Security Command Center Enterprise 控制台

Security Command Center Enterprise 层级包含两个控制台:Google Cloud 控制台和 Security Operations 控制台。

您可以使用相同的用户名和凭据登录这两个控制台。

Google Cloud 控制台

借助 Google Cloud 控制台,您可以执行诸如以下任务:

  • 激活 Security Command Center。
  • 为所有 Security Command Center 设置 Identity and Access Management (IAM) 权限 用户。
  • 配置 AWS 连接以进行漏洞管理。
  • 处理和导出发现结果。
  • 管理安全状况。
  • 根据攻击风险得分评估风险。
  • 使用敏感数据保护功能识别高敏感数据。
  • 直接检测和修复各项发现结果。
  • 配置 Security Health Analytics、Web Security Scanner 和其他 Google Cloud 集成的 服务。
  • 评估您是否符合常见安全标准或基准,并生成报告。
  • 查看和搜索您的 Google Cloud 资产。

您可以通过 Risk Overview(风险概览)页面在 Google Cloud 控制台中访问 Security Command Center 内容。

进入 Security Command Center

下图显示了 Google Cloud 控制台。

Google Cloud 控制台。

Security Operations 控制台

您可以通过 Security Operations 控制台执行如下任务:

  • 配置 AWS 连接以进行威胁检测。
  • 配置用户和群组以进行突发事件管理。
  • 配置安全编排、自动化和响应 (SOAR) 设置。
  • 配置将数据提取到安全信息和事件管理 (SIEM) 中。
  • 调查和修正 Google Cloud 的各个发现结果 和 AWS 环境
  • 处理支持请求,包括对发现结果进行分组、分配工单以及处理提醒。
  • 使用一组自动执行的步骤(称为“手册”)来解决问题。
  • 使用 Workdesk 管理未解决的案例中等待您的操作和任务,以及 playbook。

您可以从以下位置访问 Security Operations 控制台: https://customer_subdomain.backstory.chronicle.security, 其中 customer_subdomain 是针对具体客户的 标识符。您可以使用以下方法之一确定您的网址:

  • 在 Google Cloud 控制台的设置指南中,第 4 步到第 6 步会重定向至 Security Operations 控制台。如需访问设置指南,请完成以下步骤:

    1. 转到 Security Command Center 风险概览页面。

      转到“概览”页面

    2. 点击查看设置指南

  • 在 Google Cloud 控制台中,点击其中一个支持请求链接。 如需访问支持请求链接,请完成以下步骤:

    1. 在 Security Command Center 的风险概览页面中,前往按支持请求显示漏洞信息中心。

      前往“漏洞(按案例)”页面

    2. 点击查看所有漏洞案例

  • 在 Google Cloud 控制台中,访问 Chronicle SecOps 页面上的链接。

    1. 前往 Chronicle SecOps 页面。

      前往 Chronicle SecOps

    2. 点击前往 Chronicle

下图显示了安全运营控制台。

Security Operations 控制台。

漏洞管理信息中心

通过安全运营控制台中的信息中心,您可以快速了解各个云环境中的安全状况问题和漏洞。

利用 Security Operations 控制台中的漏洞管理信息中心, 可以调查在您的 Google Cloud 和 AWS 环境中发现的 CVE 漏洞。

如需查看该信息中心,请前往发现结果页面。

  https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/overview/cve-vulnerabilities
  

CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

如果该页面未显示,请选择 Posture >Overview,然后选择 漏洞管理信息中心

在每个报告中,您可以使用过滤条件来显示所有云服务提供商或 一部分云服务提供商。信息中心包含以下报告:

  • 常见漏洞和利用情况部分显示了漏洞发现结果 按可利用性和影响分组。

    可能的可利用性值如下:

    • WIDE:已向 。
    • CONFIRMED:仅有部分报告或已确认的利用活动 。
    • AVAILABLE:此漏洞的漏洞已公开。
    • ANTICIPATED:漏洞尚无已知的利用活动,但有 很有可能被利用。
    • NO_KNOWN:没有已知的利用此漏洞的活动。

    这些是 organizations.sources.findings API 针对 CVE 返回的 ExploitationActivity 值。

    可能的影响值用于衡量潜在漏洞的利用可能性:

    • LOW:漏洞对安全的影响微乎其微。
    • MEDIUM:利用此漏洞,攻击者可以执行操作,或者可以让攻击者产生直接影响,但需要执行额外的步骤。
    • HIGH:利用此漏洞,攻击者无需克服任何主要的缓解因素,即可产生显著的直接影响。
    • CRITICAL:漏洞将从根本上破坏受影响系统的安全性, 使攻击者能够以最少的精力和很少的精力执行重大攻击 甚至没有必须克服的缓解因素。

    这些是 organizations.sources.findings API 针对 CVE 返回的 RiskRating 值。

    点击热图中的单元格,即可查看按您选择的条件过滤出的相关漏洞。

    资源列会显示识别到的唯一资源 ID 的数量。发现结果列显示已确定的发现结果总数 所有资源每项资源都可能有多个发现结果。点击发现结果列中的值可查看有关这些发现结果的详细信息。

  • 最常见的重大可利用漏洞会显示 CVE 漏洞以及发现漏洞的唯一资源 ID 数量。

    展开单个 CVE ID 对应的行,即可查看相关发现结果列表以及发现相应发现结果的资源数量。单个资源可能会存在多个问题。相关发现的所有资源数总和可能大于 CVE ID 的唯一资源 ID 数。

  • 具有已知漏洞数的最新计算漏洞显示了 CVE 漏洞 与存在已知漏洞的计算实例上的软件相关的信息。此报告中的发现结果属于类别 OS_VULNERABILITYSOFTWARE_VULNERABILITY。表格 包含以下信息:

    • 漏洞发布日期首次可用日期:漏洞发布的日期,以及首次可用或确认的日期。

    • 公开资源:已确定同时也配置的资源数量 在 Risk Engine 资源值配置中配置。 此计数包括具有任何资源值配置(高、中等或低)的资源。

    • 攻击风险得分:如果风险引擎计算出值,系统会填充此值。点击相应值可查看有关该得分的详细信息。

    • 虚拟机:虚拟机实例标识符。 点击相应值可查看特定云环境中相应资源的详细信息。

    • 已在实际环境中观察到可利用性:漏洞是否已在实际环境中被利用,以及利用活动的衡量标准。

后续步骤