Security Command Center in der Google Cloud Console verwenden

Diese Seite bietet einen Überblick über Security Command Center in der Google Cloud Console und die Möglichkeiten, die die Seiten der obersten Ebene von Security Command Center bieten.

Wenn Security Command Center noch nicht für Ihre Organisation oder ein Projekt in Ihrer Organisation eingerichtet ist, müssen Sie es aktivieren, bevor Sie es in der Google Cloud Console verwenden können. Informationen zum Aktivieren finden Sie unter Übersicht über das Aktivieren von Security Command Center.

Einen allgemeinen Überblick über Security Command Center finden Sie in der Übersicht zu Security Command Center.

Erforderliche IAM-Berechtigungen

Um das Security Command Center zu verwenden, benötigen Sie eine IAM-Rolle (Identity and Access Management) mit entsprechenden Berechtigungen:

• Mit dem Sicherheitscenter-Admin-Betrachter können Sie das Security Command Center aufrufen.
• Mit dem Sicherheitscenter-Admin-Bearbeiter können Sie Security Command Center aufrufen und Änderungen vornehmen.

Wenn in Ihren Organisationsrichtlinien die Einschränkung von Identitäten nach Domain festgelegt ist, müssen Sie in der Google Cloud Console in einem Konto angemeldet sein, das sich in einer zulässigen Domain befindet.

Die IAM-Rollen für Security Command Center können auf Organisations-, Ordner- oder Projektebene gewährt werden. Die Möglichkeit, Ergebnisse, Assets und Sicherheitsquellen anzusehen, zu bearbeiten, zu erstellen oder zu aktualisieren, hängt von der Ebene ab, auf die Ihnen Zugriff gewährt wurde. Weitere Informationen zu Security Command Center-Rollen finden Sie unter Zugriffssteuerung.

Über die Google Cloud Console auf Security Command Center zugreifen

So greifen Sie in der Google Cloud Console auf Security Command Center zu:

1. Rufen Sie Security Command Center auf:

   Zum Security Command Center

2. Wählen Sie das Projekt oder die Organisation aus, das bzw. die Sie aufrufen möchten.

   Wenn Security Command Center in der ausgewählten Organisation oder dem ausgewählten Projekt aktiv ist, wird die Seite Risikoübersicht mit einer Übersicht der neuen Bedrohungsergebnisse und des Ergebnisses zu aktiven Sicherheitslücken der letzten sieben Tage angezeigt.

   Wenn Security Command Center nicht aktiv ist, werden Sie aufgefordert, es zu aktivieren. Weitere Informationen zum Aktivieren von Security Command Center finden Sie unter Übersicht zum Aktivieren von Security Command Center.

Security Command Center in der Google Cloud Console

Neben der Seite Risikoübersicht können Sie Sicherheitsprobleme in Ihrer Google Cloud-Umgebung über die folgenden Security Command Center-Seiten in der Google Cloud Console überwachen und verwalten. Klicken Sie auf einen Seitennamen, um eine Erklärung der Seite zu erhalten.

• Seite „Risikoübersicht“
• Seite zu Bedrohungen
• Seite „Sicherheitslücken“
• Seite „Compliance“
• Seite „Assets“
• Seite „Ergebnisse“
• Seite „Quellen“
• Seite für den Sicherheitsstatus

Seite „Risikoübersicht“

Auf der Seite Risikoübersicht erhalten Sie einen schnellen Überblick über die neuen Bedrohungen und die Gesamtzahl der aktiven Sicherheitslücken in Ihrer Google Cloud-Umgebung aus allen integrierten und integrierten Diensten. Sie können den Zeitraum, der in allen Bereichen dieser Seite angezeigt wird, von einer Stunde in sechs Monate ändern.

Die Seite Risikoübersicht enthält unter anderem folgende Dashboards:

• Top-Ergebnisse zu Sicherheitslücken zeigt die zehn Ergebnisse mit den höchsten Angriffsrisikowerten.
• Neue Bedrohungen im Zeitverlauf zeigt ein Diagramm der pro Tag erkannten neuen Bedrohungen mit stündlichen Gesamtwerten. Unter dem Diagramm auf der Seite sehen Sie Ansichten der gefundenen Bedrohungen nach Kategorie, Ressource und Projekt. Sie können jede Ansicht nach dem Schweregrad sortieren.
• Die wichtigsten CVE-Ergebnisse (nur Premium- und Enterprise-Stufen) zeigen die Ergebnisse zu Sicherheitslücken, gruppiert nach CVE-Ausnutzbarkeit und Auswirkungen. Klicken Sie auf einen Block in der Heatmap, um die entsprechenden Ergebnisse nach CVE-ID aufgelistet zu sehen.
• Unter Sicherheitslücken pro Ressourcentyp sehen Sie eine grafische Darstellung der aktiven Sicherheitslücken für die Ressourcen in Ihrem Projekt oder Ihrer Organisation.
• Aktive Sicherheitslücken bietet eine Ansicht der Sicherheitslücken mit Tabs nach Kategorienamen, betroffenen Ressourcen und Projekten. Sie können jede Ansicht nach Schweregrad sortieren.
• Die Ergebnisse zu Identitäts- und Zugriffsberechtigungen zeigen Fehlkonfigurationen in Bezug auf Hauptkonten (identities), die falsch konfiguriert sind oder übermäßigen oder vertraulichen Berechtigungen für Google Cloud-Ressourcen (identities) gewährt wurden. Die Verwaltung der Identitäts- und Zugriffssteuerung wird manchmal als Berechtigungsverwaltung für die Cloud-Infrastruktur bezeichnet.
• Unter Ergebnisse zur Datensicherheit werden Ergebnisse des Erkennungsdienstes für den Schutz sensibler Daten angezeigt. Diese Zusammenfassung enthält alle Ergebnisse zu Sicherheitslücken, die auf das Vorhandensein von Secrets in Umgebungsvariablen hinweisen, sowie Beobachtungen, die auf die Sensibilitäts- und Datenrisikostufen Ihrer Daten hinweisen.

Wenn Sie auf der Seite Risikoübersicht auf den Kategorienamen eines Ergebnisses klicken, werden Sie zur Seite Ergebnisse weitergeleitet, auf der Sie die Details des Ergebnisses sehen können.

Seite „Bedrohungen“

Auf der Seite Bedrohungen können Sie potenziell schädliche Ereignisse in Ihren Google Cloud-Ressourcen über einen von Ihnen bestimmten Zeitraum hinweg prüfen. Der standardmäßige Zeitraum beträgt sieben Tage.

Auf der Seite „Bedrohungen“ werden die Ergebnisse in den folgenden Abschnitten angezeigt:

• Bedrohungen nach Schweregrad zeigt die Anzahl der Bedrohungen der einzelnen Schweregrade an.
• Bedrohungen nach Kategorie zeigt die Anzahl der Ergebnisse je Kategorie für alle Projekte an.
• Bedrohungen nach Ressource zeigt die Anzahl der Ergebnisse für jede Ressource in Ihrem Projekt oder Ihrer Organisation an.

Sie können den Zeitraum festlegen, für den Bedrohungen angezeigt werden sollen. Verwenden Sie dazu die Drop-down-Liste im Feld Zeitraum. Die Drop-down-Liste enthält mehrere Optionen zwischen einer Stunde und „Gesamte Zeit“, in der alle Ergebnisse nach der Aktivierung des Dienstes aufgeführt sind. Der ausgewählte Zeitraum wird zwischen Sitzungen gespeichert.

Seite „Sicherheitslücken“

Auf der Seite Sicherheitslücken werden alle Kategorien von Sicherheitslücken aufgelistet, die die verschiedenen Security Command Center-Dienste zum Schutz vor Bedrohungen in Ihrer Umgebung erkennen können.

Dienste zur Erkennung von Sicherheitslücken

Zu den integrierten Diensten von Security Command Center zum Schutz vor Bedrohungen gehören:

• Rapid Vulnerability Detection
• Security Health Analytics
• Web Security Scanner

Andere Google Cloud-Dienste, die in Security Command Center eingebunden sind, erkennen ebenfalls Sicherheitslücken und Fehlkonfigurationen. Die Ergebnisse einer Auswahl dieser Dienste werden auch auf der Seite Sicherheitslücken angezeigt. Weitere Informationen zu den Diensten, die in Security Command Center Ergebnisse zu Sicherheitslücken generieren, finden Sie unter Sicherheitsquellen.

Informationen zu Sicherheitslückenkategorien

Für jede Sicherheitslückenkategorie werden auf der Seite Sicherheitslücken die folgenden Informationen angezeigt:

• Status: Ein Symbol zeigt an, ob der Detektor aktiv ist und ob er etwas gefunden hat, auf das reagiert werden muss. Wenn Sie den Mauszeiger über das Statussymbol bewegen, werden Datum und Uhrzeit des Erfassens des Ergebnisses oder Informationen zur Validierung der Empfehlung angezeigt.
• Zuletzt gescannt: Datum und Uhrzeit des letzten Scans für den Detektor.
• Kategorie: Die Kategorie oder Art der Sicherheitslücke. Informationen zu allen Kategorien, die von den einzelnen Security Command Center-Diensten erkannt werden, finden Sie hier:
  • Rapid Vulnerability Detection
  • Ergebnisse von Security Health Analytics
  • Web Security Scanner-Ergebnisse
• Empfehlung: Eine Zusammenfassung möglicher Reaktionen auf das Ergebnis. Weitere Informationen finden Sie unter Ergebnisse von Security Health Analytics ansprechen.
• Aktiv: Die Gesamtzahl der Ergebnisse in der Kategorie.
• Standards: Die für die Ergebniskategorie relevante Compliance-Benchmark, sofern vorhanden. Weitere Informationen zu Benchmarks finden Sie unter Erfasste Sicherheitslücken.

Ergebnisse zu Sicherheitslücken filtern

Große Organisationen können über ihr System hinweg viele Sicherheitslücken prüfen, untersuchen und verfolgen müssen. Wenn Sie Filter verwenden, die in der Google Cloud Console auf den Seiten Sicherheitslücken und Ergebnisse in Security Command Center verfügbar sind, können Sie sich auf die Sicherheitslücken mit dem höchsten Schweregrad in Ihrer Organisation konzentrieren und Sicherheitslücken nach Asset-Typ, Projekt usw. überprüfen.

Weitere Informationen zum Filtern von Ergebnissen zu Sicherheitslücken finden Sie unter Ergebnisse zu Sicherheitslücken in Security Command Center filtern.

Seite „Compliance“

Auf der Seite Compliance können Sie die Einhaltung allgemeiner Sicherheitsstandards oder ‐Benchmarks bewerten und Maßnahmen ergreifen. Auf der Seite werden alle Benchmarks angezeigt, die von Security Command Center unterstützt werden, sowie der Prozentsatz der bestandenen Benchmarkkontrollen.

Sie können für jede Benchmark eine Seite mit Compliancedetails öffnen. Diese enthält zusätzliche Informationen darüber, welche Steuerelemente Security Command Center auf die Benchmark prüft, wie viele Verstöße für jede Einstellung erkannt wurden und ob ein Compliancebericht für die Benchmark exportiert werden kann.

Security Command Center-Scanner auf Sicherheitslücken suchen auf Grundlage einer von Google bereitgestellten Best-Effort-Zuordnung auf Verstöße gegen gängige Compliancekontrollen. Complianceberichte in Security Command Center sind kein Ersatz für eine Complianceprüfung, können Ihnen aber dabei helfen, Ihren Compliancestatus beizubehalten und Verstöße frühzeitig zu erkennen.

Weitere Informationen dazu, wie Security Command Center das Compliancemanagement unterstützt, finden Sie auf den folgenden Seiten:

• Compliance verwalten und überwachen
• Compliance verwalten

Seite „Assets“

Auf der Seite Assets werden alle Google Cloud-Ressourcen, sogenannte Assets, in Ihrem Projekt oder Ihrer Organisation angezeigt.

Wenn Security Command Center auf Organisationsebene aktiviert ist, können Sie Assets für Ihre gesamte Organisation anzeigen lassen oder nach bestimmten Projekten, Asset-Typen und Standorten filtern.

Wenn Security Command Center auf Projektebene aktiviert ist, können Sie Assets nach Assettyp und Standort filtern.

Wenn Sie Details zu einem bestimmten Asset wie Attribute, Ressourcenattribute und zugehörige Ergebnisse aufrufen möchten, klicken Sie in der Spalte Anzeigename auf den Asset-Namen.

Die Liste der Assets wird von Cloud Asset Inventory bereitgestellt. Die Liste wird in den meisten Fällen innerhalb weniger Minuten aktualisiert, nachdem Assets in Ihrer Google Cloud-Umgebung erstellt, geändert oder entfernt wurden.

Weitere Informationen zu Cloud Asset Inventory finden Sie unter Einführung in Cloud Asset Inventory.

Assets sortieren

Zum Sortieren von Assets klicken Sie auf die Spaltenüberschrift für den Wert, nach dem Sie sortieren möchten. Spalten sind nach numerischen Werten und dann in alphabetischer Reihenfolge sortiert.

Assets filtern

In diesem Abschnitt wird beschrieben, wie Sie mit Security Command Center in der Google Cloud Console häufige Abfragen ausführen, um Ihre Assets zu überprüfen.

Standardmäßig werden alle Assets im ausgewählten Projekt, im ausgewählten Ordner oder in der ausgewählten Organisation im Ergebnisbereich auf der Seite Assets angezeigt.

Es gibt zwei Möglichkeiten, die Ergebnisse nach bestimmten Assets zu filtern. Sie können die Filteroptionen im Bereich Schnellfilter verwenden oder das Feld Filter verwenden, um benutzerdefinierte Filter anzugeben.

Im Bereich Schnellfilter können Sie die Ergebnisse nach Ressourcentyp, Projekt oder Standort filtern.

Auf dem Tab High Value Resource Set können Sie die Angriffsrisikobewertungen für die hochwertigen Ressourcen in Ihrer Organisation ansehen.

Auf dem Tab Asset-Abfrage können Sie vordefinierte Filter verwenden, um Asset-Daten zu überprüfen.

Assets nach Projekt ansehen

Standardmäßig werden alle Assets im ausgewählten Bereich auf der Seite Assets in absteigender Reihenfolge nach dem Zeitpunkt ihrer Erstellung angezeigt.

Wenn Ihr ausgewählter Bereich ein Projekt ist, werden nur die Assets in diesem Projekt angezeigt.

So rufen Sie Assets auf, wenn Ihre Konsolenansicht auf einen Ordner oder Ihre Organisation beschränkt ist:

1. Rufen Sie die Seite Assets auf.

   Zu Assets

2. Wählen Sie im Bereich Schnellfilter ein oder mehrere Projekte aus. Der Ergebnisbereich wird aktualisiert und zeigt nur Assets aus den ausgewählten Projekten an.

Nach Asset-Typ anzeigen

Standardmäßig werden alle Assets im ausgewählten Bereich auf der Seite Assets in absteigender Reihenfolge nach ihrer Erstellungszeit angezeigt.

So rufen Sie Assets nach Typ auf:

1. Rufen Sie die Seite Assets auf.

   Zu Assets

2. Optional: Klicken Sie oben im Ergebnisbereich auf die Spalte Ressourcentyp, um die Assets nach Ressourcentyp zu sortieren. Assets werden gruppiert nach Ressourcentyp angezeigt.

3. Wählen Sie im Bereich Schnellfilter den anzuzeigenden Ressourcentyp aus. Der Ergebnisbereich wird aktualisiert und zeigt nur die ausgewählten Ressourcentypen an.

Änderungen an einem Asset ansehen

Sie können Snapshots der Metadaten eines Assets vergleichen, um zu sehen, was sich geändert hat.

So sehen Sie die Änderungen an einem Asset im Zeitverlauf:

1. Rufen Sie die Seite Assets auf.

   Zu Assets

2. Suchen Sie das Asset, das Sie prüfen möchten, indem Sie scrollen oder die entsprechenden Filter auf die aufgeführten Assets anwenden.

3. Klicken Sie im Ergebnisbereich in der Liste der Assets auf den Namen des Assets. Der Detailbereich für das Asset wird geöffnet.

4. Wählen Sie im Detailbereich des Assets den Tab Änderungsverlauf aus.

5. Wählen Sie auf dem Tab Änderungsverlauf sowohl eine Beginn als auch eine Ende aus.

6. Klicken Sie links im Feld Eintrag zum Vergleichen auswählen auf den Abwärtspfeil, um einen Snapshot aus der angezeigten Liste auszuwählen.

7. Klicken Sie rechts im Feld Eintrag zum Vergleichen auswählen auf den Drop-down-Pfeil, um einen Snapshot zum Vergleichen mit dem ersten von Ihnen ausgewählten Snapshot auszuwählen. Die Änderungen zwischen den beiden Snapshots sind hervorgehoben.

Assets nach Zeitstempel der Erstellung oder der letzten Aktualisierung ansehen

Sie können die Assets auf der Seite Assets im Ergebnisbereich nach den Zeitstempeln Erstellt und Zuletzt aktualisiert filtern oder sortieren.

Führen Sie die folgenden Schritte aus, um einen Filter basierend auf dem Zeitstempel Erstellt, Zuletzt aktualisiert oder beidem zu erstellen:

1. Rufen Sie die Seite Assets auf.

   Zu Assets

2. Platzieren Sie den Cursor oben im Ergebnisbereich auf der Seite Assets im Feld Filter. Ein Menü mit Filtern wird geöffnet.

3. Scrollen Sie zum Abschnitt Erstellungszeit oder Aktualisierungszeit und wählen Sie eine der zeitbasierten Filteroptionen aus. Beispiel: Update time after Dem Feld Filter wird ein Filter hinzugefügt. Sie müssen nur das Datum hinzufügen.

4. Vervollständigen Sie im Filterfeld die Filterspezifikation. Geben Sie dazu ein Datum im Format MM/DD/YYYY ein und drücken Sie die Eingabetaste auf der Tastatur.

   Die Assets im Ergebnisbereich werden aktualisiert, sodass nur die Assets angezeigt werden, die dem Filter entsprechen.

Seite „Assets“ konfigurieren

Du kannst einige der Elemente festlegen, die auf der Seite Assets angezeigt werden.

Spalten

Standardmäßig enthält der Ergebnisbereich auf der Seite Assets die folgenden Spalten:

• Anzeigename: Anzeigename des Assets
• Projekt-ID: das Projekt, das das Asset enthält
• Ressourcentyp: Der Ressourcentyp des Assets
• Standort: Region, in der sich das Asset befindet, oder global
• Status: Der Status des Assets, z. B. READ, SUCCESSFUL oder SERVING.
• Erstellt: Der Zeitpunkt, zu dem das Asset erstellt wurde.
• Zuletzt aktualisiert: Zeitpunkt, zu dem das Asset zuletzt aktualisiert wurde
• Sicherheitsmarkierungen: die Sicherheitsmarkierungen, die gegebenenfalls über Security Command Center auf das Asset angewendet werden
• Labels: die auf das Asset angewendeten Labels, falls vorhanden
• KMS-Schlüssel: die mit dem Asset verknüpften KMS-Schlüssel, falls vorhanden
• Netzwerk-Tags: die auf das Asset angewendeten Netzwerk-Tags, falls vorhanden

Sie können alle Spalten mit Ausnahme von Anzeigename ausblenden. So blenden Sie eine Spalte aus:

1. Rufen Sie die Seite Assets auf.

   Zu Assets

2. Klicken Sie oben im Ergebnisbereich auf der rechten Seite auf das Symbol für Spaltenanzeigeoptionen (view_column).

3. Im angezeigten Menü können Sie eine Spalte ein- oder ausblenden, indem Sie das Kästchen neben dem Spaltennamen anklicken.

Steuerfelder

Sie können die folgenden Optionen ändern, um den Bildschirmbereich für die Seite Assets zu steuern:

• Blenden Sie die Seitenleiste Schnellfilter aus, indem Sie auf den Linkspfeil klicken.
• Um die Größe der Asset-Anzeigespalten anzupassen, ziehen Sie die Trennlinie nach links oder rechts.

Seite „Ergebnisse“

Auf der Seite Ergebnisse können Sie Security Command Center-Ergebnisse, die von Security Command Center-Diensten erstellen, wenn sie ein Sicherheitsproblem in Ihrer Umgebung erkennen, abfragen, prüfen, stummschalten und markieren.

Weitere Informationen zum Arbeiten mit Ergebnissen auf der Seite Ergebnisse finden Sie unter Mit Ergebnissen in der Google Cloud Console arbeiten.

Seite „Quellen“

Die Seite Quellen enthält Karten mit einer Zusammenfassung der Assets und Ergebnisse aus den aktivierten Sicherheitsquellen. Auf der Karte für jede Sicherheitsquelle werden einige Ergebnisse aus dieser Quelle angezeigt. Sie können auf den Namen der Ergebniskategorie klicken, um alle Ergebnisse in dieser Kategorie anzuzeigen.

Zusammenfassung der Ergebnisse

Auf der Karte Zusammenfassung der Ergebnisse wird die Anzahl der Ergebnisse pro durch Ihre Sicherheitsquellen zur Verfügung gestellten Kategorie angezeigt.

• Klicken Sie auf den Namen der Quelle, um Details zu Ergebnissen einer bestimmten Quelle anzuzeigen.
• Wenn Sie Details zu allen Ergebnissen aufrufen möchten, klicken Sie auf die Seite Ergebnisse. Dort können Sie Ergebnisse gruppieren oder Details zu einem einzelnen Ergebnis ansehen.

Zusammenfassungen der Quellen

Unterhalb der Karte Zusammenfassung der Ergebnisse werden die Karten für alle eingebundenen und integrierten Quellen sowie Drittanbieterquellen angezeigt, die Sie aktiviert haben. Jede Karte zeigt die Anzahl der aktiven Ergebnisse für diese Quelle.

Seite zum Sicherheitsstatus

Auf der Seite Sicherheitsstatus können Sie Details zu den Sicherheitsstatus aufrufen, die Sie in Ihrer Organisation erstellt haben, und diese auf eine Organisation, einen Ordner oder ein Projekt anwenden. Sie können auch die verfügbaren vordefinierten Vorlagen für den Sicherheitsstatus aufrufen.

Nächste Schritte

• Weitere Informationen zu Sicherheitsquellen.
• Weitere Informationen zur Verwendung von Sicherheitsmarkierungen.
• Weitere Informationen zur Konfiguration des Security Command Center.