建立及管理威脅防護安全性設定檔

本頁說明如何使用 Google Cloud 控制台或 Google Cloud CLI,建立及管理 threat-prevention 類型的安全性設定檔

事前準備

角色

如要取得建立、查看、更新或刪除安全性設定檔所需的權限,請要求管理員授予您機構的必要 IAM 角色。如要進一步瞭解如何授予角色,請參閱管理存取權

建立威脅防護安全性設定檔

建立威脅防護安全性設定檔 (類型為 threat-prevention 的安全性設定檔) 時,您可以將安全性設定檔名稱指定為字串或專屬網址 ID。機構範圍安全性設定檔的專屬網址可採用下列格式:

organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAME

如果您使用安全性設定檔名稱的專屬網址 ID,網址 ID 中已包含安全性設定檔的機構和位置。不過,如果只使用安全性設定檔名稱,就必須分別指定機構和位置。如要進一步瞭解專屬網址 ID,請參閱安全性設定檔規格

主控台

  1. 前往 Google Cloud 控制台的「Security profiles」頁面。

    前往「安全性設定檔」

  2. 在專案選取器選單中,選取您的機構。

  3. 選取「安全性設定檔」分頁標籤。

  4. 按一下 Create profile

  5. 在「名稱」欄位中輸入名稱

  6. 選用:在「說明」欄位中輸入說明。

  7. 如要建立 Cloud Next Generation Firewall Enterprise 安全性設定檔,請在「用途」部分選取「Cloud NGFW Enterprise」

  8. 如要建立威脅防護安全設定檔,請在「類型」部分選取「威脅防護」

  9. 按一下「繼續」

視需要新增嚴重程度和威脅覆寫:

  1. 在「嚴重性覆寫」下方,找到要覆寫的嚴重性等級,然後按一下旁邊的「編輯」
  2. 在「覆寫動作」清單中,選取嚴重程度層級的適當動作。
  3. 如要新增威脅簽章覆寫,請按一下「依據 ID 新增簽章」
  4. 在「Signature ID」欄位中,輸入要覆寫的威脅 ID。您可以在威脅資訊主頁中查看威脅 ID。
  5. 在「Override action」(覆寫動作) 清單中,選取適用於威脅 ID 的動作。
  6. 點選「建立」

gcloud

如要建立威脅防護安全設定檔,請使用 gcloud network-security security-profiles threat-prevention create 指令

gcloud network-security security-profiles threat-prevention create NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID \
    --description DESCRIPTION

更改下列內容:

  • NAME:威脅防護安全設定檔的名稱;您可以將名稱指定為字串或專屬網址 ID。

    如果為 NAME 標記使用專屬網址 ID,可以省略 ORGANIZATION_IDLOCATION 標記。

  • ORGANIZATION_ID:建立威脅防護安全設定檔的機構。如果您使用不重複的網址 ID 做為 NAME 標記,可以省略 ORGANIZATION_ID 標記。

  • LOCATION:威脅防護安全設定檔的位置。

    位置一律設為「global」。如果您使用專屬網址 ID 做為 NAME 標記,可以省略 LOCATION 標記。

  • PROJECT_ID:選用專案 ID,用於威脅防護安全設定檔的配額和存取限制。

  • DESCRIPTION:威脅防護安全設定檔的選用說明。

查看威脅防護安全性設定檔

您可以查看機構中特定威脅防護安全設定檔的詳細資料。

主控台

  1. 前往 Google Cloud 控制台的「Security profiles」頁面。

    前往「安全性設定檔」

  2. 選取「安全性設定檔」分頁標籤。這個分頁會顯示已設定的安全性設定檔清單。

  3. 按一下「威脅防護」類型的安全性設定檔,即可查看設定檔詳細資料。

gcloud

如要查看威脅防護安全設定檔的詳細資料,請使用 gcloud beta network-security security-profiles describe 指令

  gcloud beta network-security security-profiles describe NAME \
      --organization ORGANIZATION_ID \
      --location LOCATION

更改下列內容:

  • NAME:您要說明的 threat-prevention 類型安全設定檔名稱。您可以將名稱指定為字串或專屬網址 ID。

如果您使用 NAME 標記的專屬網址 ID,可以省略 ORGANIZATION_IDLOCATION 標記。

  • ORGANIZATION_ID:建立威脅防護安全設定檔的機構。如果您使用專屬網址 ID 做為 NAME 標記,可以省略 ORGANIZATION_ID 標記。

  • LOCATION:威脅防護安全設定檔的位置。位置一律設為「global」。如果您使用專屬網址 ID 做為 NAME 標記,可以省略 LOCATION 標記。

列出威脅防護安全性設定檔

您可以列出機構中的所有威脅防護安全性設定檔。

主控台

  1. 前往 Google Cloud 控制台的「Security profiles」頁面。

    前往「安全性設定檔」

  2. 選取「安全性設定檔」分頁標籤。這個分頁會顯示已設定的安全性設定檔清單。

gcloud

如要列出所有威脅防護安全性設定檔,請使用 gcloud network-security security-profiles threat-prevention list 指令

gcloud network-security security-profiles threat-prevention list \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID

更改下列內容:

  • ORGANIZATION_ID:建立威脅防護安全設定檔的機構。

  • LOCATION:威脅防護安全設定檔的位置。 位置一律設為「global」。

  • PROJECT_ID:選用專案 ID,用於威脅防護安全設定檔的配額和存取限制。

刪除威脅防護安全性設定檔

您可以指定威脅防護安全設定檔的名稱、位置和機構,藉此刪除該設定檔。不過,如果安全性設定檔遭安全性設定檔群組參照,就無法刪除。

主控台

  1. 前往 Google Cloud 控制台的「Security profiles」頁面。

    前往「安全性設定檔」

  2. 選取「安全性設定檔」分頁標籤。這個分頁會顯示已設定的安全性設定檔清單。

  3. 選取要刪除的威脅防護安全設定檔,然後按一下「Delete」(刪除)

  4. 再按一下 [刪除] 加以確認。

gcloud

如要刪除威脅防護安全設定檔,請使用 gcloud network-security security-profiles threat-prevention delete 指令

gcloud network-security security-profiles threat-prevention delete NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID

更改下列內容:

  • NAME:要刪除的威脅防護安全設定檔名稱,您可以將名稱指定為字串或專屬網址 ID。

  • ORGANIZATION_ID:建立威脅防護安全設定檔的機構。如果您使用不重複的網址 ID 做為 NAME 標記,可以省略 ORGANIZATION_ID 標記。

  • LOCATION:威脅防護安全設定檔的位置。

    位置一律設為「global」。如果您使用專屬網址 ID 做為 NAME 標記,可以省略 LOCATION 標記。

  • PROJECT_ID:選用專案 ID,用於威脅防護安全設定檔的配額和存取限制。

匯入威脅防護安全設定檔

您可以從 YAML 檔案匯入威脅防護安全設定檔 (自訂建立或先前匯出)。匯入威脅防護安全性設定檔時,如果已有同名的設定檔,Cloud NGFW 會更新現有設定檔。

gcloud

如要從 YAML 檔案匯入威脅防護安全設定檔,請使用 gcloud beta network-security security-profiles import 指令

gcloud beta network-security security-profiles import NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --source FILE_NAME

更改下列內容:

  • NAME:要匯入的 threat-prevention 類型安全設定檔名稱。您可以將名稱指定為字串或專屬網址 ID。

    如果為 NAME 標記使用專屬網址 ID,可以省略 ORGANIZATION_IDLOCATION 標記。

  • ORGANIZATION_ID:建立威脅防護安全設定檔的機構。如果您使用專屬網址 ID 做為 NAME 標記,可以省略 ORGANIZATION_ID 標記。

  • LOCATION:威脅防護安全設定檔的位置。位置一律設為「global」。如果您使用專屬網址 ID 做為 NAME 標記,可以省略 LOCATION 標記。

  • FILE_NAME:YAML 檔案的路徑,其中包含威脅防護安全設定檔的設定匯出資料。例如:threat-prevention-sp.yaml

    YAML 檔案不得包含任何僅供輸出的欄位。或者,您也可以省略 source 旗標,從標準輸入讀取資料。

匯出威脅防護安全性設定檔

您可以將威脅防護安全設定檔匯出為 YAML 檔案。舉例來說,您可以使用這項功能匯出安全性設定檔、快速修改,然後匯回,不必透過使用者介面修改大型安全性設定檔。

gcloud

如要將威脅防護安全設定檔匯出至 YAML 檔案,請使用 gcloud beta network-security security-profiles export 指令

gcloud beta network-security security-profiles export NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --destination FILE_NAME

更改下列內容:

  • NAME:要匯出的 threat-prevention 類型安全設定檔名稱。您可以將名稱指定為字串或專屬網址 ID。

    如果為 NAME 標記使用專屬網址 ID,可以省略 ORGANIZATION_IDLOCATION 標記。

  • ORGANIZATION_ID:建立威脅防護安全設定檔的機構。如果您使用專屬網址 ID 做為 NAME 標記,可以省略 ORGANIZATION_ID 標記。

  • LOCATION:威脅防護安全設定檔的位置。位置一律設為「global」。如果您使用專屬網址 ID 做為 NAME 標記,可以省略 LOCATION 標記。

  • FILE_NAME:YAML 檔案的路徑,Cloud NGFW 會將威脅防護安全設定檔的設定匯出至該檔案。例如:threat-prevention-sp.yaml

    匯出的設定資料不含任何僅供輸出的欄位。 或者,您也可以省略 destination 旗標,將內容寫入標準輸出。

在威脅防護安全設定檔中新增覆寫動作

您可以覆寫現有威脅防護安全設定檔中,與特定威脅簽章嚴重性等級相關聯的動作。

主控台

  1. 前往 Google Cloud 控制台的「Security profiles」頁面。

    前往「安全性設定檔」

  2. 選取「安全性設定檔」分頁標籤。這個分頁標籤會顯示已設定的安全性設定檔清單。

  3. 選取要覆寫動作的安全設定檔,然後按一下「編輯」

  4. 在「嚴重性覆寫」下方,找到要覆寫的嚴重性等級,然後按一下旁邊的「編輯」

  5. 在「覆寫動作」清單中,選取嚴重程度層級的適當動作。

  6. 按一下「確認」。

  7. 按一下 [儲存]

gcloud

如要為威脅防護安全設定檔新增覆寫,請使用 gcloud network-security security-profiles threat-prevention add-override 指令

gcloud network-security security-profiles threat-prevention add-override NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID \
    [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS] \
    --action ACTION

更改下列內容:

  • NAME:安全性設定檔的名稱,您可以將名稱指定為字串或專屬網址 ID。

  • ORGANIZATION_ID:建立安全設定檔的機構。

    如果您使用不重複的網址 ID 做為 NAME 標記,可以省略 ORGANIZATION_ID 標記。

  • LOCATION:安全性設定檔的位置。

    位置一律設為「global」。如果您使用專屬網址 ID 做為 NAME 標記,可以省略 LOCATION 標記。

  • PROJECT_ID:(選用) 用於安全設定檔配額和存取限制的專案 ID。

  • SEVERITIES:以逗號分隔的嚴重程度清單,用於覆寫動作。防火牆端點會將設定的 --action旗標套用至指定嚴重程度的所有威脅。 嚴重程度可以是下列任一值:

    • INFORMATIONAL
    • LOW
    • MEDIUM
    • HIGH
    • CRITICAL

  • THREAT_IDS:以半形逗號分隔的威脅簽章 ID 清單,用於覆寫動作。防火牆端點會將設定的 --action 標記套用至指定威脅 ID 的所有威脅。

  • PROTOCOLS:以半形逗號分隔的網路通訊協定清單,用於監控防毒威脅。詳情請參閱支援的通訊協定

  • ACTION:針對指定威脅 ID 或嚴重程度採取的動作。詳情請參閱支援的動作

列出威脅防護安全性設定檔中的覆寫動作

您可以列出威脅防護安全性設定檔中的所有覆寫動作。

主控台

  1. 前往 Google Cloud 控制台的「Security profiles」頁面。

    前往「安全性設定檔」

  2. 選取「安全性設定檔」分頁標籤。這個分頁標籤會顯示已設定的安全性設定檔清單。

  3. 選取安全性設定檔,即可查看已設定的嚴重性覆寫動作和威脅簽章覆寫動作。

gcloud

如要列出威脅防護安全性設定檔中的所有覆寫動作,請使用 gcloud network-security security-profiles threat-prevention list-overrides 指令

gcloud network-security security-profiles threat-prevention list-overrides NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION

更改下列內容:

  • NAME:安全性設定檔的名稱,您可以將名稱指定為字串或專屬網址 ID。

  • ORGANIZATION_ID:建立安全設定檔的機構。

    如果您使用不重複的網址 ID 做為 NAME 標記,可以省略 ORGANIZATION_ID 標記。

  • LOCATION:安全性設定檔的位置。

    位置一律設為「global」。如果您使用專屬網址 ID 做為 NAME 標記,可以省略 LOCATION 標記。

更新威脅防護安全設定檔中的覆寫動作

您可以在威脅防護安全設定檔中,更新嚴重程度層級或威脅簽章的現有覆寫動作。

主控台

  1. 前往 Google Cloud 控制台的「Security profiles」頁面。

    前往「安全性設定檔」

  2. 選取「安全性設定檔」分頁標籤。這個分頁會顯示已設定的安全性設定檔清單。

  3. 選取安全性設定檔,然後按一下「編輯」

  4. 在「嚴重程度覆寫」下方,找到要更新覆寫動作的嚴重程度層級,然後按一下旁邊的「編輯」

  5. 在「覆寫動作」清單中,選取嚴重程度層級的適當動作。

  6. 按一下「確認」。

  7. 按一下 [儲存]

gcloud

如要更新威脅防護安全設定檔中的覆寫動作,請使用 gcloud network-security security-profiles threat-prevention update-override 指令

gcloud network-security security-profiles threat-prevention update-override NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID \
    [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS] \
    --action ACTION

更改下列內容:

  • NAME:安全性設定檔的名稱,您可以將名稱指定為字串或專屬網址 ID。

  • ORGANIZATION_ID:建立安全設定檔的機構。

    如果您使用不重複的網址 ID 做為 NAME 標記,可以省略 ORGANIZATION_ID 標記。

  • LOCATION:安全性設定檔的位置。

    位置一律設為「global」。如果您使用專屬網址 ID 做為 NAME 標記,可以省略 LOCATION 標記。

  • PROJECT_ID:(選用) 用於安全設定檔配額和存取限制的專案 ID。

  • SEVERITIES:以半形逗號分隔的嚴重程度清單,列出要更新覆寫的嚴重程度。嚴重程度可以是下列任一值:

    • INFORMATIONAL
    • LOW
    • MEDIUM
    • HIGH
    • CRITICAL

  • THREAT_IDS:以半形逗號分隔的威脅簽章 ID 清單,用於更新覆寫項目。

  • PROTOCOLS:以半形逗號分隔的網路通訊協定清單,用於監控防毒威脅。支援的通訊協定如下:

    • SMTP
    • SMB
    • POP3
    • IMAP
    • HTTP2
    • HTTP
    • FTP

  • :指定威脅 ID 或嚴重程度的預設動作。ACTION動作可以是下列其中一項:

    • DEFAULT
    • ALLOW
    • DENY
    • ALERT

從威脅防護安全性設定檔中刪除覆寫動作

您可以從威脅防護安全設定檔中,刪除嚴重程度或威脅簽章的現有覆寫動作。

主控台

  1. 前往 Google Cloud 控制台的「Security profiles」頁面。

    前往「安全性設定檔」

  2. 選取「安全性設定檔」分頁標籤。這個分頁會顯示已設定的安全性設定檔清單。

  3. 選取安全性設定檔,然後按一下「編輯」

  4. 在「嚴重性覆寫」下方,找到要刪除覆寫動作的嚴重性層級,然後按一下旁邊的「編輯」

  5. 在「覆寫動作」清單中,選取「不覆寫」

  6. 按一下「確認」。

  7. 在「簽章覆寫」下方,選取要刪除的威脅 ID。

  8. 點選「刪除」。

  9. 按一下 [儲存]

gcloud

如要從威脅防護安全設定檔中刪除覆寫動作,請使用 gcloud network-security security-profiles threat-prevention delete-override 指令

gcloud network-security security-profiles threat-prevention delete-override NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID \
    [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS]

更改下列內容:

  • NAME:安全性設定檔的名稱,您可以將名稱指定為字串或專屬網址 ID。

  • ORGANIZATION_ID:建立安全設定檔的機構。

    如果您使用不重複的網址 ID 做為 NAME 標記,可以省略 ORGANIZATION_ID 標記。

  • LOCATION:安全性設定檔的位置。

    位置一律設為「global」。如果您使用專屬網址 ID 做為 NAME 標記,可以省略 LOCATION 標記。

  • PROJECT_ID:(選用) 用於安全設定檔配額和存取限制的專案 ID。

  • SEVERITIES:以半形逗號分隔的嚴重程度層級清單,列出要刪除的覆寫項目。嚴重程度可以是下列任一值:

    • INFORMATIONAL
    • LOW
    • MEDIUM
    • HIGH
    • CRITICAL

  • THREAT_IDS:以半形逗號分隔的威脅特徵碼 ID 清單,當中列有要刪除的覆寫項目。

  • PROTOCOLS:以半形逗號分隔的網路通訊協定清單,用於監控防毒威脅。支援的通訊協定如下:

    • SMTP
    • SMB
    • POP3
    • IMAP
    • HTTP2
    • HTTP
    • FTP

後續步驟