本页将简要介绍激活流程, 都会发生在您启用 Security Command Center 时生效。它旨在解答常见问题:
- 启用 Security Command Center 后会出现什么情况?
- 为什么首次扫描开始之前会有延迟?
- 首次扫描和持续扫描预计需要多少运行时间?
- 更改资源和设置对性能有何影响?
概览
首次启用 Security Command Center 时,必须完成激活流程 然后 Security Command Center 才能开始扫描您的资源。然后, 您必须完成相应设置,然后才能看到关于您的 Google Cloud 环境。
完成激活过程和扫描所需的时间取决于 一系列因素,包括您网站中的资源和资源的数量 以及当前环境下是否激活 Security Command Center 组织级别 或项目级别。
启用组织级激活后,Security Command Center 必须重复执行 为每个项目激活流程的特定步骤, 组织。根据组织中的项目数量 激活过程所需的时间从几分钟到 。对于项目数超过 10 万个的组织, 每个项目都包含大量资源,以及其他复杂因素, 启用和初始扫描最长可能需要 24 小时或更长时间才能完成。
在项目级激活 Security Command Center 后, 该过程的速度要快得多,因为此过程仅限于 已启用的 Security Command Center。
可能导致启动扫描、处理过程中出现延迟的因素 以下内容讨论了设置更改,以及扫描的运行时间 部分。
拓扑
下图简要介绍了初始配置和启用过程。
初始配置延迟时间
在扫描开始之前,Security Command Center 会发现您的资源并将其编入索引。
已编入索引的服务包括 App Engine、BigQuery、Cloud SQL、Cloud Storage、Compute Engine、Identity and Access Management 和 Google Kubernetes Engine。
对于 Security Command Center 的项目级激活,发现和 索引编制仅限于 Security Command Center 所在的单个项目 已启用。
对于组织级别的激活,Security Command Center 会发现并 可为整个组织中的资源编制索引。
在执行此初始配置流程期间,我们会执行两个关键步骤。
资源扫描
Security Command Center 执行初始资源扫描,以识别项目、文件夹、文件、集群、身份和访问权限政策、注册的用户和其他资源的总数、位置和状态。此过程通常在几分钟内完成。
API 激活
发现资源时,Security Command Center 启用运行 Security Health Analytics、Event Threat Detection、Container Threat Detection 和 Web Security Scanner 所需的 Google Cloud 部分。部分检测服务需要在受保护的项目上启用特定的 API 才能正常运行。
在项目级别激活 Security Command Center 时,API 将 通常只需不到一分钟的时间
在组织级激活后,Security Command Center 会反复检查 您选择进行扫描的所有项目,以启用必要的 API。
组织中的项目数量基本上决定了初始配置和启用流程的时间长度。由于必须逐一为项目激活 API,因此 API 激活是最耗时的任务,尤其是项目数量超过 10 万个的组织。
跨项目启用服务所需的时间是线性增长的。这表示在项目数量 3 万个的组织中启用服务和安全设置需要花费的时间是项目数量 1.5 万个的组织的两倍。
对于拥有 10 万个项目的组织,高级层级的初始配置和启用应在 5 小时内完成。您的时间可以 取决于多种因素,包括项目或容器的数量 您正在使用的 Security Command Center 服务数量 选择启用
扫描延迟时间
设置 Security Command Center 时,您需要决定要启用哪些内置和集成服务,并选择 Google Cloud 资源以针对威胁和漏洞进行分析或扫描。为项目激活 API 时,选定的服务将开始扫描。这些扫描的持续时间还取决于组织中的项目数量。
初始扫描完成后,内置服务即可提供发现结果。服务会遇到延迟,如下所述。
- Container Threat Detection 具有以下延迟时间:
- 对于新加入的项目,激活延迟时间最长可达 3.5 小时,或者 组织。
- 新创建的集群的启用延迟时间(几分钟)。
- 已激活的集群中的威胁检测延迟时间(分钟数)。
Event Threat Detection 会在数秒内激活(适用于内置) 检测器。对于新的或更新的自定义检测器,此过程最多可能需要 15 分钟 以使更改生效。在实际使用时 分钟。
对于内置和自定义检测器, 延迟时间通常不到 15 分钟(从写入日志时算起) Security Command Center 中提供发现结果。
Security Health Analytics 扫描大约会在服务启用一小时后开始。第一次 Security Health Analytics 扫描可能需要长达 12 小时才能完成。之后,大多数检测会根据资源配置更改实时运行(如需详细了解例外情况,请参阅 Security Health Analytics 检测延迟时间。
对于新发布的 VM Threat Detection,启用延迟时间最长为 48 小时 新员工入职的组织。对于项目,激活延迟时间最长为 15 分钟。
Amazon Web Services (AWS) 漏洞评估开始扫描资源 在要求发出电子邮件大约 15 分钟后 CloudFormation 模板排在首位 。检测到软件漏洞时 ,则相应的发现结果将在 Security Command Center 大约 10 分钟后。
完成扫描所需的时间取决于 EC2 的数量 实例。通常,扫描单个 EC2 实例所需的时间不到 5 分钟。
在启用服务之后,Web Security Scanner 扫描可能需要长达 24 小时才能启动,并在首次扫描后每周运行。
Security Command Center 会运行错误检测器,可检测与 Security Command Center 及其服务相关的配置错误。这些错误检测器默认处于启用状态,且无法停用。检测延迟时间会因具体错误检测器而异。如需了解详情,请参阅 Security Command Center 错误。
Security Command Center 的 IAM 角色可以在组织、文件夹或项目级层授予。您能否查看、修改、创建或更新发现结果、资产和安全来源,取决于您获授予的访问权限级别。如需详细了解 Security Command Center 角色,请参阅访问权限控制。
初步发现结果
初次使用时,您可能会在 Google Cloud 控制台中看到一些发现结果 尚未完成新手入门流程。
初步发现结果准确且可作为行动依据,但并不全面。不推荐您在前 24 小时内使用这些发现结果进行合规性评估。
后续扫描
在组织或项目中进行的更改(例如移动资源或添加新文件夹和项目 [对于组织级层的激活])通常不会显著影响资源发现时间或扫描的运行时。但是,某些扫描按设置时间表进行,这些时间表决定了 Security Command Center 检测更改的速度。
- Event Threat Detection 和 Container Threat Detection:这些服务在启用后便会实时运行,并立即在已启用项目中检测新资源或更改过的资源(例如集群、存储桶或日志)。
- Security Health Analytics:Security Health Analytics 在启用后便会实时运行,且在几分钟后便会检测新资源或更改过的资源(但以下所列的检测除外)。
- 虚拟机威胁检测:对于内存扫描,虚拟机威胁检测会扫描每个虚拟机实例
紧跟在
实例。此外,VM Threat Detection 每 30 分钟扫描一次每个虚拟机实例。
- 对于加密货币挖矿检测,VM Threat Detection 会生成 每个虚拟机每天每个进程的发现结果数量。每个发现结果仅包含与 通过发现结果确定的过程。如果 VM Threat Detection 发现威胁,但无法将其与任何进程相关联,则对于每个虚拟机,VM Threat Detection 会将所有未关联的威胁分组到一个发现结果中,该发现结果每 24 小时发出一次。对于任何存在时间超过 24 小时的威胁,VM Threat Detection 会每 24 小时生成一次新发现结果。
- 对于内核模式 rootkit 检测(预览版),虚拟机威胁检测会生成一个 每三天为每个类别、每个虚拟机找到的发现结果数量。
对于永久性磁盘扫描(用于检测是否存在已知恶意软件),虚拟机威胁检测 至少每天扫描一次每个虚拟机实例。
AWS 漏洞评估每天运行三次扫描。
完成扫描所需的时间取决于 EC2 的数量 实例。通常,扫描单个 EC2 实例所需的时间不到 5 分钟。
检测到软件漏洞时 ,则相应的发现结果将在 Security Command Center 大约 10 分钟后。
Web Security Scanner:Web Security Scanner 每周运行一次,在初始扫描的同一天运行。由于 Web Security Scanner 每周运行一次,因此它不会实时检测变化。如果您移动资源或更改应用,则可能长达一周都检测不到更改。您可以运行按需扫描,以在定时运行的扫描之间检查新资源或更改过的资源。
Security Command Center 错误检测器以批量模式定期运行。批量扫描频率会因具体错误检测器而异。如需了解详情,请参阅 Security Command Center 错误。
Security Health Analytics 检测延迟时间
在启用服务后以及相关资产的配置发生变化时,Security Health Analytics 检测会定期以批量模式运行。启用 Security Health Analytics 后,任何相关的资源配置更改都会导致更新后的错误配置发现结果。在某些情况下,更新可能会花费几分钟,具体取决于资产类型和更改。
某些 Security Health Analytics 检测器不支持实时扫描模式,例如,针对资源配置外部的信息运行检测。下表中所列的这些检测会定期运行,并在 12 小时内识别配置错误。如需详细了解 Security Health Analytics 检测器,请参阅漏洞和发现结果。
| 不支持实时扫描模式的 Security Health Analytics 检测 |
|---|
| COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
| MFA_NOT_ENFORCED(以前称为 2SV_NOT_ENFORCED) |
| OS_LOGIN_DISABLED |
| SQL_NO_ROOT_PASSWORD |
| SQL_WEAK_ROOT_PASSWORD |
攻击路径模拟
攻击路径模拟大约每六小时运行一次。随着您的 Google Cloud 组织的大小或复杂性不断增加,间隔时间可能会增加。
首次激活 Security Command Center 时,模拟攻击路径 使用默认的高价值资源集,其中包含 支持的资源类型。
当您通过创建资源值配置开始定义自己的高价值资源集时,如果高价值资源集中的资源实例数远低于默认集,则您可能会看到模拟间隔时间缩短。