安全狀態分析總覽

安全性狀態分析是 Security Command Center 的受管理服務，可掃描雲端環境中常見的錯誤設定，避免您遭受攻擊。

如果新啟用的 Security Command Center 採用 Standard-legacy、Premium 和 Enterprise 方案，系統會停用安全狀態分析。對於這類機構，請使用 Compliance Manager 掃描環境中的錯誤設定。

各層級適用的安全狀態分析功能

您可使用的安全狀態分析功能，取決於啟用 Security Command Center 的服務層級。如要查看各層級可用的發現項目，請參閱「安全狀態分析發現項目」。

Standard-legacy 級別功能

在 Standard-legacy 級別中，安全狀態分析只能偵測到一組基本的中等嚴重性和高嚴重性安全漏洞。

Standard 級功能

如果貴機構是新啟用「標準」級，也就是未從舊版「標準」級遷移，則無法使用 Security Health Analytics。請使用「法規遵循管理員」的安全基本架構和安全漏洞評估 Google Cloud，掃描環境中可能導致您遭受攻擊的錯誤設定和安全漏洞。

如果貴機構從 Standard 舊版方案遷移至 Standard 方案，下列安全性狀態分析偵測器會遷移至「安全防護基本功能」架構中的「法規遵循管理員」控制項：

• DATAPROC_IMAGE_OUTDATED
• LEGACY_AUTHORIZATION_ENABLED
• OPEN_CISCOSECURE_WEBSM_PORT
• OPEN_DIRECTORY_SERVICES_PORT
• OPEN_FIREWALL
• OPEN_RDP_PORT
• OPEN_SSH_PORT
• OPEN_TELNET_PORT
• PUBLIC_DATASET
• PUBLIC_IP_ADDRESS
• PUBLIC_SQL_INSTANCE
• SSL_NOT_ENFORCED
• WEB_UI_ENABLED

安全狀態分析已啟用，所有偵測工具會繼續產生發現項目，但由遷移偵測工具的安全狀態分析版本建立的發現項目會標示欄位值 ID：launch_state="LAUNCH_STATE_DEPRECATED"，且不會顯示在部分控制台頁面。 Google Cloud

大多數安全狀態分析偵測工具都有對應的 Compliance Manager 控制項。詳情請參閱「安全狀態分析偵測工具與雲端控制項的對應關係」。

如要查看由遷移偵測工具建立的 Compliance Manager 版本發現項目，請使用下列項目：

• 「發現項目」頁面
• 「法規遵循」頁面 >「監控」分頁

如要查看已遷移偵測工具的「安全狀態分析」版本所產生的發現項目，請使用下列項目：

• 「發現項目」頁面，然後從查詢中移除 launch_state="LAUNCH_STATE_DEPRECATED" 字詞。
• 舊版安全漏洞

下列偵測器不會遷移至法規遵循管理員的 Security Essentials 架構：

• MFA_NOT_ENFORCED
• NON_ORG_IAM_MEMBER
• OPEN_GROUP_IAM_MEMBER
• PUBLIC_BUCKET_ACL
• PUBLIC_COMPUTE_IMAGE
• PUBLIC_LOG_BUCKET

如要啟用這些偵測工具，請依序前往「設定」> 安全狀態分析 >「模組」分頁。

如要查看這些安全狀態分析偵測工具建立的發現項目，請使用下列方法：

• 「發現項目」頁面

• 「風險總覽」>「所有風險」資訊主頁：

  • 「最常見的錯誤設定」面板
  • 「各日期的錯誤設定」面板

這些安全狀態分析偵測工具產生的發現項目不會顯示在「法規遵循」頁面。

Premium 級功能

如果貴機構是新啟用 Premium 方案，也就是說，貴機構並未從 Standard 方案遷移，則無法使用安全狀態分析，也無法啟用這項功能。對於這類機構，請使用 Compliance Manager 掃描環境中的錯誤設定。

如果進階級是從 Standard 級遷移而來，安全狀態分析會包含下列功能：

• Google Cloud的所有偵測工具，以及其他多項安全漏洞偵測功能，例如建立自訂偵測模組。
• 系統會將調查結果對應至法規遵循控制項，以產生法規遵循報告。詳情請參閱「偵測工具和法規遵循」。
• Security Command Center 攻擊路徑模擬功能會針對大多數安全狀態分析發現項目，計算遭受攻擊的風險分數和潛在攻擊路徑。詳情請參閱「受攻擊風險分數和攻擊路徑總覽」。

如果貴機構從 Standard 級別升級至 Premium 級別，請參閱「切換級別」，瞭解經過修改的安全狀態分析偵測工具功能。

Enterprise 級別功能

如果貴機構剛啟用企業版級別 (也就是說，貴機構並非從標準版級別遷移)，安全狀態分析就無法使用，也無法啟用。對於這類機構，請使用 Compliance Manager 掃描環境中的錯誤設定。

如果貴機構從 Standard 級別升級至 Enterprise 級別，請參閱「切換級別」，瞭解安全狀態分析偵測工具功能組合的異動。

切換等級

與 Standard-legacy 方案相比，進階和 Enterprise 方案的 Security Command Center 具有更多偵測工具。如果您使用 Premium 或 Enterprise 方案，並打算降級至 Standard 或 Standard-legacy 方案，建議您先解決所有發現項目，再變更方案。

如果 Premium 或 Enterprise 試用期結束，或是您從這些層級降級至 Standard 或 Standard-legacy 層級，系統會將較高層級產生的調查結果狀態設為 INACTIVE。

如果貴機構沒有 Security Command Center，且系統已自動啟用標準方案，而您已升級至進階或企業方案，請使用法規遵循管理員中的 Security Essentials 架構設定偵測功能。

如果貴機構從 Standard 舊版方案遷移至 Standard 方案，然後升級至 Premium 或 Enterprise 方案，安全性狀態分析仍會部分啟用。您無法啟用進階或企業層級的安全性狀態分析偵測器。您必須使用 Premium 和 Enterprise 方案提供的 Compliance Manager架構，設定偵測功能。

Premium 和 Enterprise 級別的大部分安全狀態分析偵測工具，都會移至法規遵循管理員的 Security Essentials 架構。

如要進一步瞭解 Compliance Manager 架構和雲端控制項，請參閱「Compliance Manager 架構」。

如要瞭解安全狀態分析偵測工具如何對應至 Compliance Manager 雲端控制項，請參閱「安全狀態分析偵測工具對應至雲端控制項」。

支援多雲端

安全狀態分析可以偵測其他雲端平台部署作業中的錯誤設定。

安全狀態分析支援下列其他雲端服務供應商：

• Amazon Web Services (AWS)： 如要在 AWS 資料上執行偵測器，您必須先將 Security Command Center 連線至 AWS，如「連線至 AWS 以收集設定和資源資料」一文所述。

• Microsoft Azure：如要在 Microsoft Azure 資料上執行偵測器，請先將 Security Command Center 連結至 Microsoft Azure，如「連結至 Microsoft Azure 以偵測安全漏洞及評估風險」一文所述。

支援的雲端服務 Google Cloud

安全狀態分析管理式安全漏洞評估掃描功能可自動偵測下列服務中常見的安全漏洞和錯誤設定： Google CloudGoogle Cloud

• Cloud Monitoring 和 Cloud Logging
• Compute Engine
• Google Kubernetes Engine 容器和網路
• Cloud Storage
• Cloud SQL
• 身分與存取權管理 (IAM)
• Cloud Key Management Service (Cloud KMS)

安全狀態分析掃描類型

安全狀態分析掃描作業有三種模式：

• 批次掃描：系統會定期排定所有偵測器，針對所有已註冊的機構或專案執行掃描。

  如要瞭解掃描頻率，請參閱「安全狀態分析掃描延遲時間」。

• 即時掃描：僅適用於 Google Cloud 部署作業，支援的偵測器會在偵測到資源設定有變更時開始掃描，並將結果寫入 Security Command Center。其他雲端平台上的部署作業不支援即時掃描。

• 混合模式：部分支援即時掃描的偵測器可能無法即時偵測所有支援資源類型的變更。在這些情況下，系統會立即擷取部分資源類型的設定變更，其他變更則會透過批次掃描擷取。例外狀況會列在安全狀態分析發現項目表格中。

安全狀態分析只會以批次模式掃描其他雲端平台上的資源。

安全狀態分析掃描延遲時間

以下各節說明初始掃描作業生成結果的時間長度，以及後續掃描作業的頻率。

初始掃描

在 Premium 和 Enterprise 級中，服務啟用後約一小時，系統就會開始進行初始掃描。第一次安全性狀態分析掃描最多可能需要 12 小時才能完成。

在 Security Command Center Standard 和 Standard-legacy 方案中，掃描作業每 48 小時執行一次，因此初始發現項目的延遲時間可能為 72 小時。

在初始掃描期間，您可能會在 Google Cloud 控制台中看到一些發現項目，但此時加入程序尚未完成。 初步發現結果準確且可做為行動依據，但並非全面性的結果。不建議在 24 小時內使用這些發現項目進行法規遵循評估。

後續掃描

初始掃描完成後，系統會定期以批次模式執行偵測作業。

• 在 Premium 和 Enterprise 方案中，批次掃描每天都會執行。
• 在 Standard 和 Standard-legacy 層級，批次掃描每 48 小時執行一次。

偵測工具可能會以批次模式、即時模式或混合模式執行。如要進一步瞭解這些模式，請參閱「安全狀態分析掃描類型」。

透過即時掃描，相關 Google Cloud 資源設定變更 可能會導致發現項目更新。視資產類型和變更內容而定，更新程序可能需要幾分鐘。如果偵測作業使用資源設定以外的資訊，偵測器可能就不支援即時掃描。

如要瞭解偵測工具是否支援即時掃描，請參閱「資產掃描設定」欄，該欄位於「安全漏洞發現項目」的「安全狀態分析發現項目參考資料」部分。

啟用安全狀態分析偵測工具

安全狀態分析會使用偵測工具，找出雲端環境中的安全漏洞和錯誤設定。每個偵測工具都對應到一個發現項目類別。

安全狀態分析內建許多偵測工具，可檢查大量類別和資源類型中的安全漏洞和錯誤設定。

如果是 Premium 和 Enterprise 服務層級，您也可以建立自己的自訂偵測器，檢查內建偵測器未涵蓋或特定於您環境的安全漏洞或錯誤設定。

如要進一步瞭解內建的「安全狀態分析」偵測工具，請參閱「安全狀態分析內建偵測工具」。

如要進一步瞭解如何建立及使用自訂模組，請參閱「安全狀態分析自訂模組」。

啟用及停用偵測工具

系統預設不會啟用所有安全狀態分析內建偵測工具。

如要啟用閒置的內建偵測器，請參閱「啟用及停用偵測器」。

如要啟用或停用安全狀態分析自訂偵測模組，可以使用 Google Cloud 控制台、gcloud CLI 或 Security Command Center API 更新自訂模組。

如要進一步瞭解如何更新安全狀態分析自訂模組，請參閱「更新自訂模組」。

內建偵測器和專案層級啟用

如果只為專案啟用 Security Command Center，系統就不支援某些內建的安全狀態分析偵測工具，因為這些工具需要機構層級的權限。

如果內建偵測器需要機構層級啟用，您可以為機構啟用 Security Command Center 的 Standard 舊版方案，然後在專案層級啟用這些偵測器。

如果內建偵測工具需要進階級別和機構層級權限，則不支援專案層級啟用。

如要查看內建的 Standard 舊版層級偵測器清單，瞭解哪些偵測器必須先在機構層級啟用 Security Command Center Standard 舊版，才能在專案層級啟用，請參閱「機構層級 Standard 方案發現項目類別」。

如需專案層級啟用作業不支援的內建 Premium 級偵測工具清單，請參閱「不支援的 Security Health Analytics 發現項目」。

自訂模組偵測器和專案層級啟用

無論 Security Command Center 的啟用層級為何，您在專案中建立的自訂模組偵測工具掃描作業，都僅限於專案範圍。自訂模組偵測工具只能掃描建立所在專案可用的資源。

如要進一步瞭解自訂模組，請參閱「安全狀態分析自訂模組」。

安全狀態分析內建偵測工具

本節說明偵測器的頂層類別，並依雲端平台和產生的發現項目類別列出。

內建偵測工具，可依高階類別 Google Cloud

安全狀態分析的偵測工具和產生的發現項目，會依據下列高階類別分組。 Google Cloud

安全狀態分析偵測工具會監控 Cloud Asset Inventory 支援的部分資源類型。 Google Cloud

如要查看每個類別中包含的個別偵測器，請按一下類別名稱。

• API 金鑰安全漏洞調查結果
• 運算映像檔安全漏洞發現項目
• 運算執行個體安全漏洞發現項目
• 容器安全漏洞發現項目
• Managed Service for Apache Spark 安全漏洞發現項目
• 資料集安全漏洞發現項目
• DNS 安全漏洞發現項目
• 防火牆安全漏洞發現項目
• IAM 安全漏洞發現項目
• KMS 安全漏洞發現項目
• 記錄安全漏洞發現項目
• 監控安全漏洞發現項目
• 多重驗證安全漏洞調查結果
• 網路安全漏洞發現項目
• 機構政策安全漏洞發現項目
• Pub/Sub 安全漏洞發現項目
• SQL 安全漏洞發現結果
• 儲存空間安全漏洞發現項目
• 子網路安全漏洞發現項目

AWS 內建偵測工具

如要查看 AWS 的所有安全狀態分析偵測工具，請參閱「AWS 發現項目」。

安全狀態分析自訂模組

安全狀態分析自訂模組是自訂偵測工具，可擴充安全狀態分析的偵測功能，超出內建偵測工具提供的範圍。Google Cloud

其他雲端平台不支援自訂模組。

您可以使用Google Cloud 控制台中的導覽工作流程建立自訂模組，也可以在 YAML 檔案中自行建立自訂模組定義，然後使用 Google Cloud CLI 指令或 Security Command Center API 上傳至 Security Command Center。

詳情請參閱「安全狀態分析自訂模組總覽」。

偵測工具和法規遵循

Security Command Center 對安全基準法規遵循情形的評估，主要是根據 Security Health Analytics 弱點偵測工具產生的發現項目。

安全狀態分析會監控您是否符合各種安全標準的控制項，這些控制項會對應至偵測工具。

針對每個支援的安全標準，安全狀態分析會檢查部分控管措施。Security Command Center 會顯示通過檢查的控管措施數量。對於未通過的控管措施，Security Command Center 會顯示說明控管措施失敗的發現項目清單。

CIS 會審查並認證安全狀態分析偵測工具與各個支援的 CIS 基礎基準版本之間的對應關係。 Google Cloud 額外的法規遵循對應僅供參考。

安全狀態分析會定期新增支援的基準版本和標準。舊版仍受支援，但最終會遭到淘汰。建議您使用最新支援的基準或標準。

透過資安態勢服務，您可以將組織政策和安全狀態分析偵測工具，對應至適用於貴商家的標準和控管措施。建立資安態勢後，您可以監控環境中的任何變更，以免影響貴商家的法規遵循狀態。

透過Compliance Manager，您可以部署框架，將法規控管措施對應至雲端控管措施。建立架構後，您可以監控環境中可能影響商家法規遵循情況的任何變更，並稽核環境。

如要進一步瞭解如何管理法規遵循情形，請參閱「評估及回報安全性標準的法規遵循情形」。

支援的安全標準

Google Cloud

安全狀態分析會將 Google Cloud 的偵測工具對應至下列一或多項法規遵循標準：

• Center for Information Security (CIS) Controls 8.0
• CIS Google Cloud 運算基礎基準 2.0.0 版、1.3.0 版、1.2.0 版、1.1.0 版和 1.0.0 版
• CIS Kubernetes 基準政策 v1.5.1
• Cloud Controls Matrix (CCM) 4
• 《健康保險流通與責任法案》(HIPAA)
• 國際標準化組織 (ISO) 27001 (2022 年和 2013 年)
• 美國國家標準暨技術研究院 (NIST) 800-53 R5 和 R4
• 美國國家標準暨技術研究院 (NIST) 網路安全架構 (CSF) 1.0
• Open Web Application Security Project (OWASP) 前十大安全漏洞 (2021 年和 2017 年)
• 付款卡產業資料安全標準 (PCI DSS) 4.0 和 3.2.1 版
• 系統與組織控管 (SOC) 2 2017 年信任服務準則 (TSC)

AWS

在 Enterprise 服務層級中，安全狀態分析會將 Amazon Web Services (AWS) 的偵測工具對應至下列一或多項法規遵循標準：

• CIS Amazon Web Services Foundations 2.0.0
• CIS Critical Security Controls 8.0 版
• Cloud Controls Matrix (CCM) 4
• 《健康保險流通與責任法案》(HIPAA)
• 國際標準化組織 (ISO) 27001，2022 年
• 美國國家標準暨技術研究院 (NIST) 800-53 R5
• 美國國家標準暨技術研究院 (NIST) 網路安全架構 (CSF) 1.0
• 付款卡產業資料安全標準 (PCI DSS) 4.0 和 3.2.1 版
• 系統與組織控管 (SOC) 2 2017 年信任服務準則 (TSC)

如要進一步瞭解法規遵循，請參閱「評估及回報安全性基準法規遵循情形」。