本页介绍了如何设置 Security Command Center Cloud Infrastructure Entitlement Management (CIEM) 检测服务,以检测您在其他云平台(例如 Amazon Web Services [AWS])上部署的资源中的身份问题。
CIEM 检测服务会生成发现结果,提醒您注意 AWS 环境中可能存在的身份和访问安全问题,例如具有高特权的假定 IAM 角色、用户和群组。
准备工作
在启用 CIEM 检测服务之前,请完成以下任务:
- 为贵组织购买并激活 Security Command Center 的企业版层级。如需查看相关说明,请参阅激活 Security Command Center Enterprise 层级。
- 了解 Security Command Center 的 CIEM 功能。
设置权限
如需获得启用 CIEM 所需的权限,请让您的管理员为您授予 Google Cloud 组织的以下 IAM 角色:
- Chronicle API Admin (roles/chronicle.admin)
- Chronicle SOAR Admin (roles/chronicle.soarAdmin)
- Chronicle Service Admin (roles/chroniclesm.admin)
- Cloud Asset Owner (roles/cloudasset.owner)
- Create Service Accounts (roles/iam.serviceAccountCreator)
- Folder IAM Admin (roles/resourcemanager.folderIamAdmin)
- IAM Recommender Admin (roles/recommender.iamAdmin)
- Organization Administrator (roles/resourcemanager.organizationAdmin)
- Organization Role Administrator (roles/iam.roleAdmin)
- Project Creator (roles/resourcemanager.projectCreator)
- Project IAM Admin (roles/resourcemanager.projectIamAdmin)
- Security Admin (roles/iam.securityAdmin)
- Security Center Admin (roles/securitycenter.admin)
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
为 CIEM 配置支持组件
如需让 CIEM 检测服务为其他云服务提供商生成发现结果,您必须在 Security Command Center 中配置某些支持组件。
若要为 AWS 启用 CIEM 检测服务,请完成以下任务:
- 设置 Amazon Web Services (AWS) 集成:完成此步骤可将您的 AWS 环境连接到 Security Command Center,以进行漏洞和风险评估。如需查看相关说明,请参阅连接到 AWS 以进行漏洞检测和风险评估。
- 配置集成:完成此步骤可设置可选的 Security Command Center 集成,例如连接到工单系统:
- 如需关联工单系统,请参阅将 Security Command Center Enterprise 与工单系统集成。
- 如需同步支持请求数据,请为支持请求启用同步。
- 配置日志提取:如需为 CIEM 正确配置日志提取,请参阅为 CIEM 配置 AWS 日志提取。
将 CIEM 与 Google Cloud 搭配使用
默认情况下,Security Command Center 的大多数 CIEM 功能都适用于您的 Google Cloud 环境,无需任何额外配置。作为 Security Command Center 的 CIEM 功能的一部分,只要您有有效的 Security Command Center Enterprise 订阅,系统就会自动为 Google Cloud 生成发现结果。
后续步骤
- 了解如何调查身份和访问权限发现结果。
- 了解如何查看身份和访问权限问题支持请求。
- 详细了解 Security Command Center 角色。