本页面提供有关管理 Security Command Center 服务和 可帮助您充分利用该产品。
Security Command Center 是监控数据和安全风险的强大平台 组织或单个项目。Security Command Center 旨在以必要的最少量配置来提供最大程度的保护。不过,您可以采取一些步骤为您的工作流定制平台,并确保资源得到保护。
启用高级层级或企业层级
Security Command Center 的高级层级和企业层级提供 Google Cloud 提供了全面的云安全机制和 包括威胁检测、软件漏洞、 合规评估、安全运营能力和 更多。标准层级仅提供有限的服务和功能。
如需详细了解所有 Security Command Center 功能, 请参阅 Security Command Center 概览。
有关每个 请参阅以下信息:
使用高级层级的项目级激活
您可以在 Google Cloud 控制台中自行为组织或个别项目激活高级层级。
启用项目级激活后,某些功能需要 无论采用哪个层级,组织级访问权限都不可用。有关 信息,请参阅在项目级激活后可以使用的功能。
除非您购买组织级订阅,否则高级层级的激活会根据资源消耗量计费。如需了解详情,请参阅价格。
如需详细了解如何激活任一 Security Command Center 层级,请参阅 Security Command Center 激活概览。
启用所有内置服务
我们建议根据个别服务的最佳实践建议启用所有内置服务。
如果 Security Command Center 您可以确认在 设置页面。
您可以停用任何服务,但最好保留 始终保持开启状态让所有服务都处于启用状态,您可以利用持续更新,并确保为新的和更改的资源提供保护措施。
在以下位置启用 Web Security Scanner 之前: 正式版,请查看 Web Security Scanner 最佳实践。
此外,请考虑启用集成式服务(异常值检测、敏感数据保护和 Google Cloud Armor),探索第三方安全服务,然后为 Event Threat Detection 和 Container Threat Detection 开启 Cloud Logging。敏感数据保护和 Google Cloud Armor 费用可能相当大,具体取决于信息量。请遵循控制敏感数据保护费用的最佳实践,并参阅 Google Cloud Armor 价格指南。
为 Event Threat Detection 启用日志
如果您使用 Event Threat Detection,可能需要启用某些日志 Event Threat Detection 扫描的 ID。 尽管某些日志(如 Cloud Logging 管理员活动)始终处于开启状态 审核日志、其他日志(例如大多数数据访问审核日志) 且需要启用,然后 Event Threat Detection 才能扫描它们。
您应考虑启用的部分日志包括:
- Cloud Logging 数据访问审核日志
- Google Workspace 日志(仅限组织级激活)
您需要启用哪些日志取决于:
- 您正在使用的 Google Cloud 服务
- 企业的安全需求
Logging 可能会收取 特定日志在启用任何日志之前 Logging 价格。
启用某个日志后,Event Threat Detection 会自动扫描该日志。
如需详细了解哪些检测模块需要哪些日志以及您需要启用哪些日志,请参阅您需要启用的日志。
定义高价值资源集
帮助您优先解决已发现的漏洞和配置错误 公开您要保护的最重要资源,指定 哪些高价值资源属于 高价值资源集。
公开您的高价值资源集中的资源的发现结果 攻击风险得分较高。
您可以指定属于高价值资源集的资源 方法是创建资源值配置。 直到您创建了自己的第一个 Security Command Center 使用默认的高价值配置, 未根据您的安全优先级自定义的资源集。
使用 Google Cloud 控制台中的 Security Command Center
在 Google Cloud 控制台中,Security Command Center 提供 Security Command Center API 中尚未提供的功能和可视化元素。这些功能(例如直观的界面、带格式的图表、合规性报告和可视化资源层次结构)可让您更深入地了解您的组织。如需了解详情,请参阅使用 Google Cloud 控制台中的 Security Command Center。
使用 API 和 gcloud 扩展功能
如果您需要以编程方式访问,请试用 Security Command Center API,该 API 可用于访问和控制 Security Command Center 环境。您可以使用 API 参考页上的面板中标有“试用此 API”的 API Explorer,以交互方式浏览不带 API 密钥的 Security Command Center API。您可以查看可用方法和参数、执行请求以及实时查看响应。
借助 Security Command Center API,分析师和管理员可以管理您的资源和发现结果。工程师可以使用 API 构建自定义报告和监控 解决方案。
使用自定义检测模块扩展功能
如果您需要可满足贵组织独特需求的检测器,请考虑 创建自定义模块:
- Security Health Analytics 的自定义模块可让您针对漏洞、配置错误或违规情况定义您自己的检测规则。
- Event Threat Detection 的自定义模块可让您根据自己指定的参数监控 Logging 流中的威胁。
查看和管理资源
Security Command Center 会在 Google Cloud 控制台中的资产页面上显示所有资产,您可以在其中查询资产并查看有关它们的信息,包括相关发现结果、其更改历史记录、其元数据和 IAM 政策。
资产页面上的资产信息是从 Cloud Asset Inventory。 如需接收有关资源和政策更改的实时通知,请创建并订阅 Feed。
如需了解详情,请参阅“资产”页面。
快速应对漏洞和威胁
Security Command Center 发现结果提供了检测到的安全问题记录 其中包含有关受影响资源的大量详细信息 调查和修复建议的分步说明 漏洞和威胁
漏洞发现结果描述了检测到的漏洞或 计算攻击风险得分以及 严重级别。漏洞发现结果还会提醒您注意违反安全性要求的行为 标准或基准。如需了解详情,请参阅 支持的基准。
使用 Security Command Center 高级方案时,漏洞发现结果还包括 提供的关于 漏洞被利用的可能性和潜在影响,基于 相应的 CVE 记录。 您可以利用这些信息确定优先级 修复漏洞 如需了解详情,请参阅 优先考虑 CVE 的影响和可利用性。
威胁发现结果包括来自 MITRE ATT&CK 框架的数据,该框架介绍了解释了针对云资源的攻击技术并提供了补救指南,以及 VirusTotal(一项 Alphabet 自有服务,提供了有关潜在恶意文件、网址、网域和 IP 地址的上下文)。
以下指南可帮助您着手解决问题和保护您的资源。
控制发现结果数量
如需控制 Security Command Center 中的发现结果量,您可以手动或以编程方式忽略各个发现结果,或者创建根据您定义的过滤条件自动忽略当前和未来发现结果的忽略规则。
已忽略的发现结果会被隐藏和抑制,但会继续记录以用于审核和合规性目的。您可以随时查看已忽略的发现结果或将其取消忽略。如需了解详情,请参阅在 Security Command Center 中忽略发现结果。
忽略发现结果是推荐最有效的控制发现结果数量的方法。或者,您也可以使用安全标记来将资源添加到许可名单。
每个 Security Health Analytics 检测器都有一个专用的标记类型,可让您从检测政策中排除已标记的资源。如果您不希望针对特定资源或项目创建发现结果,则此功能非常有用。
如要详细了解安全标记,请参阅使用安全标记。
设置通知
通知功能会让您近乎实时地收到关于新发现结果和更新后的发现结果的通知;此外,即使您并未登录 Security Command Center,也可通过电子邮件和聊天通知来通知您。如需了解详情,请参阅设置发现结果通知。
Security Command Center Premium 可让您创建连续导出功能,从而简化将发现结果导出到 Pub/Sub 的过程。
探索 Cloud Functions
Cloud Functions 是一项 Google Cloud 服务,可让您连接云服务并运行代码来响应事件。您可以使用 Notifications API 和 Cloud Functions 将发现结果发送至第三方补救和支持工单系统,或者自动执行操作,例如自动关闭发现结果。
首先,请访问 Security Command Center 的 Cloud Functions 代码的开源代码库。代码库包含解决方案,可帮助您对安全发现结果采取自动操作。
保持沟通
系统会使用新的检测器和功能定期更新 Security Command Center。版本说明可让您了解产品更改和文档更新。但是,您可以在 Google Cloud 控制台中设置通信偏好设置,通过电子邮件或移动设备接收产品更新和特惠促销。您还可以告诉我们您是否有兴趣参与用户调查和试用计划。
如果您有任何意见或问题,可以通过与销售人员交流、联系我们的 Cloud 支持员工或提交错误来提供反馈。