本頁提供管理 Security Command Center 服務和功能的建議,協助您充分運用這項產品。
Security Command Center 是功能強大的平台,可監控機構或個別專案的資料和安全風險。Security Command Center 的設計宗旨是提供最高等級的保護,且只需進行最少的設定。不過,您可以採取一些步驟,根據工作流程調整平台,並確保資源受到保護。
啟用 Premium 方案或 Enterprise 方案
Security Command Center 進階版和企業版提供最完善的防護,包括一系列雲端安全性和安全作業功能,例如威脅偵測、軟體安全漏洞偵測、法規遵循評估、安全作業功能等。標準層級僅提供有限的服務和功能。
如要瞭解各服務層級提供的功能,請參閱「服務層級」。
在專案層級啟用 Premium 方案
您可以在 Google Cloud 控制台中,為機構或個別專案啟用 Premium 方案。
啟用專案層級存取權後,無論方案等級為何,您都無法使用需要機構層級存取權的特定功能。詳情請參閱「專案層級啟用功能時的可用性」。
除非購買機構層級的訂閱方案,否則系統會根據資源用量,計算啟用 Premium 層級的費用。詳情請參閱「定價」。
如要進一步瞭解如何啟用任一級別的 Security Command Center,請參閱「啟用 Security Command Center 的簡介」。
啟用所有內建服務
建議啟用所有內建服務,但須遵守個別服務的最佳做法建議。
如果已啟用 Security Command Center,您可以在「設定」頁面確認已啟用哪些服務。
您可以停用任何服務,但最好一律開啟所屬層級的所有服務。啟用所有服務可確保您持續收到更新,並為新資源和變更的資源提供防護。
在實際工作環境中啟用 Web Security Scanner 前,請先參閱這篇文章,瞭解最佳做法。
此外,建議您啟用整合式服務 (異常偵測、Sensitive Data Protection 和 Google Cloud Armor)、探索第三方安全防護服務,以及為事件威脅偵測和容器威脅偵測功能啟用 Cloud Logging。視資訊量而定,Sensitive Data Protection 和 Google Cloud Armor 的費用可能相當高昂。請按照最佳做法控管 Sensitive Data Protection 費用,並參閱 Google Cloud Armor 定價指南。
啟用 Event Threat Detection 的記錄
如果您使用 Event Threat Detection,可能需要啟用 Event Threat Detection 掃描的特定記錄。雖然部分記錄一律會啟用 (例如 Cloud Logging 管理員活動稽核記錄),但其他記錄 (例如大多數的資料存取稽核記錄) 預設為停用,必須先啟用,事件威脅偵測才能掃描這些記錄。
建議您啟用下列記錄:
- Cloud Logging 資料存取稽核記錄
- Google Workspace 記錄 (僅限機構層級啟用)
需要啟用的記錄取決於:
- 您使用的 Google Cloud 服務
- 貴商家需要的安全性
Logging 可能會針對特定記錄檔的擷取和儲存作業收費。啟用任何記錄前,請先查看記錄定價。
啟用記錄後,Event Threat Detection 就會自動開始掃描。
如要進一步瞭解哪些偵測模組需要哪些記錄,以及需要開啟哪些記錄,請參閱「需要開啟的記錄」。
定義高價值資源集
為協助您優先處理會對重要資源造成風險的安全漏洞和設定錯誤發現項目,請指定哪些高價值資源屬於高價值資源集。
如果發現項目會導致高價值資源集中的資源暴露風險,就會獲得較高的受攻擊風險分數。
建立資源值設定,指定屬於高價值資源集的資源。在您建立第一個資源價值設定前,Security Command Center 會使用預設的高價值資源集,但這並非根據您的安全性優先事項自訂。
在 Google Cloud 控制台中使用 Security Command Center
在 Google Cloud 控制台中,Security Command Center 提供 Security Command Center API 尚未提供的功能和視覺化元素。這些功能包括直覺式介面、格式化圖表、法規遵循報告和資源的視覺化階層,可協助您深入瞭解機構。詳情請參閱「在 Google Cloud 控制台中使用 Security Command Center」。
使用 API 和 gcloud 擴充功能
如需透過程式輔助的方式存取,請試用 Security Command Center 用戶端程式庫和 Security Command Center API,存取及控管 Security Command Center 環境。您可以使用 API Explorer (標示為「試用這個 API」),在 API 參考頁面的面板中,以互動方式探索 Security Command Center API,無須 API 金鑰。您可以查看可用方法和參數、執行要求,以及即時查看回應。
安全分析師和管理員可透過 Security Command Center API 管理資源和發現項目。工程師可使用 API 建構自訂報表和監控解決方案。
使用自訂偵測模組擴充功能
如需符合貴機構獨特需求的偵測器,請考慮建立自訂模組:
- 安全狀態分析自訂模組可讓您自行定義安全漏洞、設定錯誤或法規遵循違規事項的偵測規則。
- Event Threat Detection 的自訂模組可讓您根據指定的參數,監控 Logging 串流中的威脅。
查看及管理資源
Security Command Center 會在 Google Cloud 控制台的「資產」頁面顯示所有資產,您可以在該頁面查詢資產並查看相關資訊,包括相關發現項目、變更記錄、中繼資料和 IAM 政策。
「資產」頁面上的資產資訊是從 Cloud Asset Inventory 讀取。 如要接收資源和政策變更的即時通知,請建立並訂閱動態消息。
詳情請參閱「資產頁面」。
迅速因應安全漏洞和威脅
Security Command Center 發現項目會記錄偵測到的安全性問題,包括受影響資源的詳細資料,以及調查和修正安全漏洞與威脅的建議步驟。
安全漏洞發現項目會說明偵測到的安全漏洞或設定錯誤,並計算遭受攻擊的風險分數和預估嚴重程度。安全漏洞發現結果也會提醒您違反安全標準或基準。詳情請參閱「支援的基準」。
使用 Security Command Center Premium 時,安全漏洞發現項目也會納入 Mandiant 提供的資訊,說明安全漏洞的利用可能性和潛在影響,這些資訊會根據安全漏洞的對應 CVE 記錄提供。您可以根據這項資訊,優先修復安全漏洞。詳情請參閱「依據 CVE 影響程度和漏洞攻擊的可能性,優先處理問題」。
威脅調查結果包含 MITRE ATT&CK 架構的資料,說明針對雲端資源的攻擊技術,並提供補救措施指引,以及 VirusTotal 的資料。VirusTotal 是 Alphabet 旗下的服務,可提供潛在惡意檔案、網址、網域和 IP 位址的相關資訊。
以下指南是起點,可協助您修正問題及保護資源。
控制尋找音量
如要控管 Security Command Center 中的發現項目量,您可以手動或以程式輔助方式忽略個別發現項目,也可以建立忽略規則,根據您定義的篩選條件自動忽略發現項目。你可以使用以下兩種靜音規則,控制搜尋結果數量:
- 靜態忽略規則會永久忽略日後的發現項目。
- 動態忽略規則,可選擇暫時忽略目前和日後的發現項目。
建議您只使用動態靜音規則,減少需要手動審查的發現項目數量。為避免混淆,我們不建議同時使用靜態和動態靜音規則。如要比較這兩種規則類型,請參閱「靜音規則類型」。
已忽略的發現項目會隱藏並靜音,但仍會記錄在稽核和法規遵循報告中。您可以隨時查看或取消隱藏發現項目。詳情請參閱「略過 Security Command Center 中的發現項目」。
建議使用動態忽略規則忽略發現項目,這是控制發現項目數量的最有效方法。或者,您也可以使用安全標記將資產新增至允許清單。
每個安全狀態分析偵測工具都有專屬的標記類型,可讓您從偵測政策中排除標記的資源。如果您不希望系統為特定資源或專案建立調查結果,這項功能就非常實用。
如要進一步瞭解安全標記,請參閱「使用安全標記」。
設定通知
通知功能可近乎即時地提醒您有新的或更新的發現項目,而且透過電子郵件和即時通訊通知,即使您未登入 Security Command Center,也能收到通知。詳情請參閱「設定發現項目通知」。
使用 Security Command Center Premium 建立持續匯出項目,即可簡化將發現項目匯出至 Pub/Sub 的程序。
探索 Cloud Run functions
Cloud Run functions 是一項Google Cloud 服務,可讓您連結雲端服務,並在回應事件時執行程式碼。您可以使用 Notifications API 和 Cloud Run 函式,將調查結果傳送至第三方補救和票務系統,或採取自動化動作,例如自動結案。
如要開始使用,請前往 Security Command Center 的 Cloud Run 函式程式碼開放原始碼存放區。 這個存放區包含的解決方案可協助您對安全性發現事項採取自動化動作。
開啟通訊功能
Security Command Center 會定期更新,加入新的偵測工具和功能。版本資訊會說明產品異動和文件更新內容。不過,您可以在 Google Cloud 管理中心設定通訊偏好設定,透過電子郵件或行動裝置接收產品更新和特價促銷活動資訊。您也可以告訴我們是否有興趣參與使用者問卷調查和前測計畫。
如有任何意見或問題,歡迎與業務代表聯絡、洽詢 Cloud 支援人員,或回報錯誤。