Security Command Center konfigurieren

>

Konfigurieren Sie Security Command Center, einschließlich Hinzufügen von Sicherheitsdiensten, Verwaltung von Diensten für Ressourcen und Logging für Event Threat Detection und Container Threat Detection.

Um Security Command Center zu konfigurieren, rufen Sie in der Cloud Console die Seite Einstellungen auf und klicken auf den Tab für die Einstellung, die Sie ändern möchten.

Dienste

In diesem Zusammenhang stellt ein integrierter Dienst dem Security Command Center Ergebnisse zu Schwachstellen und Bedrohungen bereit. Um einen neuen integrierten Dienst hinzuzufügen, vervollständigen Sie dessen Integrationsleitfaden und aktivieren ihn dann als Sicherheitsdienst im Security Command Center-Dashboard. Sie können dem Security Command Center integrierte Google Cloud-Dienste sowie andere Sicherheitsdienste von Drittanbietern hinzufügen. Mit dieser Funktion erhalten Sie einen umfassenden Überblick über die Sicherheitsrisiken, Sicherheitslücken und Bedrohungen in Ihrem Unternehmen.

Nachdem Sie einen integrierten Dienst aktiviert haben, können Sie konfigurieren, welche Ressourcen von jedem Sicherheitsdienst überwacht werden sollen.

Integrierte Dienste

Die folgenden integrierten Dienste sind Teil von Security Command Center:

  • Security Health Analytics
  • Web Security Scanner
  • Event Threat Detection
  • Container Threat Detection

Einige integrierte Dienste sind nur verfügbar, wenn Ihre Organisation die Premium-Stufe von Security Command Center abonniert hat. Weitere Informationen zu Security Command Center-Stufen

Sie können einen integrierten Dienst für alle von dem Dienst unterstützten Ressourcen aktivieren oder deaktivieren. Klicken Sie dazu neben dem Dienstnamen auf die Drop-down-Liste und wählen Sie eine Aktivierungsoption aus.

  • Standardmäßig aktivieren: Der Dienst ist für die Ressource aktiviert.
  • Standardmäßig deaktivieren: Der Dienst ist für die Ressource deaktiviert.

Wenn Sie einen Dienst auf bestimmte Ordner, Projekte oder Cluster in Ihrer Organisation beschränken möchten, rufen Sie Erweiterte Einstellungen auf, um eine hierarchische Liste der Ressourcen Ihrer Organisation aufzurufen. Das Menü Erweiterte Einstellungen wird weiter unten auf dieser Seite beschrieben.

In Google Cloud integrierten Dienst hinzufügen

Klicken Sie auf der Seite Einstellungen auf den Tab Integrierte Dienste, um die verfügbaren Dienste anzuzeigen. Die folgenden Google Cloud-Sicherheitsdienste können in Security Command Center eingebunden werden:

  • Anomalieerkennung
  • Google Cloud Armor
  • Cloud Data Loss Prevention
  • Forseti Security
  • Phishing-Schutz

Weitere Informationen zu diesen Diensten finden Sie unter Sicherheitsquellen für Sicherheitslücken und Bedrohungen.

Ergebnisse aus Google Cloud-Sicherheitsdiensten sind verfügbar, nachdem sie die zugehörigen Integrationsleitfäden durchgearbeitet haben.

  • Klicken Sie auf Weitere Services hinzufügen, um einen neuen Dienst hinzuzufügen. Die Seite "Security Command Center-Dienste" auf Google Cloud Marketplace wird angezeigt. Klicken Sie auf den gewünschten Dienst und folgen Sie der Anleitung des Anbieters, um ihn als integrierten Dienst hinzuzufügen.
  • Wenn Sie Ergebnisse aus Sicherheitsdiensten aufrufen möchten, aktivieren Sie den Dienst, indem Sie auf den Schieberegler neben dem Dienstnamen klicken. Verwenden Sie das Menü Erweiterte Einstellungen, das weiter unten auf dieser Seite beschrieben wird, um einen Dienst auf bestimmte Ordner, Projekte oder Cluster in Ihrer Organisation zu beschränken.

Integrierte Quellen verwenden Dienstkonten, die sich möglicherweise außerhalb Ihrer Organisation befinden. Google Cloud-Sicherheitsquellen verwenden beispielsweise ein Dienstkonto bei security-center-fpr.iam.gserviceaccount.com. Wenn in den Organisationsrichtlinien die Identitäten nach Domain eingeschränkt sind, müssen Sie das Dienstkonto einer Identität in einer Gruppe hinzufügen, die sich innerhalb einer zulässigen Domain befindet.

Im Tab Integrierte Dienste fügen Sie neue Quellen hinzu oder aktivieren oder deaktivieren vorhandene Quellen:

  1. Rufen Sie in der Cloud Console die Seite Dienste auf.

    Zur Seite "Dienste"

  2. Wählen Sie die Organisation aus, der Sie eine Sicherheitsquelle hinzufügen möchten.

  3. Wählen Sie den Tab Integrierte Dienste aus.

  4. Klicken Sie neben der integrierten Quelle, die Sie aktivieren möchten, auf die Drop-down-Liste und wählen Sie Standardmäßig aktivieren aus.

Ergebnisse für die ausgewählten integrierten Quellen werden im Security Command Center-Dashboard auf der Seite Ergebnisse angezeigt.

Klicken Sie zum Deaktivieren eines integrierten Dienstes neben dem Namen auf die Drop-down-Liste und wählen Sie Standardmäßig deaktivieren aus.

Drittanbieter-Sicherheitsdienst hinzufügen

Security Command Center kann Ergebnisse von Sicherheitsdiensten von Drittanbietern anzeigen, die als Cloud Marketplace-Partner registriert sind. Bereits registrierte Sicherheitsdienste von Drittanbietern sind unter anderem:

  • Acalvio
  • Capsule8
  • Cavirin
  • Chef
  • Check Point CloudGuard Dome9
  • CloudQuest
  • McAfee
  • Qualys
  • Reblaze
  • Prisma Cloud von Palo Alto Networks
  • StackRox
  • Tenable.io

Wenn Sie Sicherheitsdienste einbinden möchten, die nicht als Cloud Marketplace-Partner registriert sind, bitten Sie die Anbieter, die Anleitung als Security Command Center-Partner abzuschließen.

Um einen neuen Sicherheitsdienst eines Drittanbieters zu Security Command Center hinzuzufügen, richten Sie den Sicherheitsdienst ein und aktivieren sie im Security Command Center-Dashboard.

Hinweis

Wenn Sie einen Sicherheitsdienst für einen registrierten Cloud Marketplace-Partner hinzufügen möchten, benötigen Sie Folgendes:

  • Die folgenden IAM-Rollen (Identitäts- und Zugriffsverwaltung):
    • Sicherheitscenter-Administrator – roles/securitycenter.admin
    • Dienstkontoadministrator – roles/iam.serviceAccountAdmin
  • Ein Google Cloud-Projekt, das Sie für den Sicherheitsdienst verwenden möchten.

Schritt 1: Sicherheitsdienst einrichten

Zum Einrichten eines Sicherheitsdienstes eines Drittanbieters benötigen Sie ein Dienstkonto für diesen Dienst. Wenn Sie den neuen Sicherheitsdienst hinzufügen, können Sie aus den folgenden Dienstkontooptionen auswählen:

  • Erstellen Sie ein Dienstkonto:
  • Verwenden Sie ein eigenes Dienstkonto.
  • Verwenden Sie ein Dienstkonto des Dienstanbieters.

So richten Sie einen neuen Sicherheitsdienst ein, der bereits als Cloud Marketplace-Partner registriert ist:

  1. Rufen Sie in der Cloud Console die Seite Marketplace für Security Command Center auf.

    Marketplace aufrufen

  2. Die Seite Marketplace zeigt Sicherheitsdienste an, die direkt mit Security Command Center verknüpft sind.

    • Wenn Sie den Sicherheitsdienst, den Sie hinzufügen möchten, nicht sehen, suchen Sie nach Sicherheit und wählen Sie dann den Sicherheitsdienstanbieter aus.
    • Wenn der Anbieter des Sicherheitsdienstes nicht im Cloud Marketplace registriert ist, bitten Sie den Anbieter, den Leitfaden zum Onboarding als Security Command Center-Partner zu befolgen.
  3. Befolgen Sie auf der Seite des Anbieters des Sicherheitsdienstes im Cloud Marketplace der Anleitung zum Einrichten von Anbietern in der Übersicht.

  4. Klicken Sie auf der Seite Marketplace des Anbieters auf Zum Registrieren die Website [Name des Anbieters] aufrufen, nachdem Sie den Einrichtungsvorgang des Anbieters abgeschlossen haben.

  5. Wählen Sie auf der Seite Security Command Center der Cloud Console die Organisation aus, für die Sie den Sicherheitsdienst verwenden möchten.

  6. Die Seite Dienstkonto erstellen und [Anbietername] Sicherheitsereignisse erstellen wird angezeigt. Übernehmen Sie das Dienstkonto des Anbieters (falls verfügbar) oder erstellen Sie Ihr eigenes Dienstkonto oder wählen Sie eines aus. zu verwenden:

    • So erstellen Sie ein Dienstkonto:
      1. Wählen Sie Neues Dienstkonto erstellen aus.
      2. Klicken Sie neben Projekt auf Ändern, um das Projekt auszuwählen, das Sie für diesen Sicherheitsdienst verwenden möchten.
      3. Geben Sie einen Dienstkontonamen und eine Dienstkonto-ID ein.
    • So verwenden Sie ein vorhandenes Dienstkonto:
      1. Wählen Sie Vorhandenes Dienstkonto verwenden und dann in der Drop-down-Liste Name des Dienstkontos das Dienstkonto aus, das Sie verwenden möchten.
    • Wenn der Anbieter des Sicherheitsdienstes das Dienstkonto verwaltet, geben Sie die Dienstkonto-ID ein, die er angegeben hat.
  7. Wenn Sie alle Dienstkontoinformationen hinzugefügt haben, klicken Sie auf Senden oder Akzeptieren.

  8. Klicken Sie auf der Seite Quelle verbinden auf den Link unter Installationsschritte, um Informationen zum Abschließen der Installation zu erhalten.

  9. Klicken Sie zum Schluss auf Fertig.

Bei korrekter Konfiguration ist der hinzugefügte Sicherheitsdienst in Security Command Center verfügbar.

Schritt 2: Sicherheitsdienst aktivieren

Nachdem Sie einen neuen Sicherheitsdienst eingerichtet haben, müssen Sie sie im Security Command Center-Dashboard aktivieren.

Integrierte Quellen verwenden Dienstkonten, die sich möglicherweise außerhalb Ihrer Organisation befinden. Google Cloud-Sicherheitsquellen verwenden beispielsweise ein Dienstkonto bei security-center-fpr.iam.gserviceaccount.com. Wenn in den Organisationsrichtlinien die Identitäten nach Domain eingeschränkt sind, müssen Sie das Dienstkonto einer Identität in einer Gruppe hinzufügen, die sich innerhalb einer zulässigen Domain befindet.

Im Tab Integrierte Dienste fügen Sie neue Quellen hinzu oder aktivieren oder deaktivieren vorhandene Quellen:

  1. Rufen Sie in der Cloud Console die Seite Dienste auf.

    Zur Seite "Dienste"

  2. Wählen Sie die Organisation aus, der Sie eine Sicherheitsquelle hinzufügen möchten.

  3. Wählen Sie den Tab Integrierte Dienste aus.

  4. Klicken Sie neben der integrierten Quelle, die Sie aktivieren möchten, auf die Drop-down-Liste und wählen Sie Standardmäßig aktivieren aus.

Ergebnisse für die ausgewählten integrierten Quellen werden im Security Command Center-Dashboard auf der Seite Ergebnisse angezeigt.

Dienstkonten für Anbieter ändern

Sie können das für den Sicherheitsdienst eines Drittanbieters verwendete Dienstkonto ändern, um beispielsweise Datenlecks und die Rotation von Dienstkonten zu beheben. Um das Dienstkonto eines Sicherheitsdienstes zu ändern, müssen Sie dieses im Security Command Center-Dashboard aktualisieren. Folgen Sie der Anleitung des Dienstanbieters, um das Dienstkonto für seinen Dienst zu aktualisieren.

  1. Rufen Sie in der Cloud Console die Seite Integrierte Dienste des Security Command Center auf.

    Zu den integrierten Diensten

  2. Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.

  3. Wählen Sie in der Drop-down-Liste neben dem integrierten Dienst Folgendes aus:

    1. Wählen Sie Deaktiviert, um den integrierten Dienst vorübergehend zu deaktivieren.
    2. Wählen Sie dann Dienstkonto verwalten aus.
  4. Geben Sie im angezeigten Bereich [Anbietername] bearbeiten das neue Dienstkonto ein und klicken Sie auf Senden.

  5. Wählen Sie in der Drop-down-Liste neben dem integrierten Dienst Aktiviert aus, um den Sicherheitsdienst zu aktivieren.

Wenn das Dienstkonto für den integrierten Dienst ordnungsgemäß konfiguriert ist, wird es im Security Command Center aktualisiert. Folgen Sie der Anleitung des Dienstanbieters, um die Dienstkontoinformationen für seinen Dienst zu aktualisieren.

Erweiterte Einstellungen

Über das Menü Erweiterte Einstellungen können Sie die unterstützten Diensteinstellungen für jede unterstützte Ressource ändern. Ressourcen übernehmen standardmäßig die Diensteinstellungen für die Organisation. Um Dienste für einzelne Ressourcen zu aktivieren oder zu deaktivieren, klicken Sie auf die Drop-down-Liste in der Dienstspalte, um die Dienstaktivierung für eine Ressource auszuwählen.

  • Standardmäßig aktivieren: Der Dienst ist für die Ressource aktiviert.
  • Standardmäßig deaktivieren: Der Dienst ist für die Ressource deaktiviert.
  • Übernehmen: Die Ressource verwendet die Diensteinstellung, die für das übergeordnete Element in der Ressourcenhierarchie ausgewählt ist.

Durch Klicken auf Nach einem Ordner oder Projekt suchen wird ein Fenster geöffnet, in dem Sie Suchbegriffe eingeben können, um Ressourcen schnell zu finden und die Einstellungen zu ändern.

Cloud Logging-Export

Auf dem Tab Kontinuierliche Exporte richten Sie das Logging für Event Threat Detection- und Container Threat Detection-Ergebnisse ein. Die Ergebnisse werden in das von Ihnen ausgewählte Cloud Logging-Projekt exportiert.

Abhängig von der Informationsmenge können die Cloud Logging-Kosten beträchtlich sein. Weitere Informationen zu Ihrer Nutzung des Dienstes und seiner Kosten finden Sie unter Kostenoptimierung für die Operations Suite von Google Cloud.

So protokollieren Sie die Ergebnisse:

  1. Rufen Sie die Seite Settings (Einstellungen) von Security Command Center auf.

    Einstellungen aufrufen

  2. Wählen Sie ggf. Ihre Organisation oder Ihr Projekt aus.

  3. Klicken Sie auf den Tab Kontinuierliche Exporte.

  4. Klicken Sie unter Exportname auf "Cloud Logging-Export".

  5. Aktivieren Sie unter Senken die Option Logergebnisse in Cloud Logging speichern.

  6. Geben Sie unter Logging-Projekt das Projekt ein, in dem Sie die Ergebnisse protokollieren möchten.

  7. Klicken Sie auf Speichern.

Wenn Event Threat Detection und Container Threat Detection Logs schreiben, enthält jeder Logeintrag den Ressourcentyp threat_detector und enthält dieselben Informationen wie die Ergebnisse. Eine Anleitung zum Prüfen von Logs finden Sie unter Event Threat Detection verwenden und Container Threat Detection verwenden.

Berechtigungen

Wechseln Sie auf der Seite Einstellungen zum Bereich Berechtigungen, um IAM-Rollen für das Security Command Center aufzurufen und zu konfigurieren. Berechtigungen sind nach Rollen gruppiert. Falls das Feld nicht sichtbar ist, klicken Sie oben auf der Seite auf den Link Berechtigungen anzeigen.

So bearbeiten Sie die einem Nutzer zugewiesenen Rollen:

  1. Maximieren Sie den Knoten. Klicken Sie dazu auf das Pfeilsymbol neben dem Namen der Rolle.
  2. Klicken Sie neben dem Namen des Nutzers, für den Sie die Rollen bearbeiten möchten, auf ein Symbol und wählen Sie die gewünschte Aktion aus:
    1. Um eine Rolle zu entfernen, klicken Sie auf das Symbol zum Löschen, um ein Mitglied zu entfernen.
    2. Wenn Sie eine Rolle hinzufügen möchten, klicken Sie auf das Stiftsymbol Mitglied bearbeiten, um die Option zu aktivieren. Fügen Sie im angezeigten Bereich Berechtigungen bearbeiten Rollen hinzu oder entfernen Sie Rollen und klicken Sie dann auf Speichern.

So fügen Sie Rollen für einen neuen Nutzer hinzu:

  1. Klicken Sie auf Mitglied hinzufügen.
  2. Gehen Sie im angezeigten Bereich Mitglieder und Rollen hinzufügen so vor:
    1. Geben Sie die E-Mail-Adresse des Nutzers ein.
    2. Fügen Sie eine oder mehrere Rollen hinzu und klicken Sie auf Speichern.

Legacy-Einstellungen

Maximieren Sie den folgenden Abschnitt, um Informationen zur Verwaltung von Security Command Center Legacy zu erhalten, einer vorab verfügbaren Version von Security Command Center, die für neue Abonnenten nicht verfügbar ist. Security Command Center Legacy ist nur für Nutzer sichtbar, die sich nicht für die Premium-Stufe oder die Standardstufe von Security Command Center registriert haben.

Nächste Schritte