配置 Security Command Center

>

配置 Security Command Center,包括添加安全来源、管理哪些来源应用于哪些资源,以及为 Event Threat Detection 和 Container Threat Detection 设置日志记录。

如需配置 Security Command Center,请转到 Cloud Console 中的 Security Command Center 设置页面,然后点击您要更改的设置对应的标签页。

来源和服务

在此情况下,安全来源是一项向 Security Command Center 提供漏洞和威胁发现的服务。如需添加新的安全来源,您需要完成其集成指南,然后您可以在 Security Command Center 信息中心内启用它作为安全来源。您可以将 Google Cloud 安全来源与其他第三方安全来源一起添加到 Security Command Center。这样,您可以全面了解您组织的安全风险、漏洞和威胁。

启用安全来源后,您可以配置每个安全来源监控的资源。

内置服务

内置服务

以下内置服务是 Security Command Center 的一部分:

  • Security Health Analytics
  • Web Security Scanner
  • Event Threat Detection
  • Container Threat Detection

某些内置服务只有在您的组织订阅了 Security Command Center 付费级后才能使用。详细了解 Security Command Center 层级

如需为服务支持的所有资源启用或停用内置服务,请点击服务名称旁边的切换键。要将某项服务限制为组织中的特定文件夹、项目或集群,请单击修改资源以显示稍后在本页面上描述的资源标签页。

添加 Google Cloud 集成式安全来源

Google Cloud 提供以下与 Security Command Center 集成的 Google Cloud 安全来源:

  • 异常检测
  • Cloud Data Loss Prevention
  • Forseti Security
  • 网上诱骗防护

如需详细了解这些来源提供的功能,请参阅漏洞和威胁的安全来源

完成集成指南后,您可以获取来自 Google Cloud 安全来源的发现结果。

  • 如需添加新来源,请点击添加更多来源。此时会显示 Security Command Center Services Google Cloud Marketplace 页面。点击要添加的任何服务,然后按照服务提供商的说明将它们添加为集成式来源。
  • 要查看来自安全来源的发现结果,请点击服务名称旁边的切换键以启用该服务。如需将服务限制到组织中的特定文件夹、项目或集群,请使用本页面后面所述的资源标签页。

集成式安全来源可能使用位于您的组织之外的服务帐号。例如,Google Cloud 安全来源使用 security-center-fpr.iam.gserviceaccount.com 上的服务帐号。如果您的组织政策设置为按网域限制身份,则需要将服务帐号添加到允许域内的群组中的身份。

Security Sources 标签页上,您可以添加新的来源,也可以启用和停用现有来源:

  1. 转到 Cloud Console 中的“来源和服务”页面。
    转到“来源和服务”页面
  2. 选择要为其添加安全来源的组织。
  3. 在您要启用的安全来源旁边,点击切换键。

您选择的安全来源的发现结果会显示在 Security Command Center 信息中心的“发现结果”页面上。

添加第三方安全来源

Security Command Center 可以显示已注册为 Google Cloud Marketplace 合作伙伴的第三方安全来源的发现结果。已注册的第三方安全合作伙伴包括:

  • Acalvio
  • Capsule8
  • Cavirin
  • Chef
  • Check Point CloudGuard Dome9
  • Cloudflare
  • CloudQuest
  • McAfee
  • Qualys
  • Reblaze
  • Redlock by Palo Alto Networks
  • StackRox
  • Tenable.io
  • Twistlock

如果您希望集成未注册为 Google Cloud Marketplace 合作伙伴的安全来源,请要求您的提供商完成作为 Security Command Center 合作伙伴新手入门指南。

要向 Security Command Center 添加新的第三方安全来源,请设置安全来源,然后在 Security Command Center 信息中心内将其启用。

准备工作

要为已注册的 Cloud Marketplace 合作伙伴添加安全来源,您需要:

  • 以下身份和访问权限管理 (IAM) 角色
    • Security Center Admin roles/securitycenter.admin
    • Service Account Admin roles/iam.serviceAccountAdmin
  • 您要用于安全来源的 Google Cloud 项目。

第 1 步:设置安全来源

要设置第三方安全来源,您需要适用于该来源的服务帐号。添加新的安全来源时,您可以从以下服务帐号选项中进行选择:

  • 创建服务帐号。
  • 使用您自己的现有服务帐号。
  • 使用来自来源提供商的服务帐号。

如需设置已注册为 Cloud Marketplace 合作伙伴的新安全来源,请按以下步骤操作:

  1. 转到 Cloud Console 中的 Security Command Center Services 市场页面。
    转到“市场”页面
  2. 市场页面会显示与 Security Command Center 直接关联的安全来源。
  3. 在 Cloud Marketplace 的安全来源提供商页面上,按照概览中的提供商设置说明进行操作。
  4. 完成提供商的设置过程后,点击提供商的市场页面上的访问 [提供商名称] 网站即可注册
  5. 在出现的 Cloud Console Security Command Center 页面上,选择要为其使用安全来源的组织。
  6. 在出现的创建服务帐号和启用 [提供商名称] 安全性事件页面上,接受提供商的服务帐号(如有),或者创建或选择您想要使用的自己的服务帐号:
    • 要创建服务帐号,请执行以下操作:
      1. 选择创建新服务帐号
      2. 项目旁边,点击更改以选择要用于此安全来源的项目。
      3. 添加服务帐号名称服务帐号 ID
    • 要使用现有服务帐号,请执行以下操作:
      1. 选择使用现有服务帐号,然后从服务帐号名称下拉列表中选择要使用的服务帐号。
    • 如果安全来源提供商管理服务帐号,请输入他们提供的服务帐号 ID
  7. 添加完服务帐号信息后,点击提交接受
  8. 在随即出现的来源连接页面上,点击安装步骤下的链接,了解如何完成安装。
  9. 完成后,请点击完成

正确配置后,您添加的安全来源在 Security Command Center 中可用。

第 2 步:启用安全来源

设置新的安全来源后,您需要在 Security Command Center 信息中心内启用它。

集成式安全来源可能使用位于您的组织之外的服务帐号。例如,Google Cloud 安全来源使用 security-center-fpr.iam.gserviceaccount.com 上的服务帐号。如果您的组织政策设置为按网域限制身份,则需要将服务帐号添加到允许域内的群组中的身份。

Security Sources 标签页上,您可以添加新的来源,也可以启用和停用现有来源:

  1. 转到 Cloud Console 中的“来源和服务”页面。
    转到“来源和服务”页面
  2. 选择要为其添加安全来源的组织。
  3. 在您要启用的安全来源旁边,点击切换键。

您选择的安全来源的发现结果会显示在 Security Command Center 信息中心的“发现结果”页面上。

更改提供商服务帐号

您可以更改用于第三方安全来源的服务帐号,例如解决服务帐号泄露或轮替问题。如需更改服务帐号的来源安全,您需要在 Security Command Center 信息中心中将其更新,然后按照服务提供商的说明更新其服务的服务帐号。

  1. 转到 Cloud Console 的 Security Command Center 安全来源页面。
    转到“安全来源”页面
  2. 已启用 (Enabled) 下,点击以暂时停用您希望更改服务帐号的安全来源。
  3. 点击服务帐号名称旁边的修改
  4. 在出现的修改 [提供商名称]面板上,输入新服务帐号,然后点击提交
  5. 已启用下方,点击以启用安全来源。

正确配置后,安全来源的服务帐号将会在 Security Command Center 中更新。您还必须按照来源提供商的说明更新其服务的服务帐号信息。

资源

资源标签页中,您可以更改每个受支持资源的受支持服务设置。默认情况下,资源会继承组织的服务设置。如需选择为单个资源启用或停用服务,请点击服务列中的下拉列表,以选择资源上的服务启用。

  • 开启:为资源启用服务。
  • 关闭:停用资源的服务。
  • 继承自父级资源:资源会使用资源层次结构中为其父级资源选择的服务设置。

接收器

接收器标签页中,您可以为 Event Threat Detection 和 Container Threat Detection 发现结果设置日志记录。发现结果会导出到您选择的 Cloud Logging 项目。

要记录发现结果,请执行以下操作:

  1. 点击将发现结果记录到 Stackdriver 旁边的切换键。
  2. Logging Project 框中,选择要向其写入日志的项目。

权限

如需查看和配置 Security Command Center 的 IAM 角色,请点击配置页面上的显示权限。权限按角色分组。

要修改授予用户的角色,请执行以下操作:

  1. 单击角色名称旁边以展开节点。
  2. 在要为其修改角色的用户名称旁边,点击以选择要执行的操作:
    1. 要移除角色,请点击移除成员
    2. 要添加角色,请点击修改成员。在出现的修改权限面板中,添加或移除角色,然后点击保存

要为新用户添加角色,请执行以下操作:1. 点击添加成员。 1.在出现的添加成员和角色面板上:2. 输入用户的电子邮件地址。2. 添加一个或多个角色,然后点击保存

旧版界面设置

展开以下部分,了解如何使用旧版界面管理 Security Command Center。只有在您尚未迁移到 Security Command Center 优质或标准层级时,旧版界面才可见。

后续步骤