啟用 Security Command Center Enterprise 級別

Security Command Center Enterprise 級別簡介

Security Command Center Enterprise 級別提供多項安全性強化功能,包括:

  • 使用 Google Security Operations 進行進階安全作業。
  • 與其他 Google Cloud 產品整合,例如 Mandiant Attack Surface Management、Sensitive Data Protection 和 Assured OSS。
  • 支援多雲端。
  • 風險分析。

如要瞭解 Enterprise 級別的功能,請參閱「服務級別」。

您可以使用 Google Cloud 控制台中的設定指南,完成 Enterprise 方案的啟用程序。完成初始必要工作後,您可以完成其他工作,設定貴機構需要的選用功能。

如要瞭解價格和如何訂閱,請參閱「Security Command Center 定價」。

如要瞭解如何啟用其他層級的 Security Command Center,請參閱「為機構啟用 Security Command Center Standard 或 Premium 級別」。

事前準備

首次啟用 Security Command Center 前,請先完成下列操作:

  1. 規劃啟用程序
  2. 建立機構
  3. 建立管理專案
  4. 設定權限和 API
  5. 設定通知聯絡人

規劃啟用程序

本節說明啟用程序前需要準備的決策和資訊。

確認支援聯絡人

啟用新的 Google SecOps 執行個體時,您會提供公司名稱和聯絡窗口的電子郵件地址。找出貴機構的聯絡窗口。這項設定與「重要聯絡人」無關。

選擇 Google SecOps 設定

啟用時,請將 Security Command Center Enterprise 連線至 Google SecOps 執行個體。

  • 您可以連線至現有執行個體

  • 您可以佈建並連線至新執行個體。即使您已有執行個體,還是可以佈建及連線至新的執行個體。

連線至現有執行個體

您無法將 Security Command Center Enterprise 連線至現有的 Google SecOps SIEM 獨立Google SecOps SOAR 獨立執行個體。如對 Google SecOps 執行個體類型有疑問,請洽詢 Google Cloud 業務代表。

選取現有的 Google SecOps 執行個體後,「連線至 SecOps 執行個體」頁面會提供執行個體的連結,方便您驗證所選項目。您必須具備該執行個體的存取權,才能驗證。 您至少需要管理專案的 Chronicle API 有限資料存取權檢視者 (roles/chronicle.restrictedDataAccessViewer) 角色,才能登入執行個體。

如果您使用已設定工作團隊身分聯盟的現有 Google SecOps 執行個體,佈建 Security Command Center,則必須更新工作團隊身分集區,新增權限才能存取 Security Operations 控制台頁面中的功能,這些功能適用於 Security Command Center Enterprise。詳情請參閱「控管 Security Operations 控制台頁面中的功能存取權」頁面。

佈建新執行個體

您佈建新執行個體時,只有新執行個體會與 Security Command Center 建立關聯。使用 Security Command Center 時,您會在Google Cloud 控制台和新佈建的 Security Operations 控制台頁面之間切換。

啟用時,請指定要佈建新 Google SecOps 執行個體的位置。如需支援的單一區域和多區域清單,請參閱 SecOps 服務位置頁面。 這個位置僅適用於 Google SecOps,不適用於其他 Security Command Center 功能或服務。

每個 Google SecOps 執行個體都必須有專屬的管理專案,且您必須擁有並管理該專案。這個專案必須位於您啟用 Security Command Center Enterprise 的機構中。您無法為多個 Google SecOps 執行個體使用相同的管理專案。

如果您已有 Google SecOps 執行個體,並為 Security Command Center Enterprise 佈建新的執行個體,這兩個執行個體會使用相同的直接擷取 Google Cloud 資料設定。相同的設定會控管資料擷取作業,並將資料傳送至 Google SecOps 執行個體。

啟用 Security Command Center Enterprise 時,啟用程序會修改 Google Cloud 記錄擷取設定,將所有資料類型欄位設為啟用:Google Cloud LoggingCloud 資產中繼資料Security Command Center Premium 發現項目。匯出篩選器設定不會變更。Security Command Center Enterprise 需要這些資料類型,才能確保所有功能正常運作。啟用完成後,您就能變更 Google Cloud 記錄擷取設定

建立機構

Security Command Center 需要與網域相關聯的機構資源。如果您尚未建立機構,請參閱建立及管理機構

如果您有多個機構,請找出要啟用 Security Command Center Enterprise 的機構。如要在組織中啟用 Security Command Center Enterprise,請務必按照下列步驟操作。

驗證機構政策

如果機構政策設為限制資源用量,請確認允許下列 API:

  • chronicle.googleapis.com
  • securitycenter.googleapis.com
  • securitycentermanagement.googleapis.com

建立管理專案

Security Command Center Enterprise 需要專案 (稱為「管理專案」),才能啟用 Google SecOps 和 Mandiant Attack Surface Management 整合功能。建議您專門使用這個專案來執行 Security Command Center Enterprise。

如果您先前已啟用 Google SecOps,且想連線至現有執行個體,請使用已連線至 Google SecOps 的現有管理專案。

如要佈建新的 Google SecOps 執行個體,請建立專屬的新管理專案。請勿重複使用已連線至其他 Google SecOps 執行個體的管理專案。

進一步瞭解如何建立及管理專案

設定權限和 API

本節列出設定 Security Command Center Enterprise 時須具備的 Identity and Access Management 角色,並說明如何在機構和管理專案中授予這些角色。本文也會說明如何啟用 Security Command Center Enterprise 層級所需的所有 API。進一步瞭解 Security Command Center 角色Google Cloud API

設定機構的權限

Make sure that you have the following role or roles on the organization:

  • Organization Administrator (roles/resourcemanager.organizationAdmin)
  • Cloud Asset Owner (roles/cloudasset.owner)
  • Security Center Admin (roles/securitycenter.admin)
  • Security Admin (roles/iam.securityAdmin)
  • Chronicle Service Viewer (roles/chroniclesm.viewer)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    前往「IAM」頁面
  2. 選取機構。
  3. 按一下「授予存取權」

  4. 在「New principals」(新增主體) 欄位中,輸入您的使用者 ID。 這通常是 Google 帳戶的電子郵件地址。

  5. 在「Select a role」(選取角色) 清單中,選取角色。
  6. 如要授予其他角色,請按一下 「新增其他角色」,然後新增每個其他角色。
  7. 按一下 [Save]

    8. 在管理專案中設定權限並啟用 API

    1. 在 Google Cloud 控制台中,確認您正在查看要啟用 Security Command Center Enterprise 方案的機構。
    2. 選取您先前建立的管理專案。

    3. Make sure that you have the following role or roles on the project:

      • Service Usage Admin (roles/serviceusage.serviceUsageAdmin)
      • Service Account Token Creator (roles/iam.serviceAccountTokenCreator)
      • Chronicle API Admin (roles/chronicle.admin)
      • Chronicle Service Admin (roles/chroniclesm.admin)
      • Chronicle SOAR Admin (roles/chronicle.soarAdmin)
      • Service Account Key Admin (roles/iam.serviceAccountKeyAdmin)
      • Service Account Admin (roles/iam.serviceAccountAdmin)

      Check for the roles

      1. In the Google Cloud console, go to the IAM page.

        Go to IAM
      2. Select the project.

      3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

      4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

      Grant the roles

      1. In the Google Cloud console, go to the IAM page.

        前往「IAM」頁面
      2. 選取專案。
      3. 按一下「授予存取權」

      4. 在「New principals」(新增主體) 欄位中,輸入您的使用者 ID。 這通常是 Google 帳戶的電子郵件地址。

      5. 在「Select a role」(選取角色) 清單中,選取角色。
      6. 如要授予其他角色,請按一下 「新增其他角色」,然後新增每個其他角色。
      7. 按一下 [Save]

    4. Enable the Cloud Asset, Cloud Pub/Sub, Cloud Resource Manager, Compute Engine, Policy Analyzer, and Recommender APIs.

      Enable the APIs

      5. 設定通知聯絡人

      設定重要聯絡人,讓安全管理員接收重要通知。如需操作說明,請參閱「管理通知聯絡人」。

      啟用 Security Command Center Enterprise 級別

      啟動程序會自動設定服務帳戶、權限,以及 Security Command Center Enterprise 隨附的服務。您可以連線至現有的 Google SecOps Standard、Enterprise 或 Enterprise Plus 執行個體,也可以佈建新的執行個體。

      1. 前往 Google Cloud 控制台的 Security Command Center「風險總覽」頁面。

        前往 Security Command Center

      2. 確認您正在查看要啟用 Security Command Center Enterprise 方案的機構。

      3. Security Command Center 頁面中,按一下「取得 Security Command Center」

      4. 在「開始使用 Security Command Center Enterprise」頁面中,查看要設定的服務帳戶和 API,然後按一下「啟用 Enterprise」

        • 如要查看即將建立的服務帳戶,請按一下「查看服務帳戶和權限」
        • 如要查看將啟用的 API,請按一下「查看 Security Command Center Enterprise API」
        • 如要查看條款及細則,請按一下「Security Command Center Enterprise 條款及細則」

        如果沒有看到「開始使用 Security Command Center Enterprise」頁面,請與Google Cloud 銷售團隊聯絡,確認您的訂閱授權是否有效。

        下一頁會根據您的環境顯示不同檢視畫面。

      5. 選擇下列其中一種方式,建立新執行個體或使用現有執行個體。

        • 選取「是,連結現有的 Google Security Operations 執行個體」,然後從選單中選擇執行個體。請繼續步驟 7,開始啟用

          選單會顯示與您要啟用 Security Command Center Enterprise 的機構相關聯的 Google SecOps 執行個體。每個項目都包含 Google SecOps 客戶 ID、佈建的區域,以及相關聯的 Google Cloud 專案名稱。您無法選取與 Security Command Center Enterprise 不相容的執行個體。

          這個頁面會提供所選 Google SecOps 執行個體的連結,方便您進行驗證。如果開啟執行個體時發生錯誤,請確認您具備存取執行個體所需的 IAM 權限

        • 選取「否,建立新的 Google Security Operations 執行個體」,然後繼續執行步驟 6,建立新的 Google SecOps 執行個體

      6. 如要建立新的 Google SecOps 執行個體,請提供其他設定詳情。

        1. 指定公司聯絡資訊。

          • 技術支援聯絡人:輸入個人或群組電子郵件地址。
          • 公司名稱:輸入貴公司名稱。

        2. 選取要佈建 Google Security Operations 的「位置類型」

          • 「Region」(地區):選取單一地區。
          • 多區域:選取多區域位置。

          這個位置資訊僅供 Google SecOps 使用,不適用於其他 Security Command Center 功能。如需支援的單一區域和多區域清單,請參閱 SecOps 服務位置頁面

        3. 按一下「下一步」,然後選取專屬的「管理專案」。您在先前的步驟中建立了專屬管理專案

          如果您選取的專案已連結至現有的 Google SecOps 執行個體,啟動時會發生錯誤。

        4. 請繼續步驟 7,開始啟用

      7. 點選 [Activate] (啟用),系統會顯示「風險總覽」>「Enterprise 設定」分頁,並顯示佈建狀態。這個分頁位於「預覽」

        系統會自動啟用特定服務,例如安全狀態分析、Event Threat Detection、Virtual Machine Threat Detection。安全作業功能準備就緒並顯示發現項目,可能需要一段時間。

      8. 請繼續閱讀下列各節:

      使用設定指南設定其他功能

      Google Cloud 控制台中的設定指南包含六個步驟,以及額外的設定建議。您在 啟用 Security Command Center 時,會完成前兩個步驟。您可以視貴機構需求,在一段時間內完成其餘步驟和建議。

      1. 在 Google Cloud 控制台中,前往 Security Command Center 的「風險總覽」頁面。

        前往總覽頁面

      2. 選取啟用 Security Command Center Enterprise 的機構。

      3. 依序前往「設定」>「方案詳細資料」

      4. 選取您啟用 Security Command Center Enterprise 的機構。

      5. 按一下「查看設定指南」

      6. 如果您也使用 Amazon Web Services (AWS) 或 Microsoft Azure,並想連線至這些雲端供應商來匯入資源資料,請按一下「步驟 3:設定多雲連線器」。如需操作說明,請參閱下列任一文章:

      7. 如要新增可執行安全性作業的使用者和群組,請按一下「步驟 4:設定使用者和群組」。如需操作說明,請參閱「使用 IAM 控制 SecOps 功能的存取權」。

      8. 如要設定安全性自動化調度管理和應變 (SOAR) 功能,請按一下「步驟 5:設定整合」。視 Google Security Operations 執行個體的設定而定,您的用途可能已安裝。如果未安裝,請與帳戶代表或Google Cloud 銷售人員聯絡。如要與支援單處理系統整合,請參閱「整合 Security Command Center Enterprise 與支援單處理系統」。

      9. 如要設定將記錄資料收集到安全資訊與事件管理 (SIEM) 系統,請按一下「步驟 6:設定記錄擷取」。您必須設定資料擷取功能,才能啟用精選偵測和雲端基礎架構授權管理等功能。如需操作說明,請參閱「連結至 AWS 以擷取記錄」和「連結至 Microsoft Azure 以擷取記錄」。

      10. 如要監控 Google Cloud 機構中的機密資料,請按一下「設定 Sensitive Data Protection」。如需操作說明,請參閱「啟用機密資料探索功能」。

      11. 如要提升程式碼安全性,請按一下「設定程式碼安全性」。如需操作說明,請參閱「整合 Assured OSS 以確保程式碼安全」。

      12. 如要掃描已連結 AWS 資源中的安全漏洞,請按一下「設定安全漏洞評估」。如需操作說明,請參閱「啟用及使用 AWS 的安全漏洞評估功能」。

      13. 如要掃描 AWS 虛擬機器中的威脅,請按一下「設定 AWS 的虛擬機器威脅偵測服務」。如需操作說明,請參閱「為 AWS 啟用虛擬機器威脅偵測」。

      使用「企業設定」分頁監控進度及設定服務

      「企業設定」分頁會顯示資源的佈建狀態和初始掃描進度。 Google Cloud

      使用「企業設定」分頁中的功能,執行下列任一操作:

      • 在「風險總覽」>「Enterprise 設定」分頁中,查看佈建狀態,包括 Security Command Center 服務的啟用狀態。

        前往總覽頁面

      • 在「Review security capabilities summary」(查看安全性功能摘要) 部分中,查看發現結果的數量,然後按一下「See details」(查看詳細資料),即可查看建立的服務帳戶。

      • 按一下「新增連接器」,設定從其他雲端服務供應商 (例如 AWS) 擷取資料。

      • 查看各安全性類別啟用的服務數量,然後按一下資訊卡上的「設定」,設定支援該安全性類別的服務。佈建期間,系統會預設啟用特定 Security Command Center 服務。

      後續步驟