Security Command Center 服务层级

Security Command Center 提供三种服务层级:标准、高级和 Enterprise。每个层级决定了您可以在 Security Command Center 中使用哪些功能和服务。以下是每种服务层级的简短说明:

  • 标准。仅适用于 Google Cloud 的基本安全状况管理。标准层级可以在项目级或组织级激活。最适合具有最低安全要求的Google Cloud 环境。
  • 高级。包含标准层级中的所有功能,以及仅适用于 Google Cloud 的安全状况管理、攻击路径、威胁检测和合规性监控。高级层级可以在项目级或组织级激活。最适合需要随用随付结算的Google Cloud 客户。
  • 企业级。完善的多云 CNAPP 安全保护,可帮助您对最严重的问题进行分类和修复。包含高级层级中的大多数服务。Enterprise 层级只能在组织级激活。最适合帮助保护 Google Cloud、AWS 和 Azure。

标准层级无需额外付费,而高级层级和 Enterprise 层级具有不同的价格结构。如需了解详情,请参阅 Security Command Center 价格

如需查看每个层级包含的服务列表,请参阅服务层级比较

如需了解 Security Command Center Enterprise 层级支持的 Google SecOps 功能,请参阅 Security Command Center Enterprise 中的 Google Security Operations 功能限制

服务层级比较

服务 服务层级
标准 高级 企业
漏洞检测
Security Health Analytics
适用于 Google Cloud 的托管式漏洞评估扫描,可以自动检测 Google Cloud 资产中严重程度最高的漏洞和配置错误。
合规性监控。 Security Health Analytics 检测器会映射到常见安全基准的控件,例如 NIST、HIPAA、PCI-DSS 和 CIS。
自定义模块支持。 创建您自己的自定义 Security Health Analytics 检测器。
Web Security Scanner
自定义扫描。 对已部署的 Compute Engine、Google Kubernetes Engine 或 App Engine Web 应用(具有公共网址和 IP 地址且不受防火墙保护)安排和运行自定义扫描。
其他 OWASP 十大风险检测器
托管式扫描。 每周扫描公共 Web 端点是否存在漏洞,扫描由 Security Command Center 配置和管理。
虚拟红队测试
通过运行攻击路径模拟执行的虚拟红队测试,可帮助您通过识别潜在攻击者可能用来访问高价值资源的路径,来识别漏洞和配置错误发现结果并确定其优先级。 1
Mandiant CVE 评估
CVE 评估按可利用性和潜在影响分组。您可以按 CVE ID 查询发现结果。
其他漏洞服务
异常值检测2 可识别项目和虚拟机 (VM) 实例的安全异常,例如可能泄露的凭证和加密货币挖矿。 11
容器映像漏洞发现结果预览版)。 自动将 Artifact Registry 扫描发现的发现结果写入 Security Command Center,这些发现结果检测到部署到特定资产的易受攻击的容器映像。
GKE 安全状况信息中心发现结果预览版)。 查看有关 Kubernetes 工作负载安全配置错误、实用安全公告以及容器操作系统或语言软件包中的漏洞的发现结果。
Sensitive Data Protection2 发现、分类和帮助保护敏感数据。 1313
关卡预览版)。 用于标识多个攻击路径汇聚的资源或资源组。
恶意组合。 检测一组风险,如果这些风险以特定模式同时出现,就会形成通往一个或多个高价值资源的路径,而有意攻击者可能会利用这些路径来访问和入侵这些资源。
虚拟机管理器漏洞报告(预览版)。2 如果您启用虚拟机管理器,它会自动将其漏洞报告中的发现结果写入 Security Command Center。 1
Google Cloud漏洞评估预览版)。 可帮助您发现 Compute Engine 虚拟机实例中的“严重”和“高”严重程度的软件漏洞,而无需安装代理。
Mandiant Attack Surface Management。 发现并分析您在各个环境中的互联网资产,同时持续监控外部生态系统是否存在会被利用的漏洞。
AWS 漏洞评估。 检测 AWS 资源中的漏洞,包括安装在 Amazon EC2 实例上以及 Elastic Container Registry (ECR) 映像中的软件。
威胁检测与响应
Google Cloud Armor2 保护 Google Cloud 部署免受分布式拒绝服务 (DDoS) 攻击、跨站脚本攻击 (XSS) 和 SQL 注入 (SQLi) 等威胁。 11
敏感操作服务。 检测何时在 Google Cloud 组织、文件夹和项目中执行了可能会损害业务的操作(如果这些操作是由恶意方执行的)。
Cloud Run Threat Detection预览版)。 检测 Cloud Run 容器中的运行时攻击。
Container Threat Detection。 检测 Container-Optimized OS 节点映像中的运行时攻击。
Event Threat Detection。使用威胁情报、机器学习和其他高级方法监控 Cloud Logging 和 Google Workspace,以检测威胁,例如恶意软件、加密货币挖矿和数据渗漏。
Virtual Machine Threat Detection。检测在虚拟机实例中运行的潜在恶意应用。

Google SecOps。 与 Security Command Center 集成,以帮助您检测、调查和应对威胁。 Google SecOps 包含以下内容:

问题预览版)。 用于标识 Security Command Center 在您的云环境中发现的最重要的安全风险。问题是通过虚拟红队测试以及基于规则的检测(依赖于 Security Command Center 安全图)发现的。
Mandiant Hunt。 依靠 Mandiant 专家来提供持续的威胁搜寻,以发现攻击者活动并减少对您业务的影响。
状况和政策
Binary Authorization2 在开发和部署基于容器的应用时实施软件供应链安全措施。监控和限制容器映像的部署。 11
网络保险中心2 针对贵组织的技术风险状况进行分析并生成报告。 11
Policy Controller2持为 Kubernetes 集群应用并强制执行可编程政策。 11

Policy Intelligence。 面向 Security Command Center 高级和 Enterprise 用户的其他功能,包括:

  • 高级 IAM 建议。包含的 Recommender 功能如下:

    • 非基本角色的建议。
    • 针对组织、文件夹和项目以外的资源授予的角色的建议。例如,针对 Cloud Storage 存储桶授予的角色的建议。
    • 建议自定义角色的建议。
    • 政策分析洞见。
    • 横向移动分析洞见。
  • 大规模使用 Policy Analyzer(每个组织每天超过 20 个查询)。所有 Policy Analyzer 工具都有此限制。
  • 组织政策分析的可视化图表
安全状况。 定义和部署安全状况,以监控 Google Cloud资源的安全状态。解决状况偏移和未经授权的状况更改问题。在 Enterprise 层级,您还可以监控 AWS 环境1
云基础设施授权管理 (CIEM)。 识别配置错误或向云资源授予过多或敏感的 IAM 权限的主账号(身份)。
数据管理
数据驻留
数据驻留控制功能,用于限制将 Security Command Center 发现结果、忽略规则、持续导出和 BigQuery 导出存储和处理到 Security Command Center 支持的其中一个数据驻留多区域。 11
发现结果导出
BigQuery 导出
Pub/Sub 持续导出
Cloud Logging 持续导出1
其他功能
基础设施即代码 (IaC) 验证。 根据组织政策和 Security Health Analytics 检测器进行验证。 1
在 Cloud Asset Inventory 中使用 SQL 查询资产
请求更多 Cloud Asset Inventory 配额
风险报告预览版)。 风险报告可帮助您了解 Security Command Center 运行的攻击路径模拟的结果。风险报告包含高级概览、恶意组合示例和关联的攻击路径。
有保障的开源软件。 通过将 Google 保护和使用的相同软件包纳入您自己的开发者工作流中,充分利用 Google 应用于开源软件的安全性和经验。
Audit Manager。 合规性审核解决方案,可根据多个合规性框架中的选定控件评估您的资源。Security Command Center Enterprise 用户可以免费使用 Audit Manager 的高级层级
多云支持。 将 Security Command Center 连接到其他云服务提供商,以检测威胁、漏洞和配置错误。评估外部云高价值资源的攻击风险得分和攻击路径。支持的云服务提供商:AWS、Azure。

  1. 需要在组织级激活。
  2. 这是一种 Google Cloud 服务,可与 Security Command Center 的组织级激活集成以提供发现结果。此服务的一个或多个功能可能与 Security Command Center 分开定价。
  3. 默认情况下未激活。如需了解详情和价格详情,请联系您的销售代表或 Google Cloud 合作伙伴。

Security Command Center Enterprise 中的 Google Security Operations 功能限制

与标准层级和高级层级相比,Security Command Center Enterprise 层级提供了其他功能,包括一组选定 Google Security Operations 功能,以及从其他云服务提供商提取数据的功能。这些功能使 Security Command Center 成为云原生应用保护平台 (CNAPP)。

Security Command Center Enterprise 层级中的 Google Security Operations 功能的限制与 Google Security Operations 方案中的限制不同。下表介绍了这些限制。

功能 限制
实用威胁情报 无访问权限
精选检测 仅限于检测 Google Cloud、Microsoft Azure 和 AWS 上的云威胁
自定义规则 20 个自定义单事件规则,不支持多事件规则。
数据保留 3 个月
Gemini for Google Security Operations 仅限于自然语言搜索和案例调查摘要
Google SecOps 安全信息和事件管理 (SIEM) 仅限云端数据。
Google SecOps 安全编排、自动化和响应 (SOAR) 仅限云响应集成。如需查看支持的集成列表,请参阅支持的 Google Security Operations 集成

支持一个 SOAR 环境
日志提取

仅限于云威胁检测支持的日志。 如需查看列表,请参阅 Google SecOps 中支持的日志数据收集

风险分析 无访问权限

支持的 Google Security Operations 集成

以下部分列出了 Security Command Center Enterprise 支持的 Google Security Operations Marketplace 集成。它们在下表的单独列中列出。

  • 打包和预配置的集成:包含在 SCC Enterprise - 云端编排和修复应用场景中,并预配置为支持云原生应用保护平台 (CNAPP) 应用场景。您在激活 Security Command Center Enterprise更新 Enterprise 应用场景后,即可使用这些功能。

    例如,SCC Enterprise - 云端编排和修复应用场景中的配置包括使用 Jira 和 ServiceNow 的专用 playbook,以及预定义的响应支持请求处理方式。这些集成已预先配置为支持 Security Command Center Enterprise 支持的所有云服务提供商。

  • 可下载的集成:借助 Security Command Center Enterprise,您可以下载以下集成并在 playbook 中使用它们。您从 Google Security Operations Marketplace 下载的版本并未专门针对 Security Command Center Enterprise 进行配置,需要进行额外的人工配置。

每个集成都按名称列出。如需了解特定集成,请参阅 Google Security Operations Marketplace 集成

应用或信息的类型

打包和预配置的集成

可下载的集成

Google Cloud 和 Google Workspace 集成
  • AppSheet
  • Google 提醒中心
  • Google BigQuery
  • Google Chat
  • Google Chronicle
  • Google Cloud Asset Inventory
  • Google Cloud Compute
  • Google Cloud IAM
  • Google Cloud Policy Intelligence
  • Google Cloud Recommender
  • Google Cloud Storage
  • Google Kubernetes Engine
  • Google Rapid Response (GRR)
  • Google Security Command Center
  • Google 翻译
  • GSuite
  • SCC Enterprise
  • AppSheet
  • Google 提醒中心
  • Google BigQuery
  • Google Chat
  • Google Chronicle
  • Google Cloud Asset Inventory
  • Google Cloud Compute
  • Google Cloud IAM
  • Google Cloud Policy Intelligence
  • Google Cloud Recommender
  • Google Cloud Storage
  • Google Kubernetes Engine
  • Google Rapid Response (GRR)
  • Google Security Command Center
  • Google 翻译
  • GSuite
  • SCC Enterprise

Amazon Web Services 集成
  • AWS CloudTrail
  • AWS CloudWatch
  • AWS Elastic Compute Cloud (EC2)
  • AWS GuardDuty
  • AWS Identity and Access Management (IAM)
  • AWS IAM Access Analyzer
  • AWS S3
  • AWS Security Hub
  • AWS WAF
  • AWS CloudTrail
  • AWS CloudWatch
  • AWS Elastic Compute Cloud (EC2)
  • AWS GuardDuty
  • AWS Identity and Access Management (IAM)
  • AWS IAM Access Analyzer
  • Amazon Macie*
  • AWS S3
  • AWS Security Hub
  • AWS WAF

Microsoft Azure 和 Office365 集成
  • Azure Active Directory
  • Azure AD 身份保护
  • Azure 安全中心
  • Microsoft Graph 邮件
  • Microsoft Teams
  • Azure Active Directory
  • Azure AD 身份保护
  • Azure 安全中心
  • Microsoft Graph 邮件
  • Microsoft Teams

与 IT 服务管理 (ITSM) 相关的应用
  • BMC Helix Remedyforce
  • BMC Remedy ITSM
  • CA Service Desk Manager
  • Easy Vista
  • Freshworks Freshservice
  • Jira
  • Micro Focus ITSMA
  • Service Desk Plus V3
  • ServiceNow
  • SysAid
  • Zendesk
  • Zoho Desk
  • BMC Helix Remedyforce
  • BMC Remedy ITSM
  • CA Service Desk Manager
  • Easy Vista
  • Freshworks Freshservice
  • Jira
  • Micro Focus ITSMA
  • Service Desk Plus V3
  • ServiceNow
  • SysAid
  • Zendesk
  • Zoho Desk

与通信相关的应用
  • 邮件 V2
  • 交换
  • Google Chat
  • Microsoft Graph 邮件
  • Microsoft Teams
  • Slack
  • 邮件 V2
  • 交换
  • Google Chat
  • Microsoft Graph 邮件
  • Microsoft Teams
  • Slack

威胁情报
  • Mandiant Threat Intelligence
  • Mitre Att&ck
  • VirusTotalV3
  • Mandiant Threat Intelligence
  • Mitre Att&ck
  • VirusTotalV3
* 集成未打包在 SCC Enterprise - 云端编排和修复应用场景中

支持的 Google SecOps 日志数据收集

以下部分介绍了 Security Command Center Enterprise 客户可以直接注入到 Google Security Operations 租户的日志数据类型。此数据收集机制与用于收集资源和配置数据的 Security Command Center 中的 AWS 连接器不同。

这些信息按云服务提供商分组。

  • Google Cloud 日志数据
  • Amazon Web Services 日志数据
  • Microsoft Azure 日志数据

对于列出的每种日志类型,都会提供 Google SecOps 注入标签,例如 GCP_CLOUDAUDIT。如需查看 Google SecOps 注入标签的完整列表,请参阅支持的日志类型和默认解析器

Google Cloud

以下 Google Cloud 数据可注入到 Google SecOps:

还必须启用以下项并将其路由到 Cloud Logging:

如需了解如何从 Linux 和 Windows 虚拟机实例收集日志并将其发送到 Cloud Logging,请参阅 Google Cloud Observability 代理

Security Command Center Enterprise 激活过程会自动将 Google Cloud 数据注入到 Google SecOps。 如需了解详情,请参阅“激活 Security Command Center Enterprise 层级” > 配置新实例

如需了解如何修改 Google Cloud 数据注入配置,请参阅将 Google Cloud 数据注入到 Google Security Operations

Amazon Web Services

以下 AWS 数据可注入到 Google SecOps:

  • AWS CloudTrail (AWS_CLOUDTRAIL)
  • AWS GuardDuty (GUARDDUTY)
  • AWS EC2 HOSTS (AWS_EC2_HOSTS)
  • AWS EC2 实例 (AWS_EC2_INSTANCES)
  • AWS EC2 VPC (AWS_EC2_VPCS)
  • AWS Identity and Access Management (IAM) (AWS_IAM)

如需了解如何收集 AWS 日志数据和使用精选检测,请参阅连接到 AWS 以收集日志数据

Microsoft Azure

以下 Microsoft 数据可以注入到 Google SecOps:

如需了解如何收集 Azure 日志数据和使用精选检测,请参阅连接到 Microsoft Azure 以收集日志数据