- 使用 Google Security Operations 实现高级安全运维。
- 与其他 Google Cloud 产品(例如 Mandiant 攻击面管理、敏感数据保护和 Assured OSS)的集成。
- 多云端支持。
- 风险分析。
如需了解企业版层级功能的说明,请参阅 Security Command Center 概览。
您可以使用 Google Cloud 控制台中的设置指南完成企业版层级的激活流程。完成初始的强制性任务后,您可以完成其他任务,以设置贵组织所需的可选功能。
如需了解价格和订阅方式,请参阅 Security Command Center 价格。
如需了解如何在其他层级激活 Security Command Center,请参阅为组织激活 Security Command Center 标准层级或高级层级。
准备工作
在首次激活 Security Command Center 之前,请完成以下操作:
- 规划激活
- 创建组织
- 创建管理项目
- 配置权限和 API
- 配置通知联系人
规划激活
本部分介绍了您在准备启用时需要做出的决策和了解的信息。
确定支持联系人
激活新的 Google SecOps 实例时,您需要提供公司名称和联系人的电子邮件地址。请提供贵组织的联系人。 此配置与重要联系人无关。
选择 Google SecOps 配置
在激活过程中,您需要将 Security Command Center Enterprise 关联到 Google SecOps 实例。
连接到现有实例
您无法将 Security Command Center Enterprise 连接到现有的 Google SecOps SIEM 独立版或 Google SecOps SOAR 独立版实例。如果您对自己拥有的 Google SecOps 实例类型有疑问,请与您的 Google Cloud 销售代表联系。
选择现有 Google SecOps 实例后,关联到 SecOps 实例页面会提供指向该实例的链接,以便您验证自己的选择。您必须有权访问该实例才能对其进行验证。您至少需要拥有管理项目的 Chronicle API Restricted Data Access Viewer (roles/chronicle.restrictedDataAccessViewer) 角色,才能登录该实例。
预配新实例
您预配新实例后,只有新实例会与 Security Command Center 相关联。使用 Security Command Center 时,您需要在 Google Cloud 控制台和新预配的 Security Operations 控制台之间切换。
在激活期间,您需要指定要预配新的 Google SecOps 实例的位置。如需查看受支持的区域和多区域的列表,请参阅 SecOps 服务位置页面。此位置信息仅适用于 Google SecOps,而不适用于其他 Security Command Center 功能或服务。
每个 Google SecOps 实例都必须有一个由您拥有和管理的专用管理项目。此项目必须位于您激活 Security Command Center Enterprise 的同一组织内。您无法为多个 Google SecOps 实例使用同一个管理项目。
如果您已有 Google SecOps 实例,并为 Security Command Center Enterprise 预配了新实例,则这两个实例会使用相同的配置来直接提取 Google Cloud 数据。相同的配置设置会控制对这两个 Google SecOps 实例的提取,并且它们会接收相同的数据。
在 Security Command Center Enterprise 激活期间,激活流程会修改 Google Cloud 日志提取设置,将所有数据类型字段设为启用:Google Cloud Logging、Cloud 资产元数据和 Security Command Center 高级方案发现结果。导出过滤条件设置不会更改。Security Command Center Enterprise 需要这些数据类型,才能确保所有功能都能按预期运行。激活完成后,您可以更改 Google Cloud 日志提取设置。
创建组织
Security Command Center 需要与网域关联的组织资源。如果您尚未创建组织,请参阅创建和管理组织。
如果您有多个组织,请指明您要在哪些组织中激活 Security Command Center Enterprise。您必须针对计划为其激活 Security Command Center Enterprise 的每个组织,按照以下激活步骤操作。
创建管理项目
Security Command Center Enterprise 需要一个项目(称为管理项目),才能实现 Google SecOps 与 Mandiant Attack Surface Management 的集成。我们建议您将此项目专用于 Security Command Center Enterprise。
如果您之前启用了 Google SecOps,并且想要连接到现有实例,请使用已与 Google SecOps 关联的现有管理项目。
如果您计划预配新的 Google SecOps 实例,请创建一个专门用于新实例的新管理项目。请勿重复使用已与其他 Google SecOps 实例关联的管理项目。
详细了解如何创建和管理项目。
配置权限和 API
本部分列出了设置 Security Command Center Enterprise 所需的 Identity and Access Management (IAM) 角色,并介绍了如何在组织和管理项目中授予这些角色。还介绍了如何启用 Security Command Center Enterprise 层级所需的所有 API。详细了解 Security Command Center 角色和 Google Cloud API。
配置组织的权限
Make sure that you have the following role or roles on the organization:
- Organization Administrator (
roles/resourcemanager.organizationAdmin) - Cloud Asset Owner (
roles/cloudasset.owner) - Security Center Admin (
roles/securitycenter.admin) - Security Admin (
roles/iam.securityAdmin) - Chronicle Service Viewer (
roles/chroniclesm.viewer)
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
进入 IAM - 选择组织。
- 点击 授予访问权限。
-
在新的主账号字段中,输入您的用户标识符。 这通常是 Google 账号的电子邮件地址。
- 在选择角色列表中,选择一个角色。
- 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
- 点击 Save(保存)。
- 在 Google Cloud 控制台中,确认您正在查看要为其激活 Security Command Center Enterprise 层级的组织。
- 选择您之前创建的项目的管理服务。
-
Make sure that you have the following role or roles on the project:
- Service Usage Admin (
roles/serviceusage.serviceUsageAdmin) - Service Account Token Creator (
roles/iam.serviceAccountTokenCreator) - Chronicle API Admin (
roles/chronicle.admin) - Chronicle Service Admin (
roles/chroniclesm.admin) - Chronicle SOAR Admin (
roles/chronicle.soarAdmin) - Service Account Key Admin (
roles/iam.serviceAccountKeyAdmin) - Service Account Admin (
roles/iam.serviceAccountAdmin)
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the project.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
进入 IAM - 选择项目。
- 点击 授予访问权限。
-
在新的主账号字段中,输入您的用户标识符。 这通常是 Google 账号的电子邮件地址。
- 在选择角色列表中,选择一个角色。
- 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
- 点击 Save(保存)。
- Service Usage Admin (
-
Enable the Cloud Asset, Cloud Pub/Sub, Cloud Resource Manager, Compute Engine, Policy Analyzer, and Recommender APIs.
在 Google Cloud 控制台中,前往 Security Command Center 的风险概览页面。
确认您正在查看要为其激活 Security Command Center Enterprise 层级的组织。
在 Security Command Center 页面上,点击获取 Security Command Center。
在 Security Command Center Enterprise 使用入门页面上,查看要配置的服务账号和 API,然后点击激活企业版。
- 如需查看将要创建的服务账号,请点击查看服务账号和权限。
- 如需查看将要启用的 API,请点击查看 Security Command Center Enterprise API。
- 如需查看条款及条件,请点击 Security Command Center Enterprise 条款及条件。
如果您没有看到 Security Command Center Enterprise 使用入门页面,请与 Google Cloud 销售团队联系,确认您的订阅使用权是否有效。
下一个页面会显示不同的视图,具体取决于您的环境。
如果您已有 Google SecOps 实例,系统会提示您使用现有实例或创建新实例。继续执行第 5 步以选择实例类型。
如果您没有现有的 Google SecOps 实例,请继续执行第 6 步以创建新的 Google SecOps 实例。
选择以下任一选项以创建新实例或使用现有实例。
选择是,请为我关联到现有的 Google Security Operations 实例,然后从菜单中选择一个实例。继续执行第 7 步以开始激活。
该菜单会显示与您要激活 Security Command Center Enterprise 的组织关联的 Google SecOps 实例。每个项目都包含 Google SecOps 客户 ID、其预配区域以及与其关联的 Google Cloud 项目名称。您无法选择与 Security Command Center Enterprise 不兼容的实例。
该页面提供了指向所选 Google SecOps 实例的链接,以便您进行验证。如果您在打开实例时收到错误消息,请检查您是否拥有访问该实例所需的 IAM 权限。
选择否,请为我创建一个新的 Google Security Operations 实例,然后继续执行第 6 步以创建新的 Google SecOps 实例。
如需创建新的 Google SecOps 实例,请提供其他设置详情。
指定贵公司的联系信息。
- 技术支持联系人:输入个人电子邮件地址或群组电子邮件地址。
- 公司名称:输入贵公司的名称。
选择将预配 Google 安全运营的位置类型。
- 区域:选择单个区域。
- 多区域:选择多区域位置。
此位置信息仅用于 Google SecOps,而不用于其他 Security Command Center 功能。如需查看受支持的区域和多区域的列表,请参阅 SecOps 服务位置页面。
点击下一步,然后选择专用的管理项目。您在上一步中创建了专用管理项目。
如果您选择的项目已与现有 Google SecOps 实例相关联,则在开始激活时会收到错误消息。
继续执行第 7 步以开始激活。
点击 Activate(激活)。系统会显示设置指南页面和配置状态。您的安全运营功能可能需要一段时间才能准备就绪,并且您才能看到相关发现。
在 Google Cloud 控制台中,前往 Security Command Center 的风险概览页面。
依次前往 设置 > 层级详情。
确认您查看的是已激活 Security Command Center Enterprise 层级的组织。
点击查看设置指南。
如果您使用的是 Amazon Web Services (AWS),并且希望将 Security Command Center 与 AWS 相关联以进行漏洞和风险评估,请点击第 3 步:设置 Amazon Web Services (AWS) 集成。如需查看相关说明,请参阅连接到 AWS 以进行漏洞检测和风险评估。
如需添加用户和群组以执行安全操作,请点击第 4 步:设置用户和群组。如需了解相关说明,请参阅使用 IAM 控制对 SecOps 功能的访问权限。
如需配置安全编排、自动化和响应 (SOAR),请点击第 5 步:配置集成。根据 Google Security Operations 实例的设置,您的用例可能已安装。如果未安装该插件,请与您的客户代表或 Google Cloud 销售团队联系。如需与工单系统集成,请参阅将 Security Command Center Enterprise 与工单系统集成。
如需配置将数据注入到安全信息和事件管理 (SIEM) 中,请点击第 6 步:配置日志提取。您必须配置数据注入,才能启用精选检测和云基础架构权限管理等功能。如需了解相关说明,请参阅连接到 AWS 以进行日志提取。
如需监控 Google Cloud 组织中的敏感数据,请点击设置敏感数据保护。如需了解相关说明,请参阅启用敏感数据发现。
如需增强代码安全性,请点击设置代码安全性。如需了解相关说明,请参阅与 Assured OSS 集成以实现代码安全。
- 了解如何处理 Security Command Center 发现结果。
- 了解 Google Cloud 安全来源。
- 利用 Google Security Operations 精选的检测功能调查威胁。
如需验证 Google SecOps,您还需要:
在管理项目中配置权限并启用 API
配置通知联系人
配置重要联系人,以便您的安全管理员能够接收重要通知。如需了解相关说明,请参阅管理通知联系人。
激活 Security Command Center Enterprise 层级
激活流程会自动配置 Security Command Center Enterprise 中包含的服务账号、权限和服务。您可以连接到现有的 Google SecOps 标准版、企业版或企业 Plus 版实例,也可以预配新的实例。
您可以使用 Google Cloud 控制台中的设置向导配置其他功能。
配置其他 Security Command Center 功能
Google Cloud 控制台中的设置向导包含 6 个步骤和其他配置建议。激活 Security Command Center 时,您会完成前两个步骤。您可以根据贵组织的要求,逐步完成剩余步骤和建议。