Security Command Center-Dashboard verwenden

Greifen Sie auf das Security Command Center zu, konfigurieren Sie die Anzeige und prüfen Sie Ihre Google Cloud-Ressourcen. Falls Security Command Center noch nicht für Ihre Organisation eingerichtet wurde, folgen Sie zuerst der Anleitung zum Einrichten des Security Command Center.

Hinweis

Um das Security Command Center zu verwenden, benötigen Sie eine IAM-Rolle (Identity and Access Management) mit entsprechenden Berechtigungen:

  • Mit dem Sicherheitscenter-Admin-Betrachter können Sie das Security Command Center aufrufen.
  • Mit dem Sicherheitscenter-Admin-Bearbeiter können Sie Security Command Center aufrufen und Änderungen vornehmen.

Falls gemäß Ihrer Organisationsrichtlinien Identitäten nach Domain eingeschränkt werden, müssen Sie in der Cloud Console mit einem Konto in einer zulässigen Domain angemeldet sein.

Security Command Center-Rollen werden auf Organisations-, Ordner- oder Projektebene gewährt. Ob Sie Ergebnisse, Assets, Sicherheitsquellen und Sicherheitsmarkierungen ansehen, bearbeiten, erstellen oder aktualisieren können, hängt davon ab, auf welcher Ebene Sie Zugriff erhalten haben. Weitere Informationen zu den Rollen von Security Command Center finden Sie unter Zugriffssteuerung.

Zugriff auf das Dashboard

Die Seite „Security Command Center“ in der Cloud Console wird als Dashboard bezeichnet. So greifen Sie auf das Dashboard von Security Command Center zu:

  1. Rufen Sie in der Cloud Console die Seite "Security Command Center" auf.
    Zur Seite "Security Command Center"
  2. Wählen Sie die Organisation aus, die Sie überprüfen möchten.

Das Security Command Center-Dashboard zeigt eine umfassende Übersicht potenzieller Sicherheitsrisiken.

Dashboard verwenden

Wenn Sie zu Security Command Center wechseln, wird der Tab Übersicht angezeigt (siehe unten). Auf dem Tab "Übersicht" finden Sie eine Zusammenfassung der am häufigsten bewerteten Ergebnisse in Ihrer Organisation, damit Sie Prioritäten priorisieren können.

SCC-Dashboard

Sie können anpassbare Zeiträume festlegen, in denen Sie die Ergebnisse überprüfen, Berichte erstellen und auf andere Dashboard-Tabs zugreifen können.

Klicken Sie im folgenden Menü auf den Namen des Tabs, um zu erfahren, was ein Dashboard-Tab bietet.

Übersicht

Im Dashboard Übersicht wird die Gesamtanzahl der Ergebnisse in Ihrer Organisation nach Schweregrad angezeigt. Die Gesamtsummen umfassen Ergebnisse aus allen integrierten Diensten und integrierten Quellen. Sie können den Zeitraum in allen Bereichen dieses Tabs von 1 Stunde bis 6 Monate ändern.

  • Unter Ergebnisse nach Schweregrad sehen Sie nach Sicherheitslücken sortierte Sicherheitslücken und neue Bedrohungen. Details zu Schweregraden finden Sie auf dem Tab Ergebnisse.
  • Aktive Sicherheitslücken im Zeitverlauf ist eine grafische Darstellung, die Änderungen an Sicherheitslücken zeigt.
  • Unter Neue Bedrohungen im Zeitverlauf wird die Anzahl der neuen Bedrohungen pro Tag angezeigt. Sie bietet stündliche Summen für Ergebnisse.

Zusätzliche Tabellen enthalten die Ergebnisse nach Kategorie, Asset-Typ und Projekt sortiert. In den Tabellen sehen Sie, wie oft jede Sicherheitslücke erkannt wurde und welche Ressourcen am häufigsten betroffen sind.

Bedrohungen

Mit dem Dashboard Bedrohungen können Sie potenziell schädliche Ereignisse in den Google Cloud-Ressourcen Ihrer Organisation einsehen.

  • Bedrohungen nach Schweregrad zeigt die Anzahl der Bedrohungen der einzelnen Schweregrade an.
  • Bedrohungen nach Kategorie zeigt die Anzahl der Ergebnisse je Kategorie für alle Projekte an.
  • Bedrohungen nach Ressource zeigt die Anzahl der Ergebnisse für jede Ressource in Ihrer Organisation an.

Das Threat-Dashboard zeigt Ergebnisse für den in der Drop-down-Liste angegebenen Zeitraum an. Die Drop-down-Liste enthält mehrere Optionen zwischen einer Stunde und „Gesamte Zeit“, in der alle Ergebnisse nach der Aktivierung des Dienstes aufgeführt sind. Der ausgewählte Zeitraum wird zwischen Sitzungen gespeichert.

Sicherheitslücken

Der Tab Sicherheitslücken zeigt Ergebnisse und Empfehlungen von Security Health Analytics an, darunter folgende Spalten:

  • Status: Ein Symbol zeigt an, ob der Detektor aktiv ist und ob er etwas gefunden hat, auf das reagiert werden muss. Wenn Sie den Mauszeiger über das Statussymbol bewegen, werden Datum und Uhrzeit des Erfassens des Ergebnisses oder Informationen zur Validierung der Empfehlung angezeigt.
  • Zuletzt gescannt: Datum und Uhrzeit des letzten Scans für den Detektor.
  • Kategorie: Der Ergebnistyp. Eine Liste möglicher Ergebnisse der Security Health Analytics finden Sie unter Ergebnisse der Security Health Analytics.
  • Empfehlung: Eine Zusammenfassung möglicher Reaktionen auf das Ergebnis. Weitere Informationen finden Sie unter Ergebnisse von Security Health Analytics ansprechen.
  • Aktiv: Die Gesamtzahl der Ergebnisse in der Kategorie.
  • Schweregrad: Die relative Risikostufe der Ergebniskategorie.
  • Benchmarks: Die für die Ergebniskategorie relevante Compliance-Benchmark, sofern vorhanden. Weitere Informationen zu Benchmarks finden Sie unter Erfasste Sicherheitslücken.

Ergebnisse filtern

Große Organisationen können über ihr System hinweg viele Sicherheitslücken prüfen, untersuchen und verfolgen müssen. Wenn Sie die im Security Command Center verfügbaren Filter verwenden, können Sie sich auf die Probleme mit den höchsten Schweregraden in Ihrem Unternehmen konzentrieren und Sicherheitslücken nach Asset-Typ, Sicherheitsmarkierung und mehr prüfen.

Ergebnisse von Security Health Analytics nach Projekt ansehen

So rufen Sie Ergebnisse von Security Health Analytics nach Projekt auf dem Tab Sicherheitslücken auf:

  1. Klicken Sie unter Projektfilter auf Ein Projekt zum Projektfilter hinzufügen ().
  2. Wählen Sie im angezeigten Suchdialog das Projekt aus, für das Sie Ergebnisse anzeigen möchten.

Der Tab Sicherheitslücken zeigt eine Liste der Ergebnisse für das ausgewählte Projekt an.

Ergebnisse von Security Health Analytics nach Kategorie ansehen

Um die Ergebnisse der Security Health Analytics im Tab Sicherheitslücken nach Kategorie anzuzeigen klicken Sie in der Spalte Kategorie auf den Kategorienamen.

Im Tab Ergebnisse wird eine Liste mit Ergebnissen angezeigt, die der ausgewählten Kategorie entsprechen.

Ergebnisse nach Asset-Typ ansehen

Verwenden Sie den Tab Ergebnisse, um Ergebnisse von Security Health Analytics für einen bestimmten Asset-Typ aufzurufen:

  1. Rufen Sie in der Cloud Console die Seite Ergebnisse des Security Command Center auf.
    Zur Seite "Ergebnisse"
  2. Klicken Sie neben Anzeigen nach auf Quelltyp und wählen Sie Security Health Analytics.
  3. Geben Sie im Filterfeld resourceName: asset-type ein. Beispiel: Wenn Sie Ergebnisse von Security Health Analytics für alle Projekte aufrufen möchten, geben Sie resourceName: projects ein.

Die Liste der Ergebnisse wird aktualisiert und zeigt alle Ergebnisse für den angegebenen Assettyp an.

Assets und Ergebnisse mit Sicherheitsmarkierungen versehen

Mithilfe von Sicherheitsmarkierungen können Sie Ergebnissen und Assets im Security Command Center benutzerdefinierte Attribute hinzufügen. Mit Sicherheitsmarkierungen können Sie wichtige Bereiche wie Produktionsprojekte, Tag-Ergebnisse mit Fehler- und Vorfallverfolgungsnummern kennzeichnen, und vieles mehr.

Security Health Analytics-Ergebnisse mithilfe von Sicherheitsmarkierungen auf die Zulassungsliste setzen

Sie können Assets in Security Health Analytics auf die Zulassungsliste setzen, damit ein Detektor keine Warnung für das Asset erstellt. Wenn Sie ein Asset auf eine Zulassungsliste setzen, wird das Ergebnis beim nächsten Scan als geklärt gekennzeichnet. Diese Einstellung ist hilfreich, wenn Sie keine Sicherheitsergebnisse für Projekte prüfen möchten, die isoliert sind oder innerhalb akzeptabler Geschäftsparameter liegen.

Wenn Sie einer Zulassungsliste ein Asset hinzufügen möchten, fügen Sie für einen bestimmten Ergebnistyp ein Sicherheitsmarkierung allow_finding-type hinzu. Beispiel: Verwenden Sie für den Ergebnistyp SSL_NOT_ENFORCED die Sicherheitsmarkierung allow_ssl_not_enforced:true.

Eine vollständige Liste der Ergebnistypen finden Sie auf der Seite Security Health Analytics-Ergebnisse. Weitere Informationen zu Sicherheitsmarkierungen und -techniken finden Sie unter Security Command Center-Sicherheitsmarkierungen verwenden.

Anzahl der aktiven Ergebnisse nach Ergebnistyp ansehen

Verwenden Sie die Befehle der Cloud Console oder des gcloud-Befehlszeilentools, um die Anzahl der aktiven Suchvorgänge nach Suchtyp anzuzeigen.

Console

Mit dem Security Health Analytics-Dashboard können Sie die Anzahl der aktiven Ergebnisse pro Ergebnistyp anzeigen.

So rufen Sie die Ergebnisse von Security Health Analytics auf, indem Sie nach dem Typ suchen:

  1. Gehen Sie in der Cloud Console zum Security Command Center.
    Zu Security Command Center
  2. Klicken Sie zum Anzeigen der Ergebnisse von Security Health Analytics auf den Tab Sicherheitslücken.
  3. Klicken Sie auf dem Spaltenheader Aktiv, um die Ergebnisse nach der Anzahl der aktiven Ergebnisse für jeden Suchtyp zu sortieren-

gcloud

Wenn Sie mit dem gcloud-Tool die Anzahl aller aktiven Ergebnisse abrufen möchten, fragen Sie Security Command Center ab, um die Quell-ID der Security Health Analytics abzurufen. Anschließend verwenden Sie die Quell-ID, um die Anzahl der aktiven Ergebnisse abzufragen.

Schritt 1: Quell-ID abrufen

Rufen Sie zum Abschluss dieses Schritts Ihre Organisations-ID und dann die Quell-ID ab. Wenn Sie die Security Command Center API noch nicht aktiviert haben, werden Sie jetzt dazu aufgefordert.

  1. Führen Sie gcloud organizations list aus, um Ihre Organisations-ID abzurufen, und notieren Sie die Nummer neben dem Namen der Organisation.
  2. So rufen Sie die Security Health Analytics Quell-ID ab:

    gcloud scc-Quellen beschreiben Organisationen/your-organization-id
    --source-display-name='Security Health Analytics'

  3. Aktivieren Sie nach entsprechender Aufforderung die Security Command Center API und führen Sie dann den vorherigen Befehl aus, um die Security Health Analytics-Quell-ID noch einmal abzurufen.

Der Befehl zum Abrufen der Quell-ID sollte etwa so aussehen:

  description: Scans for deviations from a Google Cloud security baseline.
  displayName: Security Health Analytics
  name: organizations/your-organization-id/sources/source-id

Notieren Sie sich die source-id, die Sie im nächsten Schritt benötigen.

Schritt 2: Anzahl der aktiven Ergebnisse abrufen

Verwenden Sie die im vorherigen Schritt notierte source-id, um Ergebnisse aus Security Health Analytics zu filtern. Der folgende Befehl des gcloud-Tools gibt die Anzahl der Ergebnisse nach Kategorie zurück:

  gcloud scc findings group organizations/your-organization-id/sources/source-id \
   --group-by=category --page-size=page-size

Die Seitengröße kann auf einen Wert von maximal 1.000 festgelegt werden. Der Befehl sollte in etwa folgende Ausgabe mit den Ergebnissen Ihrer Organisation zurückgeben:

  groupByResults:
  - count: '1'
    properties:
      category: MFA_NOT_ENFORCED
  - count: '3'
    properties:
      category: ADMIN_SERVICE_ACCOUNT
  - count: '2'
    properties:
      category: API_KEY_APIS_UNRESTRICTED
  - count: '1'
    properties:
      category: API_KEY_APPS_UNRESTRICTED
  - count: '2'
    properties:
      category: API_KEY_EXISTS
  - count: '10'
    properties:
      category: AUDIT_CONFIG_NOT_MONITORED
  - count: '10'
    properties:
      category: AUDIT_LOGGING_DISABLED
  - count: '1'
    properties:
      category: AUTO_UPGRADE_DISABLED
  - count: '10'
    properties:
      category: BUCKET_IAM_NOT_MONITORED
  - count: '10'
    properties:
      category: BUCKET_LOGGING_DISABLED
  nextPageToken: token
        readTime: '2019-08-05T21:56:13.862Z'
        totalSize: 50

Compliance

Über das Compliance-Dashboard können Sie den Status schwerer Verstöße prüfen und Berichte exportieren. Dieses Dashboard enthält eine Übersicht über die Anzahl der Detektoren für jeden Compliance-Standard, den Security Health Analytics überwacht.

In diesem Abschnitt wird beschrieben, wie Sie mithilfe von Security Health Analytics und Web Security Scanner-Detektoren Ihre Daten auf Verstöße gegen die häufigsten Compliance-Kontrollen prüfen, wie die in der CIS Google Cloud-Computing-Benchmark von Benchmarks 1.1.0, CIS Google Cloud-Computing beschrieben werden. Foundations v1.0.0, Payment Card Industry Data Security Standard (PCI-DSS) v3.2.1 und mehr. Security Health Analytics kann auf Verstöße gegen die Compliance-Richtlinien basierende Best-Practice-Zuordnung prüfen, die von Google bereitgestellt wurde. Sie ist kein Ersatz für eine Compliance-Prüfung, kann aber dazu beitragen, Ihre kontinuierliche Compliance aufrechtzuerhalten und Verstöße frühzeitig zu erkennen.

Das Compliance-Dashboard zeigt die Anzahl der Prüfungen für jeden Standard, der sich im Status "Warnung" und "Bestanden" befindet:

  • Status "Warnung": Mit dieser Prüfung sind ein oder mehrere aktive Ergebnisse (Verstöße) verknüpft.
  • Status "Weitergeben": Es liegen keine erkannten Verstöße für die Prüfung vor.

Sie können das Compliance-Dashboard nach Projekt filtern und Berichte bestimmter CIS- und PCI-Ergebnisse anzeigen oder exportieren. Diese Berichte basieren auf Ergebnissen der Security Health Analytics und werden in den Tab "Sicherheitslücken" geladen.

Compliance-Berichte exportieren

Sie können CSV-Berichte exportieren, in denen Ergebnisse zu Verstößen für eine bestimmte Compliance-Benchmark zusammengefasst werden. So erstellen Sie einen Bericht:

  1. Wechseln Sie in der Cloud Console zum Tab Compliance des Security Command Center.
    Zum Tab "Compliance"
  2. Klicken Sie neben dem Bericht, den Sie herunterladen möchten, auf Exportieren.
  3. Konfigurieren Sie den Export auf der Seite Exportieren :
    1. Wählen Sie den Benchmark-Bericht aus, den Sie herunterladen möchten.
    2. Wählen Sie Datum und Uhrzeit des Berichts-Snapshots aus.
    3. Filtern Sie optional den Export nach Projekt.
  4. Wenn Sie mit der Konfiguration des Exports fertig sind, klicken Sie auf Exportieren und wählen den Speicherort aus, an dem Sie den CSV-Bericht speichern möchten.

Compliance-Exportberichte umfassen:

  • Projekte im Bereich
  • Datum des Berichts
  • Ergebnisse im Rahmen des Berichts
  • Anzahl der gescannten Ressourcen
  • Die Anzahl der Ressourcen, die gegen die spezifische Richtlinie verstoßen

Weitere Informationen zu den Ergebnissen von Security Health Analytics und der Zuordnung zwischen unterstützten Detektoren und Compliancestandards finden Sie unter Ergebnisse der Sicherheitslücken.

Assets

Auf dem Tab Assets finden Sie eine detaillierte Anzeige aller Google Cloud-Ressourcen, Assets genannt, in Ihrer Organisation. Auf dem Tab "Assets" können Sie Assets für Ihre gesamte Organisation anzeigen oder diese nach Projekt, Assettyp oder Änderungstyp filtern. Wenn Sie Details zu einem bestimmten Asset aufrufen möchten, beispielsweise dessen Attribute, Ressourceneigenschaften und zugehörigen Ergebnisse, klicken Sie in der Spalte resourceProperties.name auf den Namen des Assets.

Assets werden zweimal täglich automatisch gescannt. Sie können den Asset-Scan auch manuell starten, indem Sie auf dem Tab "Assets" auf Noch einmal suchen klicken. Der Wert updateTime kann für die Ergebnisse innerhalb eines automatischen oder manuellen Scans variieren. Die Abweichung beträgt normalerweise weniger als 10 Minuten.

Die Aktualität des Asset-Inventars hängt von der Erkennung und Indexierung der Asset-Quelle ab:

  • Bei bereits vorhandenen Assets beträgt die Aktualität normalerweise unter 1 Minute.
  • Assets, die bei einem täglichen oder manuellen Scan nicht erkannt und indexiert wurden, werden im Asset-Inventar angezeigt, sobald das Asset, mit dem sie verknüpft sind, erkannt und indexiert wurde.

Assets-Tab verwenden

Der Tab "Assets" bietet integrierte und anpassbare Filter, mit denen Sie eine gefilterte Asset-Liste aufrufen können.

Assets nach Projekt aufrufen

Assets werden standardmäßig in der Organisations- und Projekthierarchie angezeigt. Um Assets anzuzeigen, die einer bestimmten Ressource zugeordnet sind, wählen Sie neben Anzeigen nach die Option Projekt aus. Wählen Sie dann die Organisation oder das Projekt aus, das Sie prüfen möchten.

Anzeige nach Asset-Typ

Klicken Sie im Assets-Tab auf Asset-Typ, um Ihre Assets nach Ressourcentyp gruppiert anzuzeigen. Assets werden nun in Kategorien wie Anwendung, Bucket, Projekt und Dienst angezeigt. Die folgenden Asset-Typen werden derzeit unterstützt:

  • Resource Manager
    • Organisation
    • Projekt
  • App Engine
    • Anwendung
    • Dienst
    • Version
  • Compute Engine
    • Adresse
    • Autoscaler
    • BackendBucket
    • BackendService
    • BillingAccount
    • Disk
    • Firewalls
    • ForwardingRule
    • GlobalAdress
    • HealthCheck
    • HttpHealthCheck
    • HttpsHealthCheck
    • Bild
    • Instanz
    • InstanceGroup
    • InstanceGroupManager
    • InstanceTemplate
    • Interconnect-Anhang
    • Lizenz
    • Netzwerk
    • Netzwerkendpunktgruppen
    • Region-Back-End-Dienst
    • Regionales Laufwerk
    • Ressourcenrichtlinie
    • Route
    • SecurityPolicy
    • Snapshot
    • SslCertificate
    • Subnetzwerk
    • TargetHttpProxy
    • TargetHttpsProxy
    • TargetInstance
    • TargetSslProxy
    • TargetTcpProxy
    • TargetPool
    • TargetVpnGateway
    • UrlMap
    • VPN-Gateway
    • VpnTunnel
  • Cloud DNS
    • ManagedZone
    • Policy
  • IAM
    • ServiceAccount
    • Dienstkontoschlüssel
  • Cloud Spanner
    • Database
    • Instanz
  • Cloud Storage
    • Bucket
  • Google Kubernetes Engine
    • Cluster
  • Container Registry
    • Bild
  • Cloud Logging
    • LogMetric
  • BigQuery
    • Dataset
  • Cloud Key Management Service
    • CryptoKey
    • CryptoKeyVersion
    • ImportJob
    • KeyRing
  • Dataproc
    • Cluster
  • Dataflow
    • Job
  • Cloud SQL
    • Instanz

Wählen Sie in der Liste Asset-Typ den zu prüfenden Asset-Typ aus, um einzelne Ressourcen für einen bestimmten Asset-Typ anzeigen zu lassen. Um Details zu einem bestimmten Asset anzuzeigen, klicken Sie auf den Namen des Assets. Wenn Sie alle Google Cloud-Projekte in Ihrer Organisation aufrufen möchten, filtern Sie die Assetliste mit securityCenterProperties.resourceType:resourcemanager.Project.

Die Anzeige nach Asset wurde geändert

Auf dem Tab "Assets" werden unter Assets geändert alle Assets angezeigt, die im ausgewählten Zeitraum aktiv waren. Alle Assets, die in diesem Zeitraum hinzugefügt wurden, werden in der Kategorie Hinzugefügt zusammengefasst. Falls Sie den Zeitraum ändern möchten, für den Ergebnisse angezeigt werden, klicken Sie auf die Drop-down-Liste neben Assets geändert.

Hinweis: Tabellen auf dem Tab Assets können nicht sortiert werden. Sie können Filter anwenden, um Ergebnisse zu verfeinern oder Datensätze für bestimmte Assets zu finden.

Nach IAM-Richtlinie aufrufen

Auf dem Tab "Assets" werden IAM-Richtlinien für Assets in der Spalte iamPolicy.policy_blob angezeigt. Um die Spalte iamPolicy anzuzeigen, klicken Sie aufAnzeigeoptionen für Spalten und geben Sie dann iamPolicy ein.

Zum Aufrufen der IAM-Richtliniendetails für einen bestimmten Asset klicken Sie neben dem Asset auf Anzeigen. IAM-Richtlinien werden auch im Assetdetails-Feld angezeigt, wenn Sie in der Spalte resourceProperties.name auf den Assetnamen klicken.

Assets-Tab konfigurieren

Sie können für einige Elemente festlegen, ob sie im Assets-Tab angezeigt werden.

Spalten

Der Assets-Tab enthält standardmäßig folgende Spalten:

  • Asset-Name: resourceProperties.name
  • Ressourcenname: name
  • Asset-Typ: securityCenterProperties.resourceType
  • Assetinhaber: securityCenterProperties.resourceOwners
  • Zum Asset hinzugefügte Markierungen: securityMarks.marks

Sie können jede Spalte mit Ausnahme von resourceProperties.name ausblenden und weitere Spalten mit Asset-Details zur Anzeige auswählen:

  1. Klicken Sie auf Spaltenanzeigeoptionen, um die anzuzeigenden Asset-Spalten auszuwählen.
  2. Wählen Sie im angezeigten Menü die anzuzeigenden Spalten aus.
  3. Zum Ausblenden einer Spalte klicken Sie auf den Spaltennamen, um die Markierung neben dem Spaltennamen aufzuheben.

Klicken Sie zum Speichern der Spaltenauswahl auf Spalten merken. Ihre Spaltenauswahl gilt für alle Ansichten im Tab Assets. Wenn Sie Spalten auswählen, wird die URL der Cloud Console aktualisiert, sodass Sie den Link der benutzerdefinierten Ansicht teilen können.

Die Spaltenauswahl bleibt erhalten, wenn Sie das Dashboard das nächste Mal aufrufen oder die Organisation wechseln. Klicken Sie auf Spalten zurücksetzen, um alle benutzerseitig gewählten Spalten auszublenden.

Bereiche

Sie können folgende Optionen für den Bildschirmbereich des Assets-Tab ändern:

  • Klicken Sie auf den linken Pfeil, um die Seitenleiste Sicherheit der Cloud Console auszublenden.
  • Um die Größe der Asset-Anzeigespalten anzupassen, ziehen Sie die Trennlinie nach links oder rechts.
  • Um die Seitenleiste Asset auswählen auszublenden, klicken Sie auf Infofeld ausblenden.

Klicken Sie zum Ändern von Datum und Uhrzeit für die anzuzeigenden Ergebnisse auf das Dropdown-Menü für Datum und Uhrzeit. Wählen Sie dann das gewünschte Datum und die Uhrzeit aus.

Assets sortieren

Zum Sortieren von Assets klicken Sie auf die Spaltenüberschrift für den Wert, nach dem Sie sortieren möchten. Spalten sind nach numerischen Werten und dann in alphabetischer Reihenfolge sortiert.

Ergebnisse

Auf dem Tab Ergebnisse wird ein detailliertes Ergebnisinventar für alle Assets in Ihrer Organisation angezeigt. Mithilfe der Ergebnisanzeige können Sie potenzielle Sicherheitsrisiken für Ihre Organisation ansehen.

Die Aktualität des Inventars wird durch das Auffinden von Quellen bestimmt:

  • Das Ergebnis im Security Command Center-Dashboard wird in der Regel weniger als eine Minute nach der Erfassung der Ergebnisquelle ermittelt.
  • Assets, die bei einem automatischen oder manuellen Scan nicht gefunden und indexiert wurden, werden normalerweise innerhalb einer Minute nach der Erfassung im Ergebnisinventar angezeigt.

Im Tab "Ergebnisse" werden standardmäßig nur aktive Ergebnisse angezeigt. Sie können die Anzeige inaktiver Ergebnisse aktivieren oder deaktivieren. Betätigen Sie dazu die Schaltfläche neben Nur aktive Ergebnisse anzeigen.

Klicken Sie auf ein Ergebnis, um sich Details zu einem bestimmten Befund anzeigen zu lassen. Der Bereich mit den Ergebnisdetails enthält Attribute wie das betroffene Asset und die Uhrzeit des Ereignisses. Einige Ergebnistypen enthalten weitere Attribute. Zum Beispiel kann ein Kryptomining-Ereignis folgende Werte enthalten:

  • abuse_target_ips: IP-Adresse des Mining-Pools.
  • urls: URL des Mining-Pools.
  • vm_host_and_names: VMs, für die Cryptomining festgestellt wurde.
  • vm_ips: IP-Adressen der betroffenen VMs.

Aufbewahrung von Ergebnissen

Die Ergebnisse enthalten eine Reihe von event_time-Snapshots, die den Status und die Attribute des Ergebnisses jedes Mal erfassen, wenn die zugehörige Sicherheitslücke oder Bedrohung bei Scans erkannt wird.

Das Security Command Center speichert 13 Monate lang Snapshots nach ihrem event_time oder der Uhrzeit des Ereignisses. Nach 13 Monaten werden die Snapshots und ihre Daten aus der Security Command Center-Datenbank gelöscht und können nicht wiederhergestellt werden. Dies führt zu weniger Snapshots bei der Suche und begrenzt die Möglichkeit, den Verlauf eines Ergebnisses anzuzeigen und wie er sich im Laufe der Zeit verändert.

Das Ergebnis ist im Security Command Center, solange es mindestens einen Snapshot mit einem event_time enthält, der mehr als 13 Monate zurückliegt. Wenn Sie die Ergebnisse und alle zugehörigen Daten über einen längeren Zeitraum speichern möchten, exportieren Sie sie in einen anderen Speicherort. Eine Anleitung finden Sie unter Security Command Center-Daten exportieren.

Anzeigen nach Ergebniskategorie

Standardmäßig werden Ergebnisse nach bestimmten Kategorien wie Cross-Site-Scripting (XSS) und Probleme mit Kreditkartennummern oder Telefonnummern angezeigt. Wenn Sie beim Erstellen von Ergebnissen das Feld "Kategorie" leer lassen, wird in der Ergebnisanzeige keine Kategorie angezeigt.

  • Wenn Sie Details zu einer bestimmten Risikoart aufrufen möchten, wählen Sie neben Anzeigen nach die Option Kategorie aus. Wählen Sie dann die Art des Risikos aus, das Sie prüfen möchten.
  • Wenn Sie Details zu einem bestimmten Ergebnis ansehen möchten, klicken Sie in der Tabelle auf das Ergebnis unter category.

Verwenden Sie die Drop-down-Liste „Zeit“ über der Tabelle, um die Ergebnisse nach Kategorie an einem bestimmten Datum anzusehen.

Anzeige nach Art der Quelle

Eine Ergebnisquelle ist ein beliebiger Anbieter von Ergebnissen wie Web Security Scanner oder Cloud DLP. Zu diesen Quellen gehören:

  • Scanner, die zu bestimmten Zeiten Ergebnis-Snapshots liefern.
  • Überwachungsdienste, die einen Ereignisstrom mit Ergebnissen bereitstellen.
  • Log-Dienste, die einen Ereignisverlauf ausgeben.

So können Sie Ergebnisse nach Quelle anzeigen:

  • Klicken Sie im Tab Ergebnisse auf Quelltyp, um die Anzahl der Ergebnisse nach Art der Quelle anzuzeigen. Eine Liste mit gruppierten Ergebnissen.
  • Wählen Sie zum Anzeigen einzelner Ergebnisse für einen bestimmten Quelltyp die Quelle aus, die Sie in der gruppierten Ergebnisliste prüfen möchten. In der Tabelle werden Ergebnisse für den ausgewählten Quelltyp angezeigt.
  • Klicken Sie unter category auf ein Ergebnis, um detaillierte Informationen dazu anzuzeigen.

Verwenden Sie die Drop-down-Liste „Zeit“ über der Tabelle, um die Ergebnisse nach Kategorie an einem bestimmten Datum anzusehen.

Anzeige von Ergebnissen wurde geändert

Klicken Sie im Tab Ergebnisse auf Ergebnisse wurden geändert, um neue und aktive Ergebnisse anzuzeigen. Um inaktive Ergebnisse zu berücksichtigen, deaktivieren Sie die Option Nur aktive Ergebnisse anzeigen.

Alle Ergebnisse werden in folgenden Untergruppen angezeigt:

  • Aktiv (geändert): Die Ergebnisse waren aktiv und Eigenschaften wurden im ausgewählten Zeitraum geändert.
  • Aktiv (keine Änderung): Ergebnisse, die im ausgewählten Zeitraum aktiv waren und deren Eigenschaften keine Änderung zeigen.
  • Inaktiv (geändert): Ergebnisse, die im ausgewählten Zeitraum auf "inaktiv" gesetzt wurden. Dieser Wert ist immer 0, wenn Nur aktive Ergebnisse anzeigen deaktiviert ist, auch wenn entsprechende Ergebnisse vorliegen.
  • Inaktiv (keine Änderung): Ergebnisse, die inaktiv sind und während des ausgewählten Zeitraums ihre Attribute geändert haben. Dieser Wert ist immer 0, wenn Nur aktive Ergebnisse anzeigen deaktiviert ist, auch wenn inaktive ungeänderte Ergebnisse vorliegen.
  • Neu: Ergebnisse, die während des ausgewählten Zeitraums neu erfasst wurden.

Der Tab „Ergebnisse“ wird für einen bestimmten Zeitraum angezeigt. Es stehen Optionen zwischen 1 Stunde und „Gesamte Zeit“ zur Verfügung. Über die Drop-down-Liste über der Tabelle können Sie einen Zeitraum festlegen, für den Ergebnisse angezeigt werden sollen.

Anzeige nach Schweregrad des Ergebnisses

Wenn Sie die Ergebnisse nach Schweregrad aufrufen, werden die Ergebnisse in die folgenden Kategorien eingeteilt:

  • Kritisch:
    • Eine kritische Sicherheitslücke ist leicht zu erkennen und kann genutzt werden, um beliebigen Code auszuführen, Daten auszufiltern oder anderweitig Zugriff auf oder Privilegien in Cloud-Ressourcen und -Workflows zu erhalten. Beispiele hierfür sind öffentlich zugängliche Nutzerdaten und öffentliche SSH-Zugänge, die schwache oder keine Passwörter nutzen.
    • Eine kritische Bedrohung kann auf Daten zugreifen, sie ändern oder löschen und nicht autorisierten Code in vorhandenen Ressourcen ausführen.
  • Hoch:
    • Sicherheitslücken mit hohem Risiko können leicht entdeckt und mit anderen Sicherheitslücken genutzt werden, um beliebigen Code auszuführen, Daten auszufiltern oder anderweitig Zugriff auf oder Privilegien in Cloud-Ressourcen und -Workflows zu erhalten. Beispiele sind Datenbanken mit schwachen oder ohne Passwörter, auf die nur intern zugegriffen werden kann und die von Akteuren mit Zugriff auf das interne Netzwerk manipuliert werden können.
    • Eine Bedrohung mit hohem Risiko kann Rechenressourcen in einer Umgebung erstellen, aber weder auf Daten zugreifen noch Code in vorhandenen Ressourcen ausführen.
  • Mittel:
    • Eine Sicherheitslücke mit mittlerem Risiko kann von Akteuren verwendet werden, um Zugriff auf Ressourcen oder Berechtigungen zu erlangen, womit letztlich der Zugriff und die Option zum Auslesen von Daten oder zur Ausführung beliebigen Codes erreicht werden soll. Beispiel: Wenn ein Dienstkonto unnötigen Zugriff auf Projekte hat und ein Akteur Zugriff auf das Dienstkonto erhält, kann der Akteur dieses Dienstkonto zur Manipulation eines Projekts verwenden.
    • Eine Bedrohung mit mittlerem Risiko kann Auswirkungen auf die Organisations haben, aber weder auf Daten zugreifen noch nicht autorisierten Code ausführen.
  • Niedrig:
    • Eine Sicherheitslücke niedrigen Schweregrades beeinträchtigt die Fähigkeit von Sicherheitsorganisationen, Sicherheitslücken oder aktive Bedrohungen bei deren Einführung zu erkennen, oder verhindert die Untersuchung der Ursachen von Sicherheitsproblemen. Beispiel: Monitoring und Protokollierung werden für Ressourcenkonfigurationen und Zugriff deaktiviert.
    • Bedrohungen mit geringem Risiko haben minimalen Zugriff auf Umgebungen, können aber weder auf Daten zugreifen, noch Code ausführen oder Ressourcen erstellen.
  • Unspezifisch: Die Angabe des Risikoniveaus ist unspezifisch, wenn Suchanbieter keine Schweregradwerte für Ergebnisse festlegen.

Sie können Sie Ergebnisse nach Schweregrad filtern:

  • Klicken Sie im Tab Ergebnisse auf Schweregrad, um Ergebnisse nach Schweregrad sortiert anzuzeigen.
  • Wählen Sie unter Schweregrad ermitteln einen Schweregrad aus, falls Sie Ergebnisse für einen bestimmten Schweregrad aufrufen möchten.
  • Klicken Sie unter category auf ein Ergebnis, um detaillierte Informationen dazu anzuzeigen.

Verwenden Sie die Drop-down-Liste „Zeit“ über der Tabelle, um die Ergebnisse nach Kategorie an einem bestimmten Datum anzusehen.

Ergebnisse verwalten

Verwalten Sie Sicherheitsmarkierungen für Ergebnisse oder ändern Sie den Ergebnisstatus mithilfe des Tabellenmenüs im Security Command Center-Dashboard.

Sicherheitsmarkierungen verwalten

So fügen Sie Sicherheitsmarkierungen zu Ergebnissen hinzu:

  1. Klicken Sie in der Tabelle die Kästchen neben category-Namen für ein oder mehrere Ergebnisse an.
  2. Wählen Sie Sicherheitsmarkierungen setzen aus.
  3. Klicken Sie im Dialogfeld Sicherheitsmarkierungen auf Markierung hinzufügen.
  4. Identifizieren Sie die gefundenen Kategorien durch das Hinzufügen von Schlüssel- und Wert-Elementen.

    Beispiel: Wenn Sie Ergebnisse markieren möchten, die Teil desselben Vorfalls sind, fügen Sie den Schlüssel "incident-number" und den Wert "1234" hinzu. Die neue Sicherheitsmarkierung wird in der Form mark.incident-number: 1234 an die Ergebnisse angehängt.

  5. Wenn Sie eine vorhandene Markierung bearbeiten möchten, aktualisieren Sie den Text im Feld Wert.

  6. Klicken Sie auf das Papierkorbsymbol neben der Markierung, um Markierungen zu löschen.

  7. Wenn Sie alle Markierungen hinzugefügt haben, klicken Sie auf Speichern.

Ergebnisstatus verwalten

Ändern Sie den Ergebnisstatus mithilfe des Tabellenmenüs im Security Command Center-Dashboard in „Aktiv“ oder „Inaktiv“:

  1. Klicken Sie in der Tabelle neben den category-Namen auf die Kästchen für ein oder mehrere Ergebnisse.
  2. Wählen Sie Aktiven Status ändern und dann in der Drop-down-Liste Aktiv oder Inaktiv aus. Wenn die ausgewählten Ergebnisse aktive und inaktive Elemente umfassen, wird als Status Gemischt angezeigt, bis Sie einen neuen Status wählen.

Ergebnisanzeige konfigurieren

Sie können festlegen, welche Elemente im Tab "Ergebnisse" angezeigt werden.

Spalten

Im Tab "Ergebnisse" werden standardmäßig folgende Spalten angezeigt:

  • Ergebnistyp: category
  • Geräte-ID: resourceName
  • Zeit der letzten Erfassung: eventTime
  • Zeit, zu der das Ergebnis zum ersten Mal erfasst wurde: createTime
  • Quelle des Befundes: parent
  • Dem Ergebnis hinzugefügte Markierungen: securityMarks.marks

Sie können jede Spalte mit Ausnahme von category ausblenden und weitere anzuzeigende Detailspalten für die Ergebnisse auswählen.

  1. Klicken Sie auf das Symbol Spaltenanzeigeoptionen, um die Ergebnisspalten auszuwählen, die Sie über der Tabelle anzeigen lassen möchten.
  2. Wählen Sie im angezeigten Menü die anzuzeigenden Spalten aus.
  3. Klicken Sie auf den Spaltennamen, um eine Spalte auszublenden.

Klicken Sie zum Speichern der Spaltenauswahl auf Spalten merken. Ihre Spaltenauswahl gilt für alle Ansichten im Tab Ergebnisse. Wenn Sie Spalten auswählen, wird die URL der Cloud Console aktualisiert, sodass Sie den Link der benutzerdefinierten Ansicht teilen können.

Die Spaltenauswahl bleibt erhalten, wenn Sie das Dashboard das nächste Mal aufrufen oder die Organisation wechseln. Klicken Sie auf Spalten zurücksetzen, um alle benutzerseitig gewählten Spalten auszublenden.

Bereiche

Um den Bildschirmbereich für Ergebnisse anzupassen, bearbeiten Sie folgende Optionen:

  • Um die Seitenleiste Sicherheit der Cloud Console auszublenden, klicken Sie auf den linken Pfeil.
  • Um die Größe der Anzeigespalten anzupassen, ziehen Sie die Trennlinie nach links oder rechts.

Quellen

Der Tab Quellen enthält Karten mit einer Zusammenfassung der Assets und Ergebnisse der aktivierten Sicherheitsquellen. Auf der Karte für jede Sicherheitsquelle werden einige Ergebnisse aus dieser Quelle angezeigt. Sie können auf den Namen der Ergebniskategorie klicken, um alle Ergebnisse in dieser Kategorie anzuzeigen.

Assets: Zusammenfassung

Auf der Karte Asset-Zusammenfassung wird die Anzahl der einzelnen Asset-Typen in Ihrer Organisation beim letzten Scan angezeigt. Die Anzeige enthält neue und gelöschte Assets sowie die Gesamtzahl der Assets für den von Ihnen angegebenen Zeitraum. Sie können die Zusammenfassung als Tabelle oder als grafisches Diagramm anzeigen.

  • Wenn Sie die Zusammenfassung für einen der aktuellsten Zeiträume aufrufen möchten, wählen Sie eine Zeit aus der Drop-down-Liste auf der Karte Asset-Zusammenfassung aus.
  • Klicken Sie zum Anzeigen der Baumhierarchie Ihrer Organisation auf einen Asset-Typ oder auf Alle Assets anzeigen unten auf der Karte, um zum Tab Assets zu wechseln.
  • Wähle Sie den Tab Assets aus und klicke dann auf einen Asset-Namen, um Details zu einem einzelnen Asset anzuzeigen.

Zusammenfassung der Ergebnisse

Auf der Karte Zusammenfassung der Ergebnisse wird die Anzahl der Ergebnisse pro durch Ihre Sicherheitsquellen zur Verfügung gestellten Kategorie angezeigt.

  • Klicken Sie auf den Namen der Quelle, um Details zu Ergebnissen einer bestimmten Quelle anzuzeigen.
  • Um Details zu allen Ergebnisse anzuzeigen, klicken Sie auf den Tab Ergebnisse. Dort können Sie Ergebnisse gruppieren oder Details zu einem einzelnen Ergebnis anzeigen.

Zusammenfassungen der Quellen

Unterhalb der Karte Zusammenfassung der Ergebnisse werden die Karten für alle eingebundenen und integrierten Quellen sowie Drittanbieterquellen angezeigt, die Sie aktiviert haben. Jede Karte zeigt die Anzahl der aktiven Ergebnisse für diese Quelle.

Erkunden

Auf dem Tab Erkunden werden zusätzliche Funktionen von Security Command Center und Dienste vorgestellt, die in Security Command Center eingebunden werden können.

Security Command Center-Abfragen

In diesem Abschnitt wird beschrieben, wie Sie allgemeine Abfragen ausführen, um Ressourcen per Security Command Center zu prüfen.

Sie können diese Filter nur im Dashboard des Security Command Center auswählen, wenn Ihre Organisation den entsprechenden Ressourcentyp hat. Wenn Sie die Fehlermeldung "Einen der vorgeschlagenen Schlüssel auswählen" erhalten, hat Ihre Organisation den relevanten Ressourcentyp möglicherweise nicht.

Verwenden Sie für Abfragen das Textfeld Filtern nach auf dem Tab Assets. Im Folgenden sind einige häufige Abfragen aufgeführt, die für Sie nützlich sein könnten:

Abfragetyp Filtern nach
Ressourcen finden, die öffentlich zugänglich sind iamPolicy.policyBlob:allUsers ODER iamPolicy.policyBlob:allAuthenticatedUsers
Nach Firewallregeln mit geöffnetem SSH-Port 22 ab einem beliebigen Netzwerk suchen resourceProperties.allowed:22 ODER resourceProperties.sourceRange:0.0.0.0/0
VMs mit öffentlichen IP-Adressen suchen resourceProperties.networkInterface:externalIP
Ressourceninhaber außerhalb Ihrer Organisation suchen -securityCenterProperties.resourceOwners:@your-domain
VMs finden und deren Betriebssystemstatus überwachen resourceProperties.disk:licenses
Buckets suchen, bei denen bucketPolicyOnly deaktiviert ist resourceProperties.iamConfiguration:"\"bucketPolicyOnly\"\:{\"enabled\"\:false"

Weitere Informationen zum Filtern von Assets

Nächste Schritte