本頁說明如何為機構啟用 Security Command Center 標準或進階方案。如果貴機構已設定 Security Command Center,請參閱這份指南,瞭解如何使用 Security Command Center。
Security Command Center 提供三種服務級別:Standard、Premium 和 Enterprise。您選取的層級會決定可用的功能,以及使用 Security Command Center 的費用。如要啟用 Enterprise 級別,請參閱「啟用 Security Command Center Enterprise 級別」。
如要在機構層級啟用 Security Command Center 進階方案,請在 Google Cloud 控制台中選取自助式即付即用計費方案。
首次啟用 Security Command Center 時,您可以啟用資料落地控管機制。啟用後,您就無法啟用或停用資料落地控管機制。詳情請參閱資料落地支援情形。
如要詳細瞭解各層級提供的內建 Security Command Center 服務,請參閱服務層級。
如要瞭解使用 Security Command Center 的相關費用,請參閱定價頁面。
如要只為專案啟用 Security Command Center,請參閱「為專案啟用 Security Command Center」。
必要條件
啟用 Security Command Center 前,您需要有機構、適當的身分與存取權管理 (IAM) 權限,以及適當的機構政策。
建立機構
Security Command Center 需要與網域相關聯的機構資源。如果您尚未建立機構,請參閱「建立及管理機構」。
設定權限
如要設定 Security Command Center,您需要下列 IAM 角色:
- 機構管理員
roles/resourcemanager.organizationAdmin - 安全中心管理員
roles/securitycenter.admin - 安全管理員
roles/iam.securityAdmin - 建立服務帳戶
roles/iam.serviceAccountCreator
進一步瞭解 Security Command Center 角色。
驗證機構政策
如果機構政策設為依照網域設定身分限制:
- 您必須登入允許網域中的帳戶,才能使用 Google Cloud 控制台。
- 服務帳戶必須位於允許的網域中,或是您網域中群組的成員。啟用網域限制共用功能後,您必須符合這項規定,才能允許使用
@*.gserviceaccount.com服務帳戶的服務存取資源。
如果機構政策設為限制資源用量,請確認允許使用 securitycenter.googleapis.com。
機構的啟用情境
本頁面涵蓋下列啟用情境:
- 如果機構從未啟用 Security Command Center,請為機構啟用 Security Command Center Premium 級或 Standard 級。
- 在採用 Standard 方案的機構中,為機構啟用 Security Command Center Premium 方案。
- 如果機構使用即將到期的 Premium 方案訂閱,請改用即付即用計價方案。
首次為機構啟用 Security Command Center 進階方案
如要首次為機構啟用 Security Command Center,請在 Google Cloud 控制台中按照啟用流程操作,選擇服務層級並啟用所需偵測服務。接著,選取要監控的資源或資產,並將權限授予必要的服務帳戶。
請完成下列步驟,在機構層級啟用 Security Command Center 進階方案。
在 Google Cloud 控制台中,前往 Security Command Center。
選取要啟用 Security Command Center 的組織,然後按一下「選取」。
「取得 Security Command Center」視窗隨即開啟。
在「選取級別」中,選取所需級別。
點選「下一步」。「選取服務」頁面隨即開啟。
在「服務」部分,啟用所需的內建 Security Command Center 服務。啟用後,各項服務會掃描所有支援的資源,並回報整個機構的發現。如要停用服務,請按一下服務名稱旁的清單,然後選取「停用」。
如果啟用標準級別,您可以在啟用進階級別前,設定是否啟用進階服務。日後為機構啟用進階級時,系統才會套用這項設定。
以下是特定服務的注意事項:
如要讓 Container Threat Detection 正常運作,請確保叢集使用支援的 Google Kubernetes Engine (GKE) 版本,且 GKE 叢集已正確設定。詳情請參閱「使用 Container Threat Detection」。
Event Threat Detection 會依據 Google Cloud產生的記錄檔,如要使用 Event Threat Detection,請為機構、資料夾和專案啟用記錄。
異常偵測發現項目會自動顯示在 Security Command Center 中。 完成新手上路程序後,您可以按照「設定 Security Command Center 服務」一文中的步驟停用異常偵測功能。
雖然未列出,但選取 Premium 方案時,系統會自動啟用安全狀況服務。
在「授予角色」中,將必要的 IAM 角色授予 Security Command Center 的服務代理程式。
將角色授予服務代理程式後,Security Command Center 和偵測服務就能取得執行功能所需的權限。
服務帳戶名稱的格式如下:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com將
roles/securitycenter.serviceAgentIAM 角色授予這個服務代理人。service-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.com您將
roles/containerthreatdetection.serviceAgent身分與存取權管理角色授予這個服務代理。
服務代理程式會取代
ORGANIZATION_ID,並包含貴機構的數字 ID。如要新增角色,請按一下「授予角色」。
或者,您也可以手動授予角色,只要完成下列步驟即可:
- 展開「手動授予角色」部分,然後複製 gcloud CLI 指令。
- 在 Google Cloud 控制台工具列中,點選「啟用 Cloud Shell」。
- 在顯示的終端機視窗中,貼上您複製的 gcloud CLI 指令,然後按下 Enter 鍵。
如要瞭解與這些角色相關聯的權限,請參閱存取權控管。
在「完成設定」中,檢查資訊並按一下「完成」。
設定完成後,Security Command Center 會開始進行初始資產掃描,之後您就可以使用 Google Cloud 控制台,查看及修正專案中的Google Cloud 安全性和資料風險。
部分產品可能需要一段時間才會開始掃描。請參閱「Security Command Center 延遲時間總覽」,進一步瞭解啟用程序。
請參閱各項服務的說明文件,瞭解是否可以進一步測試或最佳化服務。
舉例來說,Event Threat Detection 依據的是Google Cloud產生的記錄。部分記錄檔一律會啟用,因此啟用 Event Threat Detection 後,系統就會立即開始掃描這些記錄檔。其他記錄 (例如大多數資料存取稽核記錄) 必須先啟用,事件威脅偵測才能掃描。詳情請參閱「記錄類型和啟用規定」。
如要進一步瞭解如何測試及使用各項內建服務,請參閱下列頁面:
從標準級升級至進階級
如要從 Security Command Center Standard 級別升級至 Security Command Center Premium 級別,請完成下列步驟。如要使用訂閱方案,請先Google Cloud 聯絡銷售團隊。
如果貴機構需要 Security Command Center Premium 方案提供的額外威脅偵測和安全防護功能,請完成這項工作。
在 Google Cloud 控制台中,前往 Security Command Center。
選取要升級至 Security Command Center Premium 級別的機構,然後按一下「選取」。
在 Security Command Center 頁面中,按一下「取得進階版」。
在「變更層級」中,確認已選取「進階」。按一下 [Next] (下一步)。
在「查看服務」中,啟用所需的服務。
按一下「更新你的等級」。
從進階版訂閱方案改為即付即用方案
如果您先前是透過訂閱啟用 Security Command Center Premium 級,可以在訂閱到期前,將 Security Command Center 註冊為隨用隨付方案。註冊後,貴機構就能持續存取 Security Command Center Premium 級別。價格異動將於訂閱方案到期後生效。
在 Google Cloud 控制台中,前往 Security Command Center。
選取要變更價格方案的機構,然後按一下「選取」。
在 Security Command Center 的「總覽」頁面中,按一下「設定」。「設定」頁面隨即開啟,並顯示「服務」分頁。
在「設定」頁面中,按一下「層級詳細資料」。「層級」頁面隨即開啟。
按一下「管理等級」。
在「變更層級」頁面中,確認已選取「進階」,然後按一下「下一步」。
在「檢閱服務」頁面中,檢閱已啟用的服務,然後按一下「更新層級」。
從進階級的即付即用方案降級至標準級
如要將 Security Command Center Premium 級的隨用隨付方案變更為 Security Command Center Standard 級,請完成下列步驟。根據預設,如果訂閱方案到期,系統會自動將你降級為 Standard 方案。
降級至 Security Command Center Standard 方案後,您將無法使用 Premium 方案的服務和功能。變更前,請先確認貴機構的安全風險狀況不會受到負面影響。
即使 Security Command Center Standard 級為免費服務,您仍可能間接產生費用。詳情請參閱「可能與 Security Command Center 相關的間接費用」。
完成這項工作後,如果將機構升級回進階級,系統會還原進階級服務的設定。
在 Google Cloud 控制台中,前往 Security Command Center。
選取要降級 Security Command Center 方案的機構,然後按一下「選取」。
在 Security Command Center 的「總覽」頁面中,按一下「設定」。「設定」頁面隨即開啟,並顯示「服務」分頁。
在「設定」頁面中,按一下「層級詳細資料」。「層級」頁面隨即開啟。
按一下「管理等級」。
在「變更層級」頁面中,確認已選取「標準」,然後按一下「下一步」。
在「檢閱服務」頁面中,檢閱已啟用的服務,然後按一下「更新層級」。
將進階級別的啟用層級從專案層級變更為機構層級
如要從專案層級啟用改為機構層級啟用,請按照「首次為機構啟用 Security Command Center」一文所述的啟用程序操作。
下列價格異動適用於:
- 使用 Security Command Center Premium 級時,費用會計入機構層級啟用作業。
- 機構層級啟用 Security Command Center 後,相關定價條款即為有效條款。系統會根據用量所屬的專案回報費用。
如果改為在機構層級啟用,請勿刪除在專案層級啟用 Security Command Center 時建立的 Security Command Center 服務帳戶。如果您刪除服務帳戶,某些 Security Health Analytics 偵測器可能無法正常運作。
透過 Premium 方案監控費用
如要監控與 Security Command Center Premium 級相關的費用,可以使用 Cloud Billing。您可以將帳單資料匯出至 BigQuery 進行詳細分析,也可以建立預算並設定支出快訊。詳情請參閱「監控費用」。
後續步驟
- 瞭解如何設定 Security Command Center 服務。
- 瞭解如何在 Google Cloud 控制台中使用 Security Command Center。
- 瞭解如何使用 Security Command Center 發現項目。
- 瞭解Google Cloud 安全性來源。