In diesem Leitfaden wird die Integration von Security Command Center, Google Security Operations (Google SecOps) und dem Sicherungs- und Notfallwiederherstellungsdienst beschrieben. Diese Integration ermöglicht Benachrichtigungen zu Aktionen mit hohem Risiko, die im Sicherungs- und Notfallwiederherstellungsdienst auftreten und im Security Command Center und in Google SecOps angezeigt werden.
Mit Security Command Center und Google SecOps für den Sicherungs- und Notfallwiederherstellungsdienst können Sie:
- Sie erhalten sofortige Benachrichtigungen zu Aktionen mit hohem Risiko, z. B. zum Entfernen des Schutzes für eine Arbeitslast.
- Bedrohungen untersuchen und betroffene Sicherungsressourcen ermitteln
- Sicherungsbedrohungen in Fällen für eine schnelle und systematische Behebung zusammenfassen
Das Security Command Center nimmt Logs und Ereignisse aus allen Quellen auf, um potenzielle Sicherheitsrisiken zu erkennen. Google Cloud Google SecOps ist Teil von Security Command Center Enterprise und ein SIEM- (Security Information and Event Management) und SOAR-Tool (Security Orchestration, Automation and Response), mit dem Bedrohungen aus mehreren Quellen intelligent aggregiert und korreliert werden. Google SecOps ermöglicht außerdem die Fallverwaltung und Behebung von Bedrohungen.
Vorbereitung
Aktivieren Sie Security Command Center Premium, falls dies noch nicht geschehen ist. Dazu können Sie die Google Cloud -Konsole verwenden. Wenn Sie Fragen zu Security Command Center Enterprise haben, wenden Sie sich an Ihr Google CloudKontoteam.
Ergebnis generieren
Hochrisikoaktionen, die von einem Nutzer im Sicherungs- und Notfallwiederherstellungsdienst ausgeführt werden, werden mit Event Threat Detection (Teil von Security Command Center Premium und Security Command Center Enterprise) überwacht. Diese Aktionen werden in Echtzeit überwacht, mit anderen Risikoereignissen in Google Cloudin Beziehung gesetzt und als Ergebnisse (Security Command Center), Warnungen (Google SecOps) und automatisch erstellte Fälle (Google SecOps) angezeigt.
Zu diesen Aktionen gehören:
- Sicherungen löschen
- Sicherungsplan löschen
- Sicherungsschutz für eine Arbeitslast entfernen
- Entfernung der Sicherungsinfrastruktur, die sich auf die Wiederherstellung auswirken kann
Eine vollständige Liste der Erkennungen finden Sie in der Security Command Center-Dokumentation.
Ergebnisse in Echtzeit im Security Command Center
Wenn eine Aktion von Security Command Center als Sicherheitsrisiko eingestuft wird, wird ein Ergebnis generiert. Ein Sicherheitsadministrator kann sich dann die betroffenen Ressourcen genauer ansehen und die empfohlenen nächsten Schritte ausführen. Die Ergebnisse enthalten Details zu den betroffenen Ressourcen, zum Zeitpunkt des Sicherheitsereignisses und zu den erforderlichen Maßnahmen zur Behebung einer Bedrohung.
Security Command Center bietet Kunden integrierte Tools zur Untersuchung. Links zu Cloud Logging, MITRE-Indikator und betroffenen Ressourcen ermöglichen eine schnelle Behebung.
- Über die Cloud Logging-Integration können Sie zu einer detaillierten Cloud Logging-Abfrage wechseln.
- Durch die Einbindung in Cloud Monitoring können Sie zusätzliche Benachrichtigungen zu ähnlichen Ereignissen erstellen.
- MITRE-Klassifizierungen geben den Angriffstyp an, der durch ein Ergebnis angegeben wird, wie in diesem Beispiel gezeigt.
Fallverwaltung und -behebung in Google SecOps
Google SecOps bietet ausgewählte Erkennungen, mit denen Ereignisse mit hohem Risiko als Benachrichtigungen angezeigt werden. Zu diesen ausgewählten Erkennungen gehören potenzielle Bedrohungen für Sicherungen und Sicherungsressourcen. Für ausgewählte Erkennungen ist keine zusätzliche Konfiguration erforderlich. Benachrichtigungen werden auch zu Fällen zusammengefasst, um sie zu priorisieren und zu beheben.
Die Bedrohungserkennung für den Sicherungs- und Notfallwiederherstellungsdienst ist für alle Kunden von Security Command Center Premium und Security Command Center Enterprise verfügbar. Google SecOps für den Sicherungs- und Notfallwiederherstellungsdienst ist ausschließlich für Security Command Center Enterprise-Kunden verfügbar.