本页面简要介绍了 Google Cloud 控制台中的 Security Command Center,以及 Security Command Center 的顶级页面可执行哪些操作。
如果您的组织或组织中的项目尚未设置 Security Command Center,则您需要先激活 Security Command Center,然后才能使用 Google Cloud 控制台中的 Security Command Center。如需了解如何激活,请参阅Security Command Center 激活概览。
如需大致了解 Security Command Center,请参阅 Security Command Center 概览。
必需的 IAM 权限
如需使用 Security Command Center,您必须拥有具备适当权限的 Identity and Access Management (IAM) 角色:
- Security Center Admin Viewer 可让您查看 Security Command Center。
- Security Center Admin Editor 可让您查看 Security Command Center 并进行更改。
如果您的组织政策设置为按网域限制身份,您必须使用允许的网域中的账号登录 Google Cloud 控制台。
Security Command Center 的 IAM 角色可以在组织、文件夹或项目级层授予。您能否查看、修改、创建或更新发现结果、资产和安全来源,取决于您获授予的访问权限级别。如需详细了解 Security Command Center 角色,请参阅访问权限控制。
在 Google Cloud 控制台中访问 Security Command Center
如需在 Google Cloud 控制台中访问 Security Command Center,请执行以下操作:
进入 Security Command Center:
选择要查看的项目或组织。
如果 Security Command Center 在您选择的组织或项目中处于活跃状态,则风险概览页面将显示过去七天内新威胁发现结果和活跃漏洞发现结果的概览。
如果 Security Command Center 未处于活跃状态,系统会邀请您激活它。如需详细了解如何激活 Security Command Center,请参阅激活 Security Command Center 概览。
Google Cloud 控制台中的 Security Command Center
在风险概览页面之外,您还可以通过 Google Cloud 控制台中的以下 Security Command Center 页面监控和管理 Google Cloud 环境中的安全问题。点击网页名称即可查看网页说明。
风险概览页面
风险概览页面可让您快速查看 Google Cloud 环境中所有内置服务和集成式服务中的新威胁和活跃漏洞总数。您可以将此页面中所有区域显示的时间范围从 1 小时更改为 6 个月。
风险概览页面包含各种信息中心,其中包括:
- 重要漏洞发现结果显示了攻击风险得分最高的 10 个发现结果。
- 新威胁随时间的变化情况图表显示每天检测到的新威胁,并提供每小时总计。页面上的图表之后是按类别、资源和项目分类的威胁发现结果视图。您可以按结果的严重程度对每个视图进行排序。
- 重要 CVE 发现结果(仅限 Premium 和 Enterprise 层级)显示按 CVE 可利用性和影响分组的漏洞发现结果。点击热点图中的块,以查看按 CVE ID 列出的相应发现结果。
- 按资源类型统计的漏洞以图形方式显示项目或组织中资源的有效漏洞。
- 活跃漏洞按类别名称、受影响的资源和项目提供漏洞发现结果的标签式视图。您可以按发现结果的严重程度对每个视图进行排序。
- 身份和访问权限发现结果会显示与主账号(identities)相关的错误配置发现结果,这些发现结果配置错误或被授予了过多或敏感的 Google Cloud 资源权限(identities)。对身份和访问权限控制的管理有时称为“云基础架构授权管理”。
- 数据安全发现结果显示来自 Sensitive Data Protection 发现服务的发现结果。此摘要包含表明环境变量中是否存在 Secret 的所有漏洞发现结果,以及表明数据敏感性和数据风险级别的观察结果。
点击风险概览页面上任何发现结果的类别名称,即可转到发现结果页面,您可以在其中查看发现结果的详细信息。
“威胁”页面
威胁页面可帮助您查看指定时间段内 Google Cloud 资源中可能有害的事件。默认时间段为 7 天。
在“威胁”页面上,您可以在以下部分中查看发现结果:
- 威胁(按严重级别划分)显示每个严重级别的威胁数量。
- 威胁(按类别划分)显示所有项目中每个类别的发现结果数量。
- 威胁(按资源划分)显示项目或组织中每个资源的发现结果数量。
您可以使用时间范围字段中的下拉列表指定显示威胁的时间段。下拉列表中的几个时间范围选项介于 1 小时到全部时间,其会显示自该服务激活以来的所有发现结果。将在各会话之间保存您选择的时间段。
“漏洞”页面
漏洞页面列出了各种 Security Command Center 威胁防范服务可以在您的环境中检测到的所有漏洞类别。
漏洞检测服务
内置的 Security Command Center 威胁防护服务包括:
与 Security Command Center 集成的其他 Google Cloud 服务也会检测漏洞和错误配置。精选服务的结果也会显示在漏洞页面上。如需详细了解在 Security Command Center 中生成漏洞发现结果的服务,请参阅安全来源。
漏洞类别相关信息
对于每个漏洞类别,漏洞页面会显示以下信息:
- 状态:图标表示检测器是否处于活动状态,以及检测器是否发现需要处理的发现结果。将指针悬停在状态图标上时,工具提示会出现并显示检测器找到结果的日期和时间,或显示有关如何验证建议的信息。
- 上次扫描时间:检测器最近一次扫描的日期和时间。
- 类别:漏洞的类别或类型。 对于每项 Security Command Center 服务检测到的所有类别,请参阅以下内容:
- 建议:有关如何处理发现结果的摘要。如需了解详情,请参阅处理 Security Health Analytics 发现结果。
- 有效:类别中的发现结果总数。
- 标准:发现结果类别适用的合规性基准(如果有)。如需详细了解基准,请参阅漏洞发现结果。
过滤漏洞发现结果
大型组织在其部署过程中可能有很多漏洞发现结果,以进行审核、分类和跟踪。通过使用 Google Cloud 控制台的 Security Command Center 漏洞和发现结果页面上提供的过滤条件,您可以重点关注整个组织中严重程度最高的漏洞,并按资产类型、项目等查看漏洞。
如需详细了解如何过滤漏洞发现结果,请参阅在 Security Command Center 中过滤漏洞发现结果。
“合规性”页面
合规性页面可帮助您评估对常见安全标准或基准的合规性,并采取相应措施。此页面显示了 Security Command Center 支持的所有基准,以及通过基准控制的通过百分比。
对于每个基准,您可以打开一个合规性详情页面,其中包含有关 Security Command Center 针对基准进行哪些检查的控件、在每个对照组中检测到的违规次数,以及导出基准的合规性报告的选项等详细信息。
Security Command Center 漏洞扫描工具会根据 Google 提供的尽力映射情况,监控违反常见合规性控制措施的行为。Security Command Center 合规性报告不能替代合规性审核,但可以帮助您保持合规性状态并尽早发现违规行为。
如需详细了解 Security Command Center 如何支持合规性管理,请参阅以下页面:
“资产”页面
资产页面详细显示您的项目或组织中的所有 Google Cloud 资源(称为“资产”)。
如果 Security Command Center 在组织级层激活,则可以查看整个组织的资产,也可以按特定项目、资产类型和位置过滤资产。
如果 Security Command Center 在项目级层激活,则可以按资产类型和位置过滤资产。
如需查看有关特定资产的详细信息(例如资产特性、资源属性和关联发现结果),请在显示名称列中点击资产名称。
资产列表由 Cloud Asset Inventory 提供,在大多数情况下,系统会在 Google Cloud 环境中创建、修改或移除资产后的几分钟内更新此列表。
如需详细了解 Cloud Asset Inventory,请参阅 Cloud Asset Inventory 简介。
对资产进行排序
要对资源排序,请点击排序所要依据的值的列标题。列先按数字排序,然后按字母顺序排序。
过滤资产
本部分介绍了如何使用 Google Cloud 控制台中的 Security Command Center 运行常见查询来查看资产。
默认情况下,所选项目、文件夹或组织中的所有资产都会显示在资产页面上的结果面板中。
您可以通过两种方式将结果过滤为特定资产。您可以使用快速过滤条件面板中的过滤条件选项,也可以使用过滤条件字段指定自定义程度更高的过滤条件。
在快速过滤条件面板中,您可以按资源类型、项目或位置来过滤结果。
高价值资源集标签页可让您查看组织中高价值资源的攻击风险得分。
在资产查询标签页中,您可以使用预构建的过滤条件来查看资产数据。
按项目查看素材资源
默认情况下,所选范围内的所有资产都会按其创建时间降序显示在资产页面上。
如果您选择的范围是项目,则系统仅会显示该项目中的资产。
如需在控制台视图范围限定为文件夹或组织时查看资产,请执行以下操作:
进入资产页面:
在快捷过滤条件面板中,选择一个或多个项目。结果面板会更新,仅显示所选项目中的资产。
按素材资源类型查看
默认情况下,所选范围内的所有资产都会按其创建时间降序显示在资产页面上。
如需按类型查看资产,请执行以下操作:
进入资产页面:
可选:在结果面板的顶部,如需按资源类型对资产进行排序,请点击结果标题中的资源类型列。资产会按其资源类型分组显示。
在快速过滤条件面板中,选择需要查看的资源类型。结果面板会更新,仅显示所选资源类型。
查看资产的变化
您可以比较资产元数据的快照,以查看发生的变化。
如需查看随时间资产的变化情况,请执行以下操作:
进入资产页面:
通过滚动或对列出的资产应用适当的过滤条件,找到您需要查看的资产。
在结果面板的资产列表中,点击该资产的名称。系统会打开资产的详细信息面板。
在资产的详细信息面板中,选择更改历史记录标签页。
在更改历史记录标签页上,选择开始时间和结束时间。
在左侧的选择要进行比较的记录字段中,点击下拉箭头,从显示的列表中选择快照。
在右侧的选择要进行比较的记录字段中,点击下拉箭头,选择要与选择的第一个快照进行比较的快照。系统会突出显示两个快照之间的变化。
按创建时间戳或上次更新时间戳查看资产
您可以按创建时间戳和上次更新时间戳对资产页面的结果面板中的资产进行过滤或排序。
如需根据创建时间戳和/或上次更新时间戳进行过滤,请完成以下步骤:
进入资产页面:
在资产页面上的结果面板顶部,将光标置于过滤条件字段中。系统会打开过滤条件菜单。
滚动到创建时间或更新时间部分,然后选择其中一个基于时间的过滤选项。例如
Update time after。 系统会将过滤条件添加到过滤条件字段中。您只需添加日期即可。在过滤条件字段中,采用
MM/DD/YYYY格式输入日期,然后按键盘上的 Enter 键,以完成过滤条件规范。结果面板中的资产会更新,仅显示与您的过滤条件匹配的资产。
配置“资产”页面
您可以控制资产页面上显示的部分元素。
柱子
默认情况下,资产页面上的结果面板包含以下列:
- 显示名称:资产的显示名称
- 项目 ID:包含相应资产的项目
- Resource type:资产的资源类型
- 位置:资产所在的区域或
global - 状态:资产的状态,例如
READ、SUCCESSFUL或SERVING - 创建时间:创建资产的时间
- 上次更新时间:资产的最后更新时间
- 安全标记:Security Command Center 中应用于资产的安全标记(如果有)
- 标签:应用于资产的标签(如果有)
- KMS 密钥:与资产关联的 KMS 密钥(如果有)
- 网络标记:应用于资产的网络标记(如果有)
您可以隐藏除显示名称之外的任何列。如需隐藏列,请按照以下步骤操作:
进入资产页面:
在右侧结果面板的顶部,点击列显示选项图标 view_column。
在出现的菜单中,您可以通过选中或取消选中列名称旁边的复选框来显示或隐藏列。
面板
要控制资产页面的屏幕空间,您可以更改以下选项:
- 通过点击向左箭头
隐藏快速过滤条件侧面板。 - 向左或向右拖动分界线来调整资源显示列的大小。
“发现结果”页面
在发现结果页面上,您可以查询、查看、忽略和标记 Security Command Center 发现结果,即 Security Command Center 服务在您的环境中检测到安全问题时创建的记录。
如需详细了解如何在发现结果页面上处理发现结果,请参阅在 Google Cloud 控制台中处理发现结果。
“来源”页面
来源页面包含一些卡片,其中汇总了您已启用的安全来源中的资源和发现结果。每个安全来源的卡片都会显示来自该来源的部分发现结果。您可以点击发现结果类别名称以查看此类别中的所有发现结果。
发现结果摘要
发现结果摘要卡片显示您已启用安全来源提供的每种发现结果的数量。
- 要查看来自特定来源的发现结果的详细信息,请点击相应来源的名称。
- 要查看所有发现结果的详细信息,请点击发现结果页面,您可以在其中对发现结果进行分组或查看个别发现结果的详细信息。
来源摘要
发现结果摘要卡片下面会显示您启用的所有内置、集成和第三方来源的卡片。每张卡片会提供相应来源的有效发现结果数量。
安全状况页面
在安全状况页面上,您可以查看您在组织中创建的安全状况的相关详细信息,并将这些安全状况应用于组织、文件夹或项目。您还可以查看可用的预定义安全状况模板。
后续步骤
- 了解安全来源。
- 了解如何使用安全标记。
- 了解如何配置 Security Command Center。