自 2026 年 2 月 11 日起,Security Command Center 标准方案将迁移到一组新功能。如需查看差异摘要,请参阅 标准层级与标准旧版层级之间的区别。如需查看每个层级中提供的服务,请参阅服务层级 比较。
Security Command Center 标准方案迁移后,一些使用标准层级的组织和项目将看到新功能,并且支持的 检测服务也会更新。
此外,Security Command Center 标准方案将在一些尚未激活且没有数据驻留要求的组织中自动激活。
标准层级迁移和自动激活过程将持续数月。本文档提供了更多信息,并介绍了在标准层级迁移和自动激活过程中会发生什么情况。
标准版层级与标准旧版层级之间的区别
本部分介绍了标准层级与标准旧版层级在功能方面的区别。
标准层级现已提供以下功能:
标准层级不支持以下标准旧版层级功能:
标准层级中提供了一组经过修改的 Security Health Analytics 功能。如需了解详情,请参阅已迁移到 Compliance Manager 控制措施的 Security Health Analytics 检测器。
如需查看所有层级提供的服务和功能,请参阅 Security Command Center 服务层级。
标准层级迁移和自动激活过程概览
如果您的组织符合以下任一条件,您可能会在 Security Command Center 标准方案激活中看到新功能:
- 您的组织中已激活 Security Command Center 标准方案,并且组织中的任何项目都未激活高级层级。
- 您的组织中的任何项目都已激活 Security Command Center 标准方案。您将在这些项目中看到新的 Security Command Center 标准方案功能。
如果 Security Command Center 尚未在组织级激活,并且符合以下两种情况,则 Security Command Center 标准方案可能会在全球区域的组织级自动激活:
- 组织内的任何项目都未激活高级层级。
- 组织没有数据驻留要求,这意味着它 不会使用 资源位置限制条件来限制资源位置。
如果您未在组织中激活 Security Command Center,并且标准层级未自动激活,您可以手动激活 Security Command Center 标准方案。您最初会获得 Security Command Center 标准旧版功能。您的组织稍后将迁移到新的标准层级功能。
在您的组织或项目自动迁移到新的标准层级功能后,系统会停用不受支持的标准旧版层级服务。
在手动激活期间,您需要指定全球区域或其中一个受支持的管辖区。如需了解相关信息,请参阅 标准层级自动激活后有关数据驻留的注意事项。
不包含在此项更改中的组织
如果您的组织具有以下任何配置,则系统不会自动为您的组织激活 Security Command Center 标准方案:
您的组织已激活企业方案。
您的组织已在组织级或项目级激活高级层级。此类激活包括以下情况:
您的组织已在组织级激活标准层级,并在任何项目上激活高级层级。这些组织将继续看到标准旧版功能。
您的组织未在组织级激活任何 Security Command Center 层级,并且已在一个或多个项目上激活高级层级。 Security Command Center 标准方案不会在这些组织中自动激活。如需使用 Security Command Center 标准方案,您可以手动激活它。
您的组织未在组织级激活任何 Security Command Center 层级,并且有数据驻留要求,至少有一项组织政策使用资源位置限制条件来限制资源位置。Security Command Center 标准方案不会在这些组织中自动激活,必须手动激活。
如需了解如何手动激活标准层级,请参阅 为组织激活 Security Command Center 标准方案。
包含在此项更改中的组织的更改
以下部分介绍了如果您的组织启用了标准层级功能,则会发生的更改和额外的配置。此场景包括以下场景:
您在 2026 年 2 月 11 日之前使用的是标准层级,并且这些功能已迁移到一组新功能。
您的组织已自动激活标准层级。
您在 2026 年 2 月 11 日之后手动激活了标准层级,然后您的组织迁移到了一组新功能。
控制台中的更改 Google Cloud
在组织迁移到新的标准层级功能后,您首次访问 Security Command Center 时,会看到安全性数据分析现已启用,无需支付额外费用 提示。如果您点击关闭 ,此提示将不会再次显示。
您可以在 Google Cloud 控制台中查看以下内容:
这些页面上的某些功能处于停用状态,因为提供数据的服务必须手动启用或配置。
如果您使用的是 Compute Engine 或 Google Kubernetes Engine,并且 Security Command Center 为这些资源生成了 发现结果,您将在 Compute Engine 安全风险概览信息中心中看到数据。
您可以在 Security Command Center 的设置 > 服务 页面中为 Google Cloud 启用漏洞评估。
如需了解如何使用 Security Command Center,请参阅 在 Google Cloud 控制台中使用 Security Command Center。
这些页面上的数据可能会延迟显示。如需了解详情,请参阅 何时会在 Security Command Center 中看到发现结果。
不会自动启用的服务
标准层级迁移和自动激活过程会自动启用某些服务。标准层级中的以下服务可能需要您手动启用或执行其他配置:
-
如果您的组织中新激活了标准层级,您必须手动启用此服务。
如果您的组织从标准旧版层级迁移到了标准层级,此服务会自动启用。
Model Armor:如果您在自动激活之前未使用 Model Armor,则必须执行 其他配置。
自动启用的服务会根据每项服务的单独扫描频率生成发现结果。某些服务可能会延迟开始扫描。如需了解详情,请参阅 何时会在 Security Command Center 中看到发现结果。
标准层级自动激活后有关数据驻留的注意事项
在您的组织中自动激活 Security Command Center 标准方案后, 我们建议您为启用漏洞评估 Google Cloud。
如果 Security Command Center 标准方案在您的组织中自动激活, 然后您启用了 限制资源位置的组织政策, Security Command Center 可能会在政策 部署后七天内自动停用。
在以下情况下,组织不会自动停用:
- 您在自动激活后且在部署 限制资源位置的组织政策之前,为 Google Cloud 启用了漏洞评估。
- 您在自动激活后将组织升级到了高级层级或企业方案。
如果 Security Command Center 自动停用,现有发现结果将保留存储 在全球区域中,并且不会更改,直到按照 发现结果数据保留政策中的定义将其删除为止。 除非您在全球区域中重新激活 Security Command Center,否则您无法访问这些发现结果。
如需继续使用 Security Command Center,您必须手动重新激活 Security Command Center。如需了解相关说明, 请参阅为组织激活 Security Command Center 标准方案。
手动激活 Security Command Center 时,您可以选择数据驻留配置。如果您未启用数据驻留,Security Command Center 将在全球区域中激活,您可以访问之前创建的发现结果,因为它们存储在全球区域中。
启用数据驻留时,您还需要配置 受支持的数据位置。
如果您启用了数据驻留,则无法查看之前创建的发现结果,因为它们存储在全球区域中,而您配置了特定的数据位置。
在手动激活期间,如果 Security Command Center 配置与限制资源位置的组织政策冲突,Security Command Center 不会限制您的数据驻留配置。
Security Health Analytics 检测器已迁移到 Compliance Manager 控制措施
在标准层级中,大多数 Security Health Analytics 检测器都已迁移到 Security Essentials 框架中的 Compliance Manager 控制措施。这些控制措施的 Compliance Manager 版本也会为等效的安全场景生成发现结果。
Security Health Analytics 已启用,所有检测器将继续生成发现结果,但
由具有等效 Compliance Manager
控制措施的 Security Health Analytics 检测器创建的发现结果将使用字段值标识符标记:launch_state="LAUNCH_STATE_DEPRECATED"。
Security Health Analytics 检测器的一部分不会迁移到 Compliance Manager 控制措施。Security Health Analytics 会根据这些检测器生成发现结果,并且这些发现结果的 launch_state 字段不会设置为 LAUNCH_STATE_DEPRECATED。
Compliance Manager 中的 Security Essentials 框架包含的控制措施不仅包括从 Security Health Analytics 迁移的控制措施,还包括其他控制措施。如需查看 所有可用的控制措施,请依次选择 合规性 > 监控新 标签页, 然后在 框架 面板中选择 Security Essentials 框架。
如需了解哪些检测器已迁移到 Compliance Manager 以及哪些 Google Cloud 控制台页面可让您调查每个检测器生成的发现结果,请参阅按层级划分的 Security Health Analytics 功能。
不再受支持的服务创建的发现结果的状态
由标准层级不支持的标准旧版层级服务创建的发现结果将保留,直到按照 发现结果数据保留政策中的定义将其删除为止。
达到标准层级功能限制时的服务行为
某些服务可能会有使用限制。达到该限制时,系统可能会提示您升级层级。如需了解达到限制时的行为,请参阅特定于该服务的文档。
更新与其他应用的集成
如果您使用 API 将 Security Command Center 中的发现结果注入到其他服务,您可能会看到以下新提供的来源:
Compliance Evaluation ServiceVulnerability Assessment
更新提取脚本以接受来自这些来源的数据。
如果您在其他应用(例如 Google Security Operations)中使用搜索查询来查看从 Security Command Center 提取的 Security Health Analytics 发现结果,并且想要移除由已迁移到 Compliance Manager 的 Security Health Analytics 检测器创建的发现结果,请更新搜索查询以添加与此 Security Command Center 发现结果查询字词等效的字词:
AND NOT launch_state="LAUNCH_STATE_DEPRECATED"
如需了解详情,请参阅 Security Health Analytics 检测器已迁移到 Compliance Manager 控制措施。
新标准版层级激活的更改
激活 Security Command Center 标准方案后,您可使用的功能取决于激活范围。
如需了解组织级提供的服务,请参阅 为组织激活 Security Command Center 标准方案。
如需了解项目级提供的服务,请参阅 为项目激活 Security Command Center。
如需了解所有层级中的功能,请参阅 Security Command Center 服务层级。
如需了解标准层级与标准旧版层级之间的区别,请参阅为部分客户增强并自动激活标准层级。
从高级层级降级到标准层级激活
以下部分介绍了从高级层级降级到标准层级时会发生什么情况。
如果您在高级层级中启用了以下服务,它们将继续运行,但功能集会经过修改。请查看每项服务的文档,了解层级更改对每项服务的影响。
降级后,在您的组织迁移到增强型标准层级之前,您可能会在 Google Cloud 控制台中看到标准旧版功能。