Security Command Center 最佳实践

本页面提供了管理 Security Command Center 服务和功能的建议,帮助您充分利用该产品。

Security Command Center 是一个强大的平台,用于监控整个组织或各个项目的数据和安全风险。Security Command Center 旨在以必要的最少量配置来提供最大程度的保护。不过,您可以采取一些步骤为您的工作流定制平台,并确保资源得到保护。

启用高级层级或企业层级

Security Command Center 的高级版和企业版通过一系列广泛的云安全和安全运营功能(包括威胁检测、软件漏洞检测、合规性评估、安全运营功能等)提供最全面的保护。标准层级仅提供有限的服务和功能。

如需详细了解 Security Command Center 的所有功能,请参阅 Security Command Center 概览

如需了解每个层级包含的功能,请参阅以下信息:

使用高级层级的项目级激活

您可以在 Google Cloud 控制台中自行为组织或个别项目激活高级层级。

在项目级激活时,无论层级如何,需要组织级访问权限的某些功能都不可用。如需了解详情,请参阅项目级激活的功能可用性

除非您购买组织级订阅,否则高级层级的激活会根据资源消耗量计费。如需了解详情,请参阅价格

如需详细了解如何激活任一 Security Command Center 层级,请参阅 Security Command Center 激活概览

启用所有内置服务

我们建议根据个别服务的最佳实践建议启用所有内置服务。

如果 Security Command Center 已激活,您可以在设置页面上确认已启用的服务。

您可以停用任何服务,但最好让层级中的所有服务一直保持开启状态。让所有服务都处于启用状态,您可以利用持续更新,并确保为新的和更改的资源提供保护措施。

在生产环境中启用 Web Security Scanner 之前,请查看 Web Security Scanner 最佳实践

此外,请考虑启用集成式服务(异常值检测、敏感数据保护和 Google Cloud Armor),探索第三方安全服务,然后为 Event Threat Detection 和 Container Threat Detection 开启 Cloud Logging。敏感数据保护和 Google Cloud Armor 费用可能相当大,具体取决于信息量。请遵循控制敏感数据保护费用的最佳实践,并参阅 Google Cloud Armor 价格指南

为 Event Threat Detection 启用日志

如果您使用 Event Threat Detection,则可能需要启用 Event Threat Detection 扫描的特定日志。虽然某些日志始终处于启用状态(例如 Cloud Logging 管理员活动审核日志),但其他日志(例如大多数数据访问审核日志)默认处于停用状态,需要先启用,然后 Event Threat Detection 才能扫描。

您应考虑启用的一些日志包括:

  • Cloud Logging 数据访问审核日志
  • Google Workspace 日志(仅限组织级层激活)

您需要启用哪些日志取决于:

  • 您使用的 Google Cloud 服务
  • 您企业的安全需求

Logging 可能会针对提取和存储某些日志收费。在启用任何日志之前,请先查看 Logging 价格

启用日志后,Event Threat Detection 会自动开始扫描该日志。

如需详细了解哪些检测模块需要哪些日志以及您需要启用哪些日志,请参阅您需要启用的日志

定义高价值资源集

为帮助您确定哪些漏洞和配置错误会使您最需要保护的资源暴露,请指定哪些高价值资源属于高价值资源集

暴露高价值资源集中的资源的发现结果的攻击风险得分会更高。

您可以通过创建资源值配置,来指定属于高价值资源集的资源。在您创建第一个资源值配置之前,Security Command Center 使用的默认高价值资源集没有根据您的安全优先级进行自定义。

使用 Google Cloud 控制台中的 Security Command Center

在 Google Cloud 控制台中,Security Command Center 提供 Security Command Center API 中尚未提供的功能和可视化元素。这些功能(例如直观的界面、带格式的图表、合规性报告和可视化资源层次结构)可让您更深入地了解您的组织。如需了解详情,请参阅使用 Google Cloud 控制台中的 Security Command Center

使用 API 和 gcloud 扩展功能

如果您需要以编程方式访问,请试用 Security Command Center 客户端库Security Command Center API,它们可用于访问和控制 Security Command Center 环境。您可以使用 API 参考页上的面板中标有“试用此 API”的 API Explorer,以交互方式浏览不带 API 密钥的 Security Command Center API。您可以查看可用方法和参数、执行请求以及实时查看响应。

借助 Security Command Center API,分析师和管理员可以管理您的资源和发现结果。工程师可以使用该 API 构建自定义报告和监控解决方案。

使用自定义检测模块扩展功能

如果您需要能满足贵组织独特需求的检测器,请考虑创建自定义模块:

查看和管理资源

Security Command Center 会在 Google Cloud 控制台中的资产页面上显示所有资产,您可以在其中查询资产并查看有关它们的信息,包括相关发现结果、其更改历史记录、其元数据和 IAM 政策。

系统会从 Cloud Asset Inventory 读取资产页面上的资产信息。如需接收有关资源和政策更改的实时通知,请创建并订阅 Feed

如需了解详情,请参阅“资产”页面

快速应对漏洞和威胁

Security Command Center 发现结果会提供检测到的安全问题的记录,其中包含受影响资源的详细信息,以及调查和解决漏洞和威胁的分步建议说明。

漏洞发现结果会描述检测到的漏洞或配置错误,并计算攻击风险得分和估算的严重性。漏洞发现结果还会提醒您注意违反安全标准或基准的情形。如需了解详情,请参阅支持的基准测试

使用 Security Command Center 高级版时,漏洞发现结果还包含 Mandiant 提供的信息,这些信息基于漏洞的相应 CVE 记录,说明漏洞的可利用性和潜在影响。您可以使用这些信息来确定补救漏洞的优先级。如需了解详情,请参阅按 CVE 影响和可利用性确定优先级

威胁发现结果包括来自 MITRE ATT&CK 框架的数据,该框架介绍了解释了针对云资源的攻击技术并提供了补救指南,以及 VirusTotal(一项 Alphabet 自有服务,提供了有关潜在恶意文件、网址、网域和 IP 地址的上下文)。

以下指南可帮助您着手解决问题和保护您的资源。

控制发现结果数量

如需控制 Security Command Center 中的发现结果量,您可以手动或以编程方式忽略各个发现结果,或者创建根据您定义的过滤条件自动忽略发现结果的忽略规则。您可以使用两种类型的静音规则来控制发现音量:

  • 会无限期忽略未来发现结果的静态忽略规则。
  • 动态忽略规则,其中包含用于暂时忽略当前未来发现结果的选项。

我们建议您仅使用动态屏蔽规则,以减少需要手动审核的发现数量。为避免混淆,我们不建议同时使用静态和动态静音规则。如需比较这两种规则类型,请参阅静音规则类型

已忽略的发现结果会被隐藏和抑制,但会继续记录以用于审核和合规性目的。您可以随时查看已忽略的发现结果或将其取消忽略。如需了解详情,请参阅在 Security Command Center 中忽略发现结果

使用动态忽略规则忽略发现结果是推荐最有效的控制发现结果数量的方法。或者,您也可以使用安全标记来将资源添加到许可名单

每个 Security Health Analytics 检测器都有一个专用的标记类型,可让您从检测政策中排除已标记的资源。如果您不希望针对特定资源或项目创建发现结果,则此功能非常有用。

如要详细了解安全标记,请参阅使用安全标记

设置通知

通知功能会让您近乎实时地收到关于新发现结果和更新后的发现结果的通知;此外,即使您并未登录 Security Command Center,也可通过电子邮件和聊天通知来通知您。如需了解详情,请参阅设置发现结果通知

Security Command Center Premium 可让您创建连续导出功能,从而简化将发现结果导出到 Pub/Sub 的过程。

探索 Cloud Run 函数

Cloud Run functions 是一项 Google Cloud 服务,可让您连接云服务并运行代码来响应事件。您可以使用 Notifications API 和 Cloud Run 函数将发现结果发送至第三方补救和支持工单系统,或者自动执行操作,例如自动关闭发现结果。

首先,请访问 Security Command Center 的 Cloud Run 函数代码的开源代码库。代码库包含解决方案,可帮助您对安全发现结果采取自动操作。

保持沟通

系统会使用新的检测器和功能定期更新 Security Command Center。版本说明可让您了解产品更改和文档更新。不过,您可以在 Google Cloud 控制台中设置通信偏好设置,通过电子邮件或移动设备接收产品更新和特惠促销。您还可以告诉我们您是否有兴趣参与用户调查和试用计划。

如果您有任何意见或问题,可以通过与销售人员交流、联系我们的 Cloud 支持员工或提交错误来提供反馈。

后续步骤