Security Command Center für ein Projekt aktivieren

Auf dieser Seite wird erläutert, wie Sie die Standard- oder Premium-Stufe von Security Command Center aktivieren Stufe für ein Google Cloud-Projekt.

Informationen zum Aktivieren von Security Command Center für eine gesamte Organisation finden Sie in den folgenden Artikeln:

Vorbereitung

Zum Aktivieren von Security Command Center für ein Projekt benötigen Sie Folgendes: Voraussetzungen, die in den folgenden Unterabschnitten erläutert werden:

  • Lesen Sie die Voraussetzungen, um zu verstehen, wie ein Projekt die Aktivierung von Security Command Center sich von der auf Organisationsebene Aktivierung.
  • Sie benötigen ein Google Cloud-Projekt, das mit einer Organisation verknüpft ist.
  • Ihrem Nutzerkonto müssen IAM-Rollen (Identity and Access Management) mit den erforderlichen Berechtigungen zugewiesen werden.
  • Wenn Ihr Projekt Organisationsrichtlinien erbt, die die Identifizierung nach Domain einschränken, müssen sich Ihre Nutzer- und Dienstkonten in einer zulässigen Domain befinden.
  • Wenn Sie Container Threat Detection verwenden möchten, müssen Ihre Google Kubernetes Engine-Cluster Container Threat Detection unterstützen.

Vorausgesetzte Informationen

Informationen dazu, wie sich die Aktivierung von Security Command Center auf Projektebene von der Aktivierung auf Organisationsebene unterscheidet, finden Sie unter Security Command Center auf Projektebene aktivieren.

Informationen zu den Diensten und Security Command Center-Ergebnissen, die bei Aktivierungen auf Projektebene nicht unterstützt werden, finden Sie unter Einschränkungen bei der Aktivierung von Diensten auf Projektebene.

Projektanforderungen

Damit Security Command Center für ein Projekt aktiviert werden kann, muss es mit einer Organisation verknüpft sein. Wenn Sie Sie ein Projekt erstellen müssen, finden Sie weitere Informationen unter Projekte erstellen und verwalten.

IAM-Rollen, die Sie für diese Aufgabe benötigen

Zum Einrichten von Security Command Center benötigen Sie die folgenden IAM-Rollen, die Ihrem Nutzerkonto im Projekt zugewiesen sind, in dem Sie Security Command Center aktivieren:

  • Sicherheitscenter-Administrator roles/securitycenter.admin
  • Sicherheitsadministrator roles/iam.securityAdmin
  • Sofern die erforderlichen Security Command Center-Dienstkonten nicht bereits durch eine Aktivierung auf Organisationsebene vorhanden sind, erstellen Sie Dienstkonten. roles/iam.serviceAccountCreator

Hier erhalten Sie weitere Informationen zu den Security Command Center-Rollen.

Organisationsrichtlinien prüfen

Wenn Ihr Projekt Organisationsrichtlinien übernimmt, die auf Identitäten nach Domain einschränken müssen folgende Voraussetzungen erfüllt sein:

  • Sie müssen in der Google Cloud Console mit einem Konto angemeldet sein, das zu einer zulässigen Domain gehört.
  • Ihre Dienstkonten müssen sich in einer zulässigen Domain befinden oder Mitglieder einer Gruppe innerhalb Ihrer Domain sein. Mit dieser Anforderung können Sie @*.gserviceaccount.com-Diensten den Zugriff auf Ressourcen gewähren, wenn die domaineingeschränkte Freigabe aktiviert ist.

Softwareversionen für Container Threat Detection bestätigen

Wenn Sie Container Threat Detection mit der Google Kubernetes Engine verwenden möchten (GKE) und stellen Sie sicher, dass Ihre Cluster auf einem unterstützten Version von GKE und dass die Cluster ordnungsgemäß konfiguriert sind. Weitere Informationen finden Sie unter Container Threat Detection verwenden

Aktivierungsszenarien für ein Projekt

Auf dieser Seite werden die folgenden Aktivierungsszenarien behandelt:

  • Wenn in einer Organisation noch nie Security Command Center aktiviert wurde, aktivieren Sie entweder die Premium- oder die Standardstufe von Security Command Center für ein Projekt.
  • Aktivieren Sie in einer Organisation, die die Standardstufe verwendet, das Premium-Stufe von Security Command Center für ein Projekt.
  • In Organisationen, die ein auslaufendes Abo der Premium-Stufe verwenden, Premium-Stufe von Security Command Center aktivieren für ein Projekt.

Je nachdem, ob Ihre Organisation Security Command Center verwendet, aktivieren Sie Security Command Center mit verschiedenen Methoden für ein Projekt.

Wenn Ihre Organisation Security Command Center nicht verwendet, werden Sie in der Google Cloud Console durch eine Reihe von Einrichtungsseiten geführt.

Wenn Ihre Organisation Security Command Center verwendet, können Sie Security Command Center Premium für ein Projekt auf dem Tab Stufe – Details der Seite Einstellungen aktivieren.

Prüfen, ob Security Command Center bereits in Ihrer Organisation aktiv ist

Unterschiede beim Aktivieren von Security Command Center für ein Projekt je nachdem, ob Security Command Center Unternehmen.

So prüfen Sie, ob Security Command Center bereits in Ihrer Organisation aktiv ist:

  1. Rufen Sie in der Google Cloud Console die Seite Übersicht des Security Command Center auf.

    Zum Security Command Center

  2. Klicken Sie in der Drop-down-Liste der Projektauswahl auf den Namen des Projekt, für das Sie Security Command Center aktivieren müssen.

    Nachdem Sie das Projekt ausgewählt haben, wird eine der folgenden Seiten geöffnet:

    • Wenn Security Command Center in Ihrer Organisation aktiv ist, wird die Seite Risikoübersicht geöffnet.
    • Wenn Security Command Center in der Organisation nicht aktiviert wurde, wird die Seite Security Command Center erhalten geöffnet, auf der Sie den Aktivierungsprozess für Ihr Projekt starten können.

  3. Wenn Security Command Center bereits in Ihrer Organisation aktiv ist, prüfen Sie die derzeit aktive Dienstebene.

    1. Öffnen Sie die Seite Einstellungen im Security Command Center:

      Einstellungen aufrufen

    2. Klicken Sie auf der Seite Einstellungen auf Stufendetails. Die Seite Stufe wird geöffnet.

    3. In der Zeile Tier die Dienststufe, die das Projekt übernimmt aufgeführt ist.

  4. Wenn Sie Security Command Center für ein Projekt aktivieren möchten, folgen Sie der Anleitung für den Aktivierungsstatus von Security Command Center in der übergeordneten Organisation:

Für ein Projekt aktivieren, wenn Security Command Center in der Organisation aktiv ist

Wenn Security Command Center bereits in einer Organisation aktiv ist, müssen Sie auf Projektebene nur die Premium-Stufe aktivieren, da das Projekt mindestens die Standardstufe erbt.

Informationen zu den Funktionen, die in den einzelnen Stufen enthalten sind, finden Sie unter Security Command Center-Stufen.

Wenn Security Command Center in einer Organisation aktiv ist, starten Sie das des Aktivierungsprozesses auf Projektebene, indem Sie Ihr Projekt im Google Cloud Console und wählen Sie dann in der Security Command Center-Seite Einstellungen.

  1. Öffnen Sie auf der Seite Einstellungen den Tab Stufe – Details:

    Details zur Stufe aufrufen

    Es wird eine Seite zur Projektauswahl geöffnet, bevor du zur Seite Stufe – Details weitergeleitet wirst.

  2. Wählen Sie Ihr Projekt aus. Die Seite Stufe – Details wird geöffnet.

  3. Klicken Sie auf der Seite „Stufendetails“ auf eine der folgenden Optionen:

    • Projektstufe verwalten
    • Premium abonnieren

    Die Seite Stufe verwalten wird geöffnet.

  4. Wähle auf der Seite Stufe verwalten die Option Premium aus.

  5. Klicken Sie auf Weiter. Die Seite Dienste wird geöffnet.

  6. Aktivieren oder deaktivieren Sie auf der Seite Dienste jeden integrierten Dienst als erforderlich, indem Sie einen der folgenden Werte auswählen aus dem Menü links neben dem aufgeführten Dienst aus:

    • Übernehmen (Standardeintrag)
    • Aktivieren
    • Deaktivieren

Sie haben die Aktivierung von Security Command Center abgeschlossen. Als Nächstes warten Sie, bis die ersten Scans abgeschlossen sind.

Für ein Projekt aktivieren, wenn Security Command Center in der Organisation nicht aktiv ist

Wenn Ihre Organisation Security Command Center nicht verwendet, führt Sie die Google Cloud Console durch eine Reihe von Einrichtungsseiten. wenn Sie Security Command Center für ein Projekt aktivieren.

Schritt 1: Stufe auswählen

Wenn Security Command Center in Ihrer Organisation nicht aktiv ist, öffnen Sie die Security Command Center in der Google Cloud Console Die Seite Security Command Center abrufen wird angezeigt. Sie starten die Aktivierung indem Sie eine Stufe auswählen.

Security Command Center hat drei Stufen: Standard, Premium und Enterprise. Die von Ihnen ausgewählte Stufe bestimmt, welche Funktionen Ihnen zur Verfügung stehen die Kosten für die Nutzung von Security Command Center. Sie können die Enterprise-Stufe nur auf Organisationsebene aktivieren. Weitere Informationen finden Sie unter Security Command Center Enterprise-Stufe aktivieren.

Informationen zu den Funktionen der einzelnen Stufen finden Sie unter Security Command Center-Stufen.

So wählen Sie die Stufe aus und starten den Aktivierungsprozess für Security Command Center:

  1. Rufen Sie in der Google Cloud Console die Übersichtsseite von Security Command Center auf.

    Zum Security Command Center

  2. Klicken Sie in der Drop-down-Liste der Projektauswahl auf den Namen des Projekt, für das Sie Security Command Center aktivieren müssen.

    Nachdem Sie das Projekt ausgewählt haben, wird Security Command Center mit dem Seite Security Command Center aufrufen, auf der Sie den Aktivierungsprozess starten indem Sie eine Stufe auswählen. Wenn die Security Command Center-Konsole geöffnet wird, ist Security Command Center bereits in Ihrer Organisation oder Ihrem Projekt aktiv.

  3. Wählen Sie je nach den benötigten Diensten die Stufe Premium oder Standard aus.

  4. Klicken Sie auf Weiter. Die Seite Dienste auswählen wird geöffnet.

Im nächsten Abschnitt wählen Sie die integrierten Dienste aus, für Ihr Projekt aktivieren.

Schritt 2: Dienste auswählen

Auf der Seite Dienste auswählen werden alle integrierten Dienste des Security Command Center angezeigt.

  1. Aktivieren oder deaktivieren Sie auf der Seite Dienste nach Bedarf die einzelnen integrierten Dienste. Wählen Sie dazu im Menü links neben dem aufgeführten Dienst einen der folgenden Werte aus:

    • Übernehmen
    • Aktivieren
    • Deaktivieren

    Nachdem Sie die Aktivierung abgeschlossen haben, lesen Sie in der Dokumentation zu jedem aktivierten Dienst nach, ob weitere Schritte erforderlich sind.

  2. Klicken Sie auf Weiter. Die Seite Rollen gewähren wird geöffnet.

Schritt 3: Dienst-Agents konfigurieren

Wenn Sie Security Command Center zum ersten Mal aktivieren, werden in Google Cloud automatisch IAM-Dienst-Agents für Security Command Center und seine Erkennungsdienste erstellt.

Wie im folgenden Verfahren beschrieben, gewähren Sie diesen Dienstmitarbeitern IAM-Rollen, die die Berechtigungen bieten, die Security Command Center und seine Erkennungsdienste für die Ausführung ihrer Funktionen benötigen.

Wenn Sie Security Command Center auf Projektebene aktivieren und Security Command Center ist in Ihrer Organisation noch nicht aktiv. werden die folgenden Dienst-Agents auf Projektebene erstellt:

  • service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com Du erteilst die securitycenter.serviceAgent IAM-Rolle für dieses Dienstkonto.

  • service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.com. Sie weisen diesem Dienstkonto die IAM-Rolle roles/containerthreatdetection.serviceAgent zu.

Anstelle von PROJECT_NUMBER hat das Dienstkonto enthält die Nummer Ihres Projekts.

So weisen Sie den Dienst-Agents die IAM-Rollen zu: Schritte:

  1. Optional können Sie auf der Seite Rollen gewähren die Rolle und die Berechtigungen prüfen, die Sie gewähren möchten, indem Sie auf Berechtigungen prüfen klicken.

  2. Gewähren Sie die erforderlichen Rollen automatisch, indem Sie auf Rollen gewähren

    Alternativ können Sie die Rolle manuell gewähren, indem Sie die folgenden Schritten:

    1. Klicken Sie auf Alternative: Rollen manuell zuweisen (gcloud).
    2. Kopieren Sie die gcloud-Befehlszeilenbefehle.
    3. Klicken Sie in der Symbolleiste der Google Cloud Console auf Cloud Shell aktivieren.
    4. Fügen Sie im geöffneten Terminalfenster die zuvor kopierten Befehle der gcloud-CLI ein und drücken Sie die Eingabetaste.

  3. Klicken Sie auf Weiter. Die Seite Einrichtung abschließen wird geöffnet.

Schritt 4: Aktivierung bestätigen

Führen Sie die folgenden Schritte aus, um Security Command Center zu aktivieren:

  1. Klicken Sie auf der Seite Einrichtung abschließen auf Fertigstellen.

Wenn die Einrichtung abgeschlossen ist, startet Security Command Center einen ersten Asset-Scan. Danach können Sie die Sicherheits- und Datenrisiken in Ihrem Google Cloud-Projekt über die Console prüfen und beheben.

Bei einigen Diensten kann es zu Verzögerungen kommen, bis Scans gestartet werden. Die Verzögerung bzw. die Scanlatenz für Dienste in einem ist in der Regel kürzer als für ein Unternehmen, aber die meisten Gründe für Latenz haben weiterhin. Weitere Informationen zu von Latenzen in Bezug auf Unternehmen, siehe Übersicht über die Latenz von Security Command Center um mehr über den Aktivierungsprozess zu erfahren.

Für alle Aktivierungsszenarien die integrierten Dienste optimieren und testen

Prüfen Sie nach dem Aktivieren von Security Command Center die Dokumentation um zu sehen, ob Sie ihn weiter testen oder optimieren können.

Event Threat Detection stützt sich beispielsweise auf Logs, Google Cloud Einige Logs sind immer aktiviert, daher ist Event Threat Detection aktiviert. kann mit dem Scannen beginnen, sobald sie aktiviert ist. Andere Protokolle, z. B. die meisten Audit-Logs für den Datenzugriff, müssen Sie aktivieren, damit sie von Event Threat Detection gescannt werden können. Weitere Informationen finden Sie unter Protokolltypen und Aktivierungsanforderungen

Weitere Informationen zum Testen und Verwenden der integrierten Dienste finden Sie unter folgenden Seiten:

Nächste Schritte

Weitere Informationen zu Security Command Center und den integrierten Diensten.