Security Command Center 服务层级

Security Command Center 提供三种服务层级:标准、高级和企业。每个层级决定了您可以在 Security Command Center 中使用哪些功能和服务。以下是各服务层级的简要说明:

  • 标准。仅适用于 Google Cloud 的基本安全状况管理。您可以在项目级或组织级激活标准层级。最适合具有最低安全要求的Google Cloud 环境。
  • 付费。标准版中的所有功能,以及仅适用于 Google Cloud 的安全状况管理、攻击路径、威胁检测和合规性监控。您可以在项目级或组织级激活高级层级。最适合需要按需付费结算的Google Cloud 客户。
  • 企业版。完善的多云 CNAPP 安全保护,以及自动化案例管理和修复 playbook。包括 Premium 中的大多数服务。Enterprise 层级只能在组织一级激活。最适合帮助保护 Google Cloud、AWS 和 Azure。

标准层级无需额外付费,而高级层级和企业层级采用不同的价格结构。如需了解详情,请参阅 Security Command Center 价格

如需查看每个层级包含的服务列表,请参阅服务层级比较

Security Command Center Enterprise

与标准版和专业版相比,Security Command Center 企业版提供额外功能,包括部分 Google 安全运营功能,以及从其他云服务提供商注入数据的功能。这些功能使 Security Command Center 成为一个完整的云原生应用保护平台 (CNAPP),可在 Security Operations 控制台中使用。

Google Security Operations 功能限制

Security Command Center Enterprise 层级中的 Google Security Operations 功能的限制与 Google Security Operations 方案中的限制不同。下表介绍了这些限制。

功能 限制
实用威胁情报 无访问权限
精选检测 仅限于检测 云端威胁,包括 Google Cloud 和 AWS
自定义规则 20 条自定义单事件 规则,不支持多事件规则
数据保留 3 个月
Gemini for Google Security Operations 仅限自然语言搜索和支持请求调查摘要
Google SecOps 安全信息和事件管理 (SIEM) 仅限 Cloud 日志
Google SecOps 安全编排、自动化和响应 (SOAR) 仅限云响应集成
日志提取

仅限与云威胁检测相关的日志,包括:

  • AWS

    • 身份验证日志
    • CloudTrail 审核日志
    • GuardDuty 事件
    • Syslog

  • Google Cloud

    • Cloud Audit Logs 管理员活动日志
    • Cloud Audit Logs 数据访问日志
    • Compute Engine 系统日志
    • GKE 审核日志

  • Google Workspace

    • Google Workspace 提醒
    • Google Workspace 事件
风险分析 无访问权限

服务层级比较

服务 服务层级
标准 高级 企业

漏洞检测
Security Health Analytics

适用于 Google Cloud 的托管式漏洞评估扫描功能,可自动检测 Google Cloud 资产的严重程度最高的漏洞和配置错误。

发现的 Security Health Analytics 问题
  • Dataproc image outdated
  • Legacy authorization enabled
  • MFA not enforced
  • Non org IAM member
  • Open ciscosecure websm port
  • Open directory services port
  • Open firewall
  • Open group IAM member
  • Open RDP port
  • Open SSH port
  • Open Telnet port
  • Public bucket ACL
  • Public Compute image
  • Public dataset
  • Public IP address
  • Public log bucket
  • Public SQL instance
  • SSL not enforced
  • Web UI enabled
合规性监控。Security Health Analytics 检测器可映射到 NIST、HIPAA、PCI-DSS 和 CIS 等常见安全基准的控制措施。
自定义模块支持。创建您自己的自定义 Security Health Analytics 检测器。
Web Security Scanner
自定义扫描。对具有公共网址和 IP 地址且不受防火墙保护的已部署 Compute Engine、Google Kubernetes Engine 或 App Engine Web 应用安排和运行自定义扫描。
其他 OWASP 十大检测器
代管式扫描。每周扫描公共 Web 端点是否存在漏洞,扫描由 Security Command Center 配置和管理。
攻击路径模拟
攻击路径模拟(也称为虚拟红队演练)可识别潜在攻击者可能用来访问高价值资源的路径,帮助您识别漏洞和配置错误发现结果并确定其优先级。
Mandiant CVE 评估
CVE 评估会按可利用性和潜在影响进行分组。您可以按 CVE ID 查询发现结果。
其他漏洞服务
异常值检测1。 识别项目和虚拟机 (VM) 实例的安全异常,例如可能泄露的凭据和加密货币挖矿。
GKE 安全状况信息中心发现预览版)。查看有关 Kubernetes 工作负载安全配置错误、实用安全公告以及容器操作系统或语言包中的漏洞的发现结果。
敏感数据保护1。 发现、分类和保护敏感数据。
虚拟机管理器1漏洞报告(预览版)。如果您启用虚拟机管理器,则该服务会自动将其漏洞报告中的发现结果写入 Security Command Center。

通过以下内置和集成服务,扩大了对云环境中软件漏洞和容器的检测范围:

  • Google Kubernetes Engine (GKE) Enterprise 版本
  • AWS 漏洞评估
  • 虚拟机管理器

Mandiant Attack Surface Management。 发现和分析您在各种环境中的互联网资产,同时持续监控外部生态系统是否存在会被利用的漏洞。

危险组合预览版)。 检测一组安全问题。如果这些问题以特定模式同时出现,就会形成通往您的一个或多个高价值资源的路径,而有决心的攻击者可能会利用这些路径来访问和破坏这些资源。

威胁检测与响应
Google Cloud Armor1。 保护 Google Cloud 部署免受分布式拒绝服务 (DDoS 攻击) 攻击、跨站脚本攻击 (XSS) 和 SQL 注入 (SQLi) 等威胁。
Sensitive Actions Service。可检测何时在您的 Google Cloud 组织、文件夹和项目中执行了可能会损害业务的操作(如果这些操作是由恶意操作者执行的)。

容器威胁检测。检测容器运行时攻击。

容器运行时攻击
  • 已执行添加的二进制文件
  • 已加载添加的库
  • 执行:已执行添加的恶意二进制文件
  • 执行:添加了“已加载恶意库”
  • 执行:已执行内置恶意二进制文件
  • 执行:已执行经过修改的恶意二进制文件
  • 执行:加载了经过修改的恶意库
  • 已执行恶意脚本
  • 反向 shell
  • 意外的 Shell Shell
事件威胁检测。使用威胁情报、机器学习和其他高级方法监控 Cloud Logging 和 Google Workspace,以检测威胁(例如恶意软件、加密货币挖矿和数据渗漏)。
虚拟机威胁检测。检测在虚拟机实例中运行的潜在恶意应用。
Google SecOps 安全信息和事件管理 (SIEM)。扫描日志和其他数据,在多个云环境中查找威胁,定义威胁检测规则,以及搜索累积的数据。
Google SecOps 安全编排、自动化和响应 (SOAR)。管理支持请求、定义响应工作流程,以及搜索响应数据。
Mandiant Hunt。 依靠 Mandiant 专家来提供持续的威胁搜寻,发觉攻击者活动并减少对业务的影响。 可选插件

折叠状态和政策

Binary Authorization1。 在开发和部署基于容器的应用时实施软件供应链安全措施。监控和限制容器映像的部署。
政策控制器1。 支持为 Kubernetes 集群应用并强制执行可编程政策。
Risk Manager1。 分析组织的技术风险状况并生成报告。

Policy Intelligence。 面向 Security Command Center 高级版和企业版用户的其他功能,包括:

  • 高级 IAM 建议。包含的推荐功能如下:

    • 针对非基本角色的建议。
    • 针对组织、文件夹和项目以外的资源授予的角色的建议。例如,针对在 Cloud Storage 存储分区中授予的角色的建议。
    • 建议使用自定义角色的建议。
    • 政策数据分析。
    • 横向移动数据分析。
  • 大规模使用 Policy Analyzer(每个组织每天超过 20 次查询)。此限制适用于所有政策分析器工具。
  • 用于组织政策分析的可视化图表
安全状况。定义并部署安全状况,以监控 Google Cloud 资源的安全状态。解决了状态漂移和对状态的未经授权的更改问题。在企业版层级,您还可以 监控 AWS 环境
Cloud Infrastructure Entitlement Management (CIEM)。找出配置错误或被授予对您的云资源的过多或敏感 IAM 权限的主账号(身份)。

数据管理
数据驻留
数据驻留控制功能,用于限制将 Security Command Center 发现结果、静默规则、持续导出和 BigQuery 导出存储和处理到 Security Command Center 支持的某个数据驻留多区域。
导出发现结果
BigQuery Export
Pub/Sub 持续导出

其他功能

基础架构即代码 (IaC) 验证。对照组织政策和 Security Health Analytics 检测器进行验证。

在 Cloud Asset Inventory 中使用 SQL 查询资产

申请更多 Cloud Asset Inventory 配额

有保障的开源软件。 将 Google 保护和使用的相同软件包纳入您自己的开发者工作流中,获享 Google 为开源软件提供的安全性和体验。

Security Command Center Enterprise 用户无需额外付费,即可使用 Audit Manager 的高级层级。

审核经理。一款合规性审核解决方案,可根据多个合规性框架中的部分控制措施来评估您的资源。

Security Command Center Enterprise 用户无需额外付费即可使用 Audit Manager 的高级层级

多云支持。将 Security Command Center 连接到其他云服务提供商,以检测威胁、漏洞和错误配置。评估外部云高价值资源的攻击风险得分和攻击路径。

支持的云服务提供商:AWS、Azure。
  1. 这是 Google Cloud 服务,可与 Security Command Center 的组织级启用集成,以提供发现结果。此服务的一个或多个功能的价格可能与 Security Command Center 的价格分开计算。