本頁面簡介 Security Command Center Enterprise 的導覽功能,以及 Security Command Center 頂層頁面的用途。如果您使用 Security Command Center Standard 或 Premium,請參閱在 Google Cloud 控制台中使用 Security Command Center Standard 或 Premium。
如果 Security Command Center 未啟用,系統會邀請您啟用。如要進一步瞭解如何啟用 Security Command Center Enterprise,請參閱「啟用 Security Command Center Enterprise 方案」。
必要 IAM 權限
如要使用 Security Command Center 的所有服務層級,您必須具備包含適當權限的身分與存取權管理 (IAM) 角色:
- 安全中心管理員檢視者 (
roles/securitycenter.adminViewer) 可讓您查看 Security Command Center。 - 安全中心管理員編輯者 (
roles/securitycenter.adminEditor) 可讓您查看 Security Command Center 並進行變更。 - Chronicle 服務檢視者 (
roles/chroniclesm.viewer) 可讓您查看相關聯的 Google SecOps 執行個體。
如果貴機構政策設為依網域限制身分,您必須使用允許網域中的帳戶登入 Google Cloud 控制台。
您可以在機構、資料夾或專案層級授予 Security Command Center 的 IAM 角色。您能否查看、編輯、建立或更新發現項目、資產和安全性來源,取決於您獲准的存取層級。如要進一步瞭解 Security Command Center 角色,請參閱存取權控管。
您還需要下列任一身分與存取權管理角色:
- Chronicle SOAR 管理員 (
roles/chronicle.soarAdmin) - Chronicle SOAR 威脅管理員 (
roles/chronicle.soarThreatManager) - Chronicle SOAR 安全漏洞管理員
(
roles/chronicle.soarVulnerabilityManager)
如要啟用 SOAR 相關功能,您也必須在「設定」> SOAR 設定」頁面,將這些身分與存取權管理角色對應至 SOC 角色、權限群組和環境。詳情請參閱「使用 IAM 對應及授權使用者」。
在 Google Cloud 控制台中存取 Security Command Center
您可以從「風險總覽」頁面存取 Google Cloud 控制台中的 Security Command Center 內容。
前往 Security Command Center:
選取啟用 Security Command Center Enterprise 的機構。
如果所選機構或專案已啟用 Security Command Center,系統會顯示「風險總覽」頁面,並提供總覽資訊。
Security Command Center 功能和導覽
以下說明 Security Command Center Enterprise 的導覽方式。 如果您使用 Security Command Center Standard 或 Premium,請參閱在 Google Cloud 控制台中使用 Security Command Center Standard 或 Premium。
您可以執行的工作取決於Security Command Center 服務層級、已啟用的服務,以及您獲派 IAM 角色的權限。
Security Command Center Enterprise 左側導覽連結會連至 Google Security Operations 租戶中的頁面,該租戶是在啟用 Security Command Center Enterprise 時設定。 如要瞭解 Security Command Center Enterprise 支援哪些 Google Security Operations 功能,請參閱「Security Command Center 服務層級」。按一下連結,查看頁面說明。
| 導覽部分 | 連結 |
|---|---|
| 風險 | |
| 調查 | |
| 偵測 | |
| 回應 | |
| 資訊主頁 | |
| 設定 |
風險總覽頁面 (預先發布版)
「風險總覽」頁面會顯示所有內建和整合服務中,Google Cloud 環境的新威脅和有效安全漏洞總數。
「風險總覽」頁面是您的第一個聯絡人安全資訊主頁,會醒目顯示雲端環境中的高優先權風險。如要查看個別調查領域的詳細資料,請在「總覽」中選取下列其中一種檢視畫面:
「問題」頁面 (預先發布版)
「問題」是 Security Command Center Enterprise 在雲端環境中發現最重要的安全性風險,可讓您快速因應安全漏洞和威脅。Security Command Center 會透過虛擬紅隊和規則式偵測功能,找出問題。如要瞭解如何調查問題,請參閱「問題總覽」。
「發現項目」頁面
在「發現項目」頁面中,您可以查詢、查看、略過及標記 Security Command Center 發現項目。這些記錄是 Security Command Center 服務在環境中偵測到安全性問題時建立。如要進一步瞭解如何使用「發現項目」頁面上的發現項目,請參閱「查看及管理發現項目」。
「資產」頁面
「資產」頁面會詳細顯示專案或機構中的所有 Google Cloud 資源 (也稱為「資產」)。
如要進一步瞭解如何在「Assets」(資產)頁面中處理資產,請參閱「在控制台中處理資源」。
「法規遵循」頁面
「法規遵循」頁面可協助您評估並採取行動,確保符合常見的安全標準或基準。這個頁面會顯示 Security Command Center 支援的所有基準,以及通過基準控制項的百分比。
您可以為每個基準開啟「法規遵循詳細資料」頁面,進一步瞭解 Security Command Center 檢查的控制項、每個控制項偵測到的違規次數,以及匯出該基準法規遵循報表的選項。
Security Command Center 安全漏洞掃描器會根據 Google 盡力提供的對應項目,監控常見法規遵循控制項的違規情形。Security Command Center 法規遵循報告無法取代法規遵循稽核,但有助於您維持法規遵循狀態,並及早發現違規事項。
如要進一步瞭解 Security Command Center 如何支援法規遵循管理,請參閱「管理法規遵循」。
防護機制管理頁面
在「防護機制」頁面中,您可以查看機構中建立的安全防護機制詳細資料,並將防護機制套用至機構、資料夾或專案。您也可以查看可用的預先定義防護機制範本。
SIEM 搜尋
您可以在這個 Security Operations 控制台頁面中,找出 Google Security Operations 執行個體內的統合資料模型 (UDM) 事件和快訊。詳情請參閱 Google Security Operations 說明文件中的「SIEM 搜尋」。
SOAR 搜尋
您可以在這個 Security Operations 控制台頁面中,找出 Google Security Operations SOAR 建立索引的特定案件或實體。詳情請參閱 Google Security Operations 說明文件中的「在 SOAR 中使用搜尋頁面」。
規則與偵測項目
您可以在這個 Security Operations 控制台頁面啟用精選偵測功能,並建立自訂規則,找出使用 Security Operations 控制台記錄檔資料收集機制收集的資料模式。如要瞭解 Security Command Center Enterprise 提供的精選偵測功能,請參閱「透過精選偵測功能調查威脅」。
快訊與 IOC
您可以在這個 Security Operations 控制台頁面中,查看由精選偵測和自訂規則建立的警示。如要瞭解如何調查快訊,請參閱 Google Security Operations 說明文件中的下列內容:
應對手冊
您可以在這個 Security Operations 控制台頁面中,管理「SCC Enterprise - Cloud Orchestration and Remediation」用途中包含的劇本。
如要瞭解這個用途可用的整合服務,請參閱 Security Command Center 服務方案。
如要瞭解可用的劇本,請參閱「更新企業用途」。
如要瞭解如何使用 Security Operations 控制台的「Playbooks」頁面,請參閱 Google Security Operations 說明文件中的「Playbooks 頁面有哪些內容?」一文。
「來源」頁面
「來源」頁面包含多張資訊卡,可針對已啟用的安全性來源提供資產和發現項目摘要。每張安全來源資訊卡都會顯示該來源的部分發現項目。您可以按一下發現項目類別名稱,查看該類別中的所有發現項目。
SIEM 資訊主頁
您可以在這個 Security Operations 控制台頁面中查看 Google Security Operations SIEM 資訊主頁,分析 Google Security Operations 規則建立的快訊,以及使用 Security Operations 控制台記錄資料收集功能收集的資料。
如要進一步瞭解如何使用 SIEM 資訊主頁,請參閱 Google Security Operations 說明文件中的「資訊主頁總覽」。
SOAR 資訊主頁
您可以在這個 Security Operations 主控台頁面中,使用 SOAR 資料查看及建立資訊主頁,藉此分析回應和案件。如要進一步瞭解如何使用 SOAR 資訊主頁,請參閱 Google Security Operations 說明文件中的「SOAR 資訊主頁總覽」。
SOAR 報表
您可以在這個 Security Operations 控制台頁面中,查看 SOAR 資料的相關報表。如要進一步瞭解如何使用 SOAR 報表,請參閱 Google Security Operations 說明文件中的「瞭解 SOAR 報表」。
SCC 設定
可設定 Security Command Center,包括:
SCC 設定指南
可啟用 Security Command Center Enterprise,並設定其他服務。詳情請參閱「啟用 Enterprise 方案」。
SIEM 設定
您可以在這個 Security Operations 控制台頁面,變更與 Google Security Operations SIEM 相關的功能設定。如要瞭解如何使用這些功能,請參閱 Google Security Operations 說明文件。
SOAR 設定
您可以在這個 Security Operations 控制台頁面中,變更與 Google Security Operations SOAR 相關功能的設定。如要瞭解如何使用這些功能,請參閱 Google Security Operations 說明文件。
Security Command Center Enterprise 頁面之間的差異
Security Command Center Enterprise 方案包含的功能,適用於控制台頁面和 Security Operations 控制台頁面。 Google Cloud
登入 Google Cloud 控制台,然後從 Google Cloud 控制台導覽前往 Security Operations 控制台頁面。本節將說明您可以在每個階段執行的工作。
Google Cloud 控制台頁面
您可以在 Google Cloud 控制台頁面執行下列工作:
- 啟用 Security Command Center。
- 為所有 Security Command Center 使用者設定 Identity and Access Management (IAM) 權限。
- 連線至其他雲端環境,收集資源和設定資料。
- 處理及匯出發現項目。
- 使用受攻擊風險分數評估風險。
- 處理問題,也就是 Security Command Center Enterprise 在雲端環境中發現的最重要安全風險。
- 使用 Sensitive Data Protection 識別高敏感度資料。
- 調查並修正 Google Cloud的個別發現項目。
- 設定安全狀態分析、Web Security Scanner 和其他 Google Cloud整合式服務。
- 管理安全防護機制。
- 評估及報告您是否符合常見的安全標準或基準。
- 查看及搜尋 Google Cloud 資產。
下圖顯示Google Cloud 控制台中的 Security Command Center 內容。
Security Operations 控制台頁面
您可以在 Security Operations 控制台頁面執行下列工作:
- 連線至其他雲端環境,收集安全資訊與事件管理 (SIEM) 中精選偵測項目的記錄資料。
- 設定安全性自動化調度管理和應變 (SOAR) 設定。
- 設定事件和案件管理的使用者和群組。
- 處理案件,包括將調查結果分組、指派單據,以及處理快訊。
- 使用自動化步驟序列 (稱為手冊) 修正問題。
- 使用工作區管理待處理的動作和工作,這些動作和工作來自於未結案件和劇本。
下圖顯示 Security Operations 控制台。
Security Operations 控制台頁面的網址類似於下列模式。
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
其中 CUSTOMER_SUBDOMAIN 是客戶專屬 ID。