本页面提供有关管理 Security Command Center 服务和 可帮助您充分利用该产品。
Security Command Center 是一个强大的平台,用于监控整个组织或各个项目的数据和安全风险。Security Command Center 旨在以必要的最少量配置来提供最大程度的保护。不过,您可以采取一些步骤为您的工作流定制平台,并确保资源得到保护。
启用高级层级或企业层级
Security Command Center 的高级层级和企业层级提供 Google Cloud 提供了全面的云安全机制和 包括威胁检测、软件漏洞、 合规评估、安全运营能力和 更多。标准层级仅提供有限的服务和功能。
如需详细了解 Security Command Center 的所有功能,请参阅 Security Command Center 概览。
如需了解每个层级包含的功能,请参阅以下信息:
使用高级层级的项目级激活
您可以在 Google Cloud 控制台中自行为组织或个别项目激活高级层级。
在项目级激活时,无论层级如何,需要组织级访问权限的某些功能都不可用。如需了解详情,请参阅项目级激活的功能可用性。
除非您购买组织级订阅,否则高级层级的激活会根据资源消耗量计费。如需了解详情,请参阅价格。
如需详细了解如何激活 Security Command Center 的任一层级,请参阅 Security Command Center 激活概览。
启用所有内置服务
我们建议根据个别服务的最佳实践建议启用所有内置服务。
如果 Security Command Center 已激活,您可以在设置页面上确认已启用的服务。
您可以停用任何服务,但最好保留 始终保持开启状态让所有服务都处于启用状态,您可以利用持续更新,并确保为新的和更改的资源提供保护措施。
在生产环境中启用 Web Security Scanner 之前,请查看 Web Security Scanner 最佳实践。
此外,请考虑启用集成式服务(异常值检测、敏感数据保护和 Google Cloud Armor),探索第三方安全服务,然后为 Event Threat Detection 和 Container Threat Detection 开启 Cloud Logging。敏感数据保护和 Google Cloud Armor 费用可能相当大,具体取决于信息量。请遵循控制敏感数据保护费用的最佳实践,并参阅 Google Cloud Armor 价格指南。
为 Event Threat Detection 启用日志
如果您使用 Event Threat Detection,则可能需要启用 Event Threat Detection 扫描的特定日志。虽然某些日志始终处于启用状态(例如 Cloud Logging 管理员活动审核日志),但其他日志(例如大多数数据访问审核日志)默认处于停用状态,需要先启用,然后 Event Threat Detection 才能扫描。
您应考虑启用的一些日志包括:
- Cloud Logging 数据访问审核日志
- Google Workspace 日志(仅限组织级激活)
您需要启用哪些日志取决于:
- 您正在使用的 Google Cloud 服务
- 企业的安全需求
Logging 可能会针对提取和存储某些日志收取费用。在启用任何日志之前,请先查看 Logging 价格。
启用日志后,Event Threat Detection 会自动开始扫描该日志。
如需详细了解哪些检测模块需要哪些日志以及您需要启用哪些日志,请参阅您需要启用的日志。
定义高价值资源集
为帮助您确定哪些漏洞和配置错误会使您最需要保护的资源暴露,请指定哪些高价值资源属于您的高价值资源集。
公开高价值资源集中的资源的发现结果更高 攻击风险得分。
您可以通过创建资源值配置,来指定属于高价值资源集的资源。直到您创建了自己的第一个 Security Command Center 使用默认的高价值配置, 未根据您的安全优先级自定义的资源集。
使用 Google Cloud 控制台中的 Security Command Center
在 Google Cloud 控制台中,Security Command Center 提供 Security Command Center API 中尚未提供的功能和可视化元素。这些功能(例如直观的界面、带格式的图表、合规性报告和可视化资源层次结构)可让您更深入地了解您的组织。如需了解详情,请参阅使用 Google Cloud 控制台中的 Security Command Center。
使用 API 和 gcloud 扩展功能
如果您需要以编程方式访问,请尝试 Security Command Center 客户端库和 Security Command Center API,可让您访问和控制 Security Command Center 环境。您可以使用 API 参考页上的面板中标有“试用此 API”的 API Explorer,以交互方式浏览不带 API 密钥的 Security Command Center API。您可以查看 调用可用的方法和参数、执行请求,以及查看 实时更新。
借助 Security Command Center API,分析师和管理员可以管理您的资源和发现结果。工程师可以使用 API 构建自定义报告和监控 解决方案。
使用自定义检测模块扩展功能
如果您需要能满足贵组织独特需求的检测器,请考虑创建自定义模块:
- Security Health Analytics 的自定义模块可让您针对漏洞、配置错误或违规情况定义您自己的检测规则。
- Event Threat Detection 的自定义模块可让您根据自己指定的参数监控 Logging 流中的威胁。
查看和管理资源
Security Command Center 会在 Google Cloud 控制台中的资产页面上显示所有资产,您可以在其中查询资产并查看有关它们的信息,包括相关发现结果、其更改历史记录、其元数据和 IAM 政策。
资产页面上的资产信息是从 Cloud Asset Inventory。 如需接收有关资源和政策更改的实时通知,请创建并订阅 Feed。
如需了解详情,请参阅“资产”页面。
快速应对漏洞和威胁
Security Command Center 发现结果提供了检测到的安全问题记录 其中包含有关受影响资源的大量详细信息 调查和修复建议的分步说明 漏洞和威胁
漏洞发现结果描述了检测到的漏洞或 配置错误、计算攻击风险得分以及 严重级别。漏洞发现结果还会提醒您注意违反安全标准或基准的情形。如需了解详情,请参阅 支持的基准。
使用 Security Command Center 高级方案时,漏洞发现结果还包括 提供的关于 漏洞被利用的可能性和潜在影响,基于 相应的 CVE 记录。 您可以使用这些信息来确定补救漏洞的优先级。如需了解详情,请参阅 优先考虑 CVE 的影响和可利用性。
威胁发现结果包括来自 MITRE ATT&CK 框架的数据,该框架介绍了解释了针对云资源的攻击技术并提供了补救指南,以及 VirusTotal(一项 Alphabet 自有服务,提供了有关潜在恶意文件、网址、网域和 IP 地址的上下文)。
以下指南可帮助您着手解决问题和保护您的资源。
控制发现结果数量
如需控制 Security Command Center 中的发现结果量,您可以手动或以编程方式忽略各个发现结果,或者创建根据您定义的过滤条件自动忽略发现结果的忽略规则。您可以使用两种类型的静音规则来控制发现音量:
- 会无限期忽略未来发现结果的静态忽略规则。
- 动态静音规则,其中包含用于暂时将当前静音和 。
我们建议您仅使用动态忽略规则, 手动检查的发现结果为了避免混淆,建议不要同时使用 静态和动态忽略规则。通过比较这两种规则 请参阅静音类型 规则。
已忽略的发现结果会被隐藏和抑制,但会继续记录以用于审核和合规性目的。您可以随时查看已忽略的发现结果或将其取消忽略。如需了解详情,请参阅在 Security Command Center 中忽略发现结果。
建议使用动态忽略规则忽略发现结果,这是最有效的做法 控制发现结果数量的方法。或者,您也可以使用安全标记来将资源添加到许可名单。
每个 Security Health Analytics 检测器都有一个专用的标记类型,可让您从检测政策中排除已标记的资源。当您需要执行某些操作时 不需要为特定资源或项目创建发现结果。
如要详细了解安全标记,请参阅使用安全标记。
设置通知
通知功能会让您近乎实时地收到关于新发现结果和更新后的发现结果的通知;此外,即使您并未登录 Security Command Center,也可通过电子邮件和聊天通知来通知您。如需了解详情,请参阅设置发现结果通知。
Security Command Center Premium 可让您创建连续导出功能,从而简化将发现结果导出到 Pub/Sub 的过程。
探索 Cloud Run 函数
Cloud Run 函数是 Google Cloud 服务,可让您连接云服务并在 Google Cloud 中运行代码 对事件的响应。您可以使用 Notifications API 和 Cloud Run 函数 将发现结果发送到第三方补救措施和工单系统,或自动 等操作,例如自动关闭发现结果。
首先,请访问 Security Command Center 的开源代码库 Cloud Run 函数代码。 代码库包含解决方案,可帮助您对安全发现结果采取自动操作。
保持沟通
系统会使用新的检测器和功能定期更新 Security Command Center。版本说明可让您了解产品更改和文档更新。但您可以将 通信偏好设置 Google Cloud 控制台,以接收产品动态和特惠活动信息, 电子邮件或移动设备。您还可以告诉我们您是否有兴趣参与用户调查和试用计划。
如果您有任何意见或问题,可以通过与销售人员交流、联系我们的 Cloud 支持员工或提交错误来提供反馈。