Standard- oder Premium-Stufe von Security Command Center für eine Organisation aktivieren

Auf dieser Seite erfahren Sie, wie Sie die Standard- oder Premium-Stufe von Security Command Center für eine Organisation aktivieren. Wenn Security Command Center bereits für Ihre Organisation eingerichtet ist, lesen Sie den Leitfaden zur Verwendung von Security Command Center.

Security Command Center bietet drei Dienststufen: Standard, Premium und Enterprise. Die ausgewählte Stufe bestimmt die Funktionen, die und die Kosten für die Nutzung von Security Command Center. Informationen zum Aktivieren der Enterprise-Stufe finden Sie unter Security Command Center Enterprise-Stufe aktivieren.

So aktivieren Sie die Premium-Stufe von Security Command Center auf Organisationsebene wählen Sie ein Selfservice-, „Pay as you go“-Preisoption in der Google Cloud Console.

Sie können Datenstandortkontrollen aktivieren, wenn Sie wenn Sie Security Command Center zum ersten Mal aktivieren. Nach der Aktivierung können Datenstandortkontrollen nicht aktivieren oder deaktivieren. Weitere Informationen Siehe Unterstützung des Datenstandorts.

Detaillierte Informationen zu den integrierten Security Command Center-Diensten, die siehe Security Command Center-Stufen.

Informationen zu den mit der Verwendung von Security Command Center verbundenen Kosten finden Sie auf der Seite "Preise".

Informationen zum Aktivieren von Security Command Center nur für ein Projekt finden Sie unter Security Command Center für ein Projekt aktivieren.

Vorbereitung

Bevor Sie Security Command Center aktivieren können, benötigen Sie eine Organisation, die erforderlichen IAM-Berechtigungen (Identity and Access Management) sowie die Organisationsrichtlinien.

Organisation erstellen

Security Command Center erfordert eine Organisationsressource, die mit einem . Wenn Sie keine Organisation erstellt haben, lesen Sie Organisationen erstellen und verwalten.

Berechtigungen einrichten

Zum Einrichten von Security Command Center benötigen Sie die folgenden IAM-Rollen:

• Organisationsadministrator roles/resourcemanager.organizationAdmin
• Sicherheitscenter-Administrator roles/securitycenter.admin
• Sicherheitsadministrator roles/iam.securityAdmin
• Dienstkonten roles/iam.serviceAccountCreator erstellen

Hier erhalten Sie weitere Informationen zu den Security Command Center-Rollen.

Organisationsrichtlinien prüfen

Wenn die Organisationsrichtlinien so konfiguriert sind, dass die Identitäten nach Domain eingeschränkt werden, gilt Folgendes:

• Sie müssen in der Google Cloud Console mit einem Konto angemeldet sein, eine zulässige Domain.
• Ihre Dienstkonten müssen sich in einer zulässigen Domain befinden oder Mitglieder einer Gruppe innerhalb Ihrer Domain sein. Mit dieser Anforderung können Sie Dienste zulassen, die die @*.gserviceaccount.com Dienstkonto für den Zugriff auf Ressourcen, wenn die Domain beschränkt ist Freigabe ist aktiviert.

Wenn in Ihren Organisationsrichtlinien die Ressourcennutzung eingeschränkt festgelegt ist, prüfen Sie, ob securitycenter.googleapis.com zulässig ist.

Aktivierungsszenarien für eine Organisation

Auf dieser Seite werden die folgenden Aktivierungsszenarien behandelt:

• In einer Organisation, in der Security Command Center noch nie aktiviert ist, die Premium- oder Standard-Stufe von Security Command Center aktivieren für ein Unternehmen.
• Aktivieren Sie in einer Organisation, die die Standard-Stufe verwendet, die Premium-Stufe von Security Command Center für die Organisation.
• In Organisationen, die ein auslaufendes Abo für die Premium-Stufe verwenden, auf das „Pay as you go“-Preismodell umstellen.

Security Command Center zum ersten Mal für eine Organisation aktivieren

So aktivieren Sie Security Command Center zum ersten Mal für eine Organisation: führen Sie in der Google Cloud Console einen geführten Aktivierungsprozess durch, Wählen Sie eine Dienststufe aus, aktivieren Sie Datenstandortkontrollen und aktivieren Sie die Sie benötigen. Anschließend wählen Sie die Ressourcen oder Assets aus, die Sie überwachen und Berechtigungen gewähren möchten. mit den erforderlichen Dienstkonten.

Führen Sie die folgenden Schritte aus, um Security Command Center Premium zu aktivieren auf Organisationsebene erstellen.

1. Gehen Sie in der Google Cloud Console zum Security Command Center.

   Zum Security Command Center

2. Wählen Sie aus der Liste Organisation die gewünschte Organisation aus. für das Sie Security Command Center aktivieren möchten, und klicken Sie dann auf Auswählen.

   Das Fenster Security Command Center abrufen wird geöffnet.

3. Wählen Sie unter Stufe auswählen eine Stufe aus.

4. Klicken Sie auf Weiter. Die Seite Dienste auswählen wird geöffnet.

5. Optional: Aktivieren Sie Datenstandortkontrollen in Security Command Center. indem Sie die folgenden Optionen auswählen:

   1. Wählen Sie unter Datenstandort die Option Datenstandort aktivieren aus.

      Wenn der Datenstandort aktiviert ist und ein Security Command Center-Dienst ein Sicherheitsproblem in einer Ressource erkennt, die sich befindet an einem von Security Command Center unterstützten Datenspeicherort Security Command Center speichert das resultierende Ergebnis automatisch am selben Security Command Center-Speicherort auf, an dem sich befindet, wenn sich die betroffene Ressource befindet.

   2. Wählen Sie im Feld Standardstandort auswählen den Standardspeicherort aus. Security Command Center-Speicherort, an dem Ergebnisse für Ressourcen, die sich entweder nicht an einem Standort befinden, der von Security Command Center unterstützt wird oder in deren Metadaten kein Standort angegeben ist.

6. Führen Sie im Abschnitt Dienste folgende Schritte aus: Integrierte Security Command Center-Dienste aktivieren die Sie brauchen. Jeder aktivierte Dienst scannt alle unterstützten Ressourcen und meldet Ergebnisse für Ihre gesamte Organisation. Um einen der Dienste zu deaktivieren, auf die Liste neben dem Dienstnamen und wählen Sie Deaktivieren aus.

   Wenn die Standardstufe aktiviert ist, können Sie die Aktivierung von Premium-Dienste, bevor Sie die Premium-Stufe aktivieren. Die Konfiguration wird erst angewendet, wenn Sie die Premium-Stufe später für die Organisation aktivieren.

   Hier sind Hinweise für bestimmte Dienste:

   • Damit Container Threat Detection ordnungsgemäß funktioniert, müssen Ihre Cluster in einer unterstützten Version von Google Kubernetes Engine (GKE) und dass Ihre GKE-Cluster sind richtig konfiguriert ist. Weitere Informationen finden Sie unter Container Threat Detection verwenden.

   • Event Threat Detection basiert auf Logs, die von Google Cloud generiert werden. Zur Verwendung Event Threat Detection, Logs für Ihre Organisation aktivieren Ordner und Projekte.

   • Die Ergebnisse der Anomalieerkennung sind automatisch in Security Command Center verfügbar. Sie können die Anomalieerkennung nach dem Onboarding deaktivieren. Folgen Sie dazu den Schritten unter Konfigurieren Sie Security Command Center-Dienste.

   • Auch wenn der Sicherheitsstatus nicht aufgeführt ist, Dienst aktiviert ist. automatisch, wenn Sie die Premium-Stufe auswählen.

7. Gewähren Sie unter Rollen gewähren die erforderlichen IAM-Berechtigungen. Rollen für die Dienst-Agents für Security Command Center.

   Indem Sie den Dienst-Agents die Rollen gewähren, stellen Sie die Berechtigungen, die Security Command Center und seine Erkennungsdienste die ihre Funktionen ausführen müssen.

   Die Dienstkontonamen haben die folgenden Formate:

   • service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com.

     Sie gewähren die securitycenter.serviceAgent IAM-Rolle für dieses Dienstkonto.

   • service-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.com.

     Sie gewähren die roles/containerthreatdetection.serviceAgent IAM-Rolle für dieses Dienstkonto.

   Anstelle von ORGANIZATION_ID hat das Dienstkonto enthält die numerische Kennung Ihrer Organisation.

   Klicken Sie auf Rollen gewähren, um die Rollen hinzuzufügen.

   Alternativ können Sie die Rollen manuell zuweisen, indem Sie die folgenden Schritten:

   1. Maximieren Sie den Abschnitt Grant roles manuell (Rollen manuell gewähren) und kopieren Sie die gcloud CLI-Befehl.
   2. Klicken Sie in der Symbolleiste der Google Cloud Console auf Cloud Shell aktivieren.
   3. Fügen Sie im geöffneten Terminalfenster die zuvor kopierten Befehle der gcloud-CLI ein und drücken Sie die Eingabetaste.

   Informationen zu den Berechtigungen, die mit diesen Rollen verknüpft sind, finden Sie unter Zugriffssteuerung. Führen Sie einen der folgenden Schritte aus:

8. Überprüfen Sie die Informationen unter Einrichtung abschließen und klicken Sie auf Fertigstellen.

   Wenn Sie die Einrichtung abgeschlossen haben, startet Security Command Center einen ersten Asset-Scan, Mit der Google Cloud Console können Sie Google Cloud Sicherheits- und Datenrisiken in Ihrem gesamten Projekt.

   Bei einigen Produkten dauert es möglicherweise länger, bis Scans gestartet werden. Weitere Informationen zum Aktivierungsprozess finden Sie unter Security Command Center-Latenz – Übersicht.

9. Sehen Sie sich dazu die Dokumentation um zu sehen, ob Sie ihn weiter testen oder optimieren können.

   Event Threat Detection stützt sich beispielsweise auf Logs, Google Cloud Einige Logs sind immer aktiviert, daher ist Event Threat Detection aktiviert. kann mit dem Scannen beginnen, sobald sie aktiviert ist. Andere Protokolle wie Die meisten Audit-Logs zum Datenzugriff müssen vor Event Threat Detection aktiviert werden sie scannen können. Weitere Informationen finden Sie unter Protokolltypen und Aktivierungsanforderungen.

   Weitere Informationen zum Testen und Verwenden der integrierten Dienste finden Sie unter folgenden Seiten:

   • Container Threat Detection verwenden
   • Event Threat Detection verwenden
   • Security Health Analytics verwenden
   • Virtual Machine Threat Detection verwenden
   • Web Security Scanner verwenden
   • Service „Security Posture“ verwenden

Upgrade von der Standard- auf die Premium-Stufe

Führen Sie die folgenden Schritte aus, um ein Upgrade von der Standardstufe von Security Command Center auf die Premium-Stufe von Security Command Center. Wenn Sie ein Abo verwenden möchten, wenden Sie sich zuerst an den Google Cloud-Vertrieb.

Führen Sie diese Aufgabe aus, wenn Ihr erfordert die zusätzliche Bedrohungserkennung und den Sicherheitsstatus die die Premium-Stufe von Security Command Center bietet.

1. Gehen Sie in der Google Cloud Console zum Security Command Center.

   Zum Security Command Center

2. Wählen Sie aus der Liste Organisation die Organisation aus, für die Sie ein Upgrade durchführen möchten. zur Security Command Center Premium-Stufe und klicken Sie dann auf Auswählen.

3. Klicken Sie auf der Seite „Security Command Center“ auf Premium abonnieren.

4. Prüfen Sie unter Stufe ändern, ob Premium ausgewählt ist. Klicken Sie auf Weiter.

5. Aktivieren Sie unter Dienste prüfen die gewünschten Dienste.

6. Klicken Sie auf Stufe aktualisieren.

Von der Abooption der Premium-Stufe zur „Pay as you go“-Option wechseln

Wenn Sie die Premium-Stufe von Security Command Center zuvor mit einer Abo abgeschlossen haben, können Sie Security Command Center in „Pay as you go“-Preise vor Ablauf des Abos. Durch diese Registrierung bleibt Ihre Organisation geschützt Funktionen der Security Command Center Premium-Stufe. Diese Preisänderung tritt nach Ablauf Ihres Abos in Kraft.

1. Gehen Sie in der Google Cloud Console zum Security Command Center.

   Zum Security Command Center

2. Wählen Sie aus der Liste Organisation die Organisation aus, Sie die Preisoption ändern möchten, und klicken Sie dann auf Auswählen.

3. Klicken Sie auf der Seite Übersicht von Security Command Center auf Einstellungen. Die Die Seite Einstellungen wird geöffnet und zeigt den Tab Dienste an.

4. Klicken Sie auf der Seite Einstellungen auf Ebenendetails. Die Seite Stufe wird geöffnet.

5. Klicken Sie auf Stufe verwalten.

6. Prüfen Sie auf der Seite Stufe ändern, ob Premium ausgewählt ist, und klicken Sie auf Weiter.

7. Überprüfen Sie auf der Seite Dienste überprüfen die aktivierten Dienste und klicken Sie auf Stufe aktualisieren.

Downgrade von der „Pay as you go“-Option der Premium-Stufe auf die Standard-Stufe

Führen Sie die folgenden Schritte aus, um von der „Pay as you go“-Zahlungsoption für Security Command Center zu wechseln Premium-Stufe auf die Standard-Stufe von Security Command Center. Wenn Sie ein Abo haben, wird bei Ablauf des Abos automatisch ein Downgrade auf die Standard-Stufe ausgeführt.

Wenn Sie ein Downgrade auf die Standard-Stufe von Security Command Center ausführen, verlieren Sie den Zugriff auf die Dienste und Funktionen der Premium-Stufe. Prüfen Sie, ob die Das Sicherheitsrisikoprofil wird nicht negativ beeinflusst, bevor Sie diese Änderung vornehmen.

Auch wenn die Standard-Stufe von Security Command Center kostenlos ist, kann es dennoch zu indirekten Gebühren. Weitere Informationen finden Sie unter Mögliche indirekte Belastungen im Zusammenhang mit Security Command Center.

Wenn Sie nach Abschluss eines Upgrades wieder auf die Premium-Stufe auf Organisationsebene upgraden sind Ihre Konfigurationseinstellungen für die Dienste der Premium-Stufe wiederhergestellt.

1. Gehen Sie in der Google Cloud Console zum Security Command Center.

   Zum Security Command Center

2. Wählen Sie aus der Liste Organisation die Organisation aus, Sie die Security Command Center-Stufe herunterstufen möchten, und klicken Sie auf Auswählen.

3. Klicken Sie auf der Seite Übersicht von Security Command Center auf Einstellungen. Die Die Seite Einstellungen wird geöffnet und zeigt den Tab Dienste an.

4. Klicken Sie auf der Seite Einstellungen auf Ebenendetails. Die Seite Stufe wird geöffnet.

5. Klicken Sie auf Stufe verwalten.

6. Prüfen Sie auf der Seite Stufe ändern, ob Standard ausgewählt ist, und klicken Sie auf Weiter.

7. Überprüfen Sie auf der Seite Dienste überprüfen die aktivierten Dienste und klicken Sie auf Stufe aktualisieren.

Von einer Aktivierung der Premium-Stufe auf Projektebene zu einer Aktivierung der Premium-Stufe auf Organisationsebene wechseln

So wechseln Sie von einer Aktivierung auf Projektebene zu einer Aktivierung auf Organisationsebene: können Sie dem Aktivierungsprozess folgen, der unter Security Command Center zum ersten Mal für eine Organisation aktivieren beschrieben wird.

Es gelten die folgenden Preisänderungen:

• Die Nutzung der Premium-Stufe von Security Command Center ist durch die auf Organisationsebene aktivieren.
• Die Preisbedingungen für die Aktivierung von Security Command Center auf Organisationsebene die effektiven Preisbedingungen werden. Gebühren werden den Projekten zugeordnet, in denen die Nutzung erfolgt.

Wenn Sie zu einer Aktivierung auf Organisationsebene wechseln, löschen Sie die Security Command Center-Dienstkonto, das bei der Aktivierung erstellt wurde Security Command Center auf Projektebene festlegen. Bestimmte Detektoren von Security Health Analytics funktioniert möglicherweise nicht mehr richtig, wenn Sie das Dienstkonto löschen.

Kosten mit der Premium-Stufe im Blick behalten

Zur Überwachung der mit der Premium-Stufe von Security Command Center verbundenen Kosten können Sie Cloud Billing Sie können Abrechnungsdaten nach BigQuery exportieren, oder ein Budget mit Ausgabenbenachrichtigungen erstellen. Weitere Informationen finden Sie unter Überwachen Sie die Kosten.

Nächste Schritte

• Security Command Center-Dienste konfigurieren
• Security Command Center in der Google Cloud Console verwenden
• Informationen zur Verwendung von Security Command Center-Ergebnissen
• Weitere Informationen zu Google Cloud-Sicherheitsquellen.