Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

何時會在 Security Command Center 中看到發現項目

這個頁面會簡要說明啟用 Security Command Center 時的啟動程序。這項功能旨在回答常見問題：

啟用 Security Command Center 後會怎麼樣？
為什麼要延遲一段時間，才會開始第一次掃描？
首次掃描和持續掃描的預期執行時間為何？
變更資源和設定會如何影響成效？

總覽

首次啟用 Security Command Center 時，必須先完成啟用程序，Security Command Center 才能開始掃描資源。掃描完成後，您才能看到Google Cloud 環境的完整發現項目。

啟用程序和掃描作業的完成時間取決於多項因素，包括環境中的資產和資源數量，以及 Security Command Center 是在機構層級還是專案層級啟用。

在組織層級啟用時，Security Command Center 必須為組織中的每個專案重複執行啟用程序的特定步驟。視組織中的專案數量而定，啟用程序可能需要幾分鐘到幾小時不等。如果組織有超過 10 萬個專案、每個專案都有大量資源，以及其他複雜因素，啟用和初始掃描作業可能需要 24 小時以上才能完成。

在專案層級啟用 Security Command Center 時，啟用程序會快上許多，因為程序僅限於啟用 Security Command Center 的單一專案。

以下各節將討論可能導致掃描啟動、處理設定變更和掃描執行時間延遲的因素。

新手上路流程中的延遲

掃描開始前，Security Command Center 會先探索資源並建立索引。

索引服務包括 App Engine、BigQuery、Cloud SQL、Cloud Storage、Compute Engine、Identity and Access Management 和 Google Kubernetes Engine。

在專案層級啟用 Security Command Center 時，探索和建立索引的範圍僅限於啟用 Security Command Center 的單一專案。

在機構層級啟用時，Security Command Center 會探索並為機構中的資源建立索引。

在新手上路期間，會進行兩項重要步驟。

資產掃描

Security Command Center 會先掃描資產，找出專案、資料夾、檔案、叢集、身分、存取權政策、已註冊使用者和其他資源的總數、位置和狀態。這項程序通常會在幾分鐘內完成。

啟用 API

系統發現資源後，Security Command Center 會啟用安全狀態分析、Event Threat Detection、Container Threat Detection 和 Web Security Scanner 運作所需的Google Cloud 部分。部分偵測服務需要啟用受保護專案的特定 API 才能運作。

在專案層級啟用 Security Command Center 時，API 通常會在不到一分鐘內啟用。

在組織層級啟用後，Security Command Center 會逐一檢查您選取要掃描的所有專案，並啟用必要的 API。

機構中的專案數量在很大程度上決定了導入和啟用程序的長度。由於必須逐一為專案啟用 API，因此啟用 API 通常是最耗時的工作，對於擁有超過 10 萬個專案的機構來說更是如此。

在專案中啟用服務所需的時間會呈線性成長。也就是說，如果某個機構有 30,000 個專案，啟用服務和安全性設定所需的時間，通常會是 15,000 個專案機構的兩倍。

如果機構有 10 萬個專案，應可在五小時內完成 Premium 和 Enterprise 服務層級的導入和啟用作業。時間長度取決於許多因素，包括您使用的專案或容器數量，以及選擇啟用的 Security Command Center 服務數量。

初始掃描延遲時間

設定 Security Command Center 時，您可以決定要啟用哪些內建和整合式服務，並選取要分析或掃描威脅和安全漏洞的 Google Cloud 資源。為專案啟用 API 後，所選服務就會開始掃描。掃描時間長度也取決於機構中的專案數量。

完成初始掃描後，即可查看內建服務的發現項目。服務體驗延遲情形如下節所述。

Agent Platform Threat Detection (預先發布版) 的延遲時間如下：
- 新加入的專案或機構最多可能需要 3.5 小時才會啟用。
- 偵測延遲時間 (以分鐘為單位)。
Cloud Run Threat Detection 的延遲時間如下：
- 新加入的專案或機構最多可能需要 3.5 小時才會啟用。
- 偵測延遲時間 (以分鐘為單位)。
Compliance Manager：請參閱Compliance Manager 的偵測控制項掃描延遲時間。
Container Threat Detection 的延遲時間如下：
- 新加入的專案或機構最多可能需要 3.5 小時才會啟用。
- 新建立叢集的啟用延遲時間 (以分鐘為單位)。
- 已啟用的叢集偵測威脅時，延遲時間為幾分鐘。
啟用事件威脅偵測的內建偵測工具只需幾秒鐘。如果是新的或更新的自訂偵測工具，變更最多可能需要 15 分鐘才會生效，但通常不到 5 分鐘。

如果是內建和自訂偵測工具，從寫入記錄到 Security Command Center 提供發現項目，偵測延遲時間通常不到 15 分鐘。
Security Command Center Premium 和 Enterprise 層級的「問題」資料大約需要 6 小時才會顯示。
Security Command Center Premium 和企業版層級的安全圖譜資料，大約需要 2 小時才會顯示。
安全狀態分析：請參閱「安全狀態分析掃描延遲時間」。
虛擬機器威脅偵測功能啟用後，新加入的機構最多可能需要 48 小時才會生效，專案則最多需要 15 分鐘。
安全漏洞評估 for Google Cloud：如要瞭解啟用後掃描的頻率，請參閱「安全漏洞評估 for Google Cloud 產生的發現項目」。
Amazon Web Services (AWS) 的安全漏洞評估功能會在帳戶中首次部署必要的 CloudFormation 範本後，約 15 分鐘開始掃描 AWS 帳戶中的資源。如果 AWS 帳戶中偵測到軟體安全漏洞，對應的發現項目會在約 10 分鐘後顯示在 Security Command Center 中。

完成掃描所需的時間取決於 EC2 執行個體的數量。一般來說，掃描單一 EC2 執行個體所需的時間不到 5 分鐘。
啟用服務後，Web Security Scanner 最多可能需要 24 小時才會開始掃描，第一次掃描後則會每週執行一次。
啟用服務後，Data Security Posture Management (DSPM) 掃描最多需要 24 小時才會開始。

Security Command Center 會執行錯誤偵測工具，偵測與 Security Command Center 及其服務相關的設定錯誤。這些錯誤偵測工具預設為啟用，無法停用。偵測延遲時間因錯誤偵測工具而異。詳情請參閱「Security Command Center 錯誤」。

您可以在機構、資料夾或專案層級授予 Security Command Center 的 IAM 角色。您能否查看、編輯、建立或更新發現項目、資產和安全來源，取決於獲准的存取層級。如要進一步瞭解 Security Command Center 角色，請參閱存取控管。

查看初步發現

在初始掃描期間，您可能會在 Google Cloud 控制台中看到一些發現項目，但此時加入程序尚未完成。初步發現結果準確且可做為行動依據，但並非全面性的結果。不建議在 24 小時內使用這些發現項目進行法規遵循評估。

後續掃描

在機構或專案中進行變更 (例如移動資源，或在機構層級啟用時新增資料夾和專案)，通常不會大幅影響資源探索時間或掃描的執行階段。不過，部分掃描作業會按照排定的時間表進行，這會決定 Security Command Center 偵測到變更的速度。

Agent Platform Threat Detection (預覽版) 會在代理程式工作負載執行時，使用監控程序收集事件資訊。監控程序最多可能需要一分鐘才能啟動並收集資訊。
攻擊路徑模擬：如需相關資訊，請參閱「攻擊路徑模擬」一節。
Cloud Run 威脅偵測會使用監控程序，在 Cloud Run 工作負載的整個生命週期內，收集容器和事件資訊。監控程序最多可能需要一分鐘才會開始收集資訊。
Event Threat Detection 和 Container Threat Detection：啟用這些服務後，系統會即時執行，並立即偵測已啟用專案中新增或變更的資源，例如叢集、buckets 或記錄。
安全狀態分析：如要瞭解掃描類型，請參閱「安全狀態分析掃描類型」。如要瞭解偵測延遲時間，請參閱「安全狀態分析後續掃描」。
VM 威脅偵測：進行記憶體掃描時，VM 威脅偵測會在建立執行個體後立即掃描每個 VM 執行個體。此外，VM 威脅偵測每 30 分鐘會掃描每個 VM 執行個體。
- 如要偵測加密貨幣挖礦行為，VM 威脅偵測每天會針對每個 VM 的每個程序產生一項發現項目。每個發現項目只會列出與該項目識別的程序相關聯的威脅。如果 VM 威脅偵測功能發現威脅，但無法將威脅與任何程序建立關聯，則 VM 威脅偵測功能會針對每個 VM，將所有未建立關聯的威脅歸入單一發現項目，且每 24 小時產生一次。如果威脅持續超過 24 小時，VM 威脅偵測功能每 24 小時就會產生新的調查結果。
- 如要偵測核心模式的 Rootkit，VM 威脅偵測每隔三天就會為每個 VM 的每個類別產生一項發現項目。
為偵測已知惡意軟體，VM 威脅偵測功能會每天掃描每個 VM 執行個體，
AWS 安全漏洞評估功能每天會執行三次掃描。

完成掃描所需的時間取決於 EC2 執行個體的數量。一般來說，掃描單一 EC2 執行個體所需的時間不到 5 分鐘。

在 AWS 帳戶中偵測到軟體安全漏洞時，Security Command Center 大約會在 10 分鐘後顯示對應的發現項目。
Web Security Scanner：Web Security Scanner 每週都會執行掃描，時間與首次掃描相同。由於每週只會執行一次，Web Security Scanner 無法即時偵測變更。如果您移動資源或變更應用程式，系統可能要過一週才會偵測到變更。您可以在排定的掃描作業之間，視需要執行掃描，檢查新資源或變更的資源。
DSPM：DSPM 產生的調查結果會近乎即時地顯示在 DSPM 資訊主頁上。

Security Command Center 錯誤偵測工具會定期以批次模式執行。批次掃描頻率會因錯誤偵測器而異。詳情請參閱「Security Command Center 錯誤」。

攻擊路徑模擬

系統大約每六小時會執行一次攻擊路徑模擬。隨著貴機構的規模或複雜度增加，間隔時間可能會延長。Google Cloud

首次啟用 Security Command Center 時，攻擊路徑模擬會使用預設的高價值資源集，著重於組織中支援的資源類型子集。詳情請參閱支援的資源類型清單。

建立資源價值設定來定義自己的高價值資源集時，如果高價值資源集中的資源執行個體數量遠低於預設集，您可能會發現模擬間隔時間縮短。

後續步驟

瞭解如何在 Google Cloud 控制台中使用 Security Command Center。
瞭解偵測服務。