Diese Seite bietet einen Überblick über Security Command Center, eine Risikomanagementlösung die in Verbindung mit der Stufe „Enterprise“ Cloud Security und Enterprise Security Operations und liefert Einblicke von Mandiant und der künstlichen Intelligenz von Gemini.
Security Command Center ermöglicht Sicherheitsvorgänge SOC-Analysten, Schwachstellen- und Sicherheitsanalysten, Compliance und anderen Sicherheitsfachleuten schnell bewerten, untersuchen, und auf Sicherheitsprobleme über mehrere Cloud-Umgebungen.
Jede Cloud-Bereitstellung birgt besondere Risiken. Security Command Center kann helfen Sie die Angriffsfläche Ihrer Projekte oder Unternehmen in Google Cloud und die Angriffsfläche Ihren anderen Cloud-Umgebungen. Richtig konfiguriert zum Schutz Ihrer Ressourcen, Security Command Center kann Ihnen helfen, Sicherheitslücken auszumachen und Bedrohungen, die in Ihren Cloud-Umgebungen erkannt wurden, und priorisieren ihre Fehlerbehebungen.
Security Command Center ist in viele Google Cloud-Dienste eingebunden um Sicherheitsprobleme in mehreren Cloud-Umgebungen zu erkennen. Diese Dienste auf vielfältige Weise erkennen, z. B. durch das Scannen von Ressourcenmetadaten, Scannen von Cloud-Logs und von Containern sowie von virtuellen Maschinen.
Einige dieser integrierten Dienste, z. B. Google Security Operations und Mandiant, bieten auch Funktionen und Informationen, wichtig für die Priorisierung und Verwaltung Ihrer Untersuchungen und Reaktionen zu erkannten Problemen.
Bedrohungen verwalten
In der Premium- und der Enterprise-Stufe verwendet Security Command Center sowohl integrierte und integrierte Google Cloud-Dienste zur Erkennung von Bedrohungen. Diese Dienste scannen Ihre Google Cloud-Logs, und virtuelle Maschinen nach Bedrohungsindikatoren suchen.
Wenn diese Dienste, z. B. Event Threat Detection oder Container Threat Detection, erkennen, als Bedrohungsindikator, geben sie eine Befindung aus. Ein Ergebnis ist ein Bericht oder ein Datensatz einzelner Bedrohungen oder eines anderen Problems, ein Dienst in Ihrer Cloud-Umgebung gefunden hat. Die betreffenden Dienste Ergebnisse werden auch als Ergebnisquellen bezeichnet.
In Security Command Center Enterprise lösen Ergebnisse Benachrichtigungen aus, die je nach Schweregrad des Ergebnisses kann einen Fall erstellen. Sie können einen Fall mit einem Ticketing-System verwenden, um Zuweisen von Verantwortlichen für die Untersuchung von und die Reaktion auf eine oder mehrere Benachrichtigungen im Fall. Die Erstellung von Benachrichtigungen und Fällen in Security Command Center Powered by Google SecOps
Security Command Center Enterprise kann auch Bedrohungen in Ihren Bereitstellungen erkennen auf anderen Cloud-Plattformen. Um Bedrohungen in Bereitstellungen auf anderen Cloud-Plattformen zu erkennen, Security Command Center nimmt die Logs aus der anderen Cloud-Plattform auf, nachdem Sie eine Verbindung herstellen. Aufnahme von Logs aus anderen Cloud-Plattformen wird von Google SecOps bereitgestellt.
Weitere Informationen finden Sie auf den folgenden Seiten:
- Sicherheitsquellen für Bedrohungen
- Google SecOps-Dokumentation
- Ergebnisse und Benachrichtigungen mit Supportanfragen verwalten
Funktionen zur Bedrohungserkennung und -abwehr
Security Command Center bietet SOC-Analysten folgende Sicherheit: Ziele:
- Ereignisse in Ihren Cloud-Umgebungen erkennen, die auf eine potenzielle Bedrohung hindeuten, und die damit verbundenen Ergebnisse oder Benachrichtigungen zu priorisieren.
- Weisen Sie Inhaber zu und verfolgen Sie den Fortschritt von Prüfungen und Antworten mit einem integrierten Fall-Workflow. Optional können Sie Ihre bevorzugten wie Jira oder ServiceNow.
- Bedrohungswarnungen mit leistungsstarken Suchfunktionen und Querverweisen untersuchen Funktionen.
- Reaktionsworkflows definieren und Maßnahmen automatisieren, um potenzielle Kunden zu erreichen auf Ihre Cloud-Umgebungen. Weitere Informationen zum Definieren Reaktionsworkflows und automatisierte Aktionen mit Playbooks, die bereitgestellt von Google SecOps, siehe Mit Playbooks arbeiten.
- Falsch positive Ergebnisse oder Benachrichtigungen ausblenden oder ausschließen.
- Konzentrieren Sie sich auf Bedrohungen im Zusammenhang mit gehackten Identitäten und Zugriffsberechtigungen.
- Nutzen Sie Security Command Center, um potenzielle in anderen Cloud-Umgebungen wie AWS.
Sicherheitslücken verwalten
Security Command Center bietet eine umfassende Erkennung von Sicherheitslücken, die Ressourcen in Ihrer Umgebung automatisch auf Sicherheitslücken in Software, Fehlkonfigurationen und andere Arten von Sicherheit die Sie einem Angriff aussetzen können. Zusammen sind diese Art von Problemen zusammenfassend als Sicherheitslücken bezeichnet.
Security Command Center nutzt sowohl integrierte integrierte Google Cloud-Dienste zur Erkennung von Sicherheitsproblemen. Die Dienste, die Ergebnisse liefern, werden auch als Findungsquellen bezeichnet. Wenn ein Dienst ein Problem erkennt, wird ein Ergebnis ausgegeben, um das Problem aufzuzeichnen.
Fälle mit hohem Schweregrad und mit hohem Schweregrad werden standardmäßig automatisch geöffnet. Ergebnisse mit kritischem Schweregrad, um Ihnen bei der Priorisierung und Abhilfe schaffen. Sie können Inhaber zuweisen und den Fortschritt der Korrektur verfolgen Bemühungen um einen Fall.
Hier finden Sie weitere Informationen:
- Ergebnisse und Benachrichtigungen mit Anfragen verwalten
- Dienste zur Erkennung von Sicherheitslücken und Fehlkonfigurationen
Schädliche Kombinationen
Security Command Center Risk Engine, eine Funktion des Enterprise- erkennt Gruppen von Sicherheitsproblemen, wenn sie gemeinsam auftreten. in einem bestimmten Muster enthalten, erstellen Sie einen Pfad zu einem oder mehreren Ihrer hochwertige Ressourcen, die ein erkannter Angreifer potenziell nutzen könnte um diese Ressourcen zu erreichen und zu kompromittieren.
Diese Art von gemusterten Gruppen von Sicherheitsproblemen toxische Kombination. Wenn Risk Engine eine toxische Kombination erkennt, gibt es ein Ergebnis. Für jedes Ergebnis einer unangemessenen Kombination Security Command Center erstellt einen Fall in der Security Operations-Konsole, damit Sie die Wirkung der schädlichen Kombination verwalten und verfolgen können.
Weitere Informationen finden Sie unter Übersicht über unangemessene Kombinationen.
Sicherheitslücken in der Software
Damit Sie Sicherheitslücken besser erkennen, verstehen und priorisieren können, Security Command Center kann die virtuellen Maschinen (VMs) und Container bewerten in Ihren Cloud-Umgebungen auf Sicherheitslücken prüfen. Für jeden erkannten bietet Security Command Center detaillierte Informationen ein Ergebnisdatensatz oder ein Ergebnis. Die mit einem Ergebnis gelieferten Informationen können umfassen:
- Details der betroffenen Ressource
- Informationen zu allen zugehörigen CVE-Einträgen, einschließlich einer Bewertung von Mandiant über die Auswirkungen und die Ausnutzbarkeit des CVE-Elements
- Eine Angriffsbewertung, die Ihnen bei der Priorisierung von Maßnahmen hilft
- Eine visuelle Darstellung des möglichen Wegs eines Angreifers zum hochwertige Ressourcen, die von der Sicherheitslücke gefährdet sind
Sicherheitslücken in der Software werden von den folgenden Diensten erkannt:
- VM Manager für Betriebssysteme auf virtuellen Compute Engine-Maschinen
- Dashboard für den Google Kubernetes Engine-Sicherheitsstatus für Betriebssysteme in Containern
- Sicherheitslückenbewertung für Amazon Web Services (AWS) für EC2-Instanzen in AWS
- Web Security Scanner für Webanwendungen, die in App Engine ausgeführt werden, Google Kubernetes Engine (GKE) und Compute Engine
Fehlkonfigurationen
Security Command Center ordnet die Detektoren der Dienste zu, die nach Fehlkonfigurationen zu den Kontrollen der gängigen branchenüblichen Compliance-Standards. Sie sehen nicht nur die Compliance-Standards, die durch eine fehlerhafte Konfiguration gegen die Richtlinien verstoßen, können Sie anhand der Zuordnung sehen, die Sie als Bericht exportieren können.
Weitere Informationen finden Sie unter Compliance bewerten und melden.
Sicherheitsstatusverstöße
Die Premium- und Enterprise-Stufen von Security Command Center umfassen Folgendes: Security Posture Service, der Ergebnisse ausgibt, Cloud-Ressourcen verstoßen gegen die in der Sicherheits- Sicherheitsstatus, die Sie in Ihrer Cloud-Umgebung bereitgestellt haben.
Weitere Informationen finden Sie unter Dienst für den Sicherheitsstatus:
Infrastruktur als Code validieren
Sie können überprüfen, ob Ihre IaC-Dateien (Infrastructure-as-Code) mit den und die Security Health Analytics-Detektoren, die Sie in Ihrer Google Cloud-Organisation. So wird sichergestellt, dass Sie Ressourcen, die gegen die Standards Ihrer Organisation verstoßen. Nachdem Sie Ihre und bei Bedarf die Security Health Analytics-Funktion aktivieren, können Sie die Terraform-Plandatei mit der Google Cloud CLI validieren oder können Sie den Validierungsprozess in Cloud Build, Jenkins oder GitHub Actions-Entwickler-Workflow. Weitere Informationen finden Sie unter IaC validieren gegen die Richtlinien.
Sicherheitslücken und Fehlkonfigurationen auf anderen Cloud-Plattformen erkennen
Security Command Center Enterprise kann Sicherheitslücken in mehreren Cloud-Umgebungen. Zum Erkennen von Sicherheitslücken in anderen Cloud-Diensten müssen Sie zuerst eine Verbindung zum jeweiligen Anbieter herstellen, Ressourcenmetadaten aufnehmen.
Weitere Informationen finden Sie unter Verbindung zu AWS zur Erkennung von Sicherheitslücken und zur Risikobewertung herstellen.
Funktionen zur Verwaltung von Sicherheitslücken und Sicherheitsstatus
Mit Security Command Center, Schwachstellenanalysten, Statusadministratoren und ähnliche Sicherheitsexperten können die folgenden Sicherheitsziele erreichen:
- Verschiedene Arten von Sicherheitslücken erkennen, z. B. Sicherheitslücken in Software, Fehlkonfigurationen und Sicherheitsstatusverstöße, die dazu führen können, Umgebungen vor potenziellen Angriffen zu schützen.
- Konzentrieren Sie Ihre Reaktions- und Behebungsmaßnahmen auf die Probleme mit dem höchsten Risiko. indem Sie die Angriffsrisikobewertungen auf die Ergebnisse und Benachrichtigungen für Sicherheitslücken.
- Weisen Sie Inhaber zu und verfolgen Sie den Fortschritt der Behebung von Sicherheitslücken durch Fälle nutzen und bevorzugte Ticketsysteme wie Jira einbinden oder ServiceNow.
- Hochwertige Ressourcen in Ihren Cloud-Umgebungen proaktiv schützen durch Senkung der Angriffsrisikobewertungen
- Benutzerdefinierte Sicherheitsmaßnahmen für Ihre Cloud-Umgebungen definieren, Security Command Center verwendet, um Ihren Sicherheitsstatus zu bewerten und Sie bei Verstößen zu benachrichtigen.
- Falsch positive Ergebnisse oder Benachrichtigungen ausblenden oder ausschließen.
- Konzentrieren Sie sich auf Sicherheitslücken im Zusammenhang mit Identitäten und übermäßige Berechtigungen.
- Sicherheitslücken und Risiken in Security Command Center erkennen und verwalten für Ihre anderen Cloud-Umgebungen wie AWS an.
Risiko mit Angriffsrisikobewertungen und Angriffspfaden bewerten
Bei Aktivierungen der Premium- und der Enterprise-Stufe auf Organisationsebene Security Command Center bietet Angriff für hochwertige Ressourcen sowie die Fehlkonfigurationen zu erhalten, die sich auf die hochwertigen Ressourcen auswirken.
Anhand dieser Werte können Sie die Behebung von Sicherheitslücken priorisieren und Fehlkonfigurationen, um die Sicherheit Ihrer die am stärksten gefährdeten hochwertigen Ressourcen Cloud-Umgebungen angegriffen werden sollen.
In der Google Cloud Console auf der Seite Risikoübersicht im Bereich Aktive Sicherheitslücken Auf dem Tab Ergebnisse nach Angriffsrisikobewertung werden die Ergebnisse mit den höchsten Angriffsrisikowerten in Ihrer Umgebung sowie die Verteilung der Ergebniswerte angezeigt.
Weitere Informationen finden Sie unter Angriffsrisikobewertungen und Angriffspfade.
Ergebnisse und Benachrichtigungen mit Supportanfragen verwalten
Security Command Center Enterprise erstellt Fälle, um Sie bei der Verwaltung von Ergebnissen und Benachrichtigungen erhalten, Eigentümer zuweisen und Prüfungen und Antworten erkannte Sicherheitsprobleme. Fälle mit hohem Schweregrad werden automatisch geöffnet und Probleme mit kritischen Schweregraden.
Sie können Fälle in Ihr bevorzugtes Ticketing-System wie Jira einbinden oder ServiceNow. Wenn Anfragen aktualisiert werden, alle offenen Tickets für den Fall können automatisch aktualisiert werden. Wenn ein Ticket aktualisiert wird, kann auch der entsprechende Fall aktualisiert werden.
Die Funktion der Schutzhülle wird durch Google SecOps unterstützt.
Weitere Informationen finden Sie in der Supportübersicht. in der Google SecOps-Dokumentation.
Reaktionsworkflows und automatisierte Aktionen definieren
Reaktionsworkflows definieren und Maßnahmen zur Untersuchung und Reaktion automatisieren die in Ihren Cloud-Umgebungen erkannt wurden.
Weitere Informationen zum Definieren von Reaktionsworkflows und automatisierten Abläufen Playbooks, die auf Google SecOps basieren, Siehe Mit Playbooks arbeiten.
Multi-Cloud-Unterstützung: Sichere Bereitstellungen auf anderen Cloud-Plattformen
Sie können die Dienste und Funktionen von Security Command Center erweitern, um Ihre Bereitstellungen auf anderen Cloud-Plattformen, sodass Sie alle Bedrohungen und Schwachstellen an einem zentralen Ort zu verwalten, in all Ihren Cloud-Umgebungen erkannt werden.
Weitere Informationen zum Verbinden von Security Command Center mit einem anderen Cloud-Dienstanbieter finden Sie auf den folgenden Seiten:
- Weitere Informationen zur Bedrohungserkennung finden Sie unter Verbindung zu AWS zur Bedrohungserkennung herstellen.
- Weitere Informationen zur Erkennung von Sicherheitslücken und zur Angriffsrisikobewertung finden Sie unter Mit AWS verbinden, um Sicherheitslücken zu erkennen und Risikobewertungen vorzunehmen.
Unterstützte Cloud-Dienstanbieter
Security Command Center kann eine Verbindung zu Amazon Web Services (AWS) herstellen.
Sicherheitsstatus definieren und verwalten
Mit Aktivierungen der Premium- und der Enterprise-Stufe auf Organisationsebene von Security Command Center können Sie Sicherheitsstatus erstellen und verwalten. die den erforderlichen Status Ihrer Cloud-Assets definieren, einschließlich Ihrer Cloud Netzwerk- und Cloud-Dienste für optimale Sicherheit in Ihrer Cloud-Umgebung. Sie können Sicherheitsstatus an die Sicherheitsanforderungen Ihres Unternehmens anpassen rechtlicher Anforderungen. Durch das Festlegen eines Sicherheitsstatus können Sie die Cyberrisiken für Ihre und helfen, Angriffe zu verhindern.
Mit dem Security Command Center-Dienst für den Sicherheitsstatus definieren und Stellen Sie einen Sicherheitsstatus bereit und erkennen Sie Abweichungen oder nicht autorisierte Änderungen von Ihrer festgelegten Haltung entfernt.
Der Dienst für den Sicherheitsstatus wird automatisch aktiviert, wenn Sie Security Command Center auf Organisationsebene aktivieren.
Weitere Informationen finden Sie in der Übersicht über den Sicherheitsstatus.
Assets identifizieren
Security Command Center enthält Asset-Informationen aus Cloud Asset Inventory, die kontinuierlich Assets in Ihrer Cloud überwacht zu verbessern. Bei den meisten Assets werden Konfigurationsänderungen, einschließlich IAM- und Organisationsrichtlinien, nahezu in Echtzeit erkannt.
Auf der Seite Assets in der Google Cloud Console können Sie Asset-Abfragen anwenden, bearbeiten und ausführen, eine voreingestellte Zeitbeschränkung hinzufügen oder können Sie Ihre eigenen Asset-Abfragen schreiben.
Wenn Sie die Premium- oder Enterprise-Stufe von Security Command Center nutzen, welche Assets als hochwertigen Ressourcen für Risikobewertungen Angriffspfadsimulationen.
Sie können Veränderungen in Ihrer Organisation oder Ihrem Projekt schnell identifizieren und Fragen wie:
- Wie viele Projekte haben Sie und wann wurden diese erstellt?
- Welche Google Cloud-Ressourcen sind bereitgestellt oder in Verwendung, wie virtuelle Maschinen (VMs) der Compute Engine, Cloud Storage-Buckets oder App Engine-Instanzen?
- Wie sieht der Bereitstellungsverlauf aus?
- Wie können Sie die folgenden Kategorien organisieren, kommentieren, in ihnen suchen, auswählen, filtern und sortieren?
- Assets und Asset-Attribute
- Sicherheitsmarkierungen, mit denen Sie Assets oder Ergebnisse in Security Command Center annotieren können
- Zeitraum
Cloud Asset Inventory kennt immer den aktuellen Status unterstützter Assets und können Sie in der Google Cloud Console bisherige Discovery-Scans um Assets zu verschiedenen Zeitpunkten zu vergleichen. Sie können auch nach nicht ausgelasteten Assets wie virtuellen Maschinen oder inaktiven IP-Adressen suchen.
Gemini-Funktionen in Security Command Center
Security Command Center nutzt Gemini, um Zusammenfassungen von Ergebnissen und Angriffspfaden und zur Unterstützung Ihrer Suchanfragen und Untersuchung erkannter Bedrohungen und Schwachstellen.
Informationen zu Gemini finden Sie unter Gemini
Gemini-Zusammenfassungen von Ergebnissen und Angriffspfaden
Wenn Sie Security Command Center Enterprise oder Premium verwenden,
Gemini bietet
dynamisch generierte Erläuterungen zu jedem Ergebnis und jedem simulierten
Angriffspfad, den Security Command Center für Vulnerability
generiert und
Misconfiguration
Klassenergebnisse.
Die Zusammenfassungen sind in natürlicher Sprache, um schnell zu verstehen, auf Ergebnisse und eventuelle Angriffspfade reagieren.
Die Zusammenfassungen werden an den folgenden Stellen in der Google Cloud Console angezeigt:
- Wenn Sie auf den Namen eines einzelnen Ergebnisses klicken, wird die Zusammenfassung am auf der Detailseite des Ergebnisses.
- Bei den Premium- und Enterprise-Stufen von Security Command Center gilt Folgendes: Ergebnis eine Angriffsrisikobewertung hat, können Sie rechts neben dem Angriffspfad die Angriffsrisikobewertung und dann KI-Zusammenfassung.
Erforderliche IAM-Berechtigungen für KI-generierte Zusammenfassungen
Zum Ansehen der KI-Zusammenfassungen benötigen Sie das erforderliche IAM Berechtigungen.
Für Ergebnisse benötigen Sie die securitycenter.findingexplanations.get
IAM-Berechtigung Die vordefinierte Datei mit der geringsten Berechtigung
IAM-Rolle mit dieser Berechtigung ist die
Sicherheitscenter-Ergebnisbetrachter (roles/securitycenter.findingsViewer
)
Rolle.
Für Angriffspfade benötigen Sie den securitycenter.exposurepathexplan.get
IAM-Berechtigung Die vordefinierte Datei mit der geringsten Berechtigung
IAM-Rolle mit dieser Berechtigung ist die
Leser von Angriffspfaden im Sicherheitscenter
roles/securitycenter.exposurePathsViewer
.
Während der Vorschau sind diese Berechtigungen nicht in der Google Cloud Console zum Hinzufügen zu benutzerdefinierten IAM-Rollen.
Sie können die Google Cloud CLI verwenden, um die Berechtigung einer benutzerdefinierten Rolle hinzuzufügen.
Informationen zum Hinzufügen von Berechtigungen über die Google Cloud CLI zu einem Weitere Informationen
Suche in natürlicher Sprache für Bedrohungsuntersuchungen
Sie können nach Bedrohungen, Warnungen und anderen Inhalten suchen. mithilfe von Abfragen in natürlicher Sprache und mit Gemini. Die ist die Einbindung von Gemini für Suchen in natürlicher Sprache Powered by Google SecOps Weitere Informationen finden Sie unter Verwenden Sie natürliche Sprache zum Generieren von UDM-Suchabfragen in der Google SecOps-Dokumentation.
KI-Untersuchungs-Widget für Supportanfragen
Damit Sie Anfragen nach Ergebnissen und Benachrichtigungen besser verstehen und untersuchen können, Gemini erstellt eine Zusammenfassung der einzelnen Fälle und schlägt vor, die nächsten Schritte, die Sie unternehmen können, um den Fall zu untersuchen. Zusammenfassung und nächste Schritte werden im Widget KI-Prüfung angezeigt, wenn Sie sich einen Fall ansehen.
Diese Einbindung von Gemini basiert auf Google SecOps
Umsetzbare Erkenntnisse zur Sicherheit
Integrierte und integrierte Google Cloud-Dienste von Security Command Center überwachen Sie Ihre Leistung Assets und Logs für Kompromittierungsindikatoren und Konfigurationsänderungen, bekannten Bedrohungen, Sicherheitslücken und Fehlkonfigurationen abgleichen können. Um Kontext für Vorfälle zu bieten, werden Ergebnisse mit Informationen aus den folgenden Quellen angereichert:
- Bei den Enterprise- und Premium-Stufen gilt:
<ph type="x-smartling-placeholder">
- </ph>
- KI-generierte Zusammenfassungen, mit denen Sie Security Command Center besser verstehen und entsprechende Maßnahmen ergreifen können Ergebnisse und alle damit verbundenen Angriffspfade. Weitere Informationen können Sie sich KI-generierte Zusammenfassungen ansehen.
- Ergebnisse zu Sicherheitslücken enthalten Informationen aus den entsprechenden CVE-Einträgen, einschließlich CVE-Wert und die Mandiant-Experten zur die potenziellen Auswirkungen und das Ausnutzungspotenzial.
- Leistungsstark SIEM und SOAR von Google SecOps, können Sie Bedrohungen und Sicherheitslücken untersuchen zusammengehörigen Entitäten in einer einheitlichen Zeitachse darzustellen.
- VirusTotal, ein Dienst von Alphabet, der Kontext zu potenziell schädlichen Dateien bietet URLs, Domains und IP-Adressen.
- MITRE-ATT&CK-Framework, in dem erklärt wird, Techniken für Angriffe auf Cloud-Ressourcen und entsprechende Abhilfemaßnahmen Anleitung.
- Cloud-Audit-Logs (Administratoraktivitätslogs und Datenzugriffslogs).
Sie erhalten Benachrichtigungen zu neuen Ergebnissen nahezu in Echtzeit, damit Ihre Sicherheitsteams Daten erheben, Bedrohungen ermitteln und Maßnahmen ergreifen können, bevor sie zu Schäden oder Verlusten für das Unternehmen führen.
Mit einer zentralen Ansicht Ihres Sicherheitsstatus und einer robusten API haben, können Sie schnell Folgendes tun:
- Fragen beantworten, wie:
- Welche statischen IP-Adressen sind öffentlich zugänglich?
- Welche Images werden auf den VMs ausgeführt?
- Gibt es Belege dafür, dass Ihre VMs für Kryptowährung verwendet werden oder anderen missbräuchlichen Aktivitäten?
- Welche Dienstkonten wurden hinzugefügt oder entfernt?
- Wie werden Firewalls konfiguriert?
- Welche Storage-Buckets enthalten personenbezogene Daten oder vertrauliche Daten? Für diese Funktion muss der Schutz sensibler Daten eingebunden sein.
- Welche Cloud-Anwendungen sind anfällig für XSS-Sicherheitslücken (Cross-Site-Scripting)?
- Sind meine Cloud Storage-Buckets mit dem Internet verbunden?
- Ergreifen Sie Maßnahmen, um Ihre Assets zu schützen:
- Implementieren Sie bestätigte Korrekturschritte für Fehlkonfigurationen von Assets und Compliance-Verstöße.
- Kombinieren Sie Bedrohungsinformationen von Google Cloud und Drittanbietern wie Palo Alto Networks, um Ihr Unternehmen besser vor kostspieligen Bedrohungen auf Computing-Ebene zu schützen.
- Prüfen Sie, ob die entsprechenden IAM-Richtlinien vorhanden sind. Sie werden benachrichtigt, wenn Richtlinien falsch konfiguriert oder unerwartet geändert werden.
- Integrieren Sie Ergebnisse aus eigenen oder externen Quellen für Google Cloud-Ressourcen oder andere Hybrid- oder Multi-Cloud-Ressourcen. Weitere Informationen finden Sie unter Sicherheitsdienst eines Drittanbieters hinzufügen.
- Reagieren Sie auf Bedrohungen in Ihrer Google Workspace-Umgebung und auf unsichere Änderungen in Google Groups.
Fehlkonfigurationen zur Identitäts- und Zugriffssteuerung
Mit Security Command Center können Sie leichter erkennen und beheben, zu Fehlkonfigurationen zur Identitäts- und Zugriffssteuerung in Google Cloud gefunden. Ergebnisse zu Fehlkonfigurationen identifizieren Hauptkonten (Identitäten), die falsch konfiguriert oder übermäßige oder sensible IAM-Berechtigungen Berechtigungen (Zugriff) auf Google Cloud-Ressourcen
Berechtigungsverwaltung für Cloud-Infrastruktur
Die Verwaltung von identitäts- und zugriffsbezogenen Sicherheitsproblemen wird manchmal als Cloud Infrastructure Entitlements Management (CIEM). Security Command Center-Angebote CIEM-Funktionen, die einen umfassenden Überblick über Sicherheit der Identitäts- und Zugriffskonfiguration Ihrer Organisation. Security Command Center bietet diese Funktionen für verschiedene Cloud-Plattformen, Google Cloud und Amazon Web Services (AWS) Mit CIEM sehen Sie, welche Hauptkonten übermäßige Berechtigungen in Ihrem Cloud-Umgebungen. Zusätzlich zu Google Cloud IAM Mit CIEM können Sie Berechtigungen prüfen, Hauptkonten von anderen Identitätsanbietern (z. B. Entra ID (Azure AD) und Okta) auf Ihre Google Cloud-Ressourcen haben. Sie sehen die schwerwiegendsten Identitäten und auf Ergebnisse von mehreren Cloud-Anbietern im Bereich Identität und Zugriff Ergebnisse auf der Security Command Center-Seite Übersicht in der Google Cloud Console.
Weitere Informationen zu den CIEM-Funktionen von Security Command Center Siehe Übersicht über die Cloud-Infrastrukturberechtigung Verwaltung.
Abfragevoreinstellungen für Identität und Zugriff
Auf der Seite Sicherheitslücken in der Google Cloud Console können Sie Folgendes tun: Wählen Sie Abfragevoreinstellungen (vordefinierte Abfragen) aus, Schwachstellendetektoren oder -kategorien, die sich auf die Identität beziehen und Zugriffsrechte. Für jede Kategorie wird die Anzahl der aktiven Ergebnisse angezeigt.
Weitere Informationen zu den Abfragevoreinstellungen finden Sie unter Wenden Sie Abfragevoreinstellungen an.
Compliance mit Branchenstandards verwalten
Security Command Center überwacht die Compliance mit Detektoren, die den Kontrollen eines Wide-Systems von Sicherheitsstandards.
Für jeden unterstützten Sicherheitsstandard Security Command Center eine Teilmenge der Steuerelemente überprüft. Für die geprüften Steuerelemente wird in Security Command Center angezeigt, wie viele Passagen übergeben werden. Für die nicht bestandene Kontrollen haben, zeigt Security Command Center eine Liste der Ergebnisse an, und beschreiben die fehlerhaften Einstellungen.
CIS überprüft und zertifiziert die Zuordnungen von Security Command Center alle unterstützten Detektoren Version der CIS Google Cloud Foundations Benchmark. Zusätzliche Compliance Zuordnungen dienen nur zu Referenzzwecken.
Security Command Center regelmäßig werden neue Benchmark-Versionen und -Standards unterstützt. Älter -Versionen werden weiterhin unterstützt, werden aber irgendwann verworfen. Wir empfehlen, die neueste unterstützte Benchmark oder den neuesten verfügbaren Standard zu verwenden.
Mit der Service für den Sicherheitsstatus können Sie Organisationsrichtlinien und Security Health Analytics-Detektoren den Standards und die für Ihr Unternehmen gelten. Nachdem Sie einen Sicherheitsstatus erstellt haben, die sich auf die Compliance Ihres Unternehmens auswirken könnten.
Weitere Informationen zum Verwalten der Compliance finden Sie unter Einhaltung von Sicherheitsstandards bewerten und melden
Unterstützte Sicherheitsstandards in Google Cloud
Security Command Center Ordnet Detektoren für Google Cloud einer oder mehreren der folgenden Compliance-Anforderungen zu Standards:
- CIS Controls 8.0 (Center for Information Security)
- CIS Google Cloud Computing Foundations Benchmark v2.0.0, v1.3.0, v1.2.0, v1.1.0 und v1.0.0
- CIS Kubernetes Benchmark Version 1.5.1
- Cloud Controls Matrix (CCM) 4
- US-Gesetz zur Übertragbarkeit von Krankenversicherungen und Verantwortlichkeit von Versicherern (Health Insurance Portability and Accountability Act, HIPAA)
- Internationale Organisation für Normung (ISO 27001, 2022 und 2013)
- Landesweite Institute of Standards and Technology (NIST) 800-53 R5 und R4
- NIST CSF 1.0
- Webanwendung öffnen Security Project (OWASP) Top Ten, 2021 und 2017
- Zahlung PCI-DSS (Card Industry Data Security Standard) 4.0 und 3.2.1
- System and Organization Controls (SOC) 2 2017 Trusted Services Criteria (TSC)
Von AWS unterstützte Sicherheitsstandards
Security Command Center ordnet Detektoren für Amazon Web Services (AWS) einer oder mehreren der folgenden Compliance-Anforderungen zu Standards:
- CIS Amazon Web Services Foundations 2.0.0
- CIS Controls 8.0
- CCM 4
- HIPAA
- ISO 27001 2022
- NIST 800-53 R5
- NIST CSF 1.0
- PCI DSS 4.0 und 3.2.1
- SOC 2 2017 TSC
Flexible Plattform für Ihre Sicherheitsanforderungen
Security Command Center bietet Anpassungs- und Integrationsoptionen, mit denen können Sie das Dienstprogramm des Dienstes an Ihre sich verändernden Sicherheitsanforderungen anpassen.
Anpassungsoptionen
Zu den Anpassungsoptionen gehören:
- Erstellen Sie benutzerdefinierte Module für Security Health Analytics definieren, eigene Regeln zur Erkennung von Sicherheitslücken, Fehlkonfigurationen oder Compliance festlegen Verstöße.
- Benutzerdefinierte Module für Event Threat Detection erstellen Ihren Logging-Stream anhand von Parametern auf Bedrohungen überwachen die Sie angeben.
- Sicherheitsstatus für das Monitoring erstellen Umgebungsänderungen, die sich auf die Compliance mit verschiedenen aufsichtsrechtliche Standards.
Integrationsoptionen
Folgende Integrationsoptionen sind verfügbar:
- Mit Pub/Sub Ergebnisse zur Analyse in Splunk oder andere SIEM-Tools exportieren.
- Mit Pub/Sub und Cloud Functions Ergebnisse schnell und automatisch beheben.
- Auf Open-Source-Tools zugreifen, um die Funktionalität zu erweitern und Antworten zu automatisieren.
- Einbindung in Google Cloud-Sicherheitsdienste, einschließlich der folgenden: <ph type="x-smartling-placeholder">
- Mit Sicherheitslösungen von Drittanbietern integrieren:
- Die Google Cloud-Sicherheitsinformationen von Partnerprodukten werden in Security Command Center zusammengefasst und können in vorhandene Systeme und Workflows eingespeist werden.
Verwendungsweise von Security Command Center
Die folgende Tabelle enthält allgemeine Produktfeatures, Anwendungsfälle und Links zu relevanten Dokumentationen, damit Sie die benötigten Inhalte schnell finden können.
Feature | Anwendungsfälle | Verwandte Dokumente |
---|---|---|
Identifizierung und Überprüfung von Assets |
|
<ph type="x-smartling-placeholder"></ph>
Best Practices für Security Command Center <ph type="x-smartling-placeholder"></ph> Security Command Center in der Google Cloud Console verwenden |
Identifikation von vertraulichen Daten |
|
<ph type="x-smartling-placeholder"></ph> Ergebnisse für den Schutz sensibler Daten an Security Command Center senden |
Integration von SIEM- und SOAR-Produkten von Drittanbietern |
|
Security Command Center-Daten exportieren |
Erkennung von fehlerhafter Konfiguration |
|
<ph type="x-smartling-placeholder"></ph>
Security Health Analytics – Übersicht
Web Security Scanner – Übersicht <ph type="x-smartling-placeholder"></ph> Ergebnisse zu Sicherheitslücken |
Erkennung von Sicherheitslücken in der Software |
|
Dashboard für den GKE-Sicherheitsstatus Web Security Scanner – Übersicht <ph type="x-smartling-placeholder"></ph> Ergebnisse zu Sicherheitslücken |
Monitoring von Identitäts- und Zugriffssteuerung |
|
IAM Recommender |
Bedrohungserkennung |
|
Bedrohungen verwalten |
Fehlererkennung |
|
Security Command Center-Fehler – Übersicht |
Abhilfemaßnahmen priorisieren |
|
Übersicht über Angriffsrisikobewertungen und Angriffspfade |
Risiken beheben |
|
<ph type="x-smartling-placeholder"></ph>
Bedrohungen untersuchen und darauf reagieren
Behebung von Security Health Analytics-Ergebnissen Web Security Scanner-Ergebnisse beheben |
Statusverwaltung |
|
<ph type="x-smartling-placeholder"></ph>
Sicherheitsstatus – Übersicht <ph type="x-smartling-placeholder"></ph> Sicherheitsstatus verwalten |
Eingaben von Sicherheitstools von Drittanbietern |
|
Security Command Center konfigurieren |
Benachrichtigungen in Echtzeit |
|
Ergebnisbenachrichtigungen einrichten E-Mail- und Chatbenachrichtigungen in Echtzeit aktivieren Sicherheitsmarkierungen verwenden |
REST API und Client-SDKs |
|
Security Command Center konfigurieren |
Steuerelemente für den Datenstandort
Zum Erfüllen der Anforderungen an den Datenstandort, wenn Sie Security Command Center aktivieren Standard oder Premium können Sie zum ersten Mal Datenstandortkontrollen aktivieren.
Durch das Aktivieren von Datenstandortkontrollen werden die Speicher- und Security Command Center-Ergebnisse, Ausblendungsregeln, kontinuierliche Exporte und BigQuery exportiert in einen der Datenspeicherorte, Multiregionen, die Security Command Center unterstützt.
Weitere Informationen finden Sie unter Datenstandort planen.
Security Command Center-Dienststufen
Security Command Center bietet drei Dienststufen: Standard, Premium und Unternehmen.
Die ausgewählte Stufe bestimmt die Funktionen und Dienste, die für Security Command Center.
Wenn Sie Fragen zu den Servicestufen von Security Command Center haben, wenden Sie sich an Ihren Kundenbetreuer oder Google Cloud-Vertrieb:
Informationen zu den Kosten, die mit der Nutzung einer Security Command Center-Stufe verbunden sind, Weitere Informationen finden Sie unter Preise.
Standardstufe
Die Standard-Stufe umfasst die folgenden Dienste und Funktionen:
-
Security Health Analytics: in der Standard-Stufe bietet Security Health Analytics verwaltete Schwachstellen Bewertungsscans für Google Cloud, die automatisch erkennen, Sicherheitslücken und Fehlkonfigurationen in Ihren Google Cloud-Assets. In der Standard-Stufe Security Health Analytics umfasst die folgenden Ergebnistypen:
Dataproc image outdated
Legacy authorization enabled
MFA not enforced
Non org IAM member
Open ciscosecure websm port
Open directory services port
Open firewall
Open group IAM member
Open RDP port
Open SSH port
Open Telnet port
Public bucket ACL
Public Compute image
Public dataset
Public IP address
Public log bucket
Public SQL instance
SSL not enforced
Web UI enabled
- <ph type="x-smartling-placeholder"></ph> Benutzerdefinierte Web Security Scanner-Scans: in der Standardstufe Web Security Scanner unterstützt benutzerdefinierte Scans bereitgestellter Anwendungen mit öffentlichen URLs und IP-Adressen, die sich nicht hinter einer Firewall befinden. Scans werden manuell konfiguriert, verwaltet und werden für alle Projekte durchgeführt. Außerdem werden OWASP Top Ten.
- Security Command Center Fehler: Security Command Center bietet Anleitungen zur Erkennung und Abhilfe für die Konfiguration Fehler, die verhindern, dass Security Command Center und seine Dienste ordnungsgemäß funktionieren.
- Kontinuierlich Exporte die den Export neuer Ergebnisse automatisch in Pub/Sub
-
Zugriff auf integrierte Google Cloud-Dienste, einschließlich der folgenden:
- Sensitive Data Protection erkennt, klassifiziert und sensible Daten schützt.
- Google Cloud Armor schützt Google Cloud-Bereitstellungen vor Bedrohungen
- <ph type="x-smartling-placeholder"></ph> Anomalieerkennung erkennt Sicherheitsanomalien in Ihren Projekten VM-Instanzen wie potenziell gehackten Anmeldedaten das Mining von Kryptowährungen.
- Policy Controller ermöglicht die Anwendung und Erzwingung programmierbarer Richtlinien für Ihre Kubernetes-Cluster.
- Ergebnisse des GKE-Sicherheitsstatus-Dashboards: Ergebnisse ansehen über Fehlkonfigurationen zur Sicherheit von Kubernetes-Arbeitslasten, verwertbare Sicherheit und Sicherheitslücken im Containerbetriebssystem oder in bestimmten Sprachen Pakete. Einbinden des Dashboards für den GKE-Sicherheitsstatus Ergebnisse mit Security Command Center sind als Vorabversion verfügbar.
- Einbindung in BigQuery, wodurch Ergebnisse zur Analyse in BigQuery exportiert werden.
- Integration mit Forseti Security, das Open-Source-Sicherheits-Toolkit für Google Cloud, und Sicherheitsinformations- und Ereignismanagement-Anwendungen (Security Information and Event Management, SIEEM) von Drittanbietern.
- Dienst für sensible Aktionen Er erkennt, wenn Aktionen in Ihrer Google Cloud ausgeführt werden. Organisation, Ordnern und Projekten, die Ihrem Unternehmen schaden könnten, wenn sie von einem böswilligen Akteur ergriffen werden.
- Wenn Security Command Center auf Organisationsebene aktiviert wird, kann Nutzern IAM-Rollen im Organisations-, Ordner- und Projektebene.
- Datenstandortkontrollen, die den Speicher und
Security Command Center-Ergebnisse, Ausblendungsregeln, kontinuierliche Exporte
und BigQuery exportiert in einen der Datenspeicherorte,
Multiregionen, die Security Command Center unterstützt.
Weitere Informationen finden Sie unter Datenstandort planen.
Premium-Stufe
Die Premium-Stufe umfasst alle Dienste und Funktionen der Standard-Stufe sowie die folgenden zusätzlichen Dienste und Funktionen:
- Simulationen von Angriffspfaden helfen Ihnen bei der Identifizierung und Priorisierung zu Sicherheitslücken und Fehlkonfigurationen durch die Identifizierung der Pfade mit denen ein potenzieller Angreifer zu Ihren wertvollen Ressourcen gelangen könnte. Die Simulationen berechnen und weisen den Angriff Kontaktbewertungen für alle Ergebnisse, die diese Ressourcen verfügbar machen. Interaktiv Angriffspfade helfen Ihnen, die möglichen Angriffspfade zu visualisieren und Informationen bereitzustellen. zu den Pfaden, verwandten Ergebnissen und zu den betroffenen Ressourcen.
-
Zu den Ergebnissen zu Sicherheitslücken gehören CVE Bewertungen von Mandiant damit Sie ihre Behebung priorisieren können.
Auf der Seite Übersicht in der Console werden die Top-CVE-Ergebnisse angezeigt. finden Sie die Ergebnisse zu Sicherheitslücken, Ausnutzbarkeit und potenzielle Auswirkungen, bewertet durch Mandiant Auf der Seite Ergebnisse können Sie Ergebnisse nach CVE-ID abfragen.
Weitere Informationen finden Sie unter Nach CVE-Auswirkung und Ausnutzbarkeit priorisieren.
- <ph type="x-smartling-placeholder"></ph> Event Threat Detectionüberwacht Cloud Logging und Google Workspace mithilfe von Bedrohungsdaten, maschinelles Lernen und andere fortschrittliche Methoden, Bedrohungen wie Malware, Kryptomining und Daten erkennen Daten-Exfiltration. Eine vollständige Liste der integrierten Event Threat Detection-Detektoren finden Sie Siehe Event Threat Detection Regeln. Sie können auch benutzerdefinierte Event Threat Detection-Detektoren erstellen. Für zu Modulvorlagen, mit denen Sie benutzerdefinierte finden Sie unter Übersicht über Benutzerdefinierte Module für Event Threat Detection.
-
<ph type="x-smartling-placeholder"></ph>
Container Threat Detection erkennt die folgenden Containerlaufzeitangriffe:
<ph type="x-smartling-placeholder">
- </ph>
- Ausgeführte Binärdatei hinzugeführt
- Hinzugefügte Mediathek geladen
- Ausführung: Schadprogramm ausgeführt und hinzugefügt
- Ausführung: Schädliche Bibliothek wurde hinzugefügt
- Ausführung: Integrierter bösartiger Binärprogramm ausgeführt
- Ausführung: Geändertes bösartiges Binärprogramm ausgeführt
- Ausführung: Geänderte schädliche Bibliothek geladen
- Schädliches Script ausgeführt
- Reverse Shell
- Unerwartete untergeordnete Shell
-
Das folgende Policy Intelligence stehen Ihnen folgende Funktionen zur Verfügung:
- Erweiterte IAM-Recommender-Features, darunter:
<ph type="x-smartling-placeholder">
- </ph>
- Empfehlungen für Rollen, die nicht zu den einfachen Rollen gehören
- Empfehlungen für Rollen, die für andere Ressourcen gewährt wurden als Organisationen, Ordner und Projekte, z. B. Empfehlungen für Rollen, die Cloud Storage-Buckets gewährt wurden
- Empfehlungen, die benutzerdefinierte Rollen vorschlagen
- Richtlinienstatistiken
- Informationen zu Lateralbewegungen
- Policy Analyzer im großen Maßstab (über 20 Abfragen pro Organisation pro Tag). Dieses Limit gilt für alle Policy Analyzer-Tools.
- Visualisierungen für die Analyse von Organisationsrichtlinien.
- Erweiterte IAM-Recommender-Features, darunter:
<ph type="x-smartling-placeholder">
- Sie können Assets abfragen in Cloud Asset Inventory verwenden.
- <ph type="x-smartling-placeholder"></ph> Virtual Machine Threat Detection erkennt potenziell schädliche Anwendungen, die in der VM ausgeführt werden Instanzen.
-
Security Health Analytics Die Premium-Stufe umfasst folgende Funktionen:
- Verwaltete Scans auf Sicherheitslücken für alle Security Health Analytics-Detektoren
- Monitoring für viele branchenübliche Best Practices
- Compliance-Monitoring. Detektorenkarte für Security Health Analytics die Kontrollen der gemeinsamen Sicherheits-Benchmarks.
- Unterstützung benutzerdefinierter Module, mit dem Sie Ihre eigene benutzerdefinierte Security Health Analytics erstellen können Detektoren.
Auf der Premium-Stufe unterstützt Security Health Analytics die unter Einhaltung von Branchenstandards verwalten beschriebenen Standards.
- <ph type="x-smartling-placeholder"></ph> Web Security Scanner der Premium-Stufe umfasst alle Funktionen der Standard-Stufe und zusätzliche Detektoren, die Kategorien in den OWASP-Top Ten unterstützen. Web Security Scanner fügt auch <ph type="x-smartling-placeholder"></ph> verwalteten Scans, die automatisch konfiguriert werden.
Compliance-Monitoring für Ihre Google Cloud-Assets.
Um Ihre Compliance mit gängigen Sicherheits-Benchmarks zu messen und Standards, Detektoren für die den Scannern gängige Sicherheitsstandards zugewiesen sind.
Sie können die Einhaltung der Standards prüfen, nicht konformen Kontrollen, Exportberichte und mehr. Weitere Informationen Siehe Compliance mit Sicherheitsstandards bewerten und melden.
- Sie können <ph type="x-smartling-placeholder"></ph> Fordern Sie ein zusätzliches Cloud Asset Inventory-Kontingent an, wenn ein erweitertes Asset-Monitoring erforderlich ist. entstehen.
- <ph type="x-smartling-placeholder"></ph> Mit dem Dienst „Security Posture“ können Sie die Gesamtheit der Sicherheitsstatus in Google Cloud. Der Sicherheitsstatus ist nur in der Premium-Stufe von Security Command Center für Kunden, die einen Festpreis erwerben Premium-Stufe von Security Command Center in der Organisation aktivieren Der Dienst „Security Posture“ unterstützt keine „Pay as you go“-Abrechnung oder Aktivierungen auf Projektebene.
- <ph type="x-smartling-placeholder"></ph> Mit der IaC-Validierungsfunktion können Sie Ihre Infrastruktur als Code (IaC) anhand der Organisationsrichtlinien und Security Health Analytics-Detektoren die Sie in Ihrer Google Cloud-Organisation definiert haben. Diese Funktion ist nur in der Premium-Stufe von Security Command Center für Kunden, die einen Festpreis erwerben Premium-Stufe von Security Command Center in der Organisation aktivieren Diese Funktion wird nicht unterstützt „Pay as you go“-Abrechnung oder Aktivierungen auf Projektebene.
- VM Manager-Sicherheitslückenberichte
- Wenn Sie VM Manager aktivieren, schreibt der Dienst automatisch Ergebnisse aus <ph type="x-smartling-placeholder"></ph> Berichte zu Sicherheitslücken, die sich in der Vorabversion befinden, an Security Command Center. Berichte Sicherheitslücken in den in Compute Engine installierten Betriebssystemen identifizieren . Weitere Informationen finden Sie unter <ph type="x-smartling-placeholder"></ph> VM Manager
Unternehmensstufe
Die Enterprise-Stufe ist eine vollständige cloudnative Plattform für den Anwendungsschutz. (CNAPP), die SOC-Analysten, Schwachstellenanalysten und andere Cloud- Sicherheitsexperten zur Verwaltung der Sicherheit für mehrere Cloud-Dienste Anbieter zentral verwalten können.
Die Enterprise-Stufe bietet Erkennungs- und Prüffunktionen, Unterstützung beim Fallmanagement und Statusmanagement, einschließlich der Fähigkeit, zum Definieren und Bereitstellen und das Risiko, dass Schwachstellen und Fehlkonfigurationen auf Ihre Cloud-Umgebung auswirken.
Die Enterprise-Stufe umfasst alle Dienste der Standard- und Premium-Stufe sowie die folgenden zusätzlichen Dienste und Funktionen:
Zusammenfassung der Funktionen und Dienste der Enterprise-Stufe
Die Enterprise-Stufe umfasst alle Stufen der Standard- und Premium-Stufe Dienste und Funktionen, die allgemein verfügbar sind.
In der Enterprise-Stufe werden Security Command Center:
- Erkennung schädlicher Kombinationen mithilfe von Security Command Center Risk-Engine. Weitere Informationen finden Sie unter Übersicht über unangemessene Kombinationen.
- Multi-Cloud-Unterstützung Sie können Security Command Center mit einer anderen Cloud verbinden wie AWS, um Bedrohungen, Sicherheitslücken und Fehlkonfigurationen zu erstellen. Nachdem Sie Ihre hochwertigen Ressourcen können Sie das Angriffsrisiko mit Angriffsrisikobewertungen und Angriffspfaden.
- SIEM-Funktionen (Security Information and Event Management) für Cloud-Umgebungen, unterstützt durch Google SecOps. Scannen Sie Logs und andere Daten auf Bedrohungen für mehrere Cloud-Umgebungen. Regeln für die Bedrohungserkennung definieren und die akkumulierten Daten durchsuchen. Weitere Informationen finden Sie unter Google SecOps SIEM-Dokumentation
- SOAR-Funktionen (Sicherheitsorchestrierung, Automatisierung und Reaktion) für Cloud-Umgebungen, unterstützt durch Google SecOps. Verwalten Sie Fälle, definieren Sie Antwortworkflows und durchsuchen Sie die Antwortdaten. Weitere Informationen finden Sie unter Google SecOps SOAR-Dokumentation
- CIEM-Funktionen (Cloud Infrastructure Entitlement Management) für Cloud-Umgebungen Falsch konfigurierte oder falsch konfigurierte Hauptkontokonten (Identitäten) identifizieren übermäßig vielen oder vertraulichen IAM-Berechtigungen (Zugriff) Ihre Cloud-Ressourcen. Weitere Informationen finden Sie unter Übersicht über Berechtigungsverwaltung für Cloud-Infrastruktur.
- Erweiterte Erkennung von Sicherheitslücken in VMs und Containern
mit den folgenden integrierten und
integrierte Google Cloud-Dienste:
<ph type="x-smartling-placeholder">
- </ph>
- Google Kubernetes Engine (GKE) Enterprise Edition
- Sicherheitslückenbewertung für AWS
- VM Manager
Von Google Security Operations unterstützte Funktionen der Enterprise-Stufe
Die Funktion zur Fallverwaltung, Playbook-Funktionen sowie weitere SIEM- und SOAR-Tools Funktionen der Enterprise-Stufe von Security Command Center werden von Google Security Operations unterstützt. Wenn Sie einige dieser sehen Sie eventuell die Google SecOps- in der Weboberfläche angezeigt. Sie werden möglicherweise an den Google SecOps-Dokumentation zur Orientierung
Bestimmte Google SecOps-Funktionen werden nicht unterstützt oder mit Security Command Center, aber ihre Nutzung wird möglicherweise nicht deaktiviert oder ist auf die Enterprise-Stufe beschränkt. Verwenden Sie Folgendes: Funktionen und Funktionalität nur gemäß den angegebenen Einschränkungen:
Die Aufnahme von Cloud-Logs ist auf Logs beschränkt, die für Cloud Threat Detection wie die folgenden:
Google Cloud
- Administratoraktivitätslogs für Cloud-Audit-Logs
- Datenzugriffslogs von Cloud-Audit-Logs
- Compute Engine-Syslog
- GKE-Audit-Log
Google Workspace
- Google Workspace-Ereignisse
- Google Workspace-Benachrichtigungen
AWS
- CloudTrail-Audit-Logs
- Syslog
- Auth-Logs
- GuardDuty-Veranstaltungen
Ausgewählte Erkennungen sind auf solche beschränkt, die Bedrohungen in Cloud-Umgebungen.
Google Cloud Marketplace-Integrationen sind auf Folgendes beschränkt:
- Siemplify
- Tools
- VirusTotal V3
- Google Cloud Asset Inventory
- Google Security Command Center
- Jira
- Funktionen
- Google Cloud IAM
- E-Mail V2
- Google Cloud Compute
- Google Chronicle
- Mitre Att&ck
- Mandiant Threat Intelligence
- Google Cloud Policy Intelligence
- Google Cloud Recommender
- Siemplify – Dienstprogramme
- Service jetzt
- CSV
- SCC Enterprise
- AWS IAM
- AWS EC2
Die Anzahl benutzerdefinierter Regeln für einzelne Ereignisse ist auf 20 Regeln beschränkt.
Risikoanalysen für UEBA (User and entity Behavior Analytics) sind nicht verfügbar.
Applied Threat Intelligence ist nicht verfügbar.
Gemini-Unterstützung für Google SecOps ist ist auf die Suche in natürlicher Sprache und auf Zusammenfassungen von Falluntersuchungen beschränkt.
Die Aufbewahrungsdauer für Daten ist auf drei Monate begrenzt.
Aktivierungsebenen für Security Command Center
Sie können Security Command Center für ein einzelnes Projekt aktivieren, wird als Aktivierung auf Projektebene bezeichnet. Für eine gesamte Organisation. Dies wird als Aktivierung auf Organisationsebene bezeichnet.
Für die Enterprise-Stufe ist eine Aktivierung auf Organisationsebene erforderlich.
Weitere Informationen zum Aktivieren von Security Command Center finden Sie unter Security Command Center aktivieren
Nächste Schritte
- Security Command Center aktivieren
- Weitere Informationen zu den Erkennungsdiensten von Security Command Center
- Security Command Center in der Google Cloud Console verwenden