
| Conservazione dei dati | 3 mesi |
| Gemini per Google Security Operations | Limitato alla ricerca in linguaggio naturale e ai riepiloghi delle indagini sui casi |
| Gestione degli eventi e delle informazioni di sicurezza (SIEM) di Google SecOps | Solo dati cloud. |
| Orchestrazione, automazione e risposta della sicurezza (SOAR) di Google SecOps | Solo integrazioni di risposte cloud. Per l'elenco delle integrazioni supportate, consulta
Integrazioni di Google Security Operations supportate.
Supporta un ambiente SOAR. |
| Importazione dei log |
Limitato ai log supportati per il rilevamento delle minacce cloud. Per l'elenco, vedi Raccolta dei dati di log supportata in Google SecOps |
| Analisi del rischio | Nessun accesso |
Integrazioni di Google Security Operations supportate
Le sezioni seguenti elencano le integrazioni di Google Security Operations Marketplace supportate da Security Command Center Enterprise. Sono elencati in colonne separate nella tabella seguente.
Integrazioni pacchettizzate e preconfigurate: sono incluse nel caso d'uso SCC Enterprise - Cloud Orchestration and Remediation e sono preconfigurate per supportare i casi d'uso della piattaforma di protezione delle applicazioni cloud-native (CNAPP). Sono disponibili quando attivi Security Command Center Enterprise e aggiorni il caso d'uso Enterprise.
Le configurazioni nel caso d'uso SCC Enterprise - Cloud Orchestration and Remediation includono, ad esempio, playbook dedicati che utilizzano Jira e ServiceNow con la gestione predefinita dei casi di risposta. Le integrazioni sono preconfigurate per supportare tutti i provider cloud supportati da Security Command Center Enterprise.
Integrazioni scaricabili: con Security Command Center Enterprise, puoi scaricare le seguenti integrazioni e utilizzarle in un playbook. Le versioni che scarichi da Google Security Operations Marketplace non sono configurate specificamente per Security Command Center Enterprise e richiedono una configurazione manuale aggiuntiva.
Ogni integrazione è elencata per nome. Per informazioni su un'integrazione specifica, vedi Integrazioni di Google Security Operations Marketplace.
Tipo di richiesta o informazioni |
Integrazioni preconfigurate e in pacchetto |
Integrazioni scaricabili |
|---|---|---|
Google Cloud e integrazioni di Google Workspace |
|
|
Integrazioni di Amazon Web Services |
|
|
Integrazioni di Microsoft Azure e Office 365 |
|
|
Applicazioni correlate alla gestione dei servizi IT (ITSM) |
|
|
Applicazioni relative alle comunicazioni |
|
|
Threat intelligence |
|
|
| * L'integrazione non è inclusa nel caso d'uso SCC Enterprise - Cloud Orchestration and Remediation | ||
Raccolta dei dati di log di Google SecOps supportata
Le sezioni seguenti descrivono il tipo di dati di log che i clienti con Security Command Center Enterprise possono importare direttamente nel tenant Google Security Operations. Questo meccanismo di raccolta dei dati è diverso dal connettore AWS in Security Command Center che raccoglie dati su risorse e configurazione.
Le informazioni sono raggruppate per fornitore di servizi cloud.
- Google Cloud dati di log
- Dati di log di Amazon Web Services
- Dati dei log di Microsoft Azure
Per ogni tipo di log elencato, viene fornita l'etichetta di importazione di Google SecOps, ad esempio GCP_CLOUDAUDIT. Consulta la sezione
Tipi di log supportati e parser predefiniti
per un elenco completo delle etichette di importazione di Google SecOps.
Google Cloud
I seguenti dati Google Cloud possono essere importati in Google SecOps:
- Cloud Audit Logs (
GCP_CLOUDAUDIT) - Cloud Intrusion Detection System (
GCP_IDS) - Cloud Next Generation Firewall (
GCP_NGFW_ENTERPRISE) - Metadati di Cloud Asset Inventory
- Contesto di Sensitive Data Protection
- Log di Model Armor
Devono essere abilitati e indirizzati a Cloud Logging anche:
- Audit log degli accessi ai dati di AlloyDB per PostgreSQL
- Log di Cloud DNS
- Log di Cloud NAT
- Cloud Run
- Audit log di accesso ai dati di Cloud SQL per SQL Server
- Audit log degli accessi ai dati di Cloud SQL per MySQL
- Audit log degli accessi ai dati di Cloud SQL per PostgreSQL
- Compute Engine VM authlogs
- Log del servizio di backend del bilanciatore del carico delle applicazioni esterno
- Audit log generici degli accessi ai dati
- Audit log degli accessi ai dati di Google Kubernetes Engine
- Log di controllo dell'amministratore di Google Workspace
- Audit log di accesso a Google Workspace
- Audit log degli accessi ai dati IAM
- Contesto di Sensitive Data Protection
- Log di Model Armor
- Log AuditD
- Log eventi di Windows
Per informazioni su come raccogliere i log dalle istanze VM Linux e Windows e inviarli a Cloud Logging, consulta Agenti Google Cloud Observability.
La procedura di attivazione di Security Command Center Enterprise configura automaticamente l'importazione dei dati Google Cloud in Google SecOps. Per saperne di più, vedi Attivare il livello Security Command Center Enterprise > Eseguire il provisioning di una nuova istanza.
Per informazioni su come modificare la configurazione dell'importazione dei dati, consulta Importare i dati in Google Security Operations. Google Cloud Google Cloud
Amazon Web Services
In Google SecOps possono essere inseriti i seguenti dati AWS:
- AWS CloudTrail (
AWS_CLOUDTRAIL) - AWS GuardDuty (
GUARDDUTY) - HOST AWS EC2 (
AWS_EC2_HOSTS) - ISTANZE AWS EC2 (
AWS_EC2_INSTANCES) - VPC AWS EC2 (
AWS_EC2_VPCS) - AWS Identity and Access Management (IAM) (
AWS_IAM)
Per informazioni sulla raccolta dei dati dei log AWS e sull'utilizzo dei rilevamenti curati, consulta Connettersi ad AWS per la raccolta dei dati dei log.
Microsoft Azure
I seguenti dati Microsoft possono essere importati in Google SecOps:
- Microsoft Azure Cloud Services (
AZURE_ACTIVITY). Per informazioni su come configurare la raccolta dei dati, consulta Importare i log attività di Microsoft Azure. - Microsoft Entra ID, in precedenza Azure Active Directory (
AZURE_AD). Per informazioni su come configurare la raccolta dei dati, consulta Raccogliere i log di Microsoft Azure AD . - Audit log di Microsoft Entra ID, in precedenza audit log di Azure AD
(
AZURE_AD_AUDIT). Per informazioni su come configurare la raccolta dei dati, consulta Raccogliere i log di Microsoft Azure AD . - Microsoft Defender for Cloud (
MICROSOFT_GRAPH_ALERT). Per informazioni su come configurare la raccolta dei dati, consulta Raccogliere i log degli avvisi dell'API Microsoft Graph.
Per informazioni sulla raccolta dei dati dei log di Azure e sull'utilizzo di rilevamenti curati, vedi Connettersi a Microsoft Azure per la raccolta dei dati dei log.