Security Command Center Enterprise 級別提供多項安全性強化功能,包括:
- 使用 Google Security Operations 進行進階安全營運
- 與其他 Google Cloud 產品整合,例如 Mandiant Attack Surface Management、Sensitive Data Protection 和 Assured OSS
- 支援多雲端
- 風險分析
如要瞭解 Enterprise 級別的功能,請參閱「服務級別」。
您可以使用 Google Cloud 控制台中的設定指南,完成 Enterprise 方案的啟用程序。完成初始必要工作後,請完成其他步驟,設定貴機構需要的選用功能。
如要瞭解價格和如何訂閱,請參閱「Security Command Center 定價」。
如要瞭解如何啟用其他層級的 Security Command Center,請參閱「為機構啟用 Security Command Center Standard 或 Premium 級別」。
事前準備
首次啟用 Security Command Center 前,請先完成下列操作:
- 規劃啟用程序
- 建立機構
- 建立管理專案
- 設定權限和 API
- 設定通知聯絡人
規劃啟用程序
本節說明啟用程序前需要準備的決策和資訊。
決定是否啟用資料落地支援
啟用 Security Command Center 時,您可以啟用資料落地支援功能,進一步控管 Security Command Center 資料的儲存位置。Google Security Operations 一律會啟用資料落地設定。
如果是 Enterprise 服務層級,啟用 Security Command Center 及資料落地控管機制之前,請務必與 Google Cloud 帳戶代表聯絡,並排定啟用 Security Command Center 的日期和時間。啟用後,您的帳戶代表會協助確保 Google SecOps 執行個體的設定完全支援資料落地控管機制。在貴機構啟用資料落地設定後,就無法停用這項設定。
如果您使用 Standard 或 Premium 服務層級,升級至 Enterprise 層級不會變更 Security Command Center 資料的位置。如果您未啟用 Standard 或 Premium 級別的 Security Command Center 資料落地設定,升級至 Enterprise 級別時就無法啟用這項設定。
確認支援聯絡人
啟用新的 Google SecOps 執行個體時,您會提供公司名稱和聯絡窗口的電子郵件地址。找出貴機構的聯絡窗口。這項設定與「重要聯絡人」無關。
選擇 Google SecOps 設定
啟用時,您會將 Security Command Center Enterprise 連結至 Google SecOps 執行個體。
連線至現有執行個體
您無法將 Security Command Center Enterprise 連線至現有的 Google SecOps SIEM 獨立或 Google SecOps SOAR 獨立執行個體。如對 Google SecOps 執行個體類型有疑問,請洽詢 Google Cloud 業務代表。
選取現有的 Google SecOps 執行個體後,「連線至 SecOps 執行個體」頁面會提供執行個體的連結,方便您驗證所選項目。您必須具備該執行個體的存取權,才能驗證。
您至少需要管理專案的「Chronicle API Restricted Data Access Viewer」(roles/chronicle.restrictedDataAccessViewer) 角色,才能登入執行個體。
如果您使用已設定工作團隊身分聯盟的現有 Google SecOps 執行個體,佈建 Security Command Center,則必須更新工作團隊身分集區,新增權限才能存取 Security Operations 控制台頁面中的功能,這些功能適用於 Security Command Center Enterprise。詳情請參閱「控管 Security Operations 控制台頁面中的功能存取權」頁面。
佈建新執行個體
您佈建新執行個體時,只有新執行個體會與 Security Command Center 建立關聯。使用 Security Command Center 時,您會在Google Cloud 控制台和新佈建的 Security Operations 控制台頁面之間切換。
啟用時,請指定要佈建新 Google SecOps 執行個體的位置。如需支援的單一區域和多區域清單,請參閱 SecOps 服務位置頁面。 這個位置僅適用於 Google SecOps,不適用於其他 Security Command Center 功能或服務。
每個 Google SecOps 執行個體都必須有專屬的管理專案,且您必須擁有並管理該專案。這個專案必須位於您啟用 Security Command Center Enterprise 的機構中。您無法為多個 Google SecOps 執行個體使用相同的管理專案。
如果您已有 Google SecOps 執行個體,並為 Security Command Center Enterprise 佈建新的執行個體,這兩個執行個體會使用相同的直接擷取 Google Cloud 資料設定。相同的設定會控管資料擷取作業,並將資料傳送至 Google SecOps 執行個體。
啟用 Security Command Center Enterprise 時,啟用程序會修改 Google Cloud 記錄擷取設定,將所有資料類型欄位設為啟用:Google Cloud Logging、Cloud 資產中繼資料和 Security Command Center Premium 發現項目。匯出篩選器設定不會變更。Security Command Center Enterprise 需要這些資料類型,才能確保所有功能正常運作。啟用完成後,您就能變更 Google Cloud 記錄擷取設定。
建立機構
Security Command Center 需要與網域相關聯的機構資源。如果您尚未建立機構,請參閱建立及管理機構。
如果您有多個機構,請找出要啟用 Security Command Center Enterprise 的機構。如要在每個組織啟用 Security Command Center Enterprise,都必須按照這些啟用步驟操作。
驗證機構政策
如果機構政策設為限制資源用量,請確認允許下列 API:
chronicle.googleapis.comsecuritycenter.googleapis.comsecuritycentermanagement.googleapis.com
建立管理專案
Security Command Center Enterprise 需要專案 (稱為「管理專案」),才能啟用 Google SecOps 和 Mandiant Attack Surface Management 整合功能。建議您專門使用這個專案來執行 Security Command Center Enterprise。
如果您先前已啟用 Google SecOps,且想連線至現有執行個體,請使用已連線至 Google SecOps 的現有管理專案。
如要佈建新的 Google SecOps 執行個體,請建立專用於新執行個體的管理專案。請勿重複使用已連線至其他 Google SecOps 執行個體的管理專案。
Google SecOps 不支援使用 VPC Service Controls 服務範圍內的管理專案。
進一步瞭解如何建立及管理專案。
設定權限和 API
請使用本節資訊,設定啟用 Security Command Center Enterprise 所需的權限:
進一步瞭解 Security Command Center 角色和 Google Cloud API。
設定機構的權限
Make sure that you have the following role or roles on the organization:
-
Organization Administrator (
roles/resourcemanager.organizationAdmin) - Cloud Asset Owner (
roles/cloudasset.owner) - Security Center Admin (
roles/securitycenter.admin) - Security Admin (
roles/iam.securityAdmin) - Chronicle Service Viewer (
roles/chroniclesm.viewer)
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
前往 IAM - 選取機構。
- 按一下「授予存取權」。
-
在「New principals」(新增主體) 欄位中,輸入您的使用者 ID。 這通常是 Google 帳戶的電子郵件地址。
- 在「Select a role」(選取角色) 清單中,選取角色。
- 如要授予其他角色,請按一下 「新增其他角色」,然後新增每個其他角色。
- 按一下 [Save]。
- 在 Google Cloud 控制台中,確認您正在查看要啟用 Security Command Center Enterprise 方案的機構。
- 選取您先前建立的管理專案。
-
Make sure that you have the following role or roles on the project:
- Service Usage Admin (
roles/serviceusage.serviceUsageAdmin) - Service Account Token Creator (
roles/iam.serviceAccountTokenCreator) - Chronicle API Admin (
roles/chronicle.admin) - Chronicle Service Admin (
roles/chroniclesm.admin) - Chronicle SOAR Admin (
roles/chronicle.soarAdmin) - Service Account Key Admin (
roles/iam.serviceAccountKeyAdmin) - Service Account Admin (
roles/iam.serviceAccountAdmin)
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the project.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
前往「身分與存取權管理」頁面 - 選取專案。
- 按一下「授予存取權」。
-
在「New principals」(新增主體) 欄位中,輸入您的使用者 ID。 這通常是 Google 帳戶的電子郵件地址。
- 在「Select a role」(選取角色) 清單中,選取角色。
- 如要授予其他角色,請按一下 「新增其他角色」,然後新增每個其他角色。
- 按一下 [Save]。
Enable the Cloud Asset, Cloud Pub/Sub, Cloud Resource Manager, Compute Engine, Policy Analyzer, and Recommender APIs.
使用現有的 Google SecOps 執行個體時,請建立服務帳戶
如果您打算連線至現有的 Google SecOps 執行個體,請建立使用者管理的服務帳戶,並將下列角色授予該服務帳戶:
- 在您打算啟用 Security Command Center 的機構層級,具備
Chronicle SOAR 服務代理 (
roles/chronicle.soarServiceAgent) 和 Pub/Sub 管理員 (roles/pubsub.admin) 角色。 - 管理專案中的
Chronicle 服務代理 (
roles/chronicle.serviceAgent)。
設定通知聯絡人
設定重要聯絡人,讓安全管理員接收重要通知。如需操作說明,請參閱「管理通知聯絡人」。
啟用 Security Command Center Enterprise 級別
啟動程序會自動設定服務帳戶、權限,以及 Security Command Center Enterprise 隨附的服務。您可以連線至現有的 Google SecOps Standard、Enterprise 或 Enterprise Plus 執行個體,也可以佈建新的執行個體。
前往 Google Cloud 控制台的 Security Command Center「風險總覽」頁面。
確認您目前查看的機構,是您要啟用 Security Command Center Enterprise 方案的機構。
在 Security Command Center 頁面中,按一下「取得 Security Command Center」。
在「開始使用 Security Command Center Enterprise」頁面,檢查要設定的服務帳戶和 API,然後按一下「下一步」。
- 如要查看即將建立的服務帳戶,請按一下「查看服務帳戶和權限」。
- 如要查看將啟用的 API,請按一下「查看 Security Command Center Enterprise API」。
- 如要查看條款及細則,請按一下「Security Command Center Enterprise 條款及細則」。
如果沒有看到「開始使用 Security Command Center Enterprise」頁面,請與Google Cloud 銷售團隊聯絡,確認您的訂閱授權是否有效。
下一頁會根據您的環境顯示不同檢視畫面。
如果您有現有的 Google SecOps 執行個體,系統會提示您使用現有執行個體或建立新執行個體。繼續步驟 5,選擇執行個體類型。
如果沒有現有的 Google SecOps 執行個體,請繼續執行步驟 6,建立新的 Google SecOps 執行個體。
如果機構已連結至 Google SecOps 執行個體,請選擇下列其中一個選項。如果未連結至 Google SecOps 執行個體,請繼續執行步驟 6,建立新的 Google SecOps 執行個體。
選取「是,連結現有的 Google Security Operations 執行個體」,然後從選單中選擇執行個體。請繼續步驟 7,開始啟用。
選單會顯示與您要啟用 Security Command Center Enterprise 的機構相關聯的 Google SecOps 執行個體。每個項目都包含 Google SecOps 客戶 ID、佈建的區域,以及相關聯的 Google Cloud 專案名稱。您無法選取與 Security Command Center Enterprise 不相容的執行個體。
這個頁面會提供所選 Google SecOps 執行個體的連結,方便您進行驗證。如果開啟執行個體時發生錯誤,請確認您具備存取執行個體所需的 IAM 權限。
選取「否,建立新的 Google Security Operations 執行個體」,然後繼續執行步驟 6,建立新的 Google SecOps 執行個體。
如要建立新的 Google SecOps 執行個體,請提供其他設定詳情。
指定公司聯絡資訊。
- 技術支援聯絡人:輸入個人或群組電子郵件地址。
- 公司名稱:輸入貴公司名稱。
選取要佈建 Google Security Operations 的「位置類型」。
- 「Region」(地區):選取單一地區。
- 多區域:選取多區域位置。
這個位置資訊僅供 Google SecOps 使用,不適用於其他 Security Command Center 功能。如需支援的單一區域和多區域清單,請參閱 SecOps 服務位置頁面。
按一下「下一步」,然後選取專屬的「管理專案」。您在先前的步驟中建立了專屬管理專案。
如果您選取的專案已連結至現有的 Google SecOps 執行個體,啟動時會發生錯誤。
請繼續步驟 7,開始啟用。
點選 [Activate] (啟用),系統隨即會顯示「風險總覽」頁面。
系統會自動啟用特定服務,例如安全狀態分析、Event Threat Detection、Virtual Machine Threat Detection。安全作業功能準備就緒並顯示發現項目,可能需要一段時間。
繼續監控啟用進度及設定服務。
監控啟用進度及設定服務
設定指南會顯示佈建狀態,並讓您查看已啟用的服務。您可以設定其他服務,以及設定與其他雲端服務供應商的連線。
在 Google Cloud 控制台中,前往 Security Command Center 設定指南。
選取啟用 Security Command Center Enterprise 的機構。
展開「查看安全功能摘要」面板。每個面板都會顯示相關服務的啟用狀態。
如要連線至 Amazon Web Services (AWS) 或 Microsoft Azure,請按一下「新增」新增連結器。系統會開啟「設定」頁面的「連結器」分頁。
如需其他操作說明,請參閱下列文章:
按一下任一面板中的「設定」,即可設定其他服務和功能。 如要進一步瞭解各項功能,請使用下表中的連結。
功能面板名稱 進一步瞭解這些功能 AI 保護 程式碼安全性 雲端威脅偵測 資料安全性 身分與存取權安全防護 防護機制與法規遵循 回應平台 安全漏洞評估
設定權限,以便持續使用 Security Command Center Enterprise
如要變更機構設定,您必須在機構層級具備下列兩個角色:
如果使用者不需要編輯權限,請考慮授予檢視者角色。
如要在 Security Command Center 中查看所有資產、發現項目和攻擊路徑,使用者必須在機構層級具備安全中心管理員檢視者 (
roles/securitycenter.adminViewer) 角色。如要查看設定,使用者必須在機構層級具備 安全中心管理員 (
roles/securitycenter.admin) 角色。如要限制個別資料夾和專案的存取權,請勿在機構層級授予所有角色。請改為在資料夾 或 專案層級授予下列角色:
-
安全中心資產檢視者 (
roles/securitycenter.assetsViewer) - 安全中心發現項目檢視者
(
roles/securitycenter.findingsViewer)
啟用或設定各項偵測服務時,可能需要額外權限。詳情請參閱各項服務的專屬說明文件。
如要使用Security Command Center Enterprise 支援的 Security Operations 控制台功能,請參閱「控管 Security Operations 控制台頁面的功能存取權」。
後續步驟
- 瞭解如何使用 Security Command Center 發現項目。
- 瞭解Google Cloud 安全性來源。
- 運用 Google Security Operations 精選偵測功能調查威脅。
- Service Usage Admin (