配置 Security Command Center

>

配置 Security Command Center,包括添加安全来源、管理哪些来源应用于哪些资源,以及为 Event Threat Detection 和 Container Threat Detection 设置日志记录。

如需配置 Security Command Center,请转到 Cloud Console 中的 Security Command Center 设置页面,然后点击您要更改的设置对应的标签页。

来源和服务

在此情况下,集成式来源可为 Security Command Center 提供漏洞和威胁发现结果。如需添加新的集成式来源,您需要完成其集成指南,然后在 Security Command Center 信息中心内将其启用为安全来源。您可以将 Google Cloud 集成式来源与其他第三方安全来源一起添加到 Security Command Center。借助此功能,您可以全面了解您组织的安全风险、漏洞和威胁。

启用集成式来源后,您可以配置每个安全来源监控的资源。

内置服务

内置服务

以下内置服务是 Security Command Center 的一部分:

  • Security Health Analytics
  • Web Security Scanner
  • Event Threat Detection
  • Container Threat Detection

某些内置服务只有在您的组织订阅了 Security Command Center 付费级后才能使用。详细了解 Security Command Center 层级

如需为服务支持的所有资源启用或停用内置服务,请点击服务名称旁边的切换键。如要将某项服务限制为组织中的特定文件夹、项目或集群,请转至高级设置以显示组织项目和文件夹的层次结构列表。本页面后面的部分介绍了高级设置菜单。

添加 Google Cloud 集成式来源

设置页面上,点击集成式服务标签页以查看可用来源。Google Cloud 提供以下与 Security Command Center 集成的 Google Cloud 安全来源:

  • 异常检测
  • Google Cloud Armor
  • Cloud Data Loss Prevention
  • Forseti Security
  • 网上诱骗防护

如需详细了解这些来源提供的功能,请参阅漏洞和威胁的安全来源

完成集成指南后,您可以获取来自 Google Cloud 安全来源的发现结果。

  • 如需添加新来源,请点击添加更多服务。系统会显示 Google Cloud Marketplace 上的 Security Command Center 页面。点击要添加的任何服务,然后按照服务提供商的说明将它们添加为集成式来源。
  • 要查看来自安全来源的发现结果,请点击服务名称旁边的切换键以启用该服务。如要将某项服务限制为组织中的特定文件夹、项目或集群,请使用本页面稍后介绍的高级设置菜单。

集成式来源使用可能位于您的组织之外的服务帐号。例如,Google Cloud 安全来源使用 security-center-fpr.iam.gserviceaccount.com 上的服务帐号。如果您的组织政策设置为按网域限制身份,则需要将服务帐号添加到允许域内的群组中的身份。

集成服务标签页上,您可以添加新的来源,也可以启用和停用现有来源:

  1. 转到 Cloud Console 中的 Service 页面。
    转到 Service 页面
  2. 选择要为其添加安全来源的组织。
  3. 选择集成服务标签页。
  4. 在要启用的集成式来源旁边,点击切换键。

Security Command Center 信息中心的“发现结果”页面上会显示您选择的集成式来源的发现结果。

添加第三方安全来源

Security Command Center 可以显示已注册为 Google Cloud Marketplace 合作伙伴的第三方安全来源的发现结果。已注册的第三方安全合作伙伴包括:

  • Acalvio
  • Capsule8
  • Cavirin
  • Chef
  • Check Point CloudGuard Dome9
  • Cloudflare
  • CloudQuest
  • McAfee
  • Qualys
  • Reblaze
  • Palo Alto Networks 的 Prisma Cloud
  • StackRox
  • Tenable.io

如要集成未注册为 Google Cloud Marketplace 合作伙伴的安全来源,请让提供商完成以 Security Command Center 合作伙伴的身份进行新手入门指南。

要向 Security Command Center 添加新的第三方安全来源,请设置安全来源,然后在 Security Command Center 信息中心内将其启用。

准备工作

要为已注册的 Cloud Marketplace 合作伙伴添加安全来源,您需要:

  • 以下身份和访问权限管理 (IAM) 角色
    • Security Center Admin roles/securitycenter.admin
    • Service Account Admin roles/iam.serviceAccountAdmin
  • 您要用于安全来源的 Google Cloud 项目。

第 1 步:设置安全来源

要设置第三方安全来源,您需要适用于该来源的服务帐号。添加新的安全来源时,您可以从以下服务帐号选项中进行选择:

  • 创建服务帐号。
  • 使用您自己的现有服务帐号。
  • 使用来自来源提供商的服务帐号。

如需设置已注册为 Cloud Marketplace 合作伙伴的新安全来源,请按以下步骤操作:

  1. 转到 Cloud Console 中的 Security Command Center Services 市场页面。
    转到“市场”页面
  2. 市场页面会显示与 Security Command Center 直接关联的安全来源。
  3. 在 Cloud Marketplace 的安全来源提供商页面上,按照概览中的提供商设置说明进行操作。
  4. 完成提供商的设置过程后,点击提供商的市场页面上的访问 [提供商名称] 网站即可注册
  5. 在出现的 Cloud Console Security Command Center 页面上,选择要为其使用安全来源的组织。
  6. 在出现的创建服务帐号和启用 [提供商名称] 安全性事件页面上,接受提供商的服务帐号(如有),或者创建或选择您想要使用的自己的服务帐号:
    • 要创建服务帐号,请执行以下操作:
      1. 选择创建新服务帐号
      2. 项目旁边,点击更改以选择要用于此安全来源的项目。
      3. 添加服务帐号名称服务帐号 ID
    • 要使用现有服务帐号,请执行以下操作:
      1. 选择使用现有服务帐号,然后从服务帐号名称下拉列表中选择要使用的服务帐号。
    • 如果安全来源提供商管理服务帐号,请输入他们提供的服务帐号 ID
  7. 添加完服务帐号信息后,点击提交接受
  8. 在随即出现的来源连接页面上,点击安装步骤下的链接,了解如何完成安装。
  9. 完成后,请点击完成

正确配置后,您添加的安全来源在 Security Command Center 中可用。

第 2 步:启用安全来源

设置新的安全来源后,您需要在 Security Command Center 信息中心内启用它。

集成式来源使用可能位于您的组织之外的服务帐号。例如,Google Cloud 安全来源使用 security-center-fpr.iam.gserviceaccount.com 上的服务帐号。如果您的组织政策设置为按网域限制身份,则需要将服务帐号添加到允许域内的群组中的身份。

集成服务标签页上,您可以添加新的来源,也可以启用和停用现有来源:

  1. 转到 Cloud Console 中的 Service 页面。
    转到 Service 页面
  2. 选择要为其添加安全来源的组织。
  3. 选择集成服务标签页。
  4. 在要启用的集成式来源旁边,点击切换键。

Security Command Center 信息中心的“发现结果”页面上会显示您选择的集成式来源的发现结果。

更改提供商服务帐号

您可以更改用于第三方安全来源的服务帐号,例如解决服务帐号泄露或轮替问题。如要更改安全来源的服务帐号,您需要在 Security Command Center 信息中心内对其进行更新。之后,请按照服务提供商的说明为其服务更新服务帐号。

  1. 转到 Cloud Console 中的 Security Command Center 集成服务页面。
    转到“集成服务”页面
  2. 如果出现提示,请选择您的组织。
  3. 在集成式来源旁边的下拉列表中,执行以下操作:
    1. 选择已停用以暂时停用集成式来源。
    2. 然后,选择管理服务帐号
  4. 在出现的修改 [提供商名称]面板上,输入新服务帐号,然后点击提交
  5. 在集成式来源旁边的下拉列表中,选择已启用以启用安全来源。

正确配置后,集成式来源的服务帐号将会在 Security Command Center 中更新。请按照来源提供商的说明更新其服务的服务帐号信息。

高级设置

通过高级设置菜单,您可以更改每个受支持资源的受支持服务设置。默认情况下,资源会继承组织的服务设置。如需选择为单个资源启用或停用服务,请点击服务列中的下拉列表,以选择资源上的服务启用。

  • 默认启用:为资源启用了服务。
  • 默认停用:为资源停用服务。
  • 继承:资源会使用在资源层次结构中为其父级选择的服务设置。

点击搜索文件夹或项目后,系统会打开一个窗口,您可以在其中输入搜索字词,以便快速找到资源并更改其设置。

接收器

接收器标签页中,您可以为 Event Threat Detection 和 Container Threat Detection 发现结果设置日志记录。发现结果会导出到您选择的 Cloud Logging 项目。

要记录发现结果,请执行以下操作:

  1. 点击将发现结果记录到 Stackdriver 旁边的切换键。
  2. Logging Project 框中,选择要向其写入日志的项目。
  3. 完成后,点击保存

权限

如需查看和配置 Security Command Center 的 IAM 角色,请导航至设置页面的权限面板。权限按角色分组。如果该面板不可见,请点击页面顶部的显示权限链接。

要修改授予用户的角色,请执行以下操作:

  1. 点击角色名称旁边的箭头图标以展开该节点。
  2. 在要修改角色的用户名称旁边,点击图标以选择要执行的操作:
    1. 如要移除角色,请点击删除图标以移除成员
    2. 如要添加角色,请点击铅笔图标以修改成员。在出现的修改权限面板中,添加或移除角色,然后点击保存

如要为新用户添加角色,请执行以下操作:

  1. 点击添加成员
  2. 在出现的添加成员和角色面板上:
    1. 输入用户的电子邮件地址。
    2. 添加一个或多个角色,然后点击保存

旧版界面设置

展开以下部分,了解如何使用旧版界面管理 Security Command Center。只有在您尚未迁移到 Security Command Center 优质或标准层级时,旧版界面才可见。

后续步骤