本主题提供了管理 Security Command Center 服务和功能的建议,帮助您充分利用该产品。
Security Command Center 是一个强大的平台,用于监控整个组织内的数据和安全风险,设计旨在以必要的最少量配置来提供最大程度的保护。不过,您可以采取一些步骤为您的工作流定制平台,并确保资源得到保护。
启用 Security Command Center 专业版
与标准层级相比,Security Command Center 专业版包含更多功能。
Security Command Center 标准版包括 Security Health Analytics、异常值检测和 Web Security Scanner 中不受管理的扫描,三者可以一起检测您网站或应用项目中的常见漏洞和异常情况。标准层级中的 Security Health Analytics 仅包含一组基本的中等和高严重级别检测器。
Security Command Center 高级方案包含标准层级服务,并添加了合规性报告、代管式 Web Security Scanner 扫描、所有 Security Health Analytics 检测器以及以下仅优质的内置服务:
如需订阅优质层级,请与销售代表联系或填写我们的查询表单。如果您不需要专业版,可以降级到标准版。
以下链接详细介绍了如何使用 Security Command Center 改进安全态势:
启用所有内置服务
默认情况下,Security Command Center 会在新手入门后启用您所选层级中的所有内置服务。您可以停用任何服务,但最好让层级中的所有服务一直保持开启状态(在生产资源中使用 Web Security Scanner 时会考虑最佳做法)。让所有服务都处于启用状态,您可以利用持续更新,并确保为新的和更改的资源提供保护措施。
此外,请考虑启用集成服务(异常值检测、Cloud Data Loss Prevention 和 Google Cloud Armor),探索第三方安全服务,然后为 Event Threat Detection 和 Container Threat Detection 开启 Cloud Logging。Cloud DLP 和 Google Cloud Armor 费用可能相当大,具体取决于信息的数量。遵循控制 Cloud DLP 费用的最佳做法,并参阅 Google Cloud Armor 价格指南。
如需详细了解 Security Command Center 服务,请观看以下视频:
- Event Threat Detection 使用入门
- Container Threat Detection 使用入门
- Web Security Scanner 使用入门
- Security Health Analytics 使用入门
- Security Command Center 中的 Cloud Data Loss Prevention 使用入门
使用信息中心
Security Command Center 信息中心提供 Security Command Center API 中尚未提供的功能和视觉元素。这些功能(例如直观的界面、带格式的图表、合规性报告和直观的资源层次结构)可让您更深入地了解您的组织。如需了解信息中心功能,请参阅使用 Security Command Center 信息中心。
使用 API 和 gcloud 扩展功能
如果您需要以编程方式访问,请试用 Security Command Center API,该 API 可用于访问和控制 Security Command Center 环境。您可以使用 API 参考页上的面板中标有“试用此 API”的 API Explorer,以交互方式浏览不带 API 密钥的 Security Command Center API。您可以查看可用方法和参数、执行请求以及实时查看响应。
借助 Security Command Center API,分析师和管理员可以管理您的资源和发现结果。工程师可以使用 API 构建自定义报告和监控解决方案。举个例子,了解我们的解决方案架构师如何使用 Security Command Center API 在 Security Command Center 中报告政策控制器审核违规行为。
查看和管理资源
Security Command Center 会从 Cloud Asset Inventory 提取受支持的资源的相关数据,让您可以在 Google Cloud Console 中发现和查看您的 Google Cloud 资源。您可以使用 Security Command Center 信息中心内的资源页面查看历史发现扫描并识别新的、已修改或已删除的资源。还可以查找虚拟机或空闲 IP 地址等未充分利用的资源。未维护的资源可能会增加您的费用,并增加了组织的受攻击面。
如要接收有关资源和政策更改的实时通知,请创建并订阅 Feed。
如需详细了解如何管理资源,请参阅管理资产。
快速应对漏洞和威胁
Security Command Center 详细介绍了受影响的资源以及调查和解决漏洞和威胁的分步建议说明。
漏洞发现结果旨在提醒您注意违反安全基准的情形。支持的合规性标准包括 CIS Google Cloud Computing Foundations Benchmark v1.0.0 through v1.2.0 (CIS Google Cloud Foundation 1.0 through 1.2)、支付卡行业数据安全标准 3.2.1 (PCI-DSS v3.2.1)、OWASP Top Ten、国家标准与技术研究所 800-53 (NIST 800-53) 和国际标准化组织 27001 (ISO 27001)
威胁发现结果包括来自 MITRE ATT&CK 框架的数据,该框架介绍了解释了针对云资源的攻击技术并提供了补救指南,以及 VirusTotal(一项 Alphabet 自有服务,提供了有关潜在恶意文件、网址、网域和 IP 地址的上下文)。
以下指南可帮助您着手解决问题和保护您的资源。
控制发现结果数量
如需控制 Security Command Center 中的发现结果量,您可以手动或以编程方式忽略各个发现结果,或者创建根据您定义的过滤条件自动忽略当前和未来发现结果的忽略规则。
已忽略的发现结果会被隐藏和抑制,但会继续记录以用于审核和合规性目的。您可以随时查看已忽略的发现结果或将其取消忽略。如需了解详情,请参阅在 Security Command Center 中忽略发现结果。
忽略发现结果是推荐最有效的控制发现结果数量的方法。或者,您也可以使用安全标记来将资源添加到许可名单。
每个 Security Health Analytics 检测器都有一个专用的标记类型,可让您从检测政策中排除已标记的资源。如果您不希望针对特定资源或项目创建发现结果,则此功能非常有用。
如要详细了解安全标记,请参阅使用安全标记。
设置通知
通知功能会让您近乎实时地收到关于新发现结果和更新后的发现结果的通知;此外,即使您并未登录 Security Command Center,也可通过电子邮件和聊天通知来通知您。如需了解详情,请参阅设置发现结果通知。
Security Command Center Premium 可让您创建连续导出功能,从而简化将发现结果导出到 Pub/Sub 的过程。
探索 Cloud Functions
Cloud Functions 是一项 Google Cloud 服务,可让您连接云服务并运行代码来响应事件。您可以使用 Notifications API 和 Cloud Functions 将发现结果发送至第三方补救和支持工单系统,或者自动执行操作,例如自动关闭发现结果。
首先,请访问 Security Command Center 的 Cloud Functions 代码的开源代码库。代码库包含解决方案,可帮助您对安全发现结果采取自动操作。
保持沟通
系统会使用新的检测器和功能定期更新 Security Command Center。版本说明可让您了解产品更改和文档更新。但是,您可以在 Google Cloud 控制台中设置通信偏好设置,通过电子邮件或移动设备接收产品更新和特惠促销。您还可以告诉我们您是否有兴趣参与用户调查和试用计划。
如果您有任何意见或问题,可以通过与销售人员交流、联系我们的 Cloud 支持员工或提交错误来提供反馈。