建立及管理安全性設定檔

本頁說明如何使用 Google Cloud 控制台和 Google Cloud CLI 建立及管理安全性設定檔

事前準備

角色

如要取得建立、查看、更新或刪除安全性設定檔所需的權限,請要求管理員授予您機構的必要 IAM 角色。如要進一步瞭解如何授予角色,請參閱管理存取權

建立安全性設定檔

您只能建立 threat-prevention 類型的安全性設定檔。

建立安全性設定檔時,您可以將安全性設定檔的名稱指定為字串或專屬網址 ID。機構範圍安全性設定檔的專屬網址可採用下列格式:

  organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAME

如果您使用安全性設定檔名稱的專屬網址 ID,網址 ID 中已包含安全性設定檔的機構和位置。不過,如果只使用安全性設定檔名稱,就必須分別指定機構和位置。如要進一步瞭解專屬網址 ID,請參閱安全性設定檔規格

主控台

  1. 前往 Google Cloud 控制台的「Security profiles」(安全性設定檔) 頁面。

    前往「安全性設定檔」

  2. 在專案選取器選單中,選取您的機構。

  3. 選取「安全性設定檔」分頁標籤。

設定威脅防護安全設定檔:

  1. 按一下 Create profile
  2. 在「名稱」欄位中輸入名稱
  3. 選用:在「說明」欄位中輸入說明。
  4. 按一下「繼續」

視需要新增嚴重程度和威脅覆寫:

  1. 在「嚴重性覆寫」下方,找到要覆寫的嚴重性等級,然後按一下旁邊的「編輯」
  2. 在「覆寫動作」清單中,選取嚴重程度層級的適當動作。
  3. 如要新增威脅簽章覆寫,請按一下「依據 ID 新增簽章」
  4. 在「Signature ID」欄位中,輸入要覆寫的威脅 ID。您可以在威脅資訊主頁中查看威脅 ID。
  5. 在「Override action」(覆寫動作) 清單中,選取威脅 ID 適用的動作。
  6. 點選「建立」

gcloud

如要建立威脅防護安全設定檔,請使用 gcloud network-security security-profiles threat-prevention create 指令

gcloud network-security security-profiles threat-prevention \
   create NAME \
   --organization ORGANIZATION_ID \
   --location LOCATION \
   --project PROJECT_ID \
   --description DESCRIPTION

更改下列內容:

  • NAME:安全性設定檔的名稱,您可以將名稱指定為字串或專屬網址 ID。

  • ORGANIZATION_ID:建立安全設定檔的機構。如果您使用不重複的網址 ID 做為 name 標記,可以省略 organization 標記。

  • LOCATION:安全性設定檔的位置。

    位置一律設為「global」。如果您使用 name 標記的專屬網址 ID,可以省略 location 標記。

  • PROJECT_ID:(選用) 用於安全設定檔配額和存取限制的專案 ID。

  • DESCRIPTION:安全設定檔的選用說明。

列出安全性設定檔

您可以列出機構中的所有威脅防護安全性設定檔。

主控台

  1. 前往 Google Cloud 控制台的「Security profiles」(安全性設定檔) 頁面。

    前往「安全性設定檔」

  2. 選取「安全性設定檔」分頁標籤。這個分頁會顯示已設定的安全設定檔清單。

gcloud

如要列出所有威脅防護安全性設定檔,請使用 gcloud network-security security-profiles threat-prevention list 指令

gcloud network-security security-profiles threat-prevention list \
   --organization ORGANIZATION_ID \
   --location LOCATION \
   --project PROJECT_ID

更改下列內容:

  • ORGANIZATION_ID:建立安全設定檔的機構。

  • LOCATION:安全性設定檔的位置。 位置一律設為「global」。

  • PROJECT_ID:(選用) 用於安全設定檔配額和存取限制的專案 ID。

刪除安全性設定檔

您可以指定威脅防護安全設定檔的名稱、位置和機構,藉此刪除該設定檔。不過,如果安全性設定檔遭安全性設定檔群組參照,就無法刪除。

主控台

  1. 前往 Google Cloud 控制台的「Security profiles」(安全性設定檔) 頁面。

    前往「安全性設定檔」

  2. 選取「安全性設定檔」分頁標籤。這個分頁會顯示已設定的安全設定檔清單。

  3. 選取要刪除的安全設定檔,然後按一下「刪除」

  4. 再按一下 [刪除] 加以確認。

gcloud

如要刪除威脅防護安全設定檔,請使用 gcloud network-security security-profiles threat-prevention delete 指令

gcloud network-security security-profiles threat-prevention \
   delete NAME \
   --organization ORGANIZATION_ID \
   --location LOCATION \
   --project PROJECT_ID

更改下列內容:

  • NAME:要刪除的安全設定檔名稱,可以指定為字串或專屬網址 ID。

  • ORGANIZATION_ID:建立安全設定檔的機構。如果您使用不重複的網址 ID 做為 name 標記,可以省略 organization 標記。

  • LOCATION:安全性設定檔的位置。

    位置一律設為「global」。如果您使用 name 標記的專屬網址 ID,可以省略 location 標記。

  • PROJECT_ID:(選用) 用於安全設定檔配額和存取限制的專案 ID。

在安全設定檔中新增覆寫動作

您可以覆寫現有安全設定檔中與特定威脅簽章嚴重程度相關聯的動作。

主控台

  1. 前往 Google Cloud 控制台的「Security profiles」(安全性設定檔) 頁面。

    前往「安全性設定檔」

  2. 選取「安全性設定檔」分頁標籤。這個分頁標籤會顯示已設定的安全性設定檔清單。

  3. 選取要覆寫動作的安全設定檔,然後按一下「編輯」

  4. 在「嚴重性覆寫」下方,找到要覆寫的嚴重性等級,然後按一下旁邊的「編輯」

  5. 在「覆寫動作」清單中,選取嚴重程度層級的適當動作。

  6. 按一下「確認」。

  7. 按一下 [儲存]

gcloud

如要為威脅防護安全設定檔新增覆寫,請使用 gcloud network-security security-profiles threat-prevention add-override 指令

gcloud network-security security-profiles threat-prevention \
   add-override NAME \
   --organization ORGANIZATION_ID \
   --location LOCATION \
   --project PROJECT_ID \
   [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS] \
   --action ACTION

更改下列內容:

  • NAME:安全性設定檔的名稱,您可以將名稱指定為字串或專屬網址 ID。

  • ORGANIZATION_ID:建立安全設定檔的機構。

    如果您使用不重複的網址 ID 做為 name 標記,可以省略 organization 標記。

  • LOCATION:安全性設定檔的位置。

    位置一律設為「global」。如果您使用 name 標記的專屬網址 ID,可以省略 location 標記。

  • PROJECT_ID:(選用) 用於安全設定檔配額和存取限制的專案 ID。

  • SEVERITIES:以逗號分隔的嚴重程度清單,用於覆寫動作。防火牆端點會將設定的 --action旗標套用至指定嚴重程度的所有威脅。 嚴重程度可以是下列任一值:

    • INFORMATIONAL
    • LOW
    • MEDIUM
    • HIGH
    • CRITICAL

  • THREAT_IDS:以半形逗號分隔的威脅簽章 ID 清單,用於覆寫動作。防火牆端點會將設定的 --action 標記套用至指定威脅 ID 的所有威脅。

  • PROTOCOLS:以半形逗號分隔的網路通訊協定清單,用於監控防毒威脅。詳情請參閱支援的通訊協定

  • ACTION:針對指定威脅 ID 或嚴重程度採取的動作。詳情請參閱支援的動作

列出安全性設定檔中的覆寫動作

您可以列出安全設定檔中的所有覆寫動作。

主控台

  1. 前往 Google Cloud 控制台的「Security profiles」(安全性設定檔) 頁面。

    前往「安全性設定檔」

  2. 選取「安全性設定檔」分頁標籤。這個分頁標籤會顯示已設定的安全性設定檔清單。

  3. 選取安全性設定檔,即可查看已設定的嚴重性覆寫動作和威脅簽章覆寫動作。

gcloud

如要列出威脅防護安全性設定檔中的所有覆寫動作,請使用 gcloud network-security security-profiles threat-prevention list-overrides 指令

gcloud network-security security-profiles threat-prevention \
    list-overrides NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION

更改下列內容:

  • NAME:安全性設定檔的名稱,您可以將名稱指定為字串或專屬網址 ID。

  • ORGANIZATION_ID:建立安全設定檔的機構。

    如果您使用不重複的網址 ID 做為 name 標記,可以省略 organization 標記。

  • LOCATION:安全性設定檔的位置。

    位置一律設為「global」。如果您使用 name 標記的專屬網址 ID,可以省略 location 標記。

更新安全性設定檔中的覆寫動作

您可以在安全性設定檔中,更新嚴重程度或威脅簽章的現有覆寫動作。

主控台

  1. 前往 Google Cloud 控制台的「Security profiles」(安全性設定檔) 頁面。

    前往「安全性設定檔」

  2. 選取「安全性設定檔」分頁標籤。這個分頁會顯示已設定的安全設定檔清單。

  3. 選取安全性設定檔,然後按一下「編輯」

  4. 在「嚴重程度覆寫」下方,找到要更新覆寫動作的嚴重程度層級,然後按一下旁邊的「編輯」

  5. 在「覆寫動作」清單中,選取嚴重程度層級的適當動作。

  6. 按一下「確認」。

  7. 按一下 [儲存]

gcloud

如要更新威脅防護安全設定檔中的覆寫動作,請使用 gcloud network-security security-profiles threat-prevention update-override 指令

gcloud network-security security-profiles threat-prevention \
   update-override NAME \
   --organization ORGANIZATION_ID \
   --location LOCATION \
   --project PROJECT_ID \
   [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS] \
   --action ACTION

更改下列內容:

  • NAME:安全性設定檔的名稱,您可以將名稱指定為字串或專屬網址 ID。

  • ORGANIZATION_ID:建立安全設定檔的機構。

    如果您使用不重複的網址 ID 做為 name 標記,可以省略 organization 標記。

  • LOCATION:安全性設定檔的位置。

    位置一律設為「global」。如果您使用 name 標記的專屬網址 ID,可以省略 location 標記。

  • PROJECT_ID:(選用) 用於安全設定檔配額和存取限制的專案 ID。

  • SEVERITIES:以半形逗號分隔的嚴重程度清單,列出要更新覆寫的嚴重程度。嚴重程度可以是下列任一值:

    • INFORMATIONAL
    • LOW
    • MEDIUM
    • HIGH
    • CRITICAL

  • THREAT_IDS:以半形逗號分隔的威脅簽章 ID 清單,用於更新覆寫項目。

  • PROTOCOLS:以半形逗號分隔的網路通訊協定清單,用於監控防毒威脅。支援的通訊協定如下:

    • SMTP
    • SMB
    • POP3
    • IMAP
    • HTTP2
    • HTTP
    • FTP

  • :指定威脅 ID 或嚴重程度的預設動作。ACTION動作可以是下列其中一項:

    • DEFAULT
    • ALLOW
    • DENY
    • ALERT

從安全性設定檔中刪除覆寫動作

您可以從安全性設定檔中,刪除嚴重程度或威脅簽章的現有覆寫動作。

主控台

  1. 前往 Google Cloud 控制台的「Security profiles」(安全性設定檔) 頁面。

    前往「安全性設定檔」

  2. 選取「安全性設定檔」分頁標籤。這個分頁會顯示已設定的安全設定檔清單。

  3. 選取安全性設定檔,然後按一下「編輯」

  4. 在「嚴重性覆寫」下方,找到要刪除覆寫動作的嚴重性層級,然後按一下旁邊的「編輯」

  5. 在「覆寫動作」清單中,選取「不覆寫」

  6. 按一下「確認」。

  7. 在「簽章覆寫」下方,選取要刪除的威脅 ID。

  8. 點選「刪除」。

  9. 按一下 [儲存]

gcloud

如要從威脅防護安全設定檔中刪除覆寫動作,請使用 gcloud network-security security-profiles threat-prevention delete-override 指令

gcloud network-security security-profiles threat-prevention \
   delete-override NAME \
   --organization ORGANIZATION_ID \
   --location LOCATION \
   --project PROJECT_ID \
   [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS] \

更改下列內容:

  • NAME:安全性設定檔的名稱,您可以將名稱指定為字串或專屬網址 ID。

  • ORGANIZATION_ID:建立安全設定檔的機構。

    如果您使用不重複的網址 ID 做為 name 標記,可以省略 organization 標記。

  • LOCATION:安全性設定檔的位置。

    位置一律設為「global」。如果您使用 name 標記的專屬網址 ID,可以省略 location 標記。

  • PROJECT_ID:(選用) 用於安全設定檔配額和存取限制的專案 ID。

  • SEVERITIES:以半形逗號分隔的嚴重程度層級清單,列出要刪除的覆寫項目。嚴重程度可以是下列任一值:

    • INFORMATIONAL
    • LOW
    • MEDIUM
    • HIGH
    • CRITICAL

  • THREAT_IDS:以半形逗號分隔的威脅簽章 ID 清單,當中列有要刪除的覆寫項目。

  • PROTOCOLS:以半形逗號分隔的網路通訊協定清單,用於監控防毒威脅。支援的通訊協定如下:

    • SMTP
    • SMB
    • POP3
    • IMAP
    • HTTP2
    • HTTP
    • FTP

後續步驟