配置 Security Command Center

配置 Security Command Center,包括添加安全服务、管理哪些服务应用于哪些资源,以及为 Event Threat Detection 和 Container Threat Detection 设置日志记录。

如需配置 Security Command Center,请进入控制台中 Security Command Center 的设置页面,然后点击您要更改的设置对应的标签页。

服务

Security Command Center 上运行两种类型的服务:内置服务集成服务。内置服务是 Security Command Center 的一部分。集成服务是向 Security Command Center 提供发现结果的 Google Cloud 服务或第三方服务。

如需添加新的集成式服务,您需要完成其集成指南,然后在 Security Command Center 信息中心内将其启用为安全服务。借助此功能,您可以全面了解您组织的安全风险、漏洞和威胁。

启用集成式服务后,您可以配置每个安全服务监控的资源。

内置服务

以下内置服务是 Security Command Center 的一部分:

  • Security Health Analytics
  • Web Security Scanner
  • Event Threat Detection
  • 容器威胁检测
  • 虚拟机威胁检测
  • Secured Landing Zone 服务预览版

某些内置服务只有在您的组织订阅了 Security Command Center 付费级后才能使用。详细了解 Security Command Center 层级

启用或停用内置服务

默认情况下,资源会继承其父级资源的服务设置。如需在组织、文件夹或项目级层启用或停用 Security Command Center 服务,请执行以下操作:

  1. 在 Google Cloud 控制台中,进入服务页面。

    转到“服务”

  2. 选择您的组织。

  3. 对于您要修改的服务,点击管理设置

  4. 服务启用标签页中,找到您要修改的资源(组织、文件夹或项目)。

  5. 对于该资源,将服务设置为启用停用继承

查看服务的模块

对于某些服务,您可以启用或停用某些检测器(也称为模块)。如需查看服务的模块及其当前状态,请执行以下操作:

  1. 在 Google Cloud 控制台中,转到设置页面上的服务标签页。

    转到“服务”

  2. 选择您的组织。

  3. 对于您要修改的服务,点击管理设置

  4. 点击模块标签页。

    此时会显示服务的模块及其各自的状态。

启用或停用模块

  1. 在 Google Cloud 控制台中,转到设置页面上的服务标签页。

    转到“服务”

  2. 选择您的组织。

  3. 对于您要修改的服务,点击管理设置

  4. 模块标签页上,找到您要修改的检测器,然后将其状态设置为启用停用

添加 Google Cloud 集成式服务

您可以将 Google Cloud 集成式服务与第三方安全服务一起添加到 Security Command Center。

设置页面上,点击集成服务标签页以查看可用服务。下面是与 Security Command Center 集成的 Google Cloud 安全服务:

  • 异常检测
  • Google Cloud Armor
  • Cloud Data Loss Prevention
  • Forseti Security
  • 网上诱骗防护

如需详细了解这些服务,请参阅漏洞和威胁的安全来源

完成集成指南后,您可以获取来自 Google Cloud 安全服务的发现结果。

  • 如需添加新服务,请点击添加更多服务。系统会显示 Google Cloud Marketplace 上的 Security Command Center 页面。点击您感兴趣的服务,然后按照提供商的说明将其添加为集成服务。
  • 要查看来自安全服务的发现结果,请点击服务名称旁边的切换键以启用该服务。如要将某项服务限制为组织中的特定文件夹、项目或集群,请使用本页面稍后介绍的高级设置菜单。

集成式来源使用可能位于您的组织之外的服务帐号。例如,Google Cloud 安全来源使用 security-center-fpr.iam.gserviceaccount.com 上的服务帐号。如果您的组织政策设置为按网域限制身份,则需要将服务帐号添加到允许域内的群组中的身份。此类服务帐号的格式为 service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com,其中 ORGANIZATION_NUMBER 是您的组织的数字 ID。

集成服务标签页上,您可以添加新的来源,也可以启用和停用现有来源:

  1. 进入控制台中的服务页面。

    转到“服务”

  2. 选择要为其添加安全来源的组织。

  3. 选择集成服务标签页。

  4. 在要启用的集成来源旁边,点击下拉列表并选择默认启用

Security Command Center 信息中心的发现结果页面上会显示您选择的集成式来源的发现结果。

要停用集成式服务,请点击其名称旁边的下拉列表,然后选择默认停用

虚拟机管理器漏洞报告

虚拟机管理器是一套工具,可用于管理在 Compute Engine 上运行 Windows 和 Linux 的大型虚拟机舰队的操作系统。

如果您启用 VM 管理器并订阅 Security Command Center 优质,则 VM 管理器默认将其漏洞报告写入 Security Command Center。该报告可识别安装在 Compute Engine 虚拟机上的操作系统中的漏洞。

如需了解详情,请参阅 VM 管理器

添加第三方安全服务

Security Command Center 可以显示已注册为 Cloud Marketplace 合作伙伴的第三方安全服务中的发现结果。已注册的第三方安全合作伙伴包括:

  • Acalvio
  • Capsule8
  • Cavirin
  • Chef
  • Check Point CloudGuard Dome9
  • CloudQuest
  • McAfee
  • Qualys
  • Reblaze
  • Palo Alto Networks 的 Prisma Cloud
  • StackRox
  • Tenable.io

如要集成未注册为 Cloud Marketplace 合作伙伴的安全服务,请让提供商完成以 Security Command Center 合作伙伴的身份进行新手入门指南。

要向 Security Command Center 添加新的第三方安全服务,请设置安全服务,然后在 Security Command Center 信息中心内将其启用。

准备工作

要为已注册的 Cloud Marketplace 合作伙伴添加安全服务,您需要:

  • 以下身份和访问权限管理 (IAM) 角色
    • Security Center Admin roles/securitycenter.admin
    • Service Account Admin roles/iam.serviceAccountAdmin
  • 您希望用于安全服务的 Google Cloud 项目。

第 1 步:设置安全服务

要设置第三方安全服务,您需要该服务的服务帐号。添加新的安全服务时,您可以从以下服务帐号选项中进行选择:

  • 创建服务帐号。
  • 使用您自己的现有服务帐号。
  • 使用来自服务提供商的服务帐号。

如需设置已注册为 Cloud Marketplace 合作伙伴的新安全服务,请按以下步骤操作:

  1. 进入控制台中 Security Command Center 服务的 Marketplace 页面。

    转至 Marketplace

  2. 市场页面会显示与 Security Command Center 直接关联的安全服务。

  3. 在 Cloud Marketplace 的安全来源提供商页面上,按照概览中的提供商设置说明进行操作。

  4. 完成提供商的设置过程后,点击提供商的市场页面上的访问 [提供商名称] 网站即可注册

  5. 在显示的控制台中的 Security Command Center 页面上,选择您要为其使用安全服务的组织。

  6. 在出现的创建服务帐号和启用 [提供商名称] 安全性事件页面上,接受提供商的服务帐号(如有),或者创建或选择您想要使用的自己的服务帐号:

    • 要创建服务帐号,请执行以下操作:
      1. 选择创建新服务帐号
      2. 项目旁边,点击更改以选择要用于此安全服务的项目。
      3. 添加服务帐号名称服务帐号 ID
    • 要使用现有服务帐号,请执行以下操作:
      1. 选择使用现有服务帐号,然后从服务帐号名称下拉列表中选择要使用的服务帐号。
    • 如果安全服务提供商管理服务帐号,请输入他们提供的服务帐号 ID
  7. 添加完服务帐号信息后,点击提交接受

  8. 在随即出现的来源连接页面上,点击安装步骤下的链接,了解如何完成安装。

  9. 完成后,请点击完成

正确配置后,您添加的安全服务在 Security Command Center 中可用。

第 2 步:启用安全服务

设置新的安全服务后,您需要在 Security Command Center 信息中心内启用它。

集成式来源使用可能位于您的组织之外的服务帐号。例如,Google Cloud 安全来源使用 security-center-fpr.iam.gserviceaccount.com 上的服务帐号。如果您的组织政策设置为按网域限制身份,则需要将服务帐号添加到允许域内的群组中的身份。此类服务帐号的格式为 service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com,其中 ORGANIZATION_NUMBER 是您的组织的数字 ID。

集成服务标签页上,您可以添加新的来源,也可以启用和停用现有来源:

  1. 进入控制台中的服务页面。

    转到“服务”

  2. 选择要为其添加安全来源的组织。

  3. 选择集成服务标签页。

  4. 在要启用的集成来源旁边,点击下拉列表并选择默认启用

Security Command Center 信息中心的发现结果页面上会显示您选择的集成式来源的发现结果。

更改提供商服务帐号

您可以更改用于第三方安全服务的服务帐号,例如解决服务帐号泄露或轮替问题。要更改某个安全服务的服务帐号,您需要在 Security Command Center 信息中心内进行更新。之后,请按照服务提供商的说明为其服务更新服务帐号。

  1. 进入控制台中 Security Command Center 的集成服务页面。

    转到集成服务

  2. 如果出现提示,请选择您的组织。

  3. 在集成式来源旁边的下拉列表中,执行以下操作:

    1. 选择已停用以暂时停用集成服务。
    2. 然后,选择管理服务帐号
  4. 在出现的修改 [提供商名称]面板上,输入新服务帐号,然后点击提交

  5. 在集成服务旁边的下拉列表中,选择已启用以启用安全服务。

正确配置后,集成式服务的服务帐号将会在 Security Command Center 中更新。请按照服务提供商的说明更新其服务的服务帐号信息。

Cloud Logging 导出

持续导出标签页上,您可以为 Event Threat Detection 和 Container Threat Detection 发现结果设置日志记录。发现结果会导出到您选择的 Cloud Logging 项目。

如果信息量很大,Cloud Logging 的使用费有可能会非常高。若要了解该服务的使用及其费用,请参阅 Google Cloud 的运维套件的费用优化

要记录发现结果,请执行以下操作:

  1. 转到 Security Command Center 的设置页面。

    转到“设置”

  2. 如有必要,请选择您的组织或项目。

  3. 点击连续导出标签页。

  4. 导出名称下,点击 Cloud Logging 导出。

  5. 接收器下,开启 将发现结果记录到 Cloud Logging

  6. 记录项目下,输入或搜索要在其中记录发现结果的项目。

  7. 点击保存

当 Event Threat Detection 和 Container Threat Detection 写入日志时,每个日志条目都包含 threat_detector 资源类型,并且包含与发现结果相同的信息。如需了解如何查看日志,请参阅使用 Event Threat Detection使用 Container Threat Detection

忽略规则

忽略规则标签页列出了在您的组织、文件夹和项目中设置的任何忽略规则。在此标签页上,您可以创建忽略规则或管理现有规则。

忽略规则会根据您定义的过滤条件自动禁止未来的发现结果。如需详细了解如何忽略发现结果以及如何使用忽略规则,请参阅在 Security Command Center 中忽略发现结果

角色

Security Command Center 角色可以在组织、文件夹或项目级层授予。您能否查看、修改、创建或更新发现结果、资产和安全来源,取决于您被授予的访问权限级别。如需详细了解 Security Command Center 角色,请参阅访问权限控制

如需了解如何授予、更改和撤消 IAM 角色,请参阅管理对项目、文件夹和组织的访问权限

后续步骤