在 Google Cloud 控制台使用 Security Command Center

本頁面提供 Google Cloud 控制台中的 Security Command Center 總覽,說明導覽方式,並提供頂層頁面的總覽。

如果您尚未設定 Security Command Center,請參閱下列任一文章,瞭解如何啟用:

如需 Security Command Center 的一般總覽,請參閱「Security Command Center 總覽」。

必要 IAM 權限

如要使用所有服務層級的 Security Command Center,您必須具備包含適當權限的身分與存取權管理 (IAM) 角色:

標準

  • 安全中心管理員檢視者 (roles/securitycenter.adminViewer) 可讓您查看 Security Command Center。
  • 安全中心管理員編輯者 (roles/securitycenter.adminEditor) 可讓您查看 Security Command Center 並進行變更。

進階

  • 安全中心管理員檢視者 (roles/securitycenter.adminViewer) 可讓您查看 Security Command Center。
  • 安全中心管理員編輯者 (roles/securitycenter.adminEditor) 可讓您查看 Security Command Center 並進行變更。

Enterprise

  • 安全中心管理員檢視者 (roles/securitycenter.adminViewer) 可讓您查看 Security Command Center。
  • 安全中心管理員編輯者 (roles/securitycenter.adminEditor) 可讓您查看 Security Command Center 並進行變更。
  • Chronicle 服務檢視者 (roles/chroniclesm.viewer) 可讓您查看相關聯的 Google SecOps 執行個體。

您還需要下列任一身分與存取權管理角色:

  • Chronicle SOAR 管理員 (roles/chronicle.soarAdmin)
  • Chronicle SOAR 威脅管理員 (roles/chronicle.soarThreatManager)
  • Chronicle SOAR 安全漏洞管理員 (roles/chronicle.soarVulnerabilityManager)

如要啟用 SOAR 相關功能,您也必須在「設定」> SOAR 設定頁面,將這些身分與存取權管理角色對應至 SOC 角色權限群組環境。詳情請參閱「使用 IAM 對應及授權使用者」。

如果貴機構政策設為依網域限制身分,您必須使用允許網域中的帳戶登入 Google Cloud 控制台。

您可以在機構、資料夾或專案層級授予 Security Command Center 的 IAM 角色。您能否查看、編輯、建立或更新發現項目、資產和安全來源,取決於獲准的存取層級。如要進一步瞭解 Security Command Center 角色,請參閱存取權控管

存取 Security Command Center

如要在 Google Cloud 控制台中存取 Security Command Center,請按照下列步驟操作:

  1. 前往 Security Command Center:

    前往 Security Command Center

    如果已啟用資料落地功能,且貴機構使用管轄區 Google Cloud 控制台,請參閱「關於管轄區 Google Cloud 控制台」。

  2. 選取要查看的專案或機構。

    如果 Security Command Center 在您選取的機構或專案中處於啟用狀態,系統會顯示「風險總覽」頁面。

    如果 Security Command Center 未啟用,系統會邀請您啟用。如要進一步瞭解如何啟用 Security Command Center,請參閱下列文章:

Security Command Center 導覽

以下說明 Security Command Center 的導覽方式。導覽方式會因Security Command Center 服務級別而異。您可以執行的工作也取決於已啟用的服務,以及您獲得的 IAM 權限。

按一下連結,查看頁面說明。

標準

以下說明 Security Command Center Standard 的導覽方式。

進階

以下說明 Security Command Center 進階版的導覽方式。

Enterprise

Security Command Center Enterprise 左側導覽面板包含連結,可前往啟用 Security Command Center Enterprise 時設定的 Google Security Operations 租戶頁面。

此外,在啟用 Security Command Center Enterprise 時設定的 Google Security Operations 租戶,會包含部分 Google Cloud 控制台頁面的連結。

如要瞭解 Google Security Operations 提供的功能,請參閱「Security Command Center Enterprise 連結至 Security Operations 控制台」。

風險總覽

「風險總覽」頁面是您的第一個安全性資訊主頁,會醒目顯示所有內建和整合服務在雲端環境中發現的高優先順序風險。

「風險總覽」頁面顯示的內容會因服務層級而異。

標準

「風險總覽」頁面包含下列面板:

  • 「安全漏洞 (按照資源類型區分)」圖表會顯示專案或機構中資源的未解決安全漏洞。
  • 「未解決的安全漏洞」提供安全漏洞發現項目的分頁檢視畫面,可依類別名稱、受影響的資源和專案分類。您可以依嚴重程度排序每個檢視畫面。

進階

如要進一步瞭解各個調查檢視畫面,請選取下列任一檢視畫面:

  • 所有風險:顯示所有資料。
  • 安全漏洞:顯示安全漏洞和相關的 CVE 資訊。
  • 身分:依類別顯示身分與存取權發現項目摘要。
  • 威脅:顯示與威脅相關的發現項目。

企業版

如要進一步瞭解各個調查檢視畫面,請選取下列任一檢視畫面:

資產

「資產」頁面會詳細顯示專案或機構中的所有 Google Cloud資源 (也稱為「資產」)。

如要進一步瞭解如何在「資產」頁面處理資產,請參閱「在控制台中處理資源」。

法規遵循

預設情況下,啟用 Security Command Center 後,「法規遵循」頁面會顯示「監控」分頁。這個分頁會顯示 Security Command Center 透過安全狀態分析支援的所有法規架構,以及通過基準控制項的百分比。

您可以在「監控」分頁中查看各項法規架構,並取得更多詳細資料,瞭解 Security Health Analytics 檢查的法規控管措施、每項控管措施偵測到的違規次數,以及匯出該法規架構的合規報告。

安全性狀態分析安全漏洞掃描器會根據 Google 盡力提供的對應項目,監控常見法規遵循控管機制的違規情形。安全狀態分析合規報告無法取代合規稽核,但有助於維持合規狀態,並及早發現違規事項。

為 Security Command Center Enterprise 啟用法規遵循管理工具後,「法規遵循」頁面會顯示下列額外分頁:設定監控 (預先發布版)稽核 (預先發布版)。您可以在這些分頁中建立及套用雲端控制措施和架構、監控環境,以及完成稽核。

如要進一步瞭解在未啟用法規遵循管理工具的情況下,Security Command Center 如何支援法規遵循管理,請參閱「管理法規遵循」。

發現項目

在「發現項目」頁面中,您可以查詢、查看、略過及標記 Security Command Center 發現項目,也就是 Security Command Center 服務在偵測到環境中的安全性問題時建立的記錄。如要進一步瞭解如何使用「發現項目」頁面上的發現項目,請參閱「查看及管理發現項目」。

問題

「問題」是 Security Command Center Enterprise 在雲端環境中發現最重要的安全性風險,可讓您快速因應安全漏洞和威脅。Security Command Center 會透過虛擬紅隊和規則式偵測功能發現問題。如要瞭解如何調查問題,請參閱「問題總覽」。

防護機制管理

在「防護機制」頁面中,您可以查看在機構中建立的安全防護機制詳細資料,並將防護機制套用至機構、資料夾或專案。您也可以查看可用的預先定義防護機制範本。

SCC 設定

在 Security Command Center Enterprise 中,您可以透過導覽中的「SCC settings」連結,開啟「Settings」頁面。在 Security Command Center Standard 和 Premium 中,您可以透過標題中的「設定」連結開啟頁面。

您可以在「設定」頁面中設定 Security Command Center,包括:

SCC 設定指南

您可以在「設定指南」頁面啟用 Security Command Center Enterprise,並設定其他服務。 詳情請參閱「啟用 Security Command Center Enterprise 方案」。

來源

「來源」頁面包含多張資訊卡,可針對已啟用的安全性來源提供資產和發現項目摘要。每張安全性來源資訊卡都會顯示該來源的部分發現項目。您可以按一下發現項目類別名稱,查看該類別中的所有發現項目。

按照來源顯示發現項目

「依來源列出發現項目」資訊卡會顯示已啟用安全性來源提供的各類發現項目數量。

  • 如要查看特定來源的調查結果詳細資料,請按一下來源名稱。
  • 如要查看所有發現項目的詳細資料,請按一下「發現項目」頁面,您可以在該頁面將發現項目分組,或查看個別發現項目的詳細資料。

來源摘要

「依來源列出的發現」資訊卡下方會顯示您啟用的任何內建、整合和第三方來源的個別資訊卡。每張資訊卡都會提供該來源的有效發現項目計數。

威脅

威脅是指雲端資源中可能有害的事件。視服務層級而定,Security Command Center 會以不同檢視畫面顯示威脅。

標準

Security Command Center Standard 不支援「威脅」頁面。 您可以在「發現項目」頁面查看威脅發現項目。

進階

在 Security Command Center 進階版中,按一下「威脅」導覽連結,即可開啟「風險總覽」>「威脅資訊主頁」

企業版

在 Security Command Center Enterprise 中,您可以依序前往「風險總覽」>「威脅資訊主頁」,查看威脅。

舊版「安全漏洞」頁面

舊版「安全漏洞」頁面會列出 Security Command Center 內建偵測服務在雲端環境中執行的所有錯誤設定和軟體安全漏洞發現項目。系統會顯示每個列出偵測工具的有效發現項目數量。

如要在 Security Command Center 中查看「安全漏洞」頁面,請按照下列步驟操作:

標準

前往 Google Cloud 控制台的「Vulnerabilities」頁面。

前往「安全漏洞」頁面

進階

  1. 前往 Google Cloud 控制台的「風險總覽」頁面。

    前往「風險總覽」頁面

  2. 在「風險總覽」頁面中,按一下「安全漏洞」

  3. 在「Vulnerabilities」(安全漏洞) 資訊主頁上,按一下「Go to legacy page」(前往舊版頁面)

企業版

  1. 前往 Google Cloud 控制台的「風險總覽」頁面。

    前往「風險總覽」頁面

  2. 在「風險總覽」頁面中,按一下「安全漏洞」

  3. 在「Vulnerabilities」(安全漏洞) 資訊主頁上,按一下「Go to legacy page」(前往舊版頁面)

安全漏洞偵測服務

「安全漏洞」頁面會列出下列 Security Command Center 內建偵測服務的偵測工具:

與 Security Command Center 整合的其他 Google Cloud 服務也會偵測軟體安全漏洞和錯誤設定。這些服務的發現項目也會顯示在「Vulnerabilities」頁面。如要進一步瞭解 Security Command Center 中產生安全漏洞發現項目的服務,請參閱「偵測服務」。

安全漏洞偵測器類別的相關資訊

針對每個設定錯誤或軟體安全漏洞偵測器,「安全漏洞」頁面會顯示下列資訊:

篩選安全漏洞發現項目

大型機構的部署作業可能發現許多待審查、分類和追蹤的安全性弱點。您可以在 Google Cloud 控制台的 Security Command Center「漏洞」和「發現項目」頁面使用篩選器,專注於貴機構中嚴重程度最高的漏洞,並依資產類型、專案等查看漏洞。

如要進一步瞭解如何篩選安全漏洞發現項目,請參閱「在 Security Command Center 中篩選安全漏洞發現項目」。

Security Command Center Enterprise 連結至 Security Operations 控制台

Security Command Center Enterprise 方案包含的功能,可同時在控制台頁面和 Security Operations 控制台頁面中使用。 Google Cloud

登入 Google Cloud 控制台,然後從 Google Cloud 控制台導覽前往 Security Operations 控制台頁面。本節說明您可以在每個頁面執行的工作,以及開啟 Security Operations 控制台頁面的導覽連結。

Google Cloud 控制台頁面

您可以在 Google Cloud 控制台頁面執行下列工作:

  • 啟用 Security Command Center。
  • 為所有 Security Command Center 使用者設定 Identity and Access Management (IAM) 權限。
  • 連線至其他雲端環境,收集資源和設定資料。
  • 處理及匯出發現項目。
  • 使用受攻擊風險分數評估風險。
  • 處理問題,也就是 Security Command Center Enterprise 在雲端環境中發現的最重要安全性風險。
  • 使用 Sensitive Data Protection 識別高敏感度資料。
  • 調查並修復個別發現項目。
  • 設定安全狀態分析、Web Security Scanner 和其他 Google Cloud整合式服務。
  • 管理安全防護機制。
  • 設定雲端控制項和架構。
  • 管理資料安全防護機制。
  • 評估及報告您是否符合常見的安全標準或基準。
  • 查看及搜尋 Google Cloud 素材資源。

下圖顯示Google Cloud 控制台中的 Security Command Center 內容。

Google Cloud 控制台。

Security Operations 控制台頁面

您可以在 Security Operations 控制台頁面執行下列工作:

  • 連線至其他雲端環境,收集安全資訊與事件管理 (SIEM) 中精選偵測項目的記錄資料。
  • 設定安全性自動化調度管理和應變 (SOAR) 設定。
  • 設定事件和案件管理的使用者和群組。
  • 處理案件,包括將調查結果分組、指派單據,以及處理快訊。
  • 使用自動化步驟序列 (稱為手冊) 解決問題。
  • 使用工作區管理待處理的動作和工作,這些動作和工作來自於未結案件和劇本。

下圖顯示 Security Operations 控制台。

Security Operations 控制台

Security Operations 控制台頁面的網址類似於下列模式。

https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

其中 CUSTOMER_SUBDOMAIN 是客戶專屬 ID。

快訊與 IOC

您可以在這個 Security Operations 控制台頁面中,查看由精選偵測和自訂規則建立的警示。如要瞭解如何調查快訊,請參閱 Google Security Operations 說明文件中的下列內容:

案件

在 Security Operations 控制台中,您可以透過用途取得調查結果的詳細資料、將應對手冊附加至調查結果警示、自動應對威脅,以及追蹤安全問題的修復進度。

如需相關資訊,請參閱 Google Security Operations 說明文件中的「案件總覽」。

應對手冊

您可以在這個 Security Operations 控制台頁面中,管理「SCC Enterprise - Cloud Orchestration and Remediation」用途中包含的劇本。

如要瞭解這個用途可用的整合功能,請參閱 Security Command Center 服務方案

如要瞭解可用的劇本,請參閱「更新企業用途」。

如要瞭解如何使用 Security Operations 控制台的「Playbooks」頁面,請參閱 Google Security Operations 說明文件中的「Playbooks 頁面內容」。

規則與偵測項目

您可以在這個 Security Operations 控制台頁面啟用精選偵測功能,並建立自訂規則,找出使用 Security Operations 控制台記錄檔資料收集機制收集的資料模式。如要瞭解 Security Command Center Enterprise 提供的精選偵測功能,請參閱「使用精選偵測功能調查威脅」。

SIEM 資訊主頁

您可以在這個 Security Operations 控制台頁面中查看 Google Security Operations SIEM 資訊主頁,分析 Google Security Operations 規則建立的快訊,以及使用 Security Operations 控制台記錄資料收集功能收集的資料。

如要進一步瞭解如何使用 SIEM 資訊主頁,請參閱 Google Security Operations 說明文件中的「資訊主頁總覽」。

您可以在這個 Security Operations 控制台頁面中,找出 Google Security Operations 執行個體內的統合資料模型 (UDM) 事件和快訊。詳情請參閱 Google Security Operations 說明文件中的「SIEM 搜尋」。

SIEM 設定

您可以在這個 Security Operations 控制台頁面中,變更與 Google Security Operations SIEM 相關的功能設定。如要瞭解如何使用這些功能,請參閱 Google Security Operations 說明文件

SOAR 資訊主頁

您可以在這個 Security Operations 主控台頁面中,使用 SOAR 資料查看及建立資訊主頁,藉此分析回應和案件。如要進一步瞭解如何使用 SOAR 資訊主頁,請參閱 Google Security Operations 說明文件中的「SOAR 資訊主頁總覽」。

SOAR 報表

您可以在這個 Security Operations 控制台頁面中,查看 SOAR 資料的相關報表。如要進一步瞭解如何使用 SOAR 報表,請參閱 Google Security Operations 說明文件中的「瞭解 SOAR 報表」。

您可以在這個 Security Operations 控制台頁面中,找出 Google Security Operations SOAR 編列索引的特定案件或實體。詳情請參閱 Google Security Operations 說明文件中的「在 SOAR 中使用搜尋頁面」。

SOAR 設定

您可以在這個 Security Operations 控制台頁面中,變更與 Google Security Operations SOAR 相關的功能設定。如要瞭解如何使用這些功能,請參閱 Google Security Operations 說明文件

後續步驟