Security Command Center 概览

本页面概要介绍了 Security Command Center,这是一款风险管理解决方案,在企业层级将云安全和企业安全运维相结合,并利用 Mandiant 的专业知识和 Gemini 人工智能技术提供数据分析。

借助 Security Command Center,安全运维中心 (SOC) 分析师、漏洞和状况分析师、合规性管理员和其他安全专业人士可以快速评估、调查和响应多个云环境中的安全问题。

每个云部署都有其独特的风险。Security Command Center 可帮助您了解和评估 Google Cloud 上项目或组织的攻击面,以及其他云环境的攻击面。正确配置 Security Command Center 可保护您的资源,并帮助您了解云环境中检测到的漏洞和威胁,以及确定修复这些漏洞和威胁的优先级。

Security Command Center 与许多 Google Cloud 服务集成,可检测多个云环境中的安全问题。这些服务会通过多种方式检测问题,例如扫描资源元数据、扫描云日志、扫描容器和扫描虚拟机。

其中一些集成服务(例如 Google 安全运维和 Mandiant)还提供对确定优先级、管理调查以及对检测到的问题做出响应至关重要的功能和信息。

管理威胁

在高级版和企业版层级中,Security Command Center 会同时使用内置和集成的 Google Cloud 服务来检测威胁。这些服务会扫描您的 Google Cloud 日志、容器和虚拟机,以查找威胁线索。

如果这些服务(例如 Event Threat Detection 或 Container Threat Detection)检测到威胁指标,则会发出发现结果。发现是指服务在您的云环境中发现的个别威胁或其他问题的报告或记录。发出发现结果的服务也称为发现结果来源

在 Security Command Center Enterprise 中,发现结果会触发提醒,后者可能会根据发现结果的严重程度生成支持请求。您可以将支持请求系统与支持请求关联,以便为支持请求中的一条或多条提醒指定调查人员和回复人员。

Security Command Center Enterprise 还可以检测您在其他云平台上的部署中的威胁。为了检测其他云平台上部署的应用中的威胁,Security Command Center 会在您建立连接后提取来自其他云平台的日志。

如需了解详情,请参阅以下页面:

威胁检测与响应功能

借助 Security Command Center,SOC 分析师可以实现以下安全目标:

  • 检测云环境中可能表明存在潜在威胁的事件,并对相关发现或提醒进行分类。
  • 通过集成的支持请求工作流,分配所有者并跟踪调查和响应的进度。(可选)您可以集成首选的服务工单系统,例如 Jira 或 ServiceNow。
  • 借助强大的搜索和交叉引用功能,调查威胁提醒。
  • 定义响应工作流并自动执行操作,以应对云环境可能遭受的攻击。如需详细了解如何使用 Playbook 定义响应工作流和自动化操作,请参阅使用 Playbook
  • 忽略或排除假正例发现结果或提醒。
  • 重点关注与身份信息泄露和访问权限相关的威胁。
  • 使用 Security Command Center 检测、调查和应对其他云环境(例如 AWS)中的潜在威胁。

管理漏洞

Security Command Center 提供全面的漏洞检测功能,可自动扫描环境中的资源,以查找软件漏洞、配置错误以及其他可能导致您遭到攻击的安全问题。这类问题统称为漏洞

Security Command Center 会同时使用内置和集成的 Google Cloud 服务来检测安全问题。发出发现结果的服务也称为发现结果来源。当服务检测到问题时,会发出发现结果来记录问题。

默认情况下,系统会针对严重级别和严重级别的漏洞发现结果自动打开支持请求,以帮助您确定漏洞修复的优先级。您可以为支持请求分配负责人,并跟踪问题解决进度。

详情请参阅以下内容:

危险组合

Security Command Center 风险引擎是企业版层级的一项功能,可检测一组安全问题。如果这些问题以特定模式同时出现,就会形成通往您的一个或多个高价值资源的路径,而有决心的攻击者可能会利用这些路径来访问和破坏这些资源。

这种模式化的安全问题组合称为有害组合。当风险引擎检测到有害组合时,会发出相应发现结果。对于每个有毒组合发现结果,Security Command Center 都会在 Security Operations 控制台中创建一个支持请求,以便您管理和跟踪有毒组合的解决方案。

如需了解详情,请参阅有毒组合概览

软件漏洞

为了帮助您识别、了解和确定软件漏洞的优先级,Security Command Center 可以评估云环境中的虚拟机 (VM) 和容器是否存在漏洞。对于每个检测到的漏洞,Security Command Center 都会在发现结果记录或发现结果中提供详细信息。与发现结果一起提供的信息可能包括:

  • 受影响资源的详细信息
  • 与任何关联的 CVE 记录相关的信息,包括 Mandiant 对 CVE 项影响和可利用性的评估
  • 攻击风险得分,可帮助您确定修复优先级
  • 以可视化方式表示攻击者可能采取的路径,以便到达漏洞暴露的高价值资源

软件漏洞由以下服务检测到:

错误配置

Security Command Center 会将用于扫描配置错误的服务的检测器映射到常见行业合规性标准的控件。除了显示错误配置违反的合规性标准之外,该映射还可让您了解自己对各种标准的合规性程度,然后将其导出为报告。

如需了解详情,请参阅评估和报告合规性

姿势违规

Security Command Center 的高级版和企业版层级包含安全状况服务,当您的云资源违反您在云环境中部署的安全状况中定义的政策时,该服务会发出发现结果。

如需了解详情,请参阅安全状况服务

验证基础架构即代码

您可以验证基础架构即代码 (IaC) 文件是否符合贵组织的政策以及您在 Google Cloud 组织中定义的 Security Health Analytics 检测器。此功能有助于确保您部署的资源不会违反贵组织的标准。定义组织政策并根据需要启用 Security Health Analytics 服务后,您可以使用 Google Cloud CLI 验证 Terraform 计划文件,也可以将验证流程集成到 Cloud Build、Jenkins 或 GitHub Actions 开发者工作流中。如需了解详情,请参阅根据组织的政策验证 IaC

检测其他云平台上的漏洞和错误配置

Security Command Center Enterprise 可以检测多个云环境中的漏洞。如需检测其他云服务提供商中的漏洞,您首先需要与提供商建立连接,以注入资源元数据。

如需了解详情,请参阅连接到 AWS 以进行漏洞检测和风险评估

漏洞和安全状况管理功能

借助 Security Command Center,漏洞分析师、安全状况管理员和类似的安全专业人士可以实现以下安全目标:

  • 检测各种类型的漏洞,包括软件漏洞、错误配置和违反安全状况的行为,这些漏洞可能会使您的云环境面临潜在攻击。
  • 针对漏洞的发现结果和提醒使用攻击风险得分,将响应和修复工作重点放在风险最高的问题上。
  • 使用工单并集成首选工单系统(例如 Jira 或 ServiceNow),分配负责人并跟踪漏洞修复进度。
  • 通过降低云环境中高价值资源的攻击风险得分,主动保护这些资源
  • 为您的云环境定义自定义安全状况,Security Command Center 会使用这些安全状况来评估您的安全状况并在出现违规行为时提醒您。
  • 忽略或排除假正例发现结果或提醒。
  • 重点关注与身份和过多权限相关的漏洞。
  • 在 Security Command Center 中检测和管理其他云环境(例如 AWS)的漏洞和风险评估。

利用攻击风险得分和攻击路径评估风险

高级版和企业版的组织级激活后,Security Command Center 会为高价值资源提供攻击风险得分,以及影响高价值资源的漏洞和配置错误发现结果。

您可以使用这些得分来确定漏洞和配置错误的修复优先级,确定最易遭到攻击的高价值资源的安全优先级,以及一般评估云环境的攻击风险。

在 Google Cloud 控制台的 风险概览页面有效漏洞窗格中,按攻击风险得分显示发现结果标签页会显示您环境中攻击风险得分最高的发现结果,以及发现结果得分的分配情况。

如需了解详情,请参阅攻击风险得分和攻击路径

通过案例管理发现结果和提醒

Security Command Center Enterprise 会创建支持请求,以帮助您管理发现结果和提醒、指定负责人,以及管理对检测到的安全问题的调查和响应。系统会自动为严重和极其严重的问题打开支持请求。

您可以将支持请求与首选工单系统(例如 Jira 或 ServiceNow)集成。更新支持请求后,相应支持请求的所有未结工单都可以自动更新。同样,如果工单更新了,相应的支持请求也可能会更新。

如需了解详情,请参阅 Google SecOps 文档中的支持请求概览

定义响应工作流和自动化操作

定义响应工作流并自动执行操作,以调查和响应在云环境中检测到的安全问题。

如需详细了解如何使用 Playbook 定义响应工作流和自动操作,请参阅使用 Playbook

多云端支持:保护您在其他云平台上的部署

您可以将 Security Command Center 服务和功能扩展到其他云平台上的部署,以便在一个位置管理在所有云环境中检测到的所有威胁和漏洞。

如需详细了解如何将 Security Command Center 与其他云服务提供商相关联,请参阅以下页面:

支持的云服务提供商

Security Command Center 可以连接到 Amazon Web Services (AWS)。

定义和管理安全状况

通过在组织一级激活 Security Command Center 的高级和企业版层级,您可以创建和管理安全状况,定义云资产(包括云网络和云服务)的必要状态,以便在云环境中实现最佳安全性。您可以自定义安全状态,以满足企业的安全和监管需求。通过定义安全状况,您可以最大限度地降低组织的网络安全风险,并帮助防范攻击。

您可以使用 Security Command Center 安全状况服务来定义和部署安全状况,并检测与您定义的安全状况存在偏差或未经授权的更改。

当您在组织级层激活 Security Command Center 时,系统会自动启用安全状况服务。

如需了解详情,请参阅安全状况概览

识别您的资产

Security Command Center 包含 Cloud Asset Inventory 中的资产信息,该工具会持续监控云环境中的资产。对于大多数资源,系统会以近乎实时的方式检测配置更改(包括 IAM 和组织政策)。

在 Google Cloud 控制台中的资产页面上,您可以快速应用、修改和运行示例资产查询,添加预设时间限制,也可以编写自己的资产查询。

如果您使用的是 Security Command Center 的高级或企业层级,则可以查看哪些资产被指定为高价值资源,以便通过攻击路径模拟进行风险评估。

您可以快速识别组织或项目中的更改,并回答如下问题:

  • 您有多少个项目?这些项目是什么时候创建的?
  • 部署或使用了哪些 Google Cloud 资源,例如 Compute Engine 虚拟机 (VM)、Cloud Storage 存储桶或 App Engine 实例?
  • 您的部署历史记录是什么?
  • 如何跨以下类别整理、注释、搜索、选择、过滤和排序:
    • 资产和资产属性
    • 安全标记,可让您在 Security Command Center 中注释资产或发现结果
    • 时间段

Cloud Asset Inventory 始终了解受支持的资产的当前状态,并且在 Google Cloud 控制台中可让您查看历史探索扫描以比较不同时间点的资产。您还可以查找虚拟机或空闲 IP 地址等未充分利用的资产。

Security Command Center 中的 Gemini 功能

Security Command Center 集成了 Gemini,可提供发现结果和攻击路径摘要,并协助您搜索和调查检测到的威胁和漏洞。

如需了解 Gemini,请参阅 Gemini 概览

Gemini 对发现结果和攻击路径的摘要

如果您使用的是 Security Command Center Enterprise 或高级版,Gemini 会为每个发现结果以及 Security Command Center 为 VulnerabilityMisconfiguration 类发现结果生成的每个模拟攻击路径提供动态生成的说明。

摘要采用自然语言编写,可帮助您快速了解发现结果以及可能随之而来的任何攻击路径,并据此采取行动。

摘要会显示在 Google Cloud 控制台中的以下位置:

  • 点击个别发现结果的名称后,该发现结果详情页面顶部的摘要。
  • 在 Security Command Center 的高级和企业版中,如果发现结果具有攻击风险得分,您可以点击攻击风险得分,然后点击 AI 摘要,以在攻击路径的右侧显示摘要。

使用 AI 生成摘要所需的 IAM 权限

如需查看 AI 摘要,您需要必要的 IAM 权限。

对于发现结果,您需要拥有 securitycenter.findingexplanations.get IAM 权限。包含此权限的最小预定义 IAM 角色是 Security Center Findings Viewer (roles/securitycenter.findingsViewer) 角色。

对于攻击路径,您需要拥有 securitycenter.exposurepathexplan.get IAM 权限。包含此权限的最小预定义 IAM 角色是 Security Center Visibility Paths Reader (roles/securitycenter.exposurePathsViewer) 角色。

在预览版期间,您无法在 Google Cloud 控制台中将这些权限添加到自定义 IAM 角色。

如需为自定义角色添加权限,您可以使用 Google Cloud CLI。

如需了解如何使用 Google Cloud CLI 为自定义角色添加权限,请参阅创建和管理自定义角色

用于威胁调查的自然语言搜索

您可以使用自然语言查询和 Gemini 生成搜索结果,以查找威胁发现、提醒和其他信息。如需了解详情,请参阅 Google SecOps 文档中的使用自然语言生成 UDM 搜索查询

适用于支持请求的 AI 调查微件

为了帮助您了解和调查案例以发现问题和提醒,Gemini 会提供每个案例的摘要,并建议您可以采取的后续步骤来调查该案例。当您查看支持请求时,摘要和后续步骤会显示在 AI 调查微件中。

富有实用价值的安全性数据分析

Security Command Center 的内置 Google Cloud 服务和集成服务会持续监控资产和日志,以查找与已知威胁、漏洞和配置错误相匹配的失陷指标和配置更改。为了为突发事件提供上下文,系统使用以下来源的信息来丰富发现结果:

  • 企业版和高级版:
    • AI 生成的摘要,可帮助您了解 Security Command Center 发现结果以及其中包含的任何攻击路径,并据此采取行动。如需了解详情,请参阅 AI 生成的摘要
    • 漏洞发现结果包含相应 CVE 条目中的信息,包括 CVE 评分,以及 Mandiant 对漏洞潜在影响和被利用可能性的评估。
    • 强大的 SIEMSOAR 搜索功能,可让您在统一的时间轴上调查威胁和漏洞,并浏览相关实体。
  • VirusTotal,这是一项 Alphabet 自有服务,用于提供有关潜在恶意文件、网址、网域和 IP 地址的上下文。
  • MITRE ATT&CK 框架,介绍了针对云资源的攻击方法并提供修复指导。
  • Cloud Audit Logs(管理员活动日志数据访问日志)。

您可以近乎实时地收到新发现结果的通知,从而帮助安全团队收集数据、识别威胁以及根据建议采取相应措施来避免造成业务损害或损失。

借助集中式安全状况视图和功能强大的 API,您可以快速执行以下操作:

  • 回答如下问题:
    • 哪些静态 IP 地址对公众开放?
    • 您的虚拟机上正在运行哪些映像?
    • 是否有证据表明您的虚拟机被用于加密货币挖矿或其他滥用行为?
    • 添加或移除了哪些服务账号?
    • 防火墙是如何配置的?
    • 哪些存储桶包含个人身份信息 (PII) 或敏感数据?此功能需要与 Sensitive Data Protection 集成。
    • 哪些云应用容易受到跨站点脚本 (XSS) 漏洞的攻击?
    • 我的 Cloud Storage 存储分区是否向互联网开放?
  • 采取措施保护您的资产:
    • 针对资产配置错误和违规情况实施经过验证的修复步骤。
    • 结合来自 Google Cloud 和第三方提供商(例如 Palo Alto Networks)的威胁智能,更好地保护您的企业免受代价昂贵的计算层威胁。
    • 确保适当的 IAM 政策已落实到位,并在政策配置有误或意外更改时收到提醒。
    • 集成来自您自己或第三方来源的发现结果,用于 Google Cloud 资源或者其他混合或多云端资源。如需了解详情,请参阅添加第三方安全服务
    • 应对 Google Workspace 环境中的威胁以及 Google 群组中的不安全更改。

身份和访问权限错误配置

借助 Security Command Center,您可以更轻松地识别和解决 Google Cloud 上的身份和访问权限错误配置问题。配置错误问题可识别配置错误的主账号(身份),或对 Google Cloud 资源拥有过多或敏感的 IAM 权限(访问权限)的主账号。

云基础架构授权管理

与身份和访问权限相关的安全问题管理有时也称为云基础架构授权管理 (CIEM)。Security Command Center 提供 CIEM 功能,有助于全面了解组织的身份和访问权限配置的安全性。Security Command Center 可为多个云平台(包括 Google Cloud 和 Amazon Web Services [AWS])提供这些功能。借助 CIEM,您可以查看哪些主账号在云环境中拥有过多权限。除了 Google Cloud IAM 之外,CIEM 还支持调查其他身份提供程序(例如 Entra ID [Azure AD] 和 Okta)的正文对您的 Google Cloud 资源拥有的权限。您可以在 Google Cloud 控制台的 Security Command Center 概览页面上的身份和访问权限发现结果窗格中,查看来自多个云服务提供商的最严重的身份和访问权限发现结果。

如需详细了解 Security Command Center 的 CIEM 功能,请参阅 Cloud Infrastructure Entitlement Management 概览

身份和访问权限查询预设

在 Google Cloud 控制台的漏洞页面上,您可以选择查询预设值(预定义查询),以显示与身份和访问权限相关的漏洞检测器或类别。系统会显示每个类别的有效发现结果数量。

如需详细了解查询预设,请参阅应用查询预设

管理是否符合业界标准

Security Command Center 会使用映射到各种安全标准的控件的检测器来监控您的合规性。

对于每个受支持的安全标准,Security Command Center 都会检查部分控制项。对于已检查的控制项,Security Command Center 会显示通过的控制项数量。对于未通过的控制,Security Command Center 会显示一个发现结果列表,其中会说明控制失败的原因。

CIS 已审核并认证了 Security Command Center 检测器与 CIS Google Cloud Foundations 的各个受支持基准版本的映射。其他合规性映射仅供参考。

Security Command Center 会定期添加对新基准版本和标准的支持。旧版本仍然受支持,但最终将会被弃用。我们建议您使用当前受支持的最新基准或标准。

借助安全状况服务,您可以将组织政策和 Security Health Analytics 检测器映射到适用于贵商家的标准和控制措施。创建安全状况后,您可以监控环境中可能影响贵商家合规性的任何变化。

如需详细了解如何管理合规性,请参阅评估和报告是否符合安全标准

支持的安全标准

Google Cloud

Security Command Center 会将 Google Cloud 的检测器映射到以下一个或多个合规性标准:

AWS

Security Command Center 会将 Amazon Web Services (AWS) 的检测器映射到以下一个或多个合规性标准:

灵活的平台可满足您的安全需求

Security Command Center 包含自定义和集成选项,可让您增强服务的实用程序,以满足不断变化的安全需求。

自定义选项

自定义选项包括:

集成选项

集成选项包括:

何时使用 Security Command Center

下表包含高级产品功能、使用场景以及指向相关文档的链接,可帮助您快速找到所需的内容。

特征 使用场景 相关文档
资源识别和审核
  • 在一个位置查看整个组织或项目以及各个云平台中的所有资源、服务和数据。
  • 评估受支持的资产的漏洞,并采取措施来优先修复最严重的问题。

Security Command Center 最佳实践

访问权限控制

使用 Google Cloud 控制台中的 Security Command Center

敏感数据识别
  • 确定使用敏感数据保护存储敏感数据和受监管数据的位置。
  • 帮助预防意外泄露,并确保只有有必要知道的人员可以访问此类数据。
  • 自动将包含中敏感度数据或高敏感度数据的资源指定为_高价值资源
将敏感数据保护结果发送到 Security Command Center
第三方 SIEM 和 SOAR 产品集成
  • 轻松将 Security Command Center 数据导出到外部 SIEM 和 SOAR 系统。

导出 Security Command Center 数据

持续导出

错误配置检测

Security Health Analytics 概览

Web Security Scanner 概览

漏洞发现结果

软件漏洞检测
  • 检测跨云服务提供商虚拟机和容器中工作负载的软件漏洞。
  • 主动收到有关新漏洞和受攻击面的变化的提醒。
  • 发现给您的应用带来风险的常见漏洞,例如跨站脚本攻击 (XSS) 和 Flash 注入。
  • 借助 Security Command Center 高级版,您可以使用 CVE 信息确定漏洞发现结果的优先级,包括 Mandiant 提供的可利用性和影响评估。

GKE 安全状况信息中心

虚拟机管理器

Web Security Scanner 概览

漏洞发现结果

监控身份和访问权限控制
  • 帮助确保适当的访问权限控制政策已在 Google Cloud 资源落实到位,并在政策配置错误或意外更改时收到提醒。
  • 使用查询预设可快速查看身份和访问权限配置错误以及被授予过多权限的角色的相关发现。

IAM Recommender

访问权限控制

身份和访问权限错误配置

威胁检测
  • 检测基础架构中的恶意活动和操作者,并获得有关活跃威胁的提醒。
  • 检测其他云平台上的威胁

管理威胁

Event Threat Detection 概览

容器威胁检测概览

错误检测
  • 收到有关 Security Command Center 及其服务无法正常运行的错误和配置错误的提醒。
Security Command Center 错误概览
确定修复措施的优先级
  • 使用攻击风险得分来确定漏洞和配置错误发现结果的修复优先级。
  • 使用资源的攻击风险得分,主动保护对您的业务最重要的资源。
攻击风险得分和攻击路径概览
消除风险
  • 实施已验证和建议的修复说明以快速保护资产。
  • 专注于发现结果中最重要的字段,以帮助安全分析师快速做出明智的分类决策。
  • 丰富并关联相关的漏洞和威胁,以识别和捕获 TTP。
  • 解决导致 Security Command Center 及其服务无法正常运行的错误和配置错误。

调查和应对威胁

修复发现的 Security Health Analytics 问题

针对 Web Security Scanner 的发现结果进行补救

安全响应自动化

修复 Security Command Center 错误

安全状况管理
  • 确保您的工作负载符合安全标准、合规性法规以及贵组织的自定义安全要求。
  • 在部署任何工作负载之前,请先将安全控制措施应用于 Google Cloud 项目、文件夹或组织。
  • 持续监控与您定义的安全控制措施之间的任何偏差,并加以解决。

安全状况概览

管理安全状况

第三方安全工具输入
  • 将现有安全工具(如 Cloudflare、CrowdStrike、Palo Alto Networks 的 Prisma Cloud 和 Qualys 等)的输出集成到 Security Command Center 中。集成输出可帮助您检测以下情况:

    • DDoS 攻击
    • 已破解的端点
    • 违反合规政策的行为
    • 网络攻击
    • 实例漏洞和威胁

配置 Security Command Center

创建和管理安全来源

实时通知
  • 利用 Pub/Sub 通知,通过电子邮件、短信、Slack、WebEx 和其他服务接收 Security Command Center 提醒。
  • 调整发现结果过滤条件以排除许可名单上的发现结果。

设置发现结果通知

启用实时电子邮件和聊天通知

使用安全标记

导出 Security Command Center 数据

过滤通知

将资源添加到许可名单

REST API 和客户端 SDK
  • 使用 Security Command Center REST API 或客户端 SDK,与您的现有安全系统和工作流轻松集成。

配置 Security Command Center

Security Command Center 客户端库

Security Command Center API

数据驻留控制

为满足数据驻留要求,在首次激活 Security Command Center 标准版或高级版时,您可以启用数据驻留控制措施。

启用数据驻留控制措施后,Security Command Center 发现结果、静默规则、持续导出和 BigQuery 导出将仅存储和处理在 Security Command Center 支持的数据驻留多区域之一。

如需了解详情,请参阅规划数据驻留

Security Command Center 服务层级

Security Command Center 提供三种服务层级:标准、高级和企业。

您选择的层级决定了 Security Command Center 中可用的功能和服务。

如果您对 Security Command Center 服务层级有疑问,请与您的客户代表或 Google Cloud 销售团队联系。

如需了解与使用 Security Command Center 层级相关的费用,请参阅价格

标准层级

标准层级包括以下服务和功能:

  • Security Health Analytics:在标准层级中,Security Health Analytics 可为 Google Cloud 提供代管式漏洞评估扫描服务,此功能可以自动检测您的 Google Cloud 资源中存在的最严重的漏洞和配置错误。标准层级中的 Security Health Analytics 包含以下发现类型:

    • Dataproc image outdated
    • Legacy authorization enabled
    • MFA not enforced
    • Non org IAM member
    • Open ciscosecure websm port
    • Open directory services port
    • Open firewall
    • Open group IAM member
    • Open RDP port
    • Open SSH port
    • Open Telnet port
    • Public bucket ACL
    • Public Compute image
    • Public dataset
    • Public IP address
    • Public log bucket
    • Public SQL instance
    • SSL not enforced
    • Web UI enabled
  • Web Security Scanner 自定义扫描:在标准层级中,Web Security Scanner 支持对具有公共网址和 IP 地址且不受防火墙保护的已部署应用进行自定义扫描。所有项目都手动配置、管理和执行扫描,并且支持 OWASP 十大项目中的部分类别。
  • Security Command Center 错误:Security Command Center 提供了配置错误检测和修复指南,可确保 Security Command Center 及其服务正常运行。
  • 持续导出功能,可自动管理将新发现结果导出到 Pub/Sub 的过程。
  • 您可以使用集成的 Google Cloud 服务,其中包括:

  • GKE 安全状况信息中心中的发现:查看有关 Kubernetes 工作负载安全配置错误、实用安全公告以及容器操作系统或语言包中的漏洞的发现。将 GKE 安全状况信息中心发现结果与 Security Command Center 集成功能目前处于预览版阶段。
  • 与 BigQuery 集成,将发现结果导出到 BigQuery 以进行分析。
  • 敏感操作服务可检测何时在 Google Cloud 组织、文件夹和项目中执行了可能会损害业务的操作(如果这些操作是由恶意操作者执行的)。
  • 如果在组织级层激活 Security Command Center,您可以在组织、文件夹和项目级层授予用户 IAM 角色。
  • 数据驻留控制功能,用于限制将 Security Command Center 发现结果、静默规则、持续导出和 BigQuery 导出存储和处理到 Security Command Center 支持的某个数据驻留多区域。

    如需了解详情,请参阅规划数据驻留

高级层级

高级层级包含所有标准层级服务和功能,以及下列附加服务和功能:

  • 攻击路径模拟通过识别潜在攻击者可能用来访问高价值资源的路径,帮助您识别漏洞和配置错误发现结果并确定其优先级。模拟会计算攻击风险得分,并将其分配给任何公开这些资源的发现结果。互动式攻击路径可帮助您直观地了解可能的攻击路径,并提供有关路径、相关发现结果和受影响资源的信息。
  • 漏洞发现结果包括 Mandiant 提供的 CVE 评估,可帮助您确定漏洞修复的优先级。

    在控制台的概览页面上,主要 CVE 发现结果部分会显示漏洞发现结果,这些结果会按 Mandiant 评估的可利用性和潜在影响进行分组。 在发现结果页面上,您可以按 CVE ID 查询发现结果。

    如需了解详情,请参阅按 CVE 影响和可利用性确定优先级

  • Event Threat Detection 使用威胁情报、机器学习和其他高级方法监控 Cloud Logging 和 Google Workspace 以检测威胁(例如恶意软件、加密货币挖矿和数据渗漏)。如需查看内置 Event Threat Detection 检测器的完整列表,请参阅 Event Threat Detection 规则。您还可以创建自定义 Event Threat Detection 检测器。如需了解可用于创建自定义检测规则的模块模板,请参阅 Event Threat Detection 的自定义模块概览
  • Container Threat Detection 可检测以下容器运行时攻击:
    • 已执行添加的二进制文件
    • 已加载添加的库
    • 执行:已执行添加的恶意二进制文件
    • 执行:添加了“已加载恶意库”
    • 执行:已执行内置恶意二进制文件
    • 执行:已执行经过修改的恶意二进制文件
    • 执行:加载了经过修改的恶意库
    • 已执行恶意脚本
    • 反向 shell
    • 意外的 Shell Shell
  • 以下 Policy Intelligence 功能可供使用:

    • 高级 IAM 建议功能,包括:
      • 针对非基本角色的建议
      • 针对组织、文件夹和项目以外的资源授予的角色的建议,例如,针对 Cloud Storage 存储分区授予的角色的建议
      • 建议自定义角色的建议
      • 政策数据分析
      • 横向移动数据分析
    • 大规模使用 Policy Analyzer(每个组织每天超过 20 次查询)。此限制适用于所有政策分析器工具。
    • 用于组织政策分析的可视化图表
  • 您可以在 Cloud Asset Inventory 中查询资产
  • 虚拟机威胁检测可检测在虚拟机实例中运行的潜在恶意应用。
  • 高级层级中的 Security Health Analytics 包含以下功能:

    • 针对所有 Security Health Analytics 检测器的代管式漏洞扫描
    • 监控许多行业最佳实践
    • 合规性监控。Security Health Analytics 检测器会映射到常见安全基准的控件。
    • 自定义模块支持,您可以借此自定义创建 Security Health Analytics 检测器。

    高级层级中的 Security Health Analytics 达到管理与行业标准的一致性中所述的标准。

  • 高级层级中的 Web Security Scanner 包括所有标准层级功能以及支持 OWASP 十大类别的其他检测器。 Web Security Scanner 还会添加自动配置的代管式扫描
  • 对您的 Google Cloud 资产进行合规性监控

    为了衡量您是否符合常见的安全基准和标准,Security Command Center 漏洞扫描器的检测器会映射到常见的安全标准控制项。

    您可以查看自己是否符合相关标准、找出不合规的控制措施、导出报告等。如需了解详情,请参阅评估和报告是否符合安全标准

  • 如果您的资源监控需求增加,您可以 申请提高 Cloud Asset Inventory 配额
  • 借助安全状况服务,您可以定义、评估和监控 Google Cloud 中安全性的整体状态。如需使用安全状况服务,您必须在组织级层激活 Security Command Center 高级层级。
  • 借助 IaC 验证,您可以根据您在 Google Cloud 组织中定义的组织政策和 Security Health Analytics 检测器来验证基础设施即代码 (IaC)。如需使用 IaC 验证,您必须在组织级层激活 Security Command Center 高级层级。
  • 虚拟机管理器漏洞报告
    • 如果您启用虚拟机管理器,则服务会自动将其漏洞报告(预览版)的发现结果写入 Security Command Center。这些报告可识别 Compute Engine 虚拟机上安装的操作系统中的漏洞。如需了解详情,请参阅虚拟机管理器

Enterprise 层级

企业版是一个完整的云原生应用保护平台 (CNAPP),可让 SOC 分析师、漏洞分析师和其他云安全专业人员在一个集中位置管理多个云服务提供商的安全性。

Enterprise 层级提供检测和调查功能、支持请求管理和安全状况管理,包括定义和部署自定义安全状况规则,以及量化和直观呈现漏洞和错误配置对云环境造成的风险。

Enterprise 层级包含所有标准层级和高级层级服务和功能,以及下列附加服务和功能:

企业版功能和服务摘要

Enterprise 层级包含已发布为正式版的所有标准层级和高级层级服务和功能。

Enterprise 层级会向 Security Command Center 添加以下服务和功能:

  • 由 Security Command Center 风险引擎提供支持的恶意组合检测。如需了解详情,请参阅有毒组合概览
  • 多云支持。您可以将 Security Command Center 连接到其他云服务提供商(例如 AWS),以检测威胁、漏洞和错误配置。此外,在其他提供商处指定高价值资源后,您还可以通过攻击风险得分和攻击路径评估这些资源的攻击风险。
  • 适用于云环境的 SIEM(安全信息和事件管理)功能。扫描日志和其他数据,查找多个云环境中的威胁,定义威胁检测规则,以及搜索累积的数据。如需了解详情,请参阅 Google SecOps SIEM 文档
  • 适用于云环境的 SOAR(安全编排、自动化和响应)功能。管理支持请求、定义响应工作流程,以及搜索响应数据。如需了解详情,请参阅 Google SecOps SOAR 文档
  • 适用于云环境的 CIEM(云基础架构授权管理)功能。 找出配置错误或被授予对您的云资源过多或敏感的 IAM 权限(访问权限)的主账号(身份)。如需了解详情,请参阅云基础架构授权管理概览
  • 通过以下内置和集成的 Google Cloud 服务,扩大了对云环境中虚拟机和容器中软件漏洞的检测范围:
    • Google Kubernetes Engine (GKE) Enterprise 版本
    • AWS 漏洞评估
    • 虚拟机管理器

由 Google Security Operations 提供支持的企业级功能

Security Command Center Enterprise 层级的案例管理功能、策略方案功能以及其他 SIEM 和 SOAR 功能由 Google Security Operations 提供支持。使用其中一些功能和服务时,您可能会在网页界面中看到 Google SecOps 名称,并且可能会被定向至 Google SecOps 文档以获取指导。

Security Command Center 不支持某些 Google SecOps 功能,或对这些功能施加了限制,但在企业版层级的早期订阅中,使用这些功能的功能可能不会被停用或限制。请仅按照规定的限制使用以下功能和服务:

  • 提取云日志仅限于与云威胁检测相关的日志,例如:

    • Google Cloud

      • Cloud Audit Logs 管理员活动日志
      • Cloud Audit Logs 数据访问日志
      • Compute Engine 系统日志
      • GKE 审核日志
    • Google Workspace

      • Google Workspace 事件
      • Google Workspace 提醒
    • AWS

      • CloudTrail 审核日志
      • Syslog
      • 身份验证日志
      • GuardDuty 事件
  • 精选检测仅限于检测云环境中的威胁。

  • Google Cloud Marketplace 集成仅限于以下产品:

    • Siemplify
    • 工具
    • VirusTotal V3
    • Google Cloud Asset Inventory
    • Google Security Command Center
    • Jira
    • Functions
    • Google Cloud IAM
    • 电子邮件 V2
    • Google Cloud Compute
    • Google Chronicle
    • Mitre ATT&CK
    • Mandiant Threat Intelligence
    • Google Cloud Policy Intelligence
    • Google Cloud Recommender
    • Siemplify 实用程序
    • Service Now
    • CSV
    • SCC Enterprise
    • AWS IAM
    • AWS EC2
  • 自定义单事件规则的数量上限为 20 条。

  • 无法使用适用于 UEBA(用户和实体行为分析)的风险分析。

  • 实用威胁情报不可用。

  • Gemini 对 Google SecOps 的支持仅限于自然语言搜索和案例调查摘要。

  • 数据保留期限仅限三个月。

Security Command Center 激活级别

您可以针对单个项目激活 Security Command Center(称为项目级激活),也可以针对整个组织激活 Security Command Center(称为组织级激活)。

Enterprise 层级需要组织级激活。

如需详细了解如何激活 Security Command Center,请参阅激活 Security Command Center 概览

后续步骤