安全狀態分析總覽

安全性狀態分析是 Security Command Center 的代管服務，可掃描雲端環境中常見的錯誤設定，避免您遭受攻擊。

在 Standard-legacy、Premium 和 Enterprise 方案中，如果啟用 Security Command Center，系統會自動啟用安全性狀態分析。

各層級適用的安全狀態分析功能

您可使用的安全狀態分析功能，取決於啟用 Security Command Center 時的服務層級。如要查看各層級可用的發現項目，請參閱「安全性狀態分析發現項目」。

Standard-legacy 級別功能

在 Standard-legacy 級別中，安全狀態分析只能偵測到一組基本的中等嚴重性和高嚴重性安全漏洞。

Standard 級功能

如果貴機構剛啟用「標準」層級 (也就是說，貴機構並非從「標準舊版」層級遷移)，則無法使用「安全性健康分析」。使用 Compliance Manager 的安全防護基本架構和 Vulnerability Assessment for Google Cloud 掃描環境，找出可能導致您遭受攻擊的設定錯誤和安全漏洞。

如果貴機構從 Standard 舊版層級遷移至 Standard 層級，下列安全性狀態分析偵測器會遷移至「安全防護基本功能」架構中的「法規遵循管理員」控管措施：

• DATAPROC_IMAGE_OUTDATED
• LEGACY_AUTHORIZATION_ENABLED
• OPEN_CISCOSECURE_WEBSM_PORT
• OPEN_DIRECTORY_SERVICES_PORT
• OPEN_FIREWALL
• OPEN_RDP_PORT
• OPEN_SSH_PORT
• OPEN_TELNET_PORT
• PUBLIC_DATASET
• PUBLIC_IP_ADDRESS
• PUBLIC_SQL_INSTANCE
• SSL_NOT_ENFORCED
• WEB_UI_ENABLED

安全狀態分析已啟用，所有偵測工具會繼續產生發現項目，但由遷移偵測工具的安全狀態分析版本建立的發現項目會標示欄位值 ID：launch_state="LAUNCH_STATE_DEPRECATED"，且不會顯示在部分管理中心頁面。 Google Cloud

大多數 SHA 偵測工具都有對應的法規遵循管理工具控制項。詳情請參閱「安全狀態分析偵測工具與雲端控制項的對應關係」。

如要查看由遷移偵測器建立的法規遵循管理工具版本調查結果，請使用下列項目：

• 「發現項目」頁面
• 「法規遵循」頁面 >「監控」分頁

如要查看遷移的偵測工具所產生的安全狀態分析發現項目，請使用下列項目：

• 「發現項目」頁面，然後從查詢中移除 launch_state="LAUNCH_STATE_DEPRECATED" 字詞。
• 舊版安全漏洞

下列偵測器不會遷移至法規遵循管理員的 Security Essentials 架構：

• MFA_NOT_ENFORCED
• NON_ORG_IAM_MEMBER
• OPEN_GROUP_IAM_MEMBER
• PUBLIC_BUCKET_ACL
• PUBLIC_COMPUTE_IMAGE
• PUBLIC_LOG_BUCKET

如要啟用這些偵測器，請依序前往「設定」>「安全性健康分析」>「模組」分頁。

如要查看這些 Security Health Analytics 偵測工具建立的發現項目，請使用下列方法：

• 「發現項目」頁面

• 「風險總覽」>「所有風險」資訊主頁：

  • 「最常見的錯誤設定」面板
  • 「各日期的錯誤設定」面板

這些安全狀態分析偵測工具產生的發現項目不會顯示在「法規遵循」頁面。

Premium 級功能

如果貴機構剛啟用 Premium 級別，也就是說機構並未從 Standard 級別遷移，安全性狀態分析會包含下列功能：

• Google Cloud的所有偵測工具，以及其他多項安全漏洞偵測功能，例如建立自訂偵測模組。
• 發現項目會對應至法規遵循控制選項，以產生法規遵循報告。 詳情請參閱「偵測工具和法規遵循」。
• Security Command Center 攻擊路徑模擬功能會針對大多數安全性狀態分析發現項目，計算遭受攻擊的風險分數和潛在攻擊路徑。詳情請參閱「受攻擊風險分數和攻擊路徑總覽」。

如果貴機構從 Standard 級升級至 Premium 級，請參閱「切換級別」，瞭解安全性狀態分析偵測工具功能組合的變更。

企業級方案功能

如果貴機構是新啟用 Enterprise 級別，也就是說機構並未從 Standard 級別遷移，安全狀態分析會包含所有 Premium 級別功能，以及其他雲端服務供應商平台的偵測器。

如果貴機構從 Standard 級別升級至 Premium 級別，請參閱「切換級別」，瞭解安全性狀態分析偵測工具功能組合的異動。

切換等級

與 Standard 舊版方案相比，進階和 Enterprise 方案的 Security Command Center 具有更多偵測工具。如果您使用 Premium 或 Enterprise 方案，並打算降級至 Standard 或 Standard-legacy 方案，建議您先解決所有發現事項，再變更方案。

當 Premium 或 Enterprise 試用期結束，或是您從這些層級降級至 Standard 或 Standard 舊版層級時，系統會將較高層級產生的調查結果狀態設為 INACTIVE。

如果貴機構沒有 Security Command Center，且已自動啟用 Standard 級，然後您升級至 Premium 或 Enterprise 級，請在法規遵循管理員中使用 Security Essentials 架構設定偵測功能。

如果貴機構從 Standard 舊版級別遷移至 Standard 級別，然後升級至 Premium 或 Enterprise 級別，您就無法啟用 Premium 或 Enterprise 級別的 Security Health Analytics 偵測器。使用 Premium 和 Enterprise 方案提供的法規遵循管理工具架構，設定偵測功能。

Premium 和 Enterprise 級中的大部分安全狀態分析偵測工具，都會移至法規遵循管理員的 Security Essentials 架構。

如要進一步瞭解 Compliance Manager 架構和雲端控制項，請參閱「Compliance Manager 架構」。

如要瞭解安全狀態分析偵測工具如何對應至法規遵循管理工具雲端控制項，請參閱「安全狀態分析偵測工具與雲端控制項的對應關係」。

支援多雲端

安全狀態分析可偵測其他雲端平台部署作業中的錯誤設定。

Security Health Analytics 支援下列其他雲端服務供應商：

• Amazon Web Services (AWS)： 如要在 AWS 資料上執行偵測器，您必須先將 Security Command Center 連線至 AWS，如「連線至 AWS 以收集設定和資源資料」一文所述。

• Microsoft Azure：如要在 Microsoft Azure 資料上執行偵測器，請先將 Security Command Center 連結至 Microsoft Azure，如「連結至 Microsoft Azure 以偵測安全漏洞及評估風險」一文所述。

支援的 Google Cloud 雲端服務

安全狀態分析管理式安全漏洞評估掃描功能可自動偵測下列服務中常見的安全漏洞和錯誤設定：� Google Cloud Google Cloud

• Cloud Monitoring 和 Cloud Logging
• Compute Engine
• Google Kubernetes Engine 容器和網路
• Cloud Storage
• Cloud SQL
• 身分與存取權管理 (IAM)
• Cloud Key Management Service (Cloud KMS)

安全狀態分析掃描類型

安全狀態分析掃描作業有三種模式：

• 批次掃描：系統會排定所有偵測器，每天為所有已註冊的機構或專案執行一次掃描。如果是 Security Command Center Standard 舊版，擷取掃描作業每 48 小時執行一次，因此發現項目更新延遲時間可能長達 72 小時。

• 即時掃描：僅適用於部署作業，只要偵測到資源設定有變更，支援的偵測器就會開始掃描。 Google Cloud 發現項目會寫入 Security Command Center。在其他雲端平台部署時，系統不支援即時掃描。

• 混合模式：部分支援即時掃描的偵測器可能無法即時偵測所有支援資源類型的變更。在這些情況下，系統會立即擷取部分資源類型的設定變更，其他變更則會透過批次掃描擷取。例外狀況會記錄在安全性狀態分析發現項目表格中。

啟用安全狀態分析偵測工具

安全狀態分析會使用偵測工具，找出雲端環境中的安全漏洞和錯誤設定。每個偵測工具都對應到一個發現項目類別。

安全狀態分析內建許多偵測工具，可檢查大量類別和資源類型中的安全漏洞和錯誤設定。

如果是 Premium 和 Enterprise 服務層級，您也可以建立自己的自訂偵測器，檢查內建偵測器未涵蓋或特定於您環境的安全漏洞或錯誤設定。

如要進一步瞭解內建的 Security Health Analytics 偵測工具，請參閱「Security Health Analytics 內建偵測工具」。

如要進一步瞭解如何建立及使用自訂模組，請參閱「安全性狀態分析自訂模組」。

啟用及停用偵測工具

系統預設不會啟用所有安全狀態分析內建偵測工具。

如要啟用閒置的內建偵測器，請參閱「啟用及停用偵測器」。

如要啟用或停用 Security Health Analytics 自訂偵測模組，可以使用 Google Cloud 控制台、gcloud CLI 或 Security Command Center API 更新自訂模組。

如要進一步瞭解如何更新安全狀態分析自訂模組，請參閱「更新自訂模組」。

內建偵測器和專案層級啟用

如果只為專案啟用 Security Command Center，系統就不支援某些內建的安全狀態分析偵測工具，因為這些工具需要機構層級的權限。

如要啟用需要機構層級啟用的內建偵測器，請為機構啟用 Standard 舊版方案，即可在專案層級啟用 Security Command Center Standard 舊版方案提供的偵測器。

如果內建偵測工具需要進階級別和機構層級權限，則不支援專案層級啟用。

如要查看內建的 Standard 舊版層級偵測器清單，瞭解哪些偵測器必須先在機構層級啟用 Security Command Center Standard 舊版，才能在專案層級啟用，請參閱「機構層級的 Standard 方案發現項目類別」。

如需專案層級啟用作業不支援的內建 Premium 級偵測工具清單，請參閱「不支援的 Security Health Analytics 發現項目」。

自訂模組偵測器和專案層級啟用

無論 Security Command Center 的啟用層級為何，在專案中建立的自訂模組偵測工具掃描作業，都僅限於專案範圍。自訂模組偵測工具只能掃描建立所在專案可用的資源。

如要進一步瞭解自訂模組，請參閱「安全狀態分析自訂模組」。

安全狀態分析內建偵測工具

本節說明偵測器的頂層類別，並依雲端平台和產生的發現項目類別列出。

內建 Google Cloud 高階類別的偵測器

安全性狀態分析的偵測工具和發現項目會依據下列高階類別分組。 Google Cloud

安全性狀態分析偵測工具會監控 Cloud Asset Inventory 支援的部分資源類型。 Google Cloud

如要查看每個類別中包含的個別偵測器，請按一下類別名稱。

• API 金鑰安全漏洞調查結果
• 運算映像檔安全漏洞發現項目
• 運算執行個體安全漏洞發現項目
• 容器安全漏洞發現項目
• Dataproc 安全漏洞發現項目
• 資料集安全漏洞發現項目
• DNS 安全漏洞發現項目
• 防火牆安全漏洞發現項目
• IAM 安全漏洞發現項目
• KMS 安全漏洞發現項目
• 記錄安全漏洞發現項目
• 監控安全漏洞發現項目
• 多重驗證安全漏洞調查結果
• 網路安全漏洞發現項目
• 組織政策安全漏洞發現項目
• Pub/Sub 安全性弱點發現結果
• SQL 安全漏洞發現結果
• 儲存空間安全漏洞發現項目
• 子網路安全漏洞發現項目

AWS 內建偵測工具

如要查看 AWS 的所有安全狀態分析偵測工具，請參閱「AWS 發現項目」。

安全狀態分析自訂模組

安全狀態分析自訂模組是Google Cloud 的自訂偵測工具，可擴充安全狀態分析的偵測功能，超出內建偵測工具提供的範圍。

其他雲端平台不支援自訂模組。

您可以使用Google Cloud 控制台中的導覽式工作流程建立自訂模組，也可以在 YAML 檔案中自行建立自訂模組定義，然後使用 Google Cloud CLI 指令或 Security Command Center API 上傳至 Security Command Center。

詳情請參閱「安全狀態分析自訂模組總覽」。

偵測工具和法規遵循

Security Command Center 對安全基準法規遵循情形的評估，主要是根據 Security Health Analytics 漏洞偵測工具產生的發現項目。

安全性狀態分析會監控您是否符合與各種安全標準控制項對應的偵測工具。

針對每個支援的安全標準，Security Health Analytics 會檢查部分控管措施。Security Command Center 會顯示通過檢查的控管機制數量。對於未通過的控管措施，Security Command Center 會顯示說明控管措施失敗的發現項目清單。

CIS 會審查並認證安全狀態分析偵測工具與各個支援版本的 CIS 基礎基準的對應關係。 Google Cloud 額外的法規遵循對應僅供參考。

Security Health Analytics 會定期新增支援的基準版本和標準。舊版仍會受到支援，但最終會遭到淘汰。建議您使用支援的最新基準或標準。

透過安全狀態服務，您可以將機構政策和安全狀態分析偵測工具，對應至適用於貴商家的標準和控制項。建立安全狀態後，您可以監控環境中的任何變更，以免影響貴商家的法規遵循狀態。

透過法規遵循管理員，您可以部署框架，將法規控管措施對應至雲端控管措施。建立架構後，您可以監控環境的任何變更，這些變更可能會影響貴商家的法規遵循情形，並稽核您的環境。

如要進一步瞭解如何管理法規遵循情形，請參閱「評估及回報安全性標準的法規遵循情形」。

支援的安全標準

Google Cloud

安全狀態分析會將 Google Cloud 的偵測工具對應至下列一或多項法規遵循標準：

• Center for Information Security (CIS) Controls 8.0
• CIS Google Cloud 運算基礎基準 2.0.0 版、1.3.0 版、1.2.0 版、1.1.0 版和 1.0.0 版
• CIS Kubernetes 基準政策 v1.5.1
• Cloud Controls Matrix (CCM) 4
• 《健康保險流通與責任法案》(HIPAA)
• 國際標準化組織 (ISO) 27001 (2022 年和 2013 年版)
• 美國國家標準暨技術研究院 (NIST) 800-53 R5 和 R4
• 美國國家標準暨技術研究院 (NIST) 網路安全架構 (CSF) 1.0 版
• Open Web Application Security Project (OWASP) 前十大安全漏洞 (2021 年和 2017 年)
• 支付卡產業資料安全標準 (PCI DSS) 4.0 和 3.2.1 版
• 系統與組織控管 (SOC) 2 2017 年信任服務準則 (TSC)

AWS

在 Enterprise 服務層級中，安全狀態分析會將 Amazon Web Services (AWS) 的偵測工具對應至下列一或多項法規遵循標準：

• CIS Amazon Web Services Foundations 2.0.0
• CIS Critical Security Controls 8.0 版
• Cloud Controls Matrix (CCM) 4
• 《健康保險流通與責任法案》(HIPAA)
• 國際標準化組織 (ISO) 27001:2022
• 美國國家標準暨技術研究院 (NIST) 800-53 R5
• 美國國家標準暨技術研究院 (NIST) 網路安全架構 (CSF) 1.0
• 支付卡產業資料安全標準 (PCI DSS) 4.0 和 3.2.1 版
• 系統與組織控管 (SOC) 2 2017 年信任服務準則 (TSC)

如要進一步瞭解法規遵循，請參閱「評估及回報安全性基準法規遵循情形」。