本頁面提供 Google Cloud 控制台中的 Security Command Center 總覽,說明導覽方式,並提供頂層頁面的總覽。
如果您尚未設定 Security Command Center,請參閱下列任一文章,瞭解如何啟用:
- 如要啟用標準版或進階級,請參閱「啟用 Security Command Center 的總覽」。
- 如要啟用 Enterprise 級別,請參閱「啟用 Security Command Center Enterprise 級別」。
如需 Security Command Center 的一般總覽,請參閱「Security Command Center 總覽」。
如果最近才啟用 Security Command Center,資料可能需要一段時間才會顯示。如要瞭解 Security Command Center 服務的掃描頻率,請參閱「何時會在 Security Command Center 中看到發現項目」。
必要 IAM 權限
如要使用所有服務層級的 Security Command Center,您必須具備包含適當權限的 Identity and Access Management (IAM) 角色:
Standard-legacy
- 安全中心管理員檢視者 (
roles/securitycenter.adminViewer) 可讓您查看 Security Command Center。 - 安全中心管理員編輯者 (
roles/securitycenter.adminEditor) 可讓您查看 Security Command Center 並進行變更。
標準
你必須具備下列其中一項條件:
- 安全中心管理員 (
roles/securitycenter.admin) - 安全中心管理員編輯者 (
roles/securitycenter.adminEditor) - 安全中心檢視者 (
roles/securitycenter.adminViewer)
進階
- 安全中心管理員檢視者 (
roles/securitycenter.adminViewer) 可讓您查看 Security Command Center。 - 安全中心管理員編輯者 (
roles/securitycenter.adminEditor) 可讓您查看 Security Command Center 並進行變更。
Enterprise
- 安全中心管理員檢視者 (
roles/securitycenter.adminViewer) 可讓您查看 Security Command Center。 - 安全中心管理員編輯者 (
roles/securitycenter.adminEditor) 可讓您查看 Security Command Center 並進行變更。 - Chronicle 服務檢視者 (
roles/chroniclesm.viewer) 可讓您查看相關聯的 Google SecOps 執行個體。
您還需要下列任一 IAM 角色:
- Chronicle SOAR 管理員 (
roles/chronicle.soarAdmin) - Chronicle SOAR 威脅管理者 (
roles/chronicle.soarThreatManager) - Chronicle SOAR 安全漏洞管理員
(
roles/chronicle.soarVulnerabilityManager)
如要啟用 SOAR 相關功能,您也必須在「設定」> SOAR 設定頁面,將這些身分與存取權管理角色對應至 SOC 角色、權限群組和環境。詳情請參閱「使用 IAM 對應及授權使用者」。
如果貴機構政策設為依網域限制身分,您必須使用允許網域中的帳戶登入 Google Cloud 控制台。
您可以在機構、資料夾或專案層級授予 Security Command Center 的 IAM 角色。您能否查看、編輯、建立或更新發現項目、資產和安全來源,取決於獲准的存取層級。如要進一步瞭解 Security Command Center 角色,請參閱存取控管。
存取 Security Command Center
如要在 Google Cloud 控制台中存取 Security Command Center,請按照下列步驟操作:
前往 Security Command Center:
如果已啟用資料落地功能,且貴機構使用管轄區 Google Cloud 控制台,請參閱「管轄區控制台簡介 Google Cloud 」。
選取要查看的專案或機構。
如果 Security Command Center 在您選取的機構或專案中處於啟用狀態,系統會顯示「風險總覽」頁面。
如果 Security Command Center 未啟用,系統會邀請您啟用。如要進一步瞭解如何啟用 Security Command Center,請參閱下列其中一篇文章:
- 標準版、舊版或 Premium:請參閱啟用 Security Command Center 的總覽。
- Enterprise:啟用 Security Command Center Enterprise 級別。
Security Command Center 導覽
以下說明 Security Command Center 的導覽方式。導覽方式會因Security Command Center 服務級別而異。可執行的工作也取決於已啟用的服務,以及您獲得的 IAM 權限。
按一下連結,查看頁面說明。
Standard-legacy
以下說明 Security Command Center Standard 舊版服務層級的導覽方式。
標準
以下說明 Security Command Center Standard 的導覽方式。
進階
以下說明 Security Command Center 進階版的導覽方式。
Enterprise
在 Security Command Center Enterprise 左側導覽面板中,「案件」會連結至 Google Security Operations 租戶中的頁面,該租戶是在啟用 Security Command Center Enterprise 時設定。
如要瞭解 Google Security Operations 提供的功能,請參閱「Security Command Center Enterprise 連結至 Security Operations 控制台」。
風險總覽
「風險總覽」頁面是您的第一個安全性資訊主頁,會醒目顯示所有內建和整合服務在雲端環境中發現的高優先順序風險。
「風險總覽」頁面顯示的內容會因服務層級而異。
Standard-legacy
如要進一步瞭解各個調查檢視畫面,請選取下列其中一個檢視畫面:
標準
如要進一步瞭解各個調查檢視畫面,請選取下列其中一個檢視畫面:
Premium
如要進一步瞭解各個調查檢視畫面,請選取下列任一檢視畫面:
企業版
如要進一步瞭解各個調查檢視畫面,請選取下列任一檢視畫面:
資產
「資產」頁面會詳細顯示專案或機構中的所有 Google Cloud資源 (也稱為「資產」)。
如要進一步瞭解如何在「資產」頁面處理資產,請參閱「在控制台中處理資源」。
法規遵循
預設情況下,啟用 Security Command Center 時,系統會一併啟用 Compliance Manager。「法規遵循」頁面會顯示下列分頁:設定 (新)、監控 (新) 和稽核 (新)。您可以在這些分頁中建立及套用雲端控制措施和架構、監控環境,以及完成稽核。
如果您在 Compliance Manager 正式推出前啟用 Security Command Center,且未啟用 Compliance Manager,則「法規遵循」頁面只會顯示「監控」分頁。這個分頁會顯示 Security Command Center 透過安全狀態分析支援的所有產業基準,以及通過基準控制項的百分比。如要進一步瞭解在未啟用 Compliance Manager 的情況下,Security Command Center 如何支援法規遵循管理,請參閱「在沒有 Compliance Manager 的情況下評估法規遵循情形」。
發現項目
在「發現項目」頁面中,您可以查詢、查看、忽略及標記 Security Command Center 發現項目。這些記錄是 Security Command Center 服務在偵測到環境中的安全性問題時建立。如要進一步瞭解如何使用「發現項目」頁面上的發現項目,請參閱「查看及管理發現項目」。
圖表搜尋
Security Command Center 中的安全圖譜是資料庫,可瞭解並對應雲端資源、設定和相關安全風險之間的關係。包括安全漏洞、存取權、資料機密程度和網路暴露程度。這張圖表可全面顯示雲端資產及其相互依附關係。
在「圖表搜尋」頁面中,您可以查詢安全圖譜,主動找出並監控環境中的潛在安全性漏洞。
問題
「問題」是 Security Command Center 在雲端環境中發現的最重要安全風險,可讓您迅速因應安全漏洞和威脅。Security Command Center 會透過虛擬紅隊演練和規則式偵測功能,找出問題。如要瞭解如何調查問題,請參閱「問題總覽」。
防護機制管理
在「防護機制」頁面中,您可以查看在機構中建立的安全防護機制詳細資料,並將防護機制套用至機構、資料夾或專案。您也可以查看可用的預先定義防護機制範本。
設定
按一下導覽中的「設定」連結,開啟「設定」頁面。 您可以在「設定」頁面中設定 Security Command Center,包括:
SCC 設定指南
您可以在「設定指南」頁面啟用 Security Command Center Enterprise,並設定其他服務。詳情請參閱「啟用 Security Command Center Enterprise 方案」。
來源
「來源」頁面包含多張資訊卡,提供您已啟用安全性來源的資產和發現項目摘要。每張安全性來源資訊卡都會顯示該來源的部分發現項目。您可以按一下發現項目類別名稱,查看該類別中的所有發現項目。
按照來源區分的發現項目
「依來源列出發現項目」資訊卡會顯示已啟用安全來源提供的各類發現項目數量。
- 如要查看特定來源的調查結果詳細資料,請按一下來源名稱。
- 如要查看所有發現項目的詳細資料,請按一下「發現項目」頁面,您可以在該頁面將發現項目分組,或查看個別發現項目的詳細資料。
來源摘要
「依來源列出的發現」資訊卡下方會顯示您啟用的任何內建、整合和第三方來源的個別資訊卡。每張資訊卡都會提供該來源的有效發現項目計數。
威脅
威脅是指雲端資源中可能有害的事件。視服務層級而定,Security Command Center 會在不同檢視畫面中顯示威脅。
標準版和標準舊版
Security Command Center Standard 和 Standard-legacy 不支援「威脅」頁面。 您可以在「發現項目」頁面查看威脅發現項目。
Premium
企業版
在 Security Command Center Enterprise 中,您可以依序前往「風險總覽」>「威脅資訊主頁」,查看威脅。
舊版「安全漏洞」頁面
舊版「安全漏洞」頁面會列出 Security Command Center 內建偵測服務在雲端環境中執行的所有錯誤設定和軟體安全漏洞發現項目。系統會顯示每個列出偵測工具的有效發現項目數量。
如要在 Security Command Center 中查看「安全漏洞」頁面,請按照下列步驟操作:
前往 Google Cloud 控制台的「風險總覽」頁面。
在「風險總覽」頁面上,按一下「安全漏洞」。
在「安全漏洞」資訊主頁中,按一下「前往舊版頁面」。
安全漏洞偵測服務
「安全漏洞」頁面會列出下列 Security Command Center 內建偵測服務的偵測工具:
- Notebook Security Scanner (預先發布版)
- Security Health Analytics
- Amazon Web Services (AWS) 安全漏洞評估
- Web Security Scanner
與 Security Command Center 整合的其他 Google Cloud 服務也會偵測軟體安全漏洞和錯誤設定。此外,部分服務的發現項目也會顯示在「Vulnerabilities」頁面。如要進一步瞭解 Security Command Center 中產生安全漏洞發現項目的服務,請參閱「偵測服務」。
安全漏洞偵測器類別的相關資訊
針對每個設定錯誤或軟體安全漏洞偵測工具,「安全漏洞」頁面會顯示下列資訊:
- 狀態:圖示會指出偵測工具是否有效,以及偵測工具是否發現需要處理的發現項目。將指標懸停在狀態圖示上時,工具提示會顯示偵測工具發現結果的日期和時間,或說明如何驗證建議。
- 上次掃描:偵測器上次掃描的日期和時間。
- 類別:安全漏洞的類別或類型。如要查看各項 Security Command Center 服務偵測到的類別清單,請參閱下列文章:
建議:如何修復發現項目的摘要。詳情請參閱下列文章:
有效:這個類別的發現項目總數。
標準:發現項目類別適用的法規遵循基準 (如有)。如要進一步瞭解基準,請參閱「安全漏洞發現」。
篩選安全漏洞發現項目
大型機構的部署作業可能會發現許多安全漏洞,需要審查、分類和追蹤。在 Google Cloud 控制台中,您可以使用 Security Command Center「安全漏洞」和「發現項目」頁面上的篩選器,專注於機構中嚴重程度最高的安全漏洞,並依資產類型、專案等查看安全漏洞。
如要進一步瞭解如何篩選安全漏洞發現項目,請參閱「在 Security Command Center 中篩選安全漏洞發現項目」。
Security Operations 控制台的連結
Security Command Center Enterprise 方案包含的功能,適用於控制台頁面和 Security Operations 控制台頁面。 Google Cloud
登入 Google Cloud 控制台,然後從 Google Cloud 控制台導覽前往 Security Operations 控制台頁面。本節說明您可以在每個頁面執行的工作,以及開啟 Security Operations 控制台頁面的導覽連結。
如要瞭解 Security Command Center Enterprise 方案提供的 Google Security Operations 功能,請參閱「Security Command Center Enterprise 中的 Google SecOps 功能」。
Google Cloud 控制台頁面
您可以在 Google Cloud 控制台頁面執行下列工作:
- 啟用 Security Command Center。
- 為所有 Security Command Center 使用者設定 Identity and Access Management (IAM) 權限。
- 連線至其他雲端環境,收集資源和設定資料。
- 處理及匯出發現項目。
- 使用受攻擊風險分數評估風險。
- 處理問題,也就是 Security Command Center Enterprise 在雲端環境中發現的最重要安全風險。
- 使用 Sensitive Data Protection 識別高敏感度資料。
- 調查及修正個別發現項目。
- 設定安全狀態分析、Web Security Scanner 和其他 Google Cloud整合服務。
- 管理安全防護機制。
- 設定雲端控管機制和架構。
- 管理資料安全性態勢。
- 評估及報告您是否符合常見的安全標準或基準。
- 查看及搜尋 Google Cloud 素材資源。
Security Operations 控制台頁面
您可以在 Security Operations 控制台頁面執行下列工作:
- 連線至其他雲端環境,收集安全資訊與事件管理 (SIEM) 中精選偵測規則的記錄資料。
- 設定安全性自動化調度管理和應變 (SOAR) 設定。
- 設定事件和案件管理的使用者和群組。
- 處理案件,包括將發現事項分組、指派單據,以及處理快訊。
- 使用自動化步驟序列 (稱為應對手冊) 解決問題。
- 使用 Workdesk 管理開放案件和劇本中等待您處理的動作和工作。
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
其中 CUSTOMER_SUBDOMAIN 是客戶專屬 ID。
案件
在資安營運控制台中,您可以使用用途取得發現項目的詳細資料、將應對手冊附加至發現項目警告、套用自動威脅回應,以及追蹤安全問題的修復情況。
詳情請參閱 Google Security Operations 說明文件中的「案件總覽」。
後續步驟
- 瞭解偵測服務。
- 瞭解如何使用安全標記。
- 瞭解如何設定 Security Command Center 服務。