本页面概述了在启用 Security Command Center 时发生的激活流程。它旨在解答常见问题:
- 启用 Security Command Center 时会发生什么情况?
- 为什么首次扫描开始之前会有延迟?
- 首次扫描和持续扫描预计需要多少运行时间?
- 更改资源和设置对性能有何影响?
概览
首次启用 Security Command Center 时,必须先完成激活流程,然后 Security Command Center 才能开始扫描您的资源。然后,扫描必须完成,您才能看到Google Cloud 环境的完整发现结果集。
激活流程和扫描需要多长时间取决于多种因素,包括环境中的资产和资源数量,以及 Security Command Center 是在组织级还是在项目级激活的。
在组织级激活时,Security Command Center 必须针对组织中的每个项目重复执行激活流程的某些步骤。根据组织中的项目数量,激活流程所需的时间可能从几分钟到几小时不等。对于项目数量超过 10 万个、每个项目中有很多资源且存在其他复杂因素的组织,启用和初始扫描可能需要长达 24 小时或更长时间才能完成。
如果 Security Command Center 是在项目级激活的,激活流程会快得多,因为该流程仅限于在其中激活 Security Command Center 的单个项目。
以下部分讨论了可能会在开始扫描、处理设置更改以及扫描运行时中引入延迟时间的因素。
初始配置延迟时间
在开始扫描之前,Security Command Center 会发现您的资源并将其编入索引。
已编入索引的服务包括 App Engine、BigQuery、Cloud SQL、Cloud Storage、Compute Engine、Identity and Access Management 和 Google Kubernetes Engine。
对于项目级激活的 Security Command Center,发现和索引仅限于在其中激活 Security Command Center 的单个项目。
对于组织级激活,Security Command Center 会发现整个组织中的资源并将其编入索引。
在执行此初始配置流程期间,我们会执行两个关键步骤。
资源扫描
Security Command Center 执行初始资源扫描,以识别项目、文件夹、文件、集群、身份和访问权限政策、注册的用户和其他资源的总数、位置和状态。此过程通常在几分钟内完成。
API 激活
发现资源时,Security Command Center 启用运行 Security Health Analytics、Event Threat Detection、Container Threat Detection 和 Web Security Scanner 所需的Google Cloud 部分。部分检测服务需要在受保护的项目上启用特定的 API 才能正常运行。
在项目级激活 Security Command Center 时,API 激活通常需要不到一分钟的时间。
在组织级激活时,Security Command Center 会遍历您选择进行扫描的所有项目,以启用必要的 API。
组织中的项目数量基本上决定了初始配置和启用流程的时间长度。由于必须逐一为项目激活 API,因此 API 激活是最耗时的任务,尤其是项目数量超过 10 万个的组织。
跨项目启用服务所需的时间是线性增长的。这表示在项目数量 3 万个的组织中启用服务和安全设置需要花费的时间是项目数量 1.5 万个的组织的两倍。
对于拥有 10 万个项目的组织,高级层级的初始配置和启用应在 5 小时内完成。具体时间可能会因多种因素而异,包括您使用的项目或容器数量,以及您选择启用的 Security Command Center 服务数量。
扫描延迟时间
设置 Security Command Center 时,您需要决定要启用哪些内置和集成服务,并选择 Google Cloud 资源以针对威胁和漏洞进行分析或扫描。为项目激活 API 时,选定的服务将开始扫描。这些扫描的持续时间还取决于组织中的项目数量。
初始扫描完成后,内置服务即可提供发现结果。服务会遇到延迟,如以下各部分所述。
- Agent Engine 威胁检测(预览版)有如下延迟:
- 新初始配置的项目或组织的激活延迟时间(最多 3.5 小时)。
- 检测延迟(分钟数)。
- Cloud Run 威胁检测有如下延迟:
- 新初始配置的项目或组织的激活延迟时间(最多 3.5 小时)。
- 检测延迟(分钟数)。
- Container Threat Detection 具有以下延迟时间:
- 新初始配置的项目或组织的激活延迟时间(最多 3.5 小时)。
- 新创建的集群的启用延迟时间(几分钟)。
- 已激活的集群中的威胁检测延迟时间(分钟数)。
对于内置检测器,Event Threat Detection 激活会在几秒内完成。对于新的或更新的自定义检测器,更改最多可能需要 15 分钟才能生效。在实践中,通常需要不到 5 分钟的时间。
对于内置检测器和自定义检测器,当 Security Command Center 中提供发现结果时,检测延迟时间通常低于 15 分钟(从写入日志后开始算起)。
Security Command Center 高级方案和企业方案层级的问题数据可能需要大约 6 个小时才能显示。
Security Command Center 高级方案和企业方案层级的安全图谱数据可能需要大约 2 个小时才能显示。
Security Health Analytics 扫描大约会在服务启用一小时后开始。第一次 Security Health Analytics 扫描可能需要长达 12 小时才能完成。之后,大多数检测会根据资源配置更改实时运行(如需详细了解例外情况,请参阅 Security Health Analytics 检测延迟时间。
对于新初始配置的组织,VM Threat Detection 的激活延迟时间最长为 48 小时。对于项目,激活延迟时间最长为 15 分钟。
在 AWS 账号中首次部署所需的 CloudFormation 模板后大约 15 分钟,Amazon Web Services (AWS) 漏洞评估便会开始扫描该账号中的资源。在 AWS 账号中检测到软件漏洞后,相应发现结果大约会在 10 分钟后在 Security Command Center 中显示。
完成扫描所需的时间取决于 EC2 实例的数量。通常,扫描单个 EC2 实例所需的时间不到 5 分钟。
在启用服务之后,Web Security Scanner 扫描可能需要长达 24 小时才能启动,并在首次扫描后每周运行。
Data Security Posture Management (DSPM)扫描在服务启用后最多可能需要 24 小时才能开始。
Security Command Center 会运行错误检测器,可检测与 Security Command Center 及其服务相关的配置错误。这些错误检测器默认处于启用状态,且无法停用。检测延迟时间会因具体错误检测器而异。如需了解详情,请参阅 Security Command Center 错误。
Security Command Center 的 IAM 角色可以在组织、文件夹或项目级层授予。您能否查看、修改、创建或更新发现结果、资产和安全来源,取决于您获授予的访问权限级别。如需详细了解 Security Command Center 角色,请参阅访问权限控制。
初步发现结果
在初始扫描过程中,但在初始配置流程完成之前,您可能会在 Google Cloud 控制台中看到一些发现结果。
初步发现结果准确且可作为行动依据,但并不全面。不推荐您在前 24 小时内使用这些发现结果进行合规性评估。
后续扫描
在组织或项目中进行的更改(例如移动资源或添加新文件夹和项目 [对于组织级层的激活])通常不会显著影响资源发现时间或扫描的运行时。但是,某些扫描按设置时间表进行,这些时间表决定了 Security Command Center 检测更改的速度。
- Agent Engine 威胁检测(预览版)使用 watcher 进程在代理工作负载运行时收集事件信息。watcher 进程最多可能需要一分钟才能启动并收集信息。
- Cloud Run 威胁检测使用 watcher 进程在 Cloud Run 工作负载的整个运行时长内收集容器和事件信息。watcher 进程最多可能需要一分钟才能启动并收集信息。
- Event Threat Detection 和 Container Threat Detection:这些服务在启用后便会实时运行,并立即在已启用项目中检测新资源或更改过的资源(例如集群、存储桶或日志)。
- Security Health Analytics:Security Health Analytics 在启用后便会实时运行,且在几分钟后便会检测新资源或更改过的资源(但稍后所列的检测除外)。
- VM Threat Detection:对于内存扫描,VM Threat Detection 会在创建实例后立即扫描每个虚拟机实例。此外,VM Threat Detection 每 30 分钟扫描一次各虚拟机实例。
- 对于加密货币挖矿检测,VM Threat Detection 会每天为每个进程、每个虚拟机生成一个发现结果。每个发现结果仅包含与该发现结果所识别的进程关联的威胁。如果 VM Threat Detection 发现威胁,但无法将其与任何进程相关联,则对于每个虚拟机,VM Threat Detection 会将所有未关联的威胁分组到一个发现结果中,该发现结果每 24 小时生成一次。对于任何存在时间超过 24 小时的威胁,VM Threat Detection 会每 24 小时生成一次新发现结果。
- 对于内核模式 rootkit 检测,VM Threat Detection 会每三天针对每个虚拟机、每个类别生成一个发现结果。
对于用于检测存在已知恶意软件的永久性磁盘扫描,VM Threat Detection 至少每天扫描每个虚拟机实例一次。
AWS 漏洞评估每天运行 3 次扫描。
完成扫描所需的时间取决于 EC2 实例的数量。通常,扫描单个 EC2 实例所需的时间不到 5 分钟。
在 AWS 账号中检测到软件漏洞后,相应发现结果大约会在 10 分钟后在 Security Command Center 中显示。
Web Security Scanner:Web Security Scanner 每周运行一次,在初始扫描的同一天运行。由于 Web Security Scanner 每周运行一次,因此它不会实时检测变化。如果您移动资源或更改应用,则可能长达一周都检测不到更改。您可以运行按需扫描,以在定时运行的扫描之间检查新资源或更改过的资源。
DSPM:DSPM 生成的发现结果会近乎实时地显示在 DSPM 信息中心内。
Security Command Center 错误检测器以批量模式定期运行。批量扫描频率会因具体错误检测器而异。如需了解详情,请参阅 Security Command Center 错误。
Security Health Analytics 检测延迟时间
在启用服务后以及相关资产的配置发生变化时,Security Health Analytics 检测会定期以批量模式运行。启用 Security Health Analytics 后,任何相关的资源配置更改都会导致更新后的错误配置发现结果。在某些情况下,更新可能会花费几分钟,具体取决于资产类型和更改。
某些 Security Health Analytics 检测器不支持实时扫描模式,例如,针对资源配置外部的信息运行检测。下表中所列的这些检测会定期运行,并在 12 小时内识别配置错误。如需详细了解 Security Health Analytics 检测器,请参阅漏洞和发现结果。
| 不支持实时扫描模式的 Security Health Analytics 检测 |
|---|
| COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
| MFA_NOT_ENFORCED(以前称为 2SV_NOT_ENFORCED) |
| OS_LOGIN_DISABLED |
| SQL_NO_ROOT_PASSWORD |
| SQL_WEAK_ROOT_PASSWORD |
攻击路径模拟
攻击路径模拟大约每六小时运行一次。随着您的Google Cloud 组织的大小或复杂性不断增加,间隔时间可能会增加。
首次激活 Security Command Center 时,攻击路径模拟会使用默认的高价值资源集,该资源集侧重于组织中发现的部分受支持资源类型。如需了解详情,请参阅支持的资源类型列表。
当您通过创建资源值配置开始定义自己的高价值资源集时,如果高价值资源集中的资源实例数远低于默认集,则您可能会看到模拟间隔时间缩短。