此页面由 Cloud Translation API 翻译。

Security Command Center 概览

本页面简要介绍了风险管理解决方案 Security Command Center 而企业版层级会将云安全和企业安全运维，并提供数据洞见。

Security Command Center 助力安全运维合规中心 (SOC) 分析师、漏洞和状况分析师、合规性和其他安全专业人员，以快速评估、调查、并对多个平台上的安全问题作出响应和云端环境

每个云部署都有其独特的风险。Security Command Center 可以助您一臂之力您了解并评估项目的攻击面， Google Cloud 上的组织，其他云环境以适当的方式保护您的资源 Security Command Center 可帮助您了解漏洞和威胁，并优先修复这些漏洞。

Security Command Center 可与许多 Google Cloud 服务集成来检测多个云环境中的安全问题。这些服务以多种方式检测问题，例如扫描资源元数据、扫描云端日志、扫描容器和扫描虚拟机。

其中一些集成服务，例如 Google Security Operations 和 Mandiant 提供的解决方案，是确定调查和响应的轻重缓急的关键，与已检测到的问题有关

管理威胁

在高级层级和企业层级中，Security Command Center 会同时使用内置和集成式 Google Cloud 服务来检测威胁。这些服务会扫描您的 Google Cloud 日志容器和虚拟机来寻找威胁指标。

当 Event Threat Detection 或 Container Threat Detection 等服务检测威胁指示信号，就会发出发现。发现结果是报告或记录个别威胁或其他问题，发现一项服务。引发问题的服务发现结果也称为发现结果来源。

在 Security Command Center Enterprise 中，发现结果会触发提醒，具体取决于发现结果的严重程度可以生成支持请求。您可以将支持请求与工单系统搭配使用指派所有者调查并响应一条或多条提醒情况。Security Command Center 中生成提醒和支持请求的过程如下：由 Google SecOps 提供支持。

Security Command Center Enterprise 还可以检测您部署中的威胁其他云平台上都没有问题要检测其他云平台上部署中的威胁，在您完成配置后，Security Command Center 会从其他云平台注入日志，建立连接从其他云平台注入日志由 Google SecOps 提供支持

如需了解详情，请参阅以下页面：

威胁检测与响应功能

利用 Security Command Center，SOC 分析师可以实现以下安全性目标：

检测您的云环境中指示潜在威胁的事件，并对相关的发现结果或提醒进行分类。
分配负责人，并通过集成支持请求工作流。您也可以根据需要票务系统，例如 Jira 或 ServiceNow。
通过强大的搜索和交叉引用来调查威胁警报 capabilities.
定义响应工作流并自动执行相应操作，以解决潜在的云环境的攻击如需详细了解如何定义以及策略方案，包括响应工作流程和自动化操作，请参阅使用 playbook。
忽略或排除误报的发现结果或提醒。
关注与被盗用的身份和访问权限相关的威胁。
使用 Security Command Center 检测、调查和应对潜在的其他云环境（例如 AWS）中的威胁。

管理漏洞

Security Command Center 提供全面的漏洞检测功能自动扫描环境中的资源软件漏洞、配置错误和其他类型的安全措施可能会使您遭到攻击的问题总体而言，这些类型的问题以下统称为漏洞。

Security Command Center 同时使用内置和集成的 Google Cloud 服务来检测安全问题。发出发现结果的服务也称为发现结果来源。当服务检测到问题时，它会发出发现结果来记录问题。

默认情况下，对于严重程度为“高”的支持请求，系统会自动打开该支持请求 “严重”漏洞发现结果，可帮助您确定修复。您可以分配所有者并跟踪修复进度和支持请求

详情请参阅以下内容：

危险组合

Security Command Center Risk Engine，Enterprise 的一项功能可检测同时发生时的一组安全问题则应该创建一条或多条路径确定的攻击者可能使用的高价值资源获取和危害这些资源。

这类模式化的安全问题称为 毒性组合。当 Risk Engine 检测到有毒组合时，它会发出发现结果。对于发现的每种恶意组合 Security Command Center 在 Security Operations 控制台中创建支持请求，这样您可以管理和跟踪有毒组合的解决情况。

如需了解详情，请参阅恶意组合概览。

软件漏洞

为了帮助您识别和了解软件漏洞并确定其优先级， Security Command Center 可以评估虚拟机 (VM) 和容器以查找漏洞对于检测到的每个 Security Command Center 提供有关发现结果记录或发现结果。发现结果中提供的信息包括：

受影响资源的详细信息
任何相关 CVE 记录（包括评估）的相关信息 CVE 项目的影响和可利用性
攻击风险得分有助于您确定修复优先级
攻击者可能经过的路径的可视化表示存在漏洞的高价值资源

以下服务可检测软件漏洞：

虚拟机管理器适用于 Compute Engine 虚拟机上的操作系统
Google Kubernetes Engine 安全状况信息中心容器操作系统
Amazon Web Services (AWS) 漏洞评估适用于 AWS 上的 EC2 实例
Web Security Scanner 适用于在 App Engine 上运行的 Web 应用 Google Kubernetes Engine (GKE) 和 Compute Engine

错误配置

Security Command Center 会映射常见行业合规性标准的控制措施配置错误。除了向您显示错误配置所遵循的合规性标准之外，此映射可让您了解自己对然后您可以将这些标准导出为报告

如需了解详情，请参阅评估和报告合规性。

状况违规

Security Command Center 的高级层级和企业层级包括 Security Posture 服务，违反安全指南中定义的政策您部署在云环境中的安全状况。

如需了解详情，请参阅 Security Posture 服务。

验证基础架构即代码

您可以验证基础设施即代码 (IaC) 文件是否符合您在项目中指定的组织政策和 Security Health Analytics 检测器 Google Cloud 组织。此功能有助于确保您违反贵组织的标准的资源。定义好组织政策并根据需要启用 Security Health Analytics 服务，您可以使用 Google Cloud CLI 验证您的 Terraform 计划文件，或者您可以将验证流程集成到 Cloud Build、Jenkins 或 GitHub Actions 开发者工作流。有关详情，请参阅验证 IaC 针对贵组织的政策。

检测其他云平台上的漏洞和错误配置

Security Command Center Enterprise 可以在多个位置检测漏洞，和云端环境检测其他云服务中的漏洞提供商，您首先需要与提供商建立连接注入资源元数据

如需了解详情，请参阅连接到 AWS 以进行漏洞检测和风险评估。

漏洞和状况管理功能

借助 Security Command Center、漏洞分析师、安全状况管理员、和类似的安全专业人员可以实现以下安全目标：

检测不同类型的漏洞，包括软件漏洞，错误配置和状况违规，可能会导致您的云潜在的攻击
将响应和补救工作重点放在风险最高的问题上通过使用针对云计算的攻击结果和警报的攻击风险得分，漏洞
分配负责人并跟踪漏洞修复进度，具体方法为：用例以及集成首选票务系统（例如 Jira）即 ServiceNow
主动保护云环境中的高价值资源降低攻击风险得分
为您的云环境定义自定义安全状况， Security Command Center 用于评估您的安全状况并提醒您注意违规行为。
忽略或排除误报的发现结果或提醒。
重点关注与身份和过度相关的漏洞权限。
在 Security Command Center 中检测和管理漏洞和风险 AWS 等云环境的评估。

通过攻击风险得分和攻击路径评估风险

在组织级激活高级和企业层级后， Security Command Center 提供高价值资源和漏洞的暴露风险得分影响高价值资源的错误配置发现结果。

您可以根据这些分数来确定漏洞修复优先级和错误配置等风险，以将您的最暴露的高价值资源，并且通常会评估您的云环境的优势

在 Google Cloud 控制台风险概览页面的活跃漏洞窗格中， 发现结果（按攻击风险得分）标签页，显示您环境中攻击风险得分最高的发现结果，以及发现结果得分的分布。

如需了解详情，请参阅攻击风险得分和攻击路径。

通过支持请求管理发现结果和提醒

Security Command Center Enterprise 可创建案例，帮助您管理发现结果并创建提醒、分配负责人、管理调查和响应，检测到安全问题。对于严重程度高的支持请求，系统会自动创建支持请求严重级别为“严重”的问题

您可以将支持请求与您的首选工单系统（例如 Jira）集成即 ServiceNow案例更新后，该案例的所有未结工单可以自动更新同样，如果更新了票据，相应案例也可以更新。

案例功能由 Google SecOps 提供支持。

如需了解详情，请参阅支持请求概览。

定义响应工作流和自动化操作

定义响应工作流并自动执行调查和响应操作以防范在您的云环境中检测到的安全问题。

有关定义响应工作流和自动化以及由 Google SecOps 提供支持的策略方案，请参阅使用 playbook。

多云支持：保护您在其他云平台上的部署

您可以扩展 Security Command Center 服务和功能，以涵盖您的在其他云平台上进行部署在一个位置集中管理所有所有云环境中都存在此问题。

如需详细了解如何将 Security Command Center 连接到云服务提供商，请参阅以下页面：

如需了解威胁检测，请参阅连接到 AWS 以进行威胁检测
如需了解漏洞检测和攻击风险得分，请参阅连接到 AWS 以进行漏洞检测和风险评估

支持的云服务提供商

Security Command Center 可以连接到 Amazon Web Services (AWS)。

定义和管理安全状况

激活组织级的高级和企业层级后您可以创建和管理Security Command Center 定义您的云资产（包括您的云网络和云服务，让您的云环境实现最佳安全性。您可以自定义安全状况，以匹配企业的安全和监管需求。通过定义安全状况，您可以最大限度地降低并帮助防止攻击的发生

您可以使用 Security Command Center Security Posture 服务来定义和部署安全状况并检测任何偏移或未经授权的更改。

安全状况服务会自动启用在组织级别启用 Security Command Center。

如需了解详情，请参阅安全状况概览。

标识您的资产

Security Command Center 包含来自 Cloud Asset Inventory、用于持续监控云中的资产环境对于大多数资产而言，配置更改包括近乎实时地检测 IAM 和组织政策。

在 Google Cloud 控制台的资产页面上，您可以快速应用、修改和运行示例资产查询，添加预设的时间限制，或者可以编写自己的资源查询

如果您使用 Security Command Center 的高级层级或企业层级，您有哪些资源被指定为 高价值资源，用于风险评估，攻击路径模拟。

您可以快速识别组织或项目中的更改，并回答如下问题：

您有多少个项目？它们是何时创建的？
部署或使用了哪些 Google Cloud 资源，例如 Compute Engine 虚拟机 (VM)、Cloud Storage 存储桶或 App Engine 实例？
您的部署历史记录是什么？
如何跨以下类别整理、注释、搜索、选择、过滤和排序：
- 资产和资产属性
- 安全标记，可让您在 Security Command Center 中注释资产或发现结果
- 时间段

Cloud Asset Inventory 始终了解受支持资产的当前状态， Google Cloud 控制台，可用于查看历史发现扫描来比较不同时间点的素材资源。您还可以查找虚拟机或空闲 IP 地址等未充分利用的资产。

Security Command Center 中的 Gemini 功能

Security Command Center 整合了 Gemini，汇总发现结果和攻击路径，并帮助您搜索和对检测到的威胁和漏洞的调查。

如需了解 Gemini，请参阅 Gemini 概览。

发现结果和攻击路径的 Gemini 摘要

如果您使用的是 Security Command Center Enterprise 或 Security Command Center 高级方案， Gemini 提供对每项发现和每项模拟结果动态生成的解释， Security Command Center 为 Vulnerability 和 Misconfiguration 类发现结果。

摘要采用自然的语言撰写，以帮助您快速了解根据发现结果以及可能附带的任何攻击路径采取行动。

摘要显示在 Google Cloud 控制台中的以下位置：

点击单个发现结果的名称后，找到相应发现结果的详情页面顶部的
如果使用 Security Command Center 的高级层级和企业层级，具有攻击风险得分，您可以在攻击路径右侧显示摘要攻击风险得分和 AI 摘要。

AI 生成的摘要所需的 IAM 权限

如需查看 AI 摘要，您需要必要的 IAM 权限。

对于发现结果，您需要拥有 securitycenter.findingexplanations.get IAM 权限。包含此权限的最小预定义 IAM 角色是 Security Center Findings Viewer (roles/securitycenter.findingsViewer) 角色。

对于攻击路径，您需要拥有 securitycenter.exposurepathexplan.get IAM 权限。包含此权限的最小预定义 IAM 角色是 Security Center Visibility Paths Reader (roles/securitycenter.exposurePathsViewer) 角色。

在预览版期间，您无法在 Google Cloud 控制台中将这些权限添加到自定义 IAM 角色。

如需为自定义角色添加权限，您可以使用 Google Cloud CLI。

如需了解如何使用 Google Cloud CLI 为自定义角色添加权限，请参阅创建和管理自定义角色。

使用自然语言搜索进行威胁调查

您可以生成对威胁发现结果、警报和其他使用自然语言查询和 Gemini 来收集信息。通过与 Gemini 进行自然语言搜索的集成由 Google SecOps 提供支持。如需了解详情，请参阅 Google SecOps 文档中的使用自然语言生成 UDM 搜索查询。

适用于支持请求的 AI 调查 widget

为了帮助您了解和调查有关发现结果和提醒的案例， Gemini 会提供有关每个支持请求的摘要，并建议可以采取的后续措施来调查该案例。总结和后续步骤 AI 调查微件中显示的信息。

与 Gemini 的集成由 Google SecOps。

富有实用价值的安全性数据分析

Security Command Center 内置和集成的 Google Cloud 服务会持续监控资产和日志，以查找威胁和配置更改，匹配已知的威胁、漏洞和错误配置。为了为突发事件提供上下文，系统使用以下来源的信息来丰富发现结果：

使用企业版和高级层级： <ph type="x-smartling-placeholder">
- AI 生成的摘要，可帮助您了解 Security Command Center 并据此采取行动及其包含的任何攻击路径。如需更多信息请参阅 AI 生成的摘要。
- 漏洞发现结果包含相关信息（包括 CVE 得分）以及 Mandiant 的评估以及被利用的可能性
- 强大的 SIEM 和 SOAR 提供了由 Google SecOps 提供支持的搜索功能，让您可以调查威胁和漏洞，关联实体。
VirusTotal 由 Alphabet 拥有的服务，提供潜在恶意文件的背景信息、网址、网域和 IP 地址。
MITRE ATT&CK 框架以及针对云资源、指南。
Cloud Audit Logs（管理员活动日志）和数据访问日志）。

您可以近乎实时地收到新发现结果的通知，从而帮助安全团队收集数据、识别威胁以及根据建议采取相应措施来避免造成业务损害或损失。

集中查看安全状况以及强大的 API，您可以快速执行以下操作：

回答如下问题：
- 哪些静态 IP 地址对公众开放？
- 您的虚拟机上正在运行哪些映像？
- 是否有证据表明您的虚拟机被用于加密货币挖矿或其他滥用行为？
- 添加或移除了哪些服务账号？
- 防火墙是如何配置的？
- 哪些存储桶包含个人身份信息 (PII) 或敏感数据？此功能需要与敏感数据保护集成。
- 哪些云应用容易受到跨站点脚本 (XSS) 漏洞的攻击？
- 我的 Cloud Storage 存储分区是否向互联网开放？
采取措施保护您的资产：
- 针对资产配置错误和违规情况实施经过验证的修复步骤。
- 结合来自 Google Cloud 和第三方提供商（例如 Palo Alto Networks）的威胁智能，更好地保护您的企业免受代价昂贵的计算层威胁。
- 确保适当的 IAM 政策已落实到位，并在政策配置有误或意外更改时收到提醒。
- 整合来自您自己的或第三方来源的发现结果 Google Cloud 资源或其他混合云或多云资源。如需了解详情，请参阅添加第三方安全服务。
- 应对 Google Workspace 环境中的威胁以及 Google 群组中的不安全更改。

身份和访问权限错误配置

Security Command Center 可让您更轻松地识别和解决找出 Google Cloud 上的身份和访问权限错误配置。错误配置发现结果可找出符合以下条件的主账号（身份）配置有误，或者 IAM 过多或敏感对 Google Cloud 资源的权限（访问）。

云基础架构授权管理

与身份和访问权限相关的安全问题的管理有时被称为作为云基础架构授权管理 (CIEM)。Security Command Center 提供这些 CIEM 功能可帮助您全面了解组织的身份和访问权限配置的安全性。 Security Command Center 为多个云平台提供这些功能，包括 Google Cloud 和 Amazon Web Services (AWS)。包含 CIEM，您可以看到哪些主账号拥有过多的权限，和云端环境除了 Google Cloud IAM CIEM 支持调查权限，其他身份提供方（例如 Entra ID (Azure AD) 和 Okta）的主账号对 Google Cloud 资源的影响您可以看到最严峻的身份和在“身份和访问权限”部分访问来自多个云服务提供商的发现结果 Google Cloud 控制台的 Security Command Center 概览页面上的发现结果窗格。

如需详细了解 Security Command Center 的 CIEM 功能，请参阅云基础架构使用权概览管理。

身份和访问权限查询预设

在 Google Cloud 控制台的漏洞页面上，您可以执行以下操作：选择显示的查询预设（预定义查询）与身份相关的漏洞检测器或类别和访问权限。对于每个类别，系统都会显示有效发现结果的数量。

如需详细了解查询预设，请参阅应用查询预设。

管理对业界标准的合规性

Security Command Center 可监控您是否符合多种检测器的合规性，这些检测器映射到各种控件的各种安全标准

对于每种受支持的安全标准 Security Command Center 检查一部分控件对于已选中的控件，Security Command Center 会显示有多少控件通过测试。对于 Security Command Center 会显示未通过的发现结果列表，描述控制失败的情形。

CIS 会审核和认证 Security Command Center 每个受支持的 CIS Google Cloud Foundations Benchmark 的版本。其他法规遵从包含的映射仅供参考。

Security Command Center 定期增加对新的基准版本和标准的支持。较早版本仍然受支持，但最终会被弃用。我们建议您使用最新的受支持基准或标准。

使用安全状况服务、您可以将组织政策和 Security Health Analytics 检测器映射到标准一些适用于您商家的控件创建安全状况后，您可以监控任何可能影响企业合规性的环境变化。

如需详细了解如何管理合规性，请参阅评估并报告对安全标准的合规性。

Google Cloud 支持的安全标准

Security Command Center 将 Google Cloud 的检测器映射到以下一项或多项合规性标准：

信息安全中心 (CIS) 控制 8.0
CIS Google Cloud Computing Foundations Benchmark v2.0.0、v1.3.0、v1.2.0、v1.1.0 和 v1.0.0
CIS Kubernetes 基准 v1.5.1
Cloud Controls 矩阵 (CCM) 4
健康保险流通与责任法案 (HIPAA)
国际组织标准化 (ISO) 27001、2022 和 2013
全国标准与技术研究所 (NIST) 800-53 R5 和 R4
NIST CSF 1.0
打开 Web 应用 2021 年和 2017 年十大安全项目 (OWASP)
付款卡片行业数据安全标准 (PCI DSS) 4.0 和 3.2.1
系统和组织控制 (SOC) 2 2017 可信服务标准 (TSC)

AWS 支持的安全标准

Security Command Center 将 Amazon Web Services (AWS) 的检测器映射到以下一项或多项合规性标准：

CIS Amazon Web Services Foundations 2.0.0
CIS 控件 8.0

灵活的平台可满足您的安全需求

Security Command Center 包含一些自定义和集成选项，您可以增强服务的实用性，以满足您不断变化的安全需求。

自定义选项

自定义选项包括：

创建 Security Health Analytics 的自定义模块，以针对漏洞、配置错误或违规情况定义您自己的检测规则。
创建 Event Threat Detection 的自定义模块，以根据自己指定的参数监控 Logging 流中的威胁。
创建有助于您进行监控的安全状况了解可能影响您对各种监管标准。

集成选项

集成选项包括：

使用 Pub/Sub 将发现结果导出到 Splunk 或其他 SIEM 以供分析。
使用 Pub/Sub 和 Cloud Functions 快速自动地针对发现结果采取补救措施。
访问开源工具以扩展功能并自动响应。
与 Google Cloud 安全服务集成，这些服务包括：
与第三方合作伙伴安全解决方案集成：
- 来自合作伙伴产品中的 Google Cloud 安全性数据分析汇总在 Security Command Center 中，您可以将其提供给现有系统和工作流中。

何时使用 Security Command Center

下表包含高级产品功能、使用场景以及指向相关文档的链接，可帮助您快速找到所需的内容。

特征	使用场景	相关文档
资源识别和审核	在一个位置集中查看所有资源、服务和来自整个组织或项目，以及来自不同平台或服务的数据和云端平台评估受支持的资产的漏洞，并采取措施来优先修复最严重的问题。	<ph type="x-smartling-placeholder"></ph> Security Command Center 最佳实践访问权限控制机制使用 Google Cloud 控制台中的 Security Command Center
敏感数据识别	确定使用敏感数据保护存储敏感数据和受监管数据的位置。帮助预防意外泄露，并确保只有有必要知道的人员可以访问此类数据。指定包含中敏感度数据或将高敏感度数据视为_高价值资源。	<ph type="x-smartling-placeholder"></ph> 将 Sensitive Data Protection 结果发送到 Security Command Center
第三方 SIEM 和 SOAR 产品集成	轻松将 Security Command Center 数据导出到外部 SIEM， SOAR 系统。	导出 Security Command Center 数据 <ph type="x-smartling-placeholder"></ph> 持续导出
错误配置检测	检测可能导致云脱离的错误配置基础架构易受到攻击检测您在其他云上部署中的错误配置服务提供商。通过查看安全标准控制措施发现的错误配置发现结果内容的行为。优先修复配置错误的发现结果攻击风险得分	Security Health Analytics 概览 Web Security Scanner 概览漏洞发现结果
软件漏洞检测	检测虚拟机工作负载中的软件漏洞云服务提供商的众多云服务提供商和容器。主动向您发出通知，提醒您注意攻击面。发现常见漏洞，例如跨站脚本攻击 (XSS) 和会使您的应用面临风险的 Flash 注入。使用 Security Command Center 高级方案，确定漏洞发现结果的优先级；包括对由以下工具提供的可利用性和影响的评估： Mandiant。	GKE 安全状况信息中心虚拟机管理器 Web Security Scanner 概览漏洞发现结果
身份和访问权限控制监控	帮助确保适当的访问权限控制政策已在 Google Cloud 资源落实到位，并在政策配置错误或意外更改时收到提醒。使用查询预设快速查看关于身份和访问权限的发现结果错误配置以及被授予过多权限的角色。	IAM Recommender 访问权限控制身份和访问权限错误配置
威胁检测	检测基础架构中的恶意活动和操作者，并获得有关活跃威胁的提醒。检测其他云平台上的威胁	管理威胁 Event Threat Detection 概览 <ph type="x-smartling-placeholder"></ph> Container Threat Detection 概览
错误检测	收到有关 Security Command Center 及其服务无法正常运行的错误和配置错误的提醒。	<ph type="x-smartling-placeholder"></ph> Security Command Center 错误概览
确定修复措施的优先级	使用攻击风险得分优先修复发现漏洞和配置错误根据资源的攻击风险得分主动保护对您的业务最有价值的资源。	攻击风险得分和攻击路径概览
消除风险	实施已验证和建议的修复说明以快速保护资产。专注于发现结果中最重要的字段，以帮助安全分析师快速做出明智的分类决策。丰富并关联相关的漏洞和威胁，以识别和捕获 TTP。解决导致 Security Command Center 及其服务无法正常运行的错误和配置错误。	调查和应对威胁修复发现的 Security Health Analytics 问题针对 Web Security Scanner 的发现结果进行补救安全响应自动化修复 Security Command Center 错误
安全状况管理	确保您的工作负载符合安全标准、合规性法规以及贵组织的自定义安全要求。在部署任何工作负载之前，将您的安全控制措施应用于 Google Cloud 项目、文件夹或组织。持续监控并解决任何偏离您定义的安全控制措施的情况。	<ph type="x-smartling-placeholder"></ph> 安全状况概览 <ph type="x-smartling-placeholder"></ph> 管理安全状况
第三方安全工具输入	将现有安全工具（如 Cloudflare、CrowdStrike、Palo Alto Networks 的 Prisma Cloud 和 Qualys 等）的输出集成到 Security Command Center 中。集成输出可帮助您检测以下： <ph type="x-smartling-placeholder"> </ph> DDoS 攻击已破解的端点违反合规政策的行为网络攻击实例漏洞和威胁	配置 Security Command Center <ph type="x-smartling-placeholder"></ph> 创建和管理安全来源
实时通知	利用 Pub/Sub 通知，通过电子邮件、短信、Slack、WebEx 和其他服务接收 Security Command Center 提醒。调整发现结果过滤条件以排除许可名单上的发现结果。	设置发现结果通知启用实时电子邮件和聊天通知使用安全标记导出 Security Command Center 数据过滤通知 <ph type="x-smartling-placeholder"></ph> 将资产添加到许可名单
REST API 和客户端 SDK	使用 Security Command Center REST API 或客户端 SDK，与您的现有安全系统和工作流轻松集成。	配置 Security Command Center 以编程方式访问 Security Command Center <ph type="x-smartling-placeholder"></ph> Security Command Center API

数据驻留控制

为了满足数据驻留要求，在激活 Security Command Center 时这是您第一次可以启用数据驻留控制措施。

启用数据驻留控制措施会限制处理 Security Command Center 发现结果、忽略规则、持续导出、并将 BigQuery 导出到其中一个数据驻留 Security Command Center 支持的多区域位置。

如需了解详情，请参阅规划数据驻留。

Security Command Center 服务层级

Security Command Center 提供三个服务层级：标准、高级和企业

您选择的层级决定了 Security Command Center

如果您对 Security Command Center 服务层级有疑问，请与您的客户代表或 Google Cloud 销售团队联系。

如需了解与使用 Security Command Center 层级相关的费用，请参阅定价。

标准层级

标准层级包括以下服务和功能：

Security Health Analytics：（标准层级），Security Health Analytics 提供代管式漏洞，针对 Google Cloud 的评估扫描， Google Cloud 资产中最严重的漏洞和错误配置。标准层级中的 Security Health Analytics 包含以下发现类型：
- Dataproc image outdated
- Legacy authorization enabled
- MFA not enforced
- Non org IAM member
- Open ciscosecure websm port
- Open directory services port
- Open firewall
- Open group IAM member
- Open RDP port
- Open SSH port
- Open Telnet port
- Public bucket ACL
- Public Compute image
- Public dataset
- Public IP address
- Public log bucket
- Public SQL instance
- SSL not enforced
- Web UI enabled
Web Security Scanner 自定义扫描：在标准层级中，Web Security Scanner 支持对具有公共网址和 IP 地址且不受防火墙保护的已部署应用进行自定义扫描。所有项目都手动配置、管理和执行扫描，并且支持 OWASP 十大项目中的部分类别。
Security Command Center 错误：Security Command Center 提供了配置错误检测和修复指南，可确保 Security Command Center 及其服务正常运行。
持续导出功能，可自动管理将新发现结果导出到 Pub/Sub 的过程。
您可以使用集成的 Google Cloud 服务，其中包括：
- Sensitive Data Protection 可以发现、分类和保护敏感数据
- Google Cloud Armor 可保护 Google Cloud 部署免受威胁。
- 异常值检测可识别项目和虚拟机实例的安全异常，例如可能泄露的凭据和加密货币挖矿。
- 政策控制器支持应用并强制执行适用于您的 Kubernetes 集群
GKE Security Posture 信息中心发现结果：查看发现结果 Kubernetes 工作负载安全错误配置、切实可行的安全措施发布公告和漏洞软件包GKE 安全状况信息中心的集成 Security Command Center 的发现结果目前为预览版。
与 BigQuery 集成，将发现结果导出到 BigQuery 以进行分析。
与 Forseti Security（Google Cloud 的开源安全工具包）以及第三方安全信息和事件管理 (SIEM) 应用集成。
敏感操作服务，用于检测何时在 Google Cloud 中执行操作可能会对您的企业造成破坏的组织、文件夹和项目如果它们被恶意操作者占用。
如果在组织级层激活 Security Command Center，您可以在组织、文件夹和项目级层授予用户 IAM 角色。
数据驻留控制措施，用于限制处理 Security Command Center 发现结果、忽略规则、持续导出、并将 BigQuery 导出到其中一个数据驻留 Security Command Center 支持的多区域位置。
如需了解详情，请参阅规划数据驻留。

高级层级

高级层级包含标准层级的所有服务和功能以及下列附加服务和功能：

攻击路径模拟通过识别潜在攻击者可能用来访问高价值资源的路径，帮助您识别漏洞和配置错误发现结果并确定其优先级。模拟会计算攻击风险得分，并将其分配给任何公开这些资源的发现结果。互动攻击路径，帮助您直观地了解可能的攻击路径，了解路径、相关发现结果和受影响的资源。
漏洞发现结果包括 CVE Mandiant 提供的评估以帮助您确定补救措施的轻重缓急。

控制台的概览页面上显示了主要 CVE 发现结果 部分列出了漏洞发现结果可利用性和潜在影响的评估， Mandiant。在发现结果页面上，您可以按 CVE ID 查询发现结果。

如需了解详情，请参阅优先考虑 CVE 的影响和可利用性。
Event Threat Detection 使用威胁情报、机器学习和其他高级方法监控 Cloud Logging 和 Google Workspace 以检测威胁（例如恶意软件、加密货币挖矿和数据渗漏）。如需查看内置事件威胁检测检测器的完整列表，请参阅 Event Threat Detection 规则。您还可以创建自定义事件威胁检测检测器。如需了解可用于创建自定义检测规则的模块模板，请参阅 Event Threat Detection 的自定义模块概览。
Container Threat Detection 可检测以下容器运行时攻击：
- 已执行添加的二进制文件
- 已加载添加的库
- 执行：已添加的恶意二进制文件已执行
- 执行：已添加的恶意库已加载
- 执行：内置恶意二进制文件执行
- 执行：执行的恶意二进制文件遭到修改
- 执行：已加载经过修改的恶意库
- 已执行恶意脚本
- 反向 shell
- 意外的 Shell Shell
以下 Policy Intelligence 功能：
- 高级 IAM Recommender 功能，包括： <ph type="x-smartling-placeholder">
  - 针对非基本角色的建议
  - 关于针对除以下资源之外的资源授予的角色的建议：组织、文件夹和项目，例如针对在 Cloud Storage 存储分区中授予的角色的建议
  - 提供自定义角色的建议
  - 政策数据分析
  - 横向移动数据分析
- 大规模政策分析器（每个组织超过 20 个查询））。此限制由所有政策分析器工具共享。
- 可视化图表进行组织政策分析。
你可以在以下位置查询资产： Cloud Asset Inventory。
<ph type="x-smartling-placeholder"></ph> 虚拟机威胁检测可检测在虚拟机中运行的潜在恶意应用实例。
高级层级中的 Security Health Analytics 包含以下功能：
- 针对所有 Security Health Analytics 检测器的代管式漏洞扫描
- 监控许多行业最佳实践
- 合规性监控。Security Health Analytics 检测器地图通用安全基准的控制措施
- 自定义模块支持，您可以借此自定义创建 Security Health Analytics 检测器。
在高级层级中，Security Health Analytics 支持管理对行业标准的遵从情况中所述的标准。
<ph type="x-smartling-placeholder"></ph> 高级层级中的 Web Security Scanner 包含所有标准层级功能和支持 OWASP 十大热门类别的其他检测器。
注意：类别 A09:2021 安全日志记录和监控失败（以前为：A10:2017 日志记录和监控权限不足））不受支持。此类别描述了使攻击者无法被检测到的不足之处。与其他九个 OWASP 类别不同，它与攻击者可能利用的特定漏洞无关。同样，Web Security Scanner 也无法攻击 Web 应用以引发可检测到的响应。此类别的问题需要人工判断。
Web Security Scanner 还会添加自动配置的代管式扫描。
合规性监控管理所有 Google Cloud 资产

衡量您的应用对常见安全基准的遵从情况 Security Command Center 漏洞的检测器、扫描器与通用安全标准控件对应

您可以查看自己对标准的遵从情况、确定不合规的控制措施、导出报告等。如需更多信息请参阅评估和报告对安全标准的遵从情况。
您可以 <ph type="x-smartling-placeholder"></ph> 如果需要扩展资产监控功能，可以申请额外的 Cloud Asset Inventory 配额。
<ph type="x-smartling-placeholder"></ph> Security Posture Service可让您定义、评估和监控整个您在 Google Cloud 中的安全状态。安全态势服务仅在 Security Command Center 高级层级（适用于购买固定价格方案的客户）在组织内订阅并激活 Security Command Center 高级层级。Security Posture 服务不支持随用随付结算或项目级激活。
<ph type="x-smartling-placeholder"></ph> 借助 IaC 验证功能，您可以违反组织政策和 Security Health Analytics 检测器要求的 IaC 代码您在 Google Cloud 组织中定义的资源。此功能仅适用于 Security Command Center 高级层级（适用于购买固定价格方案的客户）在组织内订阅并激活 Security Command Center 高级层级。此功能不支持随用随付结算或项目级激活。
虚拟机管理器漏洞报告

预览

此功能须遵守服务专用条款的“通用服务条款”部分中的“非正式版产品条款”。非正式版功能“按原样”提供，可能只能获得有限的支持。如需了解详情，请参阅发布阶段说明。
- 如果您启用虚拟机管理器，则服务会自动将其漏洞报告（预览版）的发现结果写入 Security Command Center。这些报告可识别 Compute Engine 虚拟机上安装的操作系统中的漏洞。如需了解详情，请参阅虚拟机管理器。

Enterprise 层级

Enterprise 层级是一个完整的云原生应用保护平台 (CNAPP) 支持 SOC 分析师、漏洞分析师和其他云技术供应商，安全专业人员，跨多个云服务管理安全性所有提供商

Enterprise 层级提供检测和调查功能，支持请求管理支持和状况管理，包括定义和部署自定义安全状况规则，量化并直观呈现存在漏洞的和错误配置对您的云环境造成的影响。

企业层级包括所有标准层级和高级层级服务和功能，以及以下附加服务和功能：

企业级功能和服务摘要

企业层级包括所有标准层级和高级层级已正式发布的服务和功能。

企业版层级增加了以下服务和功能 Security Command Center：

有毒组合检测，由 Security Command Center 提供支持风险引擎。如需了解详情，请参阅不良组合概览。
支持多云。您可以将 Security Command Center 连接到其他云，等提供商来检测威胁、漏洞和错误配置。此外，在您指定的高价值资源另一个提供商，您还可以使用攻击风险得分和攻击路径。
SIEM（安全信息和事件管理）功能由 Google SecOps 提供支持的云环境解决方案。扫描多个云环境的日志和其他数据，检查是否存在威胁；定义威胁检测规则，并搜索累计数据。如需了解详情，请参阅 Google SecOps SIEM 文档。
SOAR（安全编排、自动化和响应）功能由 Google SecOps 提供支持的云环境解决方案。管理支持请求、定义响应工作流以及搜索响应数据。如需了解详情，请参阅 Google SecOps SOAR 文档。
适用于云环境的 CIEM（云基础架构授权管理）功能。找出配置有误或已授予过多或敏感的 IAM 权限（访问权限）您的云端资源有关详情，请参阅 GKE 概览云基础架构授权管理。
加强对虚拟机和容器中的软件漏洞检测可跨云环境进行全方位的集成式 Google Cloud 服务： <ph type="x-smartling-placeholder">
- Google Kubernetes Engine (GKE) Enterprise 版本
- AWS 漏洞评估
- 虚拟机管理器

由 Google Security Operations 提供支持的企业级功能

案例管理功能、playbook 功能以及其他 SIEM 和 SOAR Security Command Center Enterprise 层级的功能由 Google Security Operations 提供支持。当您使用其中一些工具时您可能会看到 Google SecOps 或将其定向到有关指导的 Google SecOps 文档。

某些 Google SecOps 功能不受支持或但它们可能无法被禁用或 Enterprise 层级的早期订阅。请使用以下功能：

云日志的注入仅限于与云威胁检测，例如：
- Google Cloud
  - Cloud Audit Logs 管理员活动日志
  - Cloud Audit Logs 数据访问日志
  - Compute Engine 系统日志
  - GKE 审核日志
- Google Workspace
  - Google Workspace 事件
  - Google Workspace 提醒
- AWS
  - CloudTrail 审核日志
  - Syslog
  - 身份验证日志
  - GuardDuty 事件
精选检测仅限于在 Google Cloud 中和云端环境
Google Cloud Marketplace 集成仅限于：
- Siemplify
- 工具
- VirusTotal V3
- Google Cloud Asset Inventory
- Google Security Command Center
- Jira
- Functions
- Google Cloud IAM
- 电子邮件 V2
- Google Cloud Compute
- Google Chronicle
- Mitre Att&ck
- Mandiant Threat Intelligence
- Google Cloud 政策智能
- Google Cloud Recommender
- Siemplify 实用程序
- 立即服务
- CSV
- SCC 企业版
- AWS IAM
- AWS EC2
自定义单一事件规则的数量上限为 20 条。
Risk Analytics for UEBA（用户和实体行为分析）不可用。
Applied Threat Intelligence 不可用。
Gemini 对 Google SecOps 的支持是仅限自然语言搜索和案例调查摘要。
数据保留期限为三个月。

Security Command Center 激活级别

您可以针对单个项目激活 Security Command Center（称为项目级激活），也可以针对整个组织激活 Security Command Center（称为组织级激活）。

企业版层级要求在组织级别激活。

如需详细了解如何激活 Security Command Center，请参阅激活 Security Command Center 概览。

后续步骤

了解如何激活 Security Command Center。
详细了解 Security Command Center 检测服务。
了解如何使用 Google Cloud 控制台中的 Security Command Center。