监控、日志记录和提醒指南

以下有关最低可行安全平台的指南与监控、日志记录和提醒支柱相符。

基本级准则

请先遵循以下监控、日志记录和提醒准则。

订阅安全公告
说明

订阅 Google Cloud 产品的安全公告通知,以便及时了解漏洞和缓解措施。
相关信息
内容 ID MVSP-CO-1.54
映射

相关 NIST-800-53 控制措施:

  • SI-5

相关 CRI 配置文件控制措施:

  • PR.IP-1.4

配置重要联系人群组
说明

配置重要联系人,确保受监控的群组别名或邮寄名单能够收到重要通知。

Google 会将重要安全提醒(例如潜在的账号入侵)发送给列为重要联系人的电子邮件地址。如果个人电子邮件地址用于此目的,那么当该人员不在或已离职时,系统将无法发送相应提醒。

使用受监控的群组电子邮件地址有助于确保这些时间敏感型提醒能够发送给可快速响应的活跃团队。
相关信息
内容 ID MSVP-CO-1-55
映射

相关 NIST-800-53 控制措施:

  • IR-4

相关 CRI 配置文件控制措施:

  • PR.IP-1.4

Compliance Manager 控制措施:

监控结算异常情况
说明

使用 Cloud Billing 中的结算异常情况功能跟踪预期支出中的任何峰值或偏差。

云账单突然意外飙升是安全遭入侵的主要迹象。有时,账单费用意外飙升是因为攻击者获得了访问权限,并利用资源开展未经授权的活动。

启用结算异常检测功能可提供重要的预警系统,以便您自动标记此类可疑活动。
相关信息
内容 ID MSVP-CO-1-56
映射

相关 NIST-800-53 控制措施:

  • AU-6

相关 CRI 配置文件控制措施:

  • DE.AE-1.1

中级指南

实施基本准则后,请实施以下监控、日志记录和提醒准则。

启用防火墙规则日志记录
说明

默认情况下,防火墙规则不会自动写入日志。通过防火墙规则日志记录,您可以审核、验证和分析防火墙规则所带来的影响。例如,您可以确定用于拒绝流量的防火墙规则是否如期发挥作用。如果您想确定特定防火墙规则影响的连接数,日志记录功能也十分有用。

为每条防火墙规则启用日志记录。您可以使用用于创建防火墙的流水线来配置日志记录。
相关信息
内容 ID MSVP-CO-1-58
映射

相关 NIST-800-53 控制措施:

  • AU-2
  • AU-3
  • AU-8
  • AU-9

相关 CRI 配置文件控制措施:

  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4

Compliance Manager 控制措施:

共享 Cloud Identity 中的审核日志
说明

如果使用 Cloud Identity,请将 Cloud Identity 中的审核日志共享给 Google Cloud。

来自 Google Workspace 或 Cloud Identity 的管理员活动审核日志通常在 Google 管理控制台中管理和查看,与 Google Cloud 环境中的日志分开。这些日志包含与您的 Google Cloud 环境相关的信息,例如用户登录事件。

我们建议您将 Cloud Identity 审核日志共享到 Google Cloud 环境,以便集中管理来自所有来源的日志。
相关信息
内容 ID MSVP-CO-1-59
映射

相关 NIST-800-53 控制措施:

  • AC-2
  • AC-3
  • AC-8
  • AC-9

相关 CRI 配置文件控制措施:

  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4

Compliance Manager 控制措施:

高级别指南

在实现中级准则后,请实现以下监控、日志记录和提醒准则。

启用 Access Transparency 日志
说明

标准日志会显示您组织中用户执行的操作,而 Access Transparency 日志会显示 Google 支持人员在访问账号时执行的操作。此访问权限通常仅在响应支持请求时授予。Access Transparency 日志可提供完整且可验证的所有访问审核跟踪记录,这对于满足严格的合规性和数据治理要求至关重要。

您可以在组织级层启用 Access Transparency。
相关信息
内容 ID MSVP-CO-1-57
映射

相关 NIST-800-53 控制措施:

  • AU-2
  • AU-3
  • AU-8
  • AU-9

相关 CRI 配置文件控制措施:

  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4

Compliance Manager 控制措施:

将日志导出到日志接收器以进行长期存储
说明

创建日志接收器以导出日志,供安全监控解决方案使用,并设置保留期限以满足您的要求。

默认的日志保留期限通常不够长,无法满足 PCI 或 HIPAA 等合规性法规规定的 1-7 年要求。

创建日志接收器以将日志导出到长期存储位置对于履行某些法律和法规义务至关重要。您还可以通过日志接收器将日志发送到集中式安全监控系统,以进行高级威胁检测。
相关信息
内容 ID MSVP-CO-1-60
映射

相关 NIST-800-53 控制措施:

  • AU-9

相关 CRI 配置文件控制措施:

  • PR.DS-4.1

Compliance Manager 控制措施:

后续步骤