Security Command Center für ein Projekt aktivieren

Auf dieser Seite wird erläutert, wie Sie die Standard- oder Premium-Stufe von Security Command Center für ein Google Cloud-Projekt aktivieren.

Informationen zum Aktivieren von Security Command Center für eine gesamte Organisation finden Sie in den folgenden Artikeln:

Vorbereitung

Zum Aktivieren von Security Command Center in einem Projekt benötigen Sie die folgenden Voraussetzungen, die in den folgenden Unterabschnitten erläutert werden:

  • Lesen Sie die erforderlichen Informationen, um zu verstehen, wie sich eine Aktivierung von Security Command Center auf Projektebene von einer Aktivierung auf Organisationsebene unterscheidet.
  • Sie benötigen ein Google Cloud-Projekt, das mit einer Organisation verknüpft ist.
  • Ihrem Nutzerkonto müssen IAM-Rollen (Identity and Access Management) gewährt werden, die die erforderlichen Berechtigungen enthalten.
  • Wenn Ihr Projekt Organisationsrichtlinien übernimmt, die festgelegt sind, um Identitäten nach Domain einzuschränken, müssen sich Ihre Nutzer- und Dienstkonten in einer zulässigen Domain befinden.
  • Wenn Sie Container Threat Detection verwenden, müssen Ihre Google Kubernetes Engine-Cluster Container Threat Detection unterstützen.

Informationen zu den Voraussetzungen

Informationen zu den Unterschieden zwischen einer Aktivierung von Security Command Center auf Projektebene und einer Aktivierung auf Organisationsebene finden Sie unter Aktivierung von Security Command Center auf Projektebene – Übersicht.

Weitere Informationen zu den Diensten und Security Command Center-Ergebnissen, die bei Aktivierungen auf Projektebene nicht unterstützt werden, finden Sie unter Einschränkungen des Aktivierungsdienstes auf Projektebene.

Projektanforderungen

Damit Security Command Center für ein Projekt aktiviert werden kann, muss das Projekt mit einer Organisation verknüpft sein. Weitere Informationen zum Erstellen eines Projekts finden Sie unter Projekte erstellen und verwalten.

IAM-Rollen, die Sie für diese Aufgabe benötigen

Zum Einrichten von Security Command Center benötigen Sie die folgenden IAM-Rollen, die Ihrem Nutzerkonto in dem Projekt zugewiesen sind, in dem Sie Security Command Center aktivieren:

  • Sicherheitscenter-Administrator roles/securitycenter.admin
  • Sicherheitsadministrator roles/iam.securityAdmin
  • Wenn die erforderlichen Security Command Center-Dienstkonten nicht bereits aus einer Aktivierung auf Organisationsebene vorhanden sind, erstellen Sie Dienstkonten roles/iam.serviceAccountCreator

Hier erhalten Sie weitere Informationen zu den Security Command Center-Rollen.

Organisationsrichtlinien prüfen

Wenn Ihr Projekt Organisationsrichtlinien mit der Beschränkung von Identitäten nach Domain übernimmt, müssen Sie die folgenden Anforderungen erfüllen:

  • Sie müssen in der Google Cloud Console mit einem Konto in einer zulässigen Domain angemeldet sein.
  • Ihre Dienstkonten müssen sich in einer zulässigen Domain befinden oder Mitglieder einer Gruppe innerhalb Ihrer Domain sein. Mit dieser Anforderung können Sie @*.gserviceaccount.com-Diensten Zugriff auf Ressourcen gewähren, wenn die domaineingeschränkte Freigabe aktiviert ist.

Softwareversionen für Container Threat Detection bestätigen

Wenn Sie Container Threat Detection mit Google Kubernetes Engine (GKE) verwenden möchten, müssen Sie dafür sorgen, dass Ihre Cluster eine unterstützte Version von GKE ausführen und die Cluster ordnungsgemäß konfiguriert sind. Weitere Informationen finden Sie unter Container Threat Detection verwenden.

Aktivierungsszenarien für ein Projekt

Auf dieser Seite werden die folgenden Aktivierungsszenarien behandelt:

  • Aktivieren Sie in einer Organisation, in der Security Command Center noch nie aktiviert wurde, für ein Projekt entweder die Premium- oder die Standardstufe von Security Command Center.
  • Aktivieren Sie in einer Organisation, die die Standardstufe verwendet, die Premium-Stufe von Security Command Center für ein Projekt.
  • Aktivieren Sie in einer Organisation, die ein auslaufendes Abo der Premium-Stufe verwendet, die Premium-Stufe von Security Command Center für ein Projekt.

Je nachdem, ob Ihre Organisation Security Command Center verwendet, aktivieren Sie Security Command Center für ein Projekt mithilfe verschiedener Methoden.

Wenn Ihre Organisation Security Command Center nicht verwendet, werden Sie von der Google Cloud Console durch eine Reihe von Einrichtungsseiten geführt.

Wenn Ihre Organisation Security Command Center verwendet, aktivieren Sie Security Command Center Premium für ein Projekt über den Tab Stufendetails auf der Seite Einstellungen.

Ermitteln, ob Security Command Center in Ihrer Organisation bereits aktiv ist

Wie Sie Security Command Center für ein Projekt aktivieren, hängt davon ab, ob Security Command Center in Ihrer Organisation bereits aktiv ist.

Führen Sie die folgenden Schritte aus, um zu prüfen, ob Security Command Center in Ihrer Organisation bereits aktiv ist:

  1. Rufen Sie in der Google Cloud Console die Seite Übersicht von Security Command Center auf.

    Zum Security Command Center

  2. Klicken Sie in der Drop-down-Liste der Projektauswahl auf den Namen des Projekts, für das Sie Security Command Center aktivieren müssen.

    Nachdem Sie das Projekt ausgewählt haben, wird eine der folgenden Seiten geöffnet:

    • Wenn Security Command Center in Ihrer Organisation aktiv ist, wird das Security Command Center-Dashboard geöffnet.
    • Wenn Security Command Center in der Organisation nicht aktiviert wurde, wird die Seite Security Command Center abrufen geöffnet. Hier können Sie den Aktivierungsprozess für Ihr Projekt starten.

  3. Wenn Security Command Center in Ihrer Organisation bereits aktiv ist, prüfen Sie die aktuell aktive Dienststufe.

    1. Öffnen Sie die Seite Einstellungen von Security Command Center:

      Einstellungen aufrufen

    2. Klicken Sie auf der Seite Einstellungen auf Stufendetails. Die Seite Tier wird geöffnet.

    3. In der Zeile Tier ist die Dienststufe aufgeführt, die das Projekt übernimmt.

  4. Um Security Command Center für ein Projekt zu aktivieren, folgen Sie der Anleitung für den Aktivierungsstatus von Security Command Center in der übergeordneten Organisation:

Für ein Projekt aktivieren, wenn Security Command Center in der Organisation aktiv ist

Wenn Security Command Center bereits in einer Organisation aktiv ist, müssen Sie nur die Dienststufe auf Projektebene aktivieren, da das Projekt zumindest die Verwendung der Standardstufe übernimmt.

Informationen zu den Features der einzelnen Stufen finden Sie unter Security Command Center-Stufen.

Wenn Security Command Center in einer Organisation aktiv ist, starten Sie den Aktivierungsprozess auf Projektebene. Dazu wählen Sie Ihr Projekt in der Google Cloud Console und dann auf der Seite Einstellungen von Security Command Center die Premium-Stufe aus.

  1. Öffnen Sie auf der Seite Einstellungen den Tab Ebenendetails:

    Zu „Stufendetails“

    Eine Projektauswahlseite wird geöffnet, bevor Sie zur Seite Ebenendetails gelangen.

  2. Wählen Sie Ihr Projekt aus. Die Seite Ebenendetails wird geöffnet.

  3. Klicken Sie auf der Seite „Stufendetails“ auf eine der folgenden Optionen:

    • Projektstufe verwalten
    • Premium-Mitglied werden

    Die Seite Stufe verwalten wird geöffnet.

  4. Wählen Sie auf der Seite Stufe verwalten die Option Premium aus.

  5. Klicken Sie auf Weiter. Die Seite Dienste wird geöffnet.

  6. Aktivieren oder deaktivieren Sie auf der Seite Dienste jeden integrierten Dienst nach Bedarf. Wählen Sie dazu einen der folgenden Werte aus dem Menü links neben dem aufgeführten Dienst aus:

    • Übernehmen (Standardeintrag)
    • Aktivieren
    • Deaktivieren

Sie haben die Aktivierung von Security Command Center abgeschlossen. Warten Sie als Nächstes, bis die ersten Scans abgeschlossen sind.

Für ein Projekt aktivieren, wenn Security Command Center in der Organisation nicht aktiv ist

Wenn Ihre Organisation Security Command Center nicht verwendet, werden Sie von der Google Cloud Console beim Aktivieren von Security Command Center für ein Projekt durch eine Reihe von Einrichtungsseiten geführt.

Schritt 1: Stufe auswählen

Wenn Security Command Center in Ihrer Organisation nicht aktiv ist, wird beim Öffnen des Security Command Center-Dashboards in der Google Cloud Console die Seite Security Command Center abrufen angezeigt. Sie starten den Aktivierungsprozess, indem Sie eine Stufe auswählen.

Security Command Center hat drei Stufen: Standard, Premium und Enterprise. Die ausgewählte Stufe bestimmt die für Sie verfügbaren Features und die Kosten für die Nutzung von Security Command Center. Sie können die Enterprise-Stufe nur auf Organisationsebene aktivieren. Weitere Informationen finden Sie unter Security Command Center Enterprise-Stufe aktivieren.

Informationen zu den Features der einzelnen Stufen finden Sie unter Security Command Center-Stufen.

Führen Sie die folgenden Schritte aus, um Ihre Stufe auszuwählen und den Aktivierungsprozess von Security Command Center zu starten:

  1. Rufen Sie in der Google Cloud Console die Übersichtsseite von Security Command Center auf.

    Zum Security Command Center

  2. Klicken Sie in der Drop-down-Liste der Projektauswahl auf den Namen des Projekts, für das Sie Security Command Center aktivieren müssen.

    Nachdem Sie das Projekt ausgewählt haben, wird in Security Command Center die Seite Security Command Center abrufen geöffnet. Hier können Sie den Aktivierungsprozess durch Auswahl einer Stufe starten. Wenn das Security Command Center-Dashboard geöffnet wird, ist Security Command Center in Ihrer Organisation oder Ihrem Projekt bereits aktiv.

  3. Wählen Sie abhängig von den benötigten Diensten entweder die Stufe Premium oder Standard aus.

  4. Klicken Sie auf Weiter. Die Seite Dienste auswählen wird geöffnet.

Im nächsten Abschnitt wählen Sie die integrierten Dienste aus, die Sie für Ihr Projekt aktivieren möchten.

Schritt 2: Dienste auswählen

Auf der Seite Dienste auswählen werden alle integrierten Dienste von Security Command Center angezeigt.

  1. Aktivieren oder deaktivieren Sie auf der Seite Dienste jeden integrierten Dienst nach Bedarf. Wählen Sie dazu einen der folgenden Werte aus dem Menü links neben dem aufgeführten Dienst aus:

    • Übernehmen
    • Aktivieren
    • Deaktivieren

    Suchen Sie nach Abschluss des Aktivierungsprozesses für jeden aktivierten Dienst in der Dokumentation des jeweiligen Dienstes nach weiteren Schritten, die möglicherweise erforderlich sind.

  2. Klicken Sie auf Weiter. Die Seite Rollen gewähren wird geöffnet.

Schritt 3: Dienst-Agents konfigurieren

Wenn Sie Security Command Center zum ersten Mal aktivieren, erstellt Google Cloud automatisch IAM-Dienst-Agents für Security Command Center und seine Erkennungsdienste.

Wie im folgenden Verfahren beschrieben, gewähren Sie diesen Dienst-Agents IAM-Rollen mit den Berechtigungen, die Security Command Center und seine Erkennungsdienste zum Ausführen ihrer Funktionen benötigen.

Wenn Sie Security Command Center auf Projektebene aktivieren und Security Command Center in Ihrer Organisation noch nicht aktiv ist, werden die folgenden Dienst-Agents auf Projektebene erstellt:

  • service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com. Sie weisen diesem Dienstkonto die IAM-Rolle securitycenter.serviceAgent zu.

  • service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.com. Sie weisen diesem Dienstkonto die IAM-Rolle roles/containerthreatdetection.serviceAgent zu.

Anstelle von PROJECT_NUMBER enthält das Dienstkonto die Nummer Ihres Projekts.

So weisen Sie den Dienst-Agents die IAM-Rollen zu:

  1. Optional können Sie auf der Seite Rollen gewähren die Rolle und die Berechtigungen überprüfen, die Sie gewähren möchten. Klicken Sie dazu auf Berechtigungen prüfen.

  2. Weisen Sie die erforderlichen Rollen automatisch zu, indem Sie auf Rollen gewähren klicken.

    Alternativ können Sie die Rolle manuell gewähren, indem Sie die folgenden Schritte ausführen:

    1. Klicken Sie auf Alternative: Rollen manuell zuweisen (gcloud).
    2. Kopieren Sie die gcloud CLI-Befehle.
    3. Klicken Sie in der Symbolleiste der Google Cloud Console auf Cloud Shell aktivieren.
    4. Fügen Sie im geöffneten Terminalfenster die zuvor kopierten Befehle der gcloud-CLI ein und drücken Sie die Eingabetaste.

  3. Klicken Sie auf Weiter. Die Seite Einrichtung abschließen wird geöffnet.

Schritt 4: Aktivierung bestätigen

Führen Sie die folgenden Schritte aus, um Security Command Center zu aktivieren:

  1. Klicken Sie auf der Seite Einrichtung abschließen auf Fertigstellen.

Wenn Sie die Einrichtung abgeschlossen haben, startet Security Command Center einen ersten Asset-Scan. Anschließend können Sie das Dashboard verwenden, um die Sicherheits- und Datenrisiken von Google Cloud in Ihrem Projekt zu prüfen und zu beheben.

Bei einigen Diensten kann es zu einer Verzögerung kommen, bevor Scans gestartet werden. Wie zu erwarten ist, ist die Verzögerung bzw. Scanlatenz bei Diensten in einem einzelnen Projekt in der Regel kürzer als in einer Organisation. Die meisten Gründe für die Latenz gelten jedoch weiterhin. Weitere Informationen zum Aktivierungsprozess finden Sie unter Latenzübersicht in Security Command Center.

Für alle Aktivierungsszenarien die integrierten Dienste optimieren und testen

Lesen Sie nach dem Aktivieren von Security Command Center in der Dokumentation für jeden Dienst nach, ob Sie den Dienst weiter testen oder optimieren können.

Event Threat Detection stützt sich beispielsweise auf Logs, die von Google Cloud generiert wurden. Einige Logs sind immer aktiviert, sodass Event Threat Detection sofort nach der Aktivierung mit dem Scannen beginnen kann. Andere Logs, z. B. die meisten Audit-Logs zum Datenzugriff, müssen aktiviert werden, bevor Event Threat Detection sie scannen kann. Weitere Informationen finden Sie unter Protokolltypen und Aktivierungsanforderungen.

Weitere Informationen zum Testen und Verwenden der integrierten Dienste finden Sie auf den folgenden Seiten:

Nächste Schritte

Weitere Informationen zu Security Command Center und den integrierten Diensten.