Security Command Center – Übersicht

Auf dieser Seite erhalten Sie einen Überblick über Security Command Center, eine Risikomanagementlösung, die in der Enterprise-Stufe Cloud-Sicherheit und Enterprise-Sicherheitsoperationen kombiniert und Erkenntnisse aus dem Fachwissen von Mandiant und der künstlichen Intelligenz von Gemini bietet.

Mit Security Command Center können SOC-Analysten (Security Operations Center), Sicherheitsexperten für Schwachstellen und Risikobewertung, Compliance-Manager und andere Sicherheitsfachleute Sicherheitsprobleme in mehreren Cloud-Umgebungen schnell bewerten, untersuchen und darauf reagieren.

Jede Cloud-Bereitstellung birgt spezifische Risiken. Mit Security Command Center können Sie die Angriffsfläche Ihrer Projekte oder Ihrer Organisation in Google Cloud sowie die Angriffsfläche Ihrer anderen Cloud-Umgebungen nachvollziehen und bewerten. Wenn das Security Command Center richtig für den Schutz Ihrer Ressourcen konfiguriert ist, können Sie die in Ihren Cloud-Umgebungen erkannten Sicherheitslücken und Bedrohungen besser nachvollziehen und die Behebung priorisieren.

Das Security Command Center lässt sich in viele Google Cloud-Dienste einbinden, um Sicherheitsprobleme in mehreren Cloud-Umgebungen zu erkennen. Diese Dienste erkennen Probleme auf unterschiedliche Weise, z. B. durch das Scannen von Ressourcenmetadaten, Cloud-Logs, Containern und virtuellen Maschinen.

Einige dieser integrierten Dienste wie Google Security Operations und Mandiant bieten auch Funktionen und Informationen, die für die Priorisierung und Verwaltung Ihrer Untersuchungen und Reaktionen auf erkannte Probleme entscheidend sind.

Bedrohungen verwalten

In den Premium- und Enterprise-Stufen verwendet Security Command Center sowohl integrierte als auch integrierte Google Cloud-Dienste, um Bedrohungen zu erkennen. Diese Dienste scannen Ihre Google Cloud-Logs, Container und virtuellen Maschinen auf Bedrohungsindikatoren.

Wenn diese Dienste wie Event Threat Detection oder Container Threat Detection einen Bedrohungsindikator erkennen, wird ein Ergebnis ausgegeben. Eines dieser Ergebnisse ist eine Meldung oder ein Eintrag zu einer einzelnen Bedrohung oder einem anderen Problem, das ein Dienst in Ihrer Cloud-Umgebung gefunden hat. Die Dienste, die Ergebnisse ausgeben, werden auch als Ergebnisquellen bezeichnet.

In Security Command Center Enterprise lösen Ergebnisse Benachrichtigungen aus, die je nach Schwere des Ergebnisses einen Fall generieren können. Sie können einen Fall mit einem Ticketsystem verwenden, um Eigentümer für die Untersuchung und Reaktion auf eine oder mehrere Benachrichtigungen im Fall zuzuweisen.

Mit Security Command Center Enterprise können Sie auch Bedrohungen in Ihren Bereitstellungen auf anderen Cloud-Plattformen erkennen. Um Bedrohungen in Bereitstellungen auf anderen Cloud-Plattformen zu erkennen, werden die Logs der anderen Cloud-Plattform in Security Command Center aufgenommen, nachdem Sie eine Verbindung hergestellt haben.

Weitere Informationen finden Sie auf den folgenden Seiten:

Funktionen zur Bedrohungserkennung und ‑abwehr

Mit dem Security Command Center können SOC-Analysten die folgenden Sicherheitsziele erreichen:

  • Erkennen Sie Ereignisse in Ihren Cloud-Umgebungen, die auf eine potenzielle Bedrohung hinweisen, und priorisieren Sie die zugehörigen Ergebnisse oder Benachrichtigungen.
  • Mit einem integrierten Fallablauf können Sie Eigentümer zuweisen und den Fortschritt von Untersuchungen und Reaktionen verfolgen. Optional können Sie Ihre bevorzugten Ticketsysteme wie Jira oder ServiceNow einbinden.
  • Mithilfe leistungsstarker Such- und Verweisenfunktionen die Bedrohungswarnungen untersuchen
  • Definieren Sie Reaktionsabläufe und automatisieren Sie Aktionen, um potenzielle Angriffe auf Ihre Cloud-Umgebungen zu beheben. Weitere Informationen zum Definieren von Reaktionsabläufen und automatisierten Aktionen mit Playbooks finden Sie unter Mit Playbooks arbeiten.
  • Ergebnisse oder Benachrichtigungen, die falsch-positiv sind, stummschalten oder ausschließen
  • Konzentrieren Sie sich auf Bedrohungen im Zusammenhang mit manipulierten Identitäten und Zugriffsberechtigungen.
  • Mit Security Command Center können Sie potenzielle Bedrohungen in anderen Cloud-Umgebungen wie AWS erkennen, untersuchen und darauf reagieren.

Sicherheitslücken verwalten

Security Command Center bietet eine umfassende Sicherheitslückenerkennung, bei der die Ressourcen in Ihrer Umgebung automatisch auf Softwarelücken, Fehlkonfigurationen und andere Sicherheitsprobleme gescannt werden, die Sie anfällig für Angriffe machen könnten. Diese Art von Problemen werden zusammen als Sicherheitslücken bezeichnet.

Security Command Center verwendet sowohl integrierte als auch integrierte Google Cloud-Dienste, um Sicherheitsprobleme zu erkennen. Die Dienste, die Ergebnisse melden, werden auch als Ergebnisquellen bezeichnet. Wenn ein Dienst ein Problem erkennt, wird ein Ergebnis ausgegeben, um das Problem zu erfassen.

Bei Sicherheitslücken mit hoher und kritischer Schwere werden standardmäßig automatisch Supportanfragen erstellt, damit Sie die Behebung priorisieren können. Sie können Eigentümer zuweisen und den Fortschritt der Behebungsmaßnahmen mit einem Fall verfolgen.

Hier finden Sie weitere Informationen:

Schädliche Kombinationen

Die Security Command Center-Risiko-Engine, eine Funktion der Enterprise-Stufe, erkennt Gruppen von Sicherheitsproblemen, die, wenn sie in einem bestimmten Muster auftreten, einen Pfad zu einer oder mehreren Ihrer wertvollen Ressourcen erstellen, die ein entschlossener Angreifer potenziell nutzen könnte, um diese Ressourcen zu erreichen und zu manipulieren.

Diese Art von Sicherheitsproblemen wird als toxische Kombination bezeichnet. Wenn die Risiko-Engine eine schädliche Kombination erkennt, wird eine entsprechende Meldung ausgegeben. Für jede schädliche Kombination wird im Security Command Center ein Fall in der Security Operations Console erstellt, damit Sie die Behebung der schädlichen Kombination verwalten und verfolgen können.

Weitere Informationen finden Sie unter Übersicht über schädliche Kombinationen.

Softwarelücken

Mit dem Security Command Center können Sie die virtuellen Maschinen (VMs) und Container in Ihren Cloud-Umgebungen auf Sicherheitslücken prüfen, um diese zu identifizieren, zu verstehen und zu priorisieren. Für jede erkannte Sicherheitslücke finden Sie in Security Command Center ausführliche Informationen in einem Ergebniseintrag oder Ergebnis. Die Informationen, die mit einer Feststellung bereitgestellt werden, können Folgendes umfassen:

  • Details zur betroffenen Ressource
  • Informationen zu einem verknüpften CVE-Eintrag, einschließlich einer Bewertung der Auswirkungen und Ausnutzbarkeit des CVE-Eintrags durch Mandiant
  • Eine Bewertung der Angriffsgefahr, mit der Sie die Behebung priorisieren können
  • Eine visuelle Darstellung des Pfads, den ein Angreifer zu den wertvollen Ressourcen nehmen könnte, die durch die Sicherheitslücke offengelegt werden

Softwarelücken werden von den folgenden Diensten erkannt:

Fehlkonfigurationen

Security Command Center ordnet die Detektoren der Dienste, die nach Fehlkonfigurationen suchen, den Steuerelementen der gängigen Compliance-Standards der Branche zu. Neben den Compliance-Standards, gegen die eine Fehlkonfiguration verstößt, sehen Sie anhand der Zuordnung auch, inwieweit Sie die verschiedenen Standards einhalten. Diese Informationen können Sie dann als Bericht exportieren.

Weitere Informationen finden Sie unter Compliance prüfen und melden.

Verstöße gegen die Körperhaltung

Die Premium- und Enterprise-Stufen von Security Command Center umfassen den Dienst zur Sicherheitskonfiguration. Dieser Dienst gibt Ergebnisse aus, wenn Ihre Cloud-Ressourcen gegen die in den Sicherheitskonfigurationen definierten Richtlinien verstoßen, die Sie in Ihrer Cloud-Umgebung bereitgestellt haben.

Weitere Informationen finden Sie unter Dienst zum Bestimmen des Sicherheitsstatus.

Infrastruktur als Code validieren

Sie können prüfen, ob Ihre IaC-Dateien (Infrastructure as Code) den Richtlinien Ihrer Organisation und den Security Health Analytics-Erkennungsmechanismen entsprechen, die Sie in Ihrer Google Cloud-Organisation definieren. Mit dieser Funktion können Sie verhindern, dass Sie Ressourcen bereitstellen, die gegen die Standards Ihrer Organisation verstoßen. Nachdem Sie Ihre organisatorischen Richtlinien definiert und gegebenenfalls den Security Health Analytics-Dienst aktiviert haben, können Sie Ihre Terraform-Plandatei mit der Google Cloud CLI validieren oder den Validierungsprozess in Ihren Cloud Build-, Jenkins- oder GitHub Actions-Entwicklerworkflow einbinden. Weitere Informationen finden Sie unter IaC anhand der Richtlinien Ihrer Organisation validieren.

Sicherheitslücken und Fehlkonfigurationen auf anderen Cloud-Plattformen erkennen

Security Command Center Enterprise kann Sicherheitslücken in mehreren Cloud-Umgebungen erkennen. Wenn Sie Sicherheitslücken bei anderen Cloud-Dienstanbietern erkennen möchten, müssen Sie zuerst eine Verbindung zum Anbieter herstellen, um Ressourcenmetadaten zu importieren.

Weitere Informationen finden Sie unter Verbindung zu AWS für die Erkennung von Sicherheitslücken und die Risikobewertung herstellen.

Funktionen zur Verwaltung von Sicherheitslücken und Sicherheitsstatus

Mit Security Command Center können Sicherheitsanalysten, Risikomanager und ähnliche Sicherheitsfachleute die folgenden Sicherheitsziele erreichen:

  • Erkennen verschiedener Arten von Sicherheitslücken, einschließlich Softwarelücken, Fehlkonfigurationen und Verstößen gegen die Sicherheitsanforderungen, die Ihre Cloud-Umgebungen anfällig für potenzielle Angriffe machen können.
  • Konzentrieren Sie Ihre Reaktion und Ihre Behebungsmaßnahmen auf die Probleme mit dem höchsten Risiko. Verwenden Sie dazu die Bewertungen der Angriffsbelastung für die Ergebnisse und Benachrichtigungen zu Sicherheitslücken.
  • Weisen Sie Eigentümer zu und verfolgen Sie den Fortschritt bei der Behebung von Sicherheitslücken, indem Sie Fälle verwenden und Ihre bevorzugten Ticketsysteme wie Jira oder ServiceNow einbinden.
  • Die wertvollen Ressourcen in Ihren Cloud-Umgebungen proaktiv schützen, indem Sie die Angriffsbewertungen senken
  • Definieren Sie benutzerdefinierte Sicherheitsstatus für Ihre Cloud-Umgebungen, die im Security Command Center verwendet werden, um Ihren Status zu bewerten und Sie auf Verstöße hinzuweisen.
  • Ergebnisse oder Benachrichtigungen, die falsch-positiv sind, stummschalten oder ausschließen
  • Konzentrieren Sie sich auf Sicherheitslücken, die sich auf Identitäten und übermäßige Berechtigungen beziehen.
  • Sicherheitslücken und Risikobewertungen für andere Cloud-Umgebungen wie AWS in Security Command Center erkennen und verwalten

Risiko mit Angriffsrisikobewertungen und Angriffspfaden bewerten

Bei einer Aktivierung der Premium- und Enterprise-Stufen auf Organisationsebene bietet Security Command Center Angriffsrisikobewertungen für hochwertige Ressourcen und die Ergebnisse zu Sicherheitslücken und Fehlkonfigurationen, die sich auf die hochwertigen Ressourcen auswirken.

Anhand dieser Bewertungen können Sie die Behebung von Sicherheitslücken und Fehlkonfigurationen priorisieren, die Sicherheit Ihrer am stärksten gefährdeten Ressourcen mit hohem Wert priorisieren und allgemein beurteilen, wie anfällig Ihre Cloud-Umgebungen für Angriffe sind.

Im Bereich Aktive Sicherheitslücken auf der Seite Risikoübersicht in der Google Cloud Console sehen Sie auf dem Tab Ergebnisse nach Angriffsrisikobewertung die Ergebnisse mit der höchsten Angriffsrisikobewertung in Ihrer Umgebung sowie die Verteilung der Bewertungen.

Weitere Informationen finden Sie unter Risikowerte für Angriffsrisikobewertungen und Angriffspfade.

Ergebnisse und Benachrichtigungen mithilfe von Fällen verwalten

In Security Command Center Enterprise werden Fälle erstellt, damit Sie Ergebnisse und Benachrichtigungen verwalten, Eigentümer zuweisen und die Untersuchungen und Reaktionen auf erkannte Sicherheitsprobleme verwalten können. Bei Problemen mit hohem und kritischem Schweregrad werden automatisch Supportanfragen erstellt.

Sie können Anfragen in Ihrem bevorzugten Ticketsystem wie Jira oder ServiceNow einbinden. Wenn Fälle aktualisiert werden, können alle offenen Tickets für den Fall automatisch aktualisiert werden. Wenn ein Ticket aktualisiert wird, kann auch der entsprechende Fall aktualisiert werden.

Weitere Informationen finden Sie in der Google SecOps-Dokumentation unter Übersicht über Anfragen.

Reaktionsabläufe und automatisierte Aktionen definieren

Definieren Sie Reaktionsabläufe und automatisieren Sie Aktionen, um die in Ihren Cloud-Umgebungen erkannten Sicherheitsprobleme zu untersuchen und darauf zu reagieren.

Weitere Informationen zum Definieren von Reaktionsabläufen und automatisierten Aktionen mit Playbooks finden Sie unter Mit Playbooks arbeiten.

Multi-Cloud-Unterstützung: Bereitstellungen auf anderen Cloud-Plattformen schützen

Sie können die Security Command Center-Dienste und -Funktionen auf Ihre Bereitstellungen auf anderen Cloud-Plattformen ausweiten, damit Sie alle Bedrohungen und Sicherheitslücken, die in Ihren Cloud-Umgebungen erkannt werden, an einem zentralen Ort verwalten können.

Weitere Informationen zum Verbinden von Security Command Center mit einem anderen Cloud-Dienstanbieter finden Sie auf den folgenden Seiten:

Unterstützte Cloud-Dienstanbieter

Security Command Center kann eine Verbindung zu Amazon Web Services (AWS) herstellen.

Sicherheitsstatus definieren und verwalten

Wenn Sie die Premium- und Enterprise-Stufen von Security Command Center auf Organisationsebene aktivieren, können Sie Sicherheitsstatus erstellen und verwalten, die den erforderlichen Status Ihrer Cloud-Assets, einschließlich Ihres Cloud-Netzwerks und Ihrer Cloud-Dienste, für eine optimale Sicherheit in Ihrer Cloud-Umgebung definieren. Sie können die Sicherheitspositionen an die Sicherheits- und rechtlichen Anforderungen Ihres Unternehmens anpassen. Wenn Sie einen Sicherheitsstatus definieren, können Sie die Cybersicherheitsrisiken für Ihre Organisation minimieren und dazu beitragen, Angriffe zu verhindern.

Mit dem Security Command Center-Dienst für den Sicherheitsstatus können Sie einen Sicherheitsstatus definieren und bereitstellen sowie Abweichungen oder nicht autorisierte Änderungen von Ihrem definierten Status erkennen.

Der Dienst zur Bewertung der Sicherheitslage wird automatisch aktiviert, wenn Sie Security Command Center auf Organisationsebene aktivieren.

Weitere Informationen finden Sie unter Sicherheitsstatus – Übersicht.

Assets identifizieren

Security Command Center enthält Asset-Informationen aus Cloud Asset Inventory, das Assets in Ihrer Cloudumgebung kontinuierlich überwacht. Bei den meisten Assets werden Konfigurationsänderungen, einschließlich IAM- und Organisationsrichtlinien, nahezu in Echtzeit erkannt.

Auf der Seite Assets in der Google Cloud Console können Sie schnell Beispiel-Asset-Abfragen anwenden, bearbeiten und ausführen, eine voreingestellte Zeitbeschränkung hinzufügen oder eigene Asset-Abfragen schreiben.

Wenn Sie die Premium- oder Enterprise-Stufe von Security Command Center haben, können Sie anhand von Angriffspfadsimulationen sehen, welche Ihrer Assets für Risikobewertungen als hochwertige Ressourcen eingestuft werden.

Sie können Änderungen in Ihrer Organisation oder Ihrem Projekt schnell erkennen und folgende Fragen beantworten:

  • Wie viele Projekte haben Sie und wann wurden sie erstellt?
  • Welche Google Cloud-Ressourcen sind bereitgestellt oder in Verwendung, wie virtuelle Maschinen (VMs) der Compute Engine, Cloud Storage-Buckets oder App Engine-Instanzen?
  • Wie sieht der Bereitstellungsverlauf aus?
  • Wie können Sie die folgenden Kategorien organisieren, kommentieren, in ihnen suchen, auswählen, filtern und sortieren?
    • Assets und Asset-Attribute
    • Sicherheitsmarkierungen, mit denen Sie Assets oder Ergebnisse in Security Command Center annotieren können
    • Zeitraum

Cloud Asset Inventory kennt immer den aktuellen Status der unterstützten Assets und in der Google Cloud Console können Sie frühere Discovery-Scans prüfen, um Assets zwischen zwei Zeitpunkten zu vergleichen. Sie können auch nach nicht ausgelasteten Assets wie virtuellen Maschinen oder inaktiven IP-Adressen suchen.

Gemini-Funktionen im Security Command Center

Security Command Center enthält Gemini, um Sie bei der Suche nach und Untersuchung von erkannten Bedrohungen und Sicherheitslücken zu unterstützen.

Informationen zu Gemini finden Sie unter Gemini – Übersicht.

Suche in natürlicher Sprache für Bedrohungsuntersuchungen

Mithilfe von Abfragen in natürlicher Sprache und Gemini können Sie nach Bedrohungsfunden, Benachrichtigungen und anderen Informationen suchen. Weitere Informationen finden Sie in der Google SecOps-Dokumentation unter Mit natürlicher Sprache UDM-Suchanfragen generieren.

KI-Prüf-Widget für Anfragen

Damit Sie Fälle besser nachvollziehen und auf Ergebnisse und Warnungen prüfen können, bietet Gemini eine Zusammenfassung jedes Falls und schlägt die nächsten Schritte für die Untersuchung vor. Zusammenfassung und nächste Schritte werden im Widget KI-Untersuchung angezeigt, wenn Sie sich einen Fall ansehen.

Umsetzbare Erkenntnisse zur Sicherheit

Die integrierten Google Cloud-Dienste von Security Command Center überwachen Ihre Assets und Logs kontinuierlich auf Indikatoren für Kompromisse und Konfigurationsänderungen, die bekannten Bedrohungen, Sicherheitslücken und Fehlkonfigurationen entsprechen. Um Kontext für Vorfälle zu bieten, werden Ergebnisse mit Informationen aus den folgenden Quellen angereichert:

  • Mit den Enterprise- und Premium-Stufen:
    • Die Ergebnisse zu Sicherheitslücken enthalten Informationen aus den entsprechenden CVE-Einträgen, einschließlich der CVE-Bewertung, sowie Bewertungen von Mandiant zu den potenziellen Auswirkungen und der potenziellen Ausnutzung der Sicherheitslücke.
    • Leistungsstarke SIEM- und SOAR-Suchfunktionen, mit denen Sie Bedrohungen und Sicherheitslücken untersuchen und verwandte Entitäten in einer einheitlichen Zeitachse durchblättern können.
  • VirusTotal, ein Alphabet-eigener Dienst, der Kontext zu potenziell schädlichen Dateien, URLs, Domains und IP-Adressen bereitstellt.
  • MITRE ATT&CK-Framework, das Techniken für Angriffe auf Cloud-Ressourcen erläutert und Anleitungen zur Behebung bietet
  • Cloud-Audit-Logs (Administratoraktivitätslogs und Datenzugriffslogs)

Sie erhalten Benachrichtigungen zu neuen Ergebnissen nahezu in Echtzeit, damit Ihre Sicherheitsteams Daten erheben, Bedrohungen ermitteln und Maßnahmen ergreifen können, bevor sie zu Schäden oder Verlusten für das Unternehmen führen.

Mit einer zentralen Übersicht über Ihre Sicherheitslage und einer robusten API können Sie schnell Folgendes tun:

  • Fragen beantworten, wie:
    • Welche statischen IP-Adressen sind öffentlich zugänglich?
    • Welche Images werden auf den VMs ausgeführt?
    • Gibt es Beweise, dass Ihre VMs für das Mining von Kryptowährungen oder andere missbräuchliche Vorgänge verwendet werden?
    • Welche Dienstkonten wurden hinzugefügt oder entfernt?
    • Wie werden Firewalls konfiguriert?
    • Welche Storage-Buckets enthalten personenbezogene Daten oder vertrauliche Daten? Für diese Funktion ist die Einbindung in Sensitive Data Protection erforderlich.
    • Welche Cloud-Anwendungen sind anfällig für XSS-Sicherheitslücken (Cross-Site-Scripting)?
    • Sind meine Cloud Storage-Buckets mit dem Internet verbunden?
  • Ergreifen Sie Maßnahmen, um Ihre Assets zu schützen:
    • Implementieren Sie bestätigte Korrekturschritte für Fehlkonfigurationen von Assets und Compliance-Verstöße.
    • Kombinieren Sie Bedrohungsinformationen von Google Cloud und Drittanbietern wie Palo Alto Networks, um Ihr Unternehmen besser vor kostspieligen Bedrohungen auf Computing-Ebene zu schützen.
    • Prüfen Sie, ob die entsprechenden IAM-Richtlinien vorhanden sind. Sie werden benachrichtigt, wenn Richtlinien falsch konfiguriert oder unerwartet geändert werden.
    • Integrieren Sie Ergebnisse aus Ihren eigenen oder Drittanbieterquellen für Google Cloud-Ressourcen oder andere Hybrid- oder Multi-Cloud-Ressourcen. Weitere Informationen finden Sie unter Sicherheitsdienst eines Drittanbieters hinzufügen.
    • Reagieren Sie auf Bedrohungen in Ihrer Google Workspace-Umgebung und auf unsichere Änderungen in Google Groups.

Fehlkonfigurationen zur Identitäts- und Zugriffssteuerung

Mit Security Command Center können Sie Fehlkonfigurationen von Identitäten und Zugriffen in Google Cloud leichter erkennen und beheben. Bei den Ergebnissen zu Fehlkonfigurationen werden Hauptkonten (Identitäten) identifiziert, die falsch konfiguriert sind oder übermäßige oder sensible IAM-Berechtigungen (Zugriff) auf Google Cloud-Ressourcen haben.

Cloud Infrastructure Entitlement Management

Die Verwaltung von Identitäts- und Zugriffsproblemen wird manchmal als Cloud Infrastructure Entitlement Management (CIEM) bezeichnet. Security Command Center bietet CIEM-Funktionen, die einen umfassenden Überblick über die Sicherheit der Identitäts- und Zugriffskonfiguration Ihrer Organisation bieten. Security Command Center bietet diese Funktionen für mehrere Cloud-Plattformen, darunter Google Cloud und Amazon Web Services (AWS). Mit CIEM können Sie sehen, welche Hauptkonten in Ihren Cloud-Umgebungen zu viele Berechtigungen haben. Neben Google Cloud IAM unterstützt CIEM die Möglichkeit, die Berechtigungen zu prüfen, die Principals von anderen Identitätsanbietern (z. B. Entra ID (Azure AD) und Okta) für Ihre Google Cloud-Ressourcen haben. Die schwerwiegendsten Identitäts- und Zugriffsprobleme verschiedener Cloud-Anbieter finden Sie in der Google Cloud Console auf der Seite Übersicht des Security Command Center im Bereich Ergebnisse zu Identität und Zugriff.

Weitere Informationen zu den CIEM-Funktionen von Security Command Center finden Sie unter Cloud Infrastructure Entitlement Management – Übersicht.

Vordefinierte Abfragen für Identität und Zugriff

Auf der Seite Sicherheitslücke in der Google Cloud Console können Sie Abfragevorlagen (vordefinierte Abfragen) auswählen, die die Sicherheitslücken-Erkennungsmechanismen oder ‑kategorien anzeigen, die sich auf Identität und Zugriff beziehen. Für jede Kategorie wird die Anzahl der aktiven Ergebnisse angezeigt.

Weitere Informationen zu Abfragevorlagen finden Sie unter Abfragevorlagen anwenden.

Einhaltung von Branchenstandards verwalten

Security Command Center überwacht Ihre Compliance mithilfe von Detektoren, die den Steuerelementen einer Vielzahl von Sicherheitsstandards zugeordnet sind.

Für jeden unterstützten Sicherheitsstandard wird in Security Command Center ein Teil der Steuerelemente geprüft. Für die aktivierten Steuerelemente sehen Sie im Security Command Center, wie viele davon bestanden haben. Für die Kontrollen, die nicht bestanden haben, wird in Security Command Center eine Liste mit Ergebnissen angezeigt, die die Kontrollfehler beschreiben.

Das CIS prüft und zertifiziert die Zuordnungen der Security Command Center-Detektoren zu den einzelnen unterstützten Versionen des CIS Google Cloud Foundations Benchmarks. Zusätzliche Compliance-Zuordnungen sind nur zu Referenzzwecken enthalten.

In Security Command Center werden regelmäßig neue Benchmarkversionen und -standards unterstützt. Ältere Versionen werden weiterhin unterstützt, aber irgendwann eingestellt. Wir empfehlen, den neuesten unterstützten Benchmark oder Standard zu verwenden.

Mit dem Dienst zum Bestimmen des Sicherheitsstatus können Sie Organisationsrichtlinien und Security Health Analytics-Detektoren den Standards und Kontrollen zuordnen, die für Ihr Unternehmen gelten. Nachdem Sie eine Sicherheitskonfiguration erstellt haben, können Sie Änderungen an der Umgebung überwachen, die sich auf die Compliance Ihres Unternehmens auswirken könnten.

Weitere Informationen zum Verwalten der Compliance finden Sie unter Compliance mit Sicherheitsstandards prüfen und melden.

Unterstützte Sicherheitsstandards

Google Cloud

In Security Command Center werden Detektoren für Google Cloud einem oder mehreren der folgenden Compliance-Standards zugeordnet:

AWS

In Security Command Center werden Detektoren für Amazon Web Services (AWS) einem oder mehreren der folgenden Compliancestandards zugeordnet:

Flexible Plattform für Ihre Sicherheitsanforderungen

Security Command Center bietet Anpassungs- und Integrationsoptionen, mit denen Sie den Dienst optimieren können, um Ihren sich ändernden Sicherheitsanforderungen gerecht zu werden.

Anpassungsoptionen

Zu den Anpassungsoptionen gehören:

Integrationsoptionen

Folgende Integrationsoptionen stehen zur Verfügung:

Verwendungsweise von Security Command Center

Die folgende Tabelle enthält allgemeine Produktfeatures, Anwendungsfälle und Links zu relevanten Dokumentationen, damit Sie die benötigten Inhalte schnell finden können.

Feature Anwendungsfälle Verwandte Dokumente
Asset-Identifikation und -Überprüfung
  • Alle Assets, Dienste und Daten aus Ihrer Organisation oder Ihrem Projekt sowie aus Ihren Cloud-Plattformen an einem Ort ansehen.
  • Bewerten Sie Sicherheitslücken für unterstützte Assets und ergreifen Sie Maßnahmen, um Korrekturen für die schwerwiegendsten Probleme zu priorisieren.

Best Practices für das Security Command Center

Zugriffskontrolle

Security Command Center in der Google Cloud Console verwenden

Identifikation von vertraulichen Daten
  • Mit dem Schutz sensibler Daten können Sie herausfinden, wo sensible und regulierte Daten gespeichert werden.
  • Verhindern Sie unbeabsichtigte Gefährdungen und achten Sie darauf, dass nur Personen mit berechtigtem Interesse Zugriff erhalten.
  • Ressourcen mit Daten mit mittlerer oder hoher Vertraulichkeit automatisch als _high-value resources kennzeichnen
Ergebnisse des Schutzes sensibler Daten an das Security Command Center senden
Integration von SIEM- und SOAR-Produkten von Drittanbietern
  • Security Command Center-Daten ganz einfach in externe SIEM- und SOAR-Systeme exportieren.

Security Command Center-Daten exportieren

Kontinuierliche Exporte

Erkennung von fehlerhafter Konfiguration
  • Fehlkonfigurationen erkennen, die Ihre Cloud-Infrastruktur angreifbar machen können.
  • Fehlkonfigurationen in Ihren Bereitstellungen bei anderen Cloud-Dienstanbietern erkennen.
  • Sie können die Einhaltung von Sicherheitsstandards verbessern, indem Sie sich die Ergebnisse zu Fehlkonfigurationen nach den Sicherheitsstandardkontrollen ansehen, gegen die sie verstoßen.
  • Priorisieren Sie die Behebung von Fehlkonfigurationen nach Angriffsbewertung.

Security Health Analytics

Web Security Scanner – Übersicht

Ergebnisse zu Sicherheitslücken

Erkennung von Softwarelücken
  • Softwarelücken in Arbeitslasten auf virtuellen Maschinen und Containern bei verschiedenen Cloud-Dienstanbietern erkennen
  • Lassen Sie sich proaktiv über neue Sicherheitslücken und Änderungen auf Ihrer Angriffsfläche informieren.
  • Ermitteln Sie häufige Sicherheitslücken wie Cross-Site-Scripting (XSS) und Flash Injection, die Ihre Anwendungen gefährden.
  • Mit Security Command Center Premium können Sie Sicherheitslücken anhand von CVE-Informationen priorisieren, einschließlich Bewertungen der Ausnutzbarkeit und Auswirkungen von Mandiant.

GKE-Sicherheitsstatus-Dashboard

VM Manager

Web Security Scanner – Übersicht

Ergebnisse zu Sicherheitslücken

Identitäts- und Zugriffssteuerung überwachen
  • Stellen Sie sicher, dass die entsprechenden Richtlinien zur Zugriffssteuerung für Ihre Google Cloud-Ressourcen vorhanden sind. Sie werden benachrichtigt, wenn Richtlinien falsch konfiguriert oder unerwartet geändert werden.
  • Mit Abfragevorlagen können Sie sich schnell Ergebnisse zu Fehlkonfigurationen von Identitäten und Zugriffen sowie zu Rollen mit zu vielen Berechtigungen ansehen.

IAM Recommender

Zugriffskontrolle

Fehlkonfigurationen zur Identitäts- und Zugriffssteuerung

Bedrohungserkennung
  • Ermitteln Sie bösartige Aktivitäten und Nutzer in Ihrer Infrastruktur und erhalten Sie Benachrichtigungen bei aktiven Bedrohungen.
  • Bedrohungen auf anderen Cloud-Plattformen erkennen

Bedrohungen verwalten

Event Threat Detection – Übersicht

Container Threat Detection – Übersicht

Fehlererkennung
  • Benachrichtigungen zu Fehlern und Fehlkonfigurationen erhalten, die verhindern, dass Security Command Center und seine Dienste wie vorgesehen funktionieren.
Security Command Center-Fehler – Übersicht
Maßnahmen priorisieren
  • Verwenden Sie Angriffsrisikowerte, um die Behebung von Sicherheitslücken und Fehlkonfigurationen zu priorisieren.
  • Verwenden Sie Bewertungen der Angriffsgefahr für Ressourcen, um die für Ihr Unternehmen wertvollsten Ressourcen proaktiv zu schützen.
Übersicht über Angriffsrisikobewertungen und Angriffspfade
Risiken beheben
  • Implementieren Sie verifizierte und empfohlene Anweisungen zur Fehlerbehebung, um Assets schnell zu schützen.
  • Konzentrieren Sie sich auf die wichtigsten Felder in einem Ergebnis, um Sicherheitsanalysten schnell die Möglichkeit zu geben, fundierte Entscheidungen zu treffen.
  • Reichern Sie zugehörige Sicherheitslücken und Bedrohungen an und verbinden Sie sie, um TTPs zu identifizieren und zu erfassen.
  • Beheben Sie Fehler und Fehlkonfigurationen, die verhindern, dass Security Command Center und seine Dienste wie vorgesehen funktionieren.

Bedrohungen untersuchen und darauf reagieren

Behebung von Security Health Analytics-Ergebnissen

Web Security Scanner-Ergebnisse beheben

Automatisierung der Sicherheitsantwort

Fehler im Security Command Center beheben

Statusverwaltung
  • Sorgen Sie dafür, dass Ihre Arbeitslasten den Sicherheitsstandards, Compliance-Bestimmungen und den benutzerdefinierten Sicherheitsanforderungen Ihrer Organisation entsprechen.
  • Wenden Sie Ihre Sicherheitskontrollen auf Google Cloud-Projekte, -Ordner oder -Organisationen an, bevor Sie Arbeitslasten bereitstellen.
  • Überwachen Sie kontinuierlich Abweichungen von Ihren definierten Sicherheitskontrollen und beheben Sie diese.

Sicherheitsstatus

Sicherheitsstatus verwalten

Eingaben von Sicherheitstools von Drittanbietern
  • Integrieren Sie die Ausgabe Ihrer vorhandenen Sicherheitstools wie Cloudflare, CrowdStrike, Prisma Cloud von Palo Alto Networks und Qualys in das Security Command Center. Durch die Einbindung der Ausgabe können Sie Folgendes erkennen:

    • DDoS-Angriffe
    • Manipulierte Endpunkte
    • Compliance-Richtlinienverstöße
    • Netzwerkangriffe
    • Sicherheitslücken und Bedrohungen für Instanzen

Security Command Center konfigurieren

Sicherheitsquellen erstellen und verwalten

Benachrichtigungen in Echtzeit
  • Erhalten Sie Security Command Center-Benachrichtigungen per E-Mail, SMS, Slack, WebEx und anderen Diensten mit Pub/Sub-Benachrichtigungen.
  • Passen Sie Ergebnisfilter an, um Ergebnisse auf Zulassungslisten auszuschließen.

Ergebnisbenachrichtigungen einrichten

E-Mail- und Chatbenachrichtigungen in Echtzeit aktivieren

Sicherheitsmarkierungen verwenden

Security Command Center-Daten exportieren

Benachrichtigungen filtern

Assets zu Zulassungslisten hinzufügen

REST API und Client-SDKs
  • Verwenden Sie die Security Command Center REST API oder Client-SDKs, um die Einbindung in Ihre vorhandenen Sicherheitssysteme und Workflows zu vereinfachen.

Security Command Center konfigurieren

Security Command Center-Clientbibliotheken

Security Command Center API

Steuerelemente für den Datenstandort

Wenn Sie Security Command Center Standard oder Premium zum ersten Mal aktivieren, können Sie die Datenstandortkontrollen aktivieren, um die Anforderungen an den Datenstandort zu erfüllen.

Wenn Sie die Datenstandortkontrollen aktivieren, werden die Speicherung und Verarbeitung von Security Command Center-Ergebnissen, Stummschaltungsregeln, kontinuierlichen Exporten und BigQuery-Exporten auf eine der Multi-Regionen mit Datenspeicherort beschränkt, die von Security Command Center unterstützt werden.

Weitere Informationen finden Sie unter Datenspeicherort planen.

Security Command Center-Dienststufen

Security Command Center bietet drei Dienststufen: Standard, Premium und Enterprise.

Die ausgewählte Stufe bestimmt die Funktionen und Dienste, die mit Security Command Center verfügbar sind.

Wenn Sie Fragen zu den Security Command Center-Dienststufen haben, wenden Sie sich an Ihren Account Manager oder den Google Cloud-Vertrieb.

Informationen zu den Kosten für die Verwendung einer Security Command Center-Stufe finden Sie unter Preise.

Standardstufe

Die Standardstufe umfasst die folgenden Dienste und Funktionen:

  • Security Health Analytics: In der Standardstufe bietet Security Health Analytics verwaltetes Scannen der Sicherheitslückenbewertung für Google Cloud, mit dem automatisch die höchsten Sicherheitslücken und Fehlkonfigurationen für Ihre Google Cloud-Assets erkannt werden. In der Standard-Stufe umfasst Security Health Analytics die folgenden Ergebnistypen:

    • Dataproc image outdated
    • Legacy authorization enabled
    • MFA not enforced
    • Non org IAM member
    • Open ciscosecure websm port
    • Open directory services port
    • Open firewall
    • Open group IAM member
    • Open RDP port
    • Open SSH port
    • Open Telnet port
    • Public bucket ACL
    • Public Compute image
    • Public dataset
    • Public IP address
    • Public log bucket
    • Public SQL instance
    • SSL not enforced
    • Web UI enabled
  • Benutzerdefinierte Web Security Scanner-Analysen: In der Standardstufe unterstützt Web Security Scanner benutzerdefinierte Scans bereitgestellter Anwendungen mit öffentlichen URLs und IP-Adressen, die sich nicht hinter einer Firewall befinden. Scans werden manuell für alle Projekte konfiguriert, verwaltet und ausgeführt und unterstützen einen Teil der Kategorien in OWASP Top Ten.
  • Security Command Center-Fehler: Security Command Center bietet Erkennungshinweise und Korrekturrichtlinien für Konfigurationsfehler, die verhindern, dass Security Command Center und seine Dienste ordnungsgemäß funktionieren.
  • Kontinuierliche Exporte, die den Export neuer Ergebnisse nach Pub/Sub automatisch verwalten
  • Zugriff auf integrierte Google Cloud-Dienste, einschließlich der folgenden:

    • Der Schutz sensibler Daten erkennt, klassifiziert und schützt sensible Daten.
    • Google Cloud Armor schützt Google Cloud-Deployments vor Bedrohungen.
    • Die Anomalieerkennung identifiziert Sicherheitsanomalien für Ihre Projekte und VM-Instanzen, z. B. potenzielle gehackte Anmeldedaten und Mining von Kryptowährungen.
    • Mit Policy Controller können Sie programmierbare Richtlinien für Ihre Kubernetes-Cluster anwenden und erzwingen.
  • Ergebnisse des GKE-Sicherheitsstatus-Dashboards: Sie können sich Ergebnisse zu Fehlkonfigurationen der Sicherheit von Kubernetes-Arbeitslasten, umsetzbaren Sicherheitsbulletins und Sicherheitslücken im Containerbetriebssystem oder in Sprachpaketen ansehen. Die Einbindung der Ergebnisse des GKE-Dashboards für den Sicherheitsstatus in das Security Command Center ist in der Vorabversion verfügbar.
  • Einbindung in BigQuery, wodurch Ergebnisse zur Analyse in BigQuery exportiert werden.
  • Sensitive Actions Service, der erkennt, wenn in Ihrer Google Cloud-Organisation, in Ihren Ordnern und in Ihren Projekten Aktionen ausgeführt werden, die für Ihr Unternehmen schädlich sein könnten, wenn sie von einem böswilligen Akteur ausgeführt werden.
  • Wenn Security Command Center auf Organisationsebene aktiviert ist, können Sie Nutzern IAM-Rollen auf Organisations-, Ordner- und Projektebene zuweisen.
  • Datenstandortsteuerungen, die die Speicherung und Verarbeitung von Security Command Center-Ergebnissen, Stummschaltungsregeln, kontinuierlichen Exporten und BigQuery-Exporten in eine der Multi-Regionen für den Datenstandort einschränken, die von Security Command Center unterstützt werden.

    Weitere Informationen finden Sie unter Datenspeicherort planen.

Premium-Stufe

Die Premium-Stufe umfasst alle Dienste und Funktionen der Standardstufe sowie die folgenden zusätzlichen Dienste und Funktionen:

  • Angriffspfadsimulationen helfen Ihnen, Sicherheitslücken und Fehlkonfigurationen zu identifizieren und zu priorisieren, indem die Pfade ermittelt werden, über die ein potenzieller Angreifer auf Ihre wertvollen Ressourcen zugreifen könnte. Bei den Simulationen werden Angriffsrisikobewertungen für alle Ergebnisse berechnet und zugewiesen, die diese Ressourcen offenlegen. Interaktive Angriffspfade helfen Ihnen, die möglichen Angriffspfade zu visualisieren. Außerdem erhalten Sie Informationen zu den Pfaden, zugehörigen Ergebnissen und betroffenen Ressourcen.
  • Die Ergebnisse zu Sicherheitslücken umfassen CVE von Mandiant, mit denen Sie die Behebung priorisieren können.

    Auf der Seite Übersicht in der Console werden im Abschnitt Top CVE-Ergebnisse Sicherheitslücken nach ihrer Ausnutzbarkeit und potenziellen Auswirkungen gruppiert, wie von Mandiant bewertet. Auf der Seite Ergebnisse können Sie Ergebnisse nach CVE-ID abfragen.

    Weitere Informationen finden Sie unter CVEs nach Auswirkung und Ausnutzbarkeit priorisieren.

  • Event Threat Detection überwacht Cloud Logging und Google Workspace. Dabei werden Bedrohungsinformationen, maschinelles Lernen und andere erweiterte Methoden verwendet, um Bedrohungen wie Malware, Kryptowährungs-Mining und Datenexfiltration zu erkennen. Eine vollständige Liste der integrierten Event Threat Detection-Detektoren finden Sie unter Event Threat Detection-Regeln. Sie können auch benutzerdefinierte Detektoren für die Ereignisbedrohungserkennung erstellen. Informationen zu Modulvorlagen, mit denen Sie benutzerdefinierte Erkennungsregeln erstellen können, finden Sie unter Übersicht über benutzerdefinierte Module für Event Threat Detection.
  • Container Threat Detection erkennt die folgenden Container-Laufzeitangriffe:
    • Ausgeführte Binärdatei hinzugeführt
    • Hinzugefügte Mediathek geladen
    • Ausführung: Ausgeführte schädliche Binärdatei hinzugefügt
    • Ausführung: Hinzugefügte schädliche Mediathek geladen
    • Ausführung: Eingebaute schädliche Binärdatei ausgeführt
    • Ausführung: Container-Escape
    • Ausführung: Ausführung des Kubernetes-Angriffstools
    • Ausführung: Ausführung des lokalen Aufklärungstools
    • Ausführung: Modifizierte schädliche Binärdatei ausgeführt
    • Ausführung: Modifizierte schädliche Bibliothek geladen
    • Schädliches Script ausgeführt
    • Reverse Shell
    • Unerwartete untergeordnete Shell
  • Die folgenden Policy Intelligence-Funktionen sind verfügbar:

    • Erweiterte IAM Recommender-Funktionen, darunter:
      • Empfehlungen für Rollen, die nicht zu den einfachen Rollen gehören
      • Empfehlungen für Rollen, die für andere Ressourcen als Organisationen, Ordner und Projekte gewährt wurden, z. B. Empfehlungen für Rollen, die für Cloud Storage-Buckets gewährt wurden
      • Empfehlungen für benutzerdefinierte Rollen
      • Richtlinienstatistiken
      • Statistiken zum „Lateral Movement“
    • Policy Analyzer im großen Maßstab (mehr als 20 Abfragen pro Organisation und Tag) Dieses Limit gilt für alle Policy Analyzer-Tools.
    • Visualisierungen für die Analyse von Organisationsrichtlinien
  • Sie können Assets in Cloud Asset Inventory abfragen.
  • Virtual Machine Threat Detection erkennt potenziell schädliche Anwendungen, die in VM-Instanzen ausgeführt werden.
  • Security Health Analytics in der Premium-Stufe umfasst die folgenden Funktionen:

    • Verwaltete Sicherheitslückenscans für alle Security Health Analytics-Detektoren
    • Überwachung vieler Branchen-Best Practices
    • Compliance-Monitoring Security Health Analytics-Detektoren werden den Kontrollen der gängigen Sicherheitsmesswerte zugeordnet.
    • Unterstützung für benutzerdefinierte Module, mit denen Sie eigene benutzerdefinierte Security Health Analytics-Detektoren erstellen können.

    In der Premium-Stufe unterstützt Security Health Analytics die Standards, die unter Compliance mit Branchenstandards verwalten beschrieben sind.

  • Web Security Scanner in der Premium-Stufe umfasst alle Features der Standard-Stufe und zusätzliche Detektoren, die Kategorien in den OWASP Top Ten unterstützen. Web Security Scanner fügt außerdem verwaltete Scans hinzu, die automatisch konfiguriert werden.
  • Compliance-Monitoring für Ihre Google Cloud-Assets

    Um die Einhaltung gängiger Sicherheitsmesswerte und ‑standards zu messen, werden die Detektoren der Sicherheitslückenscanner von Security Command Center gängigen Sicherheitskontrollelementen zugeordnet.

    Sie können unter anderem prüfen, ob Sie die Standards einhalten, nicht konforme Steuerelemente identifizieren und Berichte exportieren. Weitere Informationen finden Sie unter Einhaltung von Sicherheitsstandards prüfen und melden.

  • Sie können zusätzliche Kontingente für Cloud Asset Inventory anfordern, wenn erweitertes Asset-Monitoring erforderlich ist.
  • Mit dem Dienst zum Bestimmen des Sicherheitsstatus können Sie den Gesamtstatus Ihrer Sicherheit in Google Cloud definieren, bewerten und überwachen. Wenn Sie den Dienst zur Bewertung der Sicherheitslage verwenden möchten, müssen Sie die Premium-Stufe von Security Command Center auf Organisationsebene aktivieren.
  • Mit der IaC-Validierung können Sie Ihre IaC (Infrastruktur als Code) anhand der Organisationsrichtlinien und Security Health Analytics-Detektoren validieren, die Sie in Ihrer Google Cloud-Organisation definiert haben. Wenn Sie die IaC-Validierung verwenden möchten, müssen Sie die Premium-Stufe von Security Command Center auf Organisationsebene aktivieren.
  • VM Manager-Berichte zu Sicherheitslücken
    • Wenn Sie VM Manager aktivieren, schreibt der Dienst die Erkenntnisse aus seinen Berichten zu Sicherheitslücken, die sich in der Vorschau befinden, automatisch in das Security Command Center. Die Berichte identifizieren Sicherheitslücken in den Betriebssystemen, die auf virtuellen Compute Engine-Maschinen installiert sind. Weitere Informationen finden Sie unter VM Manager.

Unternehmensstufe

Die Enterprise-Stufe ist eine vollständige cloudnative Plattform für den Anwendungsschutz (CNAPP), mit der SOC-Analysten, Sicherheitsanalysten und andere Cloud-Sicherheitsexperten die Sicherheit an mehreren Cloud-Dienstanbietern an einem zentralen Ort verwalten können.

Die Enterprise-Stufe bietet Funktionen zur Erkennung und Untersuchung, Unterstützung bei der Fallverwaltung und das Management des Sicherheitsstatus. Außerdem können Sie benutzerdefinierte Sicherheitsstatusregeln definieren und bereitstellen sowie das Risiko, das Sicherheitslücken und Fehlkonfigurationen für Ihre Cloud-Umgebung darstellen, quantifizieren und visualisieren.

Die Enterprise-Stufe umfasst alle Dienste und Funktionen der Standard- und Premium-Stufen sowie die folgenden zusätzlichen Dienste und Funktionen:

Funktionen und Dienste der Enterprise-Stufe – Zusammenfassung

Die Enterprise-Stufe umfasst alle Dienste und Funktionen der Standard- und Premium-Stufen, die allgemein verfügbar sind.

Die Enterprise-Stufe bietet die folgenden Dienste und Funktionen in Security Command Center:

  • Erkennung schädlicher Kombinationen, basierend auf der Risiko-Engine von Security Command Center Weitere Informationen finden Sie unter Übersicht über toxische Kombinationen.
  • Unterstützung für Multi-Cloud. Sie können Security Command Center mit anderen Cloud-Anbietern wie AWS verbinden, um Bedrohungen, Sicherheitslücken und Fehlkonfigurationen zu erkennen. Nachdem Sie Ihre wertvollen Ressourcen beim anderen Anbieter angegeben haben, können Sie deren Angriffsrisiko auch mithilfe von Angriffsrisikobewertungen und Angriffspfaden bewerten.
  • SIEM-Funktionen (Security Information and Event Management) für Cloud-Umgebungen Logs und andere Daten auf Bedrohungen in mehreren Cloud-Umgebungen scannen, Regeln zur Bedrohungserkennung definieren und in den erfassten Daten suchen Weitere Informationen finden Sie in der Google SecOps-Dokumentation zu SIEM.
  • SOAR-Funktionen (Sicherheitsorchestrierung, Automatisierung und Reaktion) für Cloud-Umgebungen Sie können Anfragen verwalten, Reaktionsabläufe definieren und in den Antwortdaten suchen. Weitere Informationen finden Sie in der Google SecOps-SOAR-Dokumentation.
  • CIEM-Funktionen (Cloud Infrastructure Entitlement Management) für Cloud-Umgebungen Hauptkonten (Identitäten) identifizieren, die falsch konfiguriert sind oder denen zu viele oder sensible IAM-Berechtigungen (Zugriff) für Ihre Cloud-Ressourcen gewährt wurden Weitere Informationen finden Sie unter Übersicht über Cloud Infrastructure Entitlement Management.
  • Erweiterte Erkennung von Softwarelücken in VMs und Containern in Ihren Cloud-Umgebungen mit den folgenden integrierten Google Cloud-Diensten:
    • Google Kubernetes Engine (GKE) Enterprise Edition
    • Sicherheitslückenbewertung für AWS
    • VM Manager

Funktionen der Enterprise-Stufe, die auf Google Security Operations basieren

Die Fallverwaltungsfunktion, Playbook-Funktionen und andere SIEM- und SOAR-Funktionen der Enterprise-Stufe von Security Command Center basieren auf Google Security Operations. Wenn Sie einige dieser Funktionen verwenden, wird in der Weboberfläche möglicherweise der Name „Google SecOps“ angezeigt und Sie werden zur Google SecOps-Dokumentation weitergeleitet.

Bestimmte Google SecOps-Funktionen werden von Security Command Center nicht unterstützt oder sind dort eingeschränkt. In frühen Abos der Enterprise-Stufe ist ihre Verwendung jedoch möglicherweise nicht deaktiviert oder eingeschränkt. Verwenden Sie die folgenden Funktionen nur im Rahmen der angegebenen Einschränkungen:

  • Die Aufnahme von Cloud-Logs ist auf Logs beschränkt, die für die Erkennung von Cloud-Bedrohungen relevant sind, z. B.:

    • Google Cloud

      • Cloud-Audit-Logs: Administratoraktivitätsprotokolle
      • Cloud-Audit-Logs: Logs zum Datenzugriff
      • Compute Engine-Syslog
      • GKE-Audit-Log
    • Google Workspace

      • Google Workspace-Ereignisse
      • Google Workspace-Benachrichtigungen
    • AWS

      • CloudTrail-Audit-Logs
      • Syslog
      • Auth-Logs
      • GuardDuty-Ereignisse
  • Ausgewählte Erkennungen sind auf Bedrohungen in Cloud-Umgebungen beschränkt.

  • Google Cloud Marketplace-Integrationen sind auf Folgendes beschränkt:

    • Siemplify
    • Tools
    • VirusTotal V3
    • Google Cloud Asset Inventory
    • Google Security Command Center
    • Jira
    • Funktionen
    • Google Cloud IAM
    • E-Mail V2
    • Google Cloud Compute
    • Google Chronicle
    • Mitre Att&ck
    • Mandiant Threat Intelligence
    • Google Cloud Policy Intelligence
    • Google Cloud Recommender
    • Siemplify-Dienstprogramme
    • Service Now
    • CSV
    • SCC Enterprise
    • AWS IAM
    • AWS EC2
  • Die Anzahl der benutzerdefinierten Regeln für einzelne Ereignisse ist auf 20 Regeln beschränkt.

  • Risikoanalysen für UEBA (Analysen des Nutzer- und Entitätsverhaltens) sind nicht verfügbar.

  • Angewandte Bedrohungsinformationen sind nicht verfügbar.

  • Der Gemini-Support für Google SecOps ist auf die Suche in natürlicher Sprache und Zusammenfassungen von Fallprüfungen beschränkt.

  • Die Datenaufbewahrung ist auf drei Monate beschränkt.

Aktivierungsstufen von Security Command Center

Sie können Security Command Center für ein einzelnes Projekt (Aktivierung auf Projektebene) oder für eine ganze Organisation (Aktivierung auf Organisationsebene) aktivieren.

Für die Enterprise-Stufe ist eine Aktivierung auf Organisationsebene erforderlich.

Weitere Informationen zur Aktivierung von Security Command Center finden Sie unter Security Command Center aktivieren.

Nächste Schritte