使用安全性狀態分析

本頁說明如何使用 Security Command Center 管理 Security Health Analytics 發現項目。

Security Health Analytics 是 Security Command Center 的內建服務，可掃描雲端環境中的資源，並針對偵測到的任何設定錯誤產生發現項目。

如要接收安全狀態分析發現項目，請在 Security Command Center 的「服務」設定中啟用這項服務。

如要建立與 Amazon Web Services (AWS) 資源相關的發現項目，Security Command Center 必須連線至 AWS。

您可以在Google Cloud 控制台中搜尋安全狀態分析偵測工具的發現項目，也可以使用 Security Command Center API 搜尋。

啟用 Security Command Center 後，掃描作業會在約一小時後開始。 開啟 Google Cloud：以批次模式執行，每天自動執行一次；以即時模式執行，掃描資產設定變更。

如要查看不支援即時掃描模式的 Security Health Analytics 偵測器，請參閱Security Command Center 延遲總覽。

安全性狀態分析只會以批次模式掃描其他雲端平台。

事前準備

如要取得管理 Security Health Analytics 發現項目所需的權限，請要求管理員在您的機構、資料夾或專案中，授予下列 IAM 角色：

• 啟用及停用偵測器： 安全中心設定編輯者 (roles/securitycenter.settingsEditor)
• 查看及篩選發現項目： 安全中心發現項目檢視者 (roles/securitycenter.findingsViewer)
• 管理忽略規則： 安全中心忽略設定編輯者 (roles/securitycenter.muteConfigsEditor)
• 管理安全標記： 安全中心發現項目安全標記寫入者 (roles/securitycenter.findingSecurityMarksWriter)
• 以程式輔助方式管理發現項目： 安全中心發現項目編輯者 (roles/securitycenter.findingsEditor)
• 授予 VPC Service Controls 服務安全防護範圍的連入存取權： Access Context Manager 編輯者 (roles/accesscontextmanager.policyEditor)
• 完成這個頁面上的任何工作： 安全中心設定管理員 (roles/securitycenter.settingsAdmin)

如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和機構的存取權」。

您或許還可透過自訂角色或其他預先定義的角色取得必要權限。

啟用及停用偵測工具

停用偵測工具可能會影響有效發現項目的狀態。停用偵測器後，現有發現項目會自動標示為非使用中。

在機構層級啟用 Security Command Center 後，您可以針對特定資料夾或專案停用安全性狀態分析或特定偵測器。如果資料夾和專案的安全狀態分析或偵測器已關閉，系統會將這些資源中資產的現有發現項目標示為無效。

下列安全狀態分析偵測工具預設為停用： Google Cloud

• ALLOYDB_AUTO_BACKUP_DISABLED
• ALLOYDB_CMEK_DISABLED
• BIGQUERY_TABLE_CMEK_DISABLED
• BUCKET_CMEK_DISABLED
• CLOUD_ASSET_API_DISABLED
• DATAPROC_CMEK_DISABLED
• DATASET_CMEK_DISABLED
• DISK_CMEK_DISABLED
• DISK_CSEK_DISABLED
• NODEPOOL_BOOT_CMEK_DISABLED
• PUBSUB_CMEK_DISABLED
• SQL_CMEK_DISABLED
• SQL_NO_ROOT_PASSWORD
• SQL_WEAK_ROOT_PASSWORD
• VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

如要啟用或停用 Security Health Analytics 偵測模組，請按照下列步驟操作：

gcloud alpha scc settings services modules enable \
    --organization=ORGANIZATION_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

gcloud alpha scc settings services modules enable \
    --project=PROJECT_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

gcloud alpha scc settings services modules disable \
    --organization=ORGANIZATION_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

gcloud alpha scc settings services modules disable \
    --project=PROJECT_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

如要進一步瞭解安全狀態分析中的狀態，請參閱「尋找狀態」。

在 Google Cloud 控制台中篩選發現項目

大型機構的部署作業可能發現許多待審查、分類和追蹤的安全性弱點。您可以在 Google Cloud 控制台的 Security Command Center「安全漏洞」和「發現項目」頁面使用篩選器，專注於貴機構中嚴重程度最高的安全漏洞，並依資產類型、專案等查看安全漏洞。

如要進一步瞭解如何篩選安全漏洞發現項目，請參閱「在 Security Command Center 中篩選安全漏洞發現項目」。

使用案件管理發現項目

Security Command Center 會自動在 Security Operations 控制台中開啟案件，以處理威脅、有害組合，以及與有害組合相關的發現項目。單一案件可包含多個相關發現。

您可以將案件與偏好的支援單系統整合，指派負責人、查看相關資訊，並透過應對手冊自動執行應變工作流程，藉此管理調查和補救措施。

如果發現結果有對應的案件，您可以在結果的詳細資料頁面找到案件的連結。從「發現項目」頁面開啟發現項目的詳細資料頁面。

如要進一步瞭解案件，請參閱「案件總覽」。

忽略發現項目

如要控管 Google Cloud 控制台中的發現項目量，您可以手動或以程式輔助方式忽略個別發現項目，也可以建立忽略規則，根據您定義的篩選條件自動忽略發現項目。你可以使用以下兩種靜音規則，控制搜尋結果數量：

• 靜態忽略規則會永久忽略日後的發現項目。
• 動態忽略規則，可選擇暫時忽略目前和日後的發現項目。

建議您只使用動態靜音規則，減少需要手動審查的發現項目數量。為避免混淆，我們不建議同時使用靜態和動態靜音規則。如要比較這兩種規則類型，請參閱「靜音規則類型」。

您在 Google Cloud 控制台中忽略的發現項目會隱藏並靜音，但仍會記錄下來，以供稽核和法規遵循之用。您可以隨時查看或取消隱藏發現項目。詳情請參閱「略過 Security Command Center 中的發現項目」。

使用安全標記標示資產和發現項目

您可以使用安全標記，在 Security Command Center 中為發現項目和資產新增自訂屬性。安全標記可協助您找出高優先順序的關注領域 (例如生產專案)，並使用錯誤和事件追蹤編號標記調查結果等。

如果是資產，您只能為 Security Command Center 支援的資產新增安全標記。如需支援的資產清單，請參閱「Security Command Center 支援的資產類型」。

將資產加入許可清單

雖然不建議使用這種方法，但您可以在資產中加入專屬安全標記，藉此抑制不必要的發現項目，讓 Security Health Analytics 偵測器不會為這些資產建立安全發現項目。

如要有效控管發現項目量，建議採用忽略發現項目的做法。如果發現結果與隔離的資產有關，或是結果落在可接受的業務參數範圍內，即可將這些結果設為靜音，不必再查看。

為資產套用專屬安全標記後，這些資產會新增至 Security Health Analytics 的允許清單，並在下次批次掃描時，將這些資產的任何發現項目標示為已解決。

專屬安全標記必須直接套用至資產，而非調查結果，詳情請參閱本頁稍後的「許可清單的運作方式」。如果您將標記套用至發現項目，基礎資產仍可產生發現項目。

許可清單的運作方式

每個安全狀態分析偵測工具都有專用的允許清單標記類型，格式為 allow_FINDING_TYPE:true。將這個專屬標記新增至 Security Command Center 支援的資產，即可從偵測政策中排除該資產。

舉例來說，如要排除 SSL_NOT_ENFORCED 發現項目類型，請在相關的 Cloud SQL 執行個體上設定安全性標記 allow_ssl_not_enforced:true。指定的偵測工具不會為標記的資產建立結果。

如需完整的發現項目類型清單，請參閱「Security Health Analytics 偵測工具清單」。如要進一步瞭解安全標記和使用技巧，請參閱「使用安全標記」。

資產類型

本節說明不同資產的安全標記運作方式。

• 將資產加入允許清單：為資產 (例如 Cloud Storage 值區或防火牆) 新增專屬標記後，下次執行批次掃描時，系統就會將相關發現項目標示為已解決。在移除標記之前，偵測器不會為資產產生新發現，也不會更新現有發現。

• 將專案納入允許清單：為專案資源新增標記後，系統會解決專案本身是掃描或目標資源的調查結果。不過，專案中包含的資產 (例如虛擬機器或加密金鑰) 仍可能會產生調查結果。如要在機構層級啟用 Security Command Center 進階方案，才能使用這項安全標記。

• 允許清單資料夾：為資料夾資源新增標記後，系統會解決資料夾本身是掃描或目標資源的發現項目。不過，資料夾中的資產 (包括專案) 仍可產生調查結果。如要在機構層級啟用 Security Command Center 進階方案，才能使用這項安全標記。

• 支援多個資產的偵測器：如果偵測器支援多個資產類型，您必須為每個資產套用專屬標記。舉例來說，KMS_PUBLIC_KEY 偵測器支援 CryptoKey 和 KeyRing Cloud Key Management Service 資產。如果將 allow_kms_public_key:true 標記套用至 CryptoKey 資產，該資產的 KMS_PUBLIC_KEY 發現項目就會解決。不過，系統仍可為 KeyRing 資產生成調查結果。

安全標記只會在批次掃描期間更新，不會在即時掃描期間更新。如果專屬安全標記遭到移除，且資產有安全漏洞，系統可能需要最多 24 小時才會刪除標記並撰寫調查結果。

特例偵測器：客戶提供的加密金鑰

這項偵測工具預設為關閉，DISK_CSEK_DISABLED如要使用這個偵測器，您必須標記要使用自行管理加密金鑰的資產。

如要為特定資產啟用 DISK_CSEK_DISABLED 偵測器，請套用安全標記 enforce_customer_supplied_disk_encryption_keys，並將資產值設為 true。

在標準或進階層級中，依發現項目類型查看有效發現項目數量

您可以使用 Google Cloud 控制台或 Google Cloud CLI 指令，依發現項目類型查看有效發現項目數量。

description: Scans for deviations from a GCP security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

groupByResults:
- count: '1'
properties:
  category: MFA_NOT_ENFORCED
- count: '3'
properties:
  category: ADMIN_SERVICE_ACCOUNT
- count: '2'
properties:
  category: API_KEY_APIS_UNRESTRICTED
- count: '1'
properties:
  category: API_KEY_APPS_UNRESTRICTED
- count: '2'
properties:
  category: API_KEY_EXISTS
- count: '10'
properties:
  category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
properties:
  category: AUDIT_LOGGING_DISABLED
- count: '1'
properties:
  category: AUTO_UPGRADE_DISABLED
- count: '10'
properties:
  category: BUCKET_IAM_NOT_MONITORED
- count: '10'
properties:
  category: BUCKET_LOGGING_DISABLED
nextPageToken: TOKEN
readTime: '2023-08-05T21:56:13.862Z'
totalSize: 50

以程式輔助方式管理發現項目

搭配使用 Google Cloud CLI 和 Security Command Center SDK，您幾乎可以自動執行在Google Cloud 控制台中透過 Security Command Center 執行的任何操作。您也可以使用 gcloud CLI 修正許多調查結果。如要瞭解詳情，請參閱各項發現中描述的資源類型說明文件：

• 列出安全性發現
• 建立、修改及查詢安全標記
• 建立及更新安全性發現
• 建立、更新及列出發現項目來源
• 設定機構設定

如要以程式輔助方式匯出或列出資產，請使用 Cloud Asset Inventory API。詳情請參閱「匯出資產記錄和中繼資料」。

Security Command Center API 的資產方法和欄位已遭淘汰，並將於 2024 年 6 月 26 日當天或之後移除。

在移除這些方法之前，2023 年 6 月 26 日前啟用 Security Command Center 的使用者可以透過 Security Command Center API 的資產方法列出資產，但這些方法僅支援Security Command Center 支援的資產。

如要瞭解如何使用已淘汰的資產 API 方法，請參閱列出資產。

掃描受服務範圍保護的專案

只有在機構層級啟用 Security Command Center 進階方案，才能使用這項功能。

如果您有服務範圍會禁止存取特定專案和服務，請務必授予 Security Command Center 服務帳戶該服務範圍的連入存取權。否則，Security Health Analytics 就無法產生與受保護專案和服務相關的發現項目。

服務帳戶的 ID 是電子郵件地址，格式如下：

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

將 ORGANIZATION_ID 替換為貴機構的數字 ID。

如要授予服務帳戶服務範圍的連入存取權，請按照下列步驟操作。

1. 前往 VPC Service Controls。

   前往 VPC Service Controls

2. 在工具列中選取您的 Google Cloud 機構。

3. 在下拉式清單中，選取包含要授予存取權的服務範圍的存取政策。

   

   與存取權政策相關聯的服務範圍會顯示在清單中。

4. 按一下服務安全防護範圍的名稱。

5. 按一下「編輯範圍」edit

6. 在導覽選單中，按一下「Ingress Policy」(輸入政策)。

7. 按一下 [新增規則]。

8. 請按照下列步驟設定規則：

   API 用戶端的「來源」屬性

   1. 在「來源」中，選取「所有來源」。
   2. 在「身分」部分，選取「所選身分」。
   3. 在「新增使用者/服務帳戶」欄位中，按一下「選取」。
   4. 輸入服務帳戶的電子郵件地址。如果您同時擁有機構層級和專案層級的服務帳戶，請一併新增。
   5. 按一下 [儲存]。

   GCP 服務/資源的 TO 屬性

   1. 在「Project」(專案) 部分，選取「All projects」(所有專案)。

   2. 在「服務」中，選取「所有服務」，或選取出現 VPC Service Controls 違規事項的特定服務。

   如果服務範圍限制存取必要服務，Security Health Analytics 就無法產生該服務的發現項目。

9. 按一下導覽選單中的「儲存」。

詳情請參閱「設定輸入和輸出政策」。

後續步驟

• 瞭解安全狀態分析偵測器和發現項目。
• 請參閱修正安全狀態分析發現項目的建議。
• 瞭解如何使用 Security Command Center 安全性標記。
• 瞭解案件。
• 進一步瞭解如何在 Google Cloud 控制台中使用 Security Command Center Standard 或 Premium，查看資產和發現項目。
• 進一步瞭解如何在 Google Cloud 控制台中使用 Security Command Center Enterprise。