Security Command Center 提供三种服务层级:标准、高级和企业。每个层级决定了您可以在 Security Command Center 中使用哪些功能和服务。以下是对各服务层级的简要说明:
- 标准。仅提供基本安全状况管理 Google Cloud 。您可以在项目级或组织级激活标准层级。最适合Google Cloud 安全要求极低的环境。
- 付费。标准版中的所有功能,以及仅适用于 Google Cloud 的安全状况管理、攻击路径、威胁检测和合规性监控功能。您可以在项目级或组织级激活高级层级。最适合Google Cloud 需要采用随用随付结算方式的客户。
- 企业版。完善的多云 CNAPP 安全保护,可帮助您对最关键的问题进行分类和修复。包含 Premium 中的大多数服务。Enterprise 层级只能在组织级别激活。最适合帮助保护 Google Cloud、AWS 和 Azure。
标准层级无需额外付费,而高级层级和企业层级采用不同的价格结构。如需了解详情,请参阅 Security Command Center 价格。
如需查看每个层级包含的服务列表,请参阅服务层级比较。
如需了解 Security Command Center Enterprise 层级支持的 Google SecOps 功能,请参阅 Security Command Center Enterprise 中的 Google Security Operations 功能限制。
服务层级比较
| 服务 | 服务层级 | ||
|---|---|---|---|
| 标准 | 高级 | 企业 | |
|
漏洞检测 |
|||
| Security Health Analytics | |||
|
Google Cloud 代管式漏洞评估扫描功能 Google Cloud ,可自动检测您的资源中最严重的漏洞和配置错误。 |
|||
| 合规性监控。Security Health Analytics 检测器可映射到 NIST、HIPAA、PCI-DSS 和 CIS 等常见安全基准的控制措施。 | |||
| 自定义模块支持。创建您自己的自定义 Security Health Analytics 检测器。 | |||
| Web Security Scanner | |||
| 自定义扫描。对具有公共网址和 IP 地址且不受防火墙保护的已部署 Compute Engine、Google Kubernetes Engine 或 App Engine Web 应用安排和运行自定义扫描。 | |||
| 其他 OWASP 十大检测器 | |||
| 代管式扫描。每周扫描公共网站端点是否存在漏洞,扫描由 Security Command Center 配置和管理。 | |||
| 虚拟红队测试 | |||
| 虚拟红队演练通过运行 攻击路径模拟来执行,可帮助您识别潜在攻击者可能用来访问高价值资源的路径,从而识别漏洞和配置错误发现结果并确定其优先级。 | 2 | ||
| Mandiant CVE 评估 | |||
| CVE 评估会按可利用性和潜在影响进行分组。您可以按 CVE ID 查询发现结果。 | |||
| 其他漏洞服务 | |||
| 异常值检测1。 识别项目和虚拟机 (VM) 实例的安全异常,例如可能泄露的凭据和加密货币挖矿。 | 2 | 2 | |
| 容器映像漏洞发现结果(预览版)。 自动将 Artifact Registry 扫描结果(用于检测部署到特定资产的易受攻击的容器映像)写入 Security Command Center。 | |||
| GKE 安全状况信息中心发现(预览版)。查看有关 Kubernetes 工作负载安全配置错误、实用安全公告以及容器操作系统或语言包中的漏洞的发现结果。 | |||
| 敏感数据保护1 发现。 发现、分类和保护敏感数据。 | 3 | 3 | |
| 虚拟机管理器1漏洞报告(预览版)。如果您启用虚拟机管理器,则该服务会自动将其漏洞报告中的发现结果写入 Security Command Center。 | 2 | ||
|
通过以下内置和集成服务,扩大了对云环境中软件漏洞和容器的检测范围:
|
|||
|
Mandiant Attack Surface Management。 发现和分析您在各种环境中的互联网资产,同时持续监控外部生态系统是否存在会被利用的漏洞。 |
|||
| 危险组合。 检测一组风险,如果这些风险以特定模式同时出现,就会形成通往您的一个或多个高价值资源的路径,而有决心的攻击者可能会利用这些路径来访问和破坏这些资源。 | |||
|
威胁检测与响应 |
|||
| Google Cloud Armor1。 Google Cloud 保护部署免受分布式拒绝服务 (DDoS) 攻击、跨站脚本攻击 (XSS) 和 SQL 注入 (SQLi) 等威胁。 | 2 | 2 | |
| Sensitive Actions Service。检测何时在您的 Google Cloud 组织、文件夹和项目中执行了可能会损害业务的操作(如果这些操作是由恶意操作者执行的)。 | |||
|
容器威胁检测。检测 Container-Optimized OS 节点映像中的运行时攻击。 |
|||
|
Cloud Run 威胁检测。检测 Cloud Run 容器中的运行时攻击。(预览版) |
|||
| 事件威胁检测。使用威胁情报、机器学习和其他高级方法监控 Cloud Logging 和 Google Workspace,以检测威胁(例如恶意软件、加密货币挖矿和数据渗漏)。 | |||
| 虚拟机威胁检测。检测在虚拟机实例中运行的潜在恶意应用。 | |||
| Google SecOps 安全信息和事件管理 (SIEM)。扫描日志和其他数据,在多个云环境中查找威胁,定义威胁检测规则,以及搜索累积的数据。 另请参阅 Security Command Center Enterprise 中的 Google Security Operations 功能限制。 | |||
| Google SecOps 安全编排、自动化和响应 (SOAR)。管理支持请求、定义响应工作流程,以及搜索响应数据。 另请参阅 Security Command Center Enterprise 中的 Google Security Operations 功能限制。 | |||
| Mandiant Hunt。 依靠 Mandiant 专家来提供持续的威胁搜寻,发觉攻击者活动并减少对业务的影响。 | 3 | ||
|
折叠状态和政策 |
|||
| 二进制授权1。 在开发和部署基于容器的应用时实施软件供应链安全措施。监控和限制容器映像的部署。 | 2 | 2 | |
| 政策控制器1。 支持为 Kubernetes 集群应用并强制执行可编程政策。 | 2 | 2 | |
| 网络保险中心1。 分析组织的技术风险状况并生成报告。 | 2 | 2 | |
|
Policy Intelligence。 面向 Security Command Center 高级版和企业版用户的其他功能,包括:
|
|||
| 安全状况。定义并部署安全状况,以监控资源的安全状态。 Google Cloud 解决了状态漂移和未经授权的状态更改问题。在企业版层级,您还可以 监控 AWS 环境。 | 2 | ||
| Cloud Infrastructure Entitlement Management (CIEM)。找出配置错误或被授予对您的云资源过多或敏感 IAM 权限的主账号(身份)。 | |||
|
数据管理 |
|||
| 数据驻留 | |||
| 数据驻留控制功能,用于限制将 Security Command Center 发现结果、静默规则、持续导出和 BigQuery 导出的数据存储和处理到 Security Command Center 支持的某个数据驻留多区域。 | 2 | 2 | |
| 导出发现结果 | |||
| BigQuery Export | |||
| Pub/Sub 持续导出 | |||
|
其他功能 |
|||
|
基础架构即代码 (IaC) 验证。对照组织政策和 Security Health Analytics 检测器进行验证。 |
2 | ||
|
有保障的开源软件。 将 Google 保护和使用的相同软件包纳入您自己的开发者工作流中,获享 Google 为开源软件提供的安全性和体验。 |
|||
|
审核经理。一款合规性审核解决方案,可根据多个合规性框架中的特定控制项评估您的资源。 Security Command Center 企业版用户无需额外付费即可使用 Audit Manager 的高级层级。 |
|||
|
多云支持。将 Security Command Center 与其他云服务提供商关联,以检测威胁、漏洞和错误配置。评估外部云高价值资源的攻击风险得分和攻击路径。 支持的云服务提供商:AWS、Azure。 |
|||
- 这 Google Cloud 是一项服务,可与 Security Command Center 的组织级层激活集成,以提供发现结果。此服务的一个或多个功能的价格可能与 Security Command Center 的价格分开计算。
- 需要对标准层级和高级层级进行组织级激活。
- 默认处于未启用状态。如需了解详情和价格信息,请与您的销售代表或 Google Cloud 合作伙伴联系。
Security Command Center Enterprise 中的 Google Security Operations 功能限制
与标准版和专业版相比,Security Command Center 企业版提供额外功能,包括部分 Google 安全运营功能,以及从其他云服务提供商提取数据的功能。这些功能使 Security Command Center 成为一个完整的云原生应用保护平台 (CNAPP),可在 Security Operations 控制台中使用。
Security Command Center Enterprise 层级中的 Google Security Operations 功能的限制与 Google Security Operations 方案中的限制不同。下表介绍了这些限制。
| 功能 | 限制 |
|---|---|
| 实用威胁情报 | 无访问权限 |
| 精选检测 | 仅限于检测 云端威胁,包括 Google Cloud 和 AWS |
| 自定义规则 | 20 条自定义单事件 规则,不支持多事件规则。 |
| 数据保留 | 3 个月 |
| Gemini for Google Security Operations | 仅限自然语言搜索和支持请求调查摘要 |
| Google SecOps 安全信息和事件管理 (SIEM) | 仅限云端数据。 |
| Google SecOps 安全编排、自动化和响应 (SOAR) | 仅限云响应集成。如需查看受支持的集成列表,请参阅 支持的 Google 安全运营集成 |
| 日志提取 |
仅限云威胁检测支持的日志。 如需查看该列表,请参阅 Google SecOps 中支持的日志数据收集 |
| 风险分析 | 无访问权限 |
支持的 Google Security Operations 集成
以下部分列出了 Security Command Center 企业版支持的 Google Security Operations Marketplace 集成。下表中分别列出了这些值。
打包的预配置集成:包含在 SCC 企业版 - 云端编排和修复使用情形中,并预配置为支持云原生应用保护平台 (CNAPP) 使用情形。当您激活 Security Command Center Enterprise 并更新企业用例后,即可使用这些功能。
例如,SCC Enterprise - Cloud Orchestration and Remediation 用例中的配置包括使用 Jira 和 ServiceNow 的专用 Playbook,以及预定义的响应支持请求处理方式。这些集成已预配置为支持 Security Command Center Enterprise 支持的所有云服务提供商。
可下载的集成:借助 Security Command Center Enterprise,您可以下载以下集成,并在 Playbook 中使用它们。您从 Google 安全运营市场下载的版本并未专门针对 Security Command Center 企业版进行配置,因此需要进行额外的手动配置。
每个集成都按名称列出。如需了解特定集成,请参阅 Google 安全运营 Marketplace 集成。
应用或信息的类型 |
打包的预配置集成 |
可下载的集成 |
|---|---|---|
Google Cloud 和 Google Workspace 集成 |
|
|
Amazon Web Services 集成 |
|
|
Microsoft Azure 和 Office365 集成 |
|
|
IT 服务管理 (ITSM) 相关应用 |
|
|
与通信相关的应用 |
|
|
威胁情报 |
|
|
| * 集成未包含在 SCC Enterprise - Cloud Orchestration and Remediation 使用情形中 | ||
支持的 Google SecOps 日志数据收集
以下部分介绍了使用 Security Command Center Enterprise 的客户可以直接提取到 Google 安全运营租户的日志数据类型。此数据收集机制不同于用于收集资源和配置数据的 Security Command Center 中的 AWS 连接器 。
这些信息按云服务提供商进行分组。
- Google Cloud 日志数据
- Amazon Web Services 日志数据
- Microsoft Azure 日志数据
对于所列的每种日志类型,都提供了 Google SecOps 提取标签,例如 GCP_CLOUDAUDIT。如需查看 Google SecOps 提取标签的完整列表,请参阅支持的日志类型和默认解析器。
Google Cloud
以下 Google Cloud 数据可以提取到 Google SecOps:
- Cloud Audit Logs (
GCP_CLOUDAUDIT) - Cloud Intrusion Detection System (
GCP_IDS) - Cloud 新一代防火墙 (
GCP_NGFW_ENTERPRISE) - Cloud Asset Inventory 元数据
- “敏感数据保护”情境
- Model Armor 日志
您还必须启用以下功能并将其路由到 Cloud Logging:
- AlloyDB for PostgreSQL 数据访问审核日志
- Cloud DNS 日志
- Cloud NAT 日志
- Cloud Run
- Cloud SQL for SQL Server 数据访问审核日志
- Cloud SQL for MySQL 数据访问审核日志
- Cloud SQL for PostgreSQL 数据访问审核日志
- Compute Engine 虚拟机 authlog
- 外部应用负载均衡器后端服务日志
- 通用数据访问审核日志
- Google Kubernetes Engine 数据访问审核日志
- Google Workspace 管理员审核日志
- Google Workspace 登录审核日志
- IAM 数据访问审核日志
- 敏感数据保护情境
- Model Armor 日志
- AuditD 日志
- Windows 事件日志
如需了解如何从 Linux 和 Windows VM 实例收集日志并将其发送到 Cloud Logging,请参阅 Google Cloud Observability 代理。
Security Command Center Enterprise 激活流程会自动配置将 Google Cloud 数据提取到 Google SecOps 的操作。如需详细了解,请依次点击激活 Security Command Center Enterprise 层级 > 预配新实例。
如需了解如何修改 Google Cloud 数据提取配置,请参阅将数据提取到 Google Security Operations。 Google Cloud
Amazon Web Services
以下 AWS 数据可以提取到 Google SecOps:
- AWS CloudTrail (
AWS_CLOUDTRAIL) - AWS GuardDuty (
GUARDDUTY) - AWS EC2 主机 (
AWS_EC2_HOSTS) - AWS EC2 实例 (
AWS_EC2_INSTANCES) - AWS EC2 VPC (
AWS_EC2_VPCS) - AWS Identity and Access Management (IAM) (
AWS_IAM)
如需了解如何收集 AWS 日志数据和使用精选检测功能,请参阅连接到 AWS 以收集日志数据。
Microsoft Azure
以下 Microsoft 数据可以提取到 Google SecOps:
- Microsoft Azure 云服务 (
AZURE_ACTIVITY)。如需了解如何设置数据收集,请参阅提取 Microsoft Azure 活动日志。 - Microsoft Entra ID(以前称为 Azure Active Directory [
AZURE_AD])。如需了解如何设置数据收集,请参阅收集 Microsoft Azure AD 日志 。 - Microsoft Entra ID 审核日志,以前称为 Azure AD 审核日志 (
AZURE_AD_AUDIT)。如需了解如何设置数据收集,请参阅收集 Microsoft Azure AD 日志 。 - Microsoft Defender for Cloud (
MICROSOFT_GRAPH_ALERT)。如需了解如何设置数据收集,请参阅收集 Microsoft Graph API 提醒日志。
如需了解如何收集 Azure 日志数据和使用精选检测功能,请参阅连接到 Microsoft Azure 以收集日志数据。