Security Command Center – Konzeptübersicht

Vorteile von Security Command Center

Security Command Center ist der zentrale Dienst für die Meldung von Sicherheitslücken und Bedrohungen in Google Cloud. Security Command Center trägt durch die Beurteilung Ihrer Sicherheits- und Datenangriffsfläche dazu bei, Ihren Sicherheitsstatus zu verbessern; Asset-Inventar und -Erkennung werden bereitgestellt, Fehlkonfigurationen, Sicherheitslücken und Bedrohungen werden identifiziert, und Ihnen wir dabei geholfen, Risiken zu minimieren und zu beheben.

Security Command Center-Stufen

Die ausgewählte Stufe bestimmt die eingebundenen Dienste von Security Command Center, die für Ihre Organisation verfügbar sind:

Details zu den Stufen

Features der Standard-Stufe

  • Security Health Analytics: In der Standard-Stufe bietet Security Health Analytics verwaltetes Scannen auf Sicherheitslücken für Google Cloud. Hiermit können Sicherheitslücken und Fehlkonfigurationen mit hohem Schweregrad automatisch in Ihren Google Cloud-Assets erkannt werden. In der Standard-Stufe umfasst Security Health Analytics die folgenden Ergebnistypen:

    • DATAPROC_IMAGE_OUTDATED
    • LEGACY_AUTHORIZATION_ENABLED
    • MFA_NOT_ENFORCED
    • NON_ORG_IAM_MEMBER
    • OPEN_CISCOSECURE_WEBSM_PORT
    • OPEN_DIRECTORY_SERVICES_PORT
    • OPEN_FIREWALL
    • OPEN_GROUP_IAM_MEMBER
    • OPEN_RDP_PORT
    • OPEN_SSH_PORT
    • OPEN_TELNET_PORT
    • PUBLIC_BUCKET_ACL
    • PUBLIC_COMPUTE_IMAGE
    • PUBLIC_DATASET
    • PUBLIC_IP_ADDRESS
    • PUBLIC_LOG_BUCKET
    • PUBLIC_SQL_INSTANCE
    • SSL_NOT_ENFORCED
    • WEB_UI_ENABLED
  • Benutzerdefinierte Web Security Scanner-Analysen: In der Standardstufe unterstützt Web Security Scanner benutzerdefinierte Scans bereitgestellter Anwendungen mit öffentlichen URLs und IP-Adressen, die sich nicht hinter einer Firewall befinden. Scans werden manuell für alle Projekte konfiguriert, verwaltet und ausgeführt und unterstützen einen Teil der Kategorien in OWASP Top Ten
  • Security Command Center-Fehler: Security Command Center bietet Erkennungshinweise und Korrekturrichtlinien für Konfigurationsfehler, die verhindern, dass Security Command Center und seine Dienste ordnungsgemäß funktionieren.
  • Unterstützung für das Zuweisen von IAM-Rollen (Identity and Access Management) auf Organisationsebene

  • Zugriff auf integrierte Google Cloud-Dienste, einschließlich der folgenden:

    • Cloud Data Loss Prevention entdeckt, klassifiziert und schützt sensible Daten.
    • Google Cloud Armor schützt Google Cloud-Deployments vor Bedrohungen.
    • Die Anomalieerkennung identifiziert Sicherheitsanomalien für Ihre Projekte und VM-Instanzen, z. B. potenzielle gehackte Anmeldedaten und Mining von Kryptowährungen.
  • Einbindung in BigQuery, wodurch Ergebnisse zur Analyse in BigQuery exportiert werden.
  • Einbindung in Forseti Security, das Open-Source-Sicherheitstoolkit für Google Cloud und Drittanbieter-Sicherheitsinformationen und Ereignisverwaltungsanwendungen (SIEM).

Features der Premium-Stufe

Die Premium-Stufe umfasst alle Features der Standardstufe und umfasst zusätzlich Folgendes:

  • Event Threat Detection verwendet Bedrohungsinformationen, maschinelles Lernen und andere erweiterte Methoden, um Cloud Logging und Google Workspace in Ihrem Unternehmen zu überwachen und die folgenden Bedrohungen zu erkennen:
    • Malware
    • Kryptomining
    • Brute-Force-SSH
    • Ausgehender DoS
    • Ungewöhnliche IAM-Gewährung
    • Daten-Exfiltration

    Event Threat Detection erkennt außerdem folgende Google Workspace-Bedrohungen:

    • Gehackte Passwörter
    • Versuchte Kontoverletzungen
    • Änderungen an den Einstellungen für die 2-Schritte-Bestätigung
    • Änderungen an den Einstellungen für die Einmalanmeldung (SSO)
    • Von staatlichen Stellen unterstützter Angriff
  • Container Threat Detection erkennt die folgenden Container-Laufzeitangriffe:
    • Ausgeführte Binärdatei hinzugeführt
    • Hinzugefügte Mediathek geladen
    • Schädliches Skript ausgeführt
    • Reverse Shell
  • Virtual Machine Threat Detection erkennt Anwendungen zum Mining von Kryptowährungen, die in VM-Instanzen ausgeführt werden.

  • Security Health Analytics: Die Premium-Stufe umfasst verwaltete Scans auf Sicherheitslücken für alle Detektoren von Security Health Analytics (über 140) und bietet Monitoring für viele branchenübliche Best Practices sowie Compliance-Monitoring für alle Ihrer Google Cloud-Assets. Diese Ergebnisse können Sie in einem Compliance-Dashboard prüfen und als verwaltbare CSV-Dateien exportieren.

    In der Premium-Stufe umfasst Security Health Analytics das Monitoring und die Berichterstattung für folgende Standards:

    • CIS 1.2
    • CIS 1.1
    • CIS 1.0
    • PCI DSS v3.2.1
    • NIST 800–53
    • ISO 27001
  • Web Security Scanner in der Premium-Stufe umfasst alle Features der Standard-Stufe und zusätzliche Detektoren, die Kategorien in den OWASP Top Ten unterstützen. Web Security Scanner fügt außerdem verwaltete Scans hinzu, die automatisch konfiguriert werden. Bei diesen Scans werden die folgenden Sicherheitslücken in Ihren Google Cloud-Anwendungen ermittelt:
    • Cross-Site-Scripting (XSS)
    • Flash Injection
    • Gemischte Inhalte
    • Klartext-Passwörter
    • Verwendung von unsicheren JavaScript-Bibliotheken
  • Die Premium-Stufe umfasst Unterstützung für die Zuweisung von IAM-Rollen an Nutzer auf Organisations-, Ordner- und Projektebene.
  • Die Premium-Stufe umfasst das Feature Kontinuierliche Exporte, mit dem automatisch Exporte neuer Ergebnisse nach Pub/Sub verwaltet werden.
  • Sie können zusätzliche Kontingente für Cloud Asset Inventory anfordern, wenn erweitertes Asset-Monitoring erforderlich ist.
  • Der Secured Landing Zone Service kann nur in der Premium-Stufe von Security Command Center aktiviert werden. Wenn dieser Dienst aktiviert ist, werden bei Richtlinienverstößen in den Ressourcen des bereitgestellten Blueprints Ergebnisse angezeigt, entsprechende Benachrichtigungen generiert und selektiv automatische Abhilfemaßnahmen ergriffen.

    • VM Manager-Berichte zu Sicherheitslücken

    • Wenn Sie VM Manager aktivieren, schreibt der Dienst die Erkenntnisse aus seinen Berichten zu Sicherheitslücken, die sich in der Vorschau befinden, automatisch in das Security Command Center. Die Berichte identifizieren Sicherheitslücken in den Betriebssystemen, die auf virtuellen Compute Engine-Maschinen installiert sind. Weitere Informationen finden Sie unter VM Manager.

    Informationen zu den Kosten für die Verwendung einer Security Command Center-Stufe finden Sie unter Preise.

    Wenn Sie die Security Command Center-Premiumstufe abonnieren möchten, wenden Sie sich an Ihren Kundenbetreuer.

    Sicherheitsstatus verbessern

    Security Command Center verwendet Cloud Asset Inventory, um einen vollständigen Einblick in Ihre Google Cloud-Infrastruktur und -Ressourcen zu erhalten, die auch als Assets bezeichnet werden. Integrierte Dienste wie Security Health Analytics, Event Threat Detection, Container Threat Detection und Web Security Scanner, verwenden fast 200 Erkennungsmodule, die Ihre Assets, Webanwendungen sowie den Cloud Logging Stream, die Google Workspace-Logs und Google Groups kontinuierlich überwachen und scannen.

    Durch die Bedrohungsinformationen, das maschinelle Lernen und die einzigartigen Informationen von Google zur Architektur von Google Cloud erkennt Security Command Center Sicherheitslücken, Fehlkonfigurationen, Bedrohungen und Compliance-Verstöße nahezu in Echtzeit. Sicherheitsergebnisse und Compliance-Berichte unterstützen Sie dabei, Risiken zu bewerten und Prioritäten zu setzen. Sie erhalten außerdem verifizierte Anleitungen zur Fehlerbehebung sowie Tipps von Experten, um auf Ergebnisse zu reagieren.

    Die folgende Abbildung zeigt die Kerndienste und Vorgänge im Security Command Center.

    Funktionsweise von Security Command Center

    Umfassendes Inventar an Assets, Daten und Diensten

    Security Command Center nimmt Daten zu neuen, geänderten und gelöschten Assets aus Cloud Asset Inventory auf, das kontinuierlich Assets in Ihrer Cloudumgebung überwacht. Security Command Center unterstützt eine große Teilmenge der Google Cloud-Assets. Bei den meisten Assets werden Konfigurationsänderungen, einschließlich IAM- und Organisationsrichtlinien, nahezu in Echtzeit erkannt. Sie können Änderungen in Ihrer Organisation schnell erkennen und folgende Fragen beantworten:

    • Wie viele Projekte haben Sie und wie viele Projekte sind neu?
    • Welche Google Cloud-Ressourcen sind bereitgestellt oder in Verwendung, wie virtuelle Maschinen (VMs) der Compute Engine, Cloud Storage-Buckets oder App Engine-Instanzen?
    • Wie sieht der Bereitstellungsverlauf aus?
    • Wie können Sie die folgenden Kategorien organisieren, kommentieren, in ihnen suchen, auswählen, filtern und sortieren?
      • Assets und Asset-Attribute
      • Sicherheitsmarkierungen, mit denen Sie Assets oder Ergebnisse in Security Command Center annotieren können
      • Zeitraum

    Security Command Center kennt immer den aktuellen Status der unterstützten Assets und in der Google Cloud Console oder der Security Command Center API können Sie frühere Discovery-Scans prüfen, um Assets zwischen zwei Zeitpunkten zu vergleichen. Sie können auch nach nicht ausgelasteten Assets wie virtuellen Maschinen oder inaktiven IP-Adressen suchen.

    Umsetzbare Erkenntnisse zur Sicherheit

    Die integrierten Dienste von Security Command Center überwachen Ihre Assets und Logs kontinuierlich auf Indikatoren für Kompromisse und Konfigurationsänderungen, die bekannten Bedrohungen, Sicherheitslücken und Fehlkonfigurationen entsprechen. Um Kontext für Vorfälle zu bieten, werden Ergebnisse mit Informationen aus den folgenden Quellen angereichert:

    Sie erhalten Benachrichtigungen zu neuen Ergebnissen nahezu in Echtzeit, damit Ihre Sicherheitsteams Daten erheben, Bedrohungen ermitteln und Maßnahmen ergreifen können, bevor sie zu Schäden oder Verlusten für das Unternehmen führen.

    Mit einem zentralisierten Dashboard und einer robusten API können Sie schnell Folgendes tun:

    • Fragen beantworten, wie:
      • Welche statischen IP-Adressen sind öffentlich zugänglich?
      • Welche Images werden auf den VMs ausgeführt?
      • Gibt es Beweise, dass Ihre VMs für das Mining von Kryptowährungen oder andere missbräuchliche Vorgänge verwendet werden?
      • Welche Dienstkonten wurden hinzugefügt oder entfernt?
      • Wie werden Firewalls konfiguriert?
      • Welche Storage-Buckets enthalten personenbezogene Daten oder vertrauliche Daten? Dieses Feature muss in Cloud Data Loss Prevention eingebunden werden.
      • Welche Cloud-Anwendungen sind anfällig für XSS-Sicherheitslücken (Cross-Site-Scripting)?
      • Sind meine Cloud Storage-Buckets mit dem Internet verbunden?
    • Ergreifen Sie Maßnahmen, um Ihre Assets zu schützen:
      • Implementieren Sie bestätigte Korrekturschritte für Fehlkonfigurationen von Assets und Compliance-Verstöße.
      • Kombinieren Sie Bedrohungsinformationen von Google Cloud und Drittanbietern wie Palo Alto Networks, um Ihr Unternehmen besser vor kostspieligen Bedrohungen auf Computing-Ebene zu schützen.
      • Prüfen Sie, ob die entsprechenden IAM-Richtlinien vorhanden sind. Sie werden benachrichtigt, wenn Richtlinien falsch konfiguriert oder unerwartet geändert werden.
      • Integrieren Sie Ergebnisse aus Ihren eigenen oder Drittanbieterquellen für Google Cloud-Ressourcen oder Hybrid- oder Multi-Cloud-Ressourcen. Weitere Informationen finden Sie unter Sicherheitsdienst eines Drittanbieters hinzufügen.
      • Reagieren Sie auf Bedrohungen in Ihrer Google Workspace-Umgebung und auf unsichere Änderungen in Google Groups.

    Security Command Center-Rollen werden auf Organisations-, Ordner- oder Projektebene zugewiesen. Die Möglichkeit, Ergebnisse, Assets und Sicherheitsquellen anzusehen, zu bearbeiten, zu erstellen oder zu aktualisieren, hängt von der Ebene ab, auf die Sie Zugriff haben. Weitere Informationen zu Security Command Center-Rollen finden Sie unter Zugriffssteuerung.

    Einhaltung von Branchenstandards

    Compliance-Berichte sind als Teil von Security Health Analytics verfügbar. Die meisten Detektoren des Dienstes sind einem oder mehreren der folgenden Compliancestandards zugeordnet:

    • CIS Google Cloud Computing Foundations Benchmark v1.2.0 (CIS Google Cloud Foundation 1.0)
    • CIS Google Cloud Computing Foundations Benchmark v1.1.0 (CIS Google Cloud Foundation 1.1)
    • CIS Google Cloud Computing Foundations Benchmark v1.0.0 (CIS Google Cloud Foundation 1.0)
    • Payment Card Industry Data Security Standard 3.2.1
    • National Institute of Standards and Technology 800-53
    • International Organization for Standardization 27001
    • Open Web Application Security Project (OWASP) Top Ten

    Security Health Analytics wertet den Sicherheitsstatus kontinuierlich anhand von Compliancestandards aus. Außerdem können Sie mit Security Command Center Folgendes tun:

    • Compliance-Verstöße, die mit Ergebnissen verbunden sind, überwachen und beheben.
    • Cloud-Audit-Logging-Ereignisse für Compute Engine, Netzwerkdienste, Cloud Storage, IAM und Binärautorisierung integrieren. So können Sie regulatorische Anforderungen erfüllen oder einen Audit-Trail bereitstellen, während Sie Vorfälle untersuchen.
    • Wenn Sie Security Command Center Premium abonnieren, erhalten Sie zusätzliche Berichts- und Exportoptionen, damit alle Ressourcen die Complianceanforderungen erfüllen.

    Flexible Plattform für Ihre Sicherheitsanforderungen

    Security Command Center enthält Integrationsoptionen, mit denen Sie das Dienstprogramm des Dienstes optimieren können, um Ihren sich ändernden Sicherheitsanforderungen gerecht zu werden:

    Verwendungsweise von Security Command Center

    Die folgende Tabelle enthält allgemeine Produktfeatures, Anwendungsfälle und Links zu relevanten Dokumentationen, damit Sie die benötigten Inhalte schnell finden können.

    Feature Anwendungsfälle Verwandte Dokumente
    Asset-Erkennung und Inventar
    • Entdecken Sie Assets, Dienste und Daten in Ihrer Organisation und sehen Sie sie an einem zentralen Ort an.
    • Bewerten Sie Sicherheitslücken für unterstützte Assets und ergreifen Sie Maßnahmen, um Korrekturen für die schwerwiegendsten Probleme zu priorisieren.
    • Prüfen Sie frühere Discovery-Scans, um neue, geänderte oder gelöschte Assets zu identifizieren.
    		 Optimize-Sicherheitsbefehlszentrale

    Zugriffssteuerung

    Security Command Center-Dashboard verwenden

    Asset-Erkennung konfigurieren

    Assets auflisten

    Identifikation von vertraulichen Daten
    • Finden Sie mit Cloud DLP heraus, wo sensible und regulierte Daten gespeichert werden.
    • Verhindern Sie unbeabsichtigte Gefährdungen und achten Sie darauf, dass nur Personen mit berechtigtem Interesse Zugriff erhalten.
    		 Cloud DLP-Ergebnisse an SCC senden
    SIEM- und SOAR-Integration
    • Security Command Center-Daten ganz einfach in externe Systeme exportieren.
    		 Security Command Center-Daten exportieren

    Kontinuierliche Exporte

    Erkennung von Sicherheitslücken
    • Lassen Sie sich proaktiv über neue Sicherheitslücken und Änderungen auf Ihrer Angriffsfläche informieren.
    • Ermitteln Sie häufige Sicherheitslücken wie Cross-Site-Scripting (XSS) und Flash Injection, die Ihre Anwendungen gefährden.
    		 Web Security Scanner – Übersicht

    Ergebnisse zu Sicherheitslücken

    Monitoring der Zugriffssteuerung
    • Stellen Sie sicher, dass die entsprechenden Richtlinien zur Zugriffssteuerung für Ihre Google Cloud-Ressourcen vorhanden sind. Sie werden benachrichtigt, wenn Richtlinien falsch konfiguriert oder unerwartet geändert werden.
    		 Zugriffssteuerung
    Bedrohungserkennung
    • Ermitteln Sie bösartige Aktivitäten und Nutzer in Ihrer Infrastruktur und erhalten Sie Benachrichtigungen bei aktiven Bedrohungen.
    		 Event Threat Detection – Übersicht

    Container Threat Detection – Übersicht

    Fehlererkennung
    • Benachrichtigungen zu Fehlern und Fehlkonfigurationen erhalten, die verhindern, dass Security Command Center und seine Dienste wie vorgesehen funktionieren.
    		 Security Command Center-Fehler – Übersicht
    Risiken beheben
    • Implementieren Sie verifizierte und empfohlene Anweisungen zur Fehlerbehebung, um Assets schnell zu schützen.
    • Konzentrieren Sie sich auf die wichtigsten Felder in einem Ergebnis, um Sicherheitsanalysten schnell die Möglichkeit zu geben, fundierte Entscheidungen zu treffen.
    • Reichern Sie zugehörige Sicherheitslücken und Bedrohungen an und verbinden Sie sie, um TTPs zu identifizieren und zu erfassen.
    • Beheben Sie Fehler und Fehlkonfigurationen, die verhindern, dass Security Command Center und seine Dienste wie vorgesehen funktionieren.
    		 Bedrohungen untersuchen und darauf reagieren

    Behebung von Security Health Analytics-Ergebnissen

    Web Security Scanner-Ergebnisse beheben

    Automatisierung der Sicherheitsantwort

    Fehler im Security Command Center beheben
    Eingaben von Sicherheitstools von Drittanbietern
    • Integrieren Sie die Ausgabe Ihrer vorhandenen Sicherheitstools wie Cloudflare, CrowdStrike, Prisma Cloud von Palo Alto Networks und Qualys in das Security Command Center. Durch die Einbindung der Ausgabe können Sie Folgendes erkennen:

      • DDoS-Angriffe
      • Manipulierte Endpunkte
      • Compliance-Richtlinienverstöße
      • Netzwerkangriffe
      • Sicherheitslücken und Bedrohungen für Instanzen
    		 Security Command Center konfigurieren

    Sicherheitsquellen erstellen und verwalten

    Benachrichtigungen in Echtzeit
    • Erhalten Sie Security Command Center-Benachrichtigungen per E-Mail, SMS, Slack, WebEx und anderen Diensten mit Pub/Sub-Benachrichtigungen.
    • Passen Sie Ergebnisfilter an, um Ergebnisse auf Zulassungslisten auszuschließen.
    		 Ergebnisbenachrichtigungen einrichten

    E-Mail- und Chatbenachrichtigungen in Echtzeit aktivieren

    Sicherheitsmarkierungen verwenden

    Security Command Center-Daten exportieren

    Benachrichtigungen filtern

    Assets zu Zulassungslisten hinzufügen

    REST API und Client-SDKs
    • Verwenden Sie die Security Command Center REST API oder Client-SDKs, um die Einbindung in Ihre vorhandenen Sicherheitssysteme und Workflows zu vereinfachen.
    		 Security Command Center konfigurieren

    Programmatischer Zugriff auf Security Command Center

    Security Command Center API

    Nächste Schritte