本页概述了 Google Cloud 控制台中的 Security Command Center,介绍了导航,并简要介绍了顶级页面。
如果您尚未设置 Security Command Center,请参阅以下内容之一,了解如何激活它:
- 如需激活标准方案或高级方案,请参阅激活 Security Command Center 概览。
- 如需激活企业方案层级,请参阅激活 Security Command Center 企业方案层级。
如需大致了解 Security Command Center,请参阅 Security Command Center 概览。
必需的 IAM 权限
如需使用所有服务层级的 Security Command Center,您必须拥有具备适当权限的 Identity and Access Management (IAM) 角色:
标准
- Security Center Admin Viewer (
roles/securitycenter.adminViewer) 可让您查看 Security Command Center。 - Security Center Admin Editor (
roles/securitycenter.adminEditor) 可让您查看 Security Command Center 并进行更改。
高级
- Security Center Admin Viewer (
roles/securitycenter.adminViewer) 可让您查看 Security Command Center。 - Security Center Admin Editor (
roles/securitycenter.adminEditor) 可让您查看 Security Command Center 并进行更改。
企业
- Security Center Admin Viewer (
roles/securitycenter.adminViewer) 可让您查看 Security Command Center。 - Security Center Admin Editor (
roles/securitycenter.adminEditor) 可让您查看 Security Command Center 并进行更改。 - Chronicle Service Viewer (
roles/chroniclesm.viewer) 可让您查看关联的 Google SecOps 实例。
您还需要拥有以下任一 IAM 角色:
- Chronicle SOAR Admin (
roles/chronicle.soarAdmin) - Chronicle SOAR Threat Manager (
roles/chronicle.soarThreatManager) - Chronicle SOAR Vulnerability Manager
(
roles/chronicle.soarVulnerabilityManager)
如需启用对 SOAR 相关功能的访问权限,您还必须在设置 > SOAR 设置页面上将这些 Identity and Access Management 角色映射到 SOC 角色、权限组和环境。如需了解详情,请参阅使用 IAM 映射和授权用户。
如果您的组织政策设置为按网域限制身份,您必须登录允许的网域中的账号 Google Cloud 控制台。
Security Command Center 的 IAM 角色可以在组织、文件夹或项目级层授予。您能否查看、修改、创建或更新发现结果、资产和安全来源,取决于您获授予的访问权限级别。如需详细了解 Security Command Center 角色,请参阅访问权限控制。
访问 Security Command Center
如需在 Google Cloud 控制台中访问 Security Command Center,请执行以下操作:
进入 Security Command Center:
如果启用了数据驻留,并且您的组织使用管辖区级 Google Cloud 控制台,请参阅管辖区级 Google Cloud 控制台简介。
选择要查看的项目或组织。
如果您选择的组织或项目中已激活 Security Command Center,则系统会显示风险概览页面。
如果 Security Command Center 未处于活跃状态,系统会邀请您激活它。如需详细了解如何激活 Security Command Center,请参阅以下页面之一:
- 标准方案或高级方案:Security Command Center 激活概览。
- 企业方案:激活 Security Command Center 企业方案层级。
Security Command Center 导航
下文介绍了 Security Command Center 中的导航菜单。导航方式因您的 Security Command Center 服务层级而异。您可以执行的任务还取决于已启用的服务以及您获得的 IAM 权限。
点击链接即可查看相应页面的说明。
标准
下文介绍了 Security Command Center 标准版中的导航。
高级
下文介绍了 Security Command Center 高级方案中的导航。
企业
Security Command Center Enterprise 左侧导航栏包含指向 Google Security Operations 租户中相应页面的链接,该租户是在 Security Command Center Enterprise 激活期间配置的。
此外,在 Security Command Center Enterprise 激活期间配置的 Google Security Operations 租户包含指向部分 Google Cloud 控制台页面的链接。
如需了解 Google Security Operations 中提供的功能,请参阅 Security Command Center Enterprise 链接到 Security Operations 控制台。
风险概览
风险概览页面是您首次接触到的安全信息中心,突出显示了所有内置服务和集成服务在云环境中发现的高优先级风险。
风险概览页面上的视图因服务层级而异。
标准
风险概览页面包含以下面板:
- 按资源类型统计的漏洞数是一种图形显示,用于显示项目或组织中资源的活跃漏洞。
- 活跃漏洞提供按类别名称、受影响资源和项目分类的漏洞发现结果的标签页式视图。您可以按发现结果严重级别对每个视图进行排序。
高级
如需详细了解每个调查视图,请选择以下视图之一:
企业版
如需详细了解每个调查视图,请选择以下视图之一:
资产
资产页面详细显示您的项目或组织中的所有 Google Cloud资源(也称为资产)。
如需详细了解如何在资源页面上使用资源,请参阅在控制台中使用资源。
合规性
默认情况下,当您激活 Security Command Center 时,合规性页面会显示监控标签页。此标签页会显示 Security Command Center 使用 Security Health Analytics 支持的所有监管框架以及通过的基准控制项所占的百分比。
在监控标签页中,您可以查看每个监管框架,并详细了解 Security Health Analytics 检查的监管控制项、在每个控制项中检测到的违规次数,以及用于导出相应监管框架的合规性报告的选项。
Security Health Analytics 漏洞扫描程序会根据 Google 提供的“尽力而为”的映射,监控常见合规性控制项中的违规行为。Security Health Analytics 合规性报告不能替代合规性审核,但可帮助您保持合规性状态并尽早发现违规行为。
为 Security Command Center Enterprise 启用合规管理器后,合规性页面会显示以下额外的标签页:配置、监控(预览版)和审核(预览版)。通过这些标签页,您可以创建和应用云控制措施和框架、监控环境以及完成审核。
如需详细了解如何在未启用合规管理器的情况下使用 Security Command Center 进行合规管理,请参阅管理合规性。
发现结果
在发现结果页面上,您可以查询、查看、忽略和标记 Security Command Center 发现结果,即 Security Command Center 服务在您的环境中检测到安全问题时创建的记录。如需详细了解如何在发现结果页面上处理发现结果,请参阅查看和管理发现结果。
问题
问题是指 Security Command Center Enterprise 在您的云环境中发现的最重要的安全风险,该页面让您有机会对漏洞和威胁做出快速响应。Security Command Center 通过虚拟红队测试和基于规则的检测来发现问题。如需了解如何调查问题,请参阅问题概览。
安全状况管理
在安全状况页面上,您可以查看组织中创建的安全状况的详细信息,并将这些状况应用于组织、文件夹或项目。您还可以查看可用的预定义安全状况模板。
SCC 设置
在 Security Command Center Enterprise 中,您可以通过导航栏中的 SCC 设置链接打开设置页面。在 Security Command Center 标准版和高级版中,您可以通过标题中的设置链接打开该页面。
您可以在设置页面中配置 Security Command Center,包括以下方面:
SCC 设置指南
您可以在设置指南页面上激活 Security Command Center Enterprise 并配置其他服务。如需了解详情,请参阅激活 Security Command Center Enterprise 层级。
来源
来源页面包含一些卡片,其中汇总了您已启用的安全来源中的资源和发现结果。每个安全来源的卡片都会显示来自该来源的部分发现结果。您可以点击发现结果类别名称以查看此类别中的所有发现结果。
发现结果(按来源)
按来源列出的发现结果卡片显示您已启用安全来源提供的每种发现结果的数量。
- 要查看来自特定来源的发现结果的详细信息,请点击相应来源的名称。
- 要查看所有发现结果的详细信息,请点击发现结果页面,您可以在其中对发现结果进行分组或查看个别发现结果的详细信息。
来源摘要
按来源列出的发现结果卡片下面会显示您启用的所有内置、集成和第三方来源的单独卡片。每张卡片会提供相应来源的有效发现结果数量。
威胁
威胁是指云资源中可能有害的事件。Security Command Center 会以不同的视图显示威胁,具体取决于您的服务层级。
标准
Security Command Center 标准版不支持威胁页面。 您可以在发现结果页面上查看威胁发现结果。
高级
在 Security Command Center 高级方案中,点击威胁导航链接会打开风险概览 > “威胁”信息中心。
企业版
对于 Security Command Center 企业方案,您可以在风险概览 > “威胁”信息中心内查看威胁。
旧版“漏洞”页面
旧版漏洞页面列出了 Security Command Center 的内置检测服务在您的云环境中运行的所有配置错误和软件漏洞发现结果。对于列出的每个检测器,系统都会显示有效发现结果的数量。
如需在 Security Command Center 中查看漏洞页面,请执行以下操作:
标准
在 Google Cloud 控制台中,前往漏洞页面。
高级
在 Google Cloud 控制台中,前往风险概览页面。
在风险概览页面上,点击漏洞。
在漏洞信息中心内,点击前往旧版页面。
企业版
在 Google Cloud 控制台中,前往风险概览页面。
在风险概览页面上,点击漏洞。
在漏洞信息中心内,点击前往旧版页面。
漏洞检测服务
漏洞页面列出了以下 Security Command Center 内置检测服务的检测器:
- Notebook Security Scanner(预览版)
- Security Health Analytics
- Amazon Web Services (AWS) 漏洞评估
- Web Security Scanner
与 Security Command Center 集成的其他 Google Cloud 服务也会检测软件漏洞和配置错误。其中一部分服务的发现结果也会显示在漏洞页面上。如需详细了解在 Security Command Center 中生成漏洞发现结果的服务,请参阅检测服务。
有关漏洞检测器类别的信息
对于每个配置错误或软件漏洞检测器,漏洞页面会显示以下信息:
- 状态:图标表示检测器是否处于活动状态,以及检测器是否发现需要处理的发现结果。将指针悬停在状态图标上时,工具提示会出现并显示检测器找到结果的日期和时间,或显示有关如何验证建议的信息。
- 上次扫描时间:检测器最近一次扫描的日期和时间。
- 类别:漏洞的类别或类型。如需查看每项 Security Command Center 服务检测到的类别列表,请参阅以下内容:
建议:有关如何处理发现结果的摘要。详情请参阅以下内容:
有效:类别中的发现结果总数。
标准:发现结果类别适用的合规性基准(如果有)。如需详细了解基准,请参阅漏洞发现结果。
过滤漏洞发现结果
大型组织在其部署过程中可能有很多漏洞发现结果,以进行审核、分类和跟踪。通过使用 Google Cloud 控制台中的 Security Command Center 漏洞和发现结果页面上提供的过滤条件,您可以专注于整个组织内最严重的漏洞,并按资产类型、项目等审核漏洞。
如需详细了解如何过滤漏洞发现结果,请参阅在 Security Command Center 中过滤漏洞发现结果。
Security Command Center Enterprise 链接到安全运维控制台
Security Command Center Enterprise 层级包含 Google Cloud 控制台页面及安全运维控制台页面中提供的功能。
您可以登录 Google Cloud 控制台,然后通过 Google Cloud 控制台导航栏前往安全运维控制台页面。本部分介绍了您可以在每个页面上执行的任务,以及用于打开安全运维控制台页面的导航链接。
Google Cloud 控制台页面
您可以在 Google Cloud 控制台页面中执行以下任务:
- 激活 Security Command Center。
- 为所有 Security Command Center 用户设置 Identity and Access Management (IAM) 权限。
- 连接到其他云环境以收集资源和配置数据。
- 处理和导出发现结果。
- 使用攻击风险得分评估风险。
- 处理问题,即 Security Command Center Enterprise 在您的云环境中发现的最重要的安全风险。
- 使用 Sensitive Data Protection 识别高敏感度数据。
- 调查并修正各项发现结果。
- 配置 Security Health Analytics、Web Security Scanner 及其他与 Google Cloud相集成的服务。
- 管理安全状况。
- 配置云控制措施和框架。
- 管理数据安全状况。
- 评估并报告您在常见安全标准或基准方面的合规情况。
- 查看和搜索 Google Cloud 资产。
下图显示了Google Cloud 控制台中的 Security Command Center 内容。
安全运维控制台页面
您可以在安全运维控制台页面上执行以下任务:
- 连接到其他云环境,以通过安全信息和事件管理 (SIEM) 中的精选检测收集相关日志数据。
- 配置安全编排、自动化和响应 (SOAR) 设置。
- 为突发事件和案例管理配置用户和群组。
- 处理各项案例,包括对发现结果进行分组、分配工单和处理提醒。
- 使用称为“playbook”的自动化步骤序列来解决问题。
- 使用工作桌来管理待处理的操作和任务(来自待处理案例和 playbook)。
下图显示了安全运维控制台。
安全运维控制台页面的网址格式如下所示。
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
其中,CUSTOMER_SUBDOMAIN 是您的客户专用标识符。
提醒和 IOC
您可以在此安全运维控制台页面中查看由精选检测和自定义规则创建的提醒。如需了解如何调查提醒,请参阅 Google Security Operations 文档中的以下内容:
支持请求
在 Security Operations 控制台中,您可以使用案例来获取有关发现结果的详细信息、将 playbook 附加到发现结果提醒、应用自动威胁响应,以及跟踪安全问题的修复情况。
如需了解详情,请参阅 Google Security Operations 文档中的“案例”概览。
策略方案
您可以在此安全运维控制台页面上管理 SCC Enterprise - 云端编排和修复应用场景中包含的 playbook。
如需了解此应用场景中可用的集成,请参阅 Security Command Center 服务层级。
如需了解可用的 playbook,请参阅更新 Enterprise 应用场景。
如需了解如何使用安全运维控制台的 Playbook 页面,请参阅 Google Security Operations 文档中的“Playbook”页面上显示的内容。
规则和检测
您可以在此安全运维控制台页面中启用精选检测功能,并创建自定义规则,以识别通过安全运维控制台提供的日志数据收集机制收集的数据中的模式。如需了解 Security Command Center Enterprise 提供的精选检测功能,请参阅使用精选检测功能调查威胁。
SIEM 信息中心
您可以在此安全运维控制台页面中查看 Google Security Operations SIEM 信息中心,以分析由 Google Security Operations 规则创建的提醒,以及通过安全运维控制台的日志数据收集功能收集的数据。
如需详细了解如何使用 SIEM 信息中心,请参阅 Google Security Operations 文档中的信息中心概览。
SIEM 搜索
您可以在此安全运维控制台页面中查找 Google Security Operations 实例中的统一数据模型 (UDM) 事件及提醒。如需了解详情,请参阅 Google Security Operations 文档中的 SIEM 搜索。
SIEM 设置
您可以在此安全运维控制台页面中更改与 Google Security Operations SIEM 相关的各项功能的配置。如需了解如何使用这些功能,请参阅 Google Security Operations 文档。
SOAR 信息中心
您可以在此安全运维控制台页面中查看和创建使用 SOAR 数据的信息中心,以通过这些数据分析响应和案例。如需详细了解如何使用 SOAR 信息中心,请参阅 Google Security Operations 文档中的 SOAR 信息中心概览。
SOAR 报告
您可以在此安全运维控制台页面上查看基于 SOAR 数据的报告。如需详细了解如何使用 SOAR 报告,请参阅 Google Security Operations 文档中的了解 SOAR 报告。
SOAR 搜索
您可以在此安全运维控制台页面中查找由 Google Security Operations SOAR 编入索引的特定案例或实体。如需了解详情,请参阅 Google Security Operations 文档中的在 SOAR 中使用“搜索”页面。
SOAR 设置
您可以在此安全运维控制台页面中更改与 Google Security Operations SOAR 相关的各项功能的配置。如需了解如何使用这些功能,请参阅 Google Security Operations 文档。
后续步骤
- 了解检测服务。
- 了解如何使用安全标记。
- 了解如何配置 Security Command Center 服务