本页面简要介绍了 Security Command Center,这是一种风险管理解决方案,通过 Enterprise 层级,将云安全和企业安全运营结合在一起,并可提供来自 Mandiant 专业知识和 Gemini 人工智能的数据洞见。
利用 Security Command Center,安全运营中心 (SOC) 分析师、漏洞和状况分析师、合规管理员和其他安全专业人员可以快速评估、调查和响应多个云环境中的安全问题。
每个云部署都有独特的风险。Security Command Center 可帮助您了解和评估您在 Google Cloud 上的项目或组织所面临的攻击面,以及您的其他云环境的受攻击面。Security Command Center 通过适当配置来保护资源,可帮助您了解在云环境中检测到的漏洞和威胁,并确定修复优先级。
Security Command Center 与许多 Google Cloud 服务集成,可检测多个云环境中的安全问题。这些服务以各种方式检测问题,例如扫描资源元数据、扫描 Cloud 日志、扫描容器和扫描虚拟机。
其中一些集成服务(如 Chronicle Security Operations 和 Mandiant)也提供了对于安排和管理调查及响应检测到的问题至关重要的功能和信息。
管理威胁
Security Command Center 使用内置和集成式 Google Cloud 服务来检测威胁。这些服务会扫描您的 Google Cloud 日志、容器和虚拟机,以查找威胁指标。
当其中一些服务(如 Event Threat Detection 或 Container Threat Detection)检测到威胁指标时,它们会发出发现结果。发现结果是单个威胁或服务在您的云环境中发现的其他问题的报告或记录。发出发现结果的服务也称为发现结果来源。
发现结果会触发提醒,根据发现结果的严重程度,此类提醒可以生成案例。您可以将案例与工单系统结合使用,分配所有者来调查案例中的一个或多个提醒并做出响应。Security Command Center 中提醒和案例的生成由 Chronicle SecOps 提供支持。
Security Command Center 可以检测多个云环境中的威胁。为了检测其他云平台中的威胁,Security Command Center 会在您建立连接后从其他提供商处提取日志。日志提取由 Chronicle SecOps 提供支持。
如需了解详情,请参阅以下页面:
威胁检测与响应功能
借助 Security Command Center,SOC 分析师可以实现以下安全目标:
- 检测您的云环境中指示潜在威胁的事件,并对关联的发现结果或警报进行分类。
- 借助集成的案例工作流,指定负责人并跟踪调查和响应的进度。(可选)您可以集成首选票务系统,如 Jira 或 ServiceNow。
- 利用强大的搜索和交叉引用功能调查威胁警报。
- 定义响应工作流并自动执行操作,以应对云环境中的潜在攻击。如需详细了解如何使用由 Chronicle SecOps 提供支持的 playbook 定义响应工作流和自动化操作,请参阅使用 playbook。
- 忽略或排除误报的发现结果或提醒。
- 重点关注与被盗用的身份和访问权限相关的威胁。
- 使用 Security Command Center 检测、调查和应对 AWS 等其他云环境中的潜在威胁。
管理漏洞
Security Command Center 通过利用各种 Google Cloud 服务自动扫描环境中的资源,以查找软件漏洞、错误配置和可能会让您遭到攻击的其他类型的安全问题,从而提供全面的漏洞检测功能。这些问题统称为漏洞。
Security Command Center 使用内置和集成式 Google Cloud 服务来检测安全问题。发出发现结果的服务也称为发现结果来源。当服务检测到问题时,会发出发现结果以记录问题。
默认情况下,对于严重级别为“高”和“严重”的漏洞发现结果,系统会自动创建案例,以帮助您确定修复优先级。您可以为案例指定所有者并跟踪修复工作的进度。
如需了解详情,请参阅:
软件漏洞
为了帮助您识别和了解软件漏洞并确定其优先级,Security Command Center 可以评估您的云环境中的虚拟机和容器是否存在漏洞。对于检测到的每个漏洞,Security Command Center 会在发现结果记录或发现结果中提供深入的信息。随发现结果提供的信息可能包括:
- 受影响资源的详细信息
- 所有相关 CVE 记录的相关信息,包括 Mandiant 对 CVE 项目的影响和可利用性的评估
- 攻击风险得分,可帮助您确定修复的优先级
- 以可视化方式表示攻击者访问漏洞所暴露的高价值资源时可能采取的路径
错误配置
Security Command Center 将扫描错误配置的服务的检测器映射到通用行业合规性标准的控制措施。除了向您显示配置错误所违反的合规性标准之外,映射还可让您了解对各种标准的合规性的衡量结果,然后将这些标准导出为报告。
如需了解详情,请参阅评估和报告合规性。
安全状况违规行为
Security Command Center 的高级层级和企业版层级包含 Security Posture 服务,如果您的云资源违反了您在云环境中部署的安全状况中定义的政策,该服务会发布发现结果。
如需了解详情,请参阅安全状况服务。
验证基础架构即代码
您可以验证基础架构即代码 (IaC) 文件是否与您在 Google Cloud 组织中定义的政策保持一致,包括您在安全状况中定义的政策。此功能有助于确保您部署的资源不会违反组织标准。定义组织政策并视需要启用 Security Health Analytics 服务后,您可以使用 Google Cloud CLI 验证您的 Terraform 方案文件,或者将验证流程集成到 Jenkins 或 GitHub Actions 开发者工作流中。如需了解详情,请参阅根据贵组织的政策验证您的 IaC。
检测其他云平台上的漏洞和错误配置
Security Command Center Enterprise 可以检测多个云环境中的漏洞。如需检测其他云服务提供商中的漏洞,您首先需要与提供商建立连接以注入资源元数据。
如需了解详情,请参阅连接到 AWS 以进行漏洞检测和风险评估。
漏洞和状况管理功能
借助 Security Command Center,漏洞分析师、安全状况管理员和类似安全专业人员可以实现以下安全目标:
- 检测不同类型的漏洞,包括软件漏洞、错误配置和折叠状态违规行为,这些漏洞可能会使您的云环境面临潜在攻击。
- 使用发现结果和漏洞提醒的攻击风险得分,集中响应和修复工作,专注于风险最高的问题。
- 通过使用案例和集成首选工单系统(如 Jira 或 ServiceNow),指定所有者并跟踪漏洞修复的进度。
- 通过降低攻击风险得分主动保护云环境中高价值资源
- 为您的云环境定义自定义安全状况,Security Command Center 会使用它们来评估您的安全状况并提醒您注意违规行为。
- 忽略或排除误报的发现结果或提醒。
- 重点关注与身份和过多权限相关的漏洞。
- 在 Security Command Center 中检测和管理其他云环境(例如 AWS)的漏洞和风险评估。
根据攻击风险得分和攻击路径评估风险
通过在组织级激活高级层级和企业层级,Security Command Center 会提供高价值资源的攻击暴露得分,以及影响高价值资源的漏洞和配置错误发现结果。
您可以根据这些得分确定漏洞和错误配置的修复优先级,确定最暴露的高价值资源的安全性,以及评估您的云环境面临的攻击程度。
在 Google Cloud 控制台“风险概览”页面的活跃漏洞窗格中,按攻击风险得分划分的发现结果标签页会显示您环境中攻击风险得分最高的发现结果,以及发现结果得分的分布情况。
如需了解详情,请参阅攻击风险得分和攻击路径。
通过支持请求管理发现结果和提醒
Security Command Center Enterprise 会创建案例,以帮助您管理发现结果和提醒、分配所有者,以及管理针对检测到的安全问题的调查和响应。对于严重程度为“高”和“严重”的问题,系统会自动创建支持请求。
您可以将支持请求与首选工单系统(如 Jira 或 ServiceNow)集成。更新支持请求时,支持请求的所有未结工单都会自动更新。同样,如果更新了工单,则相应的用例也可以更新。
案例功能由 Chronicle SecOps 提供支持。
如需了解详情,请参阅 Chronicle SecOps 文档中的案例概览。
定义响应工作流和自动化操作
定义响应工作流并自动执行操作,以调查和响应在您的云环境中检测到的安全问题。
如需详细了解如何使用由 Chronicle SecOps 提供支持的 playbook 定义响应工作流和自动化操作,请参阅使用 playbook。
多云支持:保护您在其他云平台上的部署
您可以扩展 Security Command Center 服务和功能,以覆盖其他云平台上的部署,从而在一个位置集中管理在您的所有云环境中检测到的所有威胁和漏洞。
如需详细了解如何将 Security Command Center 连接到其他云服务提供商,请参阅以下页面:
- 如需了解威胁检测,请参阅连接到 AWS 以进行威胁检测
- 如需了解漏洞检测和攻击风险得分,请参阅连接到 AWS 以进行漏洞检测和风险评估
支持的云服务提供商
Security Command Center 可以连接到 Amazon Web Services (AWS)。
定义和管理安全状况
通过在组织级激活 Security Command Center 的高级和企业层级,您可以创建和管理安全状况,以定义云资产(包括云网络和云服务)所需的状态,从而在您的云环境中实现最佳安全性。您可以自定义安全状况,以满足您企业的安全和监管需求。通过定义安全状况,您可以最大限度地降低组织的信息安全风险,并帮助防止攻击。
您可以使用 Security Command Center 安全状况服务定义和部署安全状况,并检测所定义状况的任何偏移或未经授权的变化。
在组织级层激活 Security Command Center 时,系统会自动启用 Security Posture 服务。
如需了解详情,请参阅安全状况概览。
标识您的资产
Security Command Center 包含 Cloud Asset Inventory 中的资产信息,它会持续监控您的云环境中的资产。对于大多数资产,可以近乎实时地检测到配置更改,包括 IAM 和组织政策。
在 Google Cloud 控制台的资产页面上,您可以快速应用、修改和运行示例资产查询,添加预设时间限制,也可以编写自己的资产查询。
如果您拥有 Security Command Center 的高级层级或企业层级,则可以查看哪些资产被指定为通过攻击路径模拟进行风险评估的高价值资源。
您可以快速识别组织或项目中的更改,并回答如下问题:
- 您有多少项目?它们是何时创建的?
- 部署或使用了哪些 Google Cloud 资源,例如 Compute Engine 虚拟机 (VM)、Cloud Storage 存储桶或 App Engine 实例?
- 您的部署历史记录是什么?
- 如何跨以下类别整理、注释、搜索、选择、过滤和排序:
- 资产和资产属性
- 安全标记,可让您在 Security Command Center 中注释资产或发现结果
- 时间段
Cloud Asset Inventory 始终知道受支持资产的当前状态,并且您可以通过 Google Cloud 控制台查看历史发现扫描,以比较时间点之间的资产。您还可以查找虚拟机或空闲 IP 地址等未充分利用的资产。
Security Command Center 中的 Gemini 功能
Security Command Center 结合 Gemini 提供发现结果和攻击路径摘要,并帮助您搜索和调查检测到的威胁和漏洞。
如需了解 Gemini,请参阅 Gemini 概览。
Gemini 发现结果和攻击路径摘要
如果您使用的是 Security Command Center Enterprise 或 Security Command Center 高级方案,Gemini 会针对 Vulnerability 和 Misconfiguration 类别发现结果生成每个发现结果以及每个模拟攻击路径动态生成的说明。
摘要以自然语言编写,可帮助您快速了解发现结果以及可能附带的任何攻击路径并采取相应措施。
摘要显示在 Google Cloud 控制台中的以下位置:
- 点击单个发现结果的名称时,您会看到相应发现结果详情页面顶部的摘要。
- 使用 Security Command Center 的高级层级和企业层级时,如果发现结果具有攻击风险得分,您可以通过依次点击攻击风险得分和 AI 摘要,在攻击路径右侧显示摘要。
AI 生成的摘要所需的 IAM 权限
如需查看 AI 摘要,您需要必要的 IAM 权限。
对于发现结果,您需要拥有 securitycenter.findingexplanations.get IAM 权限。包含此权限的最小预定义 IAM 角色是 Security Center Findings Viewer (roles/securitycenter.findingsViewer) 角色。
对于攻击路径,您需要拥有 securitycenter.exposurepathexplan.get IAM 权限。包含此权限的最小预定义 IAM 角色是 Security Center Visibility Paths Reader (roles/securitycenter.exposurePathsViewer) 角色。
在预览版期间,您无法在 Google Cloud 控制台中将这些权限添加到自定义 IAM 角色。
如需为自定义角色添加权限,您可以使用 Google Cloud CLI。
如需了解如何使用 Google Cloud CLI 为自定义角色添加权限,请参阅创建和管理自定义角色。
用于威胁调查的自然语言搜索
您可以使用自然语言查询和 Gemini 来搜索威胁发现结果、警报和其他信息。与 Gemini 进行自然语言搜索的集成由 Chronicle SecOps 提供支持。如需了解详情,请参阅 Chronicle SecOps 文档中的使用自然语言生成 UDM 搜索查询。
支持请求的 AI 调查微件
为帮助您了解和调查发现结果和提醒的情况,Gemini 提供了每个案例的摘要,并推荐了调查案例的后续步骤。当您查看案例时,摘要和后续步骤会显示在 AI 调查 widget 中。
与 Gemini 的集成由 Chronicle SecOps 提供支持。
富有实用价值的安全性数据分析
Security Command Center 内置和集成的 Google Cloud 服务可持续监控您的资产和日志,以发现与已知威胁、漏洞和错误配置匹配的入侵指标和配置更改。为了为突发事件提供上下文,系统使用以下来源的信息来丰富发现结果:
- 通过企业版和高级层级:
- VirusTotal:一项 Alphabet 自有服务,提供有关潜在恶意文件、网址、网域和 IP 地址的背景信息。
- MITRE ATT&CK 框架:介绍了针对云资源的攻击技术并提供补救指南。
- Cloud Audit Logs(管理员活动日志和数据访问日志)。
您可以近乎实时地收到新发现结果的通知,从而帮助安全团队收集数据、识别威胁以及根据建议采取相应措施来避免造成业务损害或损失。
通过集中查看安全状况和强大的 API,您可以快速执行以下操作:
- 回答如下问题:
- 哪些静态 IP 地址对公众开放?
- 您的虚拟机上正在运行哪些映像?
- 是否有证据表明您的虚拟机被用于加密货币挖矿或其他滥用行为?
- 添加或移除了哪些服务账号?
- 防火墙是如何配置的?
- 哪些存储桶包含个人身份信息 (PII) 或敏感数据?此功能需要与敏感数据保护集成。
- 哪些云应用容易受到跨站点脚本 (XSS) 漏洞的攻击?
- 我的 Cloud Storage 存储分区是否向互联网开放?
- 采取措施保护您的资产:
- 针对资产配置错误和违规情况实施经过验证的修复步骤。
- 结合来自 Google Cloud 和第三方提供商(例如 Palo Alto Networks)的威胁智能,更好地保护您的企业免受代价昂贵的计算层威胁。
- 确保适当的 IAM 政策已落实到位,并在政策配置有误或意外更改时收到提醒。
- 集成来自您自己的或第三方来源的发现结果,以用于 Google Cloud 资源或其他混合或多云资源。如需了解详情,请参阅添加第三方安全服务。
- 应对 Google Workspace 环境中的威胁以及 Google 网上论坛中的不安全更改。
身份和访问权限错误配置
借助 Security Command Center,您可以更轻松地识别和解决在 Google Cloud 上发现的身份和访问权限错误配置。对身份和访问权限安全问题的管理有时称为“云基础架构授权管理”(CIEM)。
Security Command Center 配置错误发现结果可识别配置错误或被授予过多或敏感 IAM 权限(identities)的主账号(identities)。
您可以在 Google Cloud 控制台 Security Command Center 概览页面底部附近的身份和访问权限发现结果面板中查看最严重的身份和访问权限发现结果。
在 Google Cloud 控制台的漏洞页面上,您可以选择查询预设(预定义查询),这些预设查询会显示与身份和访问权限相关的漏洞检测器或类别。对于每个类别,系统会显示有效发现结果数量。
如需详细了解查询预设,请参阅应用查询预设。
管理业界标准合规性
Security Command Center 使用与各种安全标准的控件相对应的检测器来监控您的合规性。
对于每项受支持的安全标准,Security Command Center 都会检查部分控制措施。对于已检查的控件,Security Command Center 会显示有多少控件已通过。对于未通过的控制措施,Security Command Center 会向您显示一个发现结果列表,其中描述了相应控制措施的失败情况。
CIS 审核并验证 Security Command Center 检测器到 CIS Google Cloud Foundations 基准的每个受支持版本的映射。其他合规性映射仅供参考。
Security Command Center 会定期增加对新的基准版本和标准的支持。旧版本仍受支持,但最终会弃用。 我们建议您使用受支持的最新基准或可用标准。
借助 Security Posture 服务,您可以将组织政策和 Security Health Analytics 检测器映射到适用于您业务的标准和控制措施。创建安全状况后,您可以监控任何可能影响企业合规性的环境更改。
如需详细了解如何管理合规性,请参阅评估和报告安全标准合规性。
Google Cloud 支持的安全标准
Security Command Center 将 Google Cloud 的检测器映射到以下一项或多项合规性标准:
- 信息安全中心 (CIS) 控制措施 8.0
- CIS Google Cloud Computing Foundations Benchmark v2.0.0、v1.3.0、v1.2.0、v1.1.0 和 v1.0.0
- CIS Kubernetes 基准 v1.5.1
- Cloud Controls 矩阵 (CCM) 4
- 健康保险流通与责任法案 (HIPAA)
- 国际标准化组织 (ISO) 27001,2022 年和 2013 年
- National Institute of Standards and Technology (NIST) 800-53 R5 和 R4
- NIST CSF 1.0
- 开放式 Web 应用安全项目 (OWASP) 十大热门事件(2021 年和 2017 年)
- 支付卡行业数据安全标准 (PCI DSS) 4.0 和 3.2.1
- 系统和组织控制措施 (SOC) 2 2017 年可信服务标准 (TSC)
AWS 支持的安全标准
Security Command Center 将 Amazon Web Services (AWS) 的检测器映射到以下一项或多项合规性标准:
- CIS Amazon Web Services Foundations 2.0.0
- CIS 控件 8.0
- CCM 4
- HIPAA
- ISO 27001 2022
- NIST 800-53 R5
- NIST CSF 1.0
- PCI DSS 4.0 和 3.2.1
- SOC 2 2017 TSC
灵活的平台可满足您的安全需求
Security Command Center 包含自定义和集成选项,可让您增强服务的实用程序,满足您不断变化的安全需求。
自定义选项
自定义选项包括:
- 创建 Security Health Analytics 的自定义模块,以针对漏洞、配置错误或违规情况定义您自己的检测规则。
- 创建 Event Threat Detection 的自定义模块,以根据自己指定的参数监控 Logging 流中的威胁。
- 创建安全状况,帮助您监控可能影响您遵守各种监管标准的任何环境变化。
集成选项
集成选项包括:
- 使用 Pub/Sub 将发现结果导出到 Splunk 或其他 SIEM 以供分析。
- 使用 Pub/Sub 和 Cloud Functions 快速自动地针对发现结果采取补救措施。
- 访问开源工具以扩展功能并自动响应。
- 与 Google Cloud 安全服务集成,这些服务包括:
- 与第三方合作伙伴安全解决方案集成:
- 来自合作伙伴产品中的 Google Cloud 安全性数据分析汇总在 Security Command Center 中,您可以将其提供给现有系统和工作流中。
何时使用 Security Command Center
下表包含高级产品功能、使用场景以及指向相关文档的链接,可帮助您快速找到所需的内容。
| 特征 | 使用场景 | 相关文档 |
|---|---|---|
| 资源识别和审核 |
|
Security Command Center 最佳实践 |
| 敏感数据识别 |
|
将敏感数据保护结果发送到 Security Command Center |
| 第三方 SIEM 和 SOAR 产品集成 |
|
导出 Security Command Center 数据 |
| 错误配置检测 | Security Health Analytics 概览 | |
| 软件漏洞检测 |
|
Web Security Scanner 概览 |
| 监控身份和访问权限控制 |
|
IAM Recommender |
| 威胁检测 |
|
管理威胁 |
| 错误检测 |
|
Security Command Center 错误概览 |
| 确定修复措施的优先级 |
|
攻击风险得分和攻击路径概览 |
| 消除风险 |
|
调查和应对威胁
修复发现的 Security Health Analytics 问题 |
| 安全状况管理 |
|
安全状况概览 |
| 第三方安全工具输入 |
|
配置 Security Command Center |
| 实时通知 |
|
设置发现结果通知 |
| REST API 和客户端 SDK |
|
配置 Security Command Center |
数据驻留控制
为了满足数据驻留要求,在首次启用 Security Command Center 高级方案时,您可以启用数据驻留控制措施。
启用数据驻留控制措施会限制 Security Command Center 发现结果、忽略规则、持续导出和 BigQuery 导出到 Security Command Center 支持的其中一个数据驻留多区域数据的存储和处理。
如需了解详情,请参阅规划数据驻留。
Security Command Center 服务层级
Security Command Center 提供三种服务层级:标准、高级和企业版。
您选择的层级决定了 Security Command Center 提供的功能和服务。
如果您对 Security Command Center 服务层级有疑问,请与您的客户代表或 Google Cloud 销售团队联系。
如需了解使用 Security Command Center 层级的相关费用,请参阅价格。
标准层级
标准层级包括以下服务和功能:
-
Security Health Analytics:在标准层级中,Security Health Analytics 为 Google Cloud 提供代管式漏洞评估扫描,可以自动检测您的 Google Cloud 资产中严重程度最高的漏洞和错误配置。标准层级中的 Security Health Analytics 包含以下发现类型:
Dataproc image outdatedLegacy authorization enabledMFA not enforcedNon org IAM memberOpen ciscosecure websm portOpen directory services portOpen firewallOpen group IAM memberOpen RDP portOpen SSH portOpen Telnet portPublic bucket ACLPublic Compute imagePublic datasetPublic IP addressPublic log bucketPublic SQL instanceSSL not enforcedWeb UI enabled
- Web Security Scanner 自定义扫描:在标准层级中,Web Security Scanner 支持对具有公共网址和 IP 地址且不受防火墙保护的已部署应用进行自定义扫描。所有项目都手动配置、管理和执行扫描,并且支持 OWASP 十大项目中的部分类别。
- Security Command Center 错误:Security Command Center 会针对阻止 Security Command Center 及其服务正常运行的配置错误提供检测和补救指南。
- 持续导出功能,可自动管理将新发现结果导出到 Pub/Sub 的过程。
-
您可以使用集成的 Google Cloud 服务,其中包括:
- 敏感数据保护可以发现敏感数据,对其进行分类和保护。
- Google Cloud Armor 可保护 Google Cloud 部署免受威胁。
- 异常值检测可识别项目和虚拟机实例的安全异常,例如可能泄露的凭据和加密货币挖矿。
- Policy Controller 支持为 Kubernetes 集群应用并强制执行可编程政策。
- GKE 安全状况信息中心发现结果:查看发现结果,了解 Kubernetes 工作负载安全性错误配置、可操作的安全公告以及容器操作系统或语言包中的漏洞等发现结果。GKE 安全状况信息中心发现结果与 Security Command Center 的集成目前为预览版。
- 与 BigQuery 集成,将发现结果导出到 BigQuery 以进行分析。
- 与 Forseti Security(Google Cloud 的开源安全工具包)以及第三方安全信息和事件管理 (SIEM) 应用集成。
- 如果在组织级层激活 Security Command Center,您可以在组织、文件夹和项目级层授予用户 IAM 角色。
高级层级
高级层级包含所有标准层级服务和功能,以及下列附加服务和功能:
- 攻击路径模拟通过识别潜在攻击者可能用来访问高价值资源的路径,帮助您识别漏洞和配置错误发现结果并确定其优先级。模拟会计算攻击风险得分,并将其分配给任何公开这些资源的发现结果。交互式攻击路径可帮助您直观呈现可能的攻击路径,并提供有关路径、相关发现结果和受影响资源的信息。
-
漏洞发现结果包括 Mandiant 提供的 CVE 评估,旨在帮助您确定修复措施的优先级。
在控制台的概览页面上,重要 CVE 发现结果部分会显示由 Mandiant 评估的漏洞发现结果(按漏洞可利用性和潜在影响分组)。在发现结果页面上,您可以按 CVE ID 查询发现结果。
如需了解详情,请参阅按 CVE 的影响和可利用性确定优先级。
- Event Threat Detection 使用威胁情报、机器学习和其他高级方法监控 Cloud Logging 和 Google Workspace 以检测威胁(例如恶意软件、加密货币挖矿和数据渗漏)。如需查看内置 Event Threat Detection 检测器的完整列表,请参阅 Event Threat Detection 规则。您还可以创建自定义 Event Threat Detection 检测器。如需了解可用于创建自定义检测规则的模块模板,请参阅 Event Threat Detection 的自定义模块概览。
-
Container Threat Detection 可检测以下容器运行时攻击:
- 已执行添加的二进制文件
- 已加载添加的库
- 执行:添加了恶意二进制文件执行
- 执行:添加了已加载恶意库
- 执行:内置恶意二进制文件执行
- 执行:执行被篡改的恶意二进制文件
- 执行:已加载经过修改的恶意库
- 已执行恶意脚本
- 反向 shell
- 意外的 Shell Shell
- 敏感操作服务可检测何时在 Google Cloud 组织、文件夹和项目中执行了可能会损害业务的操作(如果这些操作是由恶意操作者执行的)。
- 虚拟机威胁检测可检测虚拟机实例中运行的潜在恶意应用。
-
高级层级中的 Security Health Analytics 包含以下功能:
- 适用于所有 Security Health Analytics 检测器的代管式漏洞扫描
- 监控许多行业最佳实践
- 合规性监控。Security Health Analytics 检测器映射到常见安全基准的控件。
- 自定义模块支持,您可以借此自定义创建 Security Health Analytics 检测器。
在高级层级中,Security Health Analytics 支持管理符合业界标准中所述的标准。
- 高级层级中的 Web Security Scanner 包括所有标准层级功能以及支持 OWASP 十大类别的其他检测器。 Web Security Scanner 还会添加自动配置的代管式扫描。
跨 Google Cloud 资产进行合规性监控。
为了衡量您对常见安全基准和标准的合规性,我们已将 Security Command Center 漏洞扫描程序的检测器映射到常见安全标准控制措施。
您可以查看合规性标准、识别不合规的控制措施、导出报告等等。如需了解详情,请参阅评估和报告安全标准合规性。
- 如果需要扩展资产监控功能,您可以 申请额外的 Cloud Asset Inventory 配额。
- 快速漏洞检测会扫描网络和 Web 应用,以检测凭据弱、软件安装不完整以及其他极有可能被利用的严重漏洞。
- 借助 安全状况服务,您可以定义、评估和监控 Google Cloud 中的整体安全状态。Security Posture 服务仅在 Security Command Center 高级层级提供,适用于购买固定价格订阅并在组织级层激活 Security Command Center 高级层级的客户。Security Posture 服务不支持基于用量的结算或项目级激活活动。
- Secured Landing Zone 服务只能在 Security Command Center 高级层级启用。 启用后,如果已部署的蓝图的资源存在违反政策的情况,则此服务会显示发现结果,生成相应的提醒,并选择性地采取自动补救措施。
- 虚拟机管理器漏洞报告
Enterprise 层级
企业层级是一个完整的云原生应用保护平台 (CNAPP),使 SOC 分析师、漏洞分析师和其他云安全专业人员能够在一个地方集中管理多个云服务提供商的安全性。
企业层级提供检测和调查功能、案例管理支持以及安全状况管理,包括定义和部署自定义安全状况规则,以及量化和可视化漏洞和错误配置给您的云环境带来的风险。
Enterprise 层级包含所有标准层级和优质层级的服务与功能,以及下列附加服务和功能:
由 Chronicle Security Operations 提供支持的企业层级功能
Security Command Center Enterprise 层级的案例管理功能、手册功能以及其他 SIEM 和 SOAR 功能由 Chronicle Security Operations 提供支持。当您使用其中一些特性和功能时,您可能会在网页界面中看到 Chronicle 名称,并且可能会将您定向到 Chronicle SecOps 文档以获得指导。
Security Command Center 不支持或限制某些 Chronicle SecOps 功能,但在企业版层级的早期订阅中,这些功能的使用可能不会被停用或限制。请仅在遵守其声明限制的前提下使用以下特性和功能:
- 云日志的提取仅限于与云威胁检测相关的日志,例如:
- Google Cloud
- Cloud Audit Logs 管理员活动日志
- Cloud Audit Logs 数据访问日志
- Compute Engine syslog
- GKE 审核日志
- Google Workspace
- Google Workspace 活动
- Google Workspace 提醒
- AWS
- CloudTrail 审核日志
- Syslog
- 身份验证日志
- GuardDuty 事件
- 精选检测仅限于检测云环境中威胁的检测。
- Google Cloud Marketplace 集成仅限于以下各项:
- 暹普利兹
- 工具
- VirusTotal V3
- Google Cloud Asset Inventory
- Google Security Command Center
- Jira
- 函数
- Google Cloud IAM
- 电子邮件 V2
- Google Cloud Compute
- Google Chronicle
- Mitre Att&ck
- Mandiant Threat Intelligence
- Google Cloud Policy Intelligence
- Google Cloud Recommender
- 暹罗水电煤气公司
- 立即服务
- CSV
- SCC 企业版
- AWS IAM
- AWS EC2
- 自定义单一事件规则的数量上限为 20 条。
- 适用于 UEBA(用户和实体行为分析)的风险分析功能不可用。
- Applied Threat Intelligence 不可用。
- Gemini 对 Chronicle SecOps 的支持仅限于自然语言搜索和案例调查摘要。
- 数据保留期限限制为 3 个月。
企业层级功能和服务摘要
企业层级包含所有标准层级和优质层级的服务和功能,但数据驻留除外。
Enterprise 层级向 Security Command Center 添加了以下服务和功能:
- 多云支持。您可以将 Security Command Center 连接到其他云提供商(例如 AWS),以检测威胁、漏洞和错误配置。此外,在另一个提供商上指定您的高价值资源后,您还可以根据攻击风险得分和攻击路径来评估它们遭受攻击的风险。
- 面向云环境的 SIEM(安全信息和事件管理)功能,由 Chronicle SecOps 提供支持。扫描多个云环境中的日志和其他数据以检测威胁,定义威胁检测规则,并搜索累积的数据。如需了解详情,请参阅 Chronicle SecOps SIEM 文档。
- 适用于云环境的 SOAR(安全编排、自动化和响应)功能,由 Chronicle SecOps 提供支持。管理案例、定义响应工作流以及搜索响应数据。如需了解详情,请参阅 Chronicle SecOps SOAR 文档。
- 借助漏洞评估、虚拟机管理器和 Google Kubernetes Engine (GKE) 企业版,扩大对云环境中虚拟机和容器中的软件漏洞的检测范围。
Security Command Center 激活级别
您可以针对单个项目激活 Security Command Center(称为项目级激活),也可以针对整个组织激活 Security Command Center(称为组织级激活)。
Enterprise 层级需要在组织级别进行激活。
如需详细了解如何激活 Security Command Center,请参阅激活 Security Command Center 概览。
后续步骤
- 了解如何激活 Security Command Center。
- 详细了解 Security Command Center 安全来源。
- 了解如何使用 Google Cloud 控制台中的 Security Command Center。