本頁面概略說明啟用 Security Command Center 時的啟動程序。這項功能旨在回答常見問題:
- 啟用 Security Command Center 後會發生什麼情況?
- 為什麼要延遲一段時間,才會開始第一次掃描?
- 首次掃描和持續掃描的預期執行時間為何?
- 變更資源和設定會如何影響成效?
總覽
首次啟用 Security Command Center 時,必須先完成啟用程序,Security Command Center 才能開始掃描資源。掃描完成後,您才能查看Google Cloud 環境的完整發現結果。
啟用程序和掃描作業的完成時間取決於多項因素,包括環境中的資產和資源數量,以及 Security Command Center 是在機構層級還是專案層級啟用。
如果是在機構層級啟用,Security Command Center 必須為機構中的每個專案重複啟用程序中的特定步驟。視機構中的專案數量而定,啟用程序可能需要幾分鐘到幾小時的時間。如果機構有超過 10 萬個專案,每個專案都有大量資源,以及其他複雜因素,啟用和初始掃描作業最多可能需要 24 小時以上才能完成。
在專案層級啟用 Security Command Center 時,啟用程序會快上許多,因為程序僅限於啟用 Security Command Center 的單一專案。
以下各節將討論可能導致掃描啟動、處理設定變更和掃描執行時間延遲的因素。
拓撲
下圖概略說明啟用程序。
新手上路流程中的延遲
掃描開始前,Security Command Center 會探索資源並建立索引。
索引服務包括 App Engine、BigQuery、Cloud SQL、Cloud Storage、Compute Engine、Identity and Access Management 和 Google Kubernetes Engine。
如果是在專案層級啟用 Security Command Center,探索和建立索引的範圍僅限於啟用 Security Command Center 的單一專案。
如果是機構層級的啟用作業,Security Command Center 會探索並為整個機構的資源建立索引。
在導入過程中,有兩個重要步驟。
資產掃描
Security Command Center 會先掃描資產,找出專案、資料夾、檔案、叢集、身分、存取權政策、已註冊使用者和其他資源的總數、位置和狀態。這項程序通常會在幾分鐘內完成。
啟用 API
系統探索資源時,Security Command Center 會啟用安全狀態分析、Event Threat Detection、Container Threat Detection 和 Web Security Scanner 運作所需的元件。Google Cloud 部分偵測服務需要受保護專案啟用特定 API 才能運作。
在專案層級啟用 Security Command Center 時,API 通常會在不到一分鐘內啟用。
啟用組織層級的 Security Command Center 後,系統會逐一檢查您選取要掃描的所有專案,並啟用必要的 API。
機構中的專案數量在很大程度上決定了導入和啟用程序的長度。由於必須逐一啟用專案的 API,因此啟用 API 通常最耗時,對於擁有超過 10 萬個專案的機構來說更是如此。
啟用跨專案服務所需的時間會呈線性增加。也就是說,如果某個機構有 30,000 個專案,啟用服務和安全性設定所需的時間,通常是 15,000 個專案機構的兩倍。
如果機構有 10 萬個專案,應可在五小時內完成新手上路程序,並啟用進階層級。時間長度取決於多項因素,包括您使用的專案或容器數量,以及選擇啟用的 Security Command Center 服務數量。
掃描延遲
設定 Security Command Center 時,您可以決定要啟用哪些內建和整合式服務,並選取要分析或掃描威脅和安全漏洞的 Google Cloud 資源。為專案啟用 API 後,所選服務就會開始掃描。掃描時間長度也取決於機構中的專案數量。
完成初始掃描後,即可查看內建服務的發現項目。服務會出現下列延遲情形。
- Container Threat Detection 的延遲時間如下:
- 新加入的專案或機構最多可能需要 3.5 小時才會啟用。
- 新建立叢集的啟用延遲時間 (以分鐘為單位)。
- 已啟用的叢集偵測威脅時,延遲時間為幾分鐘。
內建偵測器會在幾秒內啟動 Event Threat Detection。如果是新建立或更新的自訂偵測器,變更最多可能需要 15 分鐘才會生效。實際上,這項作業通常會在 5 分鐘內完成。
對於內建和自訂偵測工具,從寫入記錄到 Security Command Center 提供發現項目,偵測延遲時間通常不到 15 分鐘。
啟用服務後,Security Health Analytics 大約會在 1 小時後開始掃描。首次執行 Security Health Analytics 掃描時,最多可能需要 12 小時才能完成。之後,系統會針對資產設定變更即時執行大部分的偵測作業 (例外狀況詳列於「安全狀態分析偵測延遲」一文)。
新加入的機構啟用 VM Threat Detection 時,最多可能需要 48 小時。如果是專案,啟動延遲時間最長為 15 分鐘。
Amazon Web Services (AWS) 的安全漏洞評估功能會在帳戶中首次部署必要的 CloudFormation 範本後,大約 15 分鐘開始掃描 AWS 帳戶中的資源。在 AWS 帳戶中偵測到軟體安全漏洞時,相關發現項目會在約 10 分鐘後顯示在 Security Command Center 中。
完成掃描所需時間取決於 EC2 執行個體的數量。一般來說,掃描單一 EC2 執行個體的時間不到 5 分鐘。
啟用服務後,Web Security Scanner 最多需要 24 小時才會開始掃描,第一次掃描後則每週執行一次。
Security Command Center 會執行錯誤偵測工具,偵測與 Security Command Center 及其服務相關的設定錯誤。這些錯誤偵測工具預設為啟用,且無法停用。偵測延遲時間會因錯誤偵測器而異。詳情請參閱「Security Command Center 錯誤」。
您可以在機構、資料夾或專案層級授予 Security Command Center 的 IAM 角色。您能否查看、編輯、建立或更新發現項目、資產和安全性來源,取決於您獲准的存取層級。如要進一步瞭解 Security Command Center 角色,請參閱存取權控管。
初步發現
在初始掃描進行期間,您可能會在 Google Cloud 控制台中看到一些發現項目,但此時啟用程序尚未完成。
初步發現結果準確且可做為行動依據,但並非全面性的結果。建議不要在 24 小時內使用這些發現進行法規遵循評估。
後續掃描
在機構或專案中進行變更 (例如移動資源,或在機構層級啟用時新增資料夾和專案),通常不會大幅影響資源探索時間或掃描的執行階段。不過,部分掃描作業會依排定的時間表進行,這會決定 Security Command Center 偵測到變更的速度。
- Event Threat Detection 和 Container Threat Detection:啟用後,這些服務會即時運作,並立即偵測已啟用專案中新增或變更的資源,例如叢集、buckets 或記錄。
- 安全性狀態分析:開啟後,安全性狀態分析會即時執行,並在幾分鐘內偵測到新的或變更的資源,但下列偵測結果除外。
- VM 威脅偵測:如要掃描記憶體,VM 威脅偵測會在建立執行個體後立即掃描每個 VM 執行個體。此外,VM 威脅偵測每 30 分鐘會掃描每個 VM 執行個體。
- 如要偵測加密貨幣挖礦行為,VM 威脅偵測每天會針對每個 VM 的每個程序產生一項發現項目。每個發現項目只會列出與該項目所識別程序相關的威脅。如果 VM 威脅偵測功能發現威脅,但無法將其與任何程序建立關聯,則會針對每個 VM,將所有未建立關聯的威脅歸入單一發現項目,每 24 小時產生一次。如果威脅持續超過 24 小時,VM 威脅偵測功能每 24 小時就會產生新的調查結果。
- 對於處於搶先版的核心模式 Rootkit 偵測功能,VM 威脅偵測每隔三天會為每個 VM 的每個類別產生一項發現項目。
為偵測已知惡意軟體,VM 威脅偵測功能會每天掃描每個 VM 執行個體,
AWS 安全漏洞評估功能每天會執行三次掃描。
完成掃描所需時間取決於 EC2 執行個體的數量。一般來說,掃描單一 EC2 執行個體的時間不到 5 分鐘。
在 AWS 帳戶中偵測到軟體安全漏洞時,相關發現項目會在約 10 分鐘後顯示在 Security Command Center 中。
Web Security Scanner:Web Security Scanner 每週都會執行掃描,時間與初始掃描的日期相同。由於網頁安全掃描器每週執行一次,因此不會即時偵測變更。如果您移動資源或變更應用程式,系統可能需要一週的時間才能偵測到變更。您可以執行隨選掃描,檢查排定掃描之間的新資源或變更資源。
Security Command Center 錯誤偵測工具會定期以批次模式執行。批次掃描頻率會因錯誤偵測器而異。詳情請參閱「Security Command Center 錯誤」。
Security Health Analytics 偵測延遲
啟用服務後,安全性狀態分析偵測功能會定期以批次模式執行,相關資產的設定變更時也會執行。啟用安全狀態分析後,任何相關資源設定變更都會導致設定錯誤發現項目更新。視素材資源類型和變更而定,更新作業可能需要幾分鐘才能完成。
如果偵測器會針對資源設定以外的資訊執行偵測,部分 Security Health Analytics 偵測器就不支援立即掃描模式。下表列出的偵測作業會定期執行,並在 12 小時內找出設定錯誤。如要進一步瞭解安全狀態分析偵測器,請參閱「安全漏洞和發現項目」。
| 不支援即時掃描模式的 Security Health Analytics 偵測項目 |
|---|
| COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
| MFA_NOT_ENFORCED (先前稱為 2SV_NOT_ENFORCED) |
| OS_LOGIN_DISABLED |
| SQL_NO_ROOT_PASSWORD |
| SQL_WEAK_ROOT_PASSWORD |
攻擊路徑模擬
系統大約每六小時會執行一次攻擊路徑模擬。隨著機構規模或複雜度增加,間隔時間可能會延長。Google Cloud
首次啟用 Security Command Center 時,攻擊路徑模擬功能會使用預設的高價值資源組合,著重於機構中支援的資源類型子集。詳情請參閱支援的資源類型清單。
建立資源值設定來定義自己的高價值資源集時,如果高價值資源集中的資源執行個體數量遠低於預設集,您可能會發現模擬間隔時間縮短。