Security Command Center konfigurieren

Konfigurieren Sie Security Command Center, einschließlich Hinzufügen von Sicherheitsdiensten, Verwaltung von Diensten für Ressourcen und Logging für Event Threat Detection und Container Threat Detection.

Um Security Command Center zu konfigurieren, rufen Sie in der Google Cloud Console die Seite Einstellungen auf und klicken auf den Tab für die Einstellung, die Sie ändern möchten.

Aktivierungsstufen

Sie können Security Command Center auf einer von zwei Ebenen aktivieren: auf Organisationsebene für eine Organisation oder auf Projektebene für ein einzelnes Projekt.

Die Aktivierungsstufe wirkt sich darauf aus, welche Arten von Diensten Sie konfigurieren können. Wenn Security Command Center auf Projektebene aktiviert ist, werden integrierte Dienste nicht unterstützt. Sie können nur die integrierten Security Command Center-Dienste konfigurieren.

Integrierte und integrierte Dienste werden im folgenden Abschnitt erläutert.

Weitere Informationen zu den Aktivierungsebenen finden Sie unter Security Command Center aktivieren – Übersicht.

Dienste

Zwei Arten von Diensten werden in Security Command Center ausgeführt: vorinstallierte Dienste und integrierte Dienste. Vorinstallierte Dienste sind Teil von Security Command Center. Integrierte Dienste sind Google Cloud- oder Drittanbieterdienste, die Ergebnisse an Security Command Center liefern.

Wenn Sie einer Aktivierung von Security Command Center auf Organisationsebene einen neuen integrierten Dienst hinzufügen möchten, führen Sie die zugehörige Integrationsanleitung aus und aktivieren Sie ihn dann als Sicherheitsdienst im Security Command Center-Dashboard. Mit dieser Funktion erhalten Sie einen vollständigen Überblick über die Sicherheitsrisiken, Sicherheitslücken und Bedrohungen in Ihrem Projekt oder Ihrer Organisation.

Nachdem Sie einen integrierten Dienst aktiviert haben, können Sie konfigurieren, welche Ressourcen von jedem Sicherheitsdienst überwacht werden sollen.

Integrierte Dienste

Die folgenden integrierten Dienste sind Teil von Security Command Center:

  • Container Threat Detection
  • Event Threat Detection
  • Rapid Vulnerability DetectionVorschau
  • Secured Landing Zone-DienstVorschau

  • Security Health Analytics

  • Sicherheitsstatus

  • Virtual Machine Threat Detection

  • Web Security Scanner

Einige integrierte Dienste sind nur in der Premium-Stufe von Security Command Center verfügbar. Weitere Informationen zu Security Command Center-Stufen

Integrierten Dienst aktivieren oder deaktivieren

Sie können integrierte Dienste für die folgenden Ressourcen aktivieren:

  • Eine Organisation
  • Einen Ordner
  • Ein Projekt
  • Mit Container Threat Detection kann ein Cluster

Ressourcen übernehmen standardmäßig die Diensteinstellungen der übergeordneten Ressource.

So aktivieren oder deaktivieren Sie einen Security Command Center-Dienst für eine Ressource:

  1. Rufen Sie in der Google Cloud Console die Seite „Security Command Center“ auf.

    Zum Security Command Center

  2. Wählen Sie die Organisation, den Ordner oder das Projekt aus, für die Sie Dienste verwalten müssen.

  3. Klicken Sie auf Einstellungen.

  4. Klicken Sie für den Dienst, den Sie ändern möchten, auf Einstellungen verwalten.

  5. Suchen Sie auf dem Tab Dienstaktivierung die Ressource, für die Sie den Dienst aktivieren müssen. Sie können die integrierten Dienste für eine Organisation, einen Ordner, ein Projekt oder (nur mit Container Threat Detection) für einen Cluster aktivieren.

  6. Legen Sie für diese Ressource den Dienst auf Aktivieren, Deaktivieren oder Übernehmen fest.

Module eines Dienstes ansehen

Für einige Dienste können Sie bestimmte Detektoren aktivieren oder deaktivieren, die auch als Module bezeichnet werden. So rufen Sie die Module eines Dienstes und ihren aktuellen Status auf:

  1. Rufen Sie in der Google Cloud Console die Seite „Security Command Center“ auf.

    Zum Security Command Center

  2. Wählen Sie die Organisation, den Ordner oder das Projekt aus, für die Sie Dienste verwalten müssen.

  3. Klicken Sie auf Einstellungen.

  4. Klicken Sie für den Dienst, den Sie aufrufen möchten, auf Einstellungen verwalten.

  5. Klicke auf den Tab Module.

    Die Module des Dienstes werden mit ihrem jeweiligen Status angezeigt.

Modul aktivieren oder deaktivieren

  1. Rufen Sie in der Google Cloud Console die Seite „Security Command Center“ auf.

    Zum Security Command Center

  2. Wählen Sie die Organisation, den Ordner oder das Projekt aus, für die Sie Dienste verwalten müssen.

  3. Klicken Sie auf Einstellungen.

  4. Klicken Sie für den Dienst, den Sie aufrufen möchten, auf Einstellungen verwalten.

  5. Klicke auf den Tab Module.

    Die Module des Dienstes werden mit ihrem jeweiligen Status angezeigt.

  6. Suchen Sie den Detektor, den Sie ändern möchten, und setzen Sie seinen Status auf Aktivieren oder Deaktivieren.

Dienste zu Security Command Center hinzufügen

Wenn Security Command Center auf Organisationsebene aktiviert ist, können Sie integrierte Google Cloud-Dienste oder Sicherheitsdienste von Drittanbietern hinzufügen.

Integrierten Google Cloud-Dienst hinzufügen

Sie können bestimmte integrierte Google Cloud-Dienste zu Security Command Center hinzufügen.

Bei Aktivierungen auf Projektebene werden integrierte Google Cloud-Dienste nicht unterstützt.

Klicken Sie auf der Seite Einstellungen auf den Tab Integrierte Dienste, um die verfügbaren Dienste anzuzeigen. Die folgenden Google Cloud-Sicherheitsdienste lassen sich in Aktivierungen von Security Command Center auf Organisationsebene einbinden:

  • Anomalieerkennung
  • Google Cloud Armor
  • Schutz sensibler Daten
  • Forseti Security

Weitere Informationen zu diesen Diensten finden Sie unter Sicherheitsquellen für Sicherheitslücken und Bedrohungen.

Ergebnisse aus Google Cloud-Sicherheitsdiensten sind verfügbar, nachdem sie die zugehörigen Integrationsleitfäden durchgearbeitet haben.

  • Klicken Sie auf Weitere Services hinzufügen, um einen neuen Dienst hinzuzufügen. Die Seite "Security Command Center-Dienste" auf Google Cloud Marketplace wird angezeigt. Klicken Sie auf den gewünschten Dienst und folgen Sie der Anleitung des Anbieters, um ihn als integrierten Dienst hinzuzufügen.
  • Wenn Sie Ergebnisse aus Sicherheitsdiensten aufrufen möchten, aktivieren Sie den Dienst, indem Sie auf den Schieberegler neben dem Dienstnamen klicken. Verwenden Sie das Menü Erweiterte Einstellungen, das weiter unten auf dieser Seite beschrieben wird, um einen Dienst auf bestimmte Ordner, Projekte oder Cluster in Ihrer Organisation zu beschränken.

Integrierte Quellen verwenden Dienstkonten, die sich möglicherweise außerhalb Ihrer Organisation befinden. Google Cloud-Sicherheitsquellen verwenden beispielsweise ein Dienstkonto bei security-center-fpr.iam.gserviceaccount.com.

Wenn in Ihren Organisationsrichtlinien die Einschränkung von Identitäten nach Domain festgelegt ist, müssen Sie das Security Command Center-Dienstkonto einer Identität in einer Gruppe hinzufügen, die sich innerhalb einer zulässigen Domain befindet. Namen von Security Command Center-Dienstkonten auf Organisationsebene haben das folgende Format:

service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com

ORGANIZATION_NUMBER ist die numerische ID Ihrer Organisation.

Im Tab Integrierte Dienste fügen Sie neue Quellen hinzu oder aktivieren oder deaktivieren vorhandene Quellen:

  1. Rufen Sie in der Google Cloud Console die Seite „Security Command Center“ auf.

    Zum Security Command Center

  2. Wählen Sie Ihre Organisation oder das Projekt aus.

  3. Klicken Sie auf Einstellungen.

  4. Klicken Sie auf den Tab Integrierte Dienste.

  5. Klicken Sie neben der integrierten Quelle, die Sie aktivieren möchten, auf die Liste Status und wählen Sie Aktivieren aus.

Ergebnisse für die von Ihnen ausgewählten integrierten Quellen werden auf der Seite Ergebnisse im Security Command Center-Dashboard angezeigt.

Klicken Sie zum Deaktivieren eines integrierten Dienstes neben dem Namen auf die Drop-down-Liste und wählen Sie Standardmäßig deaktivieren aus.

VM Manager-Berichte zu Sicherheitslücken

VM Manager besteht aus Tools zur Verwaltung von Betriebssystemen für eine große Anzahl von VM-Flotten (virtuelle Maschine), auf denen Windows und Linux in Compute Engine ausgeführt werden.

Aktivierungen auf Projektebene unterstützen VM Manager nicht.

Wenn Sie VM Manager mit der Premium-Stufe von Security Command Center aktivieren, schreibt VM Manager standardmäßig high- und critical-Ergebnisse aus den Berichten zu Sicherheitslücken in Security Command Center. Die Berichte identifizieren Sicherheitslücken in Betriebssystemen, die auf Compute Engine-VMs installiert sind.

Weitere Informationen finden Sie unter VM Manager.

Drittanbieter-Sicherheitsdienst hinzufügen

Bei Aktivierungen von Security Command Center auf Organisationsebene können Ergebnisse von Sicherheitsdiensten von Drittanbietern angezeigt werden, die als Cloud Marketplace-Partner registriert sind.

Aktivierungen von Security Command Center auf Projektebene unterstützen keine Drittanbieterdienste.

Zu den Sicherheitsdiensten von Drittanbietern, die als Cloud Marketplace-Partner registriert sind, gehören:

  • Acalvio
  • Capsule8
  • Cavirin
  • Chef
  • Check Point CloudGuard Dome9
  • CloudQuest
  • McAfee
  • Qualys
  • Reblaze
  • Prisma Cloud von Palo Alto Networks
  • StackRox
  • Tenable.io

Wenn Sie Sicherheitsdienste integrieren möchten, die nicht als Cloud Marketplace-Partner registriert sind, bitten Sie die Anbieter, den Leitfaden zum Onboard als Security Command Center-Partner zu befolgen.

Um einen neuen Sicherheitsdienst eines Drittanbieters zu Security Command Center hinzuzufügen, richten Sie den Sicherheitsdienst ein und aktivieren sie im Security Command Center-Dashboard.

Hinweise

Wenn Sie einen Sicherheitsdienst für einen registrierten Cloud Marketplace-Partner hinzufügen möchten, benötigen Sie Folgendes:

  • Die folgenden Rollen für Identity and Access Management (IAM):
    • Sicherheitscenter-Administrator – roles/securitycenter.admin
    • Dienstkontoadministrator – roles/iam.serviceAccountAdmin
  • Ein Google Cloud-Projekt, das Sie für den Sicherheitsdienst verwenden möchten.

Schritt 1: Sicherheitsdienst einrichten

Zum Einrichten eines Sicherheitsdienstes eines Drittanbieters benötigen Sie ein Dienstkonto für diesen Dienst. Wenn Sie den neuen Sicherheitsdienst hinzufügen, können Sie aus den folgenden Dienstkontooptionen auswählen:

  • Erstellen Sie ein Dienstkonto:
  • Verwenden Sie ein eigenes Dienstkonto.
  • Verwenden Sie ein Dienstkonto des Dienstanbieters.

So richten Sie einen neuen Sicherheitsdienst ein, der bereits als Cloud Marketplace-Partner registriert ist:

  1. Rufen Sie in der Google Cloud Console die Seite Marketplace für Security Command Center auf.

    Marketplace aufrufen

  2. Auf der Seite Marketplace werden Sicherheitsdienste angezeigt, die direkt dem Security Command Center zugeordnet sind.

    • Wenn Sie den Sicherheitsdienst, den Sie hinzufügen möchten, nicht sehen, suchen Sie nach Sicherheit und wählen Sie dann den Sicherheitsdienstanbieter aus.
    • Wenn der Anbieter des Sicherheitsdienstes nicht im Cloud Marketplace registriert ist, bitten Sie den Anbieter, den Leitfaden zum Onboarding als Security Command Center-Partner zu befolgen.
  3. Befolgen Sie auf der Seite des Anbieters des Sicherheitsdienstes im Cloud Marketplace der Anleitung zum Einrichten von Anbietern in der Übersicht.

  4. Klicken Sie auf der Seite Marketplace des Anbieters auf Zum Registrieren die Website [Name des Anbieters] aufrufen, nachdem Sie den Einrichtungsvorgang des Anbieters abgeschlossen haben.

  5. Wählen Sie auf der Seite Security Command Center der Google Cloud Console die Organisation aus, für die Sie den Sicherheitsdienst verwenden möchten.

  6. Akzeptieren Sie auf der Seite Dienstkonto erstellen und Sicherheitshinweise für [Anbietername] aktivieren das Dienstkonto des Anbieters, sofern verfügbar, oder erstellen oder wählen Sie ein eigenes Dienstkonto aus, das Sie verwenden möchten:

    • So erstellen Sie ein Dienstkonto:
      1. Wählen Sie Neues Dienstkonto erstellen aus.
      2. Klicken Sie neben Projekt auf Ändern, um das Projekt auszuwählen, das Sie für diesen Sicherheitsdienst verwenden möchten.
      3. Geben Sie einen Dienstkontonamen und eine Dienstkonto-ID ein.
    • So verwenden Sie ein vorhandenes Dienstkonto:
      1. Wählen Sie Vorhandenes Dienstkonto verwenden und dann in der Drop-down-Liste Name des Dienstkontos das Dienstkonto aus, das Sie verwenden möchten.
    • Wenn der Anbieter des Sicherheitsdienstes das Dienstkonto verwaltet, geben Sie die Dienstkonto-ID ein, die er angegeben hat.
  7. Wenn Sie alle Dienstkontoinformationen hinzugefügt haben, klicken Sie auf Senden oder Akzeptieren.

  8. Klicken Sie auf der Seite Quelle verbinden auf den Link unter Installationsschritte, um Informationen zum Abschließen der Installation zu erhalten.

  9. Klicken Sie zum Schluss auf Fertig.

Bei korrekter Konfiguration ist der hinzugefügte Sicherheitsdienst in Security Command Center verfügbar.

Schritt 2: Sicherheitsdienst aktivieren

Nachdem Sie einen neuen Sicherheitsdienst eingerichtet haben, müssen Sie sie im Security Command Center-Dashboard aktivieren.

Integrierte Quellen verwenden Dienstkonten, die sich möglicherweise außerhalb Ihrer Organisation befinden. Google Cloud-Sicherheitsquellen verwenden beispielsweise ein Dienstkonto bei security-center-fpr.iam.gserviceaccount.com.

Wenn in Ihren Organisationsrichtlinien die Einschränkung von Identitäten nach Domain festgelegt ist, müssen Sie das Security Command Center-Dienstkonto einer Identität in einer Gruppe hinzufügen, die sich innerhalb einer zulässigen Domain befindet. Namen von Security Command Center-Dienstkonten auf Organisationsebene haben das folgende Format:

service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com

ORGANIZATION_NUMBER ist die numerische ID Ihrer Organisation.

Im Tab Integrierte Dienste fügen Sie neue Quellen hinzu oder aktivieren oder deaktivieren vorhandene Quellen:

  1. Rufen Sie in der Google Cloud Console die Seite „Security Command Center“ auf.

    Zum Security Command Center

  2. Wählen Sie Ihre Organisation oder das Projekt aus.

  3. Klicken Sie auf Einstellungen.

  4. Klicken Sie auf den Tab Integrierte Dienste.

  5. Klicken Sie neben der integrierten Quelle, die Sie aktivieren möchten, auf die Liste Status und wählen Sie Aktivieren aus.

Ergebnisse für die von Ihnen ausgewählten integrierten Quellen werden auf der Seite Ergebnisse im Security Command Center-Dashboard angezeigt.

Dienstkonten für Anbieter ändern

Sie können das für den Sicherheitsdienst eines Drittanbieters verwendete Dienstkonto ändern, um beispielsweise Datenlecks und die Rotation von Dienstkonten zu beheben. Um das Dienstkonto eines Sicherheitsdienstes zu ändern, müssen Sie dieses im Security Command Center-Dashboard aktualisieren. Folgen Sie der Anleitung des Dienstanbieters, um das Dienstkonto für seinen Dienst zu aktualisieren.

Das folgende Verfahren gilt nicht für Aktivierungen von Security Command Center auf Projektebene, da dort keine integrierten Drittanbieterdienste unterstützt werden.

  1. Rufen Sie in der Google Cloud Console die Seite „Security Command Center“ auf.

    Zum Security Command Center

  2. Wählen Sie Ihre Organisation oder das Projekt aus.

  3. Klicken Sie auf Einstellungen.

  4. Klicken Sie auf den Tab Integrierte Dienste.

  5. In der Drop-down-Liste neben dem integrierten Dienst:

    1. Wählen Sie Deaktiviert, um den integrierten Dienst vorübergehend zu deaktivieren.
    2. Wählen Sie dann Dienstkonto verwalten aus.
  6. Geben Sie im angezeigten Bereich [Anbietername] bearbeiten das neue Dienstkonto ein und klicken Sie auf Senden.

  7. Wählen Sie in der Drop-down-Liste neben dem integrierten Dienst Aktiviert aus, um den Sicherheitsdienst zu aktivieren.

Wenn das Dienstkonto für den integrierten Dienst ordnungsgemäß konfiguriert ist, wird es im Security Command Center aktualisiert. Folgen Sie der Anleitung des Dienstanbieters, um die Dienstkontoinformationen für seinen Dienst zu aktualisieren.

Cloud Logging-Export

Auf dem Tab Kontinuierliche Exporte richten Sie das Logging für Ergebnisse von Event Threat Detection und Container Threat Detection ein. Die Ergebnisse werden in das von Ihnen ausgewählte Cloud Logging-Projekt exportiert.

Je nach Menge der Informationen können die Cloud Logging-Kosten erheblich sein. Weitere Informationen zur Nutzung des Dienstes und zu seinen Kosten finden Sie unter Kostenoptimierung für die Beobachtbarkeit von Google Cloud.

So protokollieren Sie Ergebnisse:

  1. Rufen Sie in der Google Cloud Console die Seite „Security Command Center“ auf.

    Zum Security Command Center

  2. Wählen Sie Ihre Organisation oder das Projekt aus.

  3. Klicken Sie auf Einstellungen.

  4. Klicken Sie auf den Tab Kontinuierliche Exporte.

  5. Klicken Sie unter Exportname auf Logging-Export.

  6. Aktivieren Sie unter Senken die Option Ergebnisse in Logging.

  7. Geben Sie unter Logging-Projekt das Projekt ein, in dem Sie Ergebnisse protokollieren möchten, oder suchen Sie danach.

  8. Klicken Sie auf Speichern.

Wenn Event Threat Detection und Container Threat Detection Logs schreiben, enthält jeder Logeintrag den Ressourcentyp threat_detector und dieselben Informationen als Ergebnisse. Eine Anleitung zum Aufrufen von Logs finden Sie unter Event Threat Detection verwenden und Container Threat Detection verwenden.

Hochwertige Ressourcen angeben

Security Command Center berechnet die Angriffsrisikobewertungen und veranschaulicht potenzielle Angriffspfade für Sicherheitslücken und Fehlkonfigurationen, die Ressourcen offenlegen, die Sie als hochwertig definiert haben.

Sie müssen Ressourcenwertkonfigurationen erstellen, um Angriffsrisikobewertungen und Angriffspfade zu erhalten, die genau widerspiegeln, welche Ihrer Ressourcen einen wirklich hohen Wert haben.

Ihr hochwertiger Ressourcensatz wird durch die von Ihnen erstellte Sammlung von Ressourcenwertkonfigurationen definiert.

Bis Sie einen eigenen Satz hochwertiger Ressourcen erstellen, verwendet Security Command Center einen Standardsatz hochwertiger Ressourcen, der im Allgemeinen für alle Ressourcentypen gilt, die von Angriffsrisikowerten unterstützt werden.

Hier finden Sie weitere Informationen:

Ausblendungsregeln

Auf dem Tab Ausblendungsregeln werden alle Ausblendungsregeln aufgelistet, die in Ihrer Organisation, in Ordnern und Projekten festgelegt sind. Auf diesem Tab können Sie eine Ausblendungsregel erstellen oder vorhandene Regeln verwalten.

Stummschalteregeln unterdrücken automatisch zukunftsbasierte Ergebnisse auf der Grundlage von Filtern, die Sie definieren. Weitere Informationen zum Stummschalten von Ergebnissen und zum Arbeiten mit Stummschalteregeln finden Sie unter Ergebnisse in Security Command Center ausblenden.

Rollen

Die IAM-Rollen für Security Command Center können auf Organisations-, Ordner- oder Projektebene gewährt werden. Die Möglichkeit, Ergebnisse, Assets und Sicherheitsquellen anzusehen, zu bearbeiten, zu erstellen oder zu aktualisieren, hängt von der Ebene ab, auf die Ihnen Zugriff gewährt wurde. Weitere Informationen zu Security Command Center-Rollen finden Sie unter Zugriffssteuerung.

Weitere Informationen zum Zuweisen, Ändern und Entziehen von IAM-Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Nächste Schritte