配置 Security Command Center

配置 Security Command Center，包括添加安全服务、管理哪些服务应用于哪些资源，以及为 Event Threat Detection 和 Container Threat Detection 设置日志记录。

如需配置 Security Command Center，请转到 Google Cloud 控制台中的 Security Command Center 设置页面，然后点击您要更改的设置对应的标签页。

激活水平

您可以在以下两个级别之一激活 Security Command Center：组织级别（对于组织）或项目级别（对于单个项目）。

激活级别会影响您可以配置的服务类型。如果在项目级激活 Security Command Center，则不支持集成服务。您只能配置内置的 Security Command Center 服务。

以下部分介绍了内置服务和集成服务。

如需详细了解激活级别，请参阅激活 Security Command Center 概览。

Service

Security Command Center 上运行两种类型的服务：内置服务和集成服务。内置服务是 Security Command Center 的一部分。集成服务是向 Security Command Center 提供发现结果的 Google Cloud 服务或第三方服务。

要向 Security Command Center 的组织级层激活添加新的集成服务，请按照其集成指南操作，然后在 Security Command Center 信息中心内将其启用为安全服务。此功能可让您全面了解项目或组织中的安全风险、漏洞和威胁。

启用集成式服务后，您可以配置每个安全服务监控的资源。

内置服务

以下内置服务是 Security Command Center 的一部分：

• Container Threat Detection
• Event Threat Detection
• 快速漏洞检测^预览版

• Secured Landing Zone 服务^预览版

• Security Health Analytics

• 安全状况

• 虚拟机威胁检测

• Web Security Scanner

一些内置服务仅适用于 Security Command Center 高级层级。详细了解 Security Command Center 层级。

启用或停用内置服务

您可以为以下资源启用内置服务：

• 某个组织
• 文件夹
• 项目
• （仅使用 Container Threat Detection）集群

默认情况下，资源会继承其父级资源的服务设置。

如需为资源启用或停用 Security Command Center 服务，请执行以下操作：

1. 在 Google Cloud 控制台中，转到 Security Command Center 页面。

   进入 Security Command Center

2. 选择您需要管理其服务的组织、文件夹或项目。

3. 点击 settings 设置。

4. 对于您要修改的服务，点击管理设置。

5. 在服务启用标签页上，找到需要启用该服务的资源。您可以为组织、文件夹、项目或（仅使用 Container Threat Detection）集群启用内置服务。

6. 对于该资源，将服务设置为启用、停用或继承。

查看服务的模块

对于某些服务，您可以启用或停用某些检测器（也称为模块）。如需查看服务的模块及其当前状态，请执行以下操作：

1. 在 Google Cloud 控制台中，转到 Security Command Center 页面。

   进入 Security Command Center

2. 选择您需要管理其服务的组织、文件夹或项目。

3. 点击 settings 设置。

4. 对于您要查看的服务，点击管理设置。

5. 点击模块标签页。

   此时会显示服务的模块及其各自的状态。

启用或停用模块

1. 在 Google Cloud 控制台中，转到 Security Command Center 页面。

   进入 Security Command Center

2. 选择您需要管理其服务的组织、文件夹或项目。

3. 点击 settings 设置。

4. 对于您要查看的服务，点击管理设置。

5. 点击模块标签页。

   此时会显示服务的模块及其各自的状态。

6. 找到要修改的检测器，并将其状态设置为启用或停用。

将服务添加到 Security Command Center

在组织级层激活 Security Command Center 后，您可以将集成的 Google Cloud 服务或第三方安全服务添加到 Security Command Center。

添加 Google Cloud 集成服务

您可以将某些集成式 Google Cloud 服务添加到 Security Command Center。

项目级激活不支持集成的 Google Cloud 服务。

在设置页面上，点击集成服务标签页以查看可用服务。以下是与 Security Command Center 的组织级激活集成的 Google Cloud 安全服务：

• 异常值检测
• Google Cloud Armor
• 敏感数据保护
• Forseti Security

如需详细了解这些服务，请参阅漏洞和威胁的安全来源。

完成集成指南后，您可以获取来自 Google Cloud 安全服务的发现结果。

• 如需添加新服务，请点击添加更多服务。系统会显示 Google Cloud Marketplace 上的 Security Command Center 页面。点击您感兴趣的服务，然后按照提供商的说明将其添加为集成服务。
• 要查看来自安全服务的发现结果，请点击服务名称旁边的切换键以启用该服务。如要将某项服务限制为组织中的特定文件夹、项目或集群，请使用本页面稍后介绍的高级设置菜单。

集成式来源使用可能位于您的组织之外的服务账号。例如，Google Cloud 安全来源使用 security-center-fpr.iam.gserviceaccount.com 上的服务账号。

如果您的组织政策设置为按网域限制身份，则需要将 Security Command Center 服务账号添加到允许域内的群组中的身份。组织级 Security Command Center 服务帐号名称采用以下格式：

service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com

ORGANIZATION_NUMBER 是贵组织的数字 ID。

在集成服务标签页上，您可以添加新的来源，也可以启用和停用现有来源：

1. 在 Google Cloud 控制台中，转到 Security Command Center 页面。

   进入 Security Command Center

2. 选择您的组织或项目。

3. 点击 settings 设置。

4. 点击集成服务标签页。

5. 在要启用的集成来源旁边，点击状态列表并选择启用。

Security Command Center 信息中心的发现结果页面上会显示您选择的集成式来源的发现结果。

要停用集成式服务，请点击其名称旁边的下拉列表，然后选择默认停用。

虚拟机管理器漏洞报告

虚拟机管理器是一套工具，可用于管理在 Compute Engine 上运行 Windows 和 Linux 的大型虚拟机舰队的操作系统。

项目级激活不支持虚拟机管理器。

如果您通过 Security Command Center 高级层级启用虚拟机管理器，则虚拟机管理器默认会将其漏洞报告中的 high 和 critical 发现结果写入 Security Command Center。这些报告会识别 Compute Engine 虚拟机上安装的操作系统中的漏洞。

如需了解详情，请参阅 VM 管理器。

添加第三方安全服务

通过 Security Command Center 的组织级激活，可以显示已注册为 Cloud Marketplace 合作伙伴的第三方安全服务的结果。

Security Command Center 的项目级激活不支持第三方服务。

注册为 Cloud Marketplace 合作伙伴的第三方安全服务包括：

• Acalvio
• Capsule8
• Cavirin
• Chef
• Check Point CloudGuard Dome9
• CloudQuest
• McAfee
• Qualys
• Reblaze
• Palo Alto Networks 的 Prisma Cloud
• StackRox
• Tenable.io

如要集成未注册为 Cloud Marketplace 合作伙伴的安全服务，请让提供商完成以 Security Command Center 合作伙伴的身份进行新手入门指南。

要向 Security Command Center 添加新的第三方安全服务，请设置安全服务，然后在 Security Command Center 信息中心内将其启用。

准备工作

要为已注册的 Cloud Marketplace 合作伙伴添加安全服务，您需要：

• 以下身份和访问权限管理 (IAM) 角色：
  • Security Center Admin roles/securitycenter.admin
  • Service Account Admin roles/iam.serviceAccountAdmin
• 您希望用于安全服务的 Google Cloud 项目。

第 1 步：设置安全服务

要设置第三方安全服务，您需要该服务的服务账号。添加新的安全服务时，您可以从以下服务账号选项中进行选择：

• 创建服务账号。
• 使用您自己的现有服务账号。
• 使用来自服务提供商的服务账号。

如需设置已注册为 Cloud Marketplace 合作伙伴的新安全服务，请按以下步骤操作：

1. 转到 Google Cloud 控制台中的 Security Command Center 服务 Marketplace 页面。

   转至 Marketplace

2. 市场页面会显示与 Security Command Center 直接关联的安全服务。

   • 如果您没有看到想要添加的安全服务，请搜索安全性，然后选择安全服务提供商。
   • 如果安全服务提供商未在 Cloud Marketplace 中注册，请让您的提供商完成以 Security Command Center 合作伙伴为新手入门的指南。

3. 在 Cloud Marketplace 的安全来源提供商页面上，按照概览中的提供商设置说明进行操作。

4. 完成提供商的设置过程后，点击提供商的市场页面上的访问 [提供商名称] 网站即可注册。

5. 在显示的 Google Cloud 控制台 Security Command Center 页面上，选择您要为其使用安全服务的组织。

6. 在出现的创建服务账号和启用 [提供商名称] 安全性事件页面上，接受提供商的服务账号（如有），或者创建或选择您想要使用的自己的服务账号：

   • 要创建服务账号，请执行以下操作：
     1. 选择创建新服务账号。
     2. 在项目旁边，点击更改以选择要用于此安全服务的项目。
     3. 添加服务账号名称和服务账号 ID。
   • 要使用现有服务账号，请执行以下操作：
     1. 选择使用现有服务账号，然后从服务账号名称下拉列表中选择要使用的服务账号。
   • 如果安全服务提供商管理服务账号，请输入他们提供的服务账号 ID。

7. 添加完服务账号信息后，点击提交或接受。

8. 在随即出现的来源连接页面上，点击安装步骤下的链接，了解如何完成安装。

9. 完成后，请点击完成。

正确配置后，您添加的安全服务在 Security Command Center 中可用。

第 2 步：启用安全服务

设置新的安全服务后，您需要在 Security Command Center 信息中心内启用它。

集成式来源使用可能位于您的组织之外的服务账号。例如，Google Cloud 安全来源使用 security-center-fpr.iam.gserviceaccount.com 上的服务账号。

如果您的组织政策设置为按网域限制身份，则需要将 Security Command Center 服务账号添加到允许域内的群组中的身份。组织级 Security Command Center 服务帐号名称采用以下格式：

service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com

ORGANIZATION_NUMBER 是贵组织的数字 ID。

在集成服务标签页上，您可以添加新的来源，也可以启用和停用现有来源：

1. 在 Google Cloud 控制台中，转到 Security Command Center 页面。

   进入 Security Command Center

2. 选择您的组织或项目。

3. 点击 settings 设置。

4. 点击集成服务标签页。

5. 在要启用的集成来源旁边，点击状态列表并选择启用。

Security Command Center 信息中心的发现结果页面上会显示您选择的集成式来源的发现结果。

更改提供商服务账号

您可以更改用于第三方安全服务的服务账号，例如解决服务账号泄露或轮替问题。要更改某个安全服务的服务账号，您需要在 Security Command Center 信息中心内进行更新。之后，请按照服务提供商的说明为其服务更新服务账号。

以下步骤不适用于 Security Command Center 的项目级激活，它不支持集成的第三方服务。

1. 在 Google Cloud 控制台中，转到 Security Command Center 页面。

   进入 Security Command Center

2. 选择您的组织或项目。

3. 点击 settings 设置。

4. 点击集成服务标签页。

5. 在集成式来源旁边的下拉列表中，执行以下操作：

   1. 选择已停用以暂时停用集成服务。
   2. 然后，选择管理服务账号。

6. 在出现的修改 [提供商名称]面板上，输入新服务账号，然后点击提交。

7. 在集成服务旁边的下拉列表中，选择已启用以启用安全服务。

正确配置后，集成式服务的服务账号将会在 Security Command Center 中更新。请按照服务提供商的说明更新其服务的服务账号信息。

Cloud Logging 导出

在持续导出标签页上，您可以为 Event Threat Detection 和 Container Threat Detection 发现结果设置日志记录。发现结果会导出到您选择的 Cloud Logging 项目。

如果信息量很大，Cloud Logging 的使用费有可能会非常高。如需了解服务的用量及其费用，请参阅 Google Cloud 可观测性费用优化。

要记录发现结果，请执行以下操作：

1. 在 Google Cloud 控制台中，转到 Security Command Center 页面。

   进入 Security Command Center

2. 选择您的组织或项目。

3. 点击 settings 设置。

4. 点击连续导出标签页。

5. 在导出名称下，点击 Logging 导出。

6. 在接收器下，开启 将发现结果记录到 Logging。

7. 在记录项目下，输入或搜索要在其中记录发现结果的项目。

8. 点击保存。

当 Event Threat Detection 和 Container Threat Detection 写入日志时，每个日志条目都包含 threat_detector 资源类型，并且包含与发现结果相同的信息。如需了解如何查看日志，请参阅使用 Event Threat Detection 和使用 Container Threat Detection。

指定高价值资源

Security Command Center 会计算攻击风险得分，并说明漏洞和配置错误发现结果的潜在攻击路径，这些发现结果公开您定义为高价值的资源。

要获取攻击风险得分和攻击路径来准确反映哪些资源真正具有高价值，您需要创建资源值配置。

您创建的资源值配置的集合定义了高价值资源集。

在您创建自己的高价值资源集之前，Security Command Center 使用默认的高价值资源集，该资源集通常适用于攻击风险得分支持的所有资源类型。

详情请参阅以下内容：

• 定义和管理高价值资源集
• 攻击风险得分概览

忽略规则

忽略规则标签页列出了在您的组织、文件夹和项目中设置的任何忽略规则。在此标签页上，您可以创建忽略规则或管理现有规则。

忽略规则会根据您定义的过滤条件自动禁止未来的发现结果。如需详细了解如何忽略发现结果以及如何使用忽略规则，请参阅在 Security Command Center 中忽略发现结果。

角色

Security Command Center 的 IAM 角色可以在组织、文件夹或项目级层授予。您能否查看、修改、创建或更新发现结果、资产和安全来源，取决于您获授予的访问权限级别。如需详细了解 Security Command Center 角色，请参阅访问权限控制。

如需了解如何授予、更改和撤消 IAM 角色，请参阅管理对项目、文件夹和组织的访问权限。

后续步骤

• 了解 Google Cloud 安全服务，学习如何查看它们出现的这些漏洞和威胁。

• 了解如何优化 Security Command Center。