安全狀態分析總覽

安全性狀態分析是 Security Command Center 的代管服務，可掃描雲端環境中常見的錯誤設定，避免您遭受攻擊。

如果新啟用的 Security Command Center 採用 Standard-legacy、Premium 和 Enterprise 方案，系統會停用安全狀態分析。對於這類機構，請使用 Compliance Manager 掃描環境中的錯誤設定。

各層級適用的安全狀態分析功能

您可使用的安全狀態分析功能，取決於啟用 Security Command Center 的服務層級。如要查看各層級可用的發現項目，請參閱「安全狀態分析發現項目」。

Standard-legacy 級別功能

在 Standard-legacy 級別中，安全狀態分析只能偵測到一組基本的中等嚴重性和高嚴重性安全漏洞。

Standard 級功能

如果貴機構剛啟用「標準」層級 (也就是說，貴機構並非從「標準舊版」層級遷移)，則無法使用「安全狀態分析」。使用 Compliance Manager 的安全性基本架構和 安全漏洞評估 for Google Cloud 掃描環境，找出可能導致您遭受攻擊的設定錯誤和安全漏洞。

如果貴機構從 Standard 舊版層級遷移至 Standard 層級，下列「安全狀態分析」偵測器會遷移至「安全防護基本功能」架構中的 Compliance Manager 控制項：

• DATAPROC_IMAGE_OUTDATED
• LEGACY_AUTHORIZATION_ENABLED
• OPEN_CISCOSECURE_WEBSM_PORT
• OPEN_DIRECTORY_SERVICES_PORT
• OPEN_FIREWALL
• OPEN_RDP_PORT
• OPEN_SSH_PORT
• OPEN_TELNET_PORT
• PUBLIC_DATASET
• PUBLIC_IP_ADDRESS
• PUBLIC_SQL_INSTANCE
• SSL_NOT_ENFORCED
• WEB_UI_ENABLED

安全狀態分析已啟用，所有偵測工具會繼續產生發現項目，但由遷移偵測工具的安全狀態分析版本建立的發現項目會標示欄位值 ID：launch_state="LAUNCH_STATE_DEPRECATED"，且不會顯示在部分管理中心頁面。 Google Cloud

大多數 SHA 偵測工具都有對應的 Compliance Manager 控制項。詳情請參閱「安全狀態分析偵測工具與雲端控制項的對應關係」。

如要查看由遷移偵測工具建立的 Compliance Manager 版本發現項目，請使用下列項目：

• 「發現項目」頁面
• 「法規遵循」頁面 >「監控」分頁

如要查看遷移的偵測工具所產生的安全狀態分析發現項目，請使用下列項目：

• 「發現項目」頁面，然後從查詢中移除 launch_state="LAUNCH_STATE_DEPRECATED" 字詞。
• 舊版安全漏洞

下列偵測工具不會遷移至法規遵循管理員的 Security Essentials 架構：

• MFA_NOT_ENFORCED
• NON_ORG_IAM_MEMBER
• OPEN_GROUP_IAM_MEMBER
• PUBLIC_BUCKET_ACL
• PUBLIC_COMPUTE_IMAGE
• PUBLIC_LOG_BUCKET

如要啟用這些偵測工具，請依序前往「設定」>「安全狀態分析」>「模組」分頁。

如要查看這些安全狀態分析偵測工具建立的發現項目，請使用下列項目：

• 「發現項目」頁面

• 「風險總覽」>「所有風險」資訊主頁：

  • 「最常見的錯誤設定」面板
  • 「各日期的錯誤設定」面板

這些安全狀態分析偵測工具產生的發現項目不會顯示在「法規遵循」頁面。

Premium 級功能

如果貴機構剛啟用 Premium 級別 (也就是說，貴機構並未從 Standard 級別遷移)，則無法使用安全狀態分析，也無法啟用這項功能。對於這類機構，請使用 Compliance Manager 掃描環境中的錯誤設定。

如果進階級是從 Standard 級遷移而來，安全狀態分析會包含下列功能：

• Google Cloud的所有偵測工具，以及其他多項安全漏洞偵測功能，例如建立自訂偵測模組。
• 發現項目會對應至法規遵循控管機制，以利產生法規遵循報告。 詳情請參閱「偵測工具和法規遵循」。
• Security Command Center 攻擊路徑模擬功能會針對大多數安全狀態分析發現項目，計算遭受攻擊的風險分數和潛在攻擊路徑。詳情請參閱「受攻擊風險分數和攻擊路徑總覽」。

如果貴機構從 Standard 級別升級至 Premium 級別，請參閱「切換級別」，瞭解安全狀態分析偵測工具功能組合的變更。

Enterprise 級別功能

如果貴機構剛啟用企業版級別 (也就是說，貴機構並非從標準版級別遷移)，安全狀態分析就無法使用，也無法啟用。對於這類機構，請使用 Compliance Manager 掃描環境中的錯誤設定。

如果貴機構從 Standard 級別升級至 Enterprise 級別，請參閱「切換級別」，瞭解安全狀態分析偵測工具功能組合的異動。

切換等級

與 Standard-legacy 方案相比，進階和 Enterprise 方案的 Security Command Center 具有更多偵測工具。如果您使用 Premium 或 Enterprise 方案，並打算降級至 Standard 或 Standard-legacy 方案，建議您先解決所有發現事項，再變更方案。

如果 Premium 或 Enterprise 試用期結束，或是您從這些層級降級至 Standard 或 Standard-legacy 層級，系統會將較高層級產生的調查結果狀態設為 INACTIVE。

如果貴機構沒有 Security Command Center，且已自動啟用 Standard 級，然後您升級至 Premium 或 Enterprise 級，請在Compliance Manager中使用 Security Essentials 架構設定偵測功能。

如果貴機構從 Standard 舊版方案遷移至 Standard 方案，然後升級至 Premium 或 Enterprise 方案，安全狀態分析仍會處於部分啟用狀態。您無法啟用進階或企業層級的安全性狀態分析偵測器。您必須使用 Premium 和 Enterprise 方案提供的 Compliance Manager架構，才能設定偵測功能。

Premium 和 Enterprise 級別的大部分安全狀態分析偵測工具，都會移至 Compliance Manager 的 Security Essentials 架構。

如要進一步瞭解 Compliance Manager 架構和雲端控制項，請參閱「Compliance Manager 架構」。

如要瞭解安全狀態分析偵測工具如何對應至 Compliance Manager 雲端控制項，請參閱「安全狀態分析偵測工具與雲端控制項的對應關係」。

支援多雲端

安全狀態分析可偵測其他雲端平台部署作業中的錯誤設定。

安全狀態分析支援下列其他雲端服務供應商：

• Amazon Web Services (AWS)： 如要在 AWS 資料上執行偵測工具，您必須先將 Security Command Center 連線至 AWS，如「連線至 AWS 以收集設定和資源資料」一文所述。

• Microsoft Azure：如要在 Microsoft Azure 資料上執行偵測器，請先將 Security Command Center 連結至 Microsoft Azure，如「連結至 Microsoft Azure 以偵測安全漏洞及評估風險」一文所述。

支援的 Google Cloud 雲端服務

安全狀態分析管理式安全漏洞評估掃描功能可自動偵測下列服務中常見的安全漏洞和錯誤設定：� Google Cloud Google Cloud

• Cloud Monitoring 和 Cloud Logging
• Compute Engine
• Google Kubernetes Engine 容器和網路
• Cloud Storage
• Cloud SQL
• 身分與存取權管理 (IAM)
• Cloud Key Management Service (Cloud KMS)

安全狀態分析掃描類型

安全狀態分析掃描作業有三種模式：

• 批次掃描：系統會定期排定所有偵測器，針對所有已註冊的機構或專案執行掃描。

  如要瞭解掃描頻率，請參閱「安全狀態分析掃描延遲時間」。

• 即時掃描：僅適用於部署作業，只要偵測到資源設定有變更，支援的偵測器就會開始掃描。 Google Cloud 發現項目會寫入 Security Command Center。在其他雲端平台部署時，系統不支援即時掃描。

• 混合模式：部分支援即時掃描的偵測器可能無法即時偵測所有支援資源類型的變更。在這些情況下，系統會立即擷取部分資源類型的設定變更，其他變更則會透過批次掃描擷取。例外狀況會記錄在安全狀態分析發現項目表格中。

安全狀態分析只會以批次模式掃描其他雲端平台上的資源。

安全狀態分析掃描延遲時間

以下各節說明初始掃描作業產生結果的時間，以及後續掃描作業的頻率。

初始掃描

在 Premium 和 Enterprise 方案中，服務啟用後約一小時，系統就會開始進行初始掃描。首次安全狀態分析掃描最多可能需要 12 小時才能完成。

在 Security Command Center Standard 和 Standard-legacy 方案中，掃描作業每 48 小時執行一次，因此初始發現項目延遲時間可能為 72 小時。

在初始掃描期間，您可能會在 Google Cloud 控制台中看到一些發現項目，但此時加入程序尚未完成。初步發現結果準確且可做為行動依據，但並非全面性的結果。不建議在最初 24 小時內，使用這些發現進行法規遵循評估。

後續掃描

初始掃描後，系統會定期以批次模式執行偵測作業。

• 在 Premium 和 Enterprise 方案中，批次掃描每天都會執行。
• 在 Standard 和 Standard-legacy 層級，批次掃描每 48 小時執行一次。

偵測器可以批次模式、即時模式或混合模式執行。如要進一步瞭解這些模式，請參閱「安全狀態分析掃描類型」。

透過即時掃描，相關 Google Cloud 資源設定變更 可能會導致發現項目更新。視資產類型和變更內容而定，更新程序可能需要幾分鐘。如果偵測作業使用資源設定以外的資訊，偵測器可能就不支援即時掃描。

如要瞭解偵測工具是否支援即時掃描，請參閱「安全漏洞發現項目」的「安全狀態分析發現項目參考資料」部分中，偵測工具的「資產掃描設定」欄。

啟用安全狀態分析偵測工具

安全狀態分析會使用偵測工具，找出雲端環境中的安全漏洞和錯誤設定。每個偵測工具都對應到一個發現項目類別。

安全狀態分析內建許多偵測工具，可檢查大量類別和資源類型中的安全漏洞和錯誤設定。

如果是 Premium 和 Enterprise 服務層級，您也可以建立自己的自訂偵測器，檢查內建偵測器未涵蓋或特定於您環境的安全漏洞或錯誤設定。

如要進一步瞭解內建的「安全狀態分析」偵測工具，請參閱「安全狀態分析內建偵測工具」。

如要進一步瞭解如何建立及使用自訂模組，請參閱「安全狀態分析自訂模組」。

啟用及停用偵測工具

系統預設不會啟用所有安全狀態分析內建偵測工具。

如要啟用閒置的內建偵測器，請參閱「啟用及停用偵測器」。

如要啟用或停用安全狀態分析自訂偵測模組，可以使用 Google Cloud 控制台、gcloud CLI 或 Security Command Center API 更新自訂模組。

如要進一步瞭解如何更新安全狀態分析自訂模組，請參閱「更新自訂模組」。

內建偵測工具和專案層級啟用

如果只為專案啟用 Security Command Center，系統就不支援某些內建的安全狀態分析偵測工具，因為這些工具需要機構層級的權限。

如要啟用需要機構層級啟用的內建偵測器，請為機構啟用 Security Command Center 的 Standard 舊版方案，即可在專案層級啟用這些偵測器。

如果內建偵測工具需要進階級別和機構層級權限，則不支援專案層級啟用。

如要查看內建的 Standard 舊版層級偵測器清單，瞭解哪些偵測器必須先在機構層級啟用 Security Command Center Standard 舊版，才能在專案層級啟用，請參閱「機構層級的 Standard 方案發現項目類別」。

如需專案層級啟用功能不支援的內建進階級偵測工具清單，請參閱「不支援的 Security Health Analytics 發現項目」。

自訂模組偵測器和專案層級啟用

無論 Security Command Center 的啟用層級為何，在專案中建立的自訂模組偵測工具掃描作業，都僅限於專案範圍。自訂模組偵測器只能掃描建立所在專案可用的資源。

如要進一步瞭解自訂模組，請參閱「安全狀態分析自訂模組」。

安全狀態分析內建偵測工具

本節說明偵測器的頂層類別，並依雲端平台和產生的發現項目類別列出。

內建偵測工具，可依高階類別 Google Cloud

安全狀態分析的偵測工具和發現項目會依據下列高階類別分組。 Google Cloud

安全狀態分析偵測工具會監控 Cloud Asset Inventory 支援的部分資源類型。 Google Cloud

如要查看每個類別中包含的個別偵測器，請按一下類別名稱。

• API 金鑰安全漏洞調查結果
• 運算映像檔安全漏洞發現項目
• 運算執行個體安全漏洞發現項目
• 容器安全漏洞發現項目
• Managed Service for Apache Spark 安全漏洞發現項目
• 資料集安全漏洞發現項目
• DNS 安全漏洞發現項目
• 防火牆安全漏洞發現項目
• IAM 安全漏洞發現項目
• KMS 安全漏洞發現項目
• 記錄安全漏洞發現項目
• 監控安全漏洞發現項目
• 多重驗證安全漏洞調查結果
• 網路安全漏洞發現項目
• 機構政策安全漏洞發現項目
• Pub/Sub 安全漏洞發現項目
• SQL 安全漏洞發現結果
• 儲存空間安全漏洞發現項目
• 子網路安全漏洞發現項目

AWS 內建偵測工具

如要查看 AWS 的所有安全狀態分析偵測工具，請參閱「AWS 發現項目」。

安全狀態分析自訂模組

安全狀態分析自訂模組是Google Cloud 的自訂偵測工具，可擴充安全狀態分析的偵測功能，超出內建偵測工具提供的範圍。

其他雲端平台不支援自訂模組。

您可以使用Google Cloud 控制台中的導覽式工作流程建立自訂模組，也可以在 YAML 檔案中自行建立自訂模組定義，然後使用 Google Cloud CLI 指令或 Security Command Center API 上傳至 Security Command Center。

詳情請參閱「安全狀態分析自訂模組總覽」。

偵測工具和法規遵循

Security Command Center 對安全基準法規遵循情形的評估，主要是根據安全狀態分析安全漏洞偵測工具產生的發現項目。

安全狀態分析會監控您是否符合與各種安全標準控制項對應的偵測工具。

針對每個支援的安全標準，安全狀態分析會檢查部分控管措施。Security Command Center 會顯示通過檢查的控管機制數量。對於未通過的控管措施，Security Command Center 會顯示說明控管措施失敗的發現項目清單。

CIS 會審查並認證安全狀態分析偵測工具與各個支援版本的 CIS 基礎基準的對應關係。 Google Cloud 額外的法規遵循對應僅供參考。

安全性狀態分析會定期新增支援的基準版本和標準。舊版仍會受到支援，但最終會遭到淘汰。建議您使用支援的最新基準或標準。

透過資安態勢服務，您可以將組織政策和安全狀態分析偵測工具，對應至適用於貴商家的標準和控管措施。建立安全狀態後，您可以監控環境中的任何變更，以免影響貴商家的法規遵循狀態。

透過Compliance Manager，您可以部署框架，將法規控管措施對應至雲端控管措施。建立架構後，您可以監控環境中可能影響商家法規遵循情況的任何變更，並稽核環境。

如要進一步瞭解如何管理法規遵循情形，請參閱「評估及回報安全性標準的法規遵循情形」。

支援的安全標準

Google Cloud

安全狀態分析會將 Google Cloud 的偵測工具對應至下列一或多項法規遵循標準：

• Center for Information Security (CIS) Controls 8.0
• CIS Google Cloud 運算基礎基準 2.0.0 版、1.3.0 版、1.2.0 版、1.1.0 版和 1.0.0 版
• CIS Kubernetes 基準政策 v1.5.1
• Cloud Controls Matrix (CCM) 4
• 《健康保險流通與責任法案》(HIPAA)
• 國際標準化組織 (ISO) 27001 (2022 年和 2013 年版)
• 美國國家標準暨技術研究院 (NIST) 800-53 R5 和 R4
• 美國國家標準暨技術研究院 (NIST) 網路安全架構 (CSF) 1.0 版
• Open Web Application Security Project (OWASP) 前十大安全漏洞 (2021 年和 2017 年)
• 付款卡產業資料安全標準 (PCI DSS) 4.0 和 3.2.1 版
• 系統與組織控管 (SOC) 2 2017 年信任服務準則 (TSC)

AWS

在 Enterprise 服務層級中，安全狀態分析會將 Amazon Web Services (AWS) 的偵測工具對應至下列一或多項法規遵循標準：

• CIS Amazon Web Services Foundations 2.0.0
• CIS Critical Security Controls 8.0 版
• Cloud Controls Matrix (CCM) 4
• 《健康保險流通與責任法案》(HIPAA)
• 國際標準化組織 (ISO) 27001:2022
• 美國國家標準暨技術研究院 (NIST) 800-53 R5
• 美國國家標準暨技術研究院 (NIST) 網路安全架構 (CSF) 1.0
• 付款卡產業資料安全標準 (PCI DSS) 4.0 和 3.2.1 版
• 系統與組織控管 (SOC) 2 2017 年信任服務準則 (TSC)

如要進一步瞭解法規遵循，請參閱「評估及回報安全性基準法規遵循情形」。