Security Command Center Enterprise 控制台

Security Command Center Enterprise 层级包含两个控制台:Google Cloud 控制台 和 Security Operations 控制台。

您可以使用相同的用户名和凭据登录这两个控制台。

Google Cloud 控制台

您可以通过 Google Cloud 控制台执行以下任务:

  • 激活 Security Command Center。
  • 为所有 Security Command Center 设置 Identity and Access Management (IAM) 权限 用户。
  • 配置 AWS 连接以管理漏洞。
  • 处理和导出发现结果。
  • 管理安全状况。
  • 根据攻击风险得分评估风险。
  • 使用 Sensitive Data Protection 识别高敏感度数据。
  • 直接检测并修复个别发现结果。
  • 配置 Security Health Analytics、Web Security Scanner 和其他 Google Cloud 集成服务。
  • 评估并报告您的应用对常见安全标准的遵从情况,或 基准。
  • 查看和搜索您的 Google Cloud 资产。

您可以通过 Risk Overview(风险概览)页面在 Google Cloud 控制台中访问 Security Command Center 内容。

进入 Security Command Center

下图显示了 Google Cloud 控制台。

Google Cloud 控制台。

Security Operations 控制台

借助安全运营控制台,您可以执行以下任务:

  • 配置 AWS 连接以进行威胁检测。
  • 配置用户和群组以进行突发事件管理。
  • 配置安全编排、自动化和响应 (SOAR) 设置。
  • 将数据注入配置到安全信息和事件管理中 (SIEM)。
  • 调查和修复 Google Cloud 组织和 AWS 环境中的各项发现。
  • 处理支持请求,包括对发现结果进行分组、分配工单以及处理提醒。
  • 使用自动化的一系列步骤(称为策略方案)来解决问题。
  • 使用 Workdesk 管理未解决的案例中等待您的操作和任务,以及 playbook。

您可以从以下位置访问 Security Operations 控制台: https://customer_subdomain.backstory.chronicle.security, 其中 customer_subdomain 是针对具体客户的 标识符。您可以使用以下方法之一确定您的网址:

  • 在 Google Cloud 控制台中的设置向导中,第 4 步至第 6 步会重定向到安全运营控制台。如需访问设置指南,请完成以下步骤:

    1. 转到 Security Command Center 风险概览页面。

      转到“概览”页面

    2. 点击查看设置指南

  • 在 Google Cloud 控制台中,点击其中一个支持请求链接。如需访问支持请求链接,请完成以下步骤:

    1. 在 Security Command Center 的风险概览页面中,前往按支持请求显示漏洞信息中心。

      前往“漏洞(按案例)”页面

    2. 点击查看所有漏洞案例

  • 在 Google Cloud 控制台中,访问 Chronicle SecOps 页面上的链接。

    1. 前往 Chronicle SecOps 页面。

      前往 Chronicle SecOps

    2. 点击前往 Chronicle

下图显示了 Security Operations 控制台。

Security Operations 控制台。

漏洞管理信息中心

通过 Security Operations 控制台中的信息中心,您可以快速了解安全状况案例 和漏洞。

您可以使用 Security Operations 控制台中的漏洞管理信息中心,调查 Google Cloud 和 AWS 环境中识别出的 CVE 漏洞。

如需查看该信息中心,请前往发现结果页面。 

  https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/overview/cve-vulnerabilities

CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

如果该页面未显示,请选择 Posture >Overview,然后选择 漏洞管理信息中心

在每个报告中,您可以使用过滤条件来显示所有云服务提供商或部分云服务提供商的数据。该信息中心包含以下报告:

  • 最常见的漏洞及漏洞利用威胁会按可利用性和影响分组显示漏洞发现结果。

    可能的可利用性值如下:

    • WIDE:已向 。
    • CONFIRMED:仅有部分报告或已确认的利用活动 。
    • AVAILABLE:此漏洞的利用程序已公开。
    • ANTICIPATED:没有已知的利用此漏洞的活动,但很有可能被利用。
    • NO_KNOWN:漏洞没有已知的利用活动。

    这些是 organizations.sources.findings API 针对 CVE 返回的 ExploitationActivity 值。

    可能的影响值用于衡量潜在漏洞的利用可能性:

    • LOW:漏洞对安全性的影响微乎其微或没有影响。
    • MEDIUM:攻击者可利用漏洞进行活动 或可能允许攻击者直接影响,但需要额外的 步骤。
    • HIGH:利用此漏洞,攻击者无需克服任何主要的缓解因素,即可产生显著的直接影响。
    • CRITICAL:漏洞将从根本上破坏受影响系统的安全性, 使攻击者能够以最少的精力和很少的精力执行重大攻击 甚至没有必须克服的缓解因素。

    这些是 organizations.sources.findings API 针对 CVE 返回的 RiskRating 值。

    点击热点图中的单元格,查看按以下条件过滤的相关漏洞: 您选择的条件

    资源列显示唯一资源 ID 的数量 。发现结果列会显示在所有资源中发现的发现结果的总数。每项资源可以有多个发现结果。点击发现结果列中的值可查看有关这些发现结果的详细信息。

  • 最常见的重大可利用漏洞会显示 CVE 漏洞以及发现漏洞的唯一资源 ID 数量。

    展开单个 CVE ID 对应的行即可查看相关发现结果列表和 发现发现结果的资源数量。单个资源可能会存在多个问题。相关资源的所有资源总数 结果可能会超过 CVE ID 的唯一资源 ID 数。

  • 具有已知漏洞数的最新计算漏洞显示了 CVE 漏洞 与存在已知漏洞的计算实例上的软件相关的信息。此报告中的发现结果属于类别 OS_VULNERABILITYSOFTWARE_VULNERABILITY。表格包含以下信息:

    • 漏洞发布日期首次可用日期:漏洞发布的日期,以及首次可用或确认的日期。

    • 暴露的资源:在风险引擎资源值配置中也配置的已识别资源的数量。此计数包括具有任何资源值配置(高、中等或低)的资源。

    • 攻击风险得分:如果风险引擎计算出值,系统会填充此值。点击该值可查看有关该得分的详情。

    • 虚拟机:虚拟机实例标识符。 点击该值可查看特定云环境中资源的详细信息。

    • 已在实际环境中观察到可利用性:漏洞是否已在实际环境中被利用,以及利用活动的衡量标准。

后续步骤