Security Command Center – Übersicht

Diese Seite bietet einen Überblick über Security Command Center, eine Risikomanagementlösung, die mit der Enterprise-Stufe Cloud-Sicherheit und Unternehmenssicherheitsvorgänge kombiniert und Einblicke aus dem Fachwissen von Mandiant und künstlicher Intelligenz von Gemini bietet.

Mit Security Command Center können SOC-Analysten (Security Operations Center), Analysten für Schwachstellen und Sicherheitsstatus, Compliance-Manager und andere Sicherheitsexperten Sicherheitsprobleme in mehreren Cloud-Umgebungen schnell bewerten, untersuchen und darauf reagieren.

Jede Cloud-Bereitstellung birgt besondere Risiken. Mit Security Command Center können Sie die Angriffsfläche Ihrer Projekte oder Ihre Organisation in Google Cloud sowie die Angriffsfläche Ihrer anderen Cloud-Umgebungen ermitteln und bewerten. Security Command Center ist zum Schutz Ihrer Ressourcen richtig konfiguriert und kann Ihnen dabei helfen, die in Ihren Cloud-Umgebungen erkannten Sicherheitslücken und Bedrohungen auszuwerten und deren Behebung zu priorisieren.

Security Command Center kann in viele Google Cloud-Dienste eingebunden werden, um Sicherheitsprobleme in mehreren Cloud-Umgebungen zu erkennen. Diese Dienste erkennen Probleme auf vielfältige Weise, z. B. Scannen von Ressourcenmetadaten, Scannen von Cloud-Logs, Scannen von Containern und von virtuellen Maschinen.

Einige dieser integrierten Dienste, wie Google Security Operations und Mandiant, bieten auch Funktionen und Informationen, die für die Priorisierung und Verwaltung Ihrer Untersuchungen und die Reaktion auf erkannte Probleme von entscheidender Bedeutung sind.

Bedrohungen verwalten

In der Premium- und der Enterprise-Stufe verwendet Security Command Center sowohl integrierte als auch integrierte Google Cloud-Dienste zur Erkennung von Bedrohungen. Diese Dienste scannen Ihre Google Cloud-Logs, Container und virtuellen Maschinen nach Bedrohungsindikatoren.

Wenn diese Dienste, z. B. Event Threat Detection oder Container Threat Detection, einen Bedrohungsindikator erkennen, wird ein Ergebnis ausgegeben. Ein Ergebnis ist ein Bericht oder eine Aufzeichnung einer einzelnen Bedrohung oder eines anderen Problems, das ein Dienst in Ihrer Cloud-Umgebung festgestellt hat. Die Dienste, die Ergebnisse ausgeben, werden auch als Finding-Quellen bezeichnet.

In Security Command Center Enterprise lösen Ergebnisse Benachrichtigungen aus, die je nach Schweregrad des Ergebnisses einen Fall generieren können. Du kannst einen Fall mit einem Ticketing-System verwenden, um die Inhaber damit zu beauftragen, eine oder mehrere Benachrichtigungen des Falls zu untersuchen und darauf zu reagieren. Das Generieren von Benachrichtigungen und Supportanfragen in Security Command Center wird durch Google SecOps ermöglicht.

Security Command Center Enterprise kann auch Bedrohungen in Ihren Bereitstellungen auf anderen Cloud-Plattformen erkennen. Um Bedrohungen in Bereitstellungen auf anderen Cloud-Plattformen zu erkennen, nimmt Security Command Center die Logs von der anderen Cloud-Plattform auf, nachdem Sie eine Verbindung hergestellt haben. Die Aufnahme von Logs aus anderen Cloud-Plattformen wird durch Google SecOps unterstützt.

Weitere Informationen finden Sie auf den folgenden Seiten:

Funktionen zur Bedrohungserkennung und -abwehr

Mit Security Command Center können SOC-Analysten die folgenden Sicherheitsziele erreichen:

  • Erkennen Sie Ereignisse in Ihren Cloud-Umgebungen, die auf eine potenzielle Bedrohung hindeuten, und analysieren Sie die zugehörigen Ergebnisse oder Benachrichtigungen.
  • Weisen Sie Inhaber zu und verfolgen Sie den Fortschritt von Prüfungen und Antworten mit einem integrierten Fallworkflow. Optional können Sie Ihre bevorzugten Ticketsysteme wie Jira oder ServiceNow einbinden.
  • Untersuchen Sie die Bedrohungswarnungen mit leistungsstarken Such- und Querverweisen.
  • Definieren Sie Reaktionsworkflows und automatisieren Sie Maßnahmen, um potenzielle Angriffe auf Ihre Cloud-Umgebungen zu verhindern. Weitere Informationen zum Definieren von Antwortworkflows und automatisierten Aktionen mit Playbooks, die von Google SecOps unterstützt werden, finden Sie unter Mit Playbooks arbeiten.
  • Falsch positive Ergebnisse oder Benachrichtigungen ausblenden oder ausschließen.
  • Konzentrieren Sie sich auf Bedrohungen im Zusammenhang mit gehackten Identitäten und Zugriffsberechtigungen.
  • Verwenden Sie Security Command Center, um potenzielle Bedrohungen in Ihren anderen Cloud-Umgebungen wie AWS zu erkennen, zu untersuchen und darauf zu reagieren.

Sicherheitslücken verwalten

Security Command Center bietet eine umfassende Erkennung von Sicherheitslücken und scannt die Ressourcen in Ihrer Umgebung automatisch auf Sicherheitslücken in der Software, Fehlkonfigurationen und andere Arten von Sicherheitsproblemen, die Sie einem Angriff aussetzen könnten. Zusammen werden diese Art von Problemen zusammen als Sicherheitslücken bezeichnet.

Security Command Center verwendet sowohl integrierte als auch eingebundene Google Cloud-Dienste, um Sicherheitsprobleme zu erkennen. Die Dienste, die Ergebnisse liefern, werden auch als Findungsquellen bezeichnet. Wenn ein Dienst ein Problem erkennt, wird ein Ergebnis ausgegeben, um das Problem aufzuzeichnen.

Standardmäßig werden Anfragen bei Sicherheitslücken mit hohem und kritischem Schweregrad automatisch geöffnet, damit Sie die Fehlerbehebung priorisieren können. Sie können Inhaber zuweisen und den Fortschritt der Korrekturmaßnahmen mit einem Fall verfolgen.

Hier finden Sie weitere Informationen:

Sicherheitslücken in der Software

Damit Sie Sicherheitslücken in Software leichter erkennen, verstehen und priorisieren können, kann Security Command Center die virtuellen Maschinen (VMs) und Container in Ihren Cloud-Umgebungen auf Sicherheitslücken prüfen. Security Command Center bietet zu jeder erkannten Sicherheitslücke detaillierte Informationen in einem Ergebniseintrag oder Ergebnis. Die mit einem Ergebnis gelieferten Informationen können Folgendes umfassen:

  • Details der betroffenen Ressource
  • Informationen zu allen zugehörigen CVE-Einträgen, einschließlich einer Einschätzung der Auswirkungen und der Ausnutzbarkeit des CVE-Elements durch Mandiant
  • Eine Angriffsbewertung, die Ihnen bei der Priorisierung von Maßnahmen hilft
  • Eine visuelle Darstellung des Pfades, den ein Angreifer zu den von der Sicherheitslücke gefährdeten hochwertigen Ressourcen nehmen könnte

Sicherheitslücken in der Software werden von den folgenden Diensten erkannt:

Fehlkonfigurationen

Security Command Center ordnet die Detektoren der Dienste, die nach Fehlkonfigurationen suchen, den Kontrollen der gängigen Compliancestandards der Branche zu. Mit der Zuordnung können Sie nicht nur die Compliancestandards sehen, gegen die eine fehlerhafte Konfiguration verstößt, sondern auch ein Maß für die Einhaltung der verschiedenen Standards, das Sie dann als Bericht exportieren können.

Weitere Informationen finden Sie unter Compliance bewerten und melden.

Sicherheitsstatusverstöße

Die Premium- und Enterprise-Stufen von Security Command Center umfassen den Security Posture-Dienst, der Ergebnisse ausgibt, wenn Ihre Cloud-Ressourcen gegen die Richtlinien verstoßen, die in den von Ihnen in Ihrer Cloud-Umgebung bereitgestellten Sicherheitsstatus definiert sind.

Weitere Informationen finden Sie unter Sicherheitsstatus.

Infrastruktur als Code validieren

Sie können prüfen, ob Ihre IaC-Dateien (Infrastructure as Code) mit den Organisationsrichtlinien und den Security Health Analytics-Detektoren übereinstimmen, die Sie in Ihrer Google Cloud-Organisation definieren. Mit diesem Feature wird sichergestellt, dass Sie keine Ressourcen bereitstellen, die gegen die Standards Ihrer Organisation verstoßen. Nachdem Sie Ihre Organisationsrichtlinien definiert und bei Bedarf den Security Health Analytics-Dienst aktiviert haben, können Sie Ihre Terraform-Plandatei mit der Google Cloud CLI validieren oder den Validierungsprozess in Ihren Jenkins- oder GitHub Actions-Entwicklerworkflow einbinden. Weitere Informationen finden Sie unter IaC-Daten anhand der Richtlinien Ihrer Organisation validieren.

Sicherheitslücken und Fehlkonfigurationen auf anderen Cloud-Plattformen erkennen

Security Command Center Enterprise kann Sicherheitslücken in mehreren Cloudumgebungen erkennen. Damit Sie Sicherheitslücken bei anderen Cloud-Dienstanbietern erkennen können, müssen Sie zuerst eine Verbindung zum Anbieter herstellen, um Ressourcenmetadaten aufzunehmen.

Weitere Informationen finden Sie unter Verbindung zu AWS zur Erkennung von Sicherheitslücken und zur Risikobewertung herstellen.

Funktionen zur Verwaltung von Sicherheitslücken und Sicherheitsstatus

Mit Security Command Center können Analysten für Sicherheitslücken, Statusadministratoren und ähnliche Sicherheitsexperten die folgenden Sicherheitsziele erreichen:

  • Erkennen Sie verschiedene Arten von Sicherheitslücken, einschließlich Sicherheitslücken in der Software, Fehlkonfigurationen und Sicherheitsverstöße, die Ihre Cloud-Umgebungen potenziellen Angriffen aussetzen können.
  • Richten Sie Ihre Reaktions- und Behebungsmaßnahmen auf die Probleme mit dem höchsten Risiko aus. Verwenden Sie dazu die Angriffsrisikobewertungen für die Ergebnisse und Benachrichtigungen zu Sicherheitslücken.
  • Weisen Sie Inhaber zu und verfolgen Sie den Fortschritt bei der Behebung von Sicherheitslücken mithilfe von Supportanfragen und integrieren Sie Ihre bevorzugten Ticketsysteme wie Jira oder ServiceNow.
  • Schützen Sie die hochwertigen Ressourcen in Ihren Cloud-Umgebungen proaktiv, indem Sie deren Angriffsrisikobewertungen senken.
  • Definieren Sie benutzerdefinierte Sicherheitseinstellungen für Ihre Cloud-Umgebungen, mit denen Security Command Center Ihren Sicherheitsstatus bewertet und Sie bei Verstößen benachrichtigt.
  • Falsch positive Ergebnisse oder Benachrichtigungen ausblenden oder ausschließen.
  • Konzentrieren Sie sich auf Sicherheitslücken im Zusammenhang mit Identitäten und übermäßigen Berechtigungen.
  • Erkennen und verwalten Sie in Security Command Center Sicherheitslücken und Risikobewertungen für Ihre anderen Cloud-Umgebungen wie AWS.

Risiko mit Angriffsrisikobewertungen und Angriffspfaden bewerten

Bei Aktivierungen der Premium- und der Enterprise-Stufe auf Organisationsebene bietet Security Command Center Angriffsrisikobewertungen für hochwertige Ressourcen sowie die Ergebnisse für Sicherheitslücken und Fehlkonfigurationen, die sich auf die hochwertigen Ressourcen auswirken.

Anhand dieser Werte können Sie die Behebung von Sicherheitslücken und Fehlkonfigurationen priorisieren, die Sicherheit Ihrer am stärksten gefährdeten hochwertigen Ressourcen priorisieren und allgemein beurteilen, wie gefährdet Ihre Cloud-Umgebungen sind.

Im Bereich Aktive Sicherheitslücken der Seite Risikoübersicht in der Google Cloud Console werden auf dem Tab Ergebnisse nach Angriffsrisikobewertung die Ergebnisse mit den höchsten Angriffsrisikowerten in Ihrer Umgebung sowie die Verteilung der Ergebniswerte angezeigt.

Weitere Informationen finden Sie unter Angriffsrisikobewertungen und Angriffspfade.

Ergebnisse und Benachrichtigungen mit Supportanfragen verwalten

Security Command Center Enterprise erstellt Fälle, mit denen Sie Ergebnisse und Benachrichtigungen verwalten, Inhaber zuweisen und die Prüfungen und Antworten auf erkannte Sicherheitsprobleme verwalten können. Bei Problemen mit einem schwerwiegenden oder kritischen Schweregrad werden Fälle automatisch geöffnet.

Sie können Fälle in Ihr bevorzugtes Ticketing-System wie Jira oder ServiceNow einbinden. Bei der Aktualisierung von Supportanfragen können auch alle offenen Tickets automatisch aktualisiert werden. Ebenso kann bei der Aktualisierung eines Tickets auch der entsprechende Fall aktualisiert werden.

Die Funktion der Schutzhülle wird durch Google SecOps unterstützt.

Weitere Informationen finden Sie in der Google SecOps-Dokumentation in der Übersicht zu Fällen.

Reaktionsworkflows und automatisierte Aktionen definieren

Definieren Sie Reaktionsworkflows und automatisieren Sie Maßnahmen, um die in Ihren Cloud-Umgebungen erkannten Sicherheitsprobleme zu untersuchen und darauf zu reagieren.

Weitere Informationen zum Definieren von Reaktionsworkflows und automatisierten Aktionen mit Playbooks, die auf Google SecOps basieren, finden Sie unter Mit Playbooks arbeiten.

Multi-Cloud-Unterstützung: Sichere Bereitstellungen auf anderen Cloud-Plattformen

Sie können die Dienste und Funktionen von Security Command Center so erweitern, dass Ihre Bereitstellungen auf anderen Cloud-Plattformen abgedeckt sind. So können Sie alle Bedrohungen und Sicherheitslücken, die in Ihren Cloud-Umgebungen erkannt wurden, an einem einzigen Ort verwalten.

Weitere Informationen zum Verbinden von Security Command Center mit einem anderen Cloud-Dienstanbieter finden Sie auf den folgenden Seiten:

Unterstützte Cloud-Dienstanbieter

Security Command Center kann eine Verbindung zu Amazon Web Services (AWS) herstellen.

Sicherheitsstatus definieren und verwalten

Mit Aktivierungen der Premium- und Enterprise-Stufe von Security Command Center auf Organisationsebene können Sie Sicherheitsstatus erstellen und verwalten, die den erforderlichen Status Ihrer Cloud-Assets, einschließlich Ihres Cloud-Netzwerks und der Cloud-Dienste, für optimale Sicherheit in Ihrer Cloud-Umgebung definieren. Sie können Sicherheitsstatus an die Sicherheits- und regulatorischen Anforderungen Ihres Unternehmens anpassen. Durch das Definieren eines Sicherheitsstatus können Sie die Cybersicherheitsrisiken für Ihr Unternehmen minimieren und dazu beitragen, das Auftreten von Angriffen zu verhindern.

Mit dem Security Command Center-Dienst für den Sicherheitsstatus können Sie einen Sicherheitsstatus definieren und bereitstellen sowie Abweichungen oder nicht autorisierte Änderungen von Ihrem definierten Sicherheitsstatus erkennen.

Der Dienst für den Sicherheitsstatus wird automatisch aktiviert, wenn Sie Security Command Center auf Organisationsebene aktivieren.

Weitere Informationen finden Sie in der Übersicht über den Sicherheitsstatus.

Assets identifizieren

Security Command Center enthält Asset-Informationen aus Cloud Asset Inventory, das Assets in Ihrer Cloud-Umgebung kontinuierlich überwacht. Bei den meisten Assets werden Konfigurationsänderungen, einschließlich IAM- und Organisationsrichtlinien, nahezu in Echtzeit erkannt.

Auf der Seite Assets in der Google Cloud Console können Sie schnell Beispielabfragen für Assets anwenden, bearbeiten und ausführen, eine voreingestellte Zeitbeschränkung hinzufügen oder eigene Asset-Abfragen schreiben.

Mit der Premium- oder Enterprise-Stufe von Security Command Center können Sie durch Angriffspfadsimulationen sehen, welche Ihrer Assets als hochwertige Ressourcen für Risikobewertungen festgelegt sind.

Sie können Veränderungen in Ihrer Organisation oder Ihrem Projekt schnell identifizieren und Fragen wie die folgenden beantworten:

  • Wie viele Projekte haben Sie und wann wurden diese erstellt?
  • Welche Google Cloud-Ressourcen sind bereitgestellt oder in Verwendung, wie virtuelle Maschinen (VMs) der Compute Engine, Cloud Storage-Buckets oder App Engine-Instanzen?
  • Wie sieht der Bereitstellungsverlauf aus?
  • So organisieren, kommentieren, suchen, wählen, filtern und sortieren Sie die folgenden Kategorien:
    • Assets und Asset-Attribute
    • Sicherheitsmarkierungen, mit denen Sie Assets oder Ergebnisse in Security Command Center annotieren können
    • Zeitraum

Cloud Asset Inventory kennt immer den aktuellen Status der unterstützten Assets und Sie können in der Google Cloud Console bisherige Discovery-Scans überprüfen, um Assets zwischen verschiedenen Zeitpunkten zu vergleichen. Sie können auch nach nicht ausgelasteten Assets wie virtuellen Maschinen oder inaktiven IP-Adressen suchen.

Gemini-Funktionen in Security Command Center

Security Command Center bindet Gemini ein, um Zusammenfassungen von Ergebnissen und Angriffspfaden bereitzustellen und Sie bei der Suche und Untersuchung erkannter Bedrohungen und Sicherheitslücken zu unterstützen.

Weitere Informationen zu Gemini finden Sie unter Gemini.

Gemini-Zusammenfassungen von Ergebnissen und Angriffspfaden

Wenn Sie Security Command Center Enterprise oder Premium verwenden, bietet Gemini dynamisch generierte Erklärungen zu jedem Ergebnis und jedem simulierten Angriffspfad, den Security Command Center für Ergebnisse der Klasse Vulnerability und Misconfiguration generiert.

Die Zusammenfassungen sind in natürlicher Sprache verfasst, damit Sie Ergebnisse und die damit verbundenen Angriffspfade schnell verstehen und darauf reagieren können.

Die Zusammenfassungen werden an den folgenden Stellen in der Google Cloud Console angezeigt:

  • Wenn Sie auf den Namen eines einzelnen Ergebnisses klicken, wird die Zusammenfassung oben auf der Detailseite des Ergebnisses angezeigt.
  • Wenn ein Ergebnis eine Angriffsrisikobewertung hat, können Sie sich bei den Premium- und Enterprise-Stufen von Security Command Center die Zusammenfassung rechts neben dem Angriffspfad anzeigen lassen. Klicken Sie dazu auf die Angriffsrisikobewertung und dann auf KI-Zusammenfassung.

Erforderliche IAM-Berechtigungen für KI-generierte Zusammenfassungen

Zum Ansehen der KI-Zusammenfassungen benötigen Sie die erforderlichen IAM-Berechtigungen.

Für Ergebnisse benötigen Sie die IAM-Berechtigung securitycenter.findingexplanations.get. Die vordefinierte IAM-Rolle mit der geringsten Berechtigung, die diese Berechtigung enthält, ist die Rolle Sicherheitscenter-Ergebnisbetrachter (roles/securitycenter.findingsViewer).

Für Angriffspfade benötigen Sie die IAM-Berechtigung securitycenter.exposurepathexplan.get. Die vordefinierte IAM-Rolle mit der geringsten Berechtigung, die diese Berechtigung enthält, ist die Rolle Leser von Sicherheitscenter-Kontaktpfaden (roles/securitycenter.exposurePathsViewer).

In der Vorschau sind diese Berechtigungen in der Google Cloud Console nicht verfügbar, um benutzerdefinierten IAM-Rollen hinzuzufügen.

Sie können die Google Cloud CLI verwenden, um die Berechtigung einer benutzerdefinierten Rolle hinzuzufügen.

Informationen zum Hinzufügen von Berechtigungen zu einer benutzerdefinierten Rolle über die Google Cloud CLI finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten.

Suche in natürlicher Sprache für Bedrohungsuntersuchungen

Mit Abfragen in natürlicher Sprache und Gemini können Sie nach Bedrohungen, Benachrichtigungen und anderen Informationen suchen. Die Einbindung von Gemini für Suchen in natürlicher Sprache wird durch Google SecOps ermöglicht. Weitere Informationen finden Sie unter Verwenden natürlicher Sprache zum Generieren von UDM-Suchanfragen in der Google SecOps-Dokumentation.

KI-Untersuchungs-Widget für Supportanfragen

Damit Sie Anfragen zu Ergebnissen und Benachrichtigungen besser verstehen und untersuchen können, bietet Gemini eine Zusammenfassung jedes Falls und Vorschläge für die nächsten Schritte, die Sie zur Untersuchung des Falls ergreifen können. Die Zusammenfassung und die nächsten Schritte werden im Widget KI-Prüfung angezeigt, wenn Sie sich einen Fall ansehen.

Diese Einbindung von Gemini wird durch Google SecOps ermöglicht.

Umsetzbare Erkenntnisse zur Sicherheit

Die integrierten und integrierten Google Cloud-Dienste von Security Command Center überwachen Ihre Assets und Logs kontinuierlich auf Indikatoren für Manipulationen und Konfigurationsänderungen, die bekannten Bedrohungen, Sicherheitslücken und Fehlkonfigurationen entsprechen. Um Kontext für Vorfälle zu bieten, werden Ergebnisse mit Informationen aus den folgenden Quellen angereichert:

  • Bei der Enterprise- und der Premium-Stufe gilt:
    • KI-generierte Zusammenfassungen, mit denen Sie Security Command Center-Ergebnisse und die zugehörigen Angriffspfade verstehen und entsprechende Maßnahmen ergreifen können. Weitere Informationen finden Sie unter KI-generierte Zusammenfassungen.
    • Die Ergebnisse zu Sicherheitslücken enthalten Informationen aus den entsprechenden CVE-Einträgen, einschließlich des CVE-Werts, sowie Bewertungen der potenziellen Auswirkungen und des Ausnutzungspotenzials durch Mandiant.
    • Leistungsstarke SIEM- und SOAR-Suchfunktionen auf Grundlage von Google SecOps, mit denen Sie Bedrohungen und Sicherheitslücken untersuchen und verwandte Entitäten in einer einheitlichen Zeitachse untersuchen können.
  • VirusTotal, ein Dienst von Alphabet, der Kontext zu potenziell schädlichen Dateien, URLs, Domains und IP-Adressen bereitstellt.
  • MITRE ATT&CK-Framework, das Techniken für Angriffe auf Cloud-Ressourcen erläutert und Hinweise zur Schadensbehebung bietet.
  • Cloud-Audit-Logs (Administratoraktivitätslogs und Datenzugriffslogs)

Sie erhalten Benachrichtigungen zu neuen Ergebnissen nahezu in Echtzeit, damit Ihre Sicherheitsteams Daten erheben, Bedrohungen ermitteln und Maßnahmen ergreifen können, bevor sie zu Schäden oder Verlusten für das Unternehmen führen.

Mit einer zentralisierten Ansicht Ihres Sicherheitsstatus und einer robusten API können Sie schnell Folgendes tun:

  • Fragen beantworten, wie:
    • Welche statischen IP-Adressen sind öffentlich zugänglich?
    • Welche Images werden auf den VMs ausgeführt?
    • Gibt es Belege dafür, dass Ihre VMs für Kryptomining oder für andere missbräuchliche Vorgänge verwendet werden?
    • Welche Dienstkonten wurden hinzugefügt oder entfernt?
    • Wie werden Firewalls konfiguriert?
    • Welche Storage-Buckets enthalten personenbezogene Daten oder vertrauliche Daten? Für diese Funktion muss der Schutz sensibler Daten eingebunden sein.
    • Welche Cloud-Anwendungen sind anfällig für XSS-Sicherheitslücken (Cross-Site-Scripting)?
    • Sind meine Cloud Storage-Buckets mit dem Internet verbunden?
  • Ergreifen Sie Maßnahmen, um Ihre Assets zu schützen:
    • Implementieren Sie bestätigte Korrekturschritte für Fehlkonfigurationen von Assets und Compliance-Verstöße.
    • Kombinieren Sie Bedrohungsinformationen von Google Cloud und Drittanbietern wie Palo Alto Networks, um Ihr Unternehmen besser vor kostspieligen Bedrohungen auf Computing-Ebene zu schützen.
    • Prüfen Sie, ob die entsprechenden IAM-Richtlinien vorhanden sind. Sie werden benachrichtigt, wenn Richtlinien falsch konfiguriert oder unerwartet geändert werden.
    • Binden Sie Ergebnisse aus Ihren eigenen oder externen Quellen für Google Cloud-Ressourcen oder andere Hybrid- oder Multi-Cloud-Ressourcen ein. Weitere Informationen finden Sie unter Sicherheitsdienst eines Drittanbieters hinzufügen.
    • Reagieren Sie auf Bedrohungen in Ihrer Google Workspace-Umgebung und auf unsichere Änderungen in Google Groups.

Fehlkonfigurationen zur Identitäts- und Zugriffssteuerung

Mit Security Command Center können Sie Identitäts- und Zugriffsfehlerkonfigurationen in Google Cloud leichter erkennen und beheben. Die Verwaltung von Identitäts- und Zugriffssicherheitsproblemen wird manchmal auch als Berechtigungsverwaltung für Cloud-Infrastruktur (Cloud Infrastructure Entitlementment Management, CIEM) bezeichnet.

Ergebnisse zur Fehlkonfiguration in Security Command Center identifizieren Hauptkonten (identities), die falsch konfiguriert sind oder denen übermäßig viele oder sensible IAM-Berechtigungen (identities) auf Google Cloud-Ressourcen gewährt wurden.

Die wichtigsten Ergebnisse zu Identität und Zugriff werden im Bereich Ergebnisse zu Identität und Zugriff unten auf der Seite Übersicht von Security Command Center in der Google Cloud Console angezeigt.

Auf der Seite Sicherheitslücken in der Google Cloud Console können Sie Abfragevoreinstellungen (vordefinierte Abfragen) auswählen, in denen die Detektoren oder Kategorien für Sicherheitslücken angezeigt werden, die sich auf die Identität und den Zugriff beziehen. Für jede Kategorie wird die Anzahl der aktiven Ergebnisse angezeigt.

Weitere Informationen zu den Abfragevoreinstellungen finden Sie unter Abfragevoreinstellungen anwenden.

Compliance mit Branchenstandards verwalten

Security Command Center überwacht die Compliance mit Detektoren, die den Kontrollen einer Vielzahl von Sicherheitsstandards entsprechen.

Für jeden unterstützten Sicherheitsstandard überprüft Security Command Center einen Teil der Kontrollen. Für die geprüften Steuerelemente wird in Security Command Center angezeigt, wie viele Passagen übergeben werden. Für die nicht bestandenen Kontrollen zeigt Security Command Center eine Liste von Ergebnissen an, die die Kontrollfehler beschreiben.

CIS überprüft und zertifiziert die Zuordnungen von Security Command Center-Detektoren zu jeder unterstützten Version der CIS Google Cloud Foundations Benchmark. Zusätzliche Compliance-Zuordnungen dienen nur zu Referenzzwecken.

Security Command Center unterstützt regelmäßig neue Benchmark-Versionen und -Standards. Ältere Versionen werden weiterhin unterstützt, werden aber irgendwann verworfen. Wir empfehlen, die neueste unterstützte Benchmark oder den neuesten verfügbaren Standard zu verwenden.

Mit dem Dienst „Security Posture“ können Sie Organisationsrichtlinien und Security Health Analytics-Detektoren den für Ihr Unternehmen geltenden Standards und Kontrollen zuordnen. Nachdem Sie einen Sicherheitsstatus erstellt haben, können Sie alle Änderungen an der Umgebung im Blick behalten, die sich auf die Compliance Ihres Unternehmens auswirken könnten.

Weitere Informationen zum Verwalten der Compliance finden Sie unter Compliance mit Sicherheitsstandards bewerten und melden.

Unterstützte Sicherheitsstandards in Google Cloud

Security Command Center ordnet Detektoren für Google Cloud einem oder mehreren der folgenden Compliancestandards zu:

Von AWS unterstützte Sicherheitsstandards

Security Command Center ordnet Detektoren für Amazon Web Services (AWS) einem oder mehreren der folgenden Compliancestandards zu:

Flexible Plattform für Ihre Sicherheitsanforderungen

Security Command Center bietet Anpassungs- und Integrationsoptionen, mit denen Sie das Dienstprogramm des Dienstes an Ihre sich ändernden Sicherheitsanforderungen anpassen können.

Anpassungsoptionen

Zu den Anpassungsoptionen gehören:

Integrationsoptionen

Folgende Integrationsoptionen sind verfügbar:

Verwendungsweise von Security Command Center

Die folgende Tabelle enthält allgemeine Produktfeatures, Anwendungsfälle und Links zu relevanten Dokumentationen, damit Sie die benötigten Inhalte schnell finden können.

Feature Anwendungsfälle Verwandte Dokumente
Identifizierung und Überprüfung von Assets
  • Sie können alle Assets, Dienste und Daten aus Ihrer gesamten Organisation oder Ihrem Projekt und aus Ihren Cloud-Plattformen an einem Ort ansehen.
  • Bewerten Sie Sicherheitslücken für unterstützte Assets und ergreifen Sie Maßnahmen, um Korrekturen für die schwerwiegendsten Probleme zu priorisieren.
 Best Practices für Security Command Center

Zugriffskontrolle

Security Command Center in der Google Cloud Console verwenden
Identifikation von vertraulichen Daten
  • Finden Sie heraus, wo sensible und regulierte Daten mit Sensitive Data Protection gespeichert werden.
  • Verhindern Sie unbeabsichtigte Gefährdungen und achten Sie darauf, dass nur Personen mit berechtigtem Interesse Zugriff erhalten.
  • Legen Sie Ressourcen, die Daten mit mittlerer oder hochempfindlicher Daten enthalten, automatisch als _hochwertige Ressourcen fest.
 Ergebnisse zum Schutz sensibler Daten an Security Command Center senden
Integration von SIEM- und SOAR-Produkten von Drittanbietern
  • Sie können Security Command Center-Daten ganz einfach in externe SIEM- und SOAR-Systeme exportieren.
 Security Command Center-Daten exportieren

Kontinuierliche Exporte
Erkennung von fehlerhafter Konfiguration
  • Erkennen Sie Fehlkonfigurationen, die Ihre Cloud-Infrastruktur anfällig machen können.
  • Erkennen Sie Fehlkonfigurationen in Ihren Bereitstellungen bei anderen Cloud-Dienstanbietern.
  • Verbessern Sie die Einhaltung von Sicherheitsstandards, indem Sie sich die Ergebnisse der Fehlkonfiguration der Steuerelemente für Sicherheitsstandards ansehen, gegen die sie verstoßen.
  • Priorisieren Sie die Behebung von Fehlkonfigurationsergebnissen anhand ihrer Angriffsrisikobewertungen.
 Übersicht über Security Health Analytics

Web Security Scanner – Übersicht

Rapid Vulnerability Detection – Übersicht

Ergebnisse zu Sicherheitslücken

Erkennung von Sicherheitslücken in der Software
  • Erkennen Sie Sicherheitslücken in der Software in Arbeitslasten auf virtuellen Maschinen und in Containern über verschiedene Cloud-Dienstanbieter.
  • Lassen Sie sich proaktiv über neue Sicherheitslücken und Änderungen auf Ihrer Angriffsfläche benachrichtigen.
  • Ermitteln Sie häufige Sicherheitslücken wie Cross-Site-Scripting (XSS) und Flash Injection, die Ihre Anwendungen gefährden.
  • Mit Security Command Center Premium priorisieren Sie die gefundenen Sicherheitslücken anhand von CVE-Informationen, einschließlich Bewertungen der Ausnutzbarkeit und Auswirkungen durch Mandiant.

Dashboard für den GKE-Sicherheitsstatus

VM Manager

Web Security Scanner – Übersicht

Ergebnisse zu Sicherheitslücken

Monitoring von Identitäts- und Zugriffssteuerung
  • Sorgen Sie dafür, dass für Ihre Google Cloud-Ressourcen angemessene Richtlinien zur Zugriffssteuerung vorhanden sind. Sie werden benachrichtigt, wenn Richtlinien falsch konfiguriert sind oder sich unerwartet ändern.
  • Verwenden Sie Abfragevoreinstellungen, um schnell Ergebnisse für Identitäts- und Zugriffsfehlerkonfigurationen sowie Rollen anzuzeigen, denen übermäßig viele Berechtigungen gewährt wurden.
 IAM Recommender

Zugriffskontrolle

Fehlkonfigurationen zur Identitäts- und Zugriffssteuerung

Bedrohungserkennung
  • Ermitteln Sie bösartige Aktivitäten und Nutzer in Ihrer Infrastruktur und erhalten Sie Benachrichtigungen bei aktiven Bedrohungen.
  • Bedrohungen auf anderen Cloud-Plattformen erkennen
 Bedrohungen verwalten

Event Threat Detection – Übersicht

Container Threat Detection – Übersicht
Fehlererkennung
  • Benachrichtigungen zu Fehlern und Fehlkonfigurationen erhalten, die verhindern, dass Security Command Center und seine Dienste wie vorgesehen funktionieren.
 Security Command Center-Fehler – Übersicht
Abhilfemaßnahmen priorisieren
  • Verwenden Sie Angriffsrisikobewertungen, um die Behebung von Sicherheitslücken und fehlerhaften Konfigurationen zu priorisieren.
  • Verwenden Sie Angriffsrisikobewertungen für Ressourcen, um proaktiv die Ressourcen zu schützen, die für Ihr Unternehmen am wertvollsten sind.
 Übersicht über Angriffsrisikobewertungen und Angriffspfade
Risiken beheben
  • Implementieren Sie verifizierte und empfohlene Anweisungen zur Fehlerbehebung, um Assets schnell zu schützen.
  • Konzentrieren Sie sich auf die wichtigsten Felder in einem Ergebnis, um Sicherheitsanalysten schnell die Möglichkeit zu geben, fundierte Entscheidungen zu treffen.
  • Reichern Sie zugehörige Sicherheitslücken und Bedrohungen an und verbinden Sie sie, um TTPs zu identifizieren und zu erfassen.
  • Beheben Sie Fehler und Fehlkonfigurationen, die verhindern, dass Security Command Center und seine Dienste wie vorgesehen funktionieren.
 Bedrohungen untersuchen und darauf reagieren

Behebung von Security Health Analytics-Ergebnissen

Web Security Scanner-Ergebnisse beheben

Ergebnisse und Behebung von Rapid Vulnerability Detection

Automatisierung der Sicherheitsantwort

Fehler im Security Command Center beheben
Statusverwaltung
  • Sorgen Sie dafür, dass Ihre Arbeitslasten Sicherheitsstandards, Compliance-Vorschriften und den individuellen Sicherheitsanforderungen Ihrer Organisation entsprechen.
  • Wenden Sie Ihre Sicherheitskontrollen auf Google Cloud-Projekte, -Ordner oder -Organisationen an, bevor Sie Arbeitslasten bereitstellen.
  • Prüfen Sie kontinuierlich, ob Abweichungen von Ihren definierten Sicherheitskontrollen auftreten und beheben Sie diese.
 Übersicht über den Sicherheitsstatus

Sicherheitsstatus verwalten
Eingaben von Sicherheitstools von Drittanbietern
  • Integrieren Sie die Ausgabe Ihrer vorhandenen Sicherheitstools wie Cloudflare, CrowdStrike, Prisma Cloud von Palo Alto Networks und Qualys in das Security Command Center. Durch das Einbinden der Ausgabe können Sie Folgendes erkennen:
    • DDoS-Angriffe
    • Manipulierte Endpunkte
    • Compliance-Richtlinienverstöße
    • Netzwerkangriffe
    • Sicherheitslücken und Bedrohungen für Instanzen
 Security Command Center konfigurieren

Sicherheitsquellen erstellen und verwalten
Benachrichtigungen in Echtzeit
  • Erhalten Sie Security Command Center-Benachrichtigungen per E-Mail, SMS, Slack, WebEx und anderen Diensten mit Pub/Sub-Benachrichtigungen.
  • Passen Sie Ergebnisfilter an, um Ergebnisse auf Zulassungslisten auszuschließen.
 Ergebnisbenachrichtigungen einrichten

E-Mail- und Chatbenachrichtigungen in Echtzeit aktivieren

Sicherheitsmarkierungen verwenden

Security Command Center-Daten exportieren

Benachrichtigungen filtern

Assets zu Zulassungslisten hinzufügen
REST API und Client-SDKs
  • Verwenden Sie die Security Command Center REST API oder Client-SDKs für eine einfache Einbindung in Ihre vorhandenen Sicherheitssysteme und Workflows.
Security Command Center konfigurieren

Programmatischer Zugriff auf Security Command Center

Security Command Center API

Steuerelemente für den Datenstandort

Wenn Sie Security Command Center Standard oder Premium zum ersten Mal aktivieren, können Sie Datenstandortkontrollen aktivieren, um die Anforderungen an den Datenstandort zu erfüllen.

Durch das Aktivieren von Datenstandortkontrollen werden die Speicherung und Verarbeitung von Security Command Center-Ergebnissen, Ausblendungsregeln, kontinuierlichen Exporten und BigQuery-Exporten in eine der von Security Command Center unterstützten Mehrfachregionen für den Datenstandort eingeschränkt.

Weitere Informationen finden Sie unter Datenstandort planen.

Security Command Center-Dienststufen

Security Command Center bietet drei Dienststufen: Standard, Premium und Enterprise.

Die ausgewählte Stufe bestimmt die Features und Dienste, die mit Security Command Center verfügbar sind.

Wenn Sie Fragen zu den Servicestufen von Security Command Center haben, wenden Sie sich an Ihren Kundenbetreuer oder an den Google Cloud-Vertrieb.

Informationen zu den Kosten für die Nutzung einer Security Command Center-Stufe finden Sie unter Preise.

Standardstufe

Die Standard-Stufe umfasst die folgenden Dienste und Funktionen:

  • Security Health Analytics: In der Standard-Stufe bietet Security Health Analytics verwaltetes Scannen auf Sicherheitslücken für Google Cloud. Damit können Sicherheitslücken und Fehlkonfigurationen mit dem höchsten Schweregrad automatisch in Ihren Google Cloud-Assets erkannt werden. In der Standard-Stufe umfasst Security Health Analytics die folgenden Ergebnistypen:

    • Dataproc image outdated
    • Legacy authorization enabled
    • MFA not enforced
    • Non org IAM member
    • Open ciscosecure websm port
    • Open directory services port
    • Open firewall
    • Open group IAM member
    • Open RDP port
    • Open SSH port
    • Open Telnet port
    • Public bucket ACL
    • Public Compute image
    • Public dataset
    • Public IP address
    • Public log bucket
    • Public SQL instance
    • SSL not enforced
    • Web UI enabled
  • Benutzerdefinierte Scans von Web Security Scanner: In der Standard-Stufe unterstützt Web Security Scanner benutzerdefinierte Scans von bereitgestellten Anwendungen mit öffentlichen URLs und IP-Adressen, die sich nicht hinter einer Firewall befinden. Scans werden für alle Projekte manuell konfiguriert, verwaltet und ausgeführt und unterstützen einen Teil der Kategorien in den OWASP-Top Ten.
  • Security Command Center-Fehler: Security Command Center bietet Anleitungen zur Erkennung und Behebung von Konfigurationsfehlern, die verhindern, dass Security Command Center und seine Dienste ordnungsgemäß funktionieren.
  • Kontinuierliche Exporte, die den Export neuer Ergebnisse nach Pub/Sub automatisch verwaltet.

  • Zugriff auf integrierte Google Cloud-Dienste, einschließlich der folgenden:

    • Der Schutz sensibler Daten erkennt, klassifiziert und schützt sensible Daten.
    • Google Cloud Armor schützt Google Cloud-Bereitstellungen vor Bedrohungen.
    • Die Anomalieerkennung erkennt Sicherheitsanomalien in Ihren Projekten und VM-Instanzen wie potenziell gehackte Anmeldedaten und das Mining von Kryptowährungen.
    • Mit Policy Controller können Sie programmierbare Richtlinien für Ihre Kubernetes-Cluster anwenden und erzwingen.
  • Ergebnisse des GKE-Sicherheitsstatus-Dashboards: Sehen Sie sich Ergebnisse zu Fehlkonfigurationen von Kubernetes-Arbeitslasten, umsetzbare Sicherheitsbulletins und Sicherheitslücken im Containerbetriebssystem oder in Sprachpaketen an. Die Einbindung der Ergebnisse des Dashboards für den GKE-Sicherheitsstatus in Security Command Center ist als Vorabversion verfügbar.
  • Einbindung in BigQuery, wodurch Ergebnisse zur Analyse in BigQuery exportiert werden.
  • Einbindung in Forseti Security, dem Open-Source-Sicherheits-Toolkit für Google Cloud, und Anwendungen für Sicherheitsinformationen und Ereignisse von Drittanbietern (Security Information and Event Management, SIEEM).
  • Dienst für sensible Aktionen erkennt Aktionen in Ihrer Google Cloud-Organisation, -Ordnern und -Projekten, die Ihrem Unternehmen schaden könnten, wenn sie von böswilligen Akteuren ausgeführt werden.
  • Wenn Security Command Center auf Organisationsebene aktiviert ist, können Sie Nutzern IAM-Rollen auf Organisations-, Ordner- und Projektebene zuweisen.
  • Datenstandortkontrollen, die die Speicherung und Verarbeitung von Security Command Center-Ergebnissen, Ausblendungsregeln, kontinuierlichen Exporte und BigQuery-Exporten in eine der von Security Command Center unterstützten Mehrfachregionen für den Datenstandort einschränken.

    Weitere Informationen finden Sie unter Datenstandort planen.

Premium-Stufe

Die Premium-Stufe umfasst alle Dienste und Features der Standard-Stufe sowie die folgenden zusätzlichen Dienste und Features:

  • Mit Angriffspfadsimulationen können Sie Sicherheitslücken und Fehlkonfigurationen identifizieren und priorisieren. Dazu identifizieren Sie die Pfade, die ein potenzieller Angreifer nehmen könnte, um Ihre hochwertigen Ressourcen zu erreichen. Die Simulationen berechnen und weisen den Ergebnissen, die diese Ressourcen verfügbar machen, Angriffsrisikobewertungen zu. Mit interaktiven Angriffspfaden können Sie die möglichen Angriffspfade visualisieren und Informationen zu den Pfade, zugehörigen Ergebnissen und den betroffenen Ressourcen bereitstellen.

  • Die Ergebnisse umfassen auch CVE von Mandiant, um Ihnen bei der Priorisierung der Behebung zu helfen.

    Auf der Seite Übersicht in der Konsole finden Sie im Abschnitt Top-CVE-Ergebnisse die Ergebnisse zu Sicherheitslücken, gruppiert nach ihrer Ausnutzbarkeit und potenziellen Auswirkungen, wie von Mandiant bewertet. Auf der Seite Ergebnisse können Sie Ergebnisse nach CVE-ID abfragen.

    Weitere Informationen finden Sie unter Nach CVE-Auswirkung und Ausnutzbarkeit priorisieren.

  • Event Threat Detection überwacht Cloud Logging und Google Workspace mithilfe von Bedrohungsinformationen, maschinellem Lernen und anderen fortschrittlichen Methoden, um Bedrohungen wie Malware, Kryptomining und Daten-Exfiltration zu erkennen. Eine vollständige Liste der integrierten Event Threat Detection-Detektoren finden Sie unter Event Threat Detection-Regeln. Sie können auch benutzerdefinierte Event Threat Detection-Detektoren erstellen. Informationen zu Modulvorlagen, mit denen Sie benutzerdefinierte Erkennungsregeln erstellen können, finden Sie unter Übersicht über benutzerdefinierte Module für Event Threat Detection.
  • Container Threat Detection erkennt die folgenden Containerlaufzeitangriffe:
    • Ausgeführte Binärdatei hinzugeführt
    • Hinzugefügte Mediathek geladen
    • Ausführung: Schadprogramm ausgeführt und hinzugefügt
    • Ausführung: Schädliche Bibliothek wurde hinzugefügt
    • Ausführung: Integrierter bösartiger Binärprogramm ausgeführt
    • Ausführung: Geändertes bösartiges Binärprogramm ausgeführt
    • Ausführung: Geänderte schädliche Bibliothek geladen
    • Schädliches Script ausgeführt
    • Reverse Shell
    • Unerwartete untergeordnete Shell

  • Die folgenden Policy Intelligence-Funktionen sind verfügbar:

    • Erweiterte IAM-Recommender-Features, darunter:
      • Empfehlungen für Rollen, die nicht zu den einfachen Rollen gehören
      • Empfehlungen für Rollen, die für andere Ressourcen als Organisationen, Ordner und Projekte gewährt wurden, z. B. Empfehlungen für Rollen, die Cloud Storage-Buckets zugewiesen wurden
      • Empfehlungen, die benutzerdefinierte Rollen vorschlagen
      • Richtlinienstatistiken
      • Informationen zu Lateralbewegungen
    • Policy Analyzer im großen Maßstab (über 20 Abfragen pro Organisation und Tag) Dieses Limit gilt für alle Policy Analyzer-Tools.
    • Visualisierungen für die Analyse von Organisationsrichtlinien.
  • Sie können in Cloud Asset Inventory Assets abfragen.
  • Virtual Machine Threat Detection erkennt potenziell schädliche Anwendungen, die in VM-Instanzen ausgeführt werden.

  • Security Health Analytics auf der Premium-Stufe umfasst die folgenden Features:

    • Verwaltete Scans auf Sicherheitslücken für alle Security Health Analytics-Detektoren
    • Monitoring für viele branchenübliche Best Practices
    • Compliance-Monitoring. Security Health Analytics-Detektoren entsprechen den Kontrollen der allgemeinen Sicherheits-Benchmarks.
    • Unterstützung benutzerdefinierter Module, mit denen Sie Ihre eigenen benutzerdefinierten Security Health Analytics-Detektoren erstellen können.

    Auf der Premium-Stufe unterstützt Security Health Analytics die unter Einhaltung von Branchenstandards verwalten beschriebenen Standards.

  • Web Security Scanner der Premium-Stufe umfasst alle Funktionen der Standard-Stufe und zusätzliche Detektoren, die Kategorien in den OWASP-Top Ten unterstützen. Web Security Scanner fügt außerdem verwaltete Scans hinzu, die automatisch konfiguriert werden.

  • Compliance-Monitoring für alle Google Cloud-Assets

    Die Detektoren der Security Command Center-Scanner für Sicherheitslücken werden gängigen Sicherheitsstandardkontrollen zugeordnet, um die Einhaltung gängiger Sicherheits-Benchmarks und -Standards zu messen.

    Sie können unter anderem die Einhaltung der Standards prüfen, nicht konforme Kontrollen identifizieren und Berichte exportieren. Weitere Informationen finden Sie unter Compliance mit Sicherheitsstandards bewerten und melden.

  • Sie können bei Bedarf ein zusätzliches Cloud Asset Inventory-Kontingent anfordern.
  • Mit dem Dienst „Security Posture“ können Sie den Gesamtstatus Ihrer Sicherheit in Google Cloud definieren, bewerten und überwachen. Der Security Posture-Dienst ist in der Premium-Stufe von Security Command Center nur für Kunden verfügbar, die ein Festpreisabo erwerben und Security Command Center Premium auf Organisationsebene aktivieren. Der Dienst für den Sicherheitsstatus unterstützt keine nutzungsbasierte Abrechnung oder Aktivierungen auf Projektebene.
  • Mit dem IaC-Validierungsfeature können Sie Ihre Infrastruktur als Code (IaC) anhand der Organisationsrichtlinien und Security Health Analytics-Detektoren validieren, die Sie in Ihrer Google Cloud-Organisation definiert haben. Dieses Feature ist nur in der Premium-Stufe von Security Command Center für Kunden verfügbar, die ein Festpreisabo erwerben und Security Command Center Premium auf Organisationsebene aktivieren. Diese Funktion unterstützt keine nutzungsbasierte Abrechnung oder Aktivierungen auf Projektebene.
  • VM Manager-Sicherheitslückenberichte
    • Wenn Sie VM Manager aktivieren, schreibt der Dienst Ergebnisse aus seinen Berichten zu Sicherheitslücken, die sich in der Vorschau befinden, automatisch in Security Command Center. Die Berichte identifizieren Sicherheitslücken in den Betriebssystemen, die auf virtuellen Compute Engine-Maschinen installiert sind. Weitere Informationen finden Sie unter VM Manager.

Unternehmensstufe

Die Enterprise-Stufe ist eine vollständige cloudnative Application Protection Platform (CNAPP), mit der SOC-Analysten, Analysten für Sicherheitslücken und andere Cloud-Sicherheitsfachleute die Sicherheit mehrerer Cloud-Dienstanbieter an einem zentralen Ort verwalten können.

Die Enterprise-Stufe bietet Erkennungs- und Prüfungsfunktionen, Unterstützung für die Fallverwaltung und Statusverwaltung, einschließlich der Möglichkeit, benutzerdefinierte Statusregeln zu definieren und bereitzustellen sowie das Risiko von Sicherheitslücken und Fehlkonfigurationen für Ihre Cloud-Umgebung zu quantifizieren und zu visualisieren.

Die Enterprise-Stufe umfasst alle Dienste und Funktionen der Standard- und Premium-Stufe sowie die folgenden zusätzlichen Dienste und Features:

Von Google Security Operations unterstützte Funktionen der Enterprise-Stufe

Die Fallverwaltungsfunktion, Playbook-Funktionen und andere SIEM- und SOAR-Funktionen der Enterprise-Stufe von Security Command Center werden von Google Security Operations unterstützt. Wenn Sie einige dieser Features und Funktionen verwenden, wird möglicherweise der Name „Google SecOps“ in der Weboberfläche angezeigt. Außerdem werden Sie möglicherweise zur Anleitung in der Google SecOps-Dokumentation geleitet.

Bestimmte Google SecOps-Features werden mit Security Command Center nicht unterstützt oder eingeschränkt. Ihre Verwendung wird in frühen Abos der Enterprise-Stufe jedoch möglicherweise nicht deaktiviert oder eingeschränkt. Verwenden Sie die folgenden Merkmale und Funktionen nur gemäß den jeweiligen Einschränkungen:

  • Die Aufnahme von Cloud-Logs ist auf Logs beschränkt, die für die Erkennung von Cloudbedrohungen relevant sind, z. B.:

    • Google Cloud

      • Administratoraktivitätslogs für Cloud-Audit-Logs
      • Datenzugriffslogs von Cloud-Audit-Logs
      • Compute Engine-Syslog
      • GKE-Audit-Log

    • Google Workspace

      • Google Workspace-Ereignisse
      • Google Workspace-Benachrichtigungen

    • AWS

      • CloudTrail-Audit-Logs
      • Syslog
      • Auth-Logs
      • GuardDuty-Veranstaltungen

  • Ausgewählte Erkennungen sind auf solche beschränkt, die Bedrohungen in Cloud-Umgebungen erkennen.

  • Google Cloud Marketplace-Integrationen sind auf Folgendes beschränkt:

    • Verstärken
    • Tools
    • VirusTotal V3
    • Google Cloud Asset Inventory
    • Google Security Command Center
    • Jira
    • Funktionen
    • Google Cloud IAM
    • E-Mail V2
    • Google Cloud Compute
    • Google Chronicle
    • Mitre Att&ck
    • Mandiant Threat Intelligence
    • Google Cloud Policy Intelligence
    • Google Cloud Recommender
    • Siemplify – Dienstprogramme
    • Service jetzt
    • CSV
    • SCC Enterprise
    • AWS IAM
    • AWS EC2

  • Die Anzahl benutzerdefinierter Regeln für einzelne Ereignisse ist auf 20 Regeln beschränkt.

  • Risikoanalysen für UEBA (User and entity Behavior Analytics) sind nicht verfügbar.

  • Applied Threat Intelligence ist nicht verfügbar.

  • Gemini-Unterstützung für Google SecOps ist auf Suchen in natürlicher Sprache und Zusammenfassungen von Fallprüfungen beschränkt.

  • Die Aufbewahrungsdauer für Daten ist auf drei Monate begrenzt.

Zusammenfassung der Funktionen und Dienste der Enterprise-Stufe

Die Enterprise-Stufe umfasst alle Dienste und Funktionen der Standard- und Premium-Stufe, die allgemein verfügbar sind.

In der Enterprise-Stufe werden Security Command Center die folgenden Dienste und Features hinzugefügt:

  • Multi-Cloud-Unterstützung Sie können Security Command Center mit anderen Cloud-Anbietern wie AWS verbinden, um Bedrohungen, Sicherheitslücken und Fehlkonfigurationen zu erkennen. Nachdem Sie Ihre hochwertigen Ressourcen beim anderen Anbieter angegeben haben, können Sie deren Angriffsrisiko auch mit Angriffsrisikobewertungen und Angriffspfaden bewerten.
  • SIEM-Funktionen (Security Information and Event Management) für Cloud-Umgebungen, unterstützt von Google SecOps. Scannen Sie Logs und andere Daten auf Bedrohungen für mehrere Cloud-Umgebungen, definieren Sie Regeln zur Bedrohungserkennung und durchsuchen Sie die akkumulierten Daten. Weitere Informationen finden Sie in der Dokumentation zu Google SecOps SIEM.
  • SOAR-Funktionen (Sicherheitsorchestrierung, Automatisierung und Reaktion) für Cloud-Umgebungen, unterstützt durch Google SecOps. Verwalten Sie Fälle, definieren Sie Antwortworkflows und durchsuchen Sie die Antwortdaten. Weitere Informationen finden Sie in der Google SecOps SOAR-Dokumentation.
  • Erweiterte Erkennung von Sicherheitslücken in VMs und Containern in Ihren Cloud-Umgebungen mit den folgenden integrierten und integrierten Google Cloud-Diensten:
    • Google Kubernetes Engine (GKE) Enterprise Edition
    • Sicherheitslückenbewertung für AWS
    • VM Manager

Aktivierungsebenen für Security Command Center

Sie können Security Command Center für ein einzelnes Projekt aktivieren. Dies wird als Aktivierung auf Projektebene bezeichnet, oder für eine gesamte Organisation, was als Aktivierung auf Organisationsebene bezeichnet wird.

Für die Enterprise-Stufe ist eine Aktivierung auf Organisationsebene erforderlich.

Weitere Informationen zum Aktivieren von Security Command Center finden Sie unter Security Command Center aktivieren – Übersicht.

Nächste Schritte