Auf dieser Seite erhalten Sie einen Überblick über die Aktivierung des Security Command Centers. Das Ziel besteht darin, häufig gestellte Fragen zu beantworten:
- Was passiert, wenn Security Command Center aktiviert ist?
- Warum gibt es vor dem Start der ersten Scans eine Verzögerung?
- Was ist die erwartete Laufzeit für die ersten Scans und die laufenden Scans?
- Wie wirken sich Änderungen an Ressourcen und Einstellungen auf die Leistung aus?
Übersicht
Wenn Sie Security Command Center zum ersten Mal aktivieren, muss ein Aktivierungsprozess abgeschlossen werden, bevor Security Command Center mit dem Scannen Ihrer Ressourcen beginnen kann. Die Scans müssen abgeschlossen sein, bevor Sie alle Ergebnisse für Ihre Google Cloud-Umgebung sehen.
Wie lange der Aktivierungsprozess und die Scans dauern, berücksichtigt, darunter die Anzahl der Assets und Ressourcen und ob Security Command Center im Organisationsebene oder die Projektebene.
Bei Aktivierungen auf Organisationsebene müssen bestimmte Schritte des Aktivierungsprozesses für jedes Projekt in der Organisation in Security Command Center wiederholt werden. Je nach Anzahl der Projekte in einer Organisation kann die Aktivierung einige Minuten bis zu mehrere Stunden dauern. Für Organisationen mit mehr als 100.000 Projekten viele Ressourcen in jedem Projekt und andere komplizierte Faktoren, Die Aktivierung und die ersten Scans können bis zu 24 Stunden oder länger dauern.
Bei Aktivierungen von Security Command Center auf Projektebene ist viel schneller, da der Prozess auf das das Security Command Center aktiviert ist.
In den folgenden Abschnitten werden die Faktoren beschrieben, die zu Latenzen beim Starten von Scans, beim Verarbeiten von Änderungen an Einstellungen und bei der Ausführungszeit von Scans führen können.
Topologie
Die folgende Abbildung zeigt eine allgemeine Abbildung des Einrichtungs- und Aktivierungsvorgangs.
Latenz bei der Einrichtung
Vor dem Start von Scans werden Ihre Ressourcen von Security Command Center erkannt und indexiert.
Zu den indexierten Diensten gehören App Engine, BigQuery, Cloud SQL, Cloud Storage, Compute Engine, Identitäts- und Zugriffsverwaltung und Google Kubernetes Engine.
Bei einer Aktivierung von Security Command Center auf Projektebene sind die Erkennung und Indexierung auf das einzelne Projekt beschränkt, in dem Security Command Center aktiviert ist.
Bei einer Aktivierung auf Organisationsebene erkennt und indexiert Security Command Center Ressourcen in Ihrer gesamten Organisation.
Während des Onboarding-Vorgangs werden zwei wichtige Schritte ausgeführt.
Asset-Scan
Security Command Center führt einen ersten Asset-Scan durch, um die Gesamtzahl, den Standort und den Zustand von Projekten, Ordnern, Dateien, Clustern, Identitäten, Zugriffsrichtlinien, registrierten Nutzern und anderen Ressourcen zu ermitteln. Dieser Vorgang ist normalerweise innerhalb von Minuten abgeschlossen.
API-Aktivierung
Wenn Ressourcen gefunden werden, aktiviert Security Command Center Elemente von Google Cloud, die für Security Health Analytics, Event Threat Detection, Container Threat Detection und Web Security Scanner benötigt werden. Bei einigen Erkennungsdiensten müssen bestimmte APIs für geschützte Projekte aktiviert sein, damit sie funktionieren.
Wenn Sie Security Command Center auf Projektebene aktivieren, erfolgt die API-Aktivierung dauert in der Regel weniger als eine Minute.
Bei einer Aktivierung auf Organisationsebene durchläuft Security Command Center alle Projekte, die Sie zum Scannen auswählen, um die erforderlichen APIs zu aktivieren.
Die Anzahl der Projekte in einer Organisation legt weitgehend die Länge der Onboarding- und Aktivierungsprozesse fest. Da APIs für Projekte einzeln aktiviert werden müssen, ist die API-Aktivierung für gewöhnlich die zeitaufwendigste Aufgabe, insbesondere für Unternehmen mit mehr als 100.000 Projekten.
Die erforderliche Zeit zum projektübergreifende Aktivieren von Diensten skaliert linear. Das bedeutet, dass es in der Regel doppelt so lang dauert, Dienst- und Sicherheitseinstellungen in einer Organisation mit 30.000 Projekten zu aktivieren, als eines mit 15.000 Projekten.
Für eine Organisation mit 100.000 Projekten sind Onboarding und Aktivierung der Die Premium-Stufe sollte in weniger als fünf Stunden abgeschlossen sein. Ihre Zeit kann variieren abhängig von vielen Faktoren, einschließlich der Anzahl der Projekte oder Container die Sie verwenden, und die Anzahl der Security Command Center-Dienste, die Sie aktivieren.
Scanlatenz
Bei der Einrichtung von Security Command Center entscheiden Sie, welche integrierten Dienste aktiviert werden sollen. Anschließend wählen Sie die Google Cloud-Ressourcen aus, die Sie analysieren oder scannen möchten, um Bedrohungen und Sicherheitslücken zu ermitteln. Wenn APIs für Projekte aktiviert sind, starten ausgewählte Dienste ihre Scans. Die Dauer dieser Scans hängt auch von der Anzahl der Projekte in einer Organisation ab.
Ergebnisse von integrierten Diensten sind verfügbar, wenn die ersten Scans abgeschlossen wurden. Dabei kann es bei jedem Dienst zu Latenzen kommen, wie unten beschrieben.
- Container Threat Detection hat folgende Latenzen:
- Aktivierungslatenz von bis zu 3,5 Stunden für neu eingerichtete Projekte oder Unternehmen.
- Aktivierungslatenz von Minuten für neu erstellte Cluster.
- Erkennungslatenz weniger Minuten für Bedrohungen in Clustern, die aktiviert wurden.
Die Aktivierung von Event Threat Detection zur integrierten Bedrohungserkennung innerhalb von Sekunden Detektoren. Bei neuen oder aktualisierten benutzerdefinierten Detektoren kann es bis zu 15 Minuten dauern damit die Änderungen wirksam werden. In der Praxis sind dafür Minuten.
Bei integrierten und benutzerdefinierten Detektoren betragen die Erkennungslatenzen in der Regel weniger als 15 Minuten ab dem Zeitpunkt, zu dem ein Log geschrieben wird, bis zum Zeitpunkt, zu dem ein Ergebnis in Security Command Center verfügbar ist.
Security Health Analytics-Scans starten ca. eine Stunde nach der Aktivierung des Dienstes. Die ersten Security Health Analytics-Scans können bis zu 12 Stunden dauern. Danach werden die meisten Erkennungen in Echtzeit gegen Änderungen der Asset-Konfiguration ausgeführt (Ausnahmen finden Sie unter Security Health Analytics-Erkennungslatenz).
VM Threat Detection hat eine Aktivierungslatenz von bis zu 48 Stunden bei neu eingerichteten Organisationen. Bei Projekten beträgt die Aktivierungslatenz bis zu 15 Minuten.
Die Sicherheitslückenbewertung für Amazon Web Services (AWS) beginnt etwa 15 Minuten nach der Erstbereitstellung der erforderlichen CloudFormation-Vorlage im Konto mit dem Scannen der Ressourcen. Wenn im AWS-Konto eine Softwarelücke erkannt wird, ist das entsprechende Ergebnis etwa 10 Minuten später im Security Command Center verfügbar.
Wie lange ein Scan dauert, hängt von der Anzahl der EC2-Instanzen ab. In der Regel dauert ein Scan einer einzelnen EC2-Instanz weniger als 5 Minuten.
Nach dem Aktivieren des Dienstes kann es bis zu 24 Stunden dauern, bis Web Security Scanner gestartet wird. Nach dem ersten Scan wird er dann jede Woche ausgeführt.
Security Command Center führt Fehlerdetektoren aus, die Konfigurationsfehler im Zusammenhang mit Security Command Center und seinen Diensten erkennen. Diese Fehlerdetektoren sind standardmäßig aktiviert und können nicht deaktiviert werden. Die Erkennungslatenzen variieren je nach Fehlerdetektor. Weitere Informationen finden Sie unter Security Command Center-Fehler.
IAM-Rollen für Security Command Center können auf Organisations-, Ordner- oder Projektebene gewährt werden. Ob Sie Ergebnisse, Assets und Sicherheitsquellen ansehen, bearbeiten, erstellen oder aktualisieren können, hängt davon ab, auf welcher Ebene Sie Zugriff erhalten. Weitere Informationen über Security Command Center-Rollen finden Sie unter Zugriffssteuerung.
Vorläufige Ergebnisse
Möglicherweise werden beim ersten Mal Ergebnisse in der Google Cloud Console angezeigt Scans stattfinden, aber bevor der Onboardingprozess abgeschlossen ist.
Vorläufige Ergebnisse sind präzise und praktisch, aber sie sind nicht aussagekräftig. Die Verwendung dieser Ergebnisse für eine Complianceprüfung innerhalb der ersten 24 Stunden wird nicht empfohlen.
Nachfolgende Scans
Änderungen an Ihrer Organisation oder Ihrem Projekt, z. B. das Verschieben von Ressourcen oder – bei Aktivierungen auf Organisationsebene – das Hinzufügen neuer Ordner und Projekte wirken sich normalerweise nicht signifikant auf die Erkennungszeit von Ressourcen aus oder die Laufzeit von Scans. Einige Scans gehen jedoch nach festgelegten Zeitplänen aus, die festlegen, wie schnell die Security Command Center Änderungen erkennt.
- Event Threat Detection und Container Threat Detection: Diese Dienste werden in Echtzeit ausgeführt, wenn sie aktiviert sind, und erkennen sofort neue oder geänderte Ressourcen wie Cluster, Buckets oder Logs in aktivierten Projekten.
- Security Health Analytics: Security Health Analytics wird bei Aktivierung in Echtzeit ausgeführt und erkennt neue oder geänderte Ressourcen innerhalb von Minuten, mit Ausnahme der unten aufgeführten Erkennungen.
- VM Threat Detection: VM Threat Detection scannt jede VM-Instanz unmittelbar nach der Erstellung der Instanz. Darüber hinaus scannt VM Threat Detection alle VM-Instanzen alle 30 Minuten.
- Bei der Erkennung von Kryptowährung-Mining generiert VM Threat Detection ein Ergebnis pro Prozess, VM und Tag. Jedes Ergebnis enthält nur die Bedrohungen, die mit dem Prozess verbunden sind, der durch das Ergebnis identifiziert wird. Wenn VM Threat Detection Bedrohungen findet, sie aber nicht zuordnen kann eines beliebigen Prozesses, dann gruppiert VM Threat Detection für jede VM alle nicht zugehörigen Bedrohungen in jedes 24-Stunden-Intervall ein einzelnes Ergebnis. Bei anhaltenden Bedrohungen länger als 24 Stunden generiert, generiert VM Threat Detection alle 24 Stunden neue Ergebnisse.
- Für die Rootkit-Erkennung im Kernelmodus, die sich in der Vorabversion befindet, generiert VM Threat Detection ein pro Kategorie, pro VM und alle drei Tage ermittelt.
Beim Scannen von nichtflüchtigen Laufwerken, bei dem bekannte Malware erkannt wird, scannt VM Threat Detection jede VM-Instanz mindestens einmal täglich.
Die Sicherheitslückenbewertung für AWS führt dreimal täglich Scans aus.
Wie lange ein Scan dauert, hängt von der Anzahl der EC2-Instanzen ab. Normalerweise dauert der Scan einer einzelnen EC2-Instanz weniger als 5 Minuten.
Wenn eine Sicherheitslücke in der Software erkannt wird in einem AWS-Konto ist das entsprechende Ergebnis in Security Command Center etwa 10 Minuten später.
Web Security Scanner: Web Security Scanner wird wöchentlich am selben Tag wie der erste Scanvorgang ausgeführt. Da Web Security Scanner wöchentlich ausgeführt wird, werden Änderungen nicht in Echtzeit erkannt. Wenn Sie eine Ressource verschieben oder eine Anwendung ändern, wird der kann es bis zu einer Woche dauern, bis Änderungen erkannt werden. Sie können On-Demand-Scans ausführen, um neue oder geänderte Ressourcen zwischen geplanten Scans zu prüfen.
Security Command Center-Fehlerdetektoren werden regelmäßig im Batchmodus ausgeführt. Die Häufigkeit des Batchscans hängt vom Fehlerdetektor ab. Weitere Informationen finden Sie unter Security Command Center-Fehler.
Security Health Analytics-Erkennungslatenz
Erkennungen von Security Health Analytics werden regelmäßig im Batchmodus ausgeführt, nachdem der Dienst aktiviert wurde sowie wenn sich die Konfiguration eines zugehörigen Assets ändert. Sobald Security Health Analytics aktiviert ist, führen alle relevanten Änderungen an der Ressourcenkonfiguration zu aktualisierten Fehlkonfigurationsergebnissen. In einigen Fällen kann die Aktualisierung je nach Asset-Typ und Änderung einige Minuten dauern.
Einige Detektoren von Security Health Analytics unterstützen den unmittelbaren Scanmodus nicht, wenn beispielsweise eine Erkennung außerhalb der Konfiguration einer Ressource ausgeführt wird. Diese in der folgenden Tabelle aufgeführten Detektoren werden regelmäßig ausgeführt und können Fehlkonfigurationen innerhalb von 12 Stunden ermitteln. Weitere Informationen zu Detektoren von Security Health Analytics finden Sie unter Sicherheitslücken und Ergebnisse.
Erkennungen von Security Health Analytics, die den Echtzeitscan-Modus nicht unterstützen |
---|
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
MFA_NOT_ENFORCED (zuvor als 2SV_NOT_ENFORCED bezeichnet) |
OS_LOGIN_DISABLED |
SQL_NO_ROOT_PASSWORD |
SQL_WEAK_ROOT_PASSWORD |
Angriffspfadsimulationen
Simulationen des Angriffspfads werden alle sechs Stunden ausgeführt. Als Ihr Google Cloud-Unternehmen werden immer größer oder komplexer, zwischen Intervallen zunehmen.
Wenn Sie Security Command Center zum ersten Mal aktivieren, wird für die Angriffspfadsimulationen ein standardmäßiger Satz hochwertiger Ressourcen verwendet, der alle unterstützten Ressourcentypen in Ihrer Organisation enthält.
Wenn Sie einen eigenen Satz hochwertiger Ressourcen definieren, indem Sie eine Konfigurationseinstellung für den Ressourcenwert erstellen, kann sich die Zeit zwischen den Simulationsintervallen verringern, wenn die Anzahl der Ressourceninstanzen in Ihrem Satz hochwertiger Ressourcen deutlich unter dem Standardsatz liegt.
Nächste Schritte
- Informationen zur Verwendung von Security Command Center in der Google Cloud Console
- Weitere Informationen zu Erkennungsdiensten