Security Command Center-Dashboard verwenden

Greifen Sie auf das Security Command Center zu, konfigurieren Sie die Anzeige und prüfen Sie Ihre Google Cloud-Ressourcen. Falls Security Command Center noch nicht für Ihre Organisation eingerichtet wurde, folgen Sie zuerst der Anleitung zum Einrichten des Security Command Center.

Hinweis

Um das Security Command Center zu verwenden, benötigen Sie eine IAM-Rolle (Identity and Access Management) mit entsprechenden Berechtigungen:

  • Sie müssen die IAM-Rolle Security Center Admin Viewer haben, um das Security Command Center aufzurufen.
  • Um Änderungen am Security Command Center vorzunehmen, benötigen Sie eine entsprechende Bearbeiterrolle, z. B. Security Center Admin Editor.

Falls gemäß Ihrer Organisationsrichtlinien Identitäten nach Domain eingeschränkt werden, müssen Sie in der Cloud Console mit einem Konto in einer zulässigen Domain angemeldet sein.

Hier erhalten Sie weitere Informationen zu den Security Command Center-Rollen.

Zugriff auf das Dashboard

Die Seite "Security Command Center" in der Cloud Console wird im Allgemeinen als Dashboard bezeichnet. So greifen Sie auf das Dashboard von Security Command Center zu:

  1. Rufen Sie in der Cloud Console die Seite "Security Command Center" auf.
    Zur Seite "Security Command Center"
  2. Wählen Sie die Organisation aus, die Sie prüfen möchten.

Das Security Command Center-Dashboard zeigt eine einfache Übersicht potenzieller Sicherheitsrisiken.

Dashboard verwenden

Nach dem Aufrufen des Security Command Center wird der Tab Erkunden angezeigt. Dort finden Sie eine Übersicht über Dashboard-Tabs, zusätzliche Security Command Center-Optionen und Dienste, die in das Security Command Center eingebunden werden können.

Klicken Sie auf den Namen des Tabs, um mehr über die Funktionen der Dashboard-Tabs zu erfahren.

Bedrohungen

Mit dem Dashboard Bedrohungen können Sie potenziell schädliche Ereignisse in den Google Cloud-Ressourcen Ihrer Organisation einsehen.

  • Bedrohungen nach Schweregrad zeigt die Anzahl der Bedrohungen der einzelnen Schweregrade an.
  • Bedrohungen nach Kategorie zeigt die Anzahl der Ergebnisse je Kategorie für alle Projekte an.
  • Bedrohungen nach Projekt zeigt die Anzahl der Ergebnisse für die einzelnen Projekte Ihrer Organisation an.

Im Dashboard "Bedrohungen" werden Ergebnisse für den in der Drop-down-Liste angegebenen Zeitraum angezeigt. Es stehen Optionen zwischen einer Stunde und 12 Monaten zur Verfügung. Der ausgewählte Zeitraum wird zwischen Sitzungen gespeichert.

Sicherheitslücken

Der Tab Sicherheitslücken zeigt Ergebnisse und Empfehlungen von Security Health Analytics an, darunter folgende Spalten:

  • Status: Ein Symbol zeigt an, ob der Detektor aktiv ist und ob er etwas gefunden hat, auf das reagiert werden muss. Wenn Sie den Mauszeiger über das Statussymbol bewegen, werden Datum und Uhrzeit des Erfassens des Ergebnisses oder Informationen zur Validierung der Empfehlung angezeigt.
  • Kategorie: Der Ergebnistyp. Eine Liste möglicher Ergebnisse von Security Health Analytics finden Sie unter Ergebnisse von Security Health Analytics.
  • Empfehlung: Eine Zusammenfassung möglicher Reaktionen auf das Ergebnis. Weitere Informationen finden Sie unter Ergebnisse von Security Health Analytics ansprechen.
  • Aktiv: Die Gesamtzahl der Ergebnisse in der Kategorie.
  • Schweregrad: Die relative Risikostufe der Ergebniskategorie.
  • Benchmarks: Die für die Ergebniskategorie relevante Compliance-Benchmark, sofern vorhanden. Weitere Informationen zu Benchmarks finden Sie unter Erfasste Sicherheitslücken.

Ergebnisse filtern

Große Organisationen können über ihr System hinweg viele Sicherheitslücken prüfen, untersuchen und verfolgen müssen. Wenn Sie die im Security Command Center verfügbaren Filter verwenden, können Sie sich auf die Probleme mit den höchsten Schweregraden in Ihrem Unternehmen konzentrieren und Sicherheitslücken nach Asset-Typ, Sicherheitsmarkierung und mehr prüfen.

Ergebnisse von Security Health Analytics nach Projekt ansehen

So rufen Sie Ergebnisse von Security Health Analytics nach Projekt auf dem Tab Sicherheitslücken auf:

  1. Klicken Sie im Feld Projektfilter auf Projekt zum Projektfilter hinzufügen.
  2. Wählen Sie das Projekt aus, für das Sie Ergebnisse anzeigen möchten.

Der Tab Sicherheitslücken zeigt eine Liste der Ergebnisse für das ausgewählte Projekt an.

Ergebnisse von Security Health Analytics nach Kategorie ansehen

Um die Ergebnisse der Security Health Analytics im Tab Sicherheitslücken nach Kategorie anzuzeigen klicken Sie in der Spalte Kategorie auf den Kategorienamen.

Im Tab Ergebnisse wird eine Liste mit Ergebnissen angezeigt, die der ausgewählten Kategorie entsprechen.

Ergebnisse nach Asset-Typ ansehen

Verwenden Sie den Tab Assets, um Security Health Analytics-Ergebnisse für einen bestimmten Asset-Typ aufzurufen:

  1. Rufen Sie in der Cloud Console die Seite Ergebnisse im Security Command Center auf.
    Zur Seite "Ergebnisse"
  2. Klicken Sie neben Anzeigen nach auf Quelltyp und wählen Sie Security Health Analytics.
  3. Geben Sie im Filterfeld resourceName: asset-type ein. Beispiel: Wenn Sie Ergebnisse von Security Health Analytics für alle Projekte aufrufen möchten, geben Sie resourceName: projects ein.

Die Liste der Ergebnisse wird aktualisiert und zeigt alle Ergebnisse für den angegebenen Assettyp an.

Assets und Ergebnisse mit Sicherheitsmarkierungen versehen

Mithilfe von Sicherheitsmarkierungen können Sie Ergebnissen und Assets im Security Command Center benutzerdefinierte Attribute hinzufügen. Mit Sicherheitsmarkierungen können Sie wichtige Bereiche wie Produktionsprojekte, Tag-Ergebnisse mit Fehler- und Vorfallverfolgungsnummern kennzeichnen, und vieles mehr.

Security Health Analytics-Ergebnisse mithilfe von Sicherheitsmarkierungen auf die Zulassungsliste setzen

Sie können Assets in Security Health Analytics auf die Zulassungsliste setzen, damit ein Detektor keine Warnung für das Asset erstellt. Wenn Sie ein Asset auf eine Zulassungsliste setzen, wird das Ergebnis beim nächsten Scan als geklärt gekennzeichnet. Dies kann nützlich sein, wenn Sie nicht die Warnungen von Projekten prüfen möchten, die isoliert sind oder unter akzeptable Geschäftsparameter fallen.

Wenn Sie einer Zulassungsliste ein Asset hinzufügen möchten, fügen Sie für einen bestimmten Ergebnistyp ein Sicherheitsmarkierung allow_finding-type hinzu. Beispiel: Verwenden Sie für den Ergebnistyp SSL_NOT_ENFORCED die Sicherheitsmarkierung allow_ssl_not_enforced:true.

Eine vollständige Liste der Ergebnistypen finden Sie auf der Seite Security Health Analytics-Ergebnisse. Weitere Informationen zu Sicherheitsmarkierungen und -techniken finden Sie unter Security Command Center-Sicherheitsmarkierungen verwenden.

Anzahl der aktiven Ergebnisse nach Ergebnisart anzeigen

Mit der Cloud Console oder den Befehlen des gcloud-Befehlszeilentools können Sie die Anzahl aktiver Ergebnisse nach Typ anzeigen.

Console

Mit dem Security Health Analytics-Dashboard können Sie die Anzahl der aktiven Ergebnisse pro Ergebnistyp anzeigen.

So zeigen Sie die Ergebnisse von Security Health Analytics nach Typ an:

  1. Gehen Sie in der Cloud Console zum Security Command Center.
    Zum Security Command Center.
  2. Klicken Sie zum Anzeigen der Ergebnisse von Security Health Analytics auf den Tab Sicherheitslücken.
  3. Klicken Sie auf die Spaltenüberschrift Aktiv, um die Ergebnisse nach der Anzahl aktiver Ergebnisse pro Ergebnistyp zu sortieren.

gcloud

Wenn Sie mit dem gcloud-Tool die Anzahl aller aktiven Ergebnisse abrufen möchten, senden Sie in Security Command Center eine Anfrage, um die Quell-ID von Security Health Analytics abzurufen. Anschließend verwenden Sie die Quell-ID, um die Anzahl der aktiven Ergebnisse abzufragen.

Schritt 1: Quell-ID abrufen

Rufen Sie zum Abschluss dieses Schritts Ihre Organisations-ID und dann die Quell-ID ab. Falls die Security Command Center API noch nicht aktiviert wurde, werden Sie zu deren Aktivierung aufgefordert.

  1. Führen Sie gcloud organizations list aus, um Ihre Organisations-ID abzurufen, und notieren Sie die Nummer neben dem Namen der Organisation.
  2. So rufen Sie die Security Health Analytics Quell-ID ab:

    gcloud scc-Quellen beschreiben Organisationen/your-organization-id
    --source-display-name='Security Health Analytics'

  3. Aktivieren Sie nach entsprechender Aufforderung die Security Command Center API und führen Sie dann den vorherigen Befehl aus, um die Security Health Analytics-Quell-ID noch einmal abzurufen.

Der Befehl zum Abrufen der Quell-ID sollte etwa so aussehen:

  description: Scans for deviations from a Google Cloud security baseline.
  displayName: Security Health Analytics
  name: organizations/your-organization-id/sources/source-id

Notieren Sie sich die source-id, die Sie im nächsten Schritt benötigen.

Schritt 2: Anzahl der aktiven Ergebnisse abrufen

Verwenden Sie die im vorherigen Schritt notierte source-id, um Ergebnisse aus Security Health Analytics zu filtern. Der folgende Befehl des gcloud-Tools gibt die Anzahl der Ergebnisse nach Kategorie zurück:

  gcloud scc findings group organizations/your-organization-id/sources/source-id \
   --group-by=category --page-size=page-size

Die Seitengröße kann auf einen Wert von maximal 1.000 festgelegt werden. Der Befehl sollte in etwa folgende Ausgabe mit den Ergebnissen Ihrer Organisation zurückgeben:

  groupByResults:
  - count: '1'
    properties:
      category: 2SV_NOT_ENFORCED
  - count: '3'
    properties:
      category: ADMIN_SERVICE_ACCOUNT
  - count: '2'
    properties:
      category: API_KEY_APIS_UNRESTRICTED
  - count: '1'
    properties:
      category: API_KEY_APPS_UNRESTRICTED
  - count: '2'
    properties:
      category: API_KEY_EXISTS
  - count: '10'
    properties:
      category: AUDIT_CONFIG_NOT_MONITORED
  - count: '10'
    properties:
      category: AUDIT_LOGGING_DISABLED
  - count: '1'
    properties:
      category: AUTO_UPGRADE_DISABLED
  - count: '10'
    properties:
      category: BUCKET_IAM_NOT_MONITORED
  - count: '10'
    properties:
      category: BUCKET_LOGGING_DISABLED
  nextPageToken: token
        readTime: '2019-08-05T21:56:13.862Z'
        totalSize: 50

Compliance

Über das Compliance-Dashboard können Sie den Status schwerer Verstöße prüfen und Berichte exportieren. In diesem Dashboard werden Zusammenfassungen für die Detektoren angezeigt, die den einzelnen von Security Health Analytics überwachten Compliance-Richtlinien zugeordnet sind.

In diesem Abschnitt wird u. a. beschrieben, wie Sie mit Security Health Analytics und Web Security Scanner-Detektoren Verstöße gegen häufige Compliancekontrollen (wie in CIS Google Cloud-Computing-Prüfungsbenchmark Version 1.0.0, Zahlungskartenindustriedaten Sicherheitsstandard (PCI-DSS) v3.2 beschrieben) überwachen. Security Health Analytics kann Verstöße gegen allgemeine Compliance-Kontrollen auf Grundlage einer Best-Practice-Zuordnung von Google erfassen. Dies ist kein Ersatz für eine Compliance-Prüfung, kann aber zur kontinuierlichen Einhaltung der Richtlinien und zur frühzeitigen Erkennung von Verstößen beitragen.

Das Compliance-Dashboard zeigt die Anzahl der Prüfungen für alle Richtlinien an, die einen Status vom Typ "Warnung" und "Weitergeben" haben:

  • Status "Warnung": Mit dieser Prüfung sind ein oder mehrere aktive Ergebnisse (Verstöße) verknüpft.
  • Status "Weitergeben": Es liegen keine erkannten Verstöße für die Prüfung vor.

Sie können das Compliance-Dashboard nach Projekt filtern und Berichte bestimmter CIS- und PCI-Ergebnisse anzeigen oder exportieren. Diese Berichte basieren auf Ergebnissen der Security Health Analytics und werden in den Tab "Sicherheitslücken" geladen.

Compliance-Berichte exportieren

Sie können CSV-Berichte exportieren, in denen Ergebnisse zu Verstößen für eine bestimmte Compliance-Benchmark zusammengefasst werden. So erstellen Sie einen Bericht:

  1. Wechseln Sie in der Cloud Console zum Tab Compliance im Security Command Center.
    Zum Tab "Compliance"
  2. Klicken Sie neben dem Bericht, den Sie herunterladen möchten, auf Exportieren.
  3. Konfigurieren Sie den Export auf der Seite Exportieren :
    1. Wählen Sie den Benchmark-Bericht aus, den Sie herunterladen möchten.
    2. Wählen Sie Datum und Uhrzeit des Berichts-Snapshots aus.
    3. Filtern Sie optional den Export nach Projekt.
  4. Wenn Sie mit der Konfiguration des Exports fertig sind, klicken Sie auf Exportieren und wählen den Speicherort aus, an dem Sie den CSV-Bericht speichern möchten.

Compliance-Exportberichte umfassen:

  • Projekte im Bereich
  • Datum des Berichts
  • Ergebnisse im Rahmen des Berichts
  • Anzahl der gescannten Ressourcen
  • Die Anzahl der Ressourcen, die gegen die spezifische Richtlinie verstoßen

Weitere Informationen zu den Ergebnissen der Security Health Analytics und der Zuordnung zwischen unterstützten Detektoren und Compliance-Regeln finden Sie unter Ergebnisse zu Sicherheitslücken.

Assets

Auf dem Tab Assets finden Sie eine detaillierte Anzeige aller Google Cloud-Ressourcen, Assets genannt, in Ihrer Organisation. Auf dem Tab "Assets" können Sie Assets für Ihre gesamte Organisation anzeigen oder diese nach Projekt, Assettyp oder Änderungstyp filtern. Wenn Sie Details zu einem bestimmten Asset aufrufen möchten, beispielsweise dessen Attribute, Ressourceneigenschaften und zugehörigen Ergebnisse, klicken Sie in der Spalte resourceProperties.name auf den Namen des Assets.

Assets werden zweimal täglich automatisch gescannt. Sie können den Asset-Scan auch manuell starten. Dazu klicken Sie im Tab "Assets" auf Neu scannen. Der Wert updateTime kann für die Ergebnisse innerhalb eines automatischen oder manuellen Scans variieren. Die Abweichung beträgt normalerweise weniger als 10 Minuten.

Die Aktualität des Asset-Inventars hängt von der Erkennung und Indexierung der Asset-Quelle ab:

  • Bei bereits vorhandenen Assets beträgt die Aktualität normalerweise unter 1 Minute.
  • Assets, die bei einem täglichen oder manuellen Scan nicht erkannt und indexiert wurden, werden im Asset-Inventar angezeigt, sobald das Asset, mit dem sie verknüpft sind, erkannt und indexiert wurde.

Assets-Tab verwenden

Der Tab "Assets" bietet integrierte und anpassbare Filter, mit denen Sie eine gefilterte Asset-Liste aufrufen können.

Assets nach Projekt aufrufen

Assets werden standardmäßig in der Organisations- und Projekthierarchie angezeigt. Um einer bestimmten Ressource zugeordnete Assets anzuzeigen, wählen Sie unter Anzeige nach Projekt die zu prüfende Organisation oder das Projekt aus.

Anzeige nach Asset-Typ

Klicken Sie im Assets-Tab auf Asset-Typ, um Ihre Assets nach Ressourcentyp gruppiert anzuzeigen. Assets werden nun in Kategorien wie Anwendung, Bucket, Projekt und Dienst angezeigt. Die folgenden Asset-Typen werden derzeit unterstützt:

  • Resource Manager
    • Organisation
    • Projekt
  • App Engine
    • Anwendung
    • Dienst
    • Version
  • Compute Engine
    • Adresse
    • Autoscaler
    • BackendBucket
    • BackendService
    • BillingAccount
    • Disk
    • Firewalls
    • GlobalAdress
    • HealthCheck
    • HttpHealthCheck
    • HttpsHealthCheck
    • Bild
    • Instanz
    • InstanceGroup
    • InstanceTemplate
    • Lizenz
    • Netz
    • Route
    • SecurityPolicy
    • Snapshot
    • SslCertificate
    • Subnetzwerk
    • TargetHttpProxy
    • TargetHttpsProxy
    • TargetSslProxy
    • TargetTcpProxy
    • TargetPool
    • TargetVpnGateway
    • UrlMap
    • VpnTunnel
  • Cloud DNS
    • ManagedZone
    • Policy
  • IAM
    • ServiceAccount
  • Cloud Spanner
    • Database
    • Instanz
  • Cloud Storage
    • Bucket
  • Google Kubernetes Engine
    • Cluster
  • Container Registry
    • Bild
  • Cloud Logging
    • LogMetric

Wählen Sie in der Liste Asset-Typ den zu prüfenden Asset-Typ aus, um einzelne Ressourcen für einen bestimmten Asset-Typ anzeigen zu lassen. Um Details zu einem bestimmten Asset anzuzeigen, klicken Sie auf den Namen des Assets. Wenn Sie alle Google Cloud-Projekte in Ihrer Organisation anzeigen möchten, filtern Sie die Assetliste mit securityCenterProperties.resourceType:resourcemanager.Project.

Die Anzeige nach Asset wurde geändert

Auf dem Tab "Assets" werden unter Assets geändert alle Assets angezeigt, die im ausgewählten Zeitraum aktiv waren. Alle Assets, die in diesem Zeitraum hinzugefügt wurden, werden in der Kategorie Hinzugefügt zusammengefasst. Falls Sie den Zeitraum ändern möchten, für den Ergebnisse angezeigt werden, klicken Sie auf die Drop-down-Liste neben Assets geändert.

Nach IAM-Richtlinie aufrufen

Auf dem Tab "Assets" werden IAM-Richtlinien für Assets in der Spalte iamPolicy.policy_blob angezeigt. Zum Ansehen der Spalte iamPolicy klicken Sie auf Anzeigeoptionen für Spalten und geben Sie dann iamPolicy ein.

Zum Aufrufen der IAM-Richtliniendetails für einen bestimmten Asset klicken Sie neben dem Asset auf Anzeigen. IAM-Richtlinien werden auch im Assetdetails-Feld angezeigt, wenn Sie in der Spalte resourceProperties.name auf den Assetnamen klicken.

Assets-Tab konfigurieren

Sie können für einige Elemente festlegen, ob sie im Assets-Tab angezeigt werden.

Spalten

Der Assets-Tab enthält standardmäßig folgende Spalten:

  • Asset-Name: resourceProperties.name
  • Asset-Typ: securityCenterProperties.resourceType
  • Assetinhaber: securityCenterProperties.resourceOwners
  • Ressourcenname: name
  • Zum Asset hinzugefügte Markierungen: securityMarks.marks

Sie können jede Spalte mit Ausnahme von resourceProperties.name ausblenden und weitere Spalten mit Asset-Details zur Anzeige auswählen:

  1. Klicken Sie auf Spaltenanzeigeoptionen, um die anzuzeigenden Asset-Spalten auszuwählen.
  2. Wählen Sie im angezeigten Menü die anzuzeigenden Spalten aus.
  3. Zum Ausblenden einer Spalte klicken Sie auf den Spaltennamen, um die Markierung neben dem Spaltennamen aufzuheben.

Klicken Sie zum Speichern der Spaltenauswahl auf Spalten merken. Ihre Spaltenauswahl gilt für alle Ansichten im Tab Assets. Wenn Sie Spalten auswählen, wird die URL der Cloud Console aktualisiert, sodass Sie den Link der benutzerdefinierten Ansicht teilen können.

Die Spaltenauswahl bleibt erhalten, wenn Sie das Dashboard das nächste Mal aufrufen oder die Organisation wechseln. Klicken Sie auf Spalten zurücksetzen, um alle benutzerseitig gewählten Spalten auszublenden.

Bereiche

Sie können folgende Optionen für den Bildschirmbereich des Assets-Tab ändern:

  • Klicken Sie auf den linken Pfeil, um die Seitenleiste Sicherheit der Cloud Console auszublenden.
  • Um die Größe der Asset-Anzeigespalten anzupassen, ziehen Sie die Trennlinie nach links oder rechts.
  • Um die Seitenleiste Asset auswählen auszublenden, klicken Sie auf Infofeld ausblenden.

Klicken Sie zum Ändern von Datum und Uhrzeit für die anzuzeigenden Ergebnisse auf das Dropdown-Menü für Datum und Uhrzeit. Wählen Sie dann das gewünschte Datum und die Uhrzeit aus.

Assets sortieren

Zum Sortieren von Assets klicken Sie auf die Spaltenüberschrift für den Wert, nach dem Sie sortieren möchten. Spalten sind nach numerischen Werten und dann in alphabetischer Reihenfolge sortiert.

Ergebnisse

Auf dem Tab Ergebnisse wird ein detailliertes Ergebnisinventar für alle Assets in Ihrer Organisation angezeigt. Mithilfe der Ergebnisanzeige können Sie potenzielle Sicherheitsrisiken für Ihre Organisation ansehen.

Die Aktualität des Inventars wird durch das Auffinden von Quellen bestimmt:

  • Das Ergebnis im Security Command Center-Dashboard wird in der Regel weniger als eine Minute nach der Erfassung der Ergebnisquelle ermittelt.
  • Assets, die bei einem automatischen oder manuellen Scan nicht gefunden und indexiert wurden, werden normalerweise innerhalb einer Minute nach der Erfassung im Ergebnisinventar angezeigt.

Im Tab "Ergebnisse" werden standardmäßig nur aktive Ergebnisse angezeigt. Sie können die Anzeige inaktiver Ergebnisse aktivieren oder deaktivieren. Betätigen Sie dazu die Schaltfläche neben Nur aktive Ergebnisse anzeigen.

Klicken Sie auf ein Ergebnis, um Details aufzurufen. Der Bereich mit den Ergebnisdetails enthält Attribute wie das betroffene Asset und die Uhrzeit des Ereignisses. Einige Ergebnistypen enthalten weitere Attribute. Ein Cryptomining-Ereignis kann beispielsweise folgende Attribute enthalten:

  • abuse_target_ips: IP-Adresse des Mining-Pools.
  • urls: URL des Mining-Pools.
  • vm_host_and_names: VMs, für die Cryptomining festgestellt wurde.
  • vm_ips: IP-Adressen der betroffenen VMs.

Anzeigen nach Ergebniskategorie

Standardmäßig werden Ergebnisse nach bestimmten Kategorien wie Cross-Site-Scripting (XSS) und Probleme mit Kreditkartennummern oder Telefonnummern angezeigt. Wenn Sie beim Erstellen von Ergebnissen das Feld "Kategorie" leer lassen, wird in der Ergebnisanzeige keine Kategorie angezeigt.

  • Wählen Sie unter Anzeige nach Art des Ergebnisses die Risikoart aus, die Sie prüfen möchten. Auf diese Weise können Sie Details zu einer bestimmten Risikoart ansehen.
  • Klicken Sie unter category auf ein Ergebnis, um detaillierte Informationen dazu anzuzeigen.

Um Ergebnisse nach Kategorie für ein bestimmtes Datum anzuzeigen, verwenden Sie das Dropdown-Menü Zeit neben Nur aktive Ergebnisse anzeigen.

Anzeige nach Art der Quelle

Eine Ergebnisquelle ist ein beliebiger Anbieter von Ergebnissen wie Web Security Scanner oder Cloud DLP. Zu diesen Quellen gehören:

  • Scanner, die zu bestimmten Zeiten Ergebnis-Snapshots liefern.
  • Überwachungsdienste, die einen Ereignisstrom mit Ergebnissen bereitstellen.
  • Log-Dienste, die einen Ereignisverlauf ausgeben.

So können Sie Ergebnisse nach Quelle anzeigen:

  • Klicken Sie im Tab Ergebnisse auf Art der Quelle, um Ergebnisse nach der Art der Quelle sortiert anzuzeigen.
  • Falls Sie einzelne Ergebnisse für einen bestimmte Quellart anzeigen wollen, klicken Sie unter Anzeige nach Art der Quelle auf die anzuzeigende Art.
  • Klicken Sie unter category auf ein Ergebnis, um detaillierte Informationen dazu anzuzeigen.

Um Ergebnisse nach Kategorie für ein bestimmtes Datum anzuzeigen, verwenden Sie das Dropdown-Menü Zeit neben Nur aktive Ergebnisse anzeigen.

Anzeige von Ergebnissen wurde geändert

Klicken Sie im Tab Ergebnisse auf Ergebnisse wurden geändert, um neue und aktive Ergebnisse anzuzeigen. Um inaktive Ergebnisse zu berücksichtigen, deaktivieren Sie die Option Nur aktive Ergebnisse anzeigen.

Alle Ergebnisse werden in folgenden Untergruppen angezeigt:

  • Aktiv (geändert): Die Ergebnisse waren aktiv und Eigenschaften wurden im ausgewählten Zeitraum geändert.
  • Aktiv (keine Änderung): Ergebnisse, die im ausgewählten Zeitraum aktiv waren und deren Eigenschaften keine Änderung zeigen.
  • Inaktiv (geändert): Ergebnisse, die im ausgewählten Zeitraum auf "inaktiv" gesetzt wurden. Dieser Wert ist immer 0, wenn Nur aktive Ergebnisse anzeigen deaktiviert ist, auch wenn entsprechende Ergebnisse vorliegen.
  • Inaktiv (keine Änderung): Ergebnisse, die inaktiv sind und während des ausgewählten Zeitraums ihre Attribute geändert haben. Dieser Wert ist immer 0, wenn Nur aktive Ergebnisse anzeigen deaktiviert ist, auch wenn inaktive ungeänderte Ergebnisse vorliegen.
  • Neu: Ergebnisse, die während des ausgewählten Zeitraums neu erfasst wurden.

Der Tab "Ergebnisse" wird für einen bestimmten Zeitraum angezeigt. Es stehen Optionen zwischen 1 Stunde und 12 Monaten zur Verfügung. Verwenden Sie die Drop-down-Liste neben Nur aktive Ergebnisse anzeigen, um den Zeitraum anzugeben, für den Sie Ergebnisse anzeigen möchten.

Anzeige nach Schweregrad des Ergebnisses

Wenn Sie Ergebnisse nach Schweregrad anzeigen, werden die Ergebnisse nach Schweregrad in folgende Kategorien eingeteilt:

  • Kritisch:
    • Eine kritische Sicherheitslücke ist leicht zu erkennen und kann genutzt werden, um beliebigen Code auszuführen, Daten auszufiltern oder anderweitig Zugriff auf oder Privilegien in Cloud-Ressourcen und -Workflows zu erhalten. Beispiele hierfür sind öffentlich zugängliche Nutzerdaten und öffentliche SSH-Zugänge, die schwache oder keine Passwörter nutzen.
    • Eine kritische Bedrohung kann auf Daten zugreifen, sie ändern oder löschen und nicht autorisierten Code in vorhandenen Ressourcen ausführen.
  • Hoch:
    • Sicherheitslücken mit hohem Risiko können leicht entdeckt und in Kombination mit anderen Sicherheitslücken genutzt werden, um beliebigen Code auszuführen, Daten auszufiltern oder anderweitig Zugriff auf oder Privilegien in Cloud-Ressourcen und -Workflows zu erhalten. Beispiele sind Datenbanken mit schwachen oder ohne Passwörter, auf die nur intern zugegriffen werden kann und die von Akteuren mit Zugriff auf das interne Netzwerk manipuliert werden können.
    • Eine Bedrohung mit hohem Risiko kann Rechenressourcen in einer Umgebung erstellen, aber weder auf Daten zugreifen noch Code in vorhandenen Ressourcen ausführen.
  • Mittel:
    • Eine Sicherheitslücke mit mittlerem Risiko kann von Akteuren verwendet werden, um Zugriff auf Ressourcen oder Berechtigungen zu erlangen, womit letztlich der Zugriff und die Option zum Auslesen von Daten oder zur Ausführung beliebigen Codes erreicht werden soll. Beispiel: Wenn ein Dienstkonto unnötigen Zugriff auf Projekte hat und ein Akteur Zugriff auf das Dienstkonto erhält, kann der Akteur dieses Dienstkonto zur Manipulation eines Projekts verwenden.
    • Eine Bedrohung mit mittlerem Risiko kann Auswirkungen auf die Organisations haben, aber weder auf Daten zugreifen noch nicht autorisierten Code ausführen.
  • Niedrig:
    • Eine Sicherheitslücke niedrigen Schweregrades beeinträchtigt die Fähigkeit von Sicherheitsorganisationen, Sicherheitslücken oder aktive Bedrohungen bei deren Einführung zu erkennen, oder verhindert die Untersuchung der Ursachen von Sicherheitsproblemen. Beispiel: Monitoring und Protokollierung werden für Ressourcenkonfigurationen und Zugriff deaktiviert.
    • Bedrohungen mit geringem Risiko haben minimalen Zugriff auf Umgebungen, können aber weder auf Daten zugreifen, noch Code ausführen oder Ressourcen erstellen.
  • Unspezifisch: Die Angabe des Risikoniveaus ist unspezifisch, wenn Suchanbieter keine Schweregradwerte für Ergebnisse festlegen.

Sie können Sie Ergebnisse nach Schweregrad filtern:

  • Klicken Sie im Tab Ergebnisse auf Schweregrad, um Ergebnisse nach Schweregrad sortiert anzuzeigen.
  • Wählen Sie unter Schweregrad ermitteln einen Schweregrad aus, falls Sie Ergebnisse für einen bestimmten Schweregrad aufrufen möchten.
  • Klicken Sie unter category auf ein Ergebnis, um detaillierte Informationen dazu anzuzeigen.

Um Ergebnisse nach Kategorie für ein bestimmtes Datum anzuzeigen, verwenden Sie das Dropdown-Menü Zeit neben Nur aktive Ergebnisse anzeigen.

Ergebnisse verwalten

Verwalten Sie Sicherheitsmarkierungen für Ergebnisse oder ändern Sie den Ergebnisstatus im Infofeld im Security Command Center-Dashboard.

Sicherheitsmarkierungen verwalten

So fügen Sie Sicherheitsmarkierungen zu Ergebnissen hinzu:

  1. Wählen Sie unter category mindestens ein Ergebnis aus.
  2. Klicken Sie im Infofeld unter Sicherheitsmarkierungen auf Markierung hinzufügen.
  3. Fügen Sie die Elemente Schlüssel und Wert hinzu, um die Ergebniskategorien zu identifizieren.

    Beispiel: Wenn Sie Ergebnisse markieren möchten, die Teil desselben Vorfalls sind, fügen Sie den Schlüssel "incident-number" und den Wert "1234" hinzu. Die neue Sicherheitsmarkierung wird in der Form mark.incident-number: 1234 an die Ergebnisse angehängt.

  4. Wenn Sie alle Markierungen hinzugefügt haben, klicken Sie auf Speichern.

So entfernen Sie Sicherheitsmarkierungen von Ergebnissen:

  1. Wählen Sie unter category mindestens ein Ergebnis aus.
  2. Klicken Sie im Infofeld unter Sicherheitsmarkierungen auf Entfernen.

Ergebnisstatus verwalten

So ändern Sie den Ergebnisstatus mithilfe des Infofelds im Security Command Center-Dashboard in "Aktiv" oder "Inaktiv":

  1. Wählen Sie unter category mindestens ein Ergebnis aus.
  2. Wählen Sie im Infofeld unter Aktionen Aktiv oder Inaktiv als Status aus. Wenn die ausgewählten Ergebnisse aktive und inaktive Elemente umfassen, wird als Status Gemischt angezeigt, bis Sie einen neuen Status wählen.
  3. Nachdem Sie den Ergebnisstatus geändert haben, klicken Sie auf Speichern.

Ergebnisanzeige konfigurieren

Sie können festlegen, welche Elemente im Tab "Ergebnisse" angezeigt werden.

Spalten

Im Tab "Ergebnisse" werden standardmäßig folgende Spalten angezeigt:

  • Ergebnistyp: category
  • Geräte-ID: resourceName
  • Zeit der letzten Erfassung: eventTime
  • Zeit, zu der das Ergebnis zum ersten Mal erfasst wurde: createTime
  • Quelle des Befundes: parent
  • Dem Ergebnis hinzugefügte Markierungen: securityMarks.marks

Sie können jede Spalte mit Ausnahme von category ausblenden und weitere anzuzeigende Detailspalten für die Ergebnisse auswählen.

  1. Klicken Sie auf Spaltenanzeigeoptionen, um die anzuzeigenden Ergebnisspalten auszuwählen.
  2. Wählen Sie im angezeigten Menü die anzuzeigenden Spalten aus.
  3. Klicken Sie auf den Spaltennamen, um eine Spalte auszublenden.

Klicken Sie zum Speichern der Spaltenauswahl auf Spalten merken. Ihre Spaltenauswahl gilt für alle Ansichten im Tab Ergebnisse. Wenn Sie Spalten auswählen, wird die URL der Cloud Console aktualisiert, sodass Sie den Link der benutzerdefinierten Ansicht teilen können.

Die Spaltenauswahl bleibt erhalten, wenn Sie das Dashboard das nächste Mal aufrufen oder die Organisation wechseln. Klicken Sie auf Spalten zurücksetzen, um alle benutzerseitig gewählten Spalten auszublenden.

Bereiche

Um den Bildschirmbereich für Ergebnisse anzupassen, bearbeiten Sie folgende Optionen:

  • Um die Seitenleiste Sicherheit der Cloud Console auszublenden, klicken Sie auf den linken Pfeil.
  • Um die Größe der Anzeigespalten anzupassen, ziehen Sie die Trennlinie nach links oder rechts.
  • Um die Seitenleiste Ergebnis auswählen auszublenden, klicken Sie auf Infofeld ausblenden.

Quellen

Der Tab Quellen enthält Karten mit einer Zusammenfassung der Assets und Ergebnisse der aktivierten Sicherheitsquellen. Die Karten der einzelnen Sicherheitsquellen zeigen verschieden Ergebnisse aus der jeweiligen Quelle an. Sie können auf den Namen der Erkenntniskategorie klicken, um alle Ergebnisse dieser Kategorie anzuzeigen.

Assets: Zusammenfassung

Auf der Karte Asset-Zusammenfassung wird die Anzahl der einzelnen Asset-Typen in Ihrer Organisation beim letzten Scan angezeigt. Die Anzeige enthält neue und gelöschte Assets sowie die Gesamtzahl der Assets für den von Ihnen angegebenen Zeitraum. Sie können die Zusammenfassung als Tabelle oder als grafisches Diagramm anzeigen lassen.

  • Wenn Sie die Zusammenfassung für einen der aktuellsten Zeiträume aufrufen möchten, wählen Sie eine Zeit aus der Drop-down-Liste auf der Karte Assets aus.
  • Klicken Sie zum Anzeigen der Zusammenfassung für ein bestimmtes Datum und eine bestimmte Uhrzeit auf Alle Assets anzeigen und wählen Sie dann Datum und Uhrzeit in der Dropdown-Liste Zeit aus.
  • Klicken Sie zum Anzeigen der Baumstruktur Ihrer Organisation auf einen Asset-Typ oder auf Alle Assets ansehen.
  • Wähle Die den Tab "Assets" aus und klicke dann auf einen Asset-Namen, um Details zu einem einzelnen Asset anzuzeigen.

Zusammenfassung der Ergebnisse

Auf der Karte Zusammenfassung der Ergebnisse wird die Anzahl der Ergebnisse pro durch Ihre Sicherheitsquellen zur Verfügung gestellten Kategorie angezeigt.

  • Klicken Sie auf den Namen der Quelle, um Details zu Ergebnissen einer bestimmten Quelle anzuzeigen.
  • Um Details zu allen Ergebnisse anzuzeigen , klicken Sie auf den Tab Ergebnisse. Dort können Sie Ergebnisse gruppieren oder Details zu einem einzelnen Ergebnis anzeigen.

Security Command Center-Abfragen

In diesem Abschnitt wird beschrieben, wie Sie allgemeine Abfragen ausführen, um Ressourcen per Security Command Center zu prüfen.

Sie können diese Filter nur im Dashboard des Security Command Center auswählen, wenn Ihre Organisation den entsprechenden Ressourcentyp hat. Wenn Sie die Fehlermeldung "Einen der vorgeschlagenen Schlüssel auswählen" erhalten, hat Ihre Organisation den relevanten Ressourcentyp möglicherweise nicht.

Verwenden Sie für Abfragen das Textfeld Filtern nach auf dem Tab Assets. Im Folgenden sind einige häufige Abfragen aufgeführt, die für Sie nützlich sein könnten:

Abfragetyp Filtern nach
Buckets mit öffentlichen Legacy-ACLs suchen resourceProperties.acl:allUsers ODER resourceProperties.acl:allAuthenticatedUsers
Nach Firewallregeln mit geöffnetem SSH-Port 22 ab einem beliebigen Netzwerk suchen resourceProperties.allowed:22 ODER resourceProperties.sourceRange:0.0.0.0/0
VMs mit öffentlichen IP-Adressen suchen resourceProperties.networkInterface:externalIP
Ressourceninhaber außerhalb Ihrer Organisation suchen -securityCenterProperties.resourceOwners:@your-domain
VMs finden und deren Betriebssystemstatus überwachen resourceProperties.disk:licenses

Nächste Schritte