配置 Security Command Center 服务

Security Command Center 上运行两种类型的服务:内置服务集成服务。内置服务是 Security Command Center 的一部分。集成服务是向 Security Command Center 提供发现结果的 Google Cloud 服务或第三方服务。

本页介绍了如何配置内置服务和集成服务。

启用或停用内置服务

以下内置服务是 Security Command Center 的一部分:

  • Container Threat Detection
  • Event Threat Detection
  • Security Health Analytics
  • 安全状况
  • Sensitive Actions Service
  • 虚拟机威胁检测
  • Amazon Web Services (AWS) 漏洞评估
  • Web Security Scanner

某些内置服务仅适用于 Security Command Center 高级或企业层级。详细了解 Security Command Center 层级

您无法启用或停用安全状况服务;在您激活 Security Command Center Enterprise 层级后,该服务默认可用。

您可以为整个组织启用大多数内置服务,也可以仅为选定的文件夹或项目启用。默认情况下,文件夹和项目会继承其父级组织或文件夹的服务启用设置。

您只能为 Google Cloud 组织启用 AWS 漏洞评估服务,并且需要在 Security Command Center 和 AWS 之间建立连接。

Container Threat Detection 服务只能为集群启用。如需了解容器威胁检测所需的权限,请参阅所需的 IAM 权限

如需为资源启用或停用 Security Command Center 服务,请执行以下操作:

  1. 在 Google Cloud 控制台中,转到 Security Command Center 页面。

    前往 Security Command Center

  2. 选择您需要管理服务的组织、文件夹或项目。

  3. 点击 设置

  4. 对于您要修改的服务,点击管理设置

  5. 服务启用标签页的资源层次结构视图中,选择您需要为其启用服务的组织、文件夹、项目或容器。如果您要启用 AWS 漏洞评估服务,请选择启用

  6. 对于该资源,将服务设置为启用停用继承

某些服务(例如 Security Health Analytics)会使用批量扫描进行运作。停用此类服务后,更改可能不会立即生效。所有正在进行的批量扫描完成后,更改才会生效。这可能会导致在您停用该服务后,系统仍会在一段时间内检测到新漏洞。

查看和修改服务的检测器

对于某些服务(例如 Security Health Analytics),您可以启用或停用某些检测器(也称为模块)。如需配置服务的检测器并查看其当前状态,请执行以下操作:

  1. 在 Google Cloud 控制台中,转到 Security Command Center 页面。

    前往 Security Command Center

  2. 选择您需要管理服务的组织、文件夹或项目。

  3. 点击 设置

  4. 对于您要查看的服务,点击管理设置

  5. 点击模块标签页。 此时会显示服务的检测器及其各自的状态。

  6. 找到您要修改的检测器,然后将其状态设置为启用停用

将集成的 Google Cloud 服务添加到 Security Command Center

您可以向 Security Command Center 的组织级层激活添加集成服务。项目级激活不支持集成的 Google Cloud 服务。

下面是与 Security Command Center 的组织级激活集成的 Google Cloud 安全服务:

  • Assured Open Source Software (Assured OSS)
  • Mandiant Attack Surface Management
  • 异常值检测
  • Google Cloud Armor
  • IAM Recommender
  • 敏感数据保护
  • 虚拟机管理器(预览版

某些内置服务仅适用于 Security Command Center 高级或企业层级。详细了解 Security Command Center 层级

如需详细了解这些服务,请参阅用于检测漏洞和威胁的服务

  1. 在 Google Cloud 控制台中,转到 Security Command Center 页面。

    前往 Security Command Center

  2. 选择您的组织或项目。

  3. 点击 设置

  4. 点击集成服务标签页。

  5. 在要启用的集成来源旁边,点击状态列表并选择启用

您启用的服务的发现结果会显示在 Security Command Center 信息中心的发现结果页面上。

某些 Google Cloud 安全服务需要您完成额外的集成步骤。请参阅以下内容:

如需停用集成服务,请点击其名称旁边的列表,然后选择停用

添加第三方安全服务

在组织级层激活 Security Command Center 后,系统可以显示已注册为 Cloud Marketplace 合作伙伴的第三方安全服务中的发现结果。

Security Command Center 的项目级激活不支持第三方服务。

如要集成未注册为 Cloud Marketplace 合作伙伴的安全服务,请让提供商完成以 Security Command Center 合作伙伴的身份进行新手入门指南。

如需向 Security Command Center 添加新的第三方安全服务,请设置安全服务,然后在 Google Cloud 控制台中将其启用。

准备工作

如需为已注册的 Cloud Marketplace 合作伙伴添加安全服务,您需要满足以下条件:

  • 以下身份和访问权限管理 (IAM) 角色
    • Security Center Admin (roles/securitycenter.admin)
    • Service Account Admin (roles/iam.serviceAccountAdmin)
  • 您希望用于安全服务的 Google Cloud 项目。

设置安全服务

要设置第三方安全服务,您需要该服务的服务账号。添加新的安全服务时,您可以从以下服务账号选项中进行选择:

  • 创建服务账号。
  • 使用您自己的现有服务账号。
  • 使用来自服务提供商的服务账号。

如需设置已注册为 Cloud Marketplace 合作伙伴的新安全服务,请完成以下操作:

  1. 转到 Google Cloud 控制台中的 Security Command Center 服务 Marketplace 页面。

    前往 Marketplace

  2. 市场页面会显示与 Security Command Center 直接关联的安全服务。

  3. 在 Cloud Marketplace 的安全来源提供商页面上,按照概览中的提供商设置说明进行操作。

正确配置后,您添加的安全服务在 Security Command Center 中可用。

设置新的安全服务后,您需要在 Google Cloud 控制台中启用它。

启用安全服务

第三方安全服务可能使用位于您的组织之外的服务账号。

  1. 在 Google Cloud 控制台中,转到 Security Command Center 页面。

    前往 Security Command Center

  2. 选择您的组织或项目。

  3. 点击 设置

  4. 点击集成服务标签页。

  5. 在要启用的集成来源旁边,点击状态列表并选择启用

您启用的服务的发现结果会显示在 Security Command Center 信息中心的发现结果页面上。

更改安全服务的服务账号

您可以更改用于第三方安全服务的服务账号,例如解决服务账号泄露或轮替问题。如需更改某个安全服务的服务账号,您需要在 Google Cloud 控制台中进行更新。之后,请按照服务提供商的说明为其服务更新服务账号。

  1. 在 Google Cloud 控制台中,转到 Security Command Center 页面。

    前往 Security Command Center

  2. 选择您的组织或项目。

  3. 点击 设置

  4. 点击集成服务标签页。

  5. 在集成式来源旁边的下拉列表中,执行以下操作:

    1. 选择已停用以暂时停用集成服务。
    2. 选择管理服务账号
  6. 在出现的修改 [提供商名称]面板上,输入新服务账号,然后点击提交

  7. 在集成服务旁边的下拉列表中,选择已启用以启用安全服务。

正确配置后,集成式服务的服务账号将会在 Security Command Center 中更新。请按照服务提供商的说明更新其服务的服务账号信息。

后续步骤