本页概述了 Google Cloud 控制台中的 Security Command Center,介绍了导航菜单,并简要说明了顶级页面。
如果您尚未设置 Security Command Center,请参阅以下内容,获取激活说明:
- 如需激活标准方案或高级方案层级,请参阅激活 Security Command Center 概览。
- 如需激活企业方案层级,请参阅激活 Security Command Center 企业方案层级。
如需大致了解 Security Command Center,请参阅 Security Command Center 概览。
必需的 IAM 权限
如需使用所有服务层级的 Security Command Center,您必须拥有具备适当权限的 Identity and Access Management (IAM) 角色:
标准方案
- Security Center Admin Viewer (
roles/securitycenter.adminViewer) 可让您查看 Security Command Center。 - Security Center Admin Editor (
roles/securitycenter.adminEditor) 可让您查看 Security Command Center 并进行更改。
高级方案
- Security Center Admin Viewer (
roles/securitycenter.adminViewer) 可让您查看 Security Command Center。 - Security Center Admin Editor (
roles/securitycenter.adminEditor) 可让您查看 Security Command Center 并进行更改。
企业方案
- Security Center Admin Viewer (
roles/securitycenter.adminViewer) 可让您查看 Security Command Center。 - Security Center Admin Editor (
roles/securitycenter.adminEditor) 可让您查看 Security Command Center 并进行更改。 - Chronicle Service Viewer (
roles/chroniclesm.viewer) 可让您查看关联的 Google SecOps 实例。
您还需要拥有以下任一 IAM 角色:
- Chronicle SOAR Admin (
roles/chronicle.soarAdmin) - Chronicle SOAR Threat Manager (
roles/chronicle.soarThreatManager) - Chronicle SOAR Vulnerability Manager
(
roles/chronicle.soarVulnerabilityManager)
如需启用对 SOAR 相关功能的访问权限,您还必须在设置 > SOAR 设置页面上将这些 Identity and Access Management 角色映射到 SOC 角色、权限组和环境。如需了解详情,请参阅使用 IAM 映射和授权用户。
如果您的组织政策设置为按网域限制身份,您必须登录允许的网域中的账号 Google Cloud 控制台。
Security Command Center 的 IAM 角色可以在组织、文件夹或项目级层授予。您能否查看、修改、创建或更新发现结果、资产和安全来源,取决于您获授予的访问权限级别。如需详细了解 Security Command Center 角色,请参阅访问权限控制。
访问 Security Command Center
如需在 Google Cloud 控制台中访问 Security Command Center,请执行以下操作:
进入 Security Command Center:
如果启用了数据驻留,并且您的组织使用管辖区级 Google Cloud 控制台,请参阅管辖区级 Google Cloud 控制台简介。
选择要查看的项目或组织。
如果在您选择的组织或项目中已激活 Security Command Center,则系统会显示风险概览页面。
如果 Security Command Center 未处于活跃状态,系统会邀请您激活它。如需详细了解如何激活 Security Command Center,请参阅以下内容:
- 标准方案或高级方案:Security Command Center 激活概览。
- 企业方案:激活 Security Command Center 企业方案层级。
Security Command Center 导航菜单
下文介绍了 Security Command Center 中的导航菜单。导航菜单因您的 Security Command Center 服务层级而异。您可以执行的任务还取决于已启用的服务以及您获得的 IAM 权限。
点击链接即可查看相应页面的说明。
标准方案
下文介绍了 Security Command Center 标准方案中的导航菜单。
高级方案
下文介绍了 Security Command Center 高级方案中的导航菜单。
企业方案
Security Command Center 企业方案左侧导航栏包含指向 Google Security Operations 租户中相应页面的链接,该租户是在 Security Command Center 企业方案激活期间配置的。
此外,在 Security Command Center Enterprise 激活期间配置的 Google Security Operations 租户包含指向部分 Google Cloud 控制台页面的链接。
如需了解 Google Security Operations 中提供的功能,请参阅 Security Operations 控制台的 Security Command Center 企业方案链接。
风险概览
风险概览页面是您首次接触到的安全信息中心,突出显示了所有内置服务和集成服务在云环境中发现的高优先级风险。
风险概览页面上的视图因服务层级而异。
标准方案
风险概览页面包含以下面板:
- 漏洞数(按资源类型)通过图表直观显示了项目或组织中各类资源的活跃漏洞的数量。
- 活跃漏洞提供按类别名称、受影响资源和项目分类的漏洞发现结果的标签页式视图。您可以按发现结果严重级别对每个视图进行排序。
高级方案
如需详细了解每个调查视图,请选择以下视图之一:
企业方案
如需详细了解每个调查视图,请选择以下视图之一:
资产
资产页面详细显示您的项目或组织中的所有 Google Cloud资源(也称为资产)。
如需详细了解如何在资源页面上使用资源,请参阅在控制台中使用资源。
合规性
默认情况下,当您激活 Security Command Center 时,将启用 Compliance Manager。合规性页面会显示以下标签页:配置(新)、监控(新)和审核(新)。通过这些标签页,您可以创建和应用云控制措施和框架、监控环境以及完成审核。
如果您在 Compliance Manager 正式发布之前激活了 Security Command Center,并且未启用 Compliance Manager,则合规性页面仅显示监控标签页。此标签页会显示 Security Command Center 使用 Security Health Analytics 支持的所有行业基准以及通过的基准控制项所占的百分比。如需详细了解在未启用 Compliance Manager 的情况下 Security Command Center 如何支持合规管理,请参阅在不使用 Compliance Manager 的情况下评估合规性。
发现结果
在发现结果页面上,您可以查询、查看、忽略和标记 Security Command Center 发现结果,即 Security Command Center 服务在您的环境中检测到安全问题时创建的记录。如需详细了解如何在发现结果页面上处理发现结果,请参阅查看和管理发现结果。
问题
问题是指 Security Command Center 在您的云环境中发现的最重要的安全风险,该页面让您有机会对漏洞和威胁做出快速响应。Security Command Center 通过虚拟红队测试和基于规则的检测来发现问题。如需了解如何调查问题,请参阅问题概览。
安全状况管理
在安全状况页面上,您可以查看组织中创建的安全状况的详细信息,并将这些状况应用于组织、文件夹或项目。您还可以查看可用的预定义安全状况模板。
SCC 设置
在 Security Command Center 企业方案中,您可以通过导航菜单中的 SCC 设置链接打开设置页面。在 Security Command Center 标准方案和高级方案中,您可以通过标题中的设置链接打开该页面。
您可以在设置页面中配置 Security Command Center,包括以下方面:
SCC 设置指南
您可以在设置指南页面上激活 Security Command Center 企业方案并配置附加服务。如需了解详情,请参阅激活 Security Command Center 企业方案层级。
来源
来源页面包含一些卡片,其中汇总了您已启用的安全来源中的资源和发现结果。每个安全来源的卡片都会显示来自该来源的部分发现结果。您可以点击发现结果类别名称以查看此类别中的所有发现结果。
发现结果(按来源划分)
发现结果(按来源划分)卡片显示您已启用的安全来源提供的每种发现结果的数量。
- 要查看来自特定来源的发现结果的详细信息,请点击相应来源的名称。
- 要查看所有发现结果的详细信息,请点击发现结果页面,您可以在其中对发现结果进行分组或查看个别发现结果的详细信息。
来源摘要
在发现结果(按来源划分)卡片下方,您启用的所有内置、集成和第三方来源会显示单独的卡片。每张卡片会提供相应来源的有效发现结果数量。
威胁
威胁是指云资源中可能有害的事件。Security Command Center 会以不同的视图显示威胁,具体取决于您的服务层级。
标准方案
Security Command Center 标准方案不支持威胁页面。您可以在发现结果页面上查看威胁发现结果。
高级方案
在 Security Command Center 高级方案中,点击威胁导航链接会打开风险概览 >“威胁”信息中心。
企业方案
对于 Security Command Center 企业方案,您可以在风险概览 >“威胁”信息中心内查看威胁。
旧版“漏洞”页面
旧版漏洞页面列出了 Security Command Center 的内置检测服务在您的云环境中检查到的所有配置错误和软件漏洞发现结果。对于列出的每个检测器,系统都会显示有效发现结果的数量。
如需在 Security Command Center 中查看漏洞页面,请执行以下操作:
标准
在 Google Cloud 控制台中,前往漏洞页面。
高级
在 Google Cloud 控制台中,前往风险概览页面。
在风险概览页面上,点击漏洞。
在漏洞信息中心内,点击前往旧版页面。
企业方案
在 Google Cloud 控制台中,前往风险概览页面。
在风险概览页面上,点击漏洞。
在漏洞信息中心内,点击前往旧版页面。
漏洞检测服务
漏洞页面列出了以下 Security Command Center 内置检测服务的检测器:
- Notebook Security Scanner(预览版)
- Security Health Analytics
- Amazon Web Services (AWS) 漏洞评估
- Web Security Scanner
与 Security Command Center 集成的其他 Google Cloud 服务也会检测软件漏洞和配置错误。其中一部分服务的发现结果也会显示在漏洞页面上。如需详细了解在 Security Command Center 中生成漏洞发现结果的服务,请参阅检测服务。
有关漏洞检测器类别的信息
对于每个配置错误或软件漏洞检测器,漏洞页面会显示以下信息:
- 状态:图标表示检测器是否处于活动状态,以及检测器是否发现需要处理的发现结果。将指针悬停在状态图标上时,工具提示会出现并显示检测器找到结果的日期和时间,或显示有关如何验证建议的信息。
- 上次扫描时间:检测器最近一次扫描的日期和时间。
- 类别:漏洞的类别或类型。如需查看每项 Security Command Center 服务检测到的类别列表,请参阅以下内容:
建议:有关如何处理发现结果的摘要。详情请参阅以下内容:
有效:类别中的发现结果总数。
标准:发现结果类别适用的合规性基准(如果有)。如需详细了解基准,请参阅漏洞发现结果。
过滤漏洞发现结果
大型组织在其部署过程中可能有很多漏洞发现结果,以进行审核、分类和跟踪。通过使用 Google Cloud 控制台中的 Security Command Center 漏洞和发现结果页面上提供的过滤条件,您可以专注于整个组织内最严重的漏洞,并按资产类型、项目等审核漏洞。
如需详细了解如何过滤漏洞发现结果,请参阅在 Security Command Center 中过滤漏洞发现结果。
Security Operations 控制台的 Security Command Center 企业方案链接
Security Command Center 企业方案层级包含 Google Cloud 控制台页面和 Security Operations 控制台页面上提供的功能。
您可以登录 Google Cloud 控制台,然后通过 Google Cloud 控制台导航菜单前往 Security Operations 控制台页面。本部分介绍了您可以在每个页面上执行的任务,以及用于打开 Security Operations 控制台页面的导航链接。
Google Cloud 控制台页面
您可以在 Google Cloud 控制台页面中执行以下任务:
- 激活 Security Command Center。
- 为所有 Security Command Center 用户设置 Identity and Access Management (IAM) 权限。
- 连接到其他云环境以收集资源和配置数据。
- 处理和导出发现结果。
- 使用攻击风险得分评估风险。
- 处理问题,即 Security Command Center Enterprise 在您的云环境中发现的最重要的安全风险。
- 使用 Sensitive Data Protection 识别高敏感度数据。
- 调查各项发现结果并进行修复。
- 配置 Security Health Analytics、Web Security Scanner 及其他与 Google Cloud相集成的服务。
- 管理安全状况。
- 配置云控制措施和框架。
- 管理数据安全状况。
- 评估并报告您在常见安全标准或基准方面的合规情况。
- 查看和搜索 Google Cloud 资产。
下图显示了Google Cloud 控制台中的 Security Command Center 内容。
Security Operations 控制台页面
您可以在安全运维控制台页面上执行以下任务:
- 连接到其他云环境,以通过安全信息和事件管理 (SIEM) 中的精选检测收集相关日志数据。
- 配置安全编排、自动化和响应 (SOAR) 设置。
- 为突发事件和案例管理配置用户和群组。
- 处理各项案例,包括对发现结果进行分组、分配工单和处理提醒。
- 使用称为“playbook”的自动化步骤序列来解决问题。
- 使用工作桌来管理待处理的操作和任务(来自待处理案例和 playbook)。
下图显示了安全运维控制台。
安全运维控制台页面的网址格式如下所示。
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
其中,CUSTOMER_SUBDOMAIN 是您的客户专用标识符。
提醒和 IOC
您可以在此安全运维控制台页面中查看由精选检测和自定义规则创建的提醒。如需了解如何调查提醒,请参阅 Google Security Operations 文档中的以下内容:
支持请求
在 Security Operations 控制台中,您可以使用支持请求来获取有关发现结果的详细信息、将 playbook 附加到发现结果提醒、应用自动威胁响应,以及跟踪安全问题的修复情况。
如需了解详情,请参阅 Google Security Operations 文档中的支持请求概览。
策略方案
您可以在此安全运维控制台页面上管理 SCC Enterprise - 云端编排和修复应用场景中包含的 playbook。
如需了解此应用场景中可用的集成,请参阅 Security Command Center 服务层级。
如需了解可用的 playbook,请参阅更新 Enterprise 应用场景。
如需了解如何使用 Security Operations 控制台的 Playbook 页面,请参阅 Google Security Operations 文档中的“Playbook”页面上显示的内容。
规则和检测
您可以在此安全运维控制台页面中启用精选检测功能,并创建自定义规则,以识别通过安全运维控制台提供的日志数据收集机制收集的数据中的模式。如需了解 Security Command Center Enterprise 提供的精选检测功能,请参阅使用精选检测功能调查威胁。
SIEM 信息中心
您可以在此安全运维控制台页面中查看 Google Security Operations SIEM 信息中心,以分析由 Google Security Operations 规则创建的提醒,以及通过安全运维控制台的日志数据收集功能收集的数据。
如需详细了解如何使用 SIEM 信息中心,请参阅 Google Security Operations 文档中的信息中心概览。
SIEM 搜索
您可以在此安全运维控制台页面中查找 Google Security Operations 实例中的统一数据模型 (UDM) 事件及提醒。如需了解详情,请参阅 Google Security Operations 文档中的 SIEM 搜索。
SIEM 设置
您可以在此 Security Operations 控制台页面中更改与 Google Security Operations SIEM 相关的各项功能的配置。如需了解如何使用这些功能,请参阅 Google Security Operations 文档。
SOAR 信息中心
您可以在此安全运维控制台页面中查看和创建使用 SOAR 数据的信息中心,以通过这些数据分析响应和案例。如需详细了解如何使用 SOAR 信息中心,请参阅 Google Security Operations 文档中的 SOAR 信息中心概览。
SOAR 报告
您可以在此安全运维控制台页面上查看基于 SOAR 数据的报告。如需详细了解如何使用 SOAR 报告,请参阅 Google Security Operations 文档中的了解 SOAR 报告。
SOAR 搜索
您可以在此安全运维控制台页面中查找由 Google Security Operations SOAR 编入索引的特定案例或实体。如需了解详情,请参阅 Google Security Operations 文档中的在 SOAR 中使用“搜索”页面。
SOAR 设置
您可以在此 Security Operations 控制台页面中更改与 Google Security Operations SOAR 相关的各项功能的配置。如需了解如何使用这些功能,请参阅 Google Security Operations 文档。
后续步骤
- 了解检测服务。
- 了解如何使用安全标记。
- 了解如何配置 Security Command Center 服务