Security Command Center 上运行两种类型的服务:内置服务和集成服务。内置服务是 Security Command Center。集成服务是向 Security Command Center 提供发现结果的 Google Cloud 服务或第三方服务。
本页面介绍如何配置内置服务和集成服务。
启用或停用内置服务
以下内置服务是 Security Command Center 的一部分:
- Container Threat Detection
- Event Threat Detection
- Security Health Analytics
- 安全状况
- Sensitive Actions Service
- 虚拟机威胁检测
- Amazon Web Services (AWS) 漏洞评估
- Web Security Scanner
某些内置服务仅适用于 Security Command Center 高级或企业层级。详细了解 Security Command Center 层级。
您无法启用或停用 Security Posture 服务;是 启用 Security Command Center Enterprise 层级。
您既可以为整个组织启用大多数内置服务,也可以仅为 所选的文件夹或项目。默认情况下,文件夹和项目会继承其父级组织或文件夹的服务启用设置。
只能为 Google Cloud 启用 AWS 服务的漏洞评估 并要求您在 Security Command Center 和 AWS。
Container Threat Detection 服务只能为集群启用。如需了解容器威胁检测所需的权限,请参阅所需的 IAM 权限。
如需为资源启用或停用 Security Command Center 服务,请执行以下操作:
在 Google Cloud 控制台中,转到 Security Command Center 页面。
选择您需要管理服务的组织、文件夹或项目。
点击
设置。对于您要修改的服务,点击管理设置。
在服务启用标签页的资源层次结构视图中,选择您需要为其启用服务的组织、文件夹、项目或容器。如果要为 AWS 服务启用漏洞评估, 选择启用。
对于该资源,将服务设置为启用、停用或继承。
某些服务(例如 Security Health Analytics)使用批量扫描来运行。当您 停用此类服务,更改可能不会立即体现。所有正在进行的批量扫描完成后,更改才会生效。这可能会导致在您停用该服务后,系统仍会在一段时间内检测到新漏洞。
查看和修改服务的检测器
对于某些服务(例如 Security Health Analytics),您可以启用或停用某些检测器(也称为模块)。如需配置服务的检测器并 查看它们的当前状态,请执行以下操作:
在 Google Cloud 控制台中,转到 Security Command Center 页面。
选择您需要管理服务的组织、文件夹或项目。
点击
设置。对于您要查看的服务,点击管理设置。
点击模块标签页。 此时会显示服务的检测器及其各自的状态。
找到您要修改的检测器,然后将其状态设置为启用或停用。
将集成的 Google Cloud 服务添加到 Security Command Center
您可以将集成服务添加到组织级激活 Security Command Center。项目级激活不支持集成 Google Cloud 服务。
以下是 Google Cloud 安全服务 在组织级别启用 Security Command Center:
- Assured Open Source Software (Assured OSS)
- Mandiant Attack Surface Management
- 异常值检测
- Google Cloud Armor
- IAM Recommender
- 敏感数据保护
- 虚拟机管理器(预览版)
某些内置服务仅适用于 Security Command Center 高级或企业层级。详细了解 Security Command Center 层级。
如需详细了解这些服务,请参阅用于检测漏洞和威胁的服务。
在 Google Cloud 控制台中,转到 Security Command Center 页面。
选择您的组织或项目。
点击
设置。点击集成服务标签页。
在要启用的集成来源旁边,点击状态列表并选择启用。
您启用的服务中的发现结果会显示在发现结果中 页面。
某些 Google Cloud 安全服务需要额外的集成步骤 必须完成的步骤请参阅以下内容:
- 如需配置 Assured OSS 集成,请参阅 与 Assured OSS 集成。
- 如需配置 Sensitive Data Protection 集成,请参阅与 Sensitive Data Protection 集成。
如需停用集成服务,请点击其名称旁边的列表,然后选择停用。
添加第三方安全服务
在组织级层激活 Security Command Center 后,系统可以显示已注册为 Cloud Marketplace 合作伙伴的第三方安全服务中的发现结果。
Security Command Center 的项目级激活不支持第三方服务。
如要集成未注册为 Cloud Marketplace 合作伙伴的安全服务,请让提供商完成以 Security Command Center 合作伙伴的身份进行新手入门指南。
如需向 Security Command Center 添加新的第三方安全服务,请设置安全服务,然后在 Google Cloud 控制台中将其启用。
准备工作
如需为已注册的 Cloud Marketplace 合作伙伴添加安全服务,您需要满足以下条件:
- 以下身份和访问权限管理 (IAM) 角色:
- Security Center Admin (
roles/securitycenter.admin
) - Service Account Admin (
roles/iam.serviceAccountAdmin
)
- Security Center Admin (
- 您希望用于安全服务的 Google Cloud 项目。
设置安全服务
要设置第三方安全服务,您需要该服务的服务账号。添加新的安全服务时,您可以从以下服务账号选项中进行选择:
- 创建服务账号。
- 使用您自己的现有服务账号。
- 使用来自服务提供商的服务账号。
如需设置已注册为 Cloud Marketplace 合作伙伴的新安全服务,请完成以下操作:
转到 Google Cloud 控制台中的 Security Command Center 服务 Marketplace 页面。
市场页面会显示与 Security Command Center 直接关联的安全服务。
- 如果您没有看到想要添加的安全服务,请搜索安全性,然后选择安全服务提供商。
- 如果安全服务提供商未在 Cloud Marketplace 中注册,请让您的提供商完成以 Security Command Center 合作伙伴为新手入门的指南。
在 Cloud Marketplace 的安全来源提供商页面上,按照概览中的提供商设置说明进行操作。
正确配置后,您添加的安全服务在 Security Command Center 中可用。
设置新的安全服务后,您需要在 Google Cloud 控制台中启用它。
启用安全服务
第三方安全服务使用可能位于您 组织。
在 Google Cloud 控制台中,转到 Security Command Center 页面。
选择您的组织或项目。
点击
设置。点击集成服务标签页。
在要启用的集成来源旁边,点击状态列表并选择启用。
您启用的服务的发现结果会显示在 Security Command Center 信息中心的发现结果页面上。
更改安全服务的服务账号
您可以更改用于第三方安全服务的服务账号,例如解决服务账号泄露或轮替问题。如要更改某个安全服务的服务账号,您需要在 Google Cloud 控制台中进行更新。之后,请按照服务提供商的说明为其服务更新服务账号。
在 Google Cloud 控制台中,转到 Security Command Center 页面。
选择您的组织或项目。
点击
设置。点击集成服务标签页。
在集成式来源旁边的下拉列表中,执行以下操作:
- 选择已停用以暂时停用集成服务。
- 选择管理服务账号。
在出现的修改 [提供商名称]面板上,输入新服务账号,然后点击提交。
在集成服务旁边的下拉列表中,选择已启用以启用安全服务。
正确配置后,集成式服务的服务账号将会在 Security Command Center 中更新。请按照服务提供商的说明更新其服务的服务账号信息。
后续步骤
- 了解 Google Cloud 安全服务,学习如何查看它们出现的这些漏洞和威胁。
- 了解如何优化 Security Command Center。
- 将日志导出到 Cloud Logging。
- 配置攻击风险得分以评估风险。