GSP1164

總覽

Security Command Center (SCC) 是安全監控平台，可協助使用者：

• 發現 Google Cloud 資源有關安全性設定的錯誤。
• 回報 Google Cloud 環境中現有的威脅。
• 修正各項 Google Cloud 資產的安全漏洞。

在本實驗室，您將學習如何透過 Security Command Center 分析資產及使用匯出功能。

目標

本實驗室將說明如何執行下列工作：

• 建立持續匯出至 Pub/Sub 的管道
• 將 SCC 發現項目匯出至 BigQuery 資料表並加以分析

事前準備

開始本實驗室前，建議您先熟悉下列項目：

• 雲端運算概念
• Google Cloud 控制台
• 發現項目的嚴重性分類 (建議項目，但非必要)。
• Pub/Sub 和 BigQuery (建議項目，但非必要)

設定和需求

瞭解以下事項後，再點選「Start Lab」按鈕

請詳閱以下操作說明。實驗室活動會計時，且中途無法暫停。點選「Start Lab」後就會開始計時，顯示可使用 Google Cloud 資源的時間。

您將在真正的雲端環境完成實作實驗室活動，而不是模擬或示範環境。為此，我們會提供新的暫時憑證，供您在實驗室活動期間登入及存取 Google Cloud。

為了順利完成這個實驗室，請先確認：

• 可以使用標準的網際網路瀏覽器 (Chrome 瀏覽器為佳)。

注意事項：請使用無痕模式 (建議選項) 或私密瀏覽視窗執行此實驗室，這可以防止個人帳戶和學員帳戶之間的衝突，避免個人帳戶產生額外費用。

• 是時候完成實驗室活動了！別忘了，活動一旦開始將無法暫停。

注意事項：務必使用實驗室專用的學員帳戶。如果使用其他 Google Cloud 帳戶，可能會產生額外費用。

如何開始研究室及登入 Google Cloud 控制台

1. 點選「Start Lab」按鈕。如果實驗室會產生費用，畫面上會出現選擇付款方式的對話方塊。左側的「Lab Details」窗格會顯示下列項目：

   • 「Open Google Cloud console」按鈕
   • 剩餘時間
   • 必須在這個研究室中使用的臨時憑證
   • 完成這個實驗室所需的其他資訊 (如有)

2. 點選「Open Google Cloud console」；如果使用 Chrome 瀏覽器，也能按一下滑鼠右鍵，選取「在無痕視窗中開啟連結」。

   接著，實驗室會啟動相關資源，並開啟另一個分頁，顯示「登入」頁面。

   提示：您可以在不同的視窗中並排開啟分頁。

   注意：如果頁面中顯示「選擇帳戶」對話方塊，請點選「使用其他帳戶」。

3. 如有必要，請將下方的 Username 貼到「登入」對話方塊。

   {{{user_0.username | "Username"}}}

   您也可以在「Lab Details」窗格找到 Username。

4. 點選「下一步」。

5. 複製下方的 Password，並貼到「歡迎使用」對話方塊。

   {{{user_0.password | "Password"}}}

   您也可以在「Lab Details」窗格找到 Password。

6. 點選「下一步」。

   重要事項：請務必使用實驗室提供的憑證，而非自己的 Google Cloud 帳戶憑證。 注意：如果使用自己的 Google Cloud 帳戶來進行這個實驗室，可能會產生額外費用。

7. 按過後續的所有頁面：

   • 接受條款及細則。
   • 由於這是臨時帳戶，請勿新增救援選項或雙重驗證機制。
   • 請勿申請免費試用。

Google Cloud 控制台稍後會在這個分頁開啟。

注意：如要使用 Google Cloud 產品和服務，請點選「導覽選單」，或在「搜尋」欄位輸入服務或產品名稱。

啟動 Cloud Shell

Cloud Shell 是搭載多項開發工具的虛擬機器，提供永久的 5 GB 主目錄，而且在 Google Cloud 中運作。Cloud Shell 提供指令列存取權，方便您使用 Google Cloud 資源。

1. 點按 Google Cloud 控制台頂端的「啟用 Cloud Shell」圖示 。

2. 系統顯示視窗時，請按照下列步驟操作：

   • 繼續操作 Cloud Shell 視窗。
   • 授權 Cloud Shell 使用您的憑證發出 Google Cloud API 呼叫。

連線建立完成即代表已通過驗證，而且專案已設為您的 Project_ID：。輸出內容中有一行文字，宣告本工作階段的 Project_ID：

Your Cloud Platform project in this session is set to {{{project_0.project_id | "PROJECT_ID"}}}

gcloud 是 Google Cloud 的指令列工具，已預先安裝於 Cloud Shell，並支援 Tab 鍵自動完成功能。

3. (選用) 您可以執行下列指令來列出使用中的帳戶：

gcloud auth list

4. 點按「授權」。

輸出內容：

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} To set the active account, run: $ gcloud config set account `ACCOUNT`

5. (選用) 您可以使用下列指令來列出專案 ID：

gcloud config list project

輸出內容：

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} 注意：如需 gcloud 的完整說明，請前往 Google Cloud 參閱 gcloud CLI 總覽指南。

情境

Cymbal Bank 是美國的零售銀行，在全美 50 州共有超過 2,000 家分行。該銀行提供全方位的金融卡與信用卡服務，且服務建構於完善的付款平台上。Cymbal Bank 正在對舊式的金融服務機構進行數位轉型。

Cymbal Bank 於 1920 年以 Troxler 之名成立。Cymbal Group 持續投注大量資源打造專屬 ATM，隨後於 1975 年收購 Troxler 公司。隨著該銀行躍身為全國業界龍頭，他們將策略重點放在翻新各分行的現場客戶體驗，以及 2014 年推出的應用程式數位體驗。Cymbal Bank 在全國各地有 42,000 名員工，2019 年營收為 $240 億美元。

Cymbal Bank 有意整合集中式安全監控平台，以監控威脅並修復公司銀行應用程式中各項 Google Cloud 資源的安全漏洞。身為雲端資安工程師，您的工作是瞭解 Security Command Center 的匯出及分析功能，並向技術長說明該服務的優點。

工作 1：建立持續匯出至 Pub/Sub 的管道

Security Command Center 可透過多種方式將安全性發現項目匯出至外部資源，包括：

• 持續匯出至 BigQuery 資料集
• 持續匯出至 Pub/Sub
• 單次匯出為 CSV 檔案
• 以 JSON 檔案格式單次匯出至 Cloud Storage bucket

在這項工作中，您將瞭解如何設定將發現項目持續匯出至 Pub/Sub。

注意事項：只有新建立的發現項目適用持續匯出功能。

持續匯出至 Pub/Sub 的功能通常用於將發現項目轉送至外部安全管理系統，例如 Splunk 或 QRadar。

在本研究室，您會將發現結果匯出至 Pub/Sub 主題，接著透過 Pub/Sub 訂閱擷取訊息，模擬應用程式。

注意事項：如要進一步瞭解 Pub/Sub，請參閱說明文件頁面。

建立 Pub/Sub 主題和訂閱項目

開始設定 SCC 匯出功能前，必須先建立 Pub/Sub 主題和訂閱項目。

1. 前往 Google Cloud 控制台，在標題列的搜尋欄位輸入 Pub/Sub 並按下 Enter 鍵，然後點選最上方的搜尋結果「Pub/Sub」。
2. 在「主題」頁面，點選「建立主題」按鈕。
3. 在「主題 ID」部分，輸入 export-findings-pubsub-topic。
4. 其餘設定維持預設值，然後點選「建立」。

系統會自動開始建立 Pub/Sub 主題和相關訂閱項目。

5. 點選左側選單的「訂閱項目」。

6. 點選 export-findings-pubsub-topic-sub。如果沒有看到訂閱項目，請重新整理瀏覽器頁面。

隨後便會顯示資訊主頁，呈現這個訂閱項目內發布的訊息相關的統計資料和指標。

建立發現項目持續匯出作業

1. 在 Cloud 控制台開啟「導覽選單」，依序點選「安全性」>「風險總覽」>「安全漏洞」，然後按一下頁面頂端的「設定」。

2. 點選「持續匯出」分頁標籤。

3. 點選「建立 Pub/Sub 匯出作業」按鈕。

4. 在「持續匯出項目名稱」部分，輸入 export-findings-pubsub。

5. 在「持續匯出項目說明」部分，輸入 Continuous exports of Findings to Pub/Sub and BigQuery。

6. 在「專案名稱」部分選取 ，也就是您目前使用的專案 ID (「請勿」選取「Qwiklabs Resources」)。

7. 在「選取 Cloud Pub/Sub 主題」欄位，選取「projects//topics/export-findings-pubsub-topic」。

8. 將發現項目查詢設為下列內容：

state="ACTIVE" AND NOT mute="MUTED"

這項查詢可確保將所有新的 ACTIVE 和 NOT MUTED 發現項目轉送至新建立的 Pub/Sub 主題。

注意事項：系統可能會顯示訊息，指出有多個相符的發現項目。請注意，現有發現項目不會轉送至 Pub/Sub 主題。

9. 點選「儲存」。

您已建立匯出作業，從 Security Command Center 持續會出到 Pub/Sub。

建立新發現項目，匯出至 Pub/Sub

在本節中，您將建立新的發現項目，並檢查這些項目如何匯出至 Pub/Sub。

1. 開啟新的 Cloud Shell 工作階段

2. 執行下列指令，建立新的虛擬機器：

gcloud compute instances create instance-1 --zone={{{project_0.default_zone|lab zone}}} \ --machine-type e2-micro \ --scopes=https://www.googleapis.com/auth/cloud-platform

3. 確認畫面上顯示的輸出內容大致如下：

輸出內容：

NAME: instance-1 ZONE: us-central-a MACHINE_TYPE: e2-micro PREEMPTIBLE: INTERNAL_IP: 10.128.0.2 EXTERNAL_IP: 34.69.82.225 STATUS: RUNNING 注意事項：如果顯示錯誤訊息，指出 ERROR: (gcloud.compute.instances.create) You do not currently have an active account selected，請重新執行指令。

這個指令會建立新的 VM 執行個體，並連結公開 IP 位址和預設服務帳戶。

執行這項活動後，系統會立即產生三個新的安全漏洞發現項目：

• 公開 IP 位址
• 已使用預設服務帳戶
• 已停用 Compute 安全啟動功能

4. 前往 Google Cloud 控制台，在標題列的搜尋欄位輸入 Pub/Sub 並按下 Enter 鍵，點選最上方的搜尋結果「Pub/Sub」，然後按一下左側選單的「訂閱項目」。

5. 選取 export-findings-pubsub-topic-sub 訂閱項目。

6. 點選「訊息」分頁標籤。

7. 勾選「啟用確認訊息」核取方塊。

8. 點選「提取」按鈕。

畫面上應會顯示這個訂閱項目中的訊息清單，內容與「公開的 IP 位址」、「已使用預設服務帳戶」，以及「Compute 安全啟動功能已停用」安全漏洞有關。

注意事項：您可以點選「訊息」清單中的「資料欄顯示選項」按鈕，修改要顯示的訊息詳細資料，例如納入 body.finding.category 來查看更多詳細資訊。

從 Pub/Sub 訂閱項目提取訊息後，您可以模擬出應用程式的行為，將這些訊息轉送至 Splunk 等其他安全監控系統。

點選「Check my progress」，確認目標已達成。 建立持續匯出至 Pub/Sub 的管道

工作 2：透過 BigQuery 匯出 SCC 發現項目並加以分析

SCC 發現項目也能匯出至 BigQuery 資料集，這麼做有助於建立分析資訊主頁，以便查看貴機構最常出現的發現類型。

目前只能使用指令設定持續匯出作業 (無法在控制台中設定)。

1. 開啟 Cloud Shell 工作階段 。
2. 在 Cloud Shell 工作階段執行下列指令，建立新的 BigQuery 資料集：

PROJECT_ID=$(gcloud config get project) bq --location={{{project_0.default_region|lab region}}} --apilog=/dev/null mk --dataset \ $PROJECT_ID:continuous_export_dataset

3. 您尚未在這項專案使用 SCC 指令列介面，因此須先啟用 SCC 服務。執行下列指令，在目前專案啟用服務：

gcloud services enable securitycenter.googleapis.com

4. 接著輸入下列指令，建立新的匯出作業：

gcloud scc bqexports create scc-bq-cont-export --dataset=projects/{{{project_0.project_id}}}/datasets/continuous_export_dataset --project={{{project_0.project_id|PROJECT_ID}}}

確認畫面上顯示的輸出內容訊息大致如下：

輸出內容：

Created. dataset: projects/qwiklabs-gcp-04-571fad72c1e8/datasets/continuous_export_dataset mostRecentEditor: student-03-fbc57ac17933@qwiklabs.net name: projects/102856953036/bigQueryExports/SCC-bq-cont-export principal: service-org-616463121992@gcp-sa-scc-notification.iam.gserviceaccount.com updateTime: '2023-05-31T15:44:22.097585Z'

將新發現項目匯出至 BigQuery 後，SCC 會建立新資料表，然後即可啟動新的 SCC 發現項目。

5. 執行下列指令，建立三個沒有任何 IAM 權限的新服務帳戶，並為這些帳戶建立三組使用者自行管理的服務帳戶金鑰。

for i in {0..2}; do gcloud iam service-accounts create sccp-test-sa-$i; gcloud iam service-accounts keys create /tmp/sa-key-$i.json \ --iam-account=sccp-test-sa-$i@{{{project_0.project_id|PROJECT_ID}}}.iam.gserviceaccount.com; done

SCC 建立新的發現項目之後，便會匯出至 BigQuery。匯出管道會建立名為 findings 的新資料表來儲存發現項目。

6. 執行下列指令，從 BigQuery 擷取新建立的發現項目資訊：

bq query --apilog=/dev/null --use_legacy_sql=false \ "SELECT finding_id,event_time,finding.category FROM continuous_export_dataset.findings"

隨後，畫面上顯示的輸出內容應會大致如下：

輸出內容：

+----------------------------------+---------------------+------------------------------------------+ | finding_id | event_time | category | +----------------------------------+---------------------+------------------------------------------+ | c5235ebb04b140198874ce52080422b8 | 2024-11-27 08:08:08 | Persistence: Service Account Key Created | | 94d933ee9803d0f1c807551fd22a0269 | 2024-11-27 08:08:04 | USER_MANAGED_SERVICE_ACCOUNT_KEY | +----------------------------------+---------------------+------------------------------------------+ 注意事項：這些發現項目應該需要 10 分鐘以上才會產生完畢。如果沒有顯示類似的輸出內容，請重新執行上述指令。

點選「Check my progress」，確認目標已達成。 將發現項目匯出至 BigQuery 資料集

將發現項目匯出至 Cloud Storage bucket 並建立 BigQuery 資料表

既有的成熟 Google Cloud 基礎架構往往已啟用 Security Command Center。啟用 SCC 之後，系統會立即開始掃描現有的安全漏洞，最後可能會回報數千個在既有基礎架構找到的發現項目。

SCC 介面可能無法以最佳方式來排序及篩選這類發現項目，如要加以分析，常見做法是將這些發現項目匯出至 BigQuery 資料庫。

目前尚不支援將發現項目直接匯出至 BigQuery，您可以改用 Google Cloud Storage bucket 做為臨時的儲存空間解決方案。

建立 Cloud Storage bucket

如要將「現有」的發現項目匯出至 BigQuery 介面，必須先匯出至 Cloud Storage bucket。 在本節中，您將建立 Storage bucket。

1. 在 Cloud 控制台開啟「導覽選單」，依序點選「Cloud Storage」>「Bucket」。

2. 點選「建立」按鈕。

3. Google Cloud 內的 bucket 名稱不得重複，請將 bucket 命名為 scc-export-bucket-。

4. 點選「繼續」。

5. 將「位置類型」設為「區域」。

6. 將「位置」設為「」。

7. 請勿更動其餘設定，然後向下捲動頁面並點選「建立」。

8. 系統詢問是否要對這個 bucket「強制禁止公開存取」時，請點選「確認」按鈕。

將現有發現項目匯出為 JSONL 資料

在本節中，您會匯出發現項目，用於 BigQuery 資料庫。

1. 在 Cloud 控制台開啟「導覽選單」，依序點選「安全性」>「發現項目」。

2. 點選「匯出」按鈕。

3. 在下拉式選單選取「Cloud Storage」。

4. 在專案名稱部分，選取專案 ID (「請勿」選取「Qwiklabs Resources」)。

5. 接著點選「瀏覽」按鈕，選取匯出路徑。

6. 點選「scc-export-bucket-」 按鈕旁的箭頭。

7. 將檔案名稱設為 findings.jsonl，然後點選「選取」。

8. 在「格式」下拉式清單，選取「JSONL」。

9. 將時間範圍設為「不限時間」。

   請勿修改預設的發現項目查詢。

   最終的「匯出目的地」表單應會大致如下。

10. 點選「匯出」按鈕。

在 BigQuery 建立資料表

在本節中，您會使用匯出的發現項目資料，在 BigQuery 建立資料表。

1. 在 Cloud 控制台開啟「導覽選單」，依序點選「BigQuery」>「Studio」。

2. 在左側「探索」選單中，點選「+ 新增資料」按鈕。

3. 在新的「新增資料」視窗中，點選「Google Cloud Storage」，這是最熱門的資料來源。

4. 點選「外部」或「BigLake 資料表」，手動使用 GCS 資料建立 BigLake/外部資料表，並設定下列參數：

設定	值
建立資料表來源	Google Cloud Storage
從 GCS bucket 選取檔案	scc-export-bucket-/findings.jsonl
檔案格式	JSONL
資料集	continuous_export_dataset
資料表	old_findings
資料表類型	原生
結構定義	啟用「以文字形式編輯」切換按鈕

5. 接著貼上下列結構定義：

[ { "mode": "NULLABLE", "name": "resource", "type": "JSON" }, { "mode": "NULLABLE", "name": "finding", "type": "JSON" } ]

6. 點選「建立資料表」按鈕。

7. 新資料表建立完成後，點選通知中的「前往資料表」連結。

8. 點選「預覽」分頁標籤，確認可以查看現有發現項目。

點選「Check my progress」，確認目標已達成。 將發現項目匯出至 Cloud Storage bucket 並建立 BigQuery 資料表

恭喜！

在本實驗室中，您瞭解了 Security Command Center，並分析資產，將發現項目匯出至 BigQuery。

後續步驟/瞭解詳情

• 參加透過 Security Command Center 找出應用程式的安全漏洞實驗室。

Google Cloud 教育訓練與認證

協助您瞭解如何充分運用 Google Cloud 的技術。我們的課程會介紹專業技能和最佳做法，讓您可以快速掌握要領並持續進修。我們提供從基本到進階等級的訓練課程，並有隨選、線上和虛擬課程等選項，方便您抽空參加。認證可協助您驗證及證明自己在 Google Cloud 技術方面的技能和專業知識。

使用手冊上次更新日期：2025 年 9 月 11 日

實驗室上次測試日期：2025 年 9 月 11 日

Copyright 2026 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標，其他公司和產品名稱則有可能是其關聯公司的商標。