תכונות של Google SecOps ב-Security Command Center Enterprise

רמת השירות Enterprise של Security Command Center מציעה תכונות נוספות בהשוואה לרמות Standard ו-Premium, כולל מבחר של תכונות של Google Security Operations ויכולת להטמיע נתונים מספקי ענן אחרים. התכונות האלה הופכות את Security Command Center לפלטפורמה מבוססת-ענן להגנה על אפליקציות (CNAPP).

התכונות של Google Security Operations ברמת Enterprise של Security Command Center מוגבלות באופן שונה מאלה שמוגבלות בתוכניות של Google Security Operations. בטבלה הבאה מפורטות המגבלות האלה.

תכונה מגבלות
Applied Threat Intelligence אין גישה
גלאים מוכנים מראש הזיהוי מוגבל ל איומים בענן ב- Google Cloud, ב-Microsoft Azure וב-AWS.
כללים בהתאמה אישית ‫20 כללים מותאמים אישית של אירוע יחיד , אין תמיכה בכללים של כמה אירועים.
שמירת נתונים 3 חודשים
‫Gemini ל-Google Security Operations מוגבל לחיפוש בשפה טבעית ולסיכומים של חקירות מקרים
ניהול אבטחת מידע ואירועים (SIEM) ב-Google SecOps נתונים בענן בלבד.
Google SecOps security orchestration, automation, and response (SOAR) שילובים של תגובות בענן בלבד. רשימת האינטגרציות הנתמכות מופיעה במאמר אינטגרציות נתמכות של Google Security Operations.

יש תמיכה בסביבת SOAR אחת.
הטמעת יומנים

ההגבלה חלה רק על יומנים שנתמכים בזיהוי איומים בענן. הרשימה מופיעה במאמר בנושא איסוף נתוני יומן נתמכים ב-Google SecOps

ניתוח סיכונים אין גישה

שילובים נתמכים של Google Security Operations

בקטעים הבאים מפורטים השילובים של Google Security Operations Marketplace שנתמכים ב-Security Command Center Enterprise. הם מפורטים בעמודות נפרדות בטבלה הבאה.

  • שילובים ארוזים ומוגדרים מראש: כלולים בתרחיש לדוגמה SCC Enterprise – Cloud Orchestration and Remediation ומוגדרים מראש לתמיכה בתרחישי שימוש של פלטפורמה להגנה על אפליקציות מבוססות-ענן (CNAPP). הם זמינים כשמפעילים את Security Command Center Enterprise ומעדכנים את תרחיש השימוש Enterprise.

    הגדרות בתרחיש השימוש SCC Enterprise - Cloud Orchestration and Remediation כוללות, לדוגמה, מחזורי הפעלה ייעודיים שמשתמשים ב-Jira וב-ServiceNow עם טיפול מוגדר מראש במקרים של תגובה. השילובים מוגדרים מראש כדי לתמוך בכל ספקי הענן שנתמכים ב-Security Command Center Enterprise.

  • שילובים שאפשר להוריד: עם Security Command Center Enterprise, אפשר להוריד את השילובים הבאים ולהשתמש בהם ב-Playbook. הגרסאות שאתם מורידים מ-Google Security Operations Marketplace לא מוגדרות במיוחד ל-Security Command Center Enterprise, ונדרשת הגדרה ידנית נוספת.

כל שילוב מופיע ברשימה לפי שם. מידע על אינטגרציה ספציפית זמין במאמר אינטגרציות ב-Google Security Operations Marketplace.

סוג הבקשה או המידע

שילובים מוכנים מראש

שילובים שניתן להוריד

Google Cloud ושילובים עם Google Workspace
  • AppSheet
  • מרכז ההתראות של Google
  • Google BigQuery
  • Google Chat
  • Google Chronicle
  • מאגר משאבי הענן של Google
  • Google Cloud Compute
  • Google Cloud IAM
  • Google Cloud Policy Intelligence
  • Google Cloud Recommender
  • Google Cloud Storage
  • Google Kubernetes Engine
  • Google Rapid Response (GRR)
  • Google Security Command Center
  • Google Translate
  • G Suite
  • SCCEnterprise
  • AppSheet
  • מרכז ההתראות של Google
  • Google BigQuery
  • Google Chat
  • Google Chronicle
  • מאגר משאבי הענן של Google
  • Google Cloud Compute
  • Google Cloud IAM
  • Google Cloud Policy Intelligence
  • Google Cloud Recommender
  • Google Cloud Storage
  • Google Kubernetes Engine
  • Google Rapid Response (GRR)
  • Google Security Command Center
  • Google Translate
  • G Suite
  • SCCEnterprise

שילובים של Amazon Web Services
  • AWS CloudTrail
  • AWS CloudWatch
  • ‫AWS Elastic Compute Cloud (EC2)
  • AWS GuardDuty
  • AWS Identity and Access Management (IAM)
  • AWS IAM Access Analyzer
  • AWS S3
  • AWS Security Hub
  • AWS WAF
  • AWS CloudTrail
  • AWS CloudWatch
  • ‫AWS Elastic Compute Cloud (EC2)
  • AWS GuardDuty
  • AWS Identity and Access Management (IAM)
  • AWS IAM Access Analyzer
  • ‫Amazon Macie*
  • AWS S3
  • AWS Security Hub
  • AWS WAF

שילובים של Microsoft Azure ו-Office365
  • Azure Active Directory
  • Azure AD Identity Protection
  • Azure Security Center
  • Microsoft Graph Mail
  • Microsoft Teams
  • Azure Active Directory
  • Azure AD Identity Protection
  • Azure Security Center
  • Microsoft Graph Mail
  • Microsoft Teams

אפליקציות שקשורות לניהול שירותי IT‏ (ITSM)
  • BMC Helix Remedyforce
  • BMC Remedy ITSM
  • מנהל מחלקת תמיכה של שירות CA
  • Easy Vista
  • Freshworks Freshservice
  • Jira
  • Micro Focus ITSMA
  • Service Desk Plus V3
  • ServiceNow
  • SysAid
  • Zendesk
  • Zoho Desk
  • BMC Helix Remedyforce
  • BMC Remedy ITSM
  • מנהל מחלקת תמיכה של שירות CA
  • Easy Vista
  • Freshworks Freshservice
  • Jira
  • Micro Focus ITSMA
  • Service Desk Plus V3
  • ServiceNow
  • SysAid
  • Zendesk
  • Zoho Desk

אפליקציות שקשורות לתקשורת
  • Email V2
  • Exchange
  • Google Chat
  • Microsoft Graph Mail
  • Microsoft Teams
  • Slack
  • Email V2
  • Exchange
  • Google Chat
  • Microsoft Graph Mail
  • Microsoft Teams
  • Slack

מודיעין איומי סייבר
  • Mandiant Threat Intelligence
  • Mitre Att&ck
  • VirusTotalV3
  • Mandiant Threat Intelligence
  • Mitre Att&ck
  • VirusTotalV3
* השילוב לא כלול בחבילה של תרחיש השימוש SCC Enterprise – Cloud Orchestration and Remediation

תכונות מרכזיות במסוף Security Operations

רמת Enterprise של Security Command Center משלבת תכונות מרכזיות מ-Google Security Operations, שאפשר לגשת אליהן דרך מסוף Security Operations. בקטעים הבאים מופיעה סקירה כללית קצרה של התכונות הזמינות:

התראות ואינדיקטורים של פשרה (IOC)

בדף הזה במסוף תפעול אבטחה (SecOps) אפשר לראות התראות שנוצרו על ידי גלאים מוכנים מראש וכללים בהתאמה אישית. מידע על חקירת התראות זמין במאמרים הבאים במאמרי העזרה של Google Security Operations:

בקשות תמיכה

במסוף Security Operations, אתם יכולים להשתמש בתרחישי שימוש כדי לקבל פרטים על ממצאים, לצרף תוכניות פעולה להתרעות על ממצאים, להחיל תגובות אוטומטיות לאיומים ולעקוב אחרי הטיפול בבעיות אבטחה.

מידע נוסף מופיע במאמר סקירה כללית על בקשות תמיכה.

פלייבוקים

בדף הזה במסוף Security Operations מוסבר איך לנהל את תרחישי השימוש שכלולים בSCC Enterprise – Cloud Orchestration and Remediation.

מידע על האינטגרציות שזמינות בתרחיש השימוש הזה מופיע במאמר בנושא מסלולי שירות של Security Command Center.

מידע על תרחישי השימוש הזמינים מופיע במאמר עדכון תרחיש השימוש Enterprise.

מידע על השימוש בדף Playbooks במסוף Security Operations זמין במאמר What's on the Playbooks page?‎ בתיעוד של Google Security Operations.

כללים וזיהויים

בדף הזה במסוף Security Operations אפשר להפעיל זיהויים שנבחרו בקפידה וליצור כללים מותאמים אישית לזיהוי דפוסים בנתונים שנאספו באמצעות מנגנוני איסוף נתוני היומן של מסוף Security Operations. מידע על גלאים מוכנים מראש שזמינים ב-Security Command Center Enterprise מופיע במאמר חקירת איומים באמצעות גלאים מוכנים מראש.

לוחות בקרה של SIEM

בדף הזה במסוף Security Operations אפשר לראות את לוחות הבקרה של Google Security Operations SIEM כדי לנתח התראות שנוצרו על ידי כללים של Google Security Operations ונתונים שנאספו באמצעות היכולות של מסוף Security Operations לאיסוף נתוני יומנים.

מידע נוסף על שימוש בלוחות בקרה של SIEM זמין במאמר סקירה כללית על לוחות בקרה במסמכי Google Security Operations.

בדף הזה במסוף Security Operations אפשר למצוא אירועים והתראות של Unified Data Model (UDM) במופע של Google Security Operations. מידע נוסף זמין במאמר בנושא חיפוש ב-SIEM במאמרי העזרה של Google Security Operations.

הגדרות SIEM

בדף הזה במסוף Security Operations אפשר לשנות את ההגדרה של תכונות שקשורות ל-SIEM של Google Security Operations. מידע על השימוש בתכונות האלה זמין במסמכי התיעוד של Google Security Operations.

מרכזי בקרה של SOAR

בדף הזה במסוף Security Operations אפשר לראות וליצור מרכזי בקרה באמצעות נתוני SOAR, שאפשר להשתמש בהם כדי לנתח תגובות ומקרים. מידע נוסף על שימוש בלוחות בקרה של SOAR זמין במאמר סקירה כללית על לוח הבקרה של SOAR במסמכי העזרה של Google Security Operations.

דוחות SOAR

בדף הזה במסוף Security Operations אפשר לראות דוחות על נתוני SOAR. מידע נוסף על שימוש בדוחות SOAR זמין במאמר הסבר על דוחות SOAR במסמכי העזרה של Google Security Operations.

בדף הזה במסוף Security Operations אפשר למצוא ישויות או מקרים ספציפיים שנוספו לאינדקס על ידי Google Security Operations SOAR. מידע נוסף זמין במאמר עבודה עם דף החיפוש ב-SOAR במאמרי העזרה של Google Security Operations.

הגדרות SOAR

בדף הזה במסוף Security Operations אפשר לשנות את ההגדרה של תכונות שקשורות ל-Google Security Operations SOAR. מידע על השימוש בתכונות האלה זמין במסמכי התיעוד של Google Security Operations.

איסוף נתוני יומן נתמך ב-Google SecOps

בקטעים הבאים מתואר סוג הנתונים ביומן שלקוחות עם Security Command Center Enterprise יכולים להעביר ישירות לדייר Google Security Operations. מנגנון איסוף הנתונים הזה שונה ממחבר AWS ב-Security Command Center שמיועד לאיסוף נתונים על משאבים ועל הגדרות.

המידע מקובץ לפי ספק שירותי הענן.

  • נתוני יומן שלGoogle Cloud
  • נתוני יומן של Amazon Web Services
  • נתוני יומן של Microsoft Azure

לכל סוג של יומן שמופיע ברשימה, מצוינת תווית ההטמעה של Google SecOps, לדוגמה GCP_CLOUDAUDIT. רשימה מלאה של תוויות ההטמעה של Google SecOps זמינה במאמר בנושא סוגי יומנים נתמכים ומנתחי ברירת מחדל.

Google Cloud

אפשר להזין את הנתונים הבאים Google Cloud ל-Google SecOps:

צריך גם להפעיל את האפשרויות הבאות ולהפנות אותן אל Cloud Logging:

במאמר סוכני Google Cloud Observability מוסבר איך אוספים יומנים ממופעי מכונות וירטואליות ב-Linux וב-Windows ושולחים אותם אל Cloud Logging.

תהליך ההפעלה של Security Command Center Enterprise מגדיר אוטומטית את ההטמעה של Google Cloud נתונים ב-Google SecOps. מידע נוסף זמין במאמר הפעלת מהדורת Enterprise של Security Command Center > הקצאת מופע חדש.

מידע על שינוי ההגדרה של Google Cloud העברת נתונים זמין במאמרהעברת נתונים אל Google Security Operations. Google Cloud

Amazon Web Services

אפשר להטמיע את הנתונים הבאים מ-AWS ב-Google SecOps:

  • AWS CloudTrail (AWS_CLOUDTRAIL)
  • AWS GuardDuty (GUARDDUTY)
  • AWS EC2 HOSTS (AWS_EC2_HOSTS)
  • מופעי AWS EC2‏ (AWS_EC2_INSTANCES)
  • עננים וירטואליים פרטיים של AWS EC2‏ (AWS_EC2_VPCS)
  • ‫AWS Identity and Access Management (IAM) (AWS_IAM)

למידע על איסוף נתוני יומן של AWS ושימוש בגלאים מוכנים מראש, אפשר לעיין במאמר התחברות ל-AWS לצורך איסוף נתוני יומן.

Microsoft Azure

אפשר להטמיע את הנתונים הבאים של מיקרוסופט ב-Google SecOps:

מידע על איסוף נתוני יומן של Azure ושימוש בזיהויים שנאספו זמין במאמר חיבור ל-Microsoft Azure לצורך איסוף נתוני יומן.