檢查 Security Command Center 監控的資產

本頁面說明如何查看、查詢及檢查雲端資產,以改善安全防護機制、修正安全性問題及因應威脅。

在 Security Command Center 中,您可以對資產執行下列動作:

取得必要權限

本節列出您在控制台中處理資產時所需的 IAM 角色。

Google Cloud 主控台 IAM 角色

如要在 Google Cloud 控制台中處理資產,您必須具備下列 IAM 角色。

Make sure that you have the following role or roles on the organization:

  • Security Center Assets Viewer (roles/securitycenter.assetsViewer)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    前往「IAM」頁面
  2. 選取機構。
  3. 按一下「授予存取權」

  4. 在「New principals」(新增主體) 欄位中,輸入您的使用者 ID。 這通常是 Google 帳戶的電子郵件地址。

  5. 在「Select a role」(選取角色) 清單中,選取角色。
  6. 如要授予其他角色,請按一下 「新增其他角色」,然後新增每個其他角色。
  7. 按一下 [Save]

    8. 如要進一步瞭解 Security Command Center 角色和權限,請參閱機構層級啟用作業的 IAM

    Security Operations 控制台 IAM 角色

    如果您是 Security Command Center Enterprise 客戶,可以在 Security Operations 控制台中處理資產。您必須具備下列任一 IAM 角色:

    • Chronicle SOAR 管理員 (roles/chronicle.soarAdmin)
    • Chronicle SOAR 威脅管理員 (roles/chronicle.soarThreatManager)
    • Chronicle SOAR 安全漏洞管理員 (roles/chronicle.soarVulnerabilityManager)

    如要瞭解如何將角色授予使用者,請參閱「使用 IAM 對應及授權使用者」。

    Security Command Center 中的資產清單

    資產會列在Google Cloud 控制台「資產」頁面的查詢結果中。

    如果 Security Command Center 是在機構層級啟用,您可以查看整個機構的資產,也可以依特定專案、資源類型和位置篩選資產。

    如果 Security Command Center 是在專案層級啟用,您可以在Google Cloud 控制台中依資源類型和位置篩選資產。

    資產清單是由 Cloud Asset Inventory 提供。在大多數情況下,只要在 Google Cloud 環境中建立、修改或移除資產,Cloud Asset Inventory 就會在幾分鐘內更新清單。

    如要進一步瞭解 Cloud Asset Inventory,請參閱「Cloud Asset Inventory 簡介」。

    查看所有資產

    如要瞭解如何查看資產,請按一下服務層級的分頁標籤。

    標準或進階

    1. 在 Google Cloud 控制台,前往 Security Command Center 的「資產」頁面。

      前往「資產」頁面

    2. 選取 Google Cloud 機構。

    Enterprise

    1. 在 Google Cloud 控制台,前往 Security Command Center 的「資產」頁面。

      前往 Enterprise 方案中的「資產」

    2. 選取 Google Cloud 機構。

    將素材資源排序

    如要排序資產,請按一下要排序的欄標題。系統會先依數值排序資料欄,再依字母順序排序。

    搜尋資產

    根據預設,查詢結果會顯示機構中的所有資產。如要在 Security Command Center 中搜尋特定資產,可以使用快速篩選器或指定自訂篩選器。

    使用快速篩選器執行高階搜尋

    如要對資產執行高階搜尋,可以使用快速篩選器。舉例來說,您可以依專案、資源類型或位置搜尋。 如要瞭解詳情,請點選服務層級的分頁。

    標準或進階

    1. 在 Google Cloud 控制台,前往 Security Command Center 的「資產」頁面。

      前往「資產」頁面

    2. 在「快速篩選器」面板中,選取一或多個屬性篩選器,將其新增至查詢。

    Enterprise

    1. 在 Google Cloud 控制台,前往 Security Command Center 的「資產」頁面。

      前往 Enterprise 方案中的「資產」

    2. 點選下列任一分頁標籤,篩選並顯示特定雲端服務供應商的資源:
      • Google Cloud 資源
      • AWS 資源
      • Azure 資源
    3. 如要篩選具有特定屬性值的資源,請按照下列步驟操作:
      1. 在「篩選器」面板中,按一下屬性值,然後點選「只顯示」。查詢會相應更新。
      2. 如要為查詢新增其他屬性值,請按一下屬性值,然後按一下「只顯示」
      3. 如要從查詢中移除屬性值,請按一下屬性值,然後點選「只顯示」
    4. 如要複製屬性值,請按一下屬性值,然後按一下「複製」

    編輯資產查詢

    如要瞭解如何編輯資產查詢,請按一下服務層級的分頁。

    標準或進階

    1. 在 Google Cloud 控制台,前往 Security Command Center 的「資產」頁面。

      前往「資產」頁面

    2. 按一下「資產查詢」分頁標籤。
    3. 透過下列任一方式編輯查詢:
      • 在「查詢庫」子分頁中,選取預先建立的查詢。按一下「套用」。「Edit query」(編輯查詢) 面板中的查詢會隨之更新。
      • 在「選取表格」面板中,按一下要查詢的素材資源類型。在「結構定義」子分頁中,找出要新增至查詢的屬性。屬性會新增至「編輯查詢」面板。
      • 直接在「編輯查詢」面板中編輯查詢。
    4. 按一下「執行」。查詢結果也會隨之更新。

    Enterprise

    1. 在 Google Cloud 控制台,前往 Security Command Center 的「資產」頁面。

      前往 Enterprise 方案中的「資產」

    2. 點選下列任一分頁標籤,篩選並顯示特定雲端服務供應商的資源:
      • Google Cloud 資源
      • AWS 資源
      • Azure 資源
    3. 按一下「新增篩選條件」,系統會隨即顯示「Filters」對話方塊。您可以在這個對話方塊中選擇支援的資源屬性和值。
    4. 在「篩選器」中,選取要篩選的屬性。
    5. 設定篩選器評估選項和屬性值。可用的評估選項會因所選屬性而異。
      • 如要篩選出具有特定屬性值的資源,請選取「僅顯示」。在「值」清單中,選取屬性值。
      • 如要篩選屬性值包含特定字串的資源,請選取「包含」。在「Value」(值) 欄位中,輸入字串。

        「包含」評估選項會遵循 文字 部分相符運算子的查詢語法。系統會使用特殊字元做為分隔符,將搜尋字詞轉換為一或多個權杖,且必須完全相符。如要只比對符記的一部分,請使用星號 (*) 做為符記前置字串比對指標

      • 如要根據時間戳記篩選資源,請選取「之前」或「之後」。在「Value」(值) 欄位中輸入時間戳記。
    6. 如要新增其他篩選器,請按照下列步驟操作:
      1. 按一下「+ 新增篩選器」
      2. 設定屬性、評估選項和屬性值。
      3. 設定篩選器之間的邏輯關係。在「Logical operator」(邏輯運算子) 部分,選取 ANDOR
    7. 按一下 [套用]。查詢編輯器會更新,並根據篩選條件顯示查詢結果。

    檢查資產詳細資料

    本節說明如何進一步瞭解特定資產的詳細資料。

    查看高階詳細資料

    1. 搜尋資產
    2. 在查詢結果中,按一下資產名稱。系統會開啟資產的詳細資料面板,並顯示詳細資料摘要。

    查看資產的完整詳細資料

    如要查看素材資源的所有詳細資料,包括低階中繼資料,請按照下列步驟操作:

    1. 搜尋資產
    2. 在查詢結果中,按一下資產名稱。系統會開啟資產的詳細資料面板。
    3. 按一下「完整中繼資料」分頁標籤。所有資產的屬性名稱和值都會以樹狀結構顯示。
    4. 如要在樹狀結構中搜尋特定屬性名稱或值,請在篩選器中輸入名稱或值。
    1. 搜尋資產
    2. 在查詢結果中,按一下資產名稱。系統會開啟資產的詳細資料面板。
    3. 按一下「調查結果」分頁標籤。畫面上隨即會顯示與資產相關的所有發現項目。

    查看資產變更

    你可以比較資產中繼資料的快照,查看變更內容。

    如要瞭解如何查看資產在一段時間內的變化,請按一下所用控制台的標籤。

    標準或進階

    1. 在 Google Cloud 控制台,前往 Security Command Center 的「資產」頁面。

      前往「資產」頁面

    2. 搜尋資產
    3. 在結果面板的資產清單中,按一下資產名稱。系統會開啟資產的詳細資料面板。
    4. 在資產的詳細資料面板中,按一下「變更記錄」分頁標籤。
    5. 在「變更記錄」分頁中,選取「開始時間」和「結束時間」
    6. 在左側的「選取要比較的記錄」清單中,選取快照。
    7. 在右側的「選取要比較的記錄」清單中,選取要與第一個快照比較的快照。系統會醒目顯示兩個快照之間的變更。

    Enterprise

    1. 在 Google Cloud 控制台,前往 Security Command Center 的「資產」頁面。

      前往 Enterprise 方案中的「資產」

    2. 搜尋資產
    3. 在結果面板的資產清單中,按一下資產名稱。系統會開啟資產的詳細資料面板。
    4. 在資產的詳細資料面板中,按一下「變更記錄」分頁標籤。
    5. 在左側的「比較」清單中,選取快照。
    6. 在右側的「比較」清單中,選取要與第一個所選快照比較的快照。系統會醒目顯示兩個快照之間的變更。

    查看與資產相關聯的 IAM 政策

    1. 搜尋資產
    2. 在查詢結果中,按一下資產名稱。系統會開啟資產的詳細資料面板。
    3. 按一下「IAM 政策」分頁標籤。系統會顯示與資產相關聯的 IAM 政策。

    查看高價值資源集

    您可以查看 Risk Engine 在上次攻擊路徑模擬中納入的高價值資源。您也可以查看風險引擎為各項資源計算的受攻擊風險分數。如要瞭解詳情,請按一下服務層級的分頁。

    標準或進階

    1. 在 Google Cloud 控制台,前往 Security Command Center 的「資產」頁面。

      前往「資產」頁面

    2. 按一下「高價值資源集」分頁標籤。
    3. 按一下要查看的雲端服務供應商子分頁:
      • 如要查看高價值 Google Cloud 資源,請按一下「Google」。如要查看資源詳細資料,請按一下資源名稱。
      • 如要查看高價值 Amazon Web Services (AWS) 資源,請按一下「AWS」AWS
      • 如要查看高價值 Microsoft Azure 資源,請按一下「Azure」Azure
    4. 如要查看資源的攻擊路徑模擬詳細資料,請按一下資源的攻擊風險分數。如要瞭解如何解讀攻擊路徑,請參閱「攻擊路徑」一文。

    Enterprise

    如要查看高價值資源集,請按照下列步驟操作:

    1. 在 Google Cloud 控制台,前往 Security Command Center 的「資產」頁面。

      前往 Enterprise 方案中的「資產」

    2. 按一下「高價值資源集」分頁標籤。
    3. 按一下要查看的雲端服務供應商子分頁:
      • 如要查看高價值 Google Cloud 資源,請按一下「Google Cloud 資源」
      • 如要查看高價值 Amazon Web Services (AWS) 資源,請按一下「AWS 資源」
      • 如要查看高價值 Microsoft Azure 資源,請按一下「Azure 資源」
    4. 如要查看資源詳細資料,請按一下資源顯示名稱。

    依素材資源的建立或上次更新時間戳記篩選

    如要瞭解如何依時間戳記篩選資產,請按一下服務層級的分頁標籤。

    標準或進階

    您可以在「資產」頁面的結果面板中,依據「建立時間」和「上次更新時間」時間戳記,篩選或排序資產。

    如要根據「建立時間」時間戳記、「上次更新時間」時間戳記或兩者篩選,請按照下列步驟操作:

    1. 在 Google Cloud 控制台,前往 Security Command Center 的「資產」頁面。

      前往「資產」頁面

    2. 在「資產」頁面的結果面板頂端,將游標放在「篩選器」欄位中。系統會開啟篩選器選單。
    3. 捲動至「建立時間」或「更新時間」部分,然後選取其中一個時間篩選選項。例如:Update time after。篩選條件會加到「篩選條件」欄位。
    4. 在篩選器欄位中,輸入 MM/DD/YYYY 格式的日期,然後按下鍵盤上的 Enter 鍵。

    結果面板中的素材資源會更新,只顯示符合篩選條件的素材資源。

    Enterprise

    1. 在 Google Cloud 控制台,前往 Security Command Center 的「資產」頁面。

      前往 Enterprise 方案中的「資產」

    2. 在「資產」頁面的結果面板頂端,將游標放在「篩選器」欄位中。系統會開啟篩選器選單。
    3. 捲動至「建立時間」或「更新時間」部分,然後選取其中一個時間篩選選項。例如:Update time after。篩選條件會加到「篩選條件」欄位。
    4. 在篩選器欄位中,輸入 MM/DD/YYYY HH:MM:SS 格式的日期,然後按下鍵盤上的 Enter 鍵。

    結果面板中的素材資源會更新,只顯示符合篩選條件的素材資源。

    自訂資產查詢結果頁面

    如要控管螢幕空間,可以自訂查詢結果中顯示的部分元素。

    隱藏或顯示資料欄

    如要瞭解如何在查詢結果中隱藏或顯示資料欄,請按一下服務層級的分頁標籤。

    標準或進階

    1. 在結果面板頂端,依序點選「檢視資料欄」view_column
    2. 選取要顯示的資料欄。
    3. 取消選取要隱藏的資料欄。
    4. 按一下「套用」,將變更套用至查詢結果。

    Enterprise

    1. 在結果面板頂端,按一下「view_column」(檢視資料欄)view_column「Open column selector」(開啟資料欄選取器)。系統隨即會開啟「管理資料欄」選單。
    2. 選取要顯示的資料欄。
    3. 取消選取要隱藏的資料欄。
    4. 關閉選單。

    隱藏或調整快速篩選器面板大小

    如要增加查詢結果的螢幕空間,可以隱藏或調整面板大小。 如要瞭解詳情,請點選服務層級的分頁。

    標準或進階

    • 如要隱藏「快速篩選器」側邊面板,請按一下向左箭頭 first_page
    • 如要顯示「快速篩選器」側邊面板,請按一下向右箭頭 last_page
    • 如要調整顯示欄的大小,請將分隔線向左或向右拖曳。

    Enterprise

    • 如要隱藏「篩選器」側邊面板,請按一下 chevron_left「關閉側欄」
    • 如要顯示「篩選器」側邊面板,請按一下「開啟側欄」chevron_right

    後續步驟