Security Command Center Enterprise-Stufe aktivieren

Die Security Command Center Enterprise-Stufe bietet unter anderem folgende Sicherheitsverbesserungen:

  • erweiterte Sicherheitsabläufe mit Google Security Operations.
  • Integrationen mit anderen Google Cloud -Produkten wie Mandiant Attack Surface Management, Sensitive Data Protection und Assured OSS.
  • Multi-Cloud-Unterstützung.
  • Risikoanalyse.

Eine Beschreibung der Funktionen der Enterprise-Stufe finden Sie in der Übersicht über das Security Command Center.

Sie führen den Aktivierungsprozess für die Enterprise-Stufe mithilfe des Einrichtungsleitfadens in der Google Cloud -Konsole aus. Nach den ersten obligatorischen Aufgaben können Sie zusätzliche Aufgaben ausführen, um die optionalen Funktionen einzurichten, die Ihre Organisation benötigt.

Informationen zu Preisen und zum Abschließen eines Abos finden Sie unter Preise für Security Command Center.

Eine Anleitung zum Aktivieren von Security Command Center in einer anderen Stufe finden Sie unter Security Command Center Standard oder Premium für eine Organisation aktivieren.

Hinweise

Führen Sie die folgenden Schritte aus, bevor Sie Security Command Center zum ersten Mal aktivieren:

  1. Aktivierung planen
  2. Organisation erstellen
  3. Verwaltungsprojekt erstellen
  4. Berechtigungen und APIs konfigurieren
  5. Benachrichtigungskontakte konfigurieren

Aktivierung planen

In diesem Abschnitt werden Entscheidungen und Informationen beschrieben, die Sie für die Aktivierung vorbereiten müssen.

Supportkontakt ermitteln

Wenn Sie eine neue Google SecOps-Instanz aktivieren, geben Sie den Namen Ihres Unternehmens und die E-Mail-Adresse einer Kontaktperson an. Geben Sie einen Ansprechpartner in Ihrer Organisation an. Diese Konfiguration hat nichts mit Wichtigen Kontakten zu tun.

Google SecOps-Konfiguration auswählen

Während der Aktivierung verbinden Sie Security Command Center Enterprise mit einer Google SecOps-Instanz.

  • Sie können eine Verbindung zu einer vorhandenen Instanz herstellen.

  • Sie können eine neue Instanz bereitstellen und eine Verbindung dazu herstellen. Sie können eine neue Instanz bereitstellen und eine Verbindung dazu herstellen, auch wenn Sie bereits eine Instanz haben.

Mit einer vorhandenen Instanz verbinden

Sie können Security Command Center Enterprise nicht mit einer vorhandenen eigenständigen Google SecOps SIEM-Instanz oder eigenständigen Google SecOps SOAR-Instanz verbinden. Wenn Sie Fragen zur Art Ihrer Google SecOps-Instanz haben, wenden Sie sich an Ihren Google Cloud -Vertriebsmitarbeiter.

Wenn Sie eine vorhandene Google SecOps-Instanz auswählen, enthält die Seite Verbindung zu einer SecOps-Instanz herstellen einen Link zur Instanz, über den Sie Ihre Auswahl bestätigen können. Sie benötigen Zugriff auf diese Instanz, um sie zu bestätigen. Sie benötigen mindestens die Rolle Chronicle API Restricted Data Access Viewer (roles/chronicle.restrictedDataAccessViewer) für das Verwaltungsprojekt, um sich in der Instanz anzumelden.

Neue Instanz bereitstellen

Wenn Sie eine neue Instanz bereitstellen, wird nur die neue Instanz mit Security Command Center verknüpft. Wenn Sie Security Command Center verwenden, wechseln Sie zwischen der Google Cloud -Konsole und der neu bereitgestellten Security Operations Console.

Während der Aktivierung geben Sie den Speicherort an, an dem die neue Google SecOps-Instanz bereitgestellt werden soll. Eine Liste der unterstützten Regionen und Multiregionen finden Sie auf der Seite Standorte für SecOps-Dienste. Dieser Speicherort gilt nur für Google SecOps und nicht für andere Funktionen oder Dienste des Security Command Center.

Jede Google SecOps-Instanz muss ein eigenes Verwaltungsprojekt haben, dessen Inhaber und Administrator Sie sind. Dieses Projekt muss sich in derselben Organisation befinden, in der Sie Security Command Center Enterprise aktivieren. Sie können dasselbe Verwaltungsprojekt nicht für mehrere Google SecOps-Instanzen verwenden.

Wenn Sie bereits eine Google SecOps-Instanz haben und eine neue Instanz für Security Command Center Enterprise bereitstellen, verwenden beide Instanzen dieselbe Konfiguration für die direkte Aufnahme von Google Cloud- Daten. Die Datenaufnahme in beiden Google SecOps-Instanzen wird mit denselben Konfigurationseinstellungen gesteuert und sie erhalten dieselben Daten.

Während der Aktivierung von Security Command Center Enterprise werden die Einstellungen für die Aufnahme von Google Cloud-Logs so geändert, dass alle Datentypfelder aktiviert werden: Google Cloud Logging, Cloud Asset-Metadaten und Security Command Center Premium-Ergebnisse. Die Einstellungen für den Exportfilter werden nicht geändert. Diese Datentypen sind in Security Command Center Enterprise erforderlich, damit alle Funktionen wie vorgesehen funktionieren. Sie können die Einstellungen für die Google Cloud-Protokollaufnahme ändern, nachdem die Aktivierung abgeschlossen ist.

Organisation erstellen

Security Command Center benötigt eine Organisationsressource, die mit einer Domain verknüpft ist. Wenn Sie noch keine Organisation erstellt haben, lesen Sie den Hilfeartikel Organisationen erstellen und verwalten.

Wenn Sie mehrere Organisationen haben, geben Sie an, in welchen Organisationen Sie Security Command Center Enterprise aktivieren möchten. Sie müssen diese Aktivierungsschritte für jede Organisation ausführen, in der Sie Security Command Center Enterprise aktivieren möchten.

Verwaltungsprojekt erstellen

Für Security Command Center Enterprise ist ein Projekt erforderlich, das als Verwaltungsprojekt bezeichnet wird. Es ermöglicht die Integration von Google SecOps und Mandiant Attack Surface Management. Wir empfehlen, dieses Projekt ausschließlich für Security Command Center Enterprise zu verwenden.

Wenn Sie Google SecOps bereits aktiviert haben und eine Verbindung zur vorhandenen Instanz herstellen möchten, verwenden Sie das vorhandene Verwaltungsprojekt, das mit Google SecOps verbunden ist.

Wenn Sie eine neue Google SecOps-Instanz bereitstellen möchten, erstellen Sie ein neues Verwaltungsprojekt, das der neuen Instanz gewidmet ist. Verwenden Sie kein Verwaltungsprojekt, das mit einer anderen Google SecOps-Instanz verbunden ist.

Weitere Informationen zum Erstellen und Verwalten von Projekten

Berechtigungen und APIs konfigurieren

In diesem Abschnitt werden die IAM-Rollen (Identity and Access Management) aufgeführt, die Sie zum Einrichten von Security Command Center Enterprise benötigen. Außerdem wird beschrieben, wie Sie sie für die Organisation und das Verwaltungsprojekt gewähren. Außerdem wird beschrieben, wie Sie alle APIs aktivieren, die für die Security Command Center Enterprise-Stufe erforderlich sind. Weitere Informationen zu Security Command Center-Rollen und zu Google Cloud APIs

Berechtigungen für die Organisation konfigurieren

Make sure that you have the following role or roles on the organization:

  • Organization Administrator (roles/resourcemanager.organizationAdmin)
  • Cloud Asset Owner (roles/cloudasset.owner)
  • Security Center Admin (roles/securitycenter.admin)
  • Security Admin (roles/iam.securityAdmin)
  • Chronicle Service Viewer (roles/chroniclesm.viewer)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    IAM aufrufen
  2. Wählen Sie die Organisation aus.
  3. Klicken Sie auf Zugriff erlauben.

  4. Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Dies ist in der Regel die E-Mail-Adresse eines Google-Kontos.

  5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
  6. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
  7. Klicken Sie auf Speichern.

    8. Berechtigungen konfigurieren und APIs im Verwaltungsprojekt aktivieren

    1. Prüfen Sie in der Google Cloud -Konsole, ob Sie sich in der Organisation befinden, für die Sie die Security Command Center Enterprise-Stufe aktivieren möchten.
    2. Wählen Sie das zuvor erstellte Projekt aus.

    3. Make sure that you have the following role or roles on the project:

      • Service Usage Admin (roles/serviceusage.serviceUsageAdmin)
      • Service Account Token Creator (roles/iam.serviceAccountTokenCreator)
      • Chronicle API Admin (roles/chronicle.admin)
      • Chronicle Service Admin (roles/chroniclesm.admin)
      • Chronicle SOAR Admin (roles/chronicle.soarAdmin)
      • Service Account Key Admin (roles/iam.serviceAccountKeyAdmin)
      • Service Account Admin (roles/iam.serviceAccountAdmin)

      Check for the roles

      1. In the Google Cloud console, go to the IAM page.

        Go to IAM
      2. Select the project.

      3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

      4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

      Grant the roles

      1. In the Google Cloud console, go to the IAM page.

        IAM aufrufen
      2. Wählen Sie das Projekt aus.
      3. Klicken Sie auf Zugriff erlauben.

      4. Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Dies ist in der Regel die E-Mail-Adresse eines Google-Kontos.

      5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
      6. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
      7. Klicken Sie auf Speichern.

      8. Enable the Cloud Asset, Cloud Pub/Sub, Cloud Resource Manager, Compute Engine, Policy Analyzer, and Recommender APIs.

        Enable the APIs

      Benachrichtigungskontakte konfigurieren

      Konfigurieren Sie die Gruppe „Wichtige Kontakte“ so, dass Ihre Sicherheitsadministratoren wichtige Benachrichtigungen erhalten. Eine Anleitung finden Sie unter Kontakte für Benachrichtigungen verwalten.

      Security Command Center Enterprise-Stufe aktivieren

      Bei der Aktivierung werden die Dienstkonten, Berechtigungen und Dienste, die in Security Command Center Enterprise enthalten sind, automatisch konfiguriert. Sie können eine Verbindung zu einer vorhandenen Google SecOps-Instanz vom Typ Standard, Enterprise oder Enterprise Plus herstellen oder eine neue bereitstellen.

      1. Rufen Sie in der Google Cloud Console die Seite Risikoübersicht von Security Command Center auf.

        Zum Security Command Center

      2. Prüfen Sie, ob Sie sich die Organisation ansehen, für die Sie die Security Command Center Enterprise-Stufe aktivieren möchten.

      3. Klicken Sie auf der Seite Security Command Center auf Security Command Center abrufen.

      4. Überprüfen Sie auf der Seite Einstieg in Security Command Center Enterprise die zu konfigurierenden Dienstkonten und APIs und klicken Sie dann auf Enterprise aktivieren.

        • Wenn Sie die zu erstellenden Dienstkonten aufrufen möchten, klicken Sie auf Dienstkonten und Berechtigungen ansehen.
        • Wenn Sie die APIs aufrufen möchten, die aktiviert werden, klicken Sie auf Security Command Center Enterprise APIs ansehen.
        • Klicken Sie auf Nutzungsbedingungen von Security Command Center Enterprise, um die Nutzungsbedingungen aufzurufen.

        Wenn die Seite Erste Schritte mit dem Security Command Center Enterprise nicht angezeigt wird, wenden Sie sich an den Google Cloud -Vertrieb, um zu prüfen, ob Ihre Aboberechtigung aktiv ist.

        Auf der nächsten Seite wird je nach Umgebung eine andere Ansicht angezeigt.

      5. Wählen Sie eine der folgenden Optionen aus, um eine neue Instanz zu erstellen oder eine vorhandene zu verwenden.

        • Wählen Sie Ja, mit einer vorhandenen Google Security Operations-Instanz verbinden und dann eine Instanz aus dem Menü aus. Fahren Sie mit Schritt 7 fort, um die Aktivierung zu starten.

          Im Menü werden Google SecOps-Instanzen angezeigt, die mit der Organisation verknüpft sind, in der Sie Security Command Center Enterprise aktivieren. Jeder Artikel enthält die Kunden-ID von Google SecOps, die Region, in der er bereitgestellt wird, und den Namen des Google Cloud -Projekts, mit dem er verknüpft ist. Sie können keine Instanz auswählen, die nicht mit Security Command Center Enterprise kompatibel ist.

          Auf der Seite finden Sie einen Link zur ausgewählten Google SecOps-Instanz, über den Sie sie bestätigen können. Wenn beim Öffnen der Instanz ein Fehler auftritt, prüfen Sie, ob Sie die erforderlichen IAM-Berechtigungen für den Zugriff auf die Instanz haben.

        • Wählen Sie Nein, neue Google Security Operations-Instanz erstellen aus und fahren Sie mit Schritt 6 zum Erstellen einer neuen Google SecOps-Instanz fort.

      6. Geben Sie zusätzliche Informationen zur Einrichtung an, um eine neue Google SecOps-Instanz zu erstellen.

        1. Geben Sie die Kontaktdaten Ihres Unternehmens an.

          • Kontakt für den technischen Support: Geben Sie eine E-Mail-Adresse einer Einzelperson oder einer Gruppe ein.
          • Name des Unternehmens: Geben Sie den Namen Ihres Unternehmens ein.

        2. Wählen Sie den Standorttyp aus, an dem Google Security Operations bereitgestellt werden soll.

          • Region: Wählen Sie eine einzelne Region aus.
          • Mehrere Regionen: Wählen Sie einen multiregionalen Standort aus.

          Dieser Standort wird nur für Google SecOps und nicht für andere Security Command Center-Funktionen verwendet. Eine Liste der unterstützten Regionen und Multiregionen finden Sie auf der Seite Standorte für SecOps-Dienste.

        3. Klicken Sie auf Weiter und wählen Sie das entsprechende Verwaltungsprojekt aus. Sie haben in einem vorherigen Schritt das spezielle Verwaltungsprojekt erstellt.

          Wenn Sie ein Projekt auswählen, das mit einer vorhandenen Google SecOps-Instanz verknüpft ist, erhalten Sie beim Starten der Aktivierung eine Fehlermeldung.

        4. Fahren Sie mit Schritt 7 fort, um die Aktivierung zu starten.

      7. Klicken Sie auf Activate (Aktivieren). Die Seite Einrichtungsleitfaden und der Bereitstellungsstatus werden angezeigt. Es kann einige Zeit dauern, bis die Funktionen für die Sicherheitsüberwachung bereit sind und Ergebnisse verfügbar sind.

      Mit der Einrichtungsanleitung in der Google Cloud -Konsole können Sie zusätzliche Funktionen konfigurieren.

      Zusätzliche Security Command Center-Funktionen konfigurieren

      Die Einrichtungsanleitung in der Google Cloud -Konsole besteht aus sechs Schritten und zusätzlichen Konfigurationsempfehlungen. Die ersten beiden Schritte führen Sie aus, wenn Sie Security Command Center aktivieren. Sie können die verbleibenden Schritte und Empfehlungen nach und nach ausführen, je nachdem, was für Ihre Organisation erforderlich ist.

      1. Rufen Sie in der Google Cloud Console die Seite Risikoübersicht von Security Command Center auf.

        Zur Übersicht

      2. Gehen Sie zu Einstellungen > Stufendetails.

      3. Prüfen Sie, ob Sie sich die Organisation ansehen, für die Sie die Security Command Center Enterprise-Stufe aktiviert haben.

      4. Klicken Sie auf Einrichtungsanleitung ansehen.

      5. Wenn Sie Amazon Web Services (AWS) verwenden und Security Command Center für die Bewertung von Sicherheitslücken und Risiken mit AWS verbinden möchten, klicken Sie auf Schritt 3: Einbindung von Amazon Web Services (AWS) einrichten. Eine Anleitung finden Sie unter Verbindung zu AWS für die Erkennung von Sicherheitslücken und die Risikobewertung herstellen.

      6. Wenn Sie Nutzer und Gruppen hinzufügen möchten, die Sicherheitsaktionen ausführen sollen, klicken Sie auf Schritt 4: Nutzer und Gruppen einrichten. Eine Anleitung finden Sie unter Zugriff auf SecOps-Funktionen mit IAM steuern.

      7. Klicken Sie auf Schritt 5: Integrationen konfigurieren, um Sicherheitsorchestrierung, Automatisierung und Reaktion (Security Orchestration Automation and Response, SOAR) zu konfigurieren. Je nach Einrichtung Ihrer Google Security Operations-Instanz ist Ihr Anwendungsfall möglicherweise bereits installiert. Wenn das nicht der Fall ist, wenden Sie sich an Ihren Account Manager oder an den Google Cloud -Vertrieb. Informationen zur Einbindung in Ticketsysteme finden Sie unter Security Command Center Enterprise in Ticketsysteme einbinden.

      8. Wenn Sie die Datenaufnahme in das Security Information and Event Management (SIEM) konfigurieren möchten, klicken Sie auf Schritt 6: Datenaufnahme konfigurieren. Die Datenaufnahme muss konfiguriert werden, um Funktionen wie ausgewählte Erkennungen und die Verwaltung von Berechtigungen für die Cloud-Infrastruktur zu aktivieren. Eine Anleitung finden Sie unter Verbindung zu AWS für die Logaufnahme herstellen.

      9. Wenn Sie in Ihrer Google Cloud -Organisation nach sensiblen Daten suchen möchten, klicken Sie auf Schutz sensibler Daten einrichten. Eine Anleitung finden Sie unter Erfassung sensibler Daten aktivieren.

      10. Wenn Sie die Codesicherheit erhöhen möchten, klicken Sie auf Codesicherheit einrichten. Eine Anleitung finden Sie unter Assured OSS für die Codesicherheit integrieren.

      Nächste Schritte