Security Command Center 概览

本页面简要介绍了 Security Command Center,这是 Google Cloud 的集中式漏洞和威胁报告服务。Security Command Center 通过以下方式来帮助您强化安全状况:评估您的安全和数据攻击表面;提供资源清点和发现服务;识别错误的配置、漏洞和威胁;缓解风险并采取补救措施。

Security Command Center 使用 Event Threat Detection 和 Security Health Analytics 等服务来检测环境中的安全问题。这些服务会扫描 Google Cloud 上的日志和资源,以查找威胁线索、软件漏洞和配置错误。服务也称为“来源”。如需了解详情,请参阅安全来源

如果这些服务检测到威胁、漏洞或配置错误,则会发出发现结果。发现结果是服务在您的 Google Cloud 环境中发现的个体威胁、漏洞或配置错误的报告或记录。发现结果会显示检测到的问题、受问题影响的 Google Cloud 资源,以及有关如何解决问题的指导。

在 Google Cloud 控制台中,Security Command Center 提供 Security Command Center 服务返回的所有发现结果的汇总视图。在 Google Cloud 控制台中,您可以查询发现结果、过滤发现结果、忽略不相关的发现结果等。

Security Command Center 激活级别

您可以针对单个项目激活 Security Command Center(称为项目级激活),也可以针对整个组织激活 Security Command Center(称为组织级激活)。

如需详细了解如何激活 Security Command Center,请参阅激活 Security Command Center 概览

Security Command Center 服务层级

Security Command Center 提供两个服务层级:标准和高级。

您选择的层级决定了 Security Command Center 中可用的内置服务。

如果您对 Security Command Center 服务层级有疑问,请与您的客户代表或 Google Cloud 销售团队联系。

如需了解与使用 Security Command Center 层级相关的费用,请参阅价格

标准服务层级

标准层级包括以下服务和功能:

  • Security Health Analytics:在标准层级中,Security Health Analytics 为 Google Cloud 提供代管式漏洞评估扫描,可以自动检测您的 Google Cloud 资产中严重程度最高的漏洞和错误配置。标准层级中的 Security Health Analytics 包含以下发现类型:

    • Dataproc image outdated
    • Legacy authorization enabled
    • MFA not enforced
    • Non org IAM member
    • Open ciscosecure websm port
    • Open directory services port
    • Open firewall
    • Open group IAM member
    • Open RDP port
    • Open SSH port
    • Open Telnet port
    • Public bucket ACL
    • Public Compute image
    • Public dataset
    • Public IP address
    • Public log bucket
    • Public SQL instance
    • SSL not enforced
    • Web UI enabled
  • Web Security Scanner 自定义扫描:在标准层级中,Web Security Scanner 支持对具有公共网址和 IP 地址且不受防火墙保护的已部署应用进行自定义扫描。所有项目都手动配置、管理和执行扫描,并且支持 OWASP 十大项目中的部分类别。
  • Security Command Center 错误:Security Command Center 会针对阻止 Security Command Center 及其服务正常运行的配置错误提供检测和补救指南。
  • 持续导出功能,可自动管理将新发现结果导出到 Pub/Sub 的过程。
  • 您可以使用集成的 Google Cloud 服务,其中包括:

    • 敏感数据保护可以发现敏感数据,对其进行分类和保护。
    • Google Cloud Armor 可保护 Google Cloud 部署免受威胁。
    • 异常值检测可识别项目和虚拟机实例的安全异常,例如可能泄露的凭据和加密货币挖矿。
    • Policy Controller 支持为 Kubernetes 集群应用并强制执行可编程政策。
  • GKE 安全状况信息中心发现结果:查看发现结果,了解 Kubernetes 工作负载安全性错误配置、可操作的安全公告以及容器操作系统或语言包中的漏洞等发现结果。
  • 与 BigQuery 集成,将发现结果导出到 BigQuery 以进行分析。
  • Forseti Security(Google Cloud 的开源安全工具包)以及第三方安全信息和事件管理 (SIEM) 应用集成。
  • 如果在组织级层激活 Security Command Center,您可以在组织、文件夹和项目级层授予用户 IAM 角色。

高级服务层级

高级层级包含所有标准层级服务和功能,以及下列附加服务和功能:

  • 攻击路径模拟通过识别潜在攻击者可能用来访问高价值资源的路径,帮助您识别漏洞和配置错误发现结果并确定其优先级。模拟会计算攻击风险得分,并将其分配给任何公开这些资源的发现结果。交互式攻击路径可帮助您直观呈现可能的攻击路径,并提供有关路径、相关发现结果和受影响资源的信息。
  • 漏洞发现结果包括 Mandiant 提供的 CVE 评估,旨在帮助您确定修复措施的优先级。

    在控制台的概览页面上,重要 CVE 发现结果部分会显示由 Mandiant 评估的漏洞发现结果(按漏洞可利用性和潜在影响分组)。在发现结果页面上,您可以按 CVE ID 查询发现结果。

    如需了解详情,请参阅按 CVE 的影响和可利用性确定优先级

  • Event Threat Detection 使用威胁情报、机器学习和其他高级方法监控 Cloud Logging 和 Google Workspace 以检测威胁(例如恶意软件、加密货币挖矿和数据渗漏)。如需查看内置 Event Threat Detection 检测器的完整列表,请参阅 Event Threat Detection 规则。您还可以创建自定义 Event Threat Detection 检测器。如需了解可用于创建自定义检测规则的模块模板,请参阅 Event Threat Detection 的自定义模块概览
  • Container Threat Detection 可检测以下容器运行时攻击:
    • 已执行添加的二进制文件
    • 已加载添加的库
    • 执行:添加了恶意二进制文件执行
    • 执行:添加了已加载恶意库
    • 执行:内置恶意二进制文件执行
    • 执行:执行被篡改的恶意二进制文件
    • 执行:已加载经过修改的恶意库
    • 已执行恶意脚本
    • 反向 shell
    • 意外的 Shell Shell
  • 敏感操作服务可检测何时在 Google Cloud 组织、文件夹和项目中执行了可能会损害业务的操作(如果这些操作是由恶意操作者执行的)。
  • 虚拟机威胁检测可检测虚拟机实例中运行的潜在恶意应用。
  • 高级层级中的 Security Health Analytics 包含以下功能:

    • 适用于所有 Security Health Analytics 检测器的代管式漏洞扫描
    • 监控许多行业最佳实践
    • 合规性监控。Security Health Analytics 检测器映射到常见安全基准的控件。
    • 自定义模块支持,您可以借此自定义创建 Security Health Analytics 检测器。

    在高级层级中,Security Health Analytics 支持管理符合业界标准中所述的标准。

  • 高级层级中的 Web Security Scanner 包括所有标准层级功能以及支持 OWASP 十大类别的其他检测器。 Web Security Scanner 还会添加自动配置的代管式扫描
  • 跨 Google Cloud 资产进行合规性监控

    为了衡量您对常见安全基准和标准的合规性,我们已将 Security Command Center 漏洞扫描程序的检测器映射到常见安全标准控制措施。

    您可以查看合规性标准、识别不合规的控制措施、导出报告等等。如需了解详情,请参阅评估和报告安全标准合规性

  • 如果需要扩展资产监控功能,您可以 申请额外的 Cloud Asset Inventory 配额
  • 快速漏洞检测会扫描网络和 Web 应用,以检测凭据弱、软件安装不完整以及其他极有可能被利用的严重漏洞。
  • 借助 安全状况服务,您可以定义、评估和监控 Google Cloud 中的整体安全状态。Security Posture 服务仅在 Security Command Center 高级层级提供,适用于购买固定价格订阅并在组织级层激活 Security Command Center 高级层级的客户。Security Posture 服务不支持基于用量的结算或项目级激活活动。
  • Secured Landing Zone 服务只能在 Security Command Center 高级层级启用。 启用后,如果已部署的蓝图的资源存在违反政策的情况,则此服务会显示发现结果,生成相应的提醒,并选择性地采取自动补救措施。
  • 虚拟机管理器漏洞报告
    • 如果您启用虚拟机管理器,则服务会自动将其漏洞报告(预览版)的发现结果写入 Security Command Center。这些报告可识别 Compute Engine 虚拟机上安装的操作系统中的漏洞。如需了解详情,请参阅虚拟机管理器

强化安全状况

Security Command Center 与 Cloud Asset Inventory 搭配使用,可让您全面了解 Google Cloud 基础架构和资源(也称为资产)。内置服务(Security Health Analytics、Event Threat Detection、Container Threat Detection、Web Security Scanner)使用近 200 个检测模块,用于持续监控和扫描资产、Web 应用、Cloud Logging 流、Google Workspace 日志、Google 网上论坛。

借助 Google 的威胁智能、机器学习和独特的 Google Cloud 架构数据分析,Security Command Center 可近乎实时地检测漏洞、配置错误、威胁和违规情况。安全发现结果、攻击风险得分和合规性报告可帮助您对风险进行分类以及确定优先级,并提供经过验证的补救说明以及应对发现结果的专家提示。

下图说明了 Security Command Center 中的核心服务和操作。

操作包括资产检测和扫描。核心服务包括扫描威胁和漏洞,以及提醒您配置错误

广泛的资产、数据和服务清单

Security Command Center 会从 Cloud Asset Inventory 中提取新的、已修改和已删除的资源的相关数据,从而持续监控云环境中的资源。Security Command Center 支持大量 Google Cloud 资源。对于大多资源,系统会以近乎实时的方式检测配置更改(包括 IAM 和组织政策)。您可以快速识别组织或项目中的更改,并回答如下问题:

  • 您有多少个项目?多少个项目是新项目?
  • 部署或使用了哪些 Google Cloud 资源,例如 Compute Engine 虚拟机 (VM)、Cloud Storage 存储桶或 App Engine 实例?
  • 您的部署历史记录是什么?
  • 如何跨以下类别整理、注释、搜索、选择、过滤和排序:
    • 资产和资产属性
    • 安全标记,可让您在 Security Command Center 中注释资产或发现结果
    • 时间段

Security Command Center 始终了解受支持的资源的当前状态,并且在 Google Cloud 控制台或 Security Command Center API 中可让您查看历史探索扫描以比较不同时间点的资源。您还可以查找虚拟机或空闲 IP 地址等未充分利用的资产。

AI 生成的摘要

如果您使用的是 Security Command Center 高级方案,Security Command Center 会为每个发现结果以及 Security Command Center 为 VulnerabilityMisconfiguration 类发现结果生成的每个模拟攻击路径提供动态生成的说明。

摘要以自然语言编写,可帮助您快速了解发现结果以及可能附带的任何攻击路径并采取相应措施。

摘要显示在 Google Cloud 控制台中的以下位置:

  • 点击单个发现结果的名称时,您会看到相应发现结果详情页面顶部的摘要。
  • 在 Security Command Center 高级方案中,如果发现结果具有攻击风险得分,您可以点击攻击风险得分,然后点击 AI 摘要,以在攻击路径的右侧显示摘要。

必需的 IAM 权限

如需查看 AI 摘要,您需要必要的 IAM 权限。

对于发现结果,您需要拥有 securitycenter.findingexplanations.get IAM 权限。包含此权限的最小预定义 IAM 角色是 Security Center Findings Viewer (roles/securitycenter.findingsViewer) 角色。

对于攻击路径,您需要拥有 securitycenter.exposurepathexplan.get IAM 权限。包含此权限的最小预定义 IAM 角色是 Security Center Visibility Paths Reader (roles/securitycenter.exposurePathsViewer) 角色。

在预览版期间,您无法在 Google Cloud 控制台中将这些权限添加到自定义 IAM 角色。

如需为自定义角色添加权限,您可以使用 Google Cloud CLI。

如需了解如何使用 Google Cloud CLI 为自定义角色添加权限,请参阅创建和管理自定义角色

富有实用价值的安全性数据分析

Security Command Center 的内置服务和集成服务会持续监控资产和日志,以查找与已知威胁、漏洞和配置错误相匹配的失陷指标和配置更改。为了为突发事件提供上下文,系统使用以下来源的信息来丰富发现结果:

  • AI 生成的摘要,可帮助您了解 Security Command Center 发现结果以及其中包含的任何攻击路径并采取相应措施。如需了解详情,请参阅 AI 生成的摘要
  • 使用 Security Command Center 高级方案时,漏洞发现结果包含来自相应 CVE 条目的信息,包括 CVE 得分、潜在影响和被利用的可能性。
  • Chronicle 是一项 Google Cloud 服务,可以注入 Event Threat Detection 发现结果,并可让您调查威胁并在统一的时间轴中切换相关实体。
  • VirusTotal:一项 Alphabet 自有服务,提供有关潜在恶意文件、网址、网域和 IP 地址的背景信息。
  • MITRE ATT&CK 框架:介绍了针对云资源的攻击技术并提供补救指南。
  • Cloud Audit Logs(管理员活动日志数据访问日志)。

您可以近乎实时地收到新发现结果的通知,从而帮助安全团队收集数据、识别威胁以及根据建议采取相应措施来避免造成业务损害或损失。

通过集中查看安全状况和强大的 API,您可以快速执行以下操作:

  • 回答如下问题:
    • 哪些静态 IP 地址对公众开放?
    • 您的虚拟机上正在运行哪些映像?
    • 是否有证据表明您的虚拟机被用于加密货币挖矿或其他滥用行为?
    • 添加或移除了哪些服务账号?
    • 防火墙是如何配置的?
    • 哪些存储桶包含个人身份信息 (PII) 或敏感数据?此功能需要与敏感数据保护集成。
    • 哪些云应用容易受到跨站点脚本 (XSS) 漏洞的攻击?
    • 我的 Cloud Storage 存储分区是否向互联网开放?
  • 采取措施保护您的资产:
    • 针对资产配置错误和违规情况实施经过验证的修复步骤。
    • 结合来自 Google Cloud 和第三方提供商(例如 Palo Alto Networks)的威胁智能,更好地保护您的企业免受代价昂贵的计算层威胁。
    • 确保适当的 IAM 政策已落实到位,并在政策配置有误或意外更改时收到提醒。
    • 集成来自您自己或第三方来源的发现结果,用于 Google Cloud 资源或者混合或多云端资源。如需了解详情,请参阅添加第三方安全服务
    • 应对 Google Workspace 环境中的威胁以及 Google 网上论坛中的不安全更改。

Security Command Center 的 IAM 角色可以在组织、文件夹或项目级层授予。您能否查看、修改、创建或更新发现结果、资产和安全来源,取决于您获授予的访问权限级别。如需详细了解 Security Command Center 角色,请参阅访问权限控制

身份和访问权限错误配置

借助 Security Command Center,您可以更轻松地识别和解决在 Google Cloud 上发现的身份和访问权限错误配置。对身份和访问权限安全问题的管理有时称为“云基础架构授权管理”(CIEM)

Security Command Center 配置错误发现结果可识别配置错误或被授予过多或敏感 IAM 权限(identities)的主账号(identities)。

您可以在 Google Cloud 控制台 Security Command Center 概览页面底部附近的身份和访问权限发现结果面板中查看最严重的身份和访问权限发现结果。

在 Google Cloud 控制台的漏洞页面上,您可以选择查询预设(预定义查询),这些预设查询会显示与身份和访问权限相关的漏洞检测器或类别。对于每个类别,系统会显示有效发现结果数量。

如需详细了解查询预设,请参阅应用查询预设

管理业界标准合规性

Security Command Center 使用与各种安全标准的控件相对应的检测器来监控您的合规性。

对于每项受支持的安全标准,Security Command Center 都会检查部分控制措施。对于已检查的控件,Security Command Center 会显示有多少控件已通过。对于未通过的控制措施,Security Command Center 会向您显示一个发现结果列表,其中描述了相应控制措施的失败情况。

CIS 审核并验证 Security Command Center 检测器到 CIS Google Cloud Foundations 基准的每个受支持版本的映射。其他合规性映射仅供参考。

Security Command Center 会定期增加对新的基准版本和标准的支持。旧版本仍受支持,但最终会弃用。 我们建议您使用受支持的最新基准或可用标准。

借助 Security Posture 服务,您可以将组织政策和 Security Health Analytics 检测器映射到适用于您业务的标准和控制措施。创建安全状况后,您可以监控任何可能影响企业合规性的环境更改。

如需详细了解如何管理合规性,请参阅评估和报告安全标准合规性

Google Cloud 支持的安全标准

Security Command Center 将 Google Cloud 的检测器映射到以下一项或多项合规性标准:

灵活的平台可满足您的安全需求

Security Command Center 包含自定义和集成选项,可让您增强服务的实用程序,满足您不断变化的安全需求。

自定义选项

自定义选项包括:

集成选项

集成选项包括:

何时使用 Security Command Center

下表包含高级产品功能、使用场景以及指向相关文档的链接,可帮助您快速找到所需的内容。

特征 使用场景 相关文档
资源发现和资源清点
  • 探索整个组织或项目中的资源、服务和数据,并在一个位置进行查看。
  • 评估受支持的资源的漏洞,并采取措施来优先修复最严重的问题。
  • 查看历史探索扫描,找出新增、已修改或已删除的资产。
优化 Security Command Center

访问权限控制

使用 Google Cloud 控制台中的 Security Command Center

配置资产发现

列出资源

机密数据识别
  • 确定使用敏感数据保护存储敏感数据和受监管数据的位置。
  • 帮助预防意外泄露,并确保只有有必要知道的人员可以访问此类数据。
将敏感数据保护结果发送到 Security Command Center
SIEM 和 SOAR 集成
  • 轻松将 Security Command Center 数据导出到外部系统。
导出 Security Command Center 数据

持续导出

漏洞检测
  • 将漏洞发现结果与其违反的安全标准控制措施相关联。
  • 主动收到有关新漏洞和攻击面变化的提醒。
  • 发现给您的应用带来风险的常见漏洞,例如跨站脚本攻击 (XSS) 和 Flash 注入。
  • 通过 Security Command Center 高级方案,您可以 使用 CVE 信息确定漏洞发现结果的优先级,包括对 Mandiant 提供的可利用性和影响的评估。
Security Health Analytics 概览

Web Security Scanner 概览

快速漏洞检测概览

漏洞发现结果

监控访问权限控制措施
  • 帮助确保适当的访问权限控制政策已在 Google Cloud 资源落实到位,并在政策配置错误或意外更改时收到提醒。
访问权限控制机制
威胁检测
  • 检测基础架构中的恶意活动和操作者,并获得有关活跃威胁的提醒。
Event Threat Detection 概览

Container Threat Detection 概览

错误检测
  • 收到有关 Security Command Center 及其服务无法正常运行的错误和配置错误的提醒。
Security Command Center 错误概览
确定修复措施的优先级
  • 通过指定哪些资源属于高价值资源集,您可以找出最需要修复的漏洞和配置错误。如果发现结果会公开高价值资源集中的资源,那么攻击风险得分会更高,您可以根据该得分确定应先修复哪些发现结果。
攻击风险得分和攻击路径概览
消除风险
  • 实施已验证和建议的修复说明以快速保护资产。
  • 专注于发现结果中最重要的字段,以帮助安全分析师快速做出明智的分类决策。
  • 丰富并关联相关的漏洞和威胁,以识别和捕获 TTP。
  • 解决导致 Security Command Center 及其服务无法正常运行的错误和配置错误。
调查和应对威胁

修复发现的 Security Health Analytics 问题

针对 Web Security Scanner 的发现结果进行补救

快速漏洞检测发现和修复措施

安全响应自动化

修复 Security Command Center 错误

安全状况管理
  • 确保您的工作负载符合安全标准、合规性法规以及组织的自定义安全要求。
  • 在部署任何工作负载之前,将您的安全控制措施应用于 Google Cloud 项目、文件夹或组织。
  • 持续监控并解决所定义安全控件的偏离问题。
安全状况概览

管理安全状况

第三方安全工具输入
  • 将现有安全工具(如 Cloudflare、CrowdStrike、Palo Alto Networks 的 Prisma Cloud 和 Qualys 等)的输出集成到 Security Command Center 中。集成输出可帮助您检测以下内容:
    • DDoS 攻击
    • 已破解的端点
    • 违反合规政策的行为
    • 网络攻击
    • 实例漏洞和威胁
配置 Security Command Center

创建和管理安全来源

实时通知
  • 利用 Pub/Sub 通知,通过电子邮件、短信、Slack、WebEx 和其他服务接收 Security Command Center 提醒。
  • 调整发现结果过滤条件以排除许可名单上的发现结果。
设置发现结果通知

启用实时电子邮件和聊天通知

使用安全标记

导出 Security Command Center 数据

过滤通知

将资产添加到许可名单

REST API 和客户端 SDK
  • 使用 Security Command Center REST API 或客户端 SDK,与您的现有安全系统和工作流轻松集成。
配置 Security Command Center

以编程方式访问 Security Command Center

Security Command Center API

数据驻留控制

为了满足数据驻留要求,首次激活 Security Command Center 时,您可以在 Security Command Center 中启用数据驻留控制措施。

启用数据驻留控制措施会限制 Security Command Center 发现结果、忽略规则、持续导出和 BigQuery 导出到 Security Command Center 支持的其中一个数据驻留多区域数据的存储和处理。

如需了解详情,请参阅规划数据驻留

后续步骤