Security Command Center für ein Projekt aktivieren

Auf dieser Seite wird erläutert, wie Sie die Standard- oder Premium-Stufe von Security Command Center aktivieren Stufe eines Google Cloud-Projekts.

Informationen zum Aktivieren von Security Command Center für eine gesamte Organisation finden Sie in den folgenden Artikeln:

Vorbereitung

Zum Aktivieren von Security Command Center für ein Projekt benötigen Sie Folgendes: Voraussetzungen, die in den folgenden Unterabschnitten erläutert werden:

  • Lesen Sie die Voraussetzungen, um zu verstehen, wie ein Projekt die Aktivierung von Security Command Center sich von der auf Organisationsebene Aktivierung.
  • Sie benötigen ein Google Cloud-Projekt, das mit mit einem Unternehmen.
  • Ihrem Nutzerkonto müssen IAM-Rollen (Identity and Access Management) gewährt werden die die erforderlichen Berechtigungen enthalten.
  • Wenn Ihr Projekt Organisationsrichtlinien übernimmt, die eingeschränkt sind Identitäten nach Domain sortiert sind, müssen sich Ihre Nutzer- und Dienstkonten in einer zulässigen .
  • Wenn Sie Container Threat Detection verwenden, müssen Ihre Google Kubernetes Engine-Cluster Container Threat Detection.

Informationen zu den Voraussetzungen

Informationen zur Aktivierung von Security Command Center auf Projektebene unterscheidet sich von der Aktivierung auf Organisationsebene, siehe Aktivierung von Security Command Center auf Projektebene

Weitere Informationen zu den Diensten und Security Command Center-Ergebnissen sind nicht bei Aktivierungen auf Projektebene unterstützt werden, siehe Einschränkungen des Aktivierungsdienstes auf Projektebene.

Projektanforderungen

Zum Aktivieren von Security Command Center für ein Projekt muss das Projekt die mit einer Organisation verbunden sind. Wenn Sie Sie ein Projekt erstellen müssen, finden Sie weitere Informationen unter Projekte erstellen und verwalten.

IAM-Rollen, die Sie für diese Aufgabe benötigen

Zum Einrichten von Security Command Center benötigen Sie Folgendes IAM-Rollen, die Ihrem Nutzerkonto in der Projekt, in dem Sie Security Command Center aktivieren:

  • Sicherheitscenter-Administrator roles/securitycenter.admin
  • Sicherheitsadministrator roles/iam.securityAdmin
  • Sofern die erforderlichen Security Command Center-Dienstkonten nicht bereits vorhanden sind aus einer Aktivierung auf Organisationsebene, Dienstkonten erstellen roles/iam.serviceAccountCreator

Hier erhalten Sie weitere Informationen zu den Security Command Center-Rollen.

Organisationsrichtlinien prüfen

Wenn Ihr Projekt Organisationsrichtlinien übernimmt, die auf Identitäten nach Domain einschränken müssen folgende Voraussetzungen erfüllt sein:

  • Sie müssen in der Google Cloud Console mit einem Konto angemeldet sein, eine zulässige Domain.
  • Ihre Dienstkonten müssen sich in einer zulässigen Domain befinden oder Mitglieder einer Gruppe innerhalb Ihrer Domain sein. Mit dieser Anforderung können Sie Zugriff von @*.gserviceaccount.com-Diensten auf Ressourcen bei Domainbeschränkung Freigabe ist aktiviert.

Softwareversionen für Container Threat Detection bestätigen

Wenn Sie Container Threat Detection mit der Google Kubernetes Engine verwenden möchten (GKE) und stellen Sie sicher, dass Ihre Cluster auf einem unterstützten Version von GKE und dass die Cluster ordnungsgemäß konfiguriert sind. Weitere Informationen finden Sie unter Container Threat Detection verwenden

Aktivierungsszenarien für ein Projekt

Auf dieser Seite werden die folgenden Aktivierungsszenarien behandelt:

  • In einer Organisation, in der Security Command Center noch nie aktiviert ist, Aktivieren Sie entweder die Premium- oder Standard-Stufe von Security Command Center für ein Projekt.
  • Aktivieren Sie in einer Organisation, die die Standardstufe verwendet, das Premium-Stufe von Security Command Center für ein Projekt.
  • In Organisationen, die ein auslaufendes Abo für die Premium-Stufe verwenden, Premium-Stufe von Security Command Center aktivieren für ein Projekt.

Je nachdem, ob Ihre Organisation Security Command Center verwendet, aktivieren Sie Security Command Center mit verschiedenen Methoden für ein Projekt.

Wenn Ihre Organisation Security Command Center nicht verwendet, führt Sie die Google Cloud Console durch eine Reihe von Einrichtungsseiten.

Wenn Ihre Organisation Security Command Center verwendet, aktivieren Sie Security Command Center Premium für ein Projekt mithilfe der Tab Tier details (Ebenendetails) auf der Seite Settings (Einstellungen)

Ermitteln, ob Security Command Center in Ihrer Organisation bereits aktiv ist

Unterschiede beim Aktivieren von Security Command Center für ein Projekt je nachdem, ob Security Command Center Unternehmen.

Um zu prüfen, ob Security Command Center in Ihrem Unternehmen führen Sie die folgenden Schritte aus:

  1. Rufen Sie in der Google Cloud Console die Seite Übersicht von Security Command Center auf.

    Zum Security Command Center

  2. Klicken Sie in der Drop-down-Liste der Projektauswahl auf den Namen des Projekt, für das Sie Security Command Center aktivieren müssen.

    Nachdem Sie das Projekt ausgewählt haben, wird eine der folgenden Seiten geöffnet:

    • Wenn Security Command Center in Ihrer Organisation aktiv ist, wird das Security Command Center-Dashboard geöffnet.
    • Wenn Security Command Center im Organisation befindet, wird die Seite Security Command Center abrufen geöffnet, von wo aus können Sie den Aktivierungsprozess für Ihr Projekt starten.

  3. Wenn Security Command Center in Ihrer Organisation bereits aktiv ist, klicken Sie auf das Kästchen ist die derzeit aktive Dienststufe.

    1. Öffnen Sie die Seite Einstellungen von Security Command Center:

      Einstellungen aufrufen

    2. Klicken Sie auf der Seite Einstellungen auf Stufendetails. Die Seite Stufe wird geöffnet.

    3. In der Zeile Tier die Dienststufe, die das Projekt übernimmt aufgeführt ist.

  4. Folgen Sie der Anleitung, um Security Command Center für ein Projekt zu aktivieren für den Aktivierungsstatus von Security Command Center in der übergeordneten Organisation:

Für ein Projekt aktivieren, wenn Security Command Center in der Organisation aktiv ist

Wenn Security Command Center in einer Organisation bereits aktiv ist, wird die einzige die Sie auf Projektebene aktivieren müssen, Premium-Stufe, da das Projekt zumindest die Verwendung von der Standard-Stufe.

Informationen zu den Funktionen der einzelnen Stufen finden Sie unter Security Command Center-Stufen.

Wenn Security Command Center in einer Organisation aktiv ist, starten Sie das des Aktivierungsprozesses auf Projektebene, indem Sie Ihr Projekt im Google Cloud Console und wählen Sie dann in der Security Command Center-Seite Einstellungen.

  1. Öffnen Sie auf der Seite Einstellungen den Tab Ebenendetails:

    Zu „Stufendetails“

    Eine Projektauswahlseite wird geöffnet, bevor Sie zu Ebenendetails weitergeleitet werden. Seite.

  2. Wählen Sie Ihr Projekt aus. Die Seite Ebenendetails wird geöffnet.

  3. Klicken Sie auf der Seite „Stufendetails“ auf eine der folgenden Optionen:

    • Projektstufe verwalten
    • Premium-Mitglied werden

    Die Seite Stufe verwalten wird geöffnet.

  4. Wählen Sie auf der Seite Stufe verwalten die Option Premium aus.

  5. Klicken Sie auf Weiter. Die Seite Dienste wird geöffnet.

  6. Aktivieren oder deaktivieren Sie auf der Seite Dienste jeden integrierten Dienst als erforderlich, indem Sie einen der folgenden Werte auswählen aus dem Menü links neben dem aufgeführten Dienst aus:

    • Übernehmen (Standardeintrag)
    • Aktivieren
    • Deaktivieren

Sie haben die Aktivierung von Security Command Center abgeschlossen. Als Nächstes warten Sie, bis die ersten Scans abgeschlossen sind.

Für ein Projekt aktivieren, wenn Security Command Center in der Organisation nicht aktiv ist

Wenn Ihre Organisation Security Command Center nicht verwendet, führt Sie die Google Cloud Console durch eine Reihe von Einrichtungsseiten. wenn Sie Security Command Center für ein Projekt aktivieren.

Schritt 1: Stufe auswählen

Wenn Security Command Center in Ihrer Organisation nicht aktiv ist, öffnen Sie die Security Command Center-Dashboard in der Google Cloud Console Die Seite Security Command Center abrufen wird angezeigt. Sie starten die Aktivierung indem Sie eine Stufe auswählen.

Security Command Center hat drei Stufen: Standard, Premium und Enterprise. Die von Ihnen ausgewählte Stufe bestimmt, welche Funktionen Ihnen zur Verfügung stehen die Kosten für die Nutzung von Security Command Center. Sie können die Stufe „Enterprise“ nur aktivieren unter auf Organisationsebene. Weitere Informationen finden Sie unter Security Command Center Enterprise-Stufe aktivieren.

Informationen zu den Funktionen der einzelnen Stufen finden Sie unter Security Command Center-Stufen.

Wählen Sie Ihre Stufe aus und starten Sie die Aktivierung von Security Command Center führen Sie die folgenden Schritte aus:

  1. Rufen Sie in der Google Cloud Console die Übersichtsseite von Security Command Center auf.

    Zum Security Command Center

  2. Klicken Sie in der Drop-down-Liste der Projektauswahl auf den Namen des Projekt, für das Sie Security Command Center aktivieren müssen.

    Nachdem Sie das Projekt ausgewählt haben, wird Security Command Center mit dem Seite Security Command Center aufrufen, auf der Sie den Aktivierungsprozess starten indem Sie eine Stufe auswählen. Wenn das Security Command Center-Dashboard geöffnet wird, Security Command Center ist in Ihrer Organisation oder Ihrem Projekt bereits aktiv.

  3. Wählen Sie entweder Premium oder Standard aus. je nachdem, welche Dienste Sie benötigen.

  4. Klicken Sie auf Weiter. Die Seite Dienste auswählen wird geöffnet.

Im nächsten Abschnitt wählen Sie die integrierten Dienste aus, für Ihr Projekt aktivieren.

Schritt 2: Dienste auswählen

Gehen Sie auf der Seite Dienste auswählen so vor: werden alle integrierten Dienste von Security Command Center angezeigt.

  1. Aktivieren oder deaktivieren Sie auf der Seite Dienste jeden integrierten Dienst als erforderlich, indem Sie einen der folgenden Werte auswählen aus dem Menü links neben dem aufgeführten Dienst aus:

    • Übernehmen
    • Aktivieren
    • Deaktivieren

    Nach Abschluss des Aktivierungsprozesses können Sie für jeden aktivieren, finden Sie in der Dokumentation des jeweiligen Dienstes die für jeden Dienst erforderlich sein können.

  2. Klicken Sie auf Weiter. Die Seite Rollen gewähren wird geöffnet.

Schritt 3: Dienst-Agents konfigurieren

Wenn Sie Security Command Center zum ersten Mal aktivieren, Erstellt automatisch IAM-Dienst-Agents für Security Command Center und seine Erkennungsdienste.

Wie im folgenden Verfahren beschrieben, gewähren Sie IAM diese Dienst-Agents, die die Berechtigungen bereitstellen, Security Command Center und die zugehörigen Erkennungsdienste müssen ihre Funktionen ausführen.

Wenn Sie Security Command Center auf Projektebene aktivieren und Security Command Center ist in Ihrer Organisation noch nicht aktiv. werden die folgenden Dienst-Agents auf Projektebene erstellt:

  • service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com Du erteilst die securitycenter.serviceAgent IAM-Rolle für dieses Dienstkonto.

  • service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.com Du erteilst die roles/containerthreatdetection.serviceAgent IAM-Rolle für dieses Dienstkonto.

Anstelle von PROJECT_NUMBER hat das Dienstkonto enthält die Nummer Ihres Projekts.

So weisen Sie den Dienst-Agents die IAM-Rollen zu: Schritte:

  1. Prüfen Sie optional auf der Seite Rollen gewähren die Rolle und die Berechtigungen. die Sie gewähren möchten, indem Sie auf Berechtigungen überprüfen klicken.

  2. Gewähren Sie die erforderlichen Rollen automatisch, indem Sie auf Rollen gewähren

    Alternativ können Sie die Rolle manuell gewähren, indem Sie die folgenden Schritten:

    1. Klicken Sie auf Alternative: Rollen manuell zuweisen (gcloud).
    2. Kopieren Sie die gcloud CLI-Befehle.
    3. Klicken Sie in der Symbolleiste der Google Cloud Console auf Cloud Shell aktivieren.
    4. Fügen Sie im geöffneten Terminalfenster die zuvor kopierten Befehle der gcloud-CLI ein und drücken Sie die Eingabetaste.

  3. Klicken Sie auf Weiter. Die Seite Einrichtung abschließen wird geöffnet.

Schritt 4: Aktivierung bestätigen

Führen Sie die folgenden Schritte aus, um Security Command Center zu aktivieren:

  1. Klicken Sie auf der Seite Einrichtung abschließen auf Fertigstellen.

Wenn Sie die Einrichtung abgeschlossen haben, startet Security Command Center einen ersten Asset-Scan, mit dem Sie Google Cloud über das Dashboard überprüfen und Fehler beheben können Sicherheits- und Datenrisiken in Ihrem gesamten Projekt.

Bei einigen Diensten kann es zu einer Verzögerung kommen, bevor Scans gestartet werden. Die Verzögerung bzw. die Scanlatenz für Dienste in einem ist in der Regel kürzer als für ein Unternehmen, aber die meisten Gründe für die Latenz treffen zu. Weitere Informationen zu Informationen zu Latenzen in Bezug auf Organisationen finden Sie unter Übersicht über die Latenz von Security Command Center. um mehr über den Aktivierungsprozess zu erfahren.

Für alle Aktivierungsszenarien die integrierten Dienste optimieren und testen

Prüfen Sie nach dem Aktivieren von Security Command Center die Dokumentation um zu sehen, ob Sie ihn weiter testen oder optimieren können.

Event Threat Detection stützt sich beispielsweise auf Logs, Google Cloud Einige Logs sind immer aktiviert, daher ist Event Threat Detection aktiviert. kann mit dem Scannen beginnen, sobald sie aktiviert ist. Andere Protokolle wie Die meisten Audit-Logs zum Datenzugriff müssen Sie vor der Event Threat Detection aktivieren. sie scannen können. Weitere Informationen finden Sie unter Protokolltypen und Aktivierungsanforderungen.

Weitere Informationen zum Testen und Verwenden der integrierten Dienste finden Sie unter folgenden Seiten:

Nächste Schritte

Weitere Informationen zu Security Command Center und den integrierten Diensten.