Standard- oder Premium-Stufe von Security Command Center für eine Organisation aktivieren

Auf dieser Seite erfahren Sie, wie Sie die Standard- oder Premium-Stufe von Security Command Center für eine Organisation aktivieren. Wenn Security Command Center bereits für Ihre Organisation eingerichtet ist, lesen Sie den Leitfaden zur Verwendung von Security Command Center.

Security Command Center bietet drei Dienststufen: Standard, Premium und Enterprise. Die ausgewählte Stufe bestimmt die verfügbaren Features und die Kosten für die Verwendung von Security Command Center. Informationen zum Aktivieren der Enterprise-Stufe finden Sie unter Security Command Center Enterprise-Stufe aktivieren.

Zum Aktivieren der Premium-Stufe von Security Command Center auf Organisationsebene wählen Sie in der Google Cloud Console eine Self-Service-Preisoption auf Basis der Nutzung aus.

Sie können die Datenstandortkontrollen aktivieren, wenn Sie Security Command Center zum ersten Mal aktivieren. Nach der Aktivierung können Sie die Datenstandortkontrollen weder aktivieren noch deaktivieren. Weitere Informationen finden Sie unter Unterstützung für Datenstandort.

Ausführliche Informationen zu den integrierten Security Command Center-Diensten, die mit den einzelnen Stufen verfügbar sind, finden Sie unter Security Command Center-Stufen.

Informationen zu den mit der Verwendung von Security Command Center verbundenen Kosten finden Sie auf der pricing.

Informationen zum Aktivieren von Security Command Center nur für ein Projekt finden Sie unter Security Command Center für ein Projekt aktivieren.

Vorbereitung

Bevor Sie Security Command Center aktivieren, benötigen Sie eine Organisation, die erforderlichen IAM-Berechtigungen (Identity and Access Management) und die entsprechenden Organisationsrichtlinien.

Organisation erstellen

Security Command Center erfordert eine Organisationsressource, die mit einer Domain verknüpft ist. Wenn Sie noch keine Organisation erstellt haben, lesen Sie Organisationen erstellen und verwalten.

Berechtigungen einrichten

Zum Einrichten von Security Command Center benötigen Sie die folgenden IAM-Rollen:

• Organisationsadministrator roles/resourcemanager.organizationAdmin
• Sicherheitscenter-Administrator roles/securitycenter.admin
• Sicherheitsadministrator roles/iam.securityAdmin
• Dienstkonten roles/iam.serviceAccountCreator erstellen

Hier erhalten Sie weitere Informationen zu den Security Command Center-Rollen.

Organisationsrichtlinien prüfen

Wenn die Organisationsrichtlinien so konfiguriert sind, dass die Identitäten nach Domain eingeschränkt werden, gilt Folgendes:

• Sie müssen in der Google Cloud Console mit einem Konto angemeldet sein, das sich in einer zulässigen Domain befindet.
• Ihre Dienstkonten müssen sich in einer zulässigen Domain befinden oder Mitglieder einer Gruppe innerhalb Ihrer Domain sein. Mit dieser Anforderung können Sie Diensten, die das Dienstkonto @*.gserviceaccount.com verwenden, Zugriff auf Ressourcen gewähren, wenn die domaineingeschränkte Freigabe aktiviert ist.

Wenn Ihre Organisationsrichtlinien auf die Einschränkung der Ressourcennutzung festgelegt sind, prüfen Sie, ob securitycenter.googleapis.com zulässig ist.

Aktivierungsszenarien für eine Organisation

Auf dieser Seite werden die folgenden Aktivierungsszenarien behandelt:

• Aktivieren Sie in einer Organisation, in der Security Command Center noch nie aktiviert wurde, für eine Organisation die Premium- oder Standardstufe von Security Command Center.
• Aktivieren Sie in einer Organisation, die die Standard-Stufe verwendet, die Premium-Stufe von Security Command Center für die Organisation.
• Wechseln Sie in einer Organisation, die ein ablaufendes Abo der Premium-Stufe verwendet, zur nutzungsbasierten Preisoption.

Security Command Center zum ersten Mal für eine Organisation aktivieren

Wenn Sie Security Command Center zum ersten Mal für eine Organisation aktivieren, wählen Sie in der Google Cloud Console mithilfe eines geführten Aktivierungsprozesses eine Dienststufe sowie die Datenstandortkontrollen und die benötigten Erkennungsdienste aus. Anschließend wählen Sie die Ressourcen oder Assets aus, die Sie überwachen möchten, und gewähren den erforderlichen Dienstkonten Berechtigungen.

Führen Sie die folgenden Schritte aus, um die Premium-Stufe von Security Command Center auf Organisationsebene zu aktivieren.

1. Gehen Sie in der Google Cloud Console zum Security Command Center.

   Zum Security Command Center

2. Wählen Sie in der Liste Organisation die Organisation aus, für die Sie Security Command Center aktivieren möchten, und klicken Sie dann auf Auswählen.

   Das Fenster Security Command Center abrufen wird geöffnet.

3. Wählen Sie unter Stufe auswählen eine Stufe aus.

4. Klicken Sie auf Next (Weiter). Die Seite Dienste auswählen wird geöffnet.

5. Optional: Aktivieren Sie die Security Command Center-Steuerelemente für den Datenstandort, indem Sie die folgenden Optionen auswählen:

   1. Wählen Sie unter Datenstandort die Option Datenstandort aktivieren aus.

      Wenn ein Security Command Center-Dienst den Datenstandort aktiviert und ein Sicherheitsproblem in einer Ressource erkennt, die sich an einem von Security Command Center unterstützten Datenspeicherort befindet, speichert Security Command Center den resultierenden Ergebniseintrag automatisch an dem Security Command Center-Standort, an dem sich die betroffene Ressource befindet.

   2. Wählen Sie im Feld Standardspeicherort auswählen den Standardspeicherort von Security Command Center aus, an dem Ergebnisse für Ressourcen gespeichert werden sollen, die sich entweder an einem von Security Command Center unterstützten Standort befinden oder in den Metadaten keinen Speicherort angeben.

6. Aktivieren Sie im Abschnitt Dienste die integrierten Dienste, die Sie benötigen. Jeder aktivierte Dienst scannt alle unterstützten Ressourcen und meldet Ergebnisse für Ihre gesamte Organisation. Klicken Sie zum Deaktivieren eines Dienstes auf die Liste neben dem Dienstnamen und wählen Sie Deaktivieren aus.

   Wenn die Standardstufe aktiviert ist, können Sie die Aktivierung der Premium-Dienste konfigurieren, bevor Sie die Premium-Stufe aktivieren. Die Konfiguration gilt erst, wenn Sie die Premium-Stufe für die Organisation später aktivieren.

   Hier sind Hinweise für bestimmte Dienste:

   • Damit Container Threat Detection ordnungsgemäß funktioniert, müssen Sie dafür sorgen, dass sich Ihre Cluster auf einer unterstützten Version von Google Kubernetes Engine (GKE) befinden und Ihre GKE-Cluster ordnungsgemäß konfiguriert sind. Weitere Informationen finden Sie unter Container Threat Detection verwenden.

   • Event Threat Detection basiert auf Logs, die von Google Cloud generiert werden. Wenn Sie Event Threat Detection verwenden möchten, aktivieren Sie Logs für Ihre Organisation, Ihre Ordner und Ihre Projekte.

   • Die Ergebnisse der Anomalieerkennung sind automatisch in Security Command Center verfügbar. Wenn Sie die Anomalieerkennung deaktivieren möchten, führen Sie die Schritte unter Security Command Center konfigurieren aus.

   • Obwohl der Dienst für den Sicherheitsstatus nicht aufgeführt ist, wird er automatisch aktiviert, wenn Sie die Premium-Stufe auswählen.

7. Weisen Sie den Dienst-Agents unter Rollen gewähren die erforderlichen IAM-Rollen für Security Command Center zu.

   Indem Sie den Dienst-Agents die Rollen zuweisen, erteilen Sie die Berechtigungen, die Security Command Center und seine Erkennungsdienste zum Ausführen ihrer Funktionen benötigen.

   Die Namen der Dienstkonten haben die folgenden Formate:

   • service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com.

     Sie weisen diesem Dienstkonto die IAM-Rolle securitycenter.serviceAgent zu.

   • service-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.com.

     Sie weisen diesem Dienstkonto die IAM-Rolle roles/containerthreatdetection.serviceAgent zu.

   Anstelle von ORGANIZATION_ID enthält das Dienstkonto die numerische Kennzeichnung Ihrer Organisation.

   Klicken Sie auf Rollen gewähren, um die Rollen hinzuzufügen.

   Alternativ können Sie die Rollen manuell zuweisen. Gehen Sie dazu so vor:

   1. Maximieren Sie den Abschnitt Rollen manuell zuweisen und kopieren Sie den gcloud CLI-Befehl.
   2. Klicken Sie in der Symbolleiste der Google Cloud Console auf Cloud Shell aktivieren.
   3. Fügen Sie im geöffneten Terminalfenster die zuvor kopierten Befehle der gcloud-CLI ein und drücken Sie die Eingabetaste.

   Informationen zu den mit diesen Rollen verknüpften Berechtigungen finden Sie unter Zugriffssteuerung. Führen Sie einen der folgenden Schritte aus:

8. Überprüfen Sie die Informationen unter Einrichtung abschließen und klicken Sie auf Fertigstellen.

   Nach Abschluss der Einrichtung startet Security Command Center einen ersten Asset-Scan. Anschließend können Sie mit der Google Cloud Console die Sicherheits- und Datenrisiken von Google Cloud in Ihrem gesamten Projekt prüfen und beheben.

   Bei einigen Produkten dauert es möglicherweise länger, bis Scans gestartet werden. Weitere Informationen zum Aktivierungsprozess finden Sie unter Security Command Center-Latenz – Übersicht.

9. Lesen Sie in der Dokumentation der einzelnen Dienste nach, ob Sie den Dienst weiter testen oder optimieren können.

   Event Threat Detection stützt sich beispielsweise auf Logs, die von Google Cloud generiert werden. Einige Logs sind immer aktiviert, sodass Event Threat Detection sie scannen kann, sobald sie aktiviert ist. Andere Logs, wie die meisten Audit-Logs zum Datenzugriff, müssen aktiviert werden, bevor sie von Event Threat Detection gescannt werden können. Weitere Informationen finden Sie unter Logtypen und Aktivierungsanforderungen.

   Weitere Informationen zum Testen und Verwenden der einzelnen integrierten Dienste finden Sie auf den folgenden Seiten:

   • Container Threat Detection verwenden
   • Event Threat Detection verwenden
   • Rapid Vulnerability Detection verwenden
   • Security Health Analytics verwenden
   • Virtual Machine Threat Detection verwenden
   • Web Security Scanner verwenden
   • Den Dienst für den Sicherheitsstatus verwenden

Upgrade von der Standard- auf die Premium-Stufe

Führen Sie die folgenden Schritte aus, um ein Upgrade von der Standard-Stufe von Security Command Center auf die Premium-Stufe von Security Command Center durchzuführen. Wenn Sie ein Abo nutzen möchten, wenden Sie sich zuerst an den Google Cloud-Vertrieb.

Führen Sie diese Aufgabe aus, wenn Ihre Organisation die zusätzlichen Funktionen zur Bedrohungserkennung und zum Sicherheitsstatus benötigt, die die Premium-Stufe von Security Command Center bietet.

1. Gehen Sie in der Google Cloud Console zum Security Command Center.

   Zum Security Command Center

2. Wählen Sie in der Liste Organisation die Organisation aus, für die Sie ein Upgrade auf die Premium-Stufe von Security Command Center ausführen möchten, und klicken Sie dann auf Auswählen.

3. Klicken Sie auf der Seite „Security Command Center“ auf Premium-Mitglied werden.

4. Prüfen Sie unter Stufe ändern, ob Premium ausgewählt ist. Klicken Sie auf Weiter.

5. Aktivieren Sie unter Dienste prüfen die benötigten Dienste.

6. Klicken Sie auf Stufe aktualisieren.

Von einer Abooption der Premium-Stufe zur nutzungsbasierten Option wechseln

Wenn Sie die Premium-Stufe von Security Command Center zuvor mit einem Abo aktiviert haben, können Sie Security Command Center vor Ablauf des Abos für nutzungsbasierte Preise anmelden. Durch diese Registrierung wird sichergestellt, dass Ihre Organisation nicht die Sicherheitsfunktionen der Premium-Stufe von Security Command Center verliert. Diese Preisänderung tritt nach Ablauf Ihres Abos in Kraft.

1. Gehen Sie in der Google Cloud Console zum Security Command Center.

   Zum Security Command Center

2. Wählen Sie in der Liste Organisation die Organisation aus, für die Sie die Preisoption ändern möchten, und klicken Sie dann auf Auswählen.

3. Klicken Sie auf der Seite Übersicht von Security Command Center auf Einstellungen. Die Seite Einstellungen wird geöffnet und der Tab Dienste wird angezeigt.

4. Klicken Sie auf der Seite Settings (Einstellungen) auf Tier detail. Die Seite Tier wird geöffnet.

5. Klicken Sie auf Stufe verwalten.

6. Prüfen Sie auf der Seite Stufe ändern, ob Premium ausgewählt ist, und klicken Sie auf Weiter.

7. Prüfen Sie auf der Seite Dienste prüfen die aktivierten Dienste und klicken Sie auf Stufe aktualisieren.

Downgrade von der nutzungsbasierten Option der Premium-Stufe auf die Standard-Stufe

Führen Sie die folgenden Schritte aus, um von der nutzungsbasierten Zahlungsoption für die Security Command Center-Premium-Stufe zur Standard-Stufe von Security Command Center zu wechseln. Wenn Sie ein Abo haben, wird standardmäßig ein Downgrade auf die Standard-Stufe ausgeführt, wenn das Abo abläuft.

Wenn Sie ein Downgrade auf die Standard-Stufe von Security Command Center ausführen, verlieren Sie den Zugriff auf die Dienste und Funktionen der Premium-Stufe. Achten Sie darauf, dass das Sicherheitsrisikoprofil Ihrer Organisation nicht negativ beeinflusst wird, bevor Sie diese Änderung vornehmen.

Auch wenn die Standard-Stufe von Security Command Center kostenlos ist, können indirekte Kosten anfallen. Weitere Informationen finden Sie unter Mögliche indirekte Gebühren im Zusammenhang mit Security Command Center.

Wenn Sie nach Abschluss dieser Aufgabe wieder auf die Premium-Stufe auf Organisationsebene upgraden, werden Ihre Konfigurationseinstellungen für die Dienste der Premium-Stufe wiederhergestellt.

1. Gehen Sie in der Google Cloud Console zum Security Command Center.

   Zum Security Command Center

2. Wählen Sie in der Liste Organisation die Organisation aus, für die Sie ein Downgrade der Security Command Center-Stufe ausführen möchten, und klicken Sie dann auf Auswählen.

3. Klicken Sie auf der Seite Übersicht von Security Command Center auf Einstellungen. Die Seite Einstellungen wird geöffnet und der Tab Dienste wird angezeigt.

4. Klicken Sie auf der Seite Settings (Einstellungen) auf Tier detail. Die Seite Tier wird geöffnet.

5. Klicken Sie auf Stufe verwalten.

6. Prüfen Sie auf der Seite Stufe ändern, ob Standard ausgewählt ist, und klicken Sie auf Weiter.

7. Prüfen Sie auf der Seite Dienste prüfen die aktivierten Dienste und klicken Sie auf Stufe aktualisieren.

Von einer Aktivierung der Premium-Stufe auf Projektebene zu einer Aktivierung der Premium-Stufe auf Organisationsebene wechseln

Wenn Sie von einer Aktivierung auf Projektebene zu einer Aktivierung auf Organisationsebene wechseln möchten, können Sie dem Aktivierungsprozess folgen, der unter Security Command Center zum ersten Mal für eine Organisation aktivieren beschrieben wird.

Es gelten die folgenden Preisänderungen:

• Die Verwendung der Premium-Stufe von Security Command Center wird durch die Aktivierung auf Organisationsebene abgedeckt.
• Die Aktivierungsbedingungen von Security Command Center auf Organisationsebene sind die gültigen Preisbedingungen. Die Gebühren werden den Projekten zugeordnet, in denen sie genutzt werden.

Wenn Sie zu einer Aktivierung auf Organisationsebene wechseln, löschen Sie nicht das Security Command Center-Dienstkonto, das bei der Aktivierung von Security Command Center auf Projektebene erstellt wurde. Bestimmte Security Health Analytics-Detektoren funktionieren möglicherweise nicht richtig, wenn Sie das Dienstkonto löschen.

Kosten mit der Premium-Stufe im Blick behalten

Mit Cloud Billing können Sie die mit der Premium-Stufe von Security Command Center verbundenen Kosten überwachen. Sie können Abrechnungsdaten für eine detaillierte Analyse nach BigQuery exportieren oder ein Budget mit Ausgabenbenachrichtigungen erstellen. Weitere Informationen finden Sie unter Kosten überwachen.

Nächste Schritte

• Weitere Informationen zur Konfiguration des Security Command Center.
• Security Command Center in der Google Cloud Console verwenden
• Informationen zur Arbeit mit Security Command Center-Ergebnissen
• Weitere Informationen zu Google Cloud-Sicherheitsquellen.