Diese Seite bietet einen Überblick über den Aktivierungsprozess, wenn Sie Security Command Center aktivieren. Das Ziel besteht darin, häufig gestellte Fragen zu beantworten:
- Was passiert, wenn Security Command Center aktiviert ist?
- Warum gibt es vor dem Start der ersten Scans eine Verzögerung?
- Was ist die erwartete Laufzeit für die ersten Scans und die laufenden Scans?
- Wie wirken sich Änderungen an Ressourcen und Einstellungen auf die Leistung aus?
Übersicht
Wenn Sie Security Command Center zum ersten Mal aktivieren, muss ein Aktivierungsprozess abgeschlossen sein bevor Security Command Center mit dem Scannen Ihrer Ressourcen beginnen kann. Dann werden die Scans die abgeschlossen sein müssen, bevor Sie einen vollständigen Satz von Erkenntnissen für Ihre Google Cloud-Umgebung
Wie lange der Aktivierungsprozess und die Scans dauern, Anzahl von Faktoren, einschließlich der Anzahl der Assets und Ressourcen, und ob Security Command Center im Organisationsebene oder auf Projektebene.
Bei Aktivierungen auf Organisationsebene muss Security Command Center des Aktivierungsprozesses für jedes Projekt im Unternehmen. Je nach Anzahl der Projekte in einem Unternehmen kann die Aktivierungsdauer zwischen Minuten und Stunden. Für Organisationen mit mehr als 100.000 Projekten viele Ressourcen in jedem Projekt und andere komplizierte Faktoren, Die Aktivierung und die ersten Scans können bis zu 24 Stunden oder länger dauern.
Bei Aktivierungen von Security Command Center auf Projektebene ist viel schneller, da der Prozess auf das das Security Command Center aktiviert ist.
Die Faktoren, die beim Starten von Scans und bei der Verarbeitung zu Latenz führen können Änderungen an den Einstellungen und die Laufzeit von Scans werden in den folgenden .
Topologie
Die folgende Abbildung zeigt eine allgemeine Abbildung des Einrichtungs- und Aktivierungsvorgangs.
Latenz bei der Einrichtung
Vor dem Start von Scans werden Ihre Ressourcen von Security Command Center erkannt und indexiert.
Zu den indexierten Diensten gehören App Engine, BigQuery, Cloud SQL, Cloud Storage, Compute Engine, Identity and Access Management und Google Kubernetes Engine.
Bei Aktivierungen von Security Command Center auf Projektebene sind die Erkennung und die Indexierung auf das einzelne Projekt beschränkt ist, in dem Security Command Center aktiviert ist.
Bei Aktivierungen auf Organisationsebene erkennt Security Command Center indexiert Ressourcen in Ihrer Organisation.
Während des Onboarding-Vorgangs werden zwei wichtige Schritte ausgeführt.
Asset-Scan
Security Command Center führt einen ersten Asset-Scan durch, um die Gesamtzahl, den Standort und den Zustand von Projekten, Ordnern, Dateien, Clustern, Identitäten, Zugriffsrichtlinien, registrierten Nutzern und anderen Ressourcen zu ermitteln. Dieser Vorgang ist normalerweise innerhalb von Minuten abgeschlossen.
API-Aktivierung
Wenn Ressourcen gefunden werden, aktiviert Security Command Center Elemente von Google Cloud, die für Security Health Analytics, Event Threat Detection, Container Threat Detection und Web Security Scanner benötigt werden. Bei einigen Erkennungsdiensten müssen bestimmte APIs für geschützte Projekte aktiviert sein, damit sie funktionieren.
Wenn Sie Security Command Center auf Projektebene aktivieren, erfolgt die API-Aktivierung dauert in der Regel weniger als eine Minute.
Bei Aktivierungen auf Organisationsebene durchläuft Security Command Center alle Projekte, die Sie zum Scannen ausgewählt haben, um die erforderlichen APIs zu aktivieren.
Die Anzahl der Projekte in einer Organisation legt weitgehend die Länge der Onboarding- und Aktivierungsprozesse fest. Da APIs für Projekte einzeln aktiviert werden müssen, ist die API-Aktivierung für gewöhnlich die zeitaufwendigste Aufgabe, insbesondere für Unternehmen mit mehr als 100.000 Projekten.
Die erforderliche Zeit zum projektübergreifende Aktivieren von Diensten skaliert linear. Das bedeutet, dass es in der Regel doppelt so lang dauert, Dienst- und Sicherheitseinstellungen in einer Organisation mit 30.000 Projekten zu aktivieren, als eines mit 15.000 Projekten.
Für eine Organisation mit 100.000 Projekten sind Onboarding und Aktivierung der Die Premium-Stufe sollte in weniger als fünf Stunden abgeschlossen sein. Ihre Zeit kann variieren abhängig von vielen Faktoren, einschließlich der Anzahl der Projekte oder Container die Sie verwenden, und die Anzahl der Security Command Center-Dienste, die Sie aktivieren.
Scanlatenz
Bei der Einrichtung von Security Command Center entscheiden Sie, welche integrierten Dienste aktiviert werden sollen. Anschließend wählen Sie die Google Cloud-Ressourcen aus, die Sie analysieren oder scannen möchten, um Bedrohungen und Sicherheitslücken zu ermitteln. Wenn APIs für Projekte aktiviert sind, starten ausgewählte Dienste ihre Scans. Die Dauer dieser Scans hängt auch von der Anzahl der Projekte in einer Organisation ab.
Ergebnisse von integrierten Diensten sind verfügbar, wenn die ersten Scans abgeschlossen wurden. Dabei kann es bei jedem Dienst zu Latenzen kommen, wie unten beschrieben.
- Container Threat Detection hat folgende Latenzen:
- Aktivierungslatenz von bis zu 3,5 Stunden für neu eingerichtete Projekte oder Unternehmen.
- Aktivierungslatenz von Minuten für neu erstellte Cluster.
- Erkennungslatenz weniger Minuten für Bedrohungen in Clustern, die aktiviert wurden.
Die Aktivierung von Event Threat Detection zur integrierten Bedrohungserkennung innerhalb von Sekunden Detektoren. Bei neuen oder aktualisierten benutzerdefinierten Detektoren kann dies bis zu 15 Minuten dauern damit die Änderungen wirksam werden. In der Praxis sind dafür Minuten.
Bei integrierten und benutzerdefinierten Detektoren Latenzen betragen in der Regel weniger als 15 Minuten ab dem Zeitpunkt, zu dem ein Log geschrieben wird. wenn ein Ergebnis in Security Command Center verfügbar ist.
Security Health Analytics-Scans starten ca. eine Stunde nach der Aktivierung des Dienstes. Die ersten Security Health Analytics-Scans können bis zu 12 Stunden dauern. Danach werden die meisten Erkennungen in Echtzeit gegen Änderungen der Asset-Konfiguration ausgeführt (Ausnahmen finden Sie unter Security Health Analytics-Erkennungslatenz).
VM Threat Detection hat eine Aktivierungslatenz von bis zu 48 Stunden für neue einarbeitende Organisationen. Bei Projekten beträgt die Aktivierungslatenz bis zu 15 Minuten.
Vulnerability Assessment for Amazon Web Services (AWS) beginnt mit dem Scannen der Ressourcen. in einem AWS-Konto etwa 15 Minuten nach der CloudFormation-Vorlage zuerst die im Konto bereitgestellt werden. Wenn eine Sicherheitslücke in der Software erkannt wird im AWS-Konto, wird das entsprechende Ergebnis in Security Command Center etwa 10 Minuten später.
Die Dauer eines Scans hängt von der Anzahl der EC2-Daten ab Instanzen. In der Regel dauert ein Scan einer einzelnen EC2-Instanz weniger als 5 Minuten.
Nach dem Aktivieren des Dienstes kann es bis zu 24 Stunden dauern, bis Web Security Scanner gestartet wird. Nach dem ersten Scan wird er dann jede Woche ausgeführt.
Security Command Center führt Fehlerdetektoren aus, die Konfigurationsfehler im Zusammenhang mit Security Command Center und seinen Diensten erkennen. Diese Fehlerdetektoren sind standardmäßig aktiviert und können nicht deaktiviert werden. Die Erkennungslatenzen variieren je nach Fehlerdetektor. Weitere Informationen finden Sie unter Security Command Center-Fehler.
Die IAM-Rollen für Security Command Center können in der Organisation, Ordner- oder Projektebene. Ihre Fähigkeit, Ergebnisse, Assets, und Sicherheitsquellen hängen von der Zugriffsebene ab. Weitere Informationen Weitere Informationen zu Security Command Center-Rollen finden Sie unter Zugriffssteuerung.
Vorläufige Ergebnisse
Möglicherweise werden beim ersten Mal Ergebnisse in der Google Cloud Console angezeigt Scans stattfinden, aber bevor der Onboardingprozess abgeschlossen ist.
Vorläufige Ergebnisse sind präzise und praktisch, aber sie sind nicht aussagekräftig. Die Verwendung dieser Ergebnisse für eine Complianceprüfung innerhalb der ersten 24 Stunden wird nicht empfohlen.
Nachfolgende Scans
Änderungen in Ihrer Organisation oder Ihrem Projekt, z. B. das Verschieben von Ressourcen oder – bei Aktivierungen auf Organisationsebene – das Hinzufügen neuer Ordner und Projekte wirken sich normalerweise nicht signifikant auf die Erkennungszeit von Ressourcen aus oder die Laufzeit von Scans. Einige Scans gehen jedoch nach festgelegten Zeitplänen aus, die festlegen, wie schnell die Security Command Center Änderungen erkennt.
- Event Threat Detection und Container Threat Detection: Diese Dienste werden in Echtzeit ausgeführt, wenn sie aktiviert sind, und erkennen sofort neue oder geänderte Ressourcen wie Cluster, Buckets oder Logs in aktivierten Projekten.
- Security Health Analytics: Security Health Analytics wird bei Aktivierung in Echtzeit ausgeführt und erkennt neue oder geänderte Ressourcen innerhalb von Minuten, mit Ausnahme der unten aufgeführten Erkennungen.
- VM Threat Detection: Beim Scannen des Arbeitsspeichers scannt die VM-Bedrohungserkennung jede VM-Instanz.
direkt nach der
Instanz erstellt wird. Darüber hinaus scannt VM Threat Detection alle VM-Instanzen alle 30 Minuten.
- Für die Erkennung von Kryptomining generiert VM Threat Detection eine einem Prozess, einer VM und einem Tag. Jedes Ergebnis enthält nur die mit dem der durch das Ergebnis identifiziert wird. Wenn VM Threat Detection Bedrohungen findet, sie jedoch keinem Prozess zuordnen kann, fasst VM Threat Detection für jede VM alle nicht zugehörigen Bedrohungen in einem einzigen Ergebnis zusammen, das jeweils einmal innerhalb eines Zeitraums von 24 Stunden ausgeführt wird. Bei Bedrohungen, die länger als 24 Stunden andauern, generiert die VM Threat Detection alle 24 Stunden neue Ergebnisse.
- Für die Rootkit-Erkennung im Kernelmodus, die sich in der Vorabversion befindet, generiert VM Threat Detection ein pro Kategorie, pro VM und alle drei Tage ermittelt.
Beim Scannen nichtflüchtiger Speicher, bei denen bekannte Malware erkannt wird, wird VM Threat Detection scannt jede VM-Instanz mindestens einmal täglich.
Die Sicherheitslückenbewertung für AWS führt dreimal täglich Scans aus.
Die Dauer eines Scans hängt von der Anzahl der EC2-Daten ab Instanzen. In der Regel dauert ein Scan einer einzelnen EC2-Instanz weniger als 5 Minuten.
Wenn eine Sicherheitslücke in der Software erkannt wird in einem AWS-Konto ist das entsprechende Ergebnis in Security Command Center etwa 10 Minuten später.
Web Security Scanner: Web Security Scanner wird wöchentlich am selben Tag wie der erste Scanvorgang ausgeführt. Da Web Security Scanner wöchentlich ausgeführt wird, in Echtzeit zu ändern. Wenn Sie eine Ressource verschieben oder eine Anwendung ändern, wird die Änderung möglicherweise erst nach einer Woche erkannt. Sie können On-Demand-Scans ausführen, um neue oder geänderte Ressourcen zwischen geplanten Scans zu prüfen.
Security Command Center-Fehlerdetektoren werden regelmäßig im Batchmodus ausgeführt. Die Häufigkeit des Batchscans hängt vom Fehlerdetektor ab. Weitere Informationen finden Sie unter Security Command Center-Fehler.
Security Health Analytics-Erkennungslatenz
Erkennungen von Security Health Analytics werden regelmäßig im Batchmodus ausgeführt, nachdem der Dienst aktiviert wurde sowie wenn sich die Konfiguration eines zugehörigen Assets ändert. Sobald Security Health Analytics aktiviert ist, führen alle relevanten Änderungen an der Ressourcenkonfiguration zu aktualisierten Fehlkonfigurationsergebnissen. In einigen Fällen kann die Aktualisierung je nach Asset-Typ und Änderung einige Minuten dauern.
Einige Detektoren von Security Health Analytics unterstützen den unmittelbaren Scanmodus nicht, wenn beispielsweise eine Erkennung außerhalb der Konfiguration einer Ressource ausgeführt wird. Diese in der folgenden Tabelle aufgeführten Detektoren werden regelmäßig ausgeführt und können Fehlkonfigurationen innerhalb von 12 Stunden ermitteln. Weitere Informationen zu Detektoren von Security Health Analytics finden Sie unter Sicherheitslücken und Ergebnisse.
| Erkennungen von Security Health Analytics, die den Echtzeitscan-Modus nicht unterstützen |
|---|
| COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
| MFA_NOT_ENFORCED (zuvor als 2SV_NOT_ENFORCED bezeichnet) |
| OS_LOGIN_DISABLED |
| SQL_NO_ROOT_PASSWORD |
| SQL_WEAK_ROOT_PASSWORD |
Angriffspfadsimulationen
Simulationen des Angriffspfads werden alle sechs Stunden ausgeführt. Als Ihr Google Cloud-Unternehmen werden immer größer oder komplexer, zwischen Intervallen zunehmen.
Wenn Sie Security Command Center zum ersten Mal aktivieren, werden die Angriffspfadsimulationen einen Standardsatz hochwertiger Ressourcen verwenden, der alle unterstützten Ressourcentypen in Ihrer Organisation.
Wenn Sie damit beginnen, Ihren eigenen Satz hochwertiger Ressourcen zu definieren, indem Sie einen Konfiguration des Ressourcenwerts wird möglicherweise die Zeit zwischen der Simulation sinken die Intervalle, wenn die Anzahl der Ressourceninstanzen in Ihrem Ressourcensatz deutlich kleiner ist als der Standardsatz.