本页面提供有关管理 Security Command Center 服务和功能的建议,帮助您充分利用该产品。
Security Command Center 是一个强大的平台,可跨组织或单个项目监控数据和安全风险。Security Command Center 旨在以必要的最少量配置来提供最大程度的保护。不过,您可以采取一些步骤为您的工作流定制平台,并确保资源得到保护。
启用 Security Command Center 高级层级
与标准层级相比,Security Command Center 高级层级包含更多功能。
Security Command Center 标准版包括 Security Health Analytics、异常值检测和 Web Security Scanner 中不受管理的扫描,三者可以一起检测您网站或应用项目中的常见漏洞和异常情况。标准层级中的 Security Health Analytics 仅包含一组基本的中等和高严重级别检测器。
Security Command Center 高级方案包含标准层级服务,并添加了合规性报告、代管式 Web Security Scanner 扫描、所有 Security Health Analytics 检测器以及以下仅优质的内置服务:
Security Command Center 高级方案还包含攻击风险得分(可用于确定漏洞和错误配置发现结果的优先级),以及交互式攻击路径(可帮助您直观地了解潜在攻击者可能如何访问您的高价值资源)。
您可以在 Google Cloud 控制台中自行为组织或个别项目激活高级层级。
启用项目级激活后,某些需要组织级访问权限的功能将无法使用(无论层级为何)。如需了解详情,请参阅激活项目级后的功能可用性。
除非您购买组织级订阅,否则高级层级的激活会根据资源消耗量计费。如需了解详情,请参阅价格。
如需详细了解如何激活任一 Security Command Center 层级,请参阅 Security Command Center 激活概览。
如需详细了解如何使用 Security Command Center 改善安全状况,请参阅:
启用所有内置服务
我们建议根据个别服务的最佳实践建议启用所有内置服务。
如果已启用 Security Command Center,您可以在设置页面上确认已启用哪些服务。
您可以停用任何服务,但最好让层级中的所有服务始终保持启用状态。让所有服务都处于启用状态,您可以利用持续更新,并确保为新的和更改的资源提供保护措施。
在生产环境中启用 Rapid Vulnerability Detection 或 Web Security Scanner 之前,请查看其最佳实践信息:
例如,在扫描过程中,Rapid Vulnerability Detection 会执行可能会对生产资源产生负面影响的操作,例如访问管理员界面和尝试登录虚拟机。最佳实践是,在将非生产环境中的资源部署到生产环境之前,使用 Rapid Vulnerability Detection 扫描资源。
此外,请考虑启用集成式服务(异常值检测、敏感数据保护和 Google Cloud Armor),探索第三方安全服务,然后为 Event Threat Detection 和 Container Threat Detection 开启 Cloud Logging。敏感数据保护和 Google Cloud Armor 费用可能相当大,具体取决于信息量。请遵循控制敏感数据保护费用的最佳实践,并参阅 Google Cloud Armor 价格指南。
如需详细了解 Security Command Center 服务,请观看以下视频:
- Event Threat Detection 使用入门
- Container Threat Detection 使用入门
- Web Security Scanner 使用入门
- Security Health Analytics 使用入门
- Security Command Center 中的 Cloud Data Loss Prevention 使用入门
启用 Event Threat Detection 日志
如果您使用 Event Threat Detection,则可能需要启用 Event Threat Detection 扫描的特定日志。虽然某些日志(例如 Cloud Logging 管理员活动审核日志)始终处于开启状态,但其他日志(例如大多数数据访问审核日志)默认处于关闭状态,您需要先启用这些日志,然后 Event Threat Detection 才能扫描这些日志。
您应考虑启用的部分日志包括:
- Cloud Logging 数据访问审核日志
- Google Workspace 日志(仅限组织级激活)
您需要启用哪些日志取决于以下因素:
- 您正在使用的 Google Cloud 服务
- 您企业的安全需求
Logging 可能会收取某些日志的提取和存储费用。在启用任何日志之前,请查看 Logging 价格。
日志启用后,Event Threat Detection 会自动开始对其进行扫描。
如需详细了解哪些检测模块需要哪些日志以及您需要启用哪些日志,请参阅您需要启用的日志。
定义高价值资源集
为了帮助您优先处理漏洞和配置错误发现结果(会暴露您最需要保护的资源),请指定哪些高价值资源属于您的高价值资源集。
如果发现结果会公开高价值资源集中的资源,则会获得更高的攻击风险得分。
您可以通过创建资源值配置来指定属于高价值资源集的资源。在创建第一个资源值配置之前,Security Command Center 会使用未针对您的安全优先级自定义的高价值资源集。
使用 Google Cloud 控制台中的 Security Command Center
在 Google Cloud 控制台中,Security Command Center 提供 Security Command Center API 中尚未提供的功能和可视化元素。这些功能(例如直观的界面、带格式的图表、合规性报告和可视化资源层次结构)可让您更深入地了解您的组织。如需了解详情,请参阅使用 Google Cloud 控制台中的 Security Command Center。
使用 API 和 gcloud 扩展功能
如果您需要以编程方式访问,请试用 Security Command Center API,该 API 可用于访问和控制 Security Command Center 环境。您可以使用 API 参考页上的面板中标有“试用此 API”的 API Explorer,以交互方式浏览不带 API 密钥的 Security Command Center API。您可以查看可用方法和参数、执行请求以及实时查看响应。
借助 Security Command Center API,分析师和管理员可以管理您的资源和发现结果。工程师可以使用 API 构建自定义报告和监控解决方案。举个例子,了解我们的解决方案架构师如何使用 Security Command Center API 在 Security Command Center 中报告政策控制器审核违规行为。
使用自定义检测模块扩展功能
如果您需要满足组织独特需求的检测器,请考虑创建自定义模块:
- Security Health Analytics 的自定义模块可让您针对漏洞、配置错误或违规情况定义您自己的检测规则。
- Event Threat Detection 的自定义模块可让您根据自己指定的参数监控 Logging 流中的威胁。
查看和管理资源
Security Command Center 会在 Google Cloud 控制台中的资产页面上显示所有资产,您可以在其中查询资产并查看有关它们的信息,包括相关发现结果、其更改历史记录、其元数据和 IAM 政策。
资产页面上的资产信息是从 Cloud Asset Inventory 中读取的。如需接收有关资源和政策更改的实时通知,请创建并订阅 Feed。
如需了解详情,请参阅“资产”页面。
快速应对漏洞和威胁
Security Command Center 发现结果提供了检测到的安全问题的记录,其中包括受影响资源的大量详细信息,以及有关如何调查和修复漏洞和威胁的分步说明。
漏洞发现结果会描述检测到的漏洞或配置错误,计算攻击风险得分和估算的严重程度。漏洞发现结果还会提醒您注意违反安全标准或基准的行为。如需了解详情,请参阅支持的基准。
使用 Security Command Center 高级方案时,漏洞发现结果还包含 Mandiant 根据漏洞的相应 CVE 记录提供的有关漏洞被利用的可能性和潜在影响的信息。您可以利用这些信息来确定修复漏洞的优先级。如需了解详情,请参阅按 CVE 的影响和可利用性确定优先级。
威胁发现结果包括来自 MITRE ATT&CK 框架的数据,该框架介绍了解释了针对云资源的攻击技术并提供了补救指南,以及 VirusTotal(一项 Alphabet 自有服务,提供了有关潜在恶意文件、网址、网域和 IP 地址的上下文)。
以下指南可帮助您着手解决问题和保护您的资源。
- 修复发现的 Security Health Analytics 问题
- 针对 Web Security Scanner 的发现结果进行补救
- Rapid Vulnerability Detection 扫描发现结果和补救措施
- 调查和应对威胁
控制发现结果数量
如需控制 Security Command Center 中的发现结果量,您可以手动或以编程方式忽略各个发现结果,或者创建根据您定义的过滤条件自动忽略当前和未来发现结果的忽略规则。
已忽略的发现结果会被隐藏和抑制,但会继续记录以用于审核和合规性目的。您可以随时查看已忽略的发现结果或将其取消忽略。如需了解详情,请参阅在 Security Command Center 中忽略发现结果。
忽略发现结果是推荐最有效的控制发现结果数量的方法。或者,您也可以使用安全标记来将资源添加到许可名单。
每个 Security Health Analytics 检测器都有一个专用的标记类型,可让您从检测政策中排除已标记的资源。如果您不希望针对特定资源或项目创建发现结果,则此功能非常有用。
如要详细了解安全标记,请参阅使用安全标记。
设置通知
通知功能会让您近乎实时地收到关于新发现结果和更新后的发现结果的通知;此外,即使您并未登录 Security Command Center,也可通过电子邮件和聊天通知来通知您。如需了解详情,请参阅设置发现结果通知。
Security Command Center Premium 可让您创建连续导出功能,从而简化将发现结果导出到 Pub/Sub 的过程。
探索 Cloud Functions
Cloud Functions 是一项 Google Cloud 服务,可让您连接云服务并运行代码来响应事件。您可以使用 Notifications API 和 Cloud Functions 将发现结果发送至第三方补救和支持工单系统,或者自动执行操作,例如自动关闭发现结果。
首先,请访问 Security Command Center 的 Cloud Functions 代码的开源代码库。代码库包含解决方案,可帮助您对安全发现结果采取自动操作。
保持沟通
系统会使用新的检测器和功能定期更新 Security Command Center。版本说明可让您了解产品更改和文档更新。但是,您可以在 Google Cloud 控制台中设置通信偏好设置,通过电子邮件或移动设备接收产品更新和特惠促销。您还可以告诉我们您是否有兴趣参与用户调查和试用计划。
如果您有任何意见或问题,可以通过与销售人员交流、联系我们的 Cloud 支持员工或提交错误来提供反馈。