Diese Seite wurde von der Cloud Translation API übersetzt.

Security Command Center Enterprise-Stufe aktivieren

Die Enterprise-Stufe von Security Command Center bietet Sicherheitsverbesserungen wie erweiterte Sicherheitsvorgänge, Einbindungen in andere Google Cloud-Produkte wie Schutz sensibler Daten und Assured OSS, Multi-Cloud-Support und Risikoanalyse. Eine Beschreibung der Features der Enterprise-Stufe finden Sie unter Security Command Center – Übersicht.

Sie schließen den Aktivierungsprozess für die Enterprise-Stufe mithilfe des Einrichtungsleitfadens in der Google Cloud Console ab. Im Anschluss an die ersten obligatorischen Aufgaben können Sie weitere Aufgaben ausführen, um die für Ihre Organisation erforderlichen optionalen Funktionen einzurichten.

Informationen zu Preisen und zum Erwerb eines Abos finden Sie unter Security Command Center-Preise.

Eine Anleitung zum Aktivieren von Security Command Center auf einer anderen Stufe finden Sie unter Security Command Center Standard- oder Premium-Stufe für eine Organisation aktivieren.

Hinweise

Führen Sie diese Aufgaben aus, bevor Sie die restlichen Aufgaben auf dieser Seite ausführen.

Organisation erstellen

Security Command Center erfordert eine Organisationsressource, die mit einer Domain verknüpft ist. Falls Sie noch keine Organisation erstellt haben, lesen Sie Organisationen erstellen und verwalten.

Berechtigungen einrichten

In diesem Abschnitt werden Identity and Access Management-Rollen aufgeführt, die Sie zum Einrichten von Security Command Center benötigen, und es wird beschrieben, wie Sie sie gewähren.

Prüfen Sie, ob Sie die folgenden Rollen für die Organisation haben: Organization Admin, Cloud Asset Owner, Security Center Admin, Security Admin, Create Service Accounts, and Chronicle Service Admin.
Auf Rollen prüfen
1. Öffnen Sie in der Google Cloud Console die Seite IAM.
  IAM aufrufen
2. Wählen Sie die Organisation aus.
3. Suchen Sie in der Spalte Hauptkonto die Zeile mit Ihrer E-Mail-Adresse.
  
  Ist Ihre E-Mail-Adresse nicht in dieser Spalte enthalten, haben Sie keine Rollen.
4. Prüfen Sie in der Spalte Rolle der Zeile mit Ihrer E-Mail-Adresse, ob die Liste der Rollen die erforderlichen Rollen enthält.
Rollen zuweisen
1. Öffnen Sie in der Google Cloud Console die Seite IAM.
  IAM aufrufen
2. Wählen Sie die Organisation aus.
3. Klicken Sie auf Zugriff erlauben.
4. Geben Sie in das Feld Neue Hauptkonten Ihre E-Mail-Adresse ein.
5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
6. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
7. Klicken Sie auf Speichern.

Weitere Informationen zu Security Command Center-Rollen

Organisationsrichtlinien prüfen

Wenn in Ihren Organisationsrichtlinien die Einschränkung von Identitäten nach Domain festgelegt ist, beachten Sie Folgendes:

Sie müssen in der Google Cloud Console mit einem Konto angemeldet sein, das sich in einer zulässigen Domain befindet.
Ihre Dienstkonten müssen sich in einer zulässigen Domain oder Mitglieder einer Gruppe innerhalb Ihrer Domain befinden. Mit dieser Anforderung können Sie Diensten, die das Dienstkonto @*.gserviceaccount.com verwenden, Zugriff auf Ressourcen gewähren, wenn die domaineingeschränkte Freigabe aktiviert ist.

Wenn Ihre Organisationsrichtlinien auf die Einschränkung der Ressourcennutzung festgelegt sind, prüfen Sie, ob securitycenter.googleapis.com zulässig ist.

Das Managementprojekt erstellen

Security Command Center Enterprise benötigt ein Projekt, das als Verwaltungsprojekt bezeichnet wird, um die Sicherheitsvorgänge und die Mandiant-Integration zu ermöglichen.

Wenn Sie Google SecOps zuvor aktiviert haben, können Sie Ihr vorhandenes Verwaltungsprojekt verwenden. Erstellen Sie andernfalls ein neues. Prüfen Sie die Rollen und APIs im Projekt.

Rufen Sie in der Google Cloud Console die Seite für die Projektauswahl auf.

Zur Projektauswahl
Wählen Sie ein Google Cloud-Projekt aus oder erstellen Sie eines.

Hinweis: Wenn Sie die Ressourcen, die Sie in diesem Verfahren erstellen, nicht behalten möchten, erstellen Sie ein Projekt, anstatt ein vorhandenes Projekt auszuwählen. Wenn Sie fertig sind, können Sie das Projekt löschen und dadurch alle mit dem Projekt verknüpften Ressourcen entfernen.

Cloud Asset, Cloud Pub/Sub, Cloud Resource Manager, Compute Engine, Policy Analyzer, and Recommender APIs aktivieren.
Aktivieren Sie die APIs

Prüfen Sie, ob Sie die folgenden Rollen für das Projekt haben: Service Usage Admin, Create Service Accounts, Service Account Token Creator, Chronicle Service Admin, Chronicle SOAR Admin, Service Account Key Admin, and Service Account Admin.
Auf Rollen prüfen
1. Öffnen Sie in der Google Cloud Console die Seite IAM.
  IAM aufrufen
2. Wählen Sie das Projekt aus.
3. Suchen Sie in der Spalte Hauptkonto die Zeile mit Ihrer E-Mail-Adresse.
  
  Ist Ihre E-Mail-Adresse nicht in dieser Spalte enthalten, haben Sie keine Rollen.
4. Prüfen Sie in der Spalte Rolle der Zeile mit Ihrer E-Mail-Adresse, ob die Liste der Rollen die erforderlichen Rollen enthält.
Rollen zuweisen
1. Öffnen Sie in der Google Cloud Console die Seite IAM.
  IAM aufrufen
2. Wählen Sie das Projekt aus.
3. Klicken Sie auf Zugriff erlauben.
4. Geben Sie in das Feld Neue Hauptkonten Ihre E-Mail-Adresse ein.
5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
6. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
7. Klicken Sie auf Speichern.

Zugriffscode für Google Security Operations erhalten

Wenn Sie bereits eine Instanz von Google SecOps haben, können Sie während der Aktivierung einen Zugriffscode verwenden, um die Enterprise-Stufe von Security Command Center damit zu verbinden. Wenden Sie sich an den Google Cloud-Vertrieb, um einen Zugriffscode zu erhalten.

Kontakte für Benachrichtigungen konfigurieren

Konfigurieren Sie Ihre wichtigen Kontakte so, dass Ihre Sicherheitsadministratoren wichtige Benachrichtigungen erhalten können. Eine Anleitung dazu finden Sie unter Kontakte für Benachrichtigungen verwalten.

Security Command Center Enterprise-Stufe zum ersten Mal aktivieren

Rufen Sie in der Google Cloud Console die Seite Risikoübersicht von Security Command Center auf.

Zum Security Command Center
Prüfen Sie, ob Sie die Organisation sehen, für die Sie die Security Command Center Enterprise-Stufe aktivieren möchten.
Klicken Sie auf der Seite Erste Schritte mit Security Command Center Enterprise auf Enterprise aktivieren. Mit dieser Option werden automatisch die Dienstkonten und Rollen für alle Dienste erstellt, die in der Enterprise-Stufe von Security Command Center enthalten sind, einschließlich Google Security Operations und Mandiant. Klicken Sie zum Aufrufen dieser Optionen auf Dienstkonten und Berechtigungen aufrufen.

Wenn die Seite Erste Schritte mit Security Command Center Enterprise nicht angezeigt wird, wenden Sie sich an den Google Cloud-Vertrieb, um zu prüfen, ob Ihre Aboberechtigung aktiv ist.
Wählen Sie das Verwaltungsprojekt aus und klicken Sie auf Weiter.
Klicken Sie auf API aktivieren und dann auf Weiter.
Führen Sie einen dieser Schritte aus:
- Wenn Sie eine Google SecOps-Instanz aktiviert haben, wählen Sie Ja, Verbindung zu einer vorhandenen Chronicle-Instanz herstellen aus und fügen Sie Ihren Zugriffscode ein.
- Wenn Sie Google SecOps nicht haben, wählen Sie Nein, neue Chronicle-Instanz für mich erstellen aus. Geben Sie Ihre Kontaktdaten und Unternehmensinformationen ein und wählen Sie die Region aus, in der Sie Google SecOps aktivieren möchten. Diese Region wird nur für Google SecOps und nicht für andere Security Command Center-Features verwendet.
Klicken Sie auf Activate (Aktivieren). Sie werden zur Seite Risikoübersicht zurückgeleitet. Der Bereitstellungsstatus wird angezeigt. Es kann einige Zeit dauern, bis die Features für Sicherheitsvorgänge bereit sind und Ergebnisse verfügbar sind.

Mit dem Einrichtungsleitfaden in der Google Cloud Console können Sie zusätzliche Funktionen konfigurieren.

Zusätzliche Features von Security Command Center konfigurieren

Der Einrichtungsleitfaden in der Google Cloud Console besteht aus sechs Schritten und zusätzlichen Konfigurationsempfehlungen. Die ersten beiden Schritte werden ausgeführt, wenn Sie Security Command Center aktivieren. Sie können die verbleibenden Schritte und Empfehlungen im Laufe der Zeit ausführen, wie es Ihre Organisation erfordert.

Rufen Sie in der Google Cloud Console die Seite Risikoübersicht von Security Command Center auf.

Zur Übersicht
Gehen Sie zu Einstellungen > Stufendetails.
Prüfen Sie, ob Sie die Organisation sehen, für die Sie die Enterprise-Stufe von Security Command Center aktiviert haben.
Klicken Sie auf Einrichtungsleitfaden ansehen.
Wenn Sie auch Amazon Web Services (AWS) verwenden und Security Command Center für Sicherheitslücken und Risikobewertungen mit AWS verbinden möchten, klicken Sie auf Schritt 3: Einbindung von Amazon Web Services (AWS) einrichten. Eine Anleitung dazu finden Sie unter Zur Erkennung von Sicherheitslücken und Risikobewertung mit AWS verbinden.
Klicken Sie auf Schritt 4: Nutzer und Gruppen einrichten, um Nutzer und Gruppen hinzuzufügen, um Sicherheitsvorgänge auszuführen. Eine Anleitung finden Sie unter Zugriff auf SecOps-Features mit IAM steuern.
Klicken Sie zum Konfigurieren von Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR) auf Schritt 5: Integrationen konfigurieren. Abhängig von der Einrichtung Ihrer Google Security Operations-Instanz ist Ihr Anwendungsfall möglicherweise bereits installiert. Wenn sie nicht installiert ist, wenden Sie sich an Ihren Kundenbetreuer oder an den Google Cloud-Vertrieb. Informationen zur Einbindung in Ticketsysteme finden Sie unter Security Command Center Enterprise in Ticketsysteme einbinden.
Informationen zum Konfigurieren der Datenaufnahme in die Sicherheitsinformationen und die Ereignisverwaltung (SIEM) finden Sie unter Schritt 6: Logaufnahme konfigurieren. Eine Anleitung finden Sie unter SecOps zur Bedrohungserkennung mit AWS verbinden.
Klicken Sie zur Überwachung auf sensible Daten in Ihrer Google Cloud-Organisation auf Schutz sensibler Daten einrichten. Die Erkennung sensibler Daten wird unabhängig von Ihrer Dienststufe separat von Security Command Center abgerechnet. Wenn Sie kein Abo für die Erkennung erwerben, werden die Kosten nach Verbrauch (gescannte Byte) berechnet. Weitere Informationen finden Sie in der Dokumentation zum Schutz sensibler Daten unter Discovery-Preise. Eine Anleitung dazu finden Sie unter Erkennung sensibler Daten aktivieren.
Klicken Sie auf Codesicherheit einrichten, um die Sicherheit des Codes zu verbessern. Eine Anleitung finden Sie unter Assured OSS für die Codesicherheit einbinden.