專案層級啟用功能的可用性

部分 Security Command Center 功能 (偵測服務和發現項目類別) 需要存取單一專案範圍外的記錄、資料、資源,甚至是其他服務,因此無法在專案層級啟用。

如要啟用這類功能,請在父項機構中啟用 Security Command Center 標準層級 (Security Command Center Standard)。不過,如果啟用專案層級的存取權,就無法使用清單中的部分功能。

啟用免費的 Security Command Center Standard 後,整個機構 (包括所有專案) 都能使用 Standard 級別的功能。

以下各節列出 Security Command Center 服務和發現項目類別,這些項目必須在機構層級啟用,且啟用與否取決於服務層級。

在父機構中啟用「標準」層級後可使用的功能

本節列出在父項機構中啟用 Security Command Center Standard 後,可為專案層級啟用的 Security Command Center 啟用的功能。

安全性狀態分析發現項目

如要在專案層級啟用 Security Command Center Premium 時,啟用下列 Standard 層級的發現項目類別,請在父項機構中啟用 Security Command Center Standard,這樣機構中的所有專案都會啟用發現項目:

  • MFA not enforced
  • Public log bucket

在專案層級啟用 Security Command Center 進階方案時,只要在父項機構啟用 Security Command Center 標準方案,即可啟用下列進階層級的發現項目類別:

  • Audit config not monitored
  • Bucket IAM not monitored
  • Cluster private Google access disabled
  • CUSTOM_ORG_POLICY_VIOLATION
  • Custom role not monitored
  • Default network
  • DNS logging disabled
  • Egress deny rule not set
  • Firewall not monitored
  • HTTP load balancer
  • KMS project has owner
  • Legacy network
  • Locked retention policy not set
  • Log not exported
  • Network not monitored
  • Object versioning disabled
  • Org policy Confidential VM policy
  • Org policy location restriction
  • OS login disabled
  • Owner not monitored
  • Pod security policy disabled
  • Route not monitored
  • SQL instance not monitored
  • Too many KMS users
  • Weak SSL policy

如需安全狀態分析發現項目的完整清單,請參閱「安全漏洞發現項目」。

Event Threat Detection 發現項目

在父項機構啟用 Security Command Center 標準方案後,您就能在專案層級啟用 Security Command Center 進階方案,並啟用下列進階層級的發現項目類別:

  • Exfiltration: BigQuery data extraction
  • Exfiltration: CloudSQL data exfiltration

如需 Event Threat Detection 發現項目類別的完整清單,請參閱「Event Threat Detection 規則」。

整合式 Google Cloud 服務

如要在專案層級啟用 Security Command Center Premium,並發布下列整合式Google Cloud 服務的發現項目,請在父項機構中啟用 Security Command Center Standard,這樣一來,機構中的所有專案都會啟用這些服務:

如要在專案層級啟用進階級服務,並發布來自下列整合式進階級服務 Google Cloud 的發現項目,請在父項機構啟用 Security Command Center 標準方案:

與第三方服務整合

如要在專案層級啟用這項功能,請在父項機構中啟用 Security Command Center Standard,即可發布第三方服務的發現結果。

專案層級啟用 Premium 方案後無法使用的功能

本節列出的功能屬於進階層級,必須在機構層級啟用 Security Command Center 進階方案才能使用。如果是在專案層級啟用進階方案,就無法使用這些功能。

專案層級啟用時無法使用的安全性狀態分析發現項目類別

如要查看下列安全性狀態分析發現項目,必須在機構層級啟用 Security Command Center Premium:

  • Audit logging disabled
  • KMS role separation
  • Redis role used on org
  • Service account role separation

如需安全狀態分析發現項目的完整清單,請參閱「安全漏洞發現項目」。

專案層級啟用時無法使用的 Event Threat Detection 發現項目類別

如要查看下列 Event Threat Detection 發現結果,必須在機構層級啟用 Security Command Center Premium:

  • Defense evasion: modify VPC service control
  • Impair defenses: two step verification disabled
  • Initial access: account disabled hijacked
  • Initial access: disabled password leak
  • Initial access: government based attack
  • Initial access: suspicious login blocked
  • Persistence: new geography
  • Persistence: new user agent
  • Persistence: SSO enablement toggle
  • Persistence: SSO settings changed
  • Persistence: strong authentication disabled
  • Privilege escalation: external member added to privileged group
  • Privilege escalation: privileged group opened to public
  • Privilege escalation: sensitive role granted to hybrid group
  • Privilege escalation: suspicious cross-project permission use
  • Privilege escalation: suspicious token generation

如需 Event Threat Detection 發現項目類別的完整清單,請參閱「Event Threat Detection 規則」。

在專案層級啟用時,無法使用「敏感動作服務」發現項目類別

如要查看下列敏感動作服務發現項目,必須在機構層級啟用 Security Command Center 進階方案:

  • Defense Evasion: Organization Policy Changed
  • Defense Evasion: Remove Billing Admin
  • Persistence: Add Sensitive Role

如需敏感動作服務發現類別的完整清單,請參閱「敏感動作服務發現」。

攻擊路徑模擬

攻擊路徑模擬是進階層級的功能,無法在專案層級啟用 Security Command Center 時使用。攻擊路徑模擬會針對安全漏洞和錯誤設定的發現項目,產生遭受攻擊的風險分數攻擊路徑

安全防護機制

安全防護措施管理是進階方案功能,無法在專案層級啟用 Security Command Center 時使用。您可以使用安全防護機制服務,定義、評估及監控Google Cloud的整體安全性狀態。