Security Command Center konfigurieren

>

Konfigurieren Sie Security Command Center, einschließlich Hinzufügen von Sicherheitsquellen, Verwaltung von Quellen für Ressourcen und Logging für Event Threat Detection und Container Threat Detection.

Um Security Command Center zu konfigurieren, rufen Sie in der Cloud Console die Seite Einstellungen auf und klicken auf den Tab für die Einstellung, die Sie ändern möchten.

Quellen & Dienste

Eine Sicherheitsquelle ist in diesem Zusammenhang ein Dienst, der Ergebnisse zu Sicherheitslücken und Bedrohungen in Security Command Center bereitstellt. Um eine neue Sicherheitsquelle hinzuzufügen, müssen Sie zuerst deren Integrationsanleitung abschließen und sie dann als Sicherheitsquelle im Dashboard von Security Command Center aktivieren. Sie können das Sicherheitscenter von Google Cloud zusammen mit anderen Sicherheitsquellen von Drittanbietern erweitern. So erhalten Sie einen vollständigen Überblick über die Sicherheitsrisiken, Sicherheitslücken und Bedrohungen in Ihrer Organisation.

Nachdem Sie eine Sicherheitsquelle aktiviert haben, können Sie konfigurieren, welche Ressourcen von jeder Sicherheitsquelle überwacht werden.

Integrierte Dienste

Integrierte Dienste

Die folgenden integrierten Dienste sind Teil von Security Command Center:

  • Security Health Analytics
  • Web Security Scanner
  • Event Threat Detection
  • Container Threat Detection

Einige integrierte Dienste sind nur verfügbar, wenn Ihre Organisation die Premium-Stufe von Security Command Center abonniert hat. Weitere Informationen zu Security Command Center-Stufen

Klicken Sie auf die Ein-/Aus-Schaltfläche neben dem Dienstnamen, um einen integrierten Dienst für alle Ressourcen zu aktivieren oder zu deaktivieren, die vom Dienst unterstützt werden. Wenn Sie einen Dienst auf bestimmte Ordner, Projekte oder Cluster in Ihrer Organisation beschränken möchten, klicken Sie auf Ressourcen bearbeiten. Daraufhin wird der Tab Ressourcen angezeigt, der weiter unten auf dieser Seite beschrieben wird.

In Google Cloud integrierte Sicherheitsquelle hinzufügen

Google Cloud bietet die folgenden Google Cloud-Sicherheitsquellen, die in Security Command Center integriert sind:

  • Anomalieerkennung
  • Cloud Data Loss Prevention
  • Forseti Security
  • Phishing-Schutz

Weitere Informationen zu diesem Angebot finden Sie unter Sicherheitsquellen für Sicherheitslücken und Bedrohungen.

Ergebnisse aus Google Cloud-Sicherheitsquellen sind verfügbar, nachdem sie die zugehörigen Integrationsleitfäden durchgearbeitet haben.

  • Wenn Sie eine neue Quelle hinzufügen möchten, klicken Sie auf Weitere Quellen hinzufügen. Die Seite "Google Cloud Marketplace" wird in den Security Command Center-Diensten angezeigt. Klicken Sie auf den Dienst, den Sie hinzufügen möchten, und folgen Sie der Anleitung des Dienstanbieters, um ihn als integrierte Quelle hinzuzufügen.
  • Wenn Sie Ergebnisse aus Sicherheitsquellen aufrufen möchten, aktivieren Sie den Dienst, indem Sie auf den Schieberegler neben dem Dienstnamen klicken. Wenn Sie einen Dienst auf bestimmte Ordner, Projekte oder Cluster in Ihrer Organisation beschränken möchten, verwenden Sie den weiter unten auf dieser Seite beschriebenen Tab Ressourcen.

Die integrierte Sicherheitsquelle verwendet ein Dienstkonto, das sich außerhalb Ihrer Organisation befindet. Google Cloud-Sicherheitsquellen verwenden beispielsweise ein Dienstkonto bei security-center-fpr.iam.gserviceaccount.com. Wenn in den Organisationsrichtlinien die Identitäten nach Domain eingeschränkt sind, müssen Sie das Dienstkonto zu einer Identität in einer Gruppe hinzufügen, die sich innerhalb einer zulässigen Domain befindet.

Auf dem Tab Sicherheitsquellen fügen Sie neue Quellen hinzu oder aktivieren bzw. deaktivieren vorhandene Quellen:

  1. Rufen Sie in der Cloud Console die Seite "Quellen und Dienste" auf.
    Zur Seite "Quellen und Dienste"
  2. Wählen Sie die Organisation aus, der Sie eine Sicherheitsquelle hinzufügen möchten.
  3. Klicken Sie neben der Sicherheitsquelle, die Sie aktivieren möchten, auf die Ein-/Aus-Schaltfläche.

Die Ergebnisse für die ausgewählten Sicherheitsquellen werden auf der Seite "Ergebnisse" im Security Command Center-Dashboard angezeigt.

Drittanbieter-Sicherheitsquelle hinzufügen

Security Command Center kann Ergebnisse aus Sicherheitsquellen von Drittanbietern anzeigen, die als Google Cloud Marketplace-Partner registriert sind. Die folgenden Drittanbieter sind bereits als Sicherheitspartner registriert:

  • Acalvio
  • Capsule8
  • Cavirin
  • Chef
  • Check Point CloudGuard Dome9
  • Cloudflare
  • CloudQuest
  • McAfee
  • Qualys
  • Reblaze
  • Redlock by Palo Alto Networks
  • StackRox
  • Tenable.io
  • Twistlock

Wenn Sie eine Sicherheitsquelle integrieren möchten, die noch nicht als Google Cloud Marketplace-Partner registriert ist, bitten Sie Ihren Anbieter, den Leitfaden zum Onboarding als Partner von Security Command Center zu befolgen.

Um eine neue Sicherheitsquelle eines Drittanbieters zu Security Command Center hinzuzufügen, richten Sie die Sicherheitsquelle ein und aktivieren sie sie im Security Command Center-Dashboard.

Hinweis

Wenn Sie eine Sicherheitsquelle für einen registrierten Cloud Marketplace-Partner hinzufügen möchten, benötigen Sie Folgendes:

  • Die folgenden IAM-Rollen (Identity and Access Management):
    • Sicherheitscenter-Administrator – roles/securitycenter.admin
    • Dienstkontoadministrator – roles/iam.serviceAccountAdmin
  • Ein Google Cloud-Projekt, das Sie für die Sicherheitsquelle verwenden möchten.

Schritt 1: Sicherheitsquelle einrichten

Zum Einrichten einer Drittanbieter-Sicherheitsquelle benötigen Sie ein Dienstkonto für diese Quelle. Wenn Sie die neue Sicherheitsquelle hinzufügen, können Sie aus den folgenden Dienstkontooptionen auswählen:

  • Erstellen Sie ein Dienstkonto:
  • Verwenden Sie ein eigenes Dienstkonto.
  • Verwenden Sie ein Dienstkonto des Quellanbieters.

So richten Sie eine neue Sicherheitsquelle ein, die bereits als Cloud Marketplace-Partner registriert ist:

  1. Rufen Sie in der Cloud Console die Seite Marketplace in den Security Command Center-Diensten auf.
    Zur Marketplace-Seite
  2. Auf der Seite Marketplace werden Sicherheitsquellen angezeigt, die direkt Security Command Center zugeordnet sind.
    • Wenn die Sicherheitsquelle, die Sie hinzufügen möchten, nicht angezeigt wird, suchen Sie nach Sicherheit und wählen Sie dann den Anbieter der Sicherheitsquelle aus.
    • Wenn der Anbieter der Sicherheitsquelle nicht im Cloud Marketplace registriert ist, bitten Sie den Anbieter, den Leitfaden zum Onboarding als Security Command Center-Partner zu befolgen.
  3. Befolgen Sie auf der Seite des Anbieters der Sicherheitsquelle im Cloud Marketplace der Anleitung zum Einrichten von Anbietern in der Übersicht.
  4. Klicken Sie auf der Seite Marketplace des Anbieters auf Zum Registrieren die Website [Name des Anbieters] aufrufen, nachdem Sie den Einrichtungsvorgang des Anbieters abgeschlossen haben.
  5. Wählen Sie in der Cloud Console auf der Seite Security Command Center die Organisation aus, für die Sie die Sicherheitsquelle verwenden möchten.
  6. Akzeptieren Sie auf der Seite Dienstkonto erstellen und Sicherheitshinweise für [Anbietername] aktivieren das Dienstkonto des Anbieters, sofern verfügbar, oder erstellen oder wählen Sie ein eigenes Dienstkonto aus, das Sie verwenden möchten:
    • So erstellen Sie ein Dienstkonto:
      1. Wählen Sie Neues Dienstkonto erstellen aus.
      2. Klicken Sie neben Projekt auf Ändern, um das Projekt auszuwählen, das Sie für diese Sicherheitsquelle verwenden möchten.
      3. Geben Sie einen Dienstkontonamen und eine Dienstkonto-ID ein.
    • So verwenden Sie ein vorhandenes Dienstkonto:
      1. Wählen Sie Vorhandenes Dienstkonto verwenden und dann in der Drop-down-Liste Name des Dienstkontos das Dienstkonto aus, das Sie verwenden möchten.
    • Wenn der Anbieter der Sicherheitsquelle das Dienstkonto verwaltet, geben Sie die Dienstkonto-ID ein, die er angegeben hat.
  7. Wenn Sie alle Dienstkontoinformationen hinzugefügt haben, klicken Sie auf Senden oder Akzeptieren.
  8. Klicken Sie auf der Seite Quelle verbinden auf den Link unter Installationsschritte, um Informationen zum Abschließen der Installation zu erhalten.
  9. Klicken Sie zum Schluss auf Fertig.

Bei korrekter Konfiguration ist die hinzugefügte Sicherheitsquelle in Security Command Center verfügbar.

Schritt 2: Sicherheitsquelle aktivieren

Nachdem Sie eine neue Sicherheitsquelle eingerichtet haben, müssen Sie sie im Security Command Center-Dashboard aktivieren.

Die integrierte Sicherheitsquelle verwendet ein Dienstkonto, das sich außerhalb Ihrer Organisation befindet. Google Cloud-Sicherheitsquellen verwenden beispielsweise ein Dienstkonto bei security-center-fpr.iam.gserviceaccount.com. Wenn in den Organisationsrichtlinien die Identitäten nach Domain eingeschränkt sind, müssen Sie das Dienstkonto zu einer Identität in einer Gruppe hinzufügen, die sich innerhalb einer zulässigen Domain befindet.

Auf dem Tab Sicherheitsquellen fügen Sie neue Quellen hinzu oder aktivieren bzw. deaktivieren vorhandene Quellen:

  1. Rufen Sie in der Cloud Console die Seite "Quellen und Dienste" auf.
    Zur Seite "Quellen und Dienste"
  2. Wählen Sie die Organisation aus, der Sie eine Sicherheitsquelle hinzufügen möchten.
  3. Klicken Sie neben der Sicherheitsquelle, die Sie aktivieren möchten, auf die Ein-/Aus-Schaltfläche.

Die Ergebnisse für die ausgewählten Sicherheitsquellen werden auf der Seite "Ergebnisse" im Security Command Center-Dashboard angezeigt.

Dienstkonten für Anbieter ändern

Sie können das für die Sicherheitsquelle eines Drittanbieters verwendete Dienstkonto ändern, um beispielsweise Datenlecks und die Rotation von Dienstkonten zu beheben. Wenn Sie das Dienstkonto für eine Sicherheitsquelle ändern möchten, müssen Sie es im Dashboard von Security Command Center aktualisieren. Befolgen Sie dann die Anleitung des Dienstanbieters, um das Dienstkonto für den jeweiligen Dienst zu aktualisieren.

  1. Rufen Sie in der Cloud Console die Seite Sicherheitsquellen von Security Command Center auf.
    Zur Seite "Sicherheitsquellen"
  2. Klicken Sie unter Aktiviert auf die Ein-/Aus-Schaltfläche, um die Sicherheitsquelle, für die Sie das Dienstkonto ändern möchten, vorübergehend zu deaktivieren.
  3. Klicken Sie neben dem Namen des Dienstkontos auf Bearbeiten.
  4. Geben Sie im angezeigten Bereich [Anbietername] bearbeiten das neue Dienstkonto ein und klicken Sie auf Senden.
  5. Klicken Sie unter Aktiviert auf die Ein-/Aus-Schaltfläche, um die Sicherheitsquelle zu aktivieren.

Bei richtiger Konfiguration wird das Dienstkonto für die Sicherheitsquelle in Security Command Center aktualisiert. Sie müssen auch die Schritte des Quellanbieters befolgen, um die Dienstkontoinformationen für den zugehörigen Dienst zu aktualisieren.

Ressourcen

Auf dem Tab Ressourcen können Sie die unterstützten Diensteinstellungen für jede unterstützte Ressource ändern. Ressourcen übernehmen standardmäßig die Diensteinstellungen für die Organisation. Um Dienste für einzelne Ressourcen zu aktivieren oder zu deaktivieren, klicken Sie auf die Drop-down-Liste in der Dienstspalte, um die Dienstaktivierung für eine Ressource auszuwählen.

  • Ein: Der Dienst ist für die Ressource aktiviert.
  • Aus: Der Dienst ist für die Ressource deaktiviert.
  • Von übergeordneter Ressource übernehmen: Die Ressource verwendet die Diensteinstellung, die für das übergeordnete Element in der Ressourcenhierarchie ausgewählt ist.

Senken

Auf dem Tab Senken richten Sie das Logging für Ergebnisse von Event Threat Detection und Container Threat Detection ein. Die Ergebnisse werden in das von Ihnen ausgewählte Cloud Logging-Projekt exportiert.

So protokollieren Sie Ergebnisse:

  1. Klicken Sie auf die Ein-/Aus-Schaltfläche neben Ergebnisse in Stackdriver protokollieren.
  2. Wählen Sie im Feld Logging-Projekt das Projekt aus, in das Sie Logs schreiben möchten.

Berechtigungen

Zum Ansehen und Konfigurieren von IAM-Rollen für Security Command Center klicken Sie auf der Seite Konfiguration auf Berechtigungen ansehen. Berechtigungen sind nach Rollen gruppiert.

So bearbeiten Sie die einem Nutzer zugewiesenen Rollen:

  1. Klicken Sie neben dem Namen der Rolle, um den Knoten zu maximieren.
  2. Klicken Sie neben dem Namen des Nutzers, für den Sie Rollen bearbeiten möchten, auf die gewünschte Aktion:
    1. Klicken Sie auf Mitglied entfernen, um eine Rolle zu entfernen.
    2. Klicken Sie auf Mitglied bearbeiten, um eine Rolle hinzuzufügen. Fügen Sie im angezeigten Bereich Berechtigungen bearbeiten Rollen hinzu oder entfernen Sie Rollen und klicken Sie dann auf Speichern.

So fügen Sie Rollen für einen neuen Nutzer hinzu: 1. Klicken Sie auf Mitglied hinzufügen. 1. Daraufhin öffnet sich der Bereich Mitglieder und Rollen hinzufügen: 2. Geben Sie die E-Mail-Adresse des Nutzers ein. 2. Fügen Sie eine oder mehrere Rollen hinzu und klicken Sie auf Speichern.

Legacy-UI-Einstellungen

Maximieren Sie den folgenden Abschnitt, um mehr darüber zu erfahren, wie Sie Security Command Center über die Legacy-UI verwalten. Die Legacy-UI ist nur sichtbar, wenn Sie nicht zur Premium- oder Standardstufe von Security Command Center migriert sind.

Nächste Schritte