Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

מתי אפשר לצפות לממצאים ב-Security Command Center

בדף הזה מובאת סקירה כללית של תהליך ההפעלה שמתרחש כשמפעילים את Security Command Center. היא נועדה לענות על שאלות נפוצות:

מה קורה כשמפעילים את Security Command Center?
למה יש עיכוב לפני שהסריקות הראשונות מתחילות?
מהו זמן הריצה הצפוי לסריקות הראשונות ולסריקות השוטפות?
איך שינוי של מקורות ושל הגדרות ישפיע על הביצועים?

סקירה כללית

כשמפעילים את Security Command Center בפעם הראשונה, צריך להשלים תהליך הפעלה לפני ש-Security Command Center יכול להתחיל לסרוק את המשאבים. לאחר מכן, הסריקות צריכות להסתיים לפני שיוצג לכם סט מלא של ממצאים לגבי סביבתGoogle Cloud .

משך הזמן שנדרש להשלמת תהליך ההפעלה והסריקות תלוי במספר גורמים, כולל מספר הנכסים והמשאבים בסביבה שלכם והאם Security Command Center מופעל ברמת הארגון או ברמת הפרויקט.

בהפעלות ברמת הארגון, Security Command Center צריך לחזור על שלבים מסוימים בתהליך ההפעלה עבור כל פרויקט בארגון. בהתאם למספר הפרויקטים בארגון, התהליך של הפעלת התכונה יכול להימשך בין כמה דקות לכמה שעות. בארגונים עם יותר מ-100,000 פרויקטים, הרבה משאבים בכל פרויקט וגורמים מסובכים אחרים, יכול להיות שיחלפו עד 24 שעות או יותר עד להשלמת ההפעלה והסריקות הראשוניות.

כשמפעילים את Security Command Center ברמת הפרויקט, תהליך ההפעלה מהיר יותר כי הוא מוגבל לפרויקט היחיד שבו מפעילים את Security Command Center.

בקטעים הבאים מפורטים הגורמים שיכולים להוביל לזמן אחזור בהתחלת הסריקות, בעיבוד שינויים בהגדרות ובזמן הריצה של הסריקות.

זמן האחזור בהצטרפות

לפני שהסריקות מתחילות, מערכת Security Command Center מאתרת את המשאבים שלכם ומבצעת להם אינדוקס.

השירותים שמסודרים באינדקס כוללים את App Engine,‏ BigQuery,‏ Cloud SQL,‏ Cloud Storage,‏ Compute Engine,‏ Identity and Access Management ו-Google Kubernetes Engine.

בהפעלות של Security Command Center ברמת הפרויקט, הגילוי והוספה לאינדקס מוגבלים לפרויקט היחיד שבו Security Command Center מופעל.

בהפעלות ברמת הארגון, Security Command Center מגלה ומבצע אינדוקס של משאבים בכל הארגון.

במהלך תהליך ההצטרפות, מתבצעים שני שלבים קריטיים.

סריקת נכסים

‫Security Command Center מבצע סריקת נכסים ראשונית כדי לזהות את המספר הכולל, המיקום והמצב של פרויקטים, תיקיות, קבצים, אשכולות, זהויות, מדיניות גישה, משתמשים רשומים ומשאבים אחרים. התהליך הזה בדרך כלל מסתיים תוך דקות.

הפעלת ה-API

כשמתגלים משאבים, Security Command Center מאפשר לחלקים שלGoogle Cloud שנחוצים ל-Security Health Analytics, ל-Event Threat Detection, לזיהוי איומים בקונטיינר ול-Web Security Scanner לפעול. כדי ששירותי זיהוי מסוימים יפעלו, צריך להפעיל ממשקי API ספציפיים בפרויקטים מוגנים.

כשמפעילים את Security Command Center ברמת הפרויקט, הפעלת ה-API בדרך כלל אורכת פחות מדקה.

כשמפעילים את התכונה ברמת הארגון, Security Command Center מבצע איטרציה בכל הפרויקטים שבוחרים לסריקה כדי להפעיל את ממשקי ה-API הנדרשים.

מספר הפרויקטים בארגון קובע במידה רבה את משך תהליכי ההצטרפות וההפעלה. מכיוון שצריך להפעיל ממשקי API בפרויקטים בזה אחר זה, הפעלת ממשקי API היא בדרך כלל המשימה שלוקחת הכי הרבה זמן, במיוחד בארגונים עם יותר מ-100,000 פרויקטים.

הזמן שנדרש להפעלת שירותים בפרויקטים גדל באופן ליניארי. כלומר, בדרך כלל, הפעלת שירותים והגדרות אבטחה בארגון עם 30,000 פרויקטים אורכת פי שניים יותר זמן מאשר בארגון עם 15,000 פרויקטים.

בארגון עם 100,000 פרויקטים, תהליך ההצטרפות וההפעלה של רמות השירות Premium ו-Enterprise אמור להסתיים תוך פחות מחמש שעות. הזמן שיידרש לכם תלוי בגורמים רבים, כולל מספר הפרויקטים או המאגדים שבהם אתם משתמשים ומספר השירותים של Security Command Center שאתם בוחרים להפעיל.

זמן האחזור של הסריקה הראשונית

כשמגדירים את Security Command Center, מחליטים אילו שירותים מובנים ומשולבים להפעיל, ובוחרים את המשאבים שרוצים לנתח או לסרוק כדי לזהות איומים ונקודות חולשה. Google Cloud כשמפעילים ממשקי API בפרויקטים, השירותים שנבחרו מתחילים לסרוק. משך הסריקות האלה תלוי גם במספר הפרויקטים בארגון.

הממצאים משירותים מובנים זמינים אחרי שהסריקות הראשוניות מסתיימות. השירותים חווים השהיה כפי שמתואר בקטעים הבאים.

ל-Agent Platform Threat Detection (תצוגה מקדימה) יש את זמני האחזור הבאים:
- זמן ההשהיה בהפעלה הוא עד 3.5 שעות בפרויקטים או בארגונים חדשים.
- זמן האחזור עד הזיהוי הוא דקות.
זמני האחזור של Cloud Run Threat Detection הם:
- זמן ההשהיה בהפעלה הוא עד 3.5 שעות בפרויקטים או בארגונים חדשים.
- זמן האחזור עד הזיהוי הוא דקות.
‫Compliance Manager: מידע נוסף זמין במאמר זמן הטעינה של סריקות ב-Compliance Manager לצורך בקרות גילוי.
זמני האחזור של זיהוי איומים בקונטיינר הם:
- זמן ההשהיה בהפעלה הוא עד 3.5 שעות בפרויקטים או בארגונים חדשים.
- זמן ההשהיה להפעלה של אשכולות שנוצרו לאחרונה הוא כמה דקות.
- השהיית זיהוי של דקות לאיומים באשכולות שהופעלו.
ההפעלה של Event Threat Detection מתבצעת תוך שניות עבור גלאים מובנים. במקרה של גלאים חדשים או גלאים בהתאמה אישית שעברו עדכון, יכול להיות שיחלפו עד 15 דקות עד שהשינויים ייכנסו לתוקף. בפועל, התהליך בדרך כלל נמשך פחות מ-5 דקות.

בדרך כלל, זמן האחזור של זיהוי מזהים מובנים ומותאמים אישית הוא פחות מ-15 דקות, מהרגע שיומן נכתב ועד שהממצא זמין ב-Security Command Center.
יכול להיות שיעברו כ-6 שעות עד שנתוני הבעיות יופיעו ב-Security Command Center במהדורות Premium ו-Enterprise.
יכול להיות שיעברו שעתיים עד שנתוני תרשים האבטחה יופיעו ברמות Premium ו-Enterprise של Security Command Center.
‫Security Health Analytics: ראו השהיה בסריקה של Security Health Analytics.
ל-VM Threat Detection יש זמן השהיה בהפעלה של עד 48 שעות לארגונים חדשים. בפרויקטים, זמן ההשהיה בהפעלה הוא עד 15 דקות.
הערכת נקודות חולשה עבור Google Cloud: מידע על תדירות הסריקות אחרי ההפעלה מופיע בקטע ממצאים שנוצרו על ידי הערכת נקודות חולשה עבור Google Cloud.
הערכת נקודות חולשה ב-Amazon Web Services‏ (AWS) מתחילה לסרוק את המשאבים בחשבון AWS כ-15 דקות אחרי הפריסה הראשונה של תבנית CloudFormation הנדרשת בחשבון. כשמזוהה נקודת חולשה בתוכנה בחשבון AWS, הממצא המתאים הופך לזמין ב-Security Command Center כ-10 דקות לאחר מכן.

משך הזמן שנדרש להשלמת הסריקה תלוי במספר המופעים של EC2. בדרך כלל, סריקה של מופע EC2 יחיד נמשכת פחות מ-5 דקות.
יכולות לחלוף עד 24 שעות מרגע הפעלת השירות עד שהסריקות של Web Security Scanner מתחילות. אחרי הסריקה הראשונה, הן מופעלות מדי שבוע.
יכול להיות שיחלפו עד 24 שעות מרגע הפעלת השירות עד שתתחילנה סריקות של Data Security Posture Management (DSPM).

ב-Security Command Center פועלים גלאי שגיאות שמזהים שגיאות בהגדרות שקשורות ל-Security Command Center ולשירותים שלו. הגלאים האלה מופעלים כברירת מחדל ואי אפשר להשבית אותם. זמני האחזור של הזיהוי משתנים בהתאם לגלאי השגיאות. מידע נוסף זמין במאמר בנושא שגיאות ב-Security Command Center.

אפשר להעניק את תפקידי ה-IAM של Security Command Center ברמת הארגון, התיקייה או הפרויקט. היכולת שלכם להציג, לערוך, ליצור או לעדכן ממצאים, נכסים ומקורות אבטחה תלויה ברמת הגישה שניתנה לכם. מידע נוסף על תפקידים ב-Security Command Center זמין במאמר בקרת גישה.

עיון בממצאים ראשוניים

יכול להיות שתראו ממצאים מסוימים במסוף Google Cloud בזמן הסריקות הראשוניות, אבל לפני השלמת תהליך ההצטרפות. הממצאים הראשוניים מדויקים וניתן לפעול לפיהם, אבל הם לא מקיפים. לא מומלץ להשתמש בממצאים האלה להערכת תאימות ב-24 השעות הראשונות.

סריקות נוספות

שינויים שמתבצעים בארגון או בפרויקט, כמו העברת משאבים או, בהפעלות ברמת הארגון, הוספה של תיקיות ופרויקטים חדשים, בדרך כלל לא משפיעים באופן משמעותי על זמן איתור המשאבים או על זמן הריצה של הסריקות. עם זאת, חלק מהסריקות מתבצעות לפי לוחות זמנים מוגדרים, שקובעים את מהירות זיהוי השינויים ב-Security Command Center.

‫Agent Platform Threat Detection (תצוגה מקדימה) משתמש בתהליך מעקב כדי לאסוף מידע על אירועים בזמן שהעומס של סוכן ה-AI פועל. תהליך הצפייה יכול להימשך עד דקה, עד שהוא מתחיל לאסוף מידע.
סימולציות של נתיבי תקיפה: מידע נוסף זמין בקטע סימולציות של נתיבי תקיפה.
הכלי Cloud Run Threat Detection משתמש בתהליך מעקב כדי לאסוף מידע על קונטיינרים ואירועים למשך כל משך העבודה בעומס העבודה של Cloud Run. תהליך הצפייה יכול להימשך עד דקה עד שהוא מתחיל לאסוף מידע.
‫Event Threat Detection ו-Container Threat Detection: השירותים האלה פועלים בזמן אמת כשהם מופעלים ומזהים באופן מיידי משאבים חדשים או משאבים שהשתנו, כמו אשכולות, מאגרי מידע או יומנים, בפרויקטים שבהם הם מופעלים.
‫Security Health Analytics: מידע על סוגי סריקות זמין במאמר סוגי סריקות ב-Security Health Analytics. מידע על זמן האחזור של הזיהוי זמין במאמר בנושא סריקות חוזרות של Security Health Analytics.
זיהוי איומים במכונות וירטואליות: כדי לסרוק את הזיכרון, התכונה 'זיהוי איומים במכונות וירטואליות' סורקת כל מופע של מכונה וירטואלית מיד אחרי שהמופע נוצר. בנוסף, התכונה 'זיהוי איומים במכונות וירטואליות' סורקת כל מכונה וירטואלית כל 30 דקות.
- לזיהוי כריית מטבעות קריפטוגרפיים, התכונה 'זיהוי איומים במכונות וירטואליות' יוצרת ממצא אחד לכל תהליך, לכל מכונה וירטואלית, לכל יום. כל ממצא כולל רק את האיומים שמשויכים לתהליך שמזוהה על ידי הממצא. אם התכונה 'זיהוי איומים במכונות וירטואליות' מוצאת איומים אבל לא מצליחה לשייך אותם לתהליך כלשהו, היא מקבצת את כל האיומים שלא שויכו לממצא יחיד לכל מכונה וירטואלית, ומפיקה אותו פעם אחת בכל תקופה של 24 שעות. אם יש איומים שנמשכים יותר מ-24 שעות, התכונה 'זיהוי איומים במכונות וירטואליות' יוצרת ממצאים חדשים כל 24 שעות.
- לזיהוי של ערכות Rootkit במצב ליבה, התכונה 'זיהוי איומים במכונות וירטואליות' יוצרת ממצא אחד לכל קטגוריה, לכל מכונה וירטואלית, כל שלושה ימים.
לסריקת דיסקים קבועים, שמזהה את הנוכחות של תוכנות זדוניות מוכרות, התכונה 'זיהוי איומים במכונות וירטואליות' סורקת כל מכונה וירטואלית לפחות פעם ביום.
הערכת נקודות חולשה ב-AWS מריצה סריקות שלוש פעמים ביום.

משך הזמן שנדרש להשלמת הסריקה תלוי במספר המופעים של EC2. בדרך כלל, סריקה של מופע EC2 יחיד נמשכת פחות מ-5 דקות.

כשמזוהה נקודת חולשה בתוכנה בחשבון AWS, הממצא המתאים הופך לזמין ב-Security Command Center כ-10 דקות לאחר מכן.
‫Web Security Scanner: ‏ Web Security Scanner פועל מדי שבוע, באותו יום שבו בוצעה הסריקה הראשונית. מכיוון ש-Web Security Scanner פועל מדי שבוע, הוא לא יזהה שינויים בזמן אמת. אם מעבירים משאב או משנים אפליקציה, יכול להיות שיעבור עד שבוע עד שהשינוי יזוהה. אפשר להריץ סריקות לפי דרישה כדי לבדוק משאבים חדשים או משאבים שהשתנו בין סריקות מתוזמנות.
‫DSPM: הממצאים שנוצרים על ידי DSPM מוצגים כמעט בזמן אמת בלוח הבקרה של DSPM.

גלאי השגיאות של Security Command Center פועלים מעת לעת במצב אצווה. תדירויות הסריקה של קבוצות משתנות בהתאם לגלאי השגיאות. מידע נוסף זמין במאמר שגיאות ב-Security Command Center.

סימולציות של נתיבי תקיפה

סימולציות של נתיבי תקיפה מופעלות בערך כל שש שעות. ככל שהארגון גדל בגודל או במורכבות, הזמן בין המרווחים יכול להתארך.Google Cloud

כשמפעילים את Security Command Center בפעם הראשונה, הסימולציות של נתיבי התקפה משתמשות בקבוצת ברירת מחדל של משאבים בעלי ערך גבוה, שמתמקדת בקבוצת משנה של סוגי המשאבים הנתמכים שנמצאים בארגון. מידע נוסף מופיע ברשימת סוגי המשאבים הנתמכים.

כשמתחילים להגדיר קבוצה משלכם של משאבים בעלי ערך גבוה על ידי יצירת הגדרת ערך משאב, יכול להיות שתראו ירידה בזמן בין מרווחי הסימולציה אם מספר מופעי המשאבים בקבוצה של משאבים בעלי ערך גבוה נמוך משמעותית מהקבוצה שמוגדרת כברירת מחדל.