本頁面概略說明啟用 Security Command Center 時的啟動程序。這項功能旨在回答常見問題:
- 啟用 Security Command Center 後會發生什麼情況?
- 為什麼要延遲一段時間,才會開始第一次掃描?
- 首次掃描和持續掃描的預期執行時間為何?
- 變更資源和設定會如何影響成效?
總覽
首次啟用 Security Command Center 時,必須先完成啟用程序,Security Command Center 才能開始掃描資源。掃描完成後,您才能查看Google Cloud 環境的完整發現結果。
啟用程序和掃描作業的完成時間取決於多項因素,包括環境中的資產和資源數量,以及 Security Command Center 是在機構層級或專案層級啟用。
在組織層級啟用時,Security Command Center 必須為組織中的每個專案,重複啟用程序中的特定步驟。視機構中的專案數量而定,啟用程序可能需要幾分鐘到幾小時的時間。如果機構有超過 10 萬個專案,每個專案都有大量資源,以及其他複雜因素,啟用和初始掃描作業可能需要 24 小時以上才能完成。
在專案層級啟用 Security Command Center 時,啟用程序會快上許多,因為程序僅限於啟用 Security Command Center 的單一專案。
以下各節將討論可能導致掃描啟動、處理設定變更和掃描執行時間延遲的因素。
新手上路流程中的延遲
掃描開始前,Security Command Center 會探索並建立資源索引。
索引服務包括 App Engine、BigQuery、Cloud SQL、Cloud Storage、Compute Engine、Identity and Access Management 和 Google Kubernetes Engine。
如果是在專案層級啟用 Security Command Center,探索和建立索引的範圍僅限於啟用 Security Command Center 的單一專案。
在機構層級啟用時,Security Command Center 會探索並為整個機構的資源建立索引。
在新手上路期間,會進行兩項重要步驟。
資產掃描
Security Command Center 會先掃描資產,找出專案、資料夾、檔案、叢集、身分、存取權政策、已註冊使用者和其他資源的總數、位置和狀態。這項程序通常會在幾分鐘內完成。
啟用 API
系統探索資源時,Security Command Center 會啟用安全狀態分析、Event Threat Detection、Container Threat Detection 和 Web Security Scanner 運作所需的元件。Google Cloud 部分偵測服務需要受保護的專案啟用特定 API,才能正常運作。
在專案層級啟用 Security Command Center 時,API 通常會在不到一分鐘內啟用。
在組織層級啟用後,Security Command Center 會逐一檢查您選取要掃描的所有專案,並啟用必要的 API。
機構中的專案數量在很大程度上決定了導入和啟用程序的長度。由於必須逐一為專案啟用 API,因此啟用 API 通常最耗時,尤其是對於擁有超過 10 萬個專案的機構。
啟用跨專案服務所需的時間會呈線性增加。也就是說,如果組織有 30,000 個專案,啟用服務和安全性設定所需的時間,通常是 15,000 個專案的兩倍。
如果機構有 10 萬個專案,應可在五小時內完成新手上路程序,並啟用 Premium 方案。時間長度會因多種因素而異,包括您使用的專案或容器數量,以及選擇啟用的 Security Command Center 服務數量。
掃描延遲
設定 Security Command Center 時,您可以決定要啟用哪些內建和整合式服務,並選取要分析或掃描威脅和安全漏洞的 Google Cloud 資源。為專案啟用 API 後,所選服務就會開始掃描。掃描時間長度也取決於機構中的專案數量。
完成初始掃描後,即可查看內建服務的發現項目。 服務延遲情形如下節所述。
- Agent Engine 威脅偵測 (預先發布版) 的延遲時間如下:
- 新加入的專案或機構最多可能需要 3.5 小時才會啟用。
- 以分鐘為單位的偵測延遲時間。
- Cloud Run Threat Detection 的延遲時間如下:
- 新加入的專案或機構最多可能需要 3.5 小時才會啟用。
- 以分鐘為單位的偵測延遲時間。
- Container Threat Detection 的延遲時間如下:
- 新加入的專案或機構最多可能需要 3.5 小時才會啟用。
- 新建立叢集的啟用延遲時間 (以分鐘為單位)。
- 已啟用的叢集偵測威脅時的延遲時間 (以分鐘為單位)。
啟用事件威脅偵測功能後,內建偵測器會在幾秒內啟動。如果是新增或更新自訂偵測器,變更最多可能需要 15 分鐘才會生效。實際上,這項作業通常會在 5 分鐘內完成。
如果是內建和自訂偵測器,從寫入記錄到 Security Command Center 提供發現項目,偵測延遲時間通常不到 15 分鐘。
Security Command Center 進階版和 Enterprise 層級的「問題」資料可能需要約 6 小時才會顯示。
Security Command Center 進階版和企業版層級的安全圖表資料,大約需要 2 小時才會顯示。
安全狀態分析 啟用服務後,安全狀態分析掃描作業會在約一小時後開始。首次安全狀態分析掃描作業最多可能需要 12 小時 (Security Command Center Premium 和 Enterprise) 或 48 小時 (Security Command Center Standard) 才能完成。之後,大多數的偵測作業都會針對資產設定變更即時執行 (例外狀況詳見「安全狀態分析偵測作業延遲時間」)。
新加入的機構啟用 VM Threat Detection 時,最多可能需要 48 小時。如果是專案,啟動延遲時間最長為 15 分鐘。
Amazon Web Services (AWS) 的安全漏洞評估功能會在帳戶中首次部署必要的 CloudFormation 範本後,大約 15 分鐘開始掃描 AWS 帳戶中的資源。在 AWS 帳戶中偵測到軟體安全漏洞時,相關發現項目會在約 10 分鐘後顯示在 Security Command Center 中。
完成掃描所需時間取決於 EC2 執行個體的數量。通常掃描單一 EC2 執行個體的時間不到 5 分鐘。
啟用服務後,Web Security Scanner 最多可能需要 24 小時才會開始掃描,且首次掃描後會每週執行一次。
啟用服務後,資料安全防護機制管理 (DSPM) 掃描最多需要 24 小時才會開始。
Security Command Center 會執行錯誤偵測工具,偵測與 Security Command Center 及其服務相關的設定錯誤。這些錯誤偵測工具預設為啟用,且無法停用。偵測延遲時間會因錯誤偵測器而異。詳情請參閱「Security Command Center 錯誤」。
您可以在機構、資料夾或專案層級授予 Security Command Center 的 IAM 角色。您能否查看、編輯、建立或更新發現項目、資產和安全來源,取決於獲准的存取層級。如要進一步瞭解 Security Command Center 角色,請參閱存取權控管。
初步發現
在初始掃描期間,您可能會在 Google Cloud 控制台中看到一些發現項目,但此時啟用程序尚未完成。
初步發現結果準確且可做為行動依據,但並非全面性。不建議在 24 小時內使用這些發現項目進行法規遵循評估。
後續掃描
在機構或專案中進行變更 (例如移動資源,或在機構層級啟用時新增資料夾和專案),通常不會大幅影響資源探索時間或掃描的執行階段。不過,部分掃描作業會按照預設時間表進行,這會決定 Security Command Center 偵測到變更的速度。
- Agent Engine 威脅偵測 (搶先版) 會在代理程式工作負載執行時,使用監看程序收集事件資訊。監控程序最多可能需要一分鐘才會開始收集資訊。
- Cloud Run 威脅偵測會使用監控程序,在 Cloud Run 工作負載的整個生命週期內,收集容器和事件資訊。監控程序最多可能需要一分鐘才會開始收集資訊。
- 事件威脅偵測和容器威脅偵測:啟用這些服務後,系統會即時執行偵測作業,並立即偵測已啟用專案中新增或變更的資源,例如叢集、buckets 或記錄。
- 安全狀態分析:安全狀態分析會在開啟時即時執行,並在幾分鐘內偵測到新的或變更的資源,但稍後列出的偵測結果除外。
- VM 威脅偵測:為了掃描記憶體,VM 威脅偵測會在建立執行個體後立即掃描每個 VM 執行個體。此外,VM 威脅偵測每 30 分鐘會掃描每個 VM 執行個體。
- 如要偵測加密貨幣挖礦行為,VM 威脅偵測每天會針對每個 VM 的每個程序產生一項發現項目。每個發現項目只會列出與該項目識別的程序相關聯的威脅。如果 VM 威脅偵測功能發現威脅,但無法將其與任何程序建立關聯,則 VM 威脅偵測功能會針對每個 VM,將所有未建立關聯的威脅歸入單一發現項目,且每 24 小時產生一次。如果威脅持續超過 24 小時,VM 威脅偵測功能每 24 小時會產生新的調查結果。
- 如要偵測核心模式的 Rootkit,VM 威脅偵測每隔三天就會為每個 VM 的每個類別產生一項發現項目。
為偵測已知惡意軟體,VM 威脅偵測功能會每天掃描每個 VM 執行個體,
AWS 安全漏洞評估功能每天會執行三次掃描。
完成掃描所需時間取決於 EC2 執行個體的數量。通常掃描單一 EC2 執行個體的時間不到 5 分鐘。
在 AWS 帳戶中偵測到軟體安全漏洞時,相關發現項目會在約 10 分鐘後顯示在 Security Command Center 中。
Web Security Scanner:Web Security Scanner 每週執行一次,時間與初始掃描的日期相同。由於網頁安全掃描器每週執行一次,因此不會即時偵測變更。如果移動資源或變更應用程式,系統可能要過一週才會偵測到變更。您可以執行隨選掃描,檢查排定掃描之間的新資源或變更資源。
DSPM:DSPM 產生的調查結果會近乎即時顯示在 DSPM 資訊主頁上。
Security Command Center 錯誤偵測工具會定期以批次模式執行。批次掃描頻率會因錯誤偵測器而異。詳情請參閱「Security Command Center 錯誤」。
Security Health Analytics 偵測延遲
啟用服務後,安全狀態分析偵測功能會定期以批次模式執行,相關資產的設定變更時也會執行。啟用安全狀態分析後,任何相關資源設定變更都會導致設定錯誤發現項目更新。視素材資源類型和變更而定,更新作業可能需要幾分鐘。
如果偵測器會針對資源設定以外的資訊執行偵測,部分 Security Health Analytics 偵測器就不支援立即掃描模式。下表列出的偵測作業會定期執行,並在 12 小時內找出設定錯誤。如要進一步瞭解安全狀態分析偵測工具,請參閱「安全漏洞和發現項目」。
| 不支援即時掃描模式的 Security Health Analytics 偵測項目 |
|---|
| COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
| MFA_NOT_ENFORCED (先前稱為 2SV_NOT_ENFORCED) |
| OS_LOGIN_DISABLED |
| SQL_NO_ROOT_PASSWORD |
| SQL_WEAK_ROOT_PASSWORD |
攻擊路徑模擬
系統大約每六小時執行一次攻擊路徑模擬。隨著機構規模或複雜度增加,間隔時間可能會延長。Google Cloud
首次啟用 Security Command Center 時,攻擊路徑模擬會使用預設的高價值資源集,著重於機構中支援的資源類型子集。詳情請參閱支援的資源類型清單。
建立資源值設定來定義自己的高價值資源集時,如果高價值資源集中的資源執行個體數量遠低於預設集,您可能會發現模擬間隔時間縮短。