Security Command Center für ein Projekt aktivieren

Auf dieser Seite wird erläutert, wie Sie die Standard- oder Premium-Stufe von Security Command Center für ein Google Cloud-Projekt aktivieren.

Sie haben folgende Möglichkeiten, Security Command Center für eine gesamte Organisation zu aktivieren:

Vorbereitung

Zum Aktivieren von Security Command Center für ein Projekt benötigen Sie die folgenden Voraussetzungen, die in den folgenden Unterabschnitten erläutert werden:

  • Lesen Sie die Informationen zu den Voraussetzungen, um zu verstehen, wie sich eine Aktivierung von Security Command Center auf Projektebene von einer Aktivierung auf Organisationsebene unterscheidet.
  • Sie benötigen ein Google Cloud-Projekt, das mit einer Organisation verknüpft ist.
  • Ihrem Nutzerkonto müssen IAM-Rollen (Identity and Access Management) mit den erforderlichen Berechtigungen zugewiesen sein.
  • Wenn Ihr Projekt Organisationsrichtlinien übernimmt, mit denen Identitäten nach Domain eingeschränkt werden, müssen sich Ihre Nutzer- und Dienstkonten in einer zulässigen Domain befinden.
  • Wenn Sie Container Threat Detection verwenden, müssen Ihre Google Kubernetes Engine-Cluster Container Threat Detection unterstützen.

Erforderliche Informationen

Informationen zum Unterschied zwischen einer Aktivierung von Security Command Center auf Projektebene und einer Aktivierung auf Organisationsebene finden Sie unter Aktivierung von Security Command Center auf Projektebene.

Weitere Informationen zu den Diensten und Security Command Center-Ergebnissen, die bei Aktivierungen auf Projektebene nicht unterstützt werden, finden Sie unter Einschränkungen für den Aktivierungsdienst auf Projektebene.

Projektanforderungen

Damit Security Command Center für ein Projekt aktiviert werden kann, muss das Projekt mit einer Organisation verknüpft sein. Informationen zum Erstellen eines Projekts finden Sie unter Projekte erstellen und verwalten.

IAM-Rollen, die Sie für diese Aufgabe benötigen

Zum Einrichten von Security Command Center benötigen Sie die folgenden IAM-Rollen, die Ihrem Nutzerkonto in dem Projekt gewährt wurden, in dem Sie Security Command Center aktivieren:

  • Sicherheitscenter-Administrator roles/securitycenter.admin
  • Sicherheitsadministrator roles/iam.securityAdmin
  • Erstellen Sie Dienstkonten roles/iam.serviceAccountCreator, es sei denn, die erforderlichen Security Command Center-Dienstkonten sind bereits aus einer Aktivierung auf Organisationsebene vorhanden

Hier erhalten Sie weitere Informationen zu den Security Command Center-Rollen.

Organisationsrichtlinien prüfen

Wenn Ihr Projekt Organisationsrichtlinien übernimmt, mit denen Identitäten nach Domain eingeschränkt festgelegt sind, müssen Sie die folgenden Anforderungen erfüllen:

  • Sie müssen in der Google Cloud Console mit einem Konto angemeldet sein, das sich in einer zulässigen Domain befindet.
  • Ihre Dienstkonten müssen sich in einer zulässigen Domain befinden oder Mitglieder einer Gruppe innerhalb Ihrer Domain sein. Mit dieser Anforderung können Sie @*.gserviceaccount.com-Diensten Zugriff auf Ressourcen gewähren, wenn die domaineingeschränkte Freigabe aktiviert ist.

Softwareversionen für Container Threat Detection bestätigen

Wenn Sie Container Threat Detection mit Google Kubernetes Engine (GKE) verwenden möchten, müssen Sie dafür sorgen, dass sich Ihre Cluster in einer unterstützten GKE-Version befinden und die Cluster ordnungsgemäß konfiguriert sind. Weitere Informationen finden Sie unter Container Threat Detection verwenden.

Aktivierungsszenarien für ein Projekt

Auf dieser Seite werden die folgenden Aktivierungsszenarien behandelt:

  • Aktivieren Sie in einer Organisation, in der Security Command Center noch nie aktiviert wurde, für ein Projekt entweder die Premium- oder die Standardstufe von Security Command Center.
  • Aktivieren Sie in einer Organisation, die die Standardstufe verwendet, die Premium-Stufe von Security Command Center für ein Projekt.
  • Aktivieren Sie in einer Organisation, die ein ablaufendes Abo der Premium-Stufe verwendet, die Premium-Stufe von Security Command Center für ein Projekt.

Je nachdem, ob Ihre Organisation Security Command Center verwendet, können Sie Security Command Center mit verschiedenen Methoden für ein Projekt aktivieren.

Wenn Ihre Organisation Security Command Center nicht verwendet, werden Sie in der Google Cloud Console durch eine Reihe von Einrichtungsseiten geführt.

Wenn Ihre Organisation Security Command Center verwendet, aktivieren Sie Security Command Center Premium auf der Seite Einstellungen über den Tab Tierdetails für ein Projekt.

Ermitteln, ob Security Command Center in Ihrer Organisation bereits aktiv ist

Wie Sie Security Command Center für ein Projekt aktivieren, hängt davon ab, ob Security Command Center in Ihrer Organisation bereits aktiv ist.

Führen Sie die folgenden Schritte aus, um zu prüfen, ob Security Command Center in Ihrer Organisation bereits aktiv ist:

  1. Rufen Sie in der Google Cloud Console die Seite Übersicht von Security Command Center auf.

    Zum Security Command Center

  2. Klicken Sie in der Drop-down-Liste der Projektauswahl auf den Namen des Projekts, für das Sie Security Command Center aktivieren müssen.

    Nachdem Sie das Projekt ausgewählt haben, wird eine der folgenden Seiten geöffnet:

    • Wenn Security Command Center in Ihrer Organisation aktiv ist, wird das Security Command Center-Dashboard geöffnet.
    • Wenn Security Command Center in der Organisation nicht aktiviert wurde, wird die Seite Security Command Center abrufen geöffnet. Hier können Sie den Aktivierungsprozess für Ihr Projekt starten.

  3. Wenn Security Command Center in Ihrer Organisation bereits aktiv ist, prüfen Sie die derzeit aktive Dienststufe.

    1. Öffnen Sie in Security Command Center die Seite Einstellungen:

      Einstellungen aufrufen

    2. Klicken Sie auf der Seite Einstellungen auf Tierdetails. Die Seite Tier wird geöffnet.

    3. In der Zeile Tier ist die Dienststufe aufgeführt, die das Projekt übernimmt.

  4. Folgen Sie der Anleitung für den Aktivierungsstatus von Security Command Center in der übergeordneten Organisation, um Security Command Center für ein Projekt zu aktivieren:

Für ein Projekt aktivieren, wenn Security Command Center in der Organisation aktiv ist

Wenn Security Command Center in einer Organisation bereits aktiv ist, müssen Sie nur noch die Premiumstufe auf Projektebene aktivieren, da das Projekt mindestens die Verwendung der Standardstufe übernimmt.

Die in den einzelnen Stufen enthaltenen Features finden Sie unter Security Command Center-Stufen.

Wenn Security Command Center in einer Organisation aktiv ist, starten Sie den Aktivierungsprozess auf Projektebene. Dazu wählen Sie Ihr Projekt in der Google Cloud Console und dann auf der Seite Einstellungen in Security Command Center die Premium-Stufe aus.

  1. Öffnen Sie auf der Seite Einstellungen den Tab Tier detail:

    Zu den Stufendetails

    Eine Projektauswahlseite wird geöffnet, bevor Sie zur Seite Tier detail (Stufendetails) weitergeleitet werden.

  2. Wählen Sie Ihr Projekt aus. Die Seite Tier detail (Tierdetails) wird geöffnet.

  3. Klicken Sie auf der Seite „Stufendetails“ auf eine der folgenden Optionen:

    • Projektstufe verwalten
    • Premium abonnieren

    Die Seite Stufe verwalten wird geöffnet.

  4. Wähle auf der Seite Stufe verwalten die Option Premium aus.

  5. Klicken Sie auf Next (Weiter). Die Seite Dienste wird geöffnet.

  6. Aktivieren oder deaktivieren Sie auf der Seite Dienste die einzelnen integrierten Dienste nach Bedarf. Wählen Sie dazu im Menü links neben dem aufgeführten Dienst einen der folgenden Werte aus:

    • Übernehmen (Standardeintrag)
    • Aktivieren
    • Deaktivieren

Sie haben die Aktivierung von Security Command Center abgeschlossen. Warten Sie als Nächstes, bis die ersten Scans abgeschlossen sind.

Für ein Projekt aktivieren, wenn Security Command Center in der Organisation nicht aktiv ist

Wenn Ihre Organisation Security Command Center nicht verwendet, werden Sie in der Google Cloud Console durch eine Reihe von Einrichtungsseiten geführt, wenn Sie Security Command Center für ein Projekt aktivieren.

Schritt 1: Stufe auswählen

Wenn Security Command Center in Ihrer Organisation nicht aktiv ist, wird beim Öffnen des Security Command Center-Dashboards in der Google Cloud Console die Seite Security Command Center abrufen angezeigt. Sie starten den Aktivierungsprozess, indem Sie eine Stufe auswählen.

Security Command Center hat drei Stufen: Standard, Premium und Enterprise. Die ausgewählte Stufe bestimmt die verfügbaren Features und die Kosten für die Verwendung von Security Command Center. Sie können die Enterprise-Stufe nur auf Organisationsebene aktivieren. Weitere Informationen finden Sie unter Security Command Center Enterprise-Stufe aktivieren.

Die in den einzelnen Stufen enthaltenen Features finden Sie unter Security Command Center-Stufen.

Führen Sie die folgenden Schritte aus, um Ihre Stufe auszuwählen und den Aktivierungsprozess von Security Command Center zu starten:

  1. Rufen Sie in der Google Cloud Console die Übersichtsseite von Security Command Center auf.

    Zum Security Command Center

  2. Klicken Sie in der Drop-down-Liste der Projektauswahl auf den Namen des Projekts, für das Sie Security Command Center aktivieren müssen.

    Nachdem Sie das Projekt ausgewählt haben, wird Security Command Center mit der Seite Security Command Center abrufen geöffnet. Dort können Sie eine Stufe auswählen, um den Aktivierungsprozess zu starten. Wenn das Security Command Center-Dashboard geöffnet wird, ist Security Command Center in Ihrer Organisation oder Ihrem Projekt bereits aktiv.

  3. Wählen Sie je nach den benötigten Diensten die Premium- oder Standard-Stufe aus.

  4. Klicken Sie auf Next (Weiter). Die Seite Dienste auswählen wird geöffnet.

Im nächsten Abschnitt wählen Sie die integrierten Dienste aus, die Sie für Ihr Projekt aktivieren möchten.

Schritt 2: Dienste auswählen

Auf der Seite Dienste auswählen werden alle integrierten Dienste von Security Command Center angezeigt.

  1. Aktivieren oder deaktivieren Sie auf der Seite Dienste die einzelnen integrierten Dienste nach Bedarf. Wählen Sie dazu im Menü links neben dem aufgeführten Dienst einen der folgenden Werte aus:

    • Übernehmen
    • Aktivieren
    • Deaktivieren

    Lesen Sie nach Abschluss des Aktivierungsprozesses für jeden aktivierten Dienst in der Dokumentation des jeweiligen Dienstes nach, ob zusätzliche Schritte erforderlich sind, die für jeden Dienst erforderlich sind.

  2. Klicken Sie auf Next (Weiter). Die Seite Rollen gewähren wird geöffnet.

Schritt 3: Dienst-Agents konfigurieren

Wenn Sie Security Command Center zum ersten Mal aktivieren, erstellt Google Cloud automatisch IAM-Dienst-Agents für Security Command Center und die zugehörigen Erkennungsdienste.

Wie im folgenden Verfahren beschrieben, gewähren Sie diesen Dienst-Agents IAM-Rollen, die die Berechtigungen erteilen, die Security Command Center und seine Erkennungsdienste zum Ausführen ihrer Funktionen benötigen.

Wenn Sie Security Command Center auf Projektebene aktivieren und Security Command Center in Ihrer Organisation noch nicht aktiv ist, werden die folgenden Dienst-Agents auf Projektebene erstellt:

  • service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com. Sie weisen diesem Dienstkonto die IAM-Rolle securitycenter.serviceAgent zu.

  • service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.com. Sie weisen diesem Dienstkonto die IAM-Rolle roles/containerthreatdetection.serviceAgent zu.

Anstelle von PROJECT_NUMBER enthält das Dienstkonto die Nummer Ihres Projekts.

So weisen Sie den Dienst-Agents die IAM-Rollen zu:

  1. Optional können Sie auf der Seite Rollen gewähren die Rolle und die Berechtigungen überprüfen, die Sie gewähren möchten. Klicken Sie dazu auf Berechtigungen prüfen.

  2. Weisen Sie die erforderlichen Rollen automatisch zu, indem Sie auf Rollen gewähren klicken.

    Alternativ können Sie die Rolle manuell zuweisen. Gehen Sie dazu so vor:

    1. Klicken Sie auf Alternative: Rollen manuell gewähren (gcloud).
    2. Kopieren Sie die gcloud CLI-Befehle.
    3. Klicken Sie in der Symbolleiste der Google Cloud Console auf Cloud Shell aktivieren.
    4. Fügen Sie im geöffneten Terminalfenster die zuvor kopierten Befehle der gcloud-CLI ein und drücken Sie die Eingabetaste.

  3. Klicken Sie auf Next (Weiter). Die Seite Einrichtung abschließen wird geöffnet.

Schritt 4: Aktivierung bestätigen

Führen Sie die folgenden Schritte aus, um die Aktivierung von Security Command Center abzuschließen:

  1. Klicken Sie auf der Seite Einrichtung abschließen auf Fertigstellen.

Nach Abschluss der Einrichtung startet Security Command Center einen ersten Asset-Scan. Anschließend können Sie das Dashboard verwenden, um die Sicherheits- und Datenrisiken von Google Cloud in Ihrem gesamten Projekt zu prüfen und zu beheben.

Für einige Dienste kann es etwas dauern, bis Scans gestartet werden. Erwartungsgemäß ist die Verzögerung oder Scanlatenz bei Diensten in einem einzelnen Projekt in der Regel kürzer als in einer Organisation. Die meisten Gründe für die Latenz gelten jedoch weiterhin. Weitere Informationen zu Latenzen in Organisationen finden Sie unter Latenzübersicht von Security Command Center. Dort erfahren Sie mehr über den Aktivierungsprozess.

Integrierte Dienste für alle Aktivierungsszenarien optimieren und testen

Nachdem Sie Security Command Center aktiviert haben, sollten Sie in der Dokumentation zu jedem Dienst nachsehen, ob Sie den Dienst weiter testen oder optimieren können.

Event Threat Detection stützt sich beispielsweise auf Logs, die von Google Cloud generiert werden. Einige Logs sind immer aktiviert, sodass Event Threat Detection sie scannen kann, sobald sie aktiviert ist. Andere Logs, wie die meisten Audit-Logs zum Datenzugriff, müssen aktiviert werden, bevor Event Threat Detection sie scannen kann. Weitere Informationen finden Sie unter Logtypen und Aktivierungsanforderungen.

Weitere Informationen zum Testen und Verwenden der einzelnen integrierten Dienste finden Sie auf den folgenden Seiten:

Nächste Schritte

Weitere Informationen zu Security Command Center und den integrierten Diensten.