Security Command Center für ein Projekt aktivieren

Auf dieser Seite wird beschrieben, wie Sie die Security Command Center-Standard- oder Premium-Stufe für ein Google Cloud-Projekt aktivieren.

Informationen zum Aktivieren von Security Command Center für eine gesamte Organisation finden Sie unter den folgenden Links:

Vorbereitung

Wenn Sie Security Command Center für ein Projekt aktivieren möchten, müssen die folgenden Voraussetzungen erfüllt sein. Diese werden in den folgenden Abschnitten erläutert:

  • Lesen Sie die Informationen zu den Voraussetzungen, um zu erfahren, wie sich die Aktivierung von Security Command Center auf Projektebene von der Aktivierung auf Organisationsebene unterscheidet.
  • Sie benötigen ein Google Cloud-Projekt, das mit einer Organisation verknüpft ist.
  • Ihrem Nutzerkonto müssen IAM-Rollen (Identity and Access Management) mit den erforderlichen Berechtigungen zugewiesen werden.
  • Wenn Ihr Projekt Organisationsrichtlinien erbt, die die Identifizierung nach Domain einschränken, müssen sich Ihre Nutzer- und Dienstkonten in einer zulässigen Domain befinden.
  • Wenn Sie Container Threat Detection verwenden möchten, müssen Ihre Google Kubernetes Engine-Cluster Container Threat Detection unterstützen.

Vorausgesetzte Informationen

Informationen dazu, wie sich die Aktivierung von Security Command Center auf Projektebene von der Aktivierung auf Organisationsebene unterscheidet, finden Sie unter Security Command Center auf Projektebene aktivieren.

Informationen zu den Diensten und Security Command Center-Ergebnissen, die bei Aktivierungen auf Projektebene nicht unterstützt werden, finden Sie unter Einschränkungen bei der Aktivierung von Diensten auf Projektebene.

Projektanforderungen

Damit Security Command Center für ein Projekt aktiviert werden kann, muss es mit einer Organisation verknüpft sein. Wenn Sie ein Projekt erstellen müssen, lesen Sie den Hilfeartikel Projekte erstellen und verwalten.

IAM-Rollen, die Sie für diese Aufgabe benötigen

Zum Einrichten von Security Command Center benötigen Sie die folgenden IAM-Rollen, die Ihrem Nutzerkonto im Projekt zugewiesen sind, in dem Sie Security Command Center aktivieren:

  • Sicherheitscenter-Administrator roles/securitycenter.admin
  • Sicherheitsadministrator roles/iam.securityAdmin
  • Sofern die erforderlichen Security Command Center-Dienstkonten nicht bereits durch eine Aktivierung auf Organisationsebene vorhanden sind, erstellen Sie Dienstkonten. roles/iam.serviceAccountCreator

Hier erhalten Sie weitere Informationen zu den Security Command Center-Rollen.

Organisationsrichtlinien prüfen

Wenn Ihr Projekt Organisationsrichtlinien erbt, die so konfiguriert sind, dass die Identitäten nach Domain eingeschränkt werden, müssen Sie die folgenden Anforderungen erfüllen:

  • Sie müssen in der Google Cloud Console mit einem Konto angemeldet sein, das zu einer zulässigen Domain gehört.
  • Ihre Dienstkonten müssen sich in einer zulässigen Domain befinden oder Mitglieder einer Gruppe innerhalb Ihrer Domain sein. Mit dieser Anforderung können Sie @*.gserviceaccount.com-Diensten den Zugriff auf Ressourcen gewähren, wenn die domaineingeschränkte Freigabe aktiviert ist.

Softwareversionen für Container Threat Detection bestätigen

Wenn Sie Container Threat Detection mit der Google Kubernetes Engine (GKE) verwenden möchten, müssen Ihre Cluster eine unterstützte Version von GKE ausführen und richtig konfiguriert sein. Weitere Informationen finden Sie unter Container Threat Detection verwenden.

Aktivierungsszenarien für ein Projekt

Auf dieser Seite werden die folgenden Aktivierungsszenarien behandelt:

  • Wenn in einer Organisation noch nie Security Command Center aktiviert wurde, aktivieren Sie entweder die Premium- oder die Standardstufe von Security Command Center für ein Projekt.
  • Aktivieren Sie in einer Organisation, die die Standardstufe verwendet, die Premium-Stufe von Security Command Center für ein Projekt.
  • Aktivieren Sie in einer Organisation, die ein ablaufendes Premium-Abo verwendet, die Premium-Stufe von Security Command Center für ein Projekt.

Je nachdem, ob Ihre Organisation Security Command Center verwendet, können Sie Security Command Center für ein Projekt auf unterschiedliche Weise aktivieren.

Wenn Ihre Organisation Security Command Center nicht verwendet, werden Sie in der Google Cloud Console durch eine Reihe von Einrichtungsseiten geführt.

Wenn Ihre Organisation Security Command Center verwendet, können Sie Security Command Center Premium für ein Projekt auf dem Tab Stufe – Details der Seite Einstellungen aktivieren.

Prüfen, ob Security Command Center bereits in Ihrer Organisation aktiv ist

Wie Sie Security Command Center für ein Projekt aktivieren, hängt davon ab, ob Security Command Center bereits in Ihrer Organisation aktiv ist.

So prüfen Sie, ob Security Command Center bereits in Ihrer Organisation aktiv ist:

  1. Rufen Sie in der Google Cloud Console die Seite Übersicht des Security Command Center auf.

    Zum Security Command Center

  2. Wählen Sie den Namen des Projekts aus, für das Sie Security Command Center aktivieren möchten.

    Nachdem Sie das Projekt ausgewählt haben, wird eine der folgenden Seiten geöffnet:

    • Wenn Security Command Center in Ihrer Organisation aktiv ist, wird die Seite Risikoübersicht geöffnet.
    • Wenn Security Command Center in der Organisation nicht aktiviert wurde, wird die Seite Security Command Center nutzen geöffnet. Dort können Sie den Aktivierungsprozess für Ihr Projekt starten.
  3. Wenn Security Command Center bereits in Ihrer Organisation aktiv ist, prüfen Sie die derzeit aktive Dienstebene.

    1. Öffnen Sie die Seite Einstellungen im Security Command Center:

      Einstellungen aufrufen

    2. Klicken Sie auf der Seite Einstellungen auf Stufe – Details. Die Seite Stufe wird geöffnet.

    3. In der Zeile Stufe wird die Dienstebene aufgeführt, die das Projekt erbt.

  4. Wenn Sie Security Command Center für ein Projekt aktivieren möchten, folgen Sie der Anleitung für den Aktivierungsstatus von Security Command Center in der übergeordneten Organisation:

Für ein Projekt aktivieren, wenn Security Command Center in der Organisation aktiv ist

Wenn Security Command Center bereits in einer Organisation aktiv ist, müssen Sie auf Projektebene nur die Premium-Stufe aktivieren, da das Projekt mindestens die Standardstufe erbt.

Informationen zu den Funktionen, die in den einzelnen Stufen enthalten sind, finden Sie unter Security Command Center-Stufen.

Wenn Security Command Center in einer Organisation aktiv ist, starten Sie die Aktivierung auf Projektebene, indem Sie in der Google Cloud Console Ihr Projekt und dann auf der Seite Einstellungen von Security Command Center die Premium-Stufe auswählen.

  1. Öffnen Sie auf der Seite Einstellungen den Tab Stufe – Details:

    Details zur Stufe aufrufen

    Es wird eine Seite zur Projektauswahl geöffnet, bevor du zur Seite Stufe – Details weitergeleitet wirst.

  2. Wählen Sie Ihr Projekt aus. Die Seite Stufe – Details wird geöffnet.

  3. Klicken Sie auf der Seite mit den Details zur Stufe auf eine der folgenden Optionen:

    • Projektstufe verwalten
    • Premium abonnieren

    Die Seite Stufe verwalten wird geöffnet.

  4. Wähle auf der Seite Stufe verwalten die Option Premium aus.

  5. Klicken Sie auf Weiter. Die Seite Dienste wird geöffnet.

  6. Aktivieren oder deaktivieren Sie auf der Seite Dienste nach Bedarf die einzelnen integrierten Dienste. Wählen Sie dazu im Menü links neben dem aufgeführten Dienst einen der folgenden Werte aus:

    • Übernehmen (Standardeintrag)
    • Aktivieren
    • Deaktivieren

Sie haben die Aktivierung von Security Command Center abgeschlossen. Warten Sie als Nächstes, bis die ersten Scans abgeschlossen sind.

Für ein Projekt aktivieren, wenn Security Command Center in der Organisation nicht aktiv ist

Wenn Ihre Organisation Security Command Center nicht verwendet, werden Sie in der Google Cloud Console durch eine Reihe von Einrichtungsseiten geführt, wenn Sie Security Command Center für ein Projekt aktivieren.

Schritt 1: Stufe auswählen

Wenn das Security Command Center in Ihrer Organisation nicht aktiv ist, wird beim Öffnen des Security Command Center in der Google Cloud Console die Seite Security Command Center erhalten angezeigt. Wählen Sie eine Stufe aus, um den Aktivierungsprozess zu starten.

Security Command Center hat drei Stufen: Standard, Premium und Enterprise. Die von Ihnen ausgewählte Stufe legt die Verfügbarkeit von Features und die Kosten für die Verwendung von Security Command Center fest. Sie können die Enterprise-Stufe nur auf Organisationsebene aktivieren. Weitere Informationen finden Sie unter Security Command Center Enterprise-Stufe aktivieren.

Informationen zu den Funktionen, die in den einzelnen Stufen enthalten sind, finden Sie unter Security Command Center-Stufen.

So wählen Sie die Stufe aus und starten den Aktivierungsprozess für Security Command Center:

  1. Rufen Sie in der Google Cloud Console die Übersichtsseite des Security Command Center auf.

    Zum Security Command Center

  2. Wählen Sie den Namen des Projekts aus, für das Sie Security Command Center aktivieren möchten.

    Nachdem Sie das Projekt ausgewählt haben, wird im Security Command Center die Seite Security Command Center nutzen geöffnet. Dort können Sie die Aktivierung starten, indem Sie eine Stufe auswählen. Wenn die Security Command Center-Konsole geöffnet wird, ist Security Command Center bereits in Ihrer Organisation oder Ihrem Projekt aktiv.

  3. Wählen Sie je nach den benötigten Diensten die Stufe Premium oder Standard aus.

  4. Klicken Sie auf Weiter. Die Seite Dienste auswählen wird geöffnet.

Im nächsten Abschnitt wählen Sie die integrierten Dienste aus, die Sie für Ihr Projekt aktivieren möchten.

Schritt 2: Dienste auswählen

Auf der Seite Dienste auswählen werden alle integrierten Dienste des Security Command Center angezeigt.

  1. Aktivieren oder deaktivieren Sie auf der Seite Dienste nach Bedarf die einzelnen integrierten Dienste. Wählen Sie dazu im Menü links neben dem aufgeführten Dienst einen der folgenden Werte aus:

    • Übernehmen
    • Aktivieren
    • Deaktivieren

    Nachdem Sie die Aktivierung abgeschlossen haben, lesen Sie in der Dokumentation zu jedem aktivierten Dienst nach, ob weitere Schritte erforderlich sind.

  2. Klicken Sie auf Weiter. Die Seite Rollen gewähren wird geöffnet.

Schritt 3: Dienst-Agents konfigurieren

Wenn Sie Security Command Center zum ersten Mal aktivieren, werden in Google Cloud automatisch IAM-Dienst-Agents für Security Command Center und seine Erkennungsdienste erstellt.

Wie im folgenden Verfahren beschrieben, gewähren Sie diesen Dienstmitarbeitern IAM-Rollen, die die Berechtigungen bieten, die Security Command Center und seine Erkennungsdienste für die Ausführung ihrer Funktionen benötigen.

Wenn Sie Security Command Center auf Projektebene aktivieren und Security Command Center noch nicht in Ihrer Organisation aktiv ist, werden die folgenden Dienstmitarbeiter auf Projektebene erstellt:

  • service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com. Sie weisen diesem Dienstkonto die IAM-Rolle securitycenter.serviceAgent zu.

  • service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.com. Sie weisen diesem Dienstkonto die IAM-Rolle roles/containerthreatdetection.serviceAgent zu.

Anstelle von PROJECT_NUMBER enthält das Dienstkonto die Nummer Ihres Projekts.

So weisen Sie den Kundenservicemitarbeitern die IAM-Rollen zu:

  1. Optional können Sie auf der Seite Rollen gewähren die Rolle und die Berechtigungen, die Sie gewähren möchten, überprüfen. Klicken Sie dazu auf Berechtigungen überprüfen.

  2. Klicken Sie auf Rollen gewähren, um die erforderlichen Rollen automatisch zuzuweisen.

    Alternativ können Sie die Rolle manuell gewähren. Führen Sie dazu die folgenden Schritte aus:

    1. Klicken Sie auf Alternativ: Rollen manuell gewähren (gcloud).
    2. Kopieren Sie die gcloud CLI-Befehle.
    3. Klicken Sie in der Symbolleiste der Google Cloud Console auf Cloud Shell aktivieren.
    4. Fügen Sie im geöffneten Terminalfenster die zuvor kopierten Befehle der gcloud-CLI ein und drücken Sie die Eingabetaste.
  3. Klicken Sie auf Weiter. Die Seite Einrichtung abschließen wird geöffnet.

Schritt 4: Aktivierung bestätigen

Führen Sie die folgenden Schritte aus, um Security Command Center zu aktivieren:

  1. Klicken Sie auf der Seite Einrichtung abschließen auf Fertigstellen.

Wenn die Einrichtung abgeschlossen ist, startet Security Command Center einen ersten Asset-Scan. Danach können Sie die Sicherheits- und Datenrisiken in Ihrem Google Cloud-Projekt über die Console prüfen und beheben.

Bei einigen Diensten kann es zu Verzögerungen kommen, bis Scans gestartet werden. Wie zu erwarten, ist die Verzögerung oder Scanlatenz für Dienste in einem einzelnen Projekt in der Regel kürzer als für eine Organisation. Die meisten Gründe für die Latenz gelten jedoch weiterhin. Weitere Informationen zu Latenzen für Organisationen finden Sie unter Security Command Center-Latenz – Übersicht.

Integrierte Dienste für alle Aktivierungsszenarien optimieren und testen

Nachdem Sie Security Command Center aktiviert haben, sehen Sie in der Dokumentation für jeden Dienst nach, ob Sie den Dienst weiter testen oder optimieren können.

Event Threat Detection basiert beispielsweise auf Logs, die von Google Cloud generiert werden. Einige Logs sind immer aktiviert, sodass die Ereignis-Bedrohungserkennung sie scannen kann, sobald sie aktiviert ist. Andere Protokolle, z. B. die meisten Audit-Logs für den Datenzugriff, müssen Sie aktivieren, damit sie von Event Threat Detection gescannt werden können. Weitere Informationen finden Sie unter Logtypen und Aktivierungsanforderungen.

Weitere Informationen zum Testen und Verwenden der einzelnen integrierten Dienste finden Sie auf den folgenden Seiten:

Nächste Schritte

Weitere Informationen zu Security Command Center und den integrierten Diensten