本頁面由 Cloud Translation API 翻譯而成。

Security Command Center 服務方案

Security Command Center 提供三種服務級別：Standard、Premium 和 Enterprise。每個層級都會決定您在 Security Command Center 中可使用的功能和服務。以下是各服務層級的簡短說明：

Standard：僅適用於 Google Cloud 的基本安全防護措施管理。您可以在專案或機構層級啟用「標準」層級。最適合Google Cloud 安全性需求較低的環境。
進階。包含標準版的所有功能，外加安全狀態管理、攻擊路徑、威脅偵測和法規遵循監控 (僅限 Google Cloud )。您可以在專案或機構層級啟用 Premium 方案。適合需要即付即用計費方式的客戶。Google Cloud
Enterprise。完整的多雲端 CNAPP 安全防護，協助您分類及解決最重大的問題。包含 Premium 方案的大部分服務。Enterprise 級別只能在機構層級啟用。最適合用來保護 Google Cloud、AWS 和 Azure。

Standard 級別不另外收費，而 Premium 和 Enterprise 級別則有不同的定價結構。詳情請參閱「Security Command Center 定價」。

如要查看各層級包含的服務清單，請參閱服務層級比較。

如要瞭解 Security Command Center Enterprise 層級支援的 Google SecOps 功能，請參閱「Security Command Center Enterprise 中的 Google Security Operations 功能限制」。

服務層級比較

服務	服務級別
服務	標準	進階	Enterprise
安全漏洞偵測
Security Health Analytics
受管理的安全漏洞評估掃描，可自動偵測資產是否有最高嚴重性等級的安全漏洞和錯誤設定。 Google Cloud Google Cloud
法規遵循情形監控功能。安全性狀態分析偵測器會對應至常見安全性基準的控管措施，例如 NIST、HIPAA、PCI-DSS 和 CIS。
自訂模組支援。建立自己的自訂 Security Health Analytics 偵測工具。
Web Security Scanner
自訂掃描。針對已部署的 Compute Engine、Google Kubernetes Engine 或 App Engine 網頁應用程式 (具備公開網址和 IP 位址，且不受防火牆保護)，排定及執行自訂掃描。
其他 OWASP 前十大偵測工具
受管理掃描。每週掃描公開網頁端點，找出安全漏洞，掃描作業由 Security Command Center 設定及管理。
虛擬紅隊演練
執行攻擊路徑模擬的虛擬紅隊演練，可找出潛在攻擊者在存取高價值資源時可能採取的路徑，協助您判斷安全漏洞和設定錯誤發現項目的優先順序。		¹
Mandiant CVE 評估
CVE 評估結果會依可利用性和潛在影響分組。您可以依 CVE ID 查詢發現項目。
其他安全漏洞服務
異常偵測。² 識別專案和虛擬機器 (VM) 執行個體的安全性異常狀況，例如憑證可能遭到外洩或出現加密貨幣挖礦行為等現象。	¹	¹
容器映像檔安全漏洞發現結果 (預覽版)。從 Artifact Registry 掃描作業中，自動將發現項目寫入 Security Command Center，偵測部署至特定資產的易受攻擊容器映像檔。
GKE 安全防護機制資訊主頁的發現項目 (預覽版)。查看 Kubernetes 工作負載安全設定錯誤、可採取行動的安全公告，以及容器作業系統或語言套件中的安全漏洞。
Sensitive Data Protection 探索功能。² 探索、分類及保護機密資料。	^1、3	^1、3
瓶頸 (預覽)。識別多條攻擊路徑匯聚的資源或資源群組。
有害組合。偵測風險群組，當這些風險以特定模式同時發生時，就會形成通往一或多個高價值資源的路徑，而有心人士可能會利用這些路徑存取及入侵資源。
VM 管理員安全漏洞報告 (預先發布版)。² 如果您啟用 VM 管理員，這項服務會自動透過安全漏洞報告將發現項目寫入 Security Command Center。		¹
「 Google Cloud」的安全漏洞評估 (預先發布版)。協助您在 Compute Engine VM 執行個體中找出重大和高嚴重程度的軟體安全漏洞，不必安裝代理程式。
Mandiant Attack Surface Management。探索及分析環境中的網際網路資產，同時持續監控外部生態系統，檢查是否有可能遭人利用的漏洞。
AWS 安全漏洞評估。偵測 AWS 資源中的安全漏洞，包括安裝在 Amazon EC2 執行個體和 Elastic Container Registry (ECR) 映像檔中的軟體。
威脅偵測與應變
Google Cloud Armor。² 防範分散式阻斷服務 (DDoS) 攻擊、跨網站指令碼 (XSS) 和 SQL 植入 (SQLi) 等威脅，保護部署項目安全。 Google Cloud	¹	¹
敏感動作服務。偵測在貴機構、資料夾和專案中執行的動作，如果這些動作是由惡意行為者執行，可能會對貴商家造成損害。 Google Cloud
Cloud Run 威脅偵測 (預先發布版)。偵測 Cloud Run 容器中的執行階段攻擊。
Container Threat Detection。偵測 Container-Optimized OS 節點映像檔中的執行階段攻擊。
Event Threat Detection。監控 Cloud Logging 和 Google Workspace，運用威脅情報、機器學習和其他進階方法，偵測惡意軟體、加密貨幣挖礦和資料竊取等威脅。
Virtual Machine Threat Detection。偵測在 VM 執行個體中執行的潛在惡意應用程式。
Google SecOps。與 Security Command Center 整合，協助您偵測、調查及因應威脅。Google SecOps 包含下列項目： Google SecOps 安全資訊與事件管理 (SIEM)。掃描多個雲端環境中的記錄檔和其他資料，找出威脅、定義威脅偵測規則，以及搜尋累積的資料。 Google SecOps 安全性自動化調度管理和應變 (SOAR)。管理案件、定義應變工作流程，以及搜尋應變資料。
問題 (預覽)。找出 Security Command Center 在雲端環境中發現的最重要安全性風險。系統會使用虛擬紅隊演練和規則式偵測功能，根據 Security Command Center 安全性圖表找出問題。
Mandiant Hunt。 Mandiant 專家會持續搜尋威脅，揭露攻擊者活動，減少對業務的影響。
立場與政策
二進位授權。² 開發及部署以容器為基礎的應用程式時，請實作軟體供應鏈安全措施。監控及限制容器映像檔的部署作業。	¹	¹
Cyber Insurance Hub。² 為貴機構的技術風險狀況建立設定檔並產生報告。	¹	¹
Policy Controller² 可對 Kubernetes 叢集套用並強制執行可設定的政策。	¹	¹
Policy Intelligence。 Security Command Center 進階版和 Enterprise 版使用者可享有其他功能，包括：進階 IAM 建議。內含的 Recommender 功能如下：非基本角色的建議。針對機構、資料夾和專案以外的資源授予角色時，系統會提供建議。舉例來說，系統會針對 Cloud Storage 值區授予的角色提供建議。建議自訂角色的建議。政策深入分析。橫向移動深入分析。大規模使用政策分析工具 (機構每日查詢次數超過 20 次)。這項限制適用於所有 Policy Analyzer 工具。機構政策分析的視覺化效果。
安全防護機制。定義及部署安全防護機制，監控資源的安全狀態。 Google Cloud 地址姿勢偏移，以及未經授權的姿勢變更。在 Enterprise 方案中，您也可以監控 AWS 環境。		¹
Cloud Infrastructure Entitlement Management (CIEM)。找出設定有誤或獲授過多/敏感 IAM 權限的主體帳戶 (身分)，以存取雲端資源。
資料管理
資料落地
資料落地控制項，可將 Security Command Center 發現項目、靜音規則、持續匯出和 BigQuery 匯出的儲存和處理作業，限制在 Security Command Center 支援的其中一個資料落地多區域。	¹	¹
匯出發現項目
BigQuery 匯出內容
Pub/Sub 持續匯出作業
Cloud Logging 持續匯出		¹
其他功能
基礎架構即程式碼 (IaC) 驗證。根據機構政策和安全性狀態分析偵測器進行驗證。		¹
在 Cloud Asset Inventory 中使用 SQL 查詢資產
申請提高 Cloud Asset Inventory 配額
風險報告 (預先發布版)。風險報告可協助您瞭解 Security Command Center 執行的攻擊路徑模擬結果。風險報告包含高階總覽、有害組合範例和相關聯的攻擊路徑。
Assured Open Source Software。將 Google 保護及使用的套件整合至自家開發人員工作流程，即可享有 Google 為開放原始碼軟體提供的安全防護機制與服務。
稽核管理工具。這項法規遵循稽核解決方案會根據多個法規遵循架構中選取的控制項，評估您的資源。Security Command Center Enterprise 使用者可免費存取 Audit Manager 的進階方案。
支援多雲端。將 Security Command Center 連線至其他雲端供應商，偵測威脅、安全漏洞和設定錯誤。評估外部雲端高價值資源的受攻擊風險分數和攻擊路徑。支援的雲端服務供應商：AWS、Azure。

需要啟用機構層級的設定。
這項 Google Cloud 服務會與機構層級啟用的 Security Command Center 整合，提供發現項目。這項服務的一或多項功能可能與 Security Command Center 分開計價。
這項功能預設為停用。如需更多資訊和價格詳情，請洽詢您的業務代表或 Google Cloud 合作夥伴。

Security Command Center Enterprise 中的 Google Security Operations 功能限制

與 Standard 和 Premium 方案相比，Security Command Center Enterprise 方案提供更多功能，包括Google Security Operations 功能，以及從其他雲端服務供應商擷取資料的功能。這些功能讓 Security Command Center 成為雲端原生應用程式保護平台 (CNAPP)。

Security Command Center Enterprise 層級的 Google Security Operations 功能與Google Security Operations 方案的限制不同。下表說明這些限制。

功能	限制
應用威脅情報	沒有存取權
精選偵測項目	僅限偵測 Google Cloud、Microsoft Azure 和 AWS 上的雲端威脅。
自訂規則	20 項自訂單一事件規則，不支援多重事件規則。
資料保留	3 個月
Gemini for Google Security Operations	僅限自然語言搜尋和案件調查摘要
Google SecOps 安全資訊與事件管理 (SIEM)	僅限雲端資料。
Google SecOps 安全性自動化調度管理與回應 (SOAR)	僅限雲端回應整合。如需支援的整合服務清單，請參閱「支援的 Google Security Operations 整合服務」。支援一個 SOAR 環境。
記錄檔擷取	僅限雲端威脅偵測支援的記錄檔。如需清單，請參閱「Google SecOps 支援的記錄資料收集作業」。
風險分析	沒有存取權

支援的 Google Security Operations 整合

下列各節列出 Security Command Center Enterprise 支援的 Google Security Operations Marketplace 整合項目。下表會分別列出這些屬性。

預先建構及設定的整合：包含在 SCC Enterprise - Cloud Orchestration and Remediation 應用情境中，且已預先設定，可支援雲端原生應用程式保護平台 (CNAPP) 應用情境。啟用 Security Command Center Enterprise 並更新 Enterprise 用途後，即可使用這些功能。

以 SCC Enterprise - Cloud Orchestration and Remediation 用例為例，其中的設定包括專用應對手冊，可搭配 Jira 和 ServiceNow 使用，並預先定義回應案件的處理方式。這些整合功能已預先設定，可支援 Security Command Center Enterprise 支援的所有雲端供應商。
可下載的整合項目：使用 Security Command Center Enterprise 時，您可以下載下列整合項目，並在劇本中使用。從 Google Security Operations Marketplace 下載的版本並非專為 Security Command Center Enterprise 設定，因此需要額外的手動設定。

每個整合項目都會依名稱列出。如要瞭解特定整合功能，請參閱「Google Security Operations Marketplace 整合功能」。

申請或資訊類型	預先封裝及設定的整合功能	可下載的整合
Google Cloud 和 Google Workspace 整合	AppSheet Google 快訊中心 Google BigQuery Google Chat Google Chronicle Google Cloud Asset Inventory Google Cloud Compute Google Cloud IAM Google Cloud Policy Intelligence Google Cloud Recommender Google Cloud Storage Google Kubernetes Engine Google 快速回應 (GRR) Google Security Command Center Google 翻譯 G Suite SCCEnterprise	AppSheet Google 快訊中心 Google BigQuery Google Chat Google Chronicle Google Cloud Asset Inventory Google Cloud Compute Google Cloud IAM Google Cloud Policy Intelligence Google Cloud Recommender Google Cloud Storage Google Kubernetes Engine Google 快速回應 (GRR) Google Security Command Center Google 翻譯 G Suite SCCEnterprise
Amazon Web Services 整合	AWS CloudTrail AWS CloudWatch AWS Elastic Compute Cloud (EC2) AWS GuardDuty AWS Identity and Access Management (IAM) AWS IAM Access Analyzer AWS S3 AWS Security Hub AWS WAF	AWS CloudTrail AWS CloudWatch AWS Elastic Compute Cloud (EC2) AWS GuardDuty AWS Identity and Access Management (IAM) AWS IAM Access Analyzer Amazon Macie* AWS S3 AWS Security Hub AWS WAF
Microsoft Azure 和 Office365 整合	Azure Active Directory Azure AD Identity Protection Azure Security Center Microsoft Graph Mail Microsoft Teams	Azure Active Directory Azure AD Identity Protection Azure Security Center Microsoft Graph Mail Microsoft Teams
IT 服務管理 (ITSM) 相關應用程式	BMC Helix Remedyforce BMC Remedy ITSM CA 服務台管理員 Easy Vista Freshworks Freshservice Jira Micro Focus ITSMA Service Desk Plus V3 ServiceNow SysAid Zendesk Zoho Desk	BMC Helix Remedyforce BMC Remedy ITSM CA 服務台管理員 Easy Vista Freshworks Freshservice Jira Micro Focus ITSMA Service Desk Plus V3 ServiceNow SysAid Zendesk Zoho Desk
通訊相關應用程式	電子郵件 V2 Exchange Google Chat Microsoft Graph Mail Microsoft Teams Slack	電子郵件 V2 Exchange Google Chat Microsoft Graph Mail Microsoft Teams Slack
威脅情報	Mandiant Threat Intelligence MITRE ATT&CK VirusTotalV3	Mandiant Threat Intelligence MITRE ATT&CK VirusTotalV3
* 整合功能未封裝在「SCC Enterprise - Cloud Orchestration and Remediation」用途中

支援的 Google SecOps 記錄資料收集作業

以下各節說明 Security Command Center Enterprise 客戶可直接擷取至 Google Security Operations 租戶的記錄資料類型。這項資料收集機制與 Security Command Center 中的 AWS 連接器不同，後者會收集資源和設定資料。

資訊會依雲端供應商分組。

Google Cloud 記錄資料
Amazon Web Services 記錄資料
Microsoft Azure 記錄資料

針對列出的每種記錄類型，系統會提供 Google SecOps 擷取標籤，例如 GCP_CLOUDAUDIT。如需 Google SecOps 擷取標籤的完整清單，請參閱「支援的記錄類型和預設剖析器」。

Google Cloud

下列 Google Cloud 資料可擷取至 Google SecOps：

Cloud 稽核記錄 (GCP_CLOUDAUDIT)
雲端入侵偵測系統 (GCP_IDS)
Cloud Next Generation Firewall (GCP_NGFW_ENTERPRISE)
Cloud Asset Inventory 中繼資料
Sensitive Data Protection 內容
Model Armor 記錄

此外，您也必須啟用下列項目並將其轉送至 Cloud Logging：

如要瞭解如何從 Linux 和 Windows VM 執行個體收集記錄並傳送至 Cloud Logging，請參閱 Google Cloud Observability 代理程式。

啟動 Security Command Center Enterprise 時，系統會自動設定 Google Cloud 資料擷取作業，將資料傳送至 Google SecOps。如要瞭解詳情，請參閱「啟用 Security Command Center Enterprise 方案」>「佈建新執行個體」。

如要瞭解如何修改 Google Cloud 資料擷取 Google Cloud 設定，請參閱「將資料擷取至 Google Security Operations」一文。

Amazon Web Services

下列 AWS 資料可擷取至 Google SecOps：

AWS CloudTrail (AWS_CLOUDTRAIL)
AWS GuardDuty (GUARDDUTY)
AWS EC2 主機 (AWS_EC2_HOSTS)
AWS EC2 執行個體 (AWS_EC2_INSTANCES)
AWS EC2 VPC (AWS_EC2_VPCS)
AWS Identity and Access Management (IAM) (AWS_IAM)

如要瞭解如何收集 AWS 記錄資料及使用精選偵測項目，請參閱「連結至 AWS 以收集記錄資料」。

Microsoft Azure

您可以將下列 Microsoft 資料擷取至 Google SecOps：

Microsoft Azure Cloud Services (AZURE_ACTIVITY)。如要瞭解如何設定資料收集作業，請參閱「擷取 Microsoft Azure 活動記錄」。
Microsoft Entra ID (原稱「Azure Active Directory」) (AZURE_AD)。如要瞭解如何設定資料收集功能，請參閱「收集 Microsoft Azure AD 記錄」。
Microsoft Entra ID 稽核記錄 (原稱「Azure AD 稽核記錄」) (AZURE_AD_AUDIT)。如要瞭解如何設定資料收集功能，請參閱「收集 Microsoft Azure AD 記錄」。
Microsoft Defender for Cloud (MICROSOFT_GRAPH_ALERT)。如要瞭解如何設定資料收集作業，請參閱「收集 Microsoft Graph API 警報記錄」。

如要瞭解如何收集 Azure 記錄資料及使用精選偵測規則，請參閱「連線至 Microsoft Azure 以收集記錄資料」。

Security Command Center 服務方案 透過集合功能整理內容 你可以依據偏好儲存及分類內容。