O Security Command Center é oferecido em três níveis de serviço: Standard, Premium e Enterprise. Cada nível determina os recursos e serviços disponíveis para você no Security Command Center. Confira uma breve descrição de cada edição:
- Padrão. Gerenciamento básico de postura de segurança apenas para Google Cloud . O nível Standard pode ser ativado no nível do projeto ou da organização. Ideal para ambientesGoogle Cloud com requisitos mínimos de segurança.
- Premium. Tudo que o plano Standard oferece, além de gerenciamento de postura de segurança, caminhos de ataque, detecção de ameaças e monitoramento de compliance apenas para Google Cloud . O nível Premium pode ser ativado no nível do projeto ou da organização. Ideal para clientesGoogle Cloud que precisam de faturamento com pagamento por uso.
- Enterprise. Segurança completa do CNAPP multicloud que ajuda a classificar e corrigir os problemas mais críticos. Inclui a maioria dos serviços do Premium. O nível Enterprise só pode ser ativado no nível da organização. Ideal para ajudar a proteger o Google Cloud, a AWS e o Azure.
O nível Standard é oferecido sem custo adicional, enquanto os níveis Premium e Enterprise têm estruturas de preços diferentes. Para mais informações, consulte Preços do Security Command Center.
Para conferir uma lista dos serviços incluídos em cada nível, consulte Comparação de níveis de serviço.
Para conferir os recursos do Google SecOps compatíveis com o nível Enterprise do Security Command Center, consulte Limites de recursos do Google Security Operations no Security Command Center Enterprise.
Comparação de níveis de serviço
| Serviço | Nível de serviço | ||
|---|---|---|---|
| Padrão | Premium | Enterprise | |
| Detecção de vulnerabilidades | |||
| Análise de integridade da segurança | |||
| Verificação gerenciada de avaliação de vulnerabilidades para Google Cloud que detecta automaticamente as vulnerabilidades mais graves e configurações incorretas dos seus recursos de Google Cloud . | |||
| Monitoramento de compliance. Os detectores do Security Health Analytics são mapeados para os controles de comparativos de mercado de segurança comuns, como NIST, HIPAA, PCI-DSS e CIS. | |||
| Suporte a módulos personalizados. Crie seus próprios detectores personalizados do Security Health Analytics. | |||
| Web Security Scanner | |||
| Verificações personalizadas. Programe e execute verificações personalizadas em aplicativos da Web implantados do Compute Engine, do Google Kubernetes Engine ou do App Engine que tenham URLs e endereços IP públicos e não estejam protegidos por firewalls. | |||
| Outros detectores do OWASP Top 10 | |||
| Verificações gerenciadas. Verifique semanalmente os endpoints da Web públicos em busca de vulnerabilidades com verificações configuradas e gerenciadas pelo Security Command Center. | |||
| Equipe vermelha virtual | |||
| A equipe vermelha virtual, realizada com a execução de simulações de caminho de ataque, ajuda a identificar e priorizar descobertas de vulnerabilidade e configurações incorretas, identificando os caminhos que um possível invasor pode seguir para alcançar seus recursos de alto valor. | 1 | ||
| Avaliações de CVE da Mandiant | |||
| As avaliações de CVE são agrupadas por capacidade de exploração e possível impacto. É possível consultar descobertas por ID da CVE. | |||
| Outros serviços de vulnerabilidade | |||
| Detecção de anomalias.2 Identifica anomalias de segurança nos seus projetos e instâncias de máquina virtual (VM), como possíveis credenciais vazadas e mineração de criptomoedas. | 1 | 1 | |
| Descobertas de vulnerabilidade de imagem do contêiner (prévia). Gravar automaticamente as descobertas no Security Command Center das verificações do Artifact Registry que detectam imagens de contêiner vulneráveis implantadas em recursos específicos. | |||
| Descobertas do painel de postura de segurança do GKE (pré-lançamento). Confira descobertas sobre erros de configuração de segurança de cargas de trabalho do Kubernetes, boletins de segurança acionáveis e vulnerabilidades no sistema operacional do contêiner ou em pacotes de linguagens. | |||
| Model Armor. Verificar comandos e respostas de LLMs em busca de riscos de segurança. | |||
| Descoberta da Proteção de Dados Sensíveis.2 Descobre, classifica e ajuda a proteger dados sensíveis. | 1, 3 | 1, 3 | |
| Pontos de estrangulamento. Identifica recursos ou grupos de recursos em que vários caminhos de ataque convergem. | |||
| Notebook Security Scanner (visualização). Detecte e resolva vulnerabilidades em pacotes do Python usados nos notebooks do Colab Enterprise. | |||
| Combinações ruins. Detecta grupos de riscos que, quando ocorrem juntos em um padrão específico, criam um caminho para um ou mais recursos de alto valor que um invasor determinado pode usar para alcançar e comprometer esses recursos. | |||
| Relatórios de vulnerabilidades do VM Manager (pré-lançamento).2 Se você ativar o VM Manager, ele gravará automaticamente as descobertas dos relatórios de vulnerabilidade no Security Command Center. | 1 | ||
| Avaliação de vulnerabilidades para Google Cloud (versão prévia). Ajuda a descobrir vulnerabilidades de software críticas e de alta gravidade nas instâncias de VM do Compute Engine sem instalar agentes. | |||
| Gerenciamento de superfície de ataque da Mandiant. Descobre e analisa seus recursos de Internet em todos os ambientes, enquanto monitora continuamente o ecossistema externo em busca de exposições exploráveis. | 4 | ||
| Avaliação de vulnerabilidades para AWS. Detecta vulnerabilidades em recursos da AWS, incluindo software instalado em instâncias do Amazon EC2 e em imagens do Elastic Container Registry (ECR). | |||
| Detecção e resposta a ameaças | |||
| Google Cloud Armor.2 Protege implantações do Google Cloud contra ameaças como ataques distribuídos de negação de serviço (DDoS), scripting em vários sites (XSS) e injeção de SQL (SQLi). | 1 | 1 | |
| Serviço de ações sensíveis. Detecta quando ações na sua Google Cloud organização, pastas e projetos podem ser prejudiciais à sua empresa se forem realizadas por uma pessoa mal-intencionada. | |||
| Detecção de ameaças do Cloud Run. Detecta ataques de tempo de execução em contêineres do Cloud Run. | |||
| Container Threat Detection. Detecta ataques de tempo de execução em imagens de nós do Container-Optimized OS. | |||
| Event Threat Detection. Monitora o Cloud Logging e o Google Workspace, usando inteligência contra ameaças, machine learning e outros métodos avançados para detectar ameaças como malware, mineração de criptomoedas e exfiltração de dados. | |||
| Detecção de ameaças a máquinas virtuais. Detecta aplicativos potencialmente maliciosos em execução em instâncias de VM. | |||
Google SecOps. Integra-se ao Security Command Center para ajudar você a detectar, investigar e responder a ameaças. O Google SecOps inclui o seguinte:
| |||
| Problemas. Identifica os riscos de segurança mais importantes que o Security Command Center encontrou nos seus ambientes de nuvem. Os problemas são descobertos usando simulação de ataque virtual, além de detecções baseadas em regras que dependem do gráfico de segurança do Security Command Center. | |||
Mandiant Threat Defense. Conte com os especialistas da Mandiant para caçar ameaças continuamente, expondo atividades de invasores e reduzindo o impacto nos negócios. A Mandiant Threat Defense não é ativada por padrão. Para mais informações e detalhes de preços, entre em contato com seu representante de vendas ou parceiro do Google Cloud. | |||
| Posturas e políticas | |||
| Autorização binária.2 Implemente medidas de segurança da cadeia de suprimentos de software ao desenvolver e implantar aplicativos baseados em contêiner. Monitore e limite a implantação de imagens de contêiner. | 1 | 1 | |
| Cyber Insurance Hub.2 Crie perfis e gere relatórios sobre a postura de risco técnico da sua organização. | 1 | 1 | |
| Policy Controller.2 Permite a aplicação de políticas programáveis aos clusters do Kubernetes. | 1 | 1 | |
Policy Intelligence. Outros recursos para usuários do Security Command Center Premium e Enterprise, incluindo:
| |||
| Postura de segurança. Defina e implante uma postura de segurança para monitorar o status de segurança dos seus recursos do Google Cloud. Corrigir o desvio de postura e as mudanças não autorizadas. No nível Enterprise, também é possível monitorar seu ambiente da AWS. | 1 | ||
| Gerenciamento de direitos de infraestrutura em nuvem (CIEM). Identifique contas principais (identidades) mal configuradas ou que receberam permissões excessivas ou sensíveis do IAM para seus recursos na nuvem. | 4 | ||
| Gerente de compliance (Prévia). Defina, implante, monitore e audite frameworks projetados para atender às obrigações de segurança e conformidade do seu ambiente Google Cloud . | |||
| Gerenciamento da postura de segurança de dados (DSPM) (prévia). Avalie, implante e audite estruturas de segurança de dados e controles de nuvem para governar o acesso e o uso de dados sensíveis. | |||
| Gerenciamento de dados | |||
| Residência e criptografia de dados | |||
| Chaves de criptografia gerenciadas pelo cliente (CMEK). Use as chaves do Cloud Key Management Service que você cria para criptografar os dados selecionados do Security Command Center. Por padrão, os dados do Security Command Center são criptografados em repouso com o Google-owned and Google-managed encryption keys. | 1 | 1 | |
| Exportação de descobertas | |||
| Exportações do BigQuery. Exporte as descobertas do Security Command Center para o BigQuery como uma exportação em massa única (prévia) ou ativando as exportações contínuas. | |||
| Exportações contínuas do Pub/Sub | |||
| Exportações contínuas do Cloud Logging | 1 | ||
| Outros recursos | |||
| Validação de infraestrutura como código (IaC). Validar com base nas políticas da organização e nos detectores da Análise de integridade da segurança. | 1 | ||
| Consultar recursos com SQL no Inventário de recursos do Cloud | |||
| Solicitar mais cota do Inventário de recursos do Cloud | |||
| Relatórios de risco (prévia). Os relatórios de risco ajudam você a entender os resultados das simulações de caminho de ataque executadas pelo Security Command Center. Um relatório de risco contém uma visão geral de alto nível, exemplos de combinações tóxicas e caminhos de ataque associados. | 1 | ||
| Proteção de IA (Acesso antecipado). A Proteção de IA ajuda a gerenciar a postura de segurança das suas cargas de trabalho de IA detectando ameaças e reduzindo os riscos ao inventário de recursos de IA. | |||
| Software de código aberto Assured. Aproveite a segurança e a experiência que o Google aplica ao software de código aberto incorporando os mesmos pacotes que o Google protege e usa nos seus próprios fluxos de trabalho de desenvolvimento. | |||
| Gerenciador de auditoria. Uma solução de auditoria de compliance que avalia seus recursos em relação a controles selecionados de vários frameworks de compliance. Os usuários do Security Command Center Enterprise têm acesso ao nível Premium do Audit Manager sem custo extra. | |||
| Suporte a várias nuvens. Conecte o Security Command Center a outros provedores de nuvem para detectar ameaças, vulnerabilidades e erros de configuração. Avalie as pontuações de exposição a ataques e os caminhos de ataque em recursos externos de alto valor na nuvem. Provedores de nuvem aceitos: AWS, Azure. | |||
| Integração com o Snyk. Veja e gerencie os problemas identificados pela Snyk como descobertas de segurança. | |||
- Exige uma ativação no nível da organização.
- É um serviço Google Cloud que se integra às ativações do Security Command Center no nível da organização para fornecer descobertas. Um ou mais recursos desse serviço podem ser cobrados separadamente do Security Command Center.
- Não ativada por padrão. Para mais informações e detalhes sobre preços, entre em contato com seu representante de vendas ou parceiro Google Cloud .
- Não é compatível se os controles de residência de dados estiverem ativados.
Limites de recursos do Google Security Operations no Security Command Center Enterprise
O nível Enterprise do Security Command Center oferece recursos adicionais em comparação com os níveis Standard e Premium, incluindo uma seleção de recursos do Google Security Operations e a capacidade de ingerir dados de outros provedores de nuvem. Esses recursos fazem do Security Command Center uma plataforma de proteção de aplicativos nativos da nuvem (CNAPP).
Os recursos do Google Security Operations no nível Enterprise do Security Command Center têm limites diferentes dos encontrados nos planos do Google Security Operations. Esses limites são descritos na tabela a seguir.
| Recurso | Limites |
|---|---|
| Inteligência aplicada sobre ameaças | Sem acesso |
| Detecções selecionadas | Limitado à detecção de ameaças na nuvem no Google Cloud, no Microsoft Azure e na AWS. |
| Regras personalizadas | 20 regras personalizadas de evento único. Não é possível usar regras de vários eventos. |
| Retenção de dados | 3 meses |
| Gemini para o Google Security Operations | Limitado à pesquisa com linguagem natural e aos resumos de investigação de casos |
| Gerenciamento de eventos e informações de segurança (SIEM) do Google SecOps | Apenas dados da nuvem. |
| Orquestração, automação e resposta de segurança (SOAR) do Google SecOps | Somente integrações de resposta da nuvem. Para conferir a lista de integrações compatíveis, consulte
Integrações do Google Security Operations compatíveis.
Compatível com um ambiente SOAR. |
| Ingestão de registros |
Limitado aos registros compatíveis com a detecção de ameaças na nuvem. Para conferir a lista, consulte Coleta de dados de registros compatível com o Google SecOps |
| Análise de risco | Sem acesso |
Integrações com o Google Security Operations
As seções a seguir listam as integrações do Google Security Operations Marketplace compatíveis com o Security Command Center Enterprise. Eles estão listados em colunas separadas na tabela a seguir.
Integrações empacotadas e pré-configuradas: incluídas no caso de uso SCC Enterprise - Orquestração e correção na nuvem e pré-configuradas para oferecer suporte a casos de uso da plataforma de proteção de aplicativos nativos da nuvem (CNAPP, na sigla em inglês). Eles ficam disponíveis quando você ativa o Security Command Center Enterprise e atualiza o caso de uso do Enterprise.
As configurações no caso de uso SCC Enterprise: orquestração e correção na nuvem incluem, por exemplo, playbooks dedicados que usam o Jira e o ServiceNow com tratamento predefinido de casos de resposta. As integrações são pré-configuradas para oferecer suporte a todos os provedores de nuvem compatíveis com o Security Command Center Enterprise.
Integrações para download: com o Security Command Center Enterprise, é possível baixar as seguintes integrações e usá-las em um playbook. As versões baixadas do Google Security Operations Marketplace não são configuradas especificamente para o Security Command Center Enterprise e exigem configuração manual adicional.
Cada integração é listada por nome. Para informações sobre uma integração específica, consulte Integrações do Google Security Operations Marketplace.
Tipo de solicitação ou informação |
Integrações empacotadas e pré-configuradas |
Integrações para download |
|---|---|---|
Google Cloud e integrações do Google Workspace |
|
|
Integrações do Amazon Web Services |
|
|
Integrações do Microsoft Azure e do Office365 |
|
|
Aplicativos relacionados ao gerenciamento de serviços de TI (ITSM) |
|
|
Aplicativos relacionados à comunicação |
|
|
Inteligência contra ameaças |
|
|
| * A integração não está incluída no caso de uso SCC Enterprise: orquestração e correção na nuvem. | ||
Coleta de dados de registro do Google SecOps compatível
As seções a seguir descrevem o tipo de dados de registro que os clientes com o Security Command Center Enterprise podem ingerir diretamente no locatário do Google Security Operations. Esse mecanismo de coleta de dados é diferente do conector da AWS no Security Command Center , que coleta dados de recursos e configuração.
As informações são agrupadas por provedor de nuvem.
- Dados de registro doGoogle Cloud
- Dados de registros do Amazon Web Services
- Dados de registros do Microsoft Azure
Para cada tipo de registro listado, o rótulo de ingestão do Google SecOps é fornecido, por exemplo, GCP_CLOUDAUDIT. Consulte Tipos de registros e analisadores padrão compatíveis para ver uma lista completa de rótulos de ingestão do Google SecOps.
Google Cloud
Os seguintes dados do Google Cloud podem ser ingeridos no Google SecOps:
- Registros de auditoria do Cloud (
GCP_CLOUDAUDIT) - Sistema de detecção de intrusões do Cloud (
GCP_IDS) - Cloud Next Generation Firewall (
GCP_NGFW_ENTERPRISE) - Metadados do Inventário de recursos do Cloud
- Contexto da Proteção de Dados Sensíveis
- Registros do Model Armor
O seguinte também precisa estar ativado e roteado para o Cloud Logging:
- Registros de auditoria de acesso a dados do AlloyDB para PostgreSQL
- Registros do Cloud DNS
- Registros do Cloud NAT
- Cloud Run
- Registros de auditoria de acesso a dados do Cloud SQL para SQL Server
- Registros de auditoria de acesso a dados do Cloud SQL para MySQL
- Registros de auditoria de acesso a dados do Cloud SQL para PostgreSQL
- Authlogs de VMs do Compute Engine
- Registros de serviço de back-end do balanceador de carga de aplicativo externo
- Registros de auditoria de acesso a dados genéricos
- Registros de auditoria de acesso a dados do Google Kubernetes Engine
- Registros de auditoria do administrador do Google Workspace
- Registros de auditoria de login do Google Workspace
- Registros de auditoria de acesso a dados do IAM
- Contexto da Proteção de Dados Sensíveis
- Registros do Model Armor
- Registros do AuditD
- Registros de eventos do Windows
Para informações sobre como coletar registros de instâncias de VM do Linux e do Windows e enviar para o Cloud Logging, consulte Agentes do Google Cloud Observability.
O processo de ativação do Security Command Center Enterprise configura automaticamente a ingestão de dados de Google Cloud no Google SecOps. Para mais informações, consulte Ativar o nível Enterprise do Security Command Center > Provisionar uma nova instância.
Para informações sobre como modificar a configuração de ingestão de dados Google Cloud , consulte Ingerir dados Google Cloud no Google Security Operations.
Amazon Web Services
Os seguintes dados da AWS podem ser ingeridos no Google SecOps:
- AWS CloudTrail (
AWS_CLOUDTRAIL) - AWS GuardDuty (
GUARDDUTY) - HOSTS DO AWS EC2 (
AWS_EC2_HOSTS) - INSTÂNCIAS DO AWS EC2 (
AWS_EC2_INSTANCES) - VPCs do AWS EC2 (
AWS_EC2_VPCS) - AWS Identity and Access Management (IAM) (
AWS_IAM)
Para informações sobre como coletar dados de registros da AWS e usar detecções selecionadas, consulte Conectar-se à AWS para coleta de dados de registros.
Microsoft Azure
Os seguintes dados da Microsoft podem ser ingeridos no Google SecOps:
- Serviços de nuvem do Microsoft Azure (
AZURE_ACTIVITY). Consulte Ingerir registros de atividades do Microsoft Azure para saber como configurar a coleta de dados. - ID do Microsoft Entra, antes Azure Active Directory (
AZURE_AD). Consulte Coletar registros do Microsoft Azure AD para saber como configurar a coleta de dados. - Registros de auditoria do ID do Microsoft Entra, antes registros de auditoria do Azure AD
(
AZURE_AD_AUDIT). Consulte Coletar registros do Microsoft Azure AD para saber como configurar a coleta de dados. - Microsoft Defender para nuvem (
MICROSOFT_GRAPH_ALERT). Consulte Coletar registros de alerta da API Microsoft Graph para saber como configurar a coleta de dados.
Para informações sobre como coletar dados de registros do Azure e usar detecções selecionadas, consulte Conectar-se ao Microsoft Azure para coleta de dados de registros.