在 Google Cloud 控制台使用 Security Command Center Standard 或 Premium

本頁將總覽Google Cloud 控制台中的 Security Command Center 標準版和進階版，以及 Security Command Center 頂層頁面的用途。如果您使用 Security Command Center Enterprise，請參閱「Security Command Center Enterprise 控制台」。

如果尚未設定 Security Command Center，您必須先啟用，才能在 Google Cloud 控制台中使用 Security Command Center。

• 如要啟用 Standard 或 Premium 方案，請參閱「啟用 Security Command Center 的簡介」。
• 如要啟用 Enterprise 級別，請參閱「啟用 Security Command Center Enterprise 級別」。

如需 Security Command Center 的一般總覽，請參閱「Security Command Center 總覽」。

必要 IAM 權限

如要使用所有服務層級的 Security Command Center，您必須具備包含適當權限的身分與存取權管理 (IAM) 角色：

• 安全中心管理員檢視者 (roles/securitycenter.adminViewer) 可讓您查看 Security Command Center。
• 安全中心管理員編輯者 (roles/securitycenter.adminEditor) 可讓您查看 Security Command Center 並進行變更。

如果貴機構政策設為依網域限制身分，您必須使用允許網域中的帳戶登入 Google Cloud 控制台。

您可以在機構、資料夾或專案層級授予 Security Command Center 的 IAM 角色。您能否查看、編輯、建立或更新發現項目、資產和安全性來源，取決於您獲准的存取層級。如要進一步瞭解 Security Command Center 角色，請參閱存取權控管。

在 Google Cloud 控制台中存取 Security Command Center

如要在 Google Cloud 控制台中存取 Security Command Center，請按照下列步驟操作：

1. 前往 Security Command Center：

   前往 Security Command Center

2. 選取要查看的專案或機構。

   如果您選取的機構或專案已啟用 Security Command Center，系統會顯示「風險總覽」頁面，其中包含過去七天內的新威脅發現項目和有效安全漏洞發現項目總覽。

   如果 Security Command Center 未啟用，系統會邀請您啟用。如要進一步瞭解如何啟用 Security Command Center，請參閱下列適用於服務層級的文章：

   • Standard 或 Premium：請參閱啟用 Security Command Center 的簡介。
   • Enterprise：啟用 Security Command Center Enterprise 級別。

Security Command Center 功能和導覽

您可以執行的工作取決於Security Command Center 服務層級、已啟用的服務，以及您獲得的 IAM 權限。

除了「風險總覽」頁面，您還可以在控制台中，透過下列 Security Command Center 頁面監控及管理環境中的安全性問題。 Google Cloud Google Cloud

以下說明 Security Command Center Standard 和 Premium 的導覽方式。按一下導覽項目，即可查看頁面說明。

• 風險總覽頁面
• 「威脅」頁面
• 「安全漏洞」頁面
• 法規遵循頁面
• 「資產」頁面
• 「發現項目」頁面
• 「來源」頁面
• 防護機制頁面

風險總覽頁面

「風險總覽」頁面會顯示所有內建和整合服務中，Google Cloud 環境的新威脅和有效安全漏洞總數。您可以在這個頁面的所有區域中，將顯示的時間範圍從 1 小時變更為 6 個月。

「風險總覽」頁面包含各種資訊主頁，包括：

• 「重大安全漏洞發現項目」會顯示受攻擊風險分數最高的十項發現項目。
• 「過去一段時間出現的新威脅」 (僅限進階層級) 會顯示每天偵測到的新威脅圖表，以及每小時的總數。頁面上的圖表下方會依類別、資源和專案顯示威脅發現項目。您可以依據嚴重程度排序每個檢視畫面。
• 「重大 CVE 發現項目」 (僅適用於 Premium 和 Enterprise 方案) 會顯示依 CVE 漏洞攻擊可能性和影響分組的安全漏洞發現項目。按一下熱度圖中的方塊，即可查看依 CVE ID 列出的對應發現項目。
• 「安全漏洞 (按照資源類型區分)」圖表會顯示專案或機構中資源的未解決安全漏洞。
• 「未解決的安全漏洞」會依類別名稱、受影響的資源和專案，以分頁檢視畫面顯示安全漏洞發現結果。您可以依嚴重程度排序每個檢視畫面。
• 身分和存取權探索結果 (僅限進階層級) 會顯示與主體帳戶 (身分) 相關的設定錯誤探索結果，這些帳戶設定錯誤，或獲授過多或敏感的權限，可存取 Google Cloud、AWS 或 Azure 資源 (存取權)。身分和存取權控管的管理有時也稱為「雲端基礎架構授權管理」。
• 「資料安全性發現項目」會顯示 Sensitive Data Protection 探索服務的發現項目。這份摘要會列出所有安全漏洞調查結果，指出環境變數中是否有密鑰，以及觀察結果，指出資料的機密程度和資料風險等級。

在「風險總覽」頁面中，按一下任何調查結果的類別名稱，即可前往「調查結果」頁面，查看調查結果的詳細資料。

「威脅」頁面

您可以在「威脅」頁面中，查看指定時間範圍內 Google Cloud 資源中可能有害的事件。預設時間範圍為七天。

您可以在「威脅」頁面的下列部分查看發現項目：

• 「依嚴重程度分類的威脅」會顯示各嚴重程度的威脅數量。
• 「依類別列出的威脅」會顯示所有專案中各類別的發現項目數量。
• 「依資源列出的威脅」會顯示專案或機構中各資源的發現項目數量。

您可以使用「時間範圍」欄位中的下拉式清單，指定要顯示威脅的時間範圍。下拉式清單提供多個選項，從 1 小時到「所有時間」都有，後者會顯示自服務啟用以來的所有發現項目。系統會在工作階段之間儲存您選取的時間範圍。

「安全漏洞」頁面

「安全漏洞」頁面會列出 Security Command Center 內建偵測服務在雲端環境中執行的所有錯誤設定和軟體安全漏洞偵測工具。系統會顯示每個偵測工具的有效發現項目數量。

安全漏洞偵測服務

「安全漏洞」頁面會列出下列 Security Command Center 內建偵測服務的偵測工具：

• Notebook Security Scanner (預先發布版)
• 安全狀態分析
• Amazon Web Services (AWS) 漏洞評估
• Web Security Scanner

與 Security Command Center 整合的其他 Google Cloud 服務也會偵測軟體安全漏洞和錯誤設定。這些服務的發現項目也會顯示在「Vulnerabilities」頁面。如要進一步瞭解 Security Command Center 中產生安全漏洞發現項目的服務，請參閱「偵測服務」。

安全漏洞偵測器類別的相關資訊

針對每個設定錯誤或軟體安全漏洞偵測器，「安全漏洞」頁面會顯示下列資訊：

• 狀態：圖示會指出偵測工具是否有效，以及偵測工具是否發現需要處理的結果。將指標懸停在狀態圖示上時，工具提示會顯示偵測器發現結果的日期和時間，或說明如何驗證建議。
• 上次掃描時間：偵測器上次掃描的日期和時間。
• 類別：安全漏洞的類別或類型。如要查看各項 Security Command Center 服務偵測到的類別清單，請參閱下列文章：
  • Notebook Security Scanner 發現項目 (預覽版)
  • Security Health Analytics 發現項目
  • AWS 安全漏洞評估結果
  • Web Security Scanner 發現項目
• 建議：如何補救發現結果的摘要。詳情請參閱修正安全性狀態分析發現項目。
• 有效：該類別的發現項目總數。
• 標準：適用於發現項目類別的法規遵循基準 (如有)。如要進一步瞭解基準，請參閱「安全漏洞發現」。

篩選安全漏洞發現項目

大型機構的部署作業可能發現許多待審查、分類和追蹤的安全性弱點。您可以在 Google Cloud 控制台的 Security Command Center「安全漏洞」和「發現項目」頁面使用篩選器，專注於貴機構中嚴重程度最高的安全漏洞，並依資產類型、專案等查看安全漏洞。

如要進一步瞭解如何篩選安全漏洞發現項目，請參閱「在 Security Command Center 中篩選安全漏洞發現項目」。

「法規遵循」頁面

預設情況下，啟用 Security Command Center 後，「法規遵循」頁面會顯示「監控」分頁。這個分頁會顯示 Security Command Center 透過安全狀態分析支援的所有法規架構，以及通過基準控制項的百分比。

您可以在「監控」分頁中查看各項法規架構，並進一步瞭解 Security Health Analytics 檢查的法規控管措施、每項控管措施偵測到的違規次數，以及匯出該法規架構的合規報告。

安全性狀態分析服務的安全漏洞掃描器會根據 Google 盡力提供的對應關係，監控常見的法規遵循控管措施是否遭到違反。安全狀態分析合規報告無法取代合規稽核，但有助於維持合規狀態，並及早發現違規事項。

為 Security Command Center Enterprise 啟用法規遵循管理員 (預先發布版) 後，「法規遵循」頁面會顯示下列額外分頁：設定 (預先發布版)、監控 (預先發布版) 和稽核 (預先發布版)。您可以在這些分頁中建立及套用雲端控制措施和架構、監控環境，以及完成稽核。

如要進一步瞭解在未啟用法規遵循管理工具的情況下，Security Command Center 如何支援法規遵循管理，請參閱「管理法規遵循」。

「資產」頁面

「資產」頁面會詳細顯示專案或機構中的所有 Google Cloud 資源 (也稱為「資產」)。

如要進一步瞭解如何在「資產」頁面中處理資產，請參閱「在控制台中處理資源」。

「發現項目」頁面

在「發現項目」頁面中，您可以查詢、查看、略過及標記 Security Command Center 發現項目。這些記錄是 Security Command Center 服務在環境中偵測到安全性問題時建立。如要進一步瞭解如何使用「發現項目」頁面上的發現項目，請參閱「查看及管理發現項目」。

「來源」頁面

「來源」頁面包含多張資訊卡，可針對已啟用的安全性來源提供資產和發現項目摘要。每張安全來源資訊卡都會顯示該來源的部分發現項目。您可以按一下發現項目類別名稱，查看該類別中的所有發現項目。

發現項目摘要

「發現項目摘要」資訊卡會顯示已啟用安全性來源提供的各類發現項目數量。

• 如要查看特定來源的調查結果詳細資料，請按一下來源名稱。
• 如要查看所有發現項目的詳細資料，請按一下「發現項目」頁面，您可以在該頁面將發現項目分組，或查看個別發現項目的詳細資料。

來源摘要

「調查結果摘要」資訊卡下方會顯示您啟用的任何內建、整合和第三方來源的資訊卡。每張資訊卡都會提供該來源的有效發現項目計數。

防護機制頁面

在「防護機制」頁面中，您可以查看機構中建立的安全防護機制詳細資料，並將防護機制套用至機構、資料夾或專案。您也可以查看可用的預先定義防護機制範本。

後續步驟

• 瞭解偵測服務。
• 瞭解如何使用安全標記。
• 瞭解如何設定 Security Command Center 服務。