Security Command Center 上运行两种类型的服务:内置服务和集成服务。内置服务是 Security Command Center。集成服务 是 Google Cloud 向 Security Command Center 提供发现结果的服务。
本页面介绍如何配置内置服务和集成服务。
启用或停用内置服务
以下内置服务是 Security Command Center 的一部分:
- Container Threat Detection
- Event Threat Detection
- Security Health Analytics
- 安全状况
- Sensitive Actions Service
- 虚拟机威胁检测
- Amazon Web Services (AWS) 漏洞评估
- Web Security Scanner
一些内置服务仅适用于 Security Command Center 高级方案或 企业级层级详细了解 Security Command Center 层级。
您无法启用或停用 Security Posture 服务;是 启用 Security Command Center Enterprise 层级。
您可以为整个组织或仅为选定的文件夹或项目启用大多数内置服务。默认情况下,文件夹和项目会继承服务 启用设置。
您只能为 Google Cloud 组织启用 AWS 漏洞评估服务,并且需要在 Security Command Center 和 AWS 之间建立连接。
Container Threat Detection 服务只能为集群启用。如需了解容器威胁检测所需的权限,请参阅所需的 IAM 权限。
如需为资源启用或停用 Security Command Center 服务,请执行以下操作:
在 Google Cloud 控制台中,转到 Security Command Center 页面。
选择您需要管理的组织、文件夹或项目 服务。
点击 设置。
对于您要修改的服务,点击管理设置。
前往服务启用标签页,在资源的分层视图中执行以下操作: 选择您要为哪个组织、文件夹、项目或容器 启用该服务。如果您要启用 AWS 漏洞评估服务,请选择启用。
对于该资源,将服务设置为启用、停用或继承。
某些服务(例如 Security Health Analytics)会使用批量扫描进行运作。停用此类服务后,更改可能不会立即生效。所有正在进行的批量扫描完成后,更改才会生效。这可能会导致以下情况:在您停用该服务后,系统仍会在一小段时间内检测到新漏洞。
查看和修改服务的检测器
对于某些服务(例如 Security Health Analytics),您可以启用或停用某些 检测器(也称为模块)。如需配置服务的检测器并查看其当前状态,请执行以下操作:
在 Google Cloud 控制台中,转到 Security Command Center 页面。
选择您需要管理服务的组织、文件夹或项目。
点击 设置。
对于您要查看的服务,点击管理设置。
点击模块标签页。 此时会显示服务的检测器及其各自的状态。
找到您要修改的检测器,并将其状态设为 启用或停用。
将集成的 Google Cloud 服务添加到 Security Command Center
您可以将集成服务添加到组织级激活 Security Command Center。项目级激活不支持集成 Google Cloud 服务。
下面是与 Security Command Center 的组织级激活集成的 Google Cloud 安全服务:
- Assured Open Source Software (Assured OSS)
- Mandiant Attack Surface Management
- 异常值检测
- Google Cloud Armor
- IAM Recommender
- 敏感数据保护
- 虚拟机管理器(预览版)
一些内置服务仅适用于 Security Command Center 高级方案或 企业级层级详细了解 Security Command Center 层级。
如需详细了解这些服务,请参阅 漏洞和威胁检测服务。
在 Google Cloud 控制台中,转到 Security Command Center 页面。
选择您的组织或项目。
点击 设置。
点击集成服务标签页。
在要启用的集成来源旁边,点击状态列表并选择启用。
您启用的服务中的发现结果会显示在发现结果中 页面。
某些 Google Cloud 安全服务需要您完成额外的集成步骤。请参阅以下内容:
- 如需配置 Assured OSS 集成,请参阅与 Assured OSS 集成。
- 如需配置 Sensitive Data Protection 集成,请参阅与 Sensitive Data Protection 集成。
要停用某个集成服务,请点击其名称旁边的列表,然后选择 停用。
添加第三方安全服务
在组织级层激活 Security Command Center 后,系统可以显示已注册为 Cloud Marketplace 合作伙伴的第三方安全服务中的发现结果。
Security Command Center 的项目级激活不支持第三方 服务。
如要集成未注册为 Cloud Marketplace 合作伙伴的安全服务,请让提供商完成以 Security Command Center 合作伙伴的身份进行新手入门指南。
如需向 Security Command Center 添加新的第三方安全服务,您需要设置 然后在 Google Cloud 控制台中启用它。
准备工作
如需为已注册的 Cloud Marketplace 合作伙伴添加安全服务,请执行以下操作: 您需要以下内容:
- 以下身份和访问权限管理 (IAM) 角色:
- Security Center Admin (
roles/securitycenter.admin) - Service Account Admin (
roles/iam.serviceAccountAdmin)
- Security Center Admin (
- 您希望用于安全服务的 Google Cloud 项目。
设置安全服务
要设置第三方安全服务,您需要该服务的服务账号。添加新的安全服务时,您可以从以下服务账号选项中进行选择:
- 创建服务账号。
- 使用您自己的现有服务账号。
- 使用来自服务提供商的服务账号。
如需设置已注册为 Cloud Marketplace 合作伙伴的新安全服务,请完成以下操作:
转到 Google Cloud 控制台中的 Security Command Center 服务 Marketplace 页面。
市场页面会显示与 Security Command Center 直接关联的安全服务。
- 如果您没有看到想要添加的安全服务,请搜索安全性,然后选择安全服务提供商。
- 如果安全服务提供商未在 Cloud Marketplace 中注册,请让您的提供商完成以 Security Command Center 合作伙伴为新手入门的指南。
在 Cloud Marketplace 的安全来源提供商页面上,按照概览中的提供商设置说明进行操作。
正确配置后,您添加的安全服务在 Security Command Center 中可用。
设置新的安全服务后,您需要在 Google Cloud 控制台。
启用安全服务
第三方安全服务可能使用位于您的组织之外的服务账号。
在 Google Cloud 控制台中,转到 Security Command Center 页面。
选择您的组织或项目。
点击 设置。
点击集成服务标签页。
在要启用的集成来源旁边,点击状态列表并选择启用。
您启用的服务的发现结果会显示在 Security Command Center 信息中心的发现结果页面上。
更改安全服务的服务账号
您可以更改用于第三方安全服务的服务账号,例如解决服务账号泄露或轮替问题。如要更改某个安全服务的服务账号,您需要在 Google Cloud 控制台中进行更新。之后,请按照服务提供商的说明为其服务更新服务账号。
在 Google Cloud 控制台中,转到 Security Command Center 页面。
选择您的组织或项目。
点击 设置。
点击集成服务标签页。
在集成式来源旁边的下拉列表中,执行以下操作:
- 选择已停用以暂时停用集成服务。
- 选择管理服务账号。
在出现的修改 [提供商名称]面板上,输入新服务账号,然后点击提交。
在集成服务旁边的下拉列表中,选择已启用以启用安全服务。
正确配置后,集成式服务的服务账号将会在 Security Command Center 中更新。请按照服务提供商的说明更新其服务的服务账号信息。
后续步骤
- 了解 Google Cloud 安全服务,学习如何查看它们出现的这些漏洞和威胁。
- 了解如何优化 Security Command Center。
- 将日志导出到 Cloud Logging。
- 配置攻击风险得分以评估风险。