Security Command Center – Übersicht

Diese Seite bietet einen Überblick über Security Command Center, eine Risikomanagementlösung, die zusammen mit der Enterprise-Stufe Cloud- und Unternehmenssicherheitsvorgänge kombiniert und Einblicke in die Expertise von Mandiant und die künstliche Intelligenz von Gemini bietet.

Security Command Center ermöglicht Security Operations Center-Analysten, Analysten für Sicherheitslücken und Sicherheitsstatus, Compliance-Manager und andere Sicherheitsexperten, Sicherheitsprobleme in mehreren Cloud-Umgebungen schnell zu bewerten, zu untersuchen und auf sie zu reagieren.

Jede Cloud-Bereitstellung birgt besondere Risiken. Mit Security Command Center können Sie die Angriffsfläche Ihrer Projekte oder Organisation in Google Cloud sowie die Angriffsfläche Ihrer anderen Cloud-Umgebungen besser verstehen und bewerten. Security Command Center ist zum Schutz Ihrer Ressourcen korrekt konfiguriert und unterstützt Sie dabei, die in Ihren Cloud-Umgebungen erkannten Sicherheitslücken und Bedrohungen zu erkennen und deren Behebung zu priorisieren.

Security Command Center ist in viele Google Cloud-Dienste eingebunden, um Sicherheitsprobleme in mehreren Cloud-Umgebungen zu erkennen. Diese Dienste erkennen Probleme auf verschiedene Weise, z. B. durch Scannen von Ressourcenmetadaten, Cloudlogs, Scannen von Containern und virtuellen Maschinen.

Einige dieser integrierten Dienste wie Chronicle Security Operations und Mandiant bieten auch Funktionen und Informationen, die für die Priorisierung und Verwaltung Ihrer Untersuchungen und die Reaktion auf erkannte Probleme von entscheidender Bedeutung sind.

Bedrohungen verwalten

Security Command Center nutzt sowohl integrierte als auch integrierte Google Cloud-Dienste, um Bedrohungen zu erkennen. Diese Dienste scannen Ihre Google Cloud-Logs, Container und virtuellen Maschinen auf Bedrohungsindikatoren.

Wenn einige dieser Dienste wie Event Threat Detection oder Container Threat Detection einen Bedrohungsindikator erkennen, geben sie ein Ergebnis aus. Ein Ergebnis ist ein Bericht oder eine Aufzeichnung einer einzelnen Bedrohung oder eines anderen Problems, das ein Dienst in Ihrer Cloud-Umgebung gefunden hat. Die Dienste, die Ergebnisse ausgeben, werden auch als Ergebnis-Quellen bezeichnet.

Ergebnisse lösen Benachrichtigungen aus, die je nach Schweregrad des Ergebnisses einen Fall generieren können. Sie können einen Fall mit einem Ticketing-System verwenden, um Inhaber der Prüfung einer oder mehrerer Benachrichtigungen zuzuweisen und darauf zu reagieren. Das Generieren von Benachrichtigungen und Fällen in Security Command Center wird von Chronicle SecOps unterstützt.

Security Command Center kann Bedrohungen in mehreren Cloud-Umgebungen erkennen. Security Command Center nimmt die Logs des anderen Anbieters auf, nachdem Sie eine Verbindung hergestellt haben, um Bedrohungen auf anderen Cloud-Plattformen zu erkennen. Die Logaufnahme wird von Chronicle SecOps unterstützt.

Weitere Informationen finden Sie auf den folgenden Seiten:

Funktionen für die Bedrohungserkennung und -abwehr

Mit Security Command Center können SOC-Analysten die folgenden Sicherheitsziele erreichen:

  • Erkennen Sie Ereignisse in Ihren Cloud-Umgebungen, die auf eine potenzielle Bedrohung hinweisen, und prüfen Sie die zugehörigen Ergebnisse oder Benachrichtigungen.
  • Weisen Sie Inhaber zu und verfolgen Sie den Fortschritt von Prüfungen und Antworten über einen integrierten Fallworkflow. Optional kannst du deine bevorzugten Ticketsysteme wie Jira oder ServiceNow einbinden.
  • Mit leistungsfähigen Such- und Querverweisfunktionen können Sie die Bedrohungswarnungen untersuchen.
  • Definieren Sie Workflows für Reaktionen und automatisieren Sie Aktionen, um auf potenzielle Angriffe auf Ihre Cloud-Umgebungen zu reagieren. Weitere Informationen zum Definieren von Reaktionsworkflows und automatisierten Aktionen mit Playbooks, die von Chronicle SecOps unterstützt werden, finden Sie unter Mit Playbooks arbeiten.
  • Ergebnisse oder Benachrichtigungen ausblenden oder ausschließen, die falsch-positive Ergebnisse sind.
  • Konzentrieren Sie sich auf Bedrohungen im Zusammenhang mit gehackten Identitäten und Zugriffsberechtigungen.
  • Mit Security Command Center können Sie potenzielle Bedrohungen in anderen Cloud-Umgebungen wie AWS erkennen, untersuchen und darauf reagieren.

Sicherheitslücken verwalten

Security Command Center bietet umfassende Funktionen zur Erkennung von Sicherheitslücken. Dabei werden verschiedene Google Cloud-Dienste genutzt, um die Ressourcen in Ihrer Umgebung automatisch auf Sicherheitslücken in der Software, Fehlkonfigurationen und andere Arten von Sicherheitslücken zu scannen, die Sie einem Angriff aussetzen könnten. Zusammen werden diese Probleme als Sicherheitslücken bezeichnet.

Security Command Center nutzt sowohl integrierte als auch integrierte Google Cloud-Dienste, um Sicherheitsprobleme zu erkennen. Die Dienste, die Ergebnisse ausgeben, werden auch als Quellen bezeichnet. Wenn ein Dienst ein Problem erkennt, stellt er ein Ergebnis aus, um das Problem zu dokumentieren.

Standardmäßig werden Supportanfragen automatisch für Ergebnisse von Sicherheitslücken mit hohem und kritischem Schweregrad geöffnet, damit Sie die Behebung von Sicherheitslücken priorisieren können. Sie können Inhaber zuweisen und den Fortschritt von Korrekturmaßnahmen mit einem Fall verfolgen.

Weitere Informationen:

Sicherheitslücken in der Software

Damit Sie Sicherheitslücken in Software identifizieren, verstehen und priorisieren können, kann Security Command Center die virtuellen Maschinen (VMs) und Container in Ihren Cloud-Umgebungen auf Sicherheitslücken bewerten. Für jede erkannte Sicherheitslücke bietet Security Command Center detaillierte Informationen in einem Ergebniseintrag oder Ergebnis. Die mit einem Ergebnis bereitgestellten Informationen können Folgendes umfassen:

  • Details zur betroffenen Ressource
  • Informationen zu allen zugehörigen CVE-Einträgen, einschließlich einer Bewertung von Mandiant bezüglich der Auswirkungen und der Ausnutzbarkeit des CVE-Elements
  • Eine Angriffsbewertung, die Ihnen hilft, die Schadensbehebung zu priorisieren
  • Eine visuelle Darstellung des Wegs, den ein Angreifer zu den hochwertigen Ressourcen nehmen könnte, die von der Sicherheitslücke gefährdet sind

Fehlkonfigurationen

Security Command Center ordnet die Detektoren der Dienste, die nach Fehlkonfigurationen suchen, den Einstellungen der gängigen Branchenstandards zu. Die Zuordnung zeigt Ihnen nicht nur die Compliancestandards, gegen die eine Fehlkonfiguration verstößt, sondern Sie können auch ein Maß für Ihre Einhaltung der verschiedenen Standards sehen, das Sie dann als Bericht exportieren können.

Weitere Informationen finden Sie unter Compliance bewerten und melden.

Verstöße gegen Sicherheitsstatus

Die Premium- und Enterprise-Stufe von Security Command Center umfasst den Dienst für den Sicherheitsstatus. Dieser gibt Ergebnisse aus, wenn Ihre Cloud-Ressourcen gegen die Richtlinien verstoßen, die in den Sicherheitsstatus definiert sind, die Sie in Ihrer Cloud-Umgebung bereitgestellt haben.

Weitere Informationen finden Sie unter Dienst für den Sicherheitsstatus.

Infrastruktur als Code validieren

Sie können prüfen, ob Ihre IaC-Dateien (Infrastructure as Code) den Richtlinien entsprechen, die Sie in Ihrer Google Cloud-Organisation definieren, einschließlich der Richtlinien, die Sie in Ihrem Sicherheitsstatus definieren. Mit diesem Feature können Sie dafür sorgen, dass Sie keine Ressourcen bereitstellen, die gegen die Standards Ihrer Organisation verstoßen. Nachdem Sie Ihre Organisationsrichtlinien definiert und gegebenenfalls den Dienst Security Health Analytics aktiviert haben, können Sie Ihre Terraform-Plandatei mit der Google Cloud CLI validieren oder den Validierungsprozess in Ihren Jenkins- oder GitHub Actions-Entwicklerworkflow einbinden. Weitere Informationen finden Sie unter IaC anhand der Richtlinien Ihrer Organisation validieren.

Sicherheitslücken und Fehlkonfigurationen auf anderen Cloud-Plattformen erkennen

Security Command Center Enterprise kann Sicherheitslücken in mehreren Cloud-Umgebungen erkennen. Damit Sie Sicherheitslücken bei anderen Cloud-Dienstanbietern erkennen können, müssen Sie zuerst eine Verbindung zum Anbieter herstellen, um Ressourcenmetadaten aufzunehmen.

Weitere Informationen finden Sie unter Zur Erkennung von Sicherheitslücken und Risikobewertung mit AWS verbinden.

Features zum Verwalten von Sicherheitslücken und Sicherheitsstatus

Mit Security Command Center können Sicherheitslückenanalysten, Sicherheitsadministratoren und ähnliche Sicherheitsexperten die folgenden Sicherheitsziele erreichen:

  • Erkennen Sie unterschiedliche Arten von Sicherheitslücken, einschließlich Sicherheitslücken in der Software, Fehlkonfigurationen und Richtlinienverstößen, durch die Ihre Cloud-Umgebungen potenziellen Angriffen ausgesetzt sind.
  • Konzentrieren Sie Ihre Reaktions- und Behebungsmaßnahmen auf die Probleme mit dem höchsten Risiko, indem Sie die Angriffsrisikobewertungen für die Ergebnisse und Benachrichtigungen für Sicherheitslücken verwenden.
  • Weisen Sie Inhaber zu und verfolgen Sie den Fortschritt der Behebung von Sicherheitslücken, indem Sie Supportanfragen verwenden und Ihre bevorzugten Ticketsysteme wie Jira oder ServiceNow einbinden.
  • Sichern Sie die hochwertigen Ressourcen in Ihren Cloud-Umgebungen proaktiv, indem Sie deren Angriffsrisikobewertungen senken.
  • Definieren Sie benutzerdefinierte Sicherheitsstatus für Ihre Cloud-Umgebungen, mit denen Security Command Center Ihren Sicherheitsstatus bewertet und Sie bei Verstößen benachrichtigt.
  • Ergebnisse oder Benachrichtigungen ausblenden oder ausschließen, die falsch-positive Ergebnisse sind.
  • Schwerpunkt auf Sicherheitslücken im Zusammenhang mit Identitäten und übermäßig vielen Berechtigungen.
  • Erkennen und verwalten Sie in Security Command Center Sicherheitslücken und Risikobewertungen für Ihre anderen Cloud-Umgebungen wie AWS.

Risiko anhand von Angriffsrisikowerten und Angriffspfaden bewerten

Durch Aktivierungen der Premium- und der Enterprise-Stufe auf Organisationsebene bietet Security Command Center Angriffsrisikobewertungen für hochwertige Ressourcen sowie die Ergebnisse von Sicherheitslücken und Fehlkonfigurationen, die sich auf die hochwertigen Ressourcen auswirken.

Sie können diese Bewertungen verwenden, um die Behebung von Sicherheitslücken und Fehlkonfigurationen zu priorisieren, die Sicherheit Ihrer gefährdeten hochwertigen Ressourcen zu priorisieren und allgemein einzuschätzen, wie gefährdet Ihre Cloud-Umgebungen für Angriffe sind.

Im Bereich Aktive Sicherheitslücken der Seite Risikoübersicht in der Google Cloud Console werden auf dem Tab Ergebnisse nach Angriffsbewertung die Ergebnisse mit der höchsten Angriffsrisikobewertung in Ihrer Umgebung sowie die Verteilung der Ergebniswerte angezeigt.

Weitere Informationen finden Sie unter Angriffsrisikobewertungen und Angriffspfade.

Ergebnisse und Benachrichtigungen mit Fällen verwalten

Security Command Center Enterprise erstellt Fälle, um Sie bei der Verwaltung von Ergebnissen und Benachrichtigungen, beim Zuweisen von Inhabern sowie beim Verwalten der Prüfungen und Antworten auf erkannte Sicherheitsprobleme zu unterstützen. Supportanfragen werden bei schwerwiegenden und kritischen Problemen automatisch geöffnet.

Sie können Fälle in Ihr bevorzugtes Ticketing-System wie Jira oder ServiceNow einbinden. Wenn Fälle aktualisiert werden, können alle offenen Tickets für den Fall automatisch aktualisiert werden. Ebenso kann bei der Aktualisierung eines Tickets auch der entsprechende Fall aktualisiert werden.

Die Case-Funktionalität wird von Chronicle SecOps unterstützt.

Weitere Informationen finden Sie in der Chronicle SecOps-Dokumentation in der Übersicht zu Supportanfragen.

Reaktionsworkflows und automatisierte Aktionen definieren

Definieren Sie Reaktionsworkflows und automatisieren Sie Aktionen, um die in Ihren Cloud-Umgebungen erkannten Sicherheitsprobleme zu untersuchen und darauf zu reagieren.

Weitere Informationen zum Definieren von Reaktionsworkflows und automatisierten Aktionen mit Playbooks, die von Chronicle SecOps unterstützt werden, finden Sie unter Mit Playbooks arbeiten.

Multi-Cloud-Support: Bereitstellungen auf anderen Cloud-Plattformen sichern

Sie können die Dienste und Funktionen von Security Command Center auf Ihre Bereitstellungen auf anderen Cloud-Plattformen erweitern. So können Sie alle Bedrohungen und Sicherheitslücken, die in Ihren Cloud-Umgebungen erkannt werden, an einem einzigen Ort verwalten.

Weitere Informationen zum Verbinden von Security Command Center mit einem anderen Cloud-Dienstanbieter finden Sie auf den folgenden Seiten:

Unterstützte Cloud-Dienstanbieter

Security Command Center kann eine Verbindung zu Amazon Web Services (AWS) herstellen.

Sicherheitsstatus definieren und verwalten

Mit der Aktivierung der Premium- und der Enterprise-Stufe von Security Command Center auf Organisationsebene können Sie Sicherheitsstatus erstellen und verwalten, die den erforderlichen Status Ihrer Cloud-Assets definieren, einschließlich Ihres Cloud-Netzwerks und Ihrer Cloud-Dienste, um für optimale Sicherheit in Ihrer Cloud-Umgebung zu sorgen. Sie können den Sicherheitsstatus an die Sicherheitsanforderungen und gesetzlichen Vorschriften Ihres Unternehmens anpassen. Durch das Definieren eines Sicherheitsstatus können Sie die Internetsicherheitsrisiken für Ihre Organisation minimieren und das Auftreten von Angriffen verhindern.

Mit dem Dienst für den Sicherheitsstatus von Security Command Center können Sie einen Sicherheitsstatus definieren und bereitstellen sowie Abweichungen oder nicht autorisierte Änderungen gegenüber dem definierten Sicherheitsstatus erkennen.

Der Dienst für den Sicherheitsstatus wird automatisch aktiviert, wenn Sie Security Command Center auf Organisationsebene aktivieren.

Weitere Informationen finden Sie unter Sicherheitsstatus – Übersicht.

Assets identifizieren

Security Command Center enthält Asset-Informationen aus Cloud Asset Inventory, das Assets in Ihrer Cloud-Umgebung kontinuierlich überwacht. Bei den meisten Assets werden Konfigurationsänderungen, einschließlich IAM- und Organisationsrichtlinien, nahezu in Echtzeit erkannt.

Auf der Seite Assets in der Google Cloud Console können Sie schnell Beispielabfragen für Assets anwenden, bearbeiten und ausführen, eine vordefinierte Zeitbeschränkung hinzufügen oder Ihre eigenen Asset-Abfragen schreiben.

Wenn Sie die Premium- oder Enterprise-Stufe von Security Command Center haben, können Sie sehen, welche Ihrer Assets als hochwertige Ressourcen für Risikobewertungen durch Angriffspfadsimulationen festgelegt sind.

Sie können schnell Änderungen in Ihrer Organisation oder Ihrem Projekt erkennen und Fragen wie die folgenden beantworten:

  • Wie viele Projekte haben Sie und wann wurden diese erstellt?
  • Welche Google Cloud-Ressourcen sind bereitgestellt oder in Verwendung, wie virtuelle Maschinen (VMs) der Compute Engine, Cloud Storage-Buckets oder App Engine-Instanzen?
  • Wie sieht der Bereitstellungsverlauf aus?
  • Informationen zum Organisieren, Annotieren, Suchen, Auswählen, Filtern und Sortieren der folgenden Kategorien:
    • Assets und Asset-Attribute
    • Sicherheitsmarkierungen, mit denen Sie Assets oder Ergebnisse in Security Command Center annotieren können
    • Zeitraum

Cloud Asset Inventory kennt immer den aktuellen Status der unterstützten Assets und bietet Ihnen in der Google Cloud Console die Möglichkeit, bisherige Discovery-Scans zu prüfen, um Assets zwischen bestimmten Zeitpunkten zu vergleichen. Sie können auch nach nicht ausgelasteten Assets wie virtuellen Maschinen oder inaktiven IP-Adressen suchen.

Gemini-Funktionen in Security Command Center

Security Command Center enthält Gemini zur Bereitstellung von Zusammenfassungen von Ergebnissen und Angriffspfaden sowie zur Unterstützung Ihrer Suche und Untersuchung erkannter Bedrohungen und Sicherheitslücken.

Informationen zu Gemini finden Sie in der Übersicht zu Gemini.

Gemini-Zusammenfassungen von Ergebnissen und Angriffspfaden

Wenn Sie Security Command Center Enterprise oder Premium verwenden, bietet Gemini dynamisch generierte Erklärungen zu jedem Ergebnis und zu jedem simulierten Angriffspfad, den Security Command Center für die Klassenergebnisse Vulnerability und Misconfiguration generiert.

Die Zusammenfassungen sind in natürlicher Sprache verfasst, damit Sie Ergebnisse und die entsprechenden Angriffspfade schnell verstehen und darauf reagieren können.

Die Zusammenfassungen werden an folgenden Stellen in der Google Cloud Console angezeigt:

  • Wenn Sie auf den Namen eines einzelnen Ergebnisses klicken, wird die Zusammenfassung oben auf der Detailseite des Ergebnisses angezeigt.
  • Auf der Premium- und der Enterprise-Stufe von Security Command Center können Sie, wenn ein Ergebnis eine Angriffsbewertung hat, die Zusammenfassung rechts neben dem Angriffspfad anzeigen lassen. Klicken Sie dazu auf die Angriffsbewertung und dann auf KI-Zusammenfassung.

Erforderliche IAM-Berechtigungen für KI-generierte Zusammenfassungen

Zum Ansehen der KI-Zusammenfassungen benötigen Sie die erforderlichen IAM-Berechtigungen.

Für Ergebnisse benötigen Sie die IAM-Berechtigung securitycenter.findingexplanations.get. Die vordefinierte IAM-Rolle mit der geringsten Berechtigung, die diese Berechtigung enthält, ist die Rolle Sicherheitscenter-Ergebnisbetrachter (roles/securitycenter.findingsViewer).

Für Angriffspfade benötigen Sie die IAM-Berechtigung securitycenter.exposurepathexplan.get. Die vordefinierte IAM-Rolle mit der geringsten Berechtigung, die diese Berechtigung enthält, ist die Rolle Leser von Angriffspfaden im Sicherheitscenter (roles/securitycenter.exposurePathsViewer).

Während der Vorabversion sind diese Berechtigungen in der Google Cloud Console nicht verfügbar, um sie benutzerdefinierten IAM-Rollen hinzuzufügen.

Sie können die Google Cloud CLI verwenden, um die Berechtigung einer benutzerdefinierten Rolle hinzuzufügen.

Informationen zum Hinzufügen von Berechtigungen zu einer benutzerdefinierten Rolle über die Google Cloud CLI finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten.

Natural Language Search für die Bedrohungsuntersuchung

Mithilfe von Abfragen in natürlicher Sprache und Gemini können Sie Suchanfragen nach Bedrohungsergebnissen, Warnmeldungen und anderen Informationen generieren. Die Einbindung von Gemini für die Suche in natürlicher Sprache wird von Chronicle SecOps unterstützt. Weitere Informationen finden Sie in der Dokumentation zu Chronicle SecOps unter Use Natural Language togenerate UDM Search query (UDM-Suchabfragen mit natürlicher Sprache generieren).

KI-Untersuchungs-Widget für Supportanfragen

Damit Sie Fälle für Ergebnisse und Benachrichtigungen besser verstehen und untersuchen können, stellt Gemini eine Zusammenfassung der einzelnen Fälle bereit und schlägt die nächsten Schritte vor, die Sie zur Untersuchung des Falls unternehmen können. Die Zusammenfassung und die nächsten Schritte werden im Widget KI-Prüfung angezeigt, wenn Sie sich einen Fall ansehen.

Diese Einbindung in Gemini basiert auf Chronicle SecOps.

Umsetzbare Erkenntnisse zur Sicherheit

Die integrierten und integrierten Google Cloud-Dienste von Security Command Center überwachen Ihre Assets und Logs kontinuierlich auf Gefahrenindikatoren und Konfigurationsänderungen, die mit bekannten Bedrohungen, Sicherheitslücken und Fehlkonfigurationen übereinstimmen. Um Kontext für Vorfälle zu bieten, werden Ergebnisse mit Informationen aus den folgenden Quellen angereichert:

  • Bei der Enterprise- und Premium-Stufe:
    • KI-generierte Zusammenfassungen, mit denen Sie die Ergebnisse von Security Command Center und alle darin enthaltenen Angriffspfade besser verstehen und darauf reagieren können. Weitere Informationen finden Sie unter KI-generierte Zusammenfassungen.
    • Zu den Sicherheitslücken gehören Informationen aus den entsprechenden CVE-Einträgen, einschließlich des CVE-Werts sowie Bewertungen von Mandiant zu den möglichen Auswirkungen der Sicherheitslücke und zum potenziellen Ausnutzungspotenzial.
    • Leistungsstarke SIEM- und SOAR-Suchfunktionen auf Basis von Chronicle SecOps, mit denen Sie Bedrohungen und Sicherheitslücken untersuchen und durch verwandte Entitäten in einem einheitlichen Zeitplan wechseln können.
  • VirusTotal, ein Dienst von Alphabet, der Kontext zu potenziell schädlichen Dateien, URLs, Domains und IP-Adressen bietet.
  • MITRE ATT&CK-Framework, das Techniken für Angriffe auf Cloud-Ressourcen erläutert und Hinweise zur Abhilfe bietet.
  • Cloud-Audit-Logs (Administratoraktivitätslogs und Datenzugriffslogs).

Sie erhalten Benachrichtigungen zu neuen Ergebnissen nahezu in Echtzeit, damit Ihre Sicherheitsteams Daten erheben, Bedrohungen ermitteln und Maßnahmen ergreifen können, bevor sie zu Schäden oder Verlusten für das Unternehmen führen.

Mit einer zentralen Ansicht Ihres Sicherheitsstatus und einer robusten API können Sie schnell Folgendes tun:

  • Fragen beantworten, wie:
    • Welche statischen IP-Adressen sind öffentlich zugänglich?
    • Welche Images werden auf den VMs ausgeführt?
    • Gibt es Hinweise darauf, dass Ihre VMs für das Mining von Kryptowährungen oder für andere missbräuchliche Vorgänge verwendet werden?
    • Welche Dienstkonten wurden hinzugefügt oder entfernt?
    • Wie werden Firewalls konfiguriert?
    • Welche Storage-Buckets enthalten personenbezogene Daten oder vertrauliche Daten? Für diese Funktion ist die Einbindung des Schutzes sensibler Daten erforderlich.
    • Welche Cloud-Anwendungen sind anfällig für XSS-Sicherheitslücken (Cross-Site-Scripting)?
    • Sind meine Cloud Storage-Buckets mit dem Internet verbunden?
  • Ergreifen Sie Maßnahmen, um Ihre Assets zu schützen:
    • Implementieren Sie bestätigte Korrekturschritte für Fehlkonfigurationen von Assets und Compliance-Verstöße.
    • Kombinieren Sie Bedrohungsinformationen von Google Cloud und Drittanbietern wie Palo Alto Networks, um Ihr Unternehmen besser vor kostspieligen Bedrohungen auf Computing-Ebene zu schützen.
    • Prüfen Sie, ob die entsprechenden IAM-Richtlinien vorhanden sind. Sie werden benachrichtigt, wenn Richtlinien falsch konfiguriert oder unerwartet geändert werden.
    • Binden Sie Ergebnisse aus eigenen oder externen Quellen für Google Cloud-Ressourcen oder andere Hybrid- oder Multi-Cloud-Ressourcen ein. Weitere Informationen finden Sie unter Sicherheitsdienst eines Drittanbieters hinzufügen.
    • Reagieren Sie auf Bedrohungen in Ihrer Google Workspace-Umgebung und auf unsichere Änderungen in Google Groups.

Fehlkonfigurationen zur Identitäts- und Zugriffssteuerung

Mit Security Command Center können Sie Identitäts- und Zugriffsfehlkonfigurationen in Google Cloud leichter identifizieren und beheben. Die Verwaltung von Identitäts- und Zugriffssicherheitsproblemen wird manchmal als Berechtigungsverwaltung für die Cloud-Infrastruktur (Cloud Infrastructure Entitlements – CIEM) bezeichnet.

Die Ergebnisse von Fehlkonfigurationen in Security Command Center identifizieren Hauptkonten (identities), die falsch konfiguriert sind oder denen übermäßige oder vertrauliche IAM-Berechtigungen (identities) auf Google Cloud-Ressourcen gewährt wurden.

Die schwerwiegendsten Ergebnisse zu Identität und Zugriff werden im Bereich Ergebnisse zu Identität und Zugriff unten auf der Seite Übersicht in Security Command Center in der Google Cloud Console angezeigt.

Auf der Seite Sicherheitslücken in der Google Cloud Console können Sie Abfragevoreinstellungen (vordefinierte Abfragen) auswählen, die die Sicherheitslückendetektoren oder Kategorien enthalten, die sich auf Identität und Zugriff beziehen. Für jede Kategorie wird die Anzahl der aktiven Ergebnisse angezeigt.

Weitere Informationen zu Abfragevoreinstellungen finden Sie unter Abfragevoreinstellungen anwenden.

Einhaltung von Branchenstandards im Blick behalten

Security Command Center überwacht Ihre Compliance mit Detektoren, die den Steuerelementen einer Vielzahl von Sicherheitsstandards entsprechen.

Für jeden unterstützten Sicherheitsstandard prüft Security Command Center einen Teil der Kontrollen. Für die geprüften Steuerelemente wird in Security Command Center angezeigt, wie viele bestanden werden. Für die nicht bestandenen Steuerelemente zeigt Ihnen Security Command Center eine Liste der Ergebnisse an, die die Steuerungsfehler beschreiben.

CIS prüft und zertifiziert die Zuordnungen von Security Command Center-Detektoren zu jeder unterstützten Version der CIS Google Cloud Foundations Benchmark. Zusätzliche Compliancezuordnungen sind nur zu Referenzzwecken enthalten.

Security Command Center unterstützt regelmäßig neue Benchmarkversionen und -standards. Ältere Versionen werden weiterhin unterstützt, werden aber irgendwann verworfen. Wir empfehlen, die neueste unterstützte Benchmark oder den neuesten verfügbaren Standard zu verwenden.

Mit dem Dienst für den Sicherheitsstatus können Sie Organisationsrichtlinien und Security Health Analytics-Detektoren den Standards und Kontrollen zuordnen, die für Ihr Unternehmen gelten. Nachdem Sie einen Sicherheitsstatus erstellt haben, können Sie alle Änderungen an der Umgebung überwachen, die sich auf die Compliance Ihres Unternehmens auswirken könnten.

Weitere Informationen zum Verwalten von Compliance finden Sie unter Compliance mit Sicherheitsstandards bewerten und melden.

In Google Cloud unterstützte Sicherheitsstandards

Security Command Center ordnet Detektoren für Google Cloud einem oder mehreren der folgenden Compliancestandards zu:

Von AWS unterstützte Sicherheitsstandards

Security Command Center ordnet Detektoren für Amazon Web Services (AWS) einem oder mehreren der folgenden Compliancestandards zu:

Flexible Plattform für Ihre Sicherheitsanforderungen

Security Command Center bietet Anpassungs- und Integrationsoptionen, mit denen Sie das Dienstprogramm des Dienstes an Ihre sich ändernden Sicherheitsanforderungen anpassen können.

Anpassungsoptionen

Folgende Anpassungsoptionen sind verfügbar:

Integrationsoptionen

Folgende Integrationsoptionen stehen zur Verfügung:

Verwendungsweise von Security Command Center

Die folgende Tabelle enthält allgemeine Produktfeatures, Anwendungsfälle und Links zu relevanten Dokumentationen, damit Sie die benötigten Inhalte schnell finden können.

Funktion Anwendungsfälle Verwandte Dokumente
Identifizierung und Überprüfung von Assets
  • Sie können alle Assets, Dienste und Daten aus Ihrer gesamten Organisation bzw. Ihrem Projekt und von allen Ihren Cloud-Plattformen an einem Ort ansehen.
  • Bewerten Sie Sicherheitslücken für unterstützte Assets und ergreifen Sie Maßnahmen, um Korrekturen für die schwerwiegendsten Probleme zu priorisieren.
 Best Practices für Security Command Center

Zugriffskontrolle

Security Command Center in der Google Cloud Console verwenden
Identifikation von vertraulichen Daten
  • Mit dem Schutz sensibler Daten finden Sie heraus, wo sensible und regulierte Daten gespeichert werden.
  • Verhindern Sie unbeabsichtigte Gefährdungen und achten Sie darauf, dass nur Personen mit berechtigtem Interesse Zugriff erhalten.
  • Ressourcen, die Daten mit mittlerer oder hoher Vertraulichkeit enthalten, werden automatisch als _high-value Resources festgelegt.
 Ergebnisse für den Schutz sensibler Daten an Security Command Center senden
Integration von SIEM- und SOAR-Lösungen von Drittanbietern
  • Exportieren Sie Security Command Center-Daten einfach in externe SIEM- und SOAR-Systeme.
 Security Command Center-Daten exportieren

Kontinuierliche Exporte
Erkennung von fehlerhafter Konfiguration
  • Erkennen Sie Fehlkonfigurationen, die Ihre Cloud-Infrastruktur anfällig machen können.
  • Fehlkonfigurationen in Ihren Bereitstellungen bei anderen Cloud-Dienstanbietern erkennen
  • Verbessern Sie die Einhaltung von Sicherheitsstandards, indem Sie sich die Ergebnisse von Fehlkonfigurationen nach den Sicherheitsstandardkontrollen ansehen, gegen die sie verstoßen.
  • Priorisieren Sie die Behebung von Fehlkonfigurationen anhand ihrer Angriffsrisikobewertungen.
 Security Health Analytics – Übersicht

Web Security Scanner – Übersicht

Rapid Vulnerability Detection – Übersicht

Ergebnisse zu Sicherheitslücken

Erkennung von Software-Sicherheitslücken
  • Korrelieren Sie die Ergebnisse zu Sicherheitslücken mit den Sicherheitsstandardkontrollen, gegen die sie verstoßen.
  • Lassen Sie sich proaktiv über neue Sicherheitslücken und Änderungen in Ihrer Angriffsfläche benachrichtigen.
  • Ermitteln Sie häufige Sicherheitslücken wie Cross-Site-Scripting (XSS) und Flash-Injection, die Ihre Anwendungen gefährden.
  • Mit Security Command Center Premium können Sie die Ergebnisse zu Sicherheitslücken mithilfe von CVE-Informationen priorisieren, einschließlich der Bewertungen der Ausnutzbarkeit und der Auswirkungen von Mandiant.
 Web Security Scanner – Übersicht

Rapid Vulnerability Detection – Übersicht

Ergebnisse zu Sicherheitslücken

Monitoring der Identitäts- und Zugriffssteuerung
  • Sorgen Sie dafür, dass für Ihre Google Cloud-Ressourcen geeignete Richtlinien zur Zugriffssteuerung vorhanden sind. Sie werden benachrichtigt, wenn Richtlinien falsch konfiguriert sind oder unerwartet geändert werden.
  • Verwenden Sie Abfragevoreinstellungen, um Ergebnisse zu Identitäten schnell aufzurufen und auf fehlerhafte Konfigurationen und Rollen zuzugreifen, denen übermäßige Berechtigungen gewährt wurden.
 IAM Recommender

Zugriffskontrolle

Fehlkonfigurationen bei Identität und Zugriff

Bedrohungserkennung
  • Ermitteln Sie bösartige Aktivitäten und Nutzer in Ihrer Infrastruktur und erhalten Sie Benachrichtigungen bei aktiven Bedrohungen.
  • Bedrohungen auf anderen Cloud-Plattformen erkennen
 Bedrohungen abwehren

Event Threat Detection – Übersicht

Container Threat Detection – Übersicht
Fehlererkennung
  • Benachrichtigungen zu Fehlern und Fehlkonfigurationen erhalten, die verhindern, dass Security Command Center und seine Dienste wie vorgesehen funktionieren.
 Security Command Center-Fehler – Übersicht
Abhilfemaßnahmen priorisieren
  • Verwenden Sie Angriffsrisikobewertungen, um die Behebung von Sicherheitslücken und den gefundenen Fehlkonfigurationen zu priorisieren.
  • Verwenden Sie Angriffsrisikobewertungen für Ressourcen, um proaktiv die Ressourcen zu schützen, die für Ihr Unternehmen am wertvollsten sind.
 Übersicht über Angriffsrisikobewertungen und Angriffspfade
Risiken beheben
  • Implementieren Sie verifizierte und empfohlene Anweisungen zur Fehlerbehebung, um Assets schnell zu schützen.
  • Konzentrieren Sie sich auf die wichtigsten Felder in einem Ergebnis, um Sicherheitsanalysten schnell die Möglichkeit zu geben, fundierte Entscheidungen zu treffen.
  • Reichern Sie zugehörige Sicherheitslücken und Bedrohungen an und verbinden Sie sie, um TTPs zu identifizieren und zu erfassen.
  • Beheben Sie Fehler und Fehlkonfigurationen, die verhindern, dass Security Command Center und seine Dienste wie vorgesehen funktionieren.
 Bedrohungen untersuchen und darauf reagieren

Behebung von Security Health Analytics-Ergebnissen

Web Security Scanner-Ergebnisse beheben

Rapid Vulnerability Detection-Ergebnisse und -Behebungen

Automatisierung der Sicherheitsantwort

Fehler im Security Command Center beheben
Sicherheitsstatus verwalten
  • Sorgen Sie dafür, dass Ihre Arbeitslasten den Sicherheitsstandards, Compliance-Bestimmungen und den benutzerdefinierten Sicherheitsanforderungen Ihrer Organisation entsprechen.
  • Wenden Sie Ihre Sicherheitskontrollen auf Google Cloud-Projekte, -Ordner oder -Organisationen an, bevor Sie Arbeitslasten bereitstellen.
  • Prüfen Sie kontinuierlich, ob Ihre definierten Sicherheitskontrollen abweichen, und beheben Sie eventuelle Abweichungen.
 Sicherheitsstatus – Übersicht

Sicherheitsstatus verwalten
Eingaben von Sicherheitstools von Drittanbietern
  • Integrieren Sie die Ausgabe Ihrer vorhandenen Sicherheitstools wie Cloudflare, CrowdStrike, Prisma Cloud von Palo Alto Networks und Qualys in das Security Command Center. Durch die Einbindung der Ausgabe können Sie Folgendes erkennen:
    • DDoS-Angriffe
    • Manipulierte Endpunkte
    • Compliance-Richtlinienverstöße
    • Netzwerkangriffe
    • Sicherheitslücken und Bedrohungen für Instanzen
 Security Command Center konfigurieren

Sicherheitsquellen erstellen und verwalten
Benachrichtigungen in Echtzeit
  • Erhalten Sie Security Command Center-Benachrichtigungen per E-Mail, SMS, Slack, WebEx und anderen Diensten mit Pub/Sub-Benachrichtigungen.
  • Passen Sie Ergebnisfilter an, um Ergebnisse auf Zulassungslisten auszuschließen.
 Ergebnisbenachrichtigungen einrichten

E-Mail- und Chatbenachrichtigungen in Echtzeit aktivieren

Sicherheitsmarkierungen verwenden

Security Command Center-Daten exportieren

Benachrichtigungen filtern

Assets zu Zulassungslisten hinzufügen
REST API und Client-SDKs
  • Die Security Command Center REST API oder Client SDKs ermöglichen eine einfache Integration in Ihre vorhandenen Sicherheitssysteme und Workflows.
Security Command Center konfigurieren

Programmatischer Zugriff auf Security Command Center

Security Command Center API

Steuerelemente für den Datenstandort

Wenn Sie Security Command Center Premium zum ersten Mal aktivieren, können Sie die Datenstandortkontrollen aktivieren, um die Anforderungen an den Datenstandort zu erfüllen.

Durch das Aktivieren von Datenstandortkontrollen werden die Speicherung und Verarbeitung von Security Command Center-Ergebnissen, Stummschaltungsregeln, kontinuierlichen Exporten und BigQuery-Exporten auf eine der Mehrfachregionen für Daten beschränkt, die von Security Command Center unterstützt werden.

Weitere Informationen finden Sie unter Datenstandort planen.

Security Command Center-Dienststufen

Security Command Center bietet drei Dienststufen: Standard, Premium und Enterprise.

Die ausgewählte Stufe bestimmt die Features und Dienste, die mit Security Command Center verfügbar sind.

Wenn Sie Fragen zu den Security Command Center-Dienststufen haben, wenden Sie sich an Ihren Kundenbetreuer oder an den Google Cloud-Vertrieb.

Informationen zu den Kosten für die Verwendung einer Security Command Center-Stufe finden Sie unter Preise.

Standardstufe

Die Standard-Stufe umfasst die folgenden Dienste und Funktionen:

  • Security Health Analytics: In der Standard-Stufe bietet Security Health Analytics verwaltetes Scannen auf Sicherheitslücken für Google Cloud. Damit werden Sicherheitslücken mit hohem Schweregrad und Fehlkonfigurationen für Ihre Google Cloud-Assets automatisch erkannt. In der Standard-Stufe umfasst Security Health Analytics die folgenden Ergebnistypen:

    • Dataproc image outdated
    • Legacy authorization enabled
    • MFA not enforced
    • Non org IAM member
    • Open ciscosecure websm port
    • Open directory services port
    • Open firewall
    • Open group IAM member
    • Open RDP port
    • Open SSH port
    • Open Telnet port
    • Public bucket ACL
    • Public Compute image
    • Public dataset
    • Public IP address
    • Public log bucket
    • Public SQL instance
    • SSL not enforced
    • Web UI enabled
  • Benutzerdefinierte Web Security Scanner-Scans: In der Standard-Stufe unterstützt Web Security Scanner benutzerdefinierte Scans von bereitgestellten Anwendungen mit öffentlichen URLs und IP-Adressen, die sich nicht hinter einer Firewall befinden. Scans werden für alle Projekte manuell konfiguriert, verwaltet und ausgeführt. Sie unterstützen eine Teilmenge der Kategorien der OWASP Top Ten.
  • Security Command Center-Fehler: Security Command Center bietet Anleitungen zum Erkennen und Beheben von Konfigurationsfehlern, die verhindern, dass Security Command Center und seine Dienste ordnungsgemäß funktionieren.
  • Funktion Kontinuierliche Exporte, die den Export neuer Ergebnisse nach Pub/Sub automatisch verwaltet.

  • Zugriff auf integrierte Google Cloud-Dienste, einschließlich der folgenden:

    • Mit dem Schutz sensibler Daten können Sie sensible Daten erkennen, klassifizieren und schützen.
    • Google Cloud Armor schützt Google Cloud-Bereitstellungen vor Bedrohungen.
    • Die Anomalieerkennung identifiziert Sicherheitsanomalien in Ihren Projekten und VM-Instanzen wie potenzielle gehackte Anmeldedaten und das Mining von Kryptowährung.
    • Policy Controller ermöglicht die Anwendung und Erzwingung programmierbarer Richtlinien für Ihre Kubernetes-Cluster.
  • Ergebnisse des GKE-Sicherheitsstatus-Dashboards: Sehen Sie sich Ergebnisse zu Sicherheitsfehlkonfigurationen für Kubernetes-Arbeitslasten, umsetzbare Sicherheitsbulletins und Sicherheitslücken im Containerbetriebssystem oder in Sprachpaketen an. Die Einbindung der Ergebnisse des GKE-Dashboards für den Sicherheitsstatus in Security Command Center ist in der Vorschau verfügbar.
  • Einbindung in BigQuery, wodurch Ergebnisse zur Analyse in BigQuery exportiert werden.
  • Einbindung in Forseti Security, das Open-Source-Sicherheits-Toolkit für Google Cloud, sowie in SIEM-Anwendungen (Security Information and Event Management) von Drittanbietern.
  • Wenn Security Command Center auf Organisationsebene aktiviert ist, können Sie Nutzern IAM-Rollen auf Organisations-, Ordner- und Projektebene zuweisen.

Premium-Stufe

Die Premium-Stufe umfasst alle Dienste und Funktionen der Standard-Stufe sowie die folgenden zusätzlichen Dienste und Funktionen:

  • Angriffspfadsimulationen helfen Ihnen beim Identifizieren und Priorisieren von Sicherheitslücken und Fehlkonfigurationen. Dazu identifizieren Sie die Pfade, über die ein potenzieller Angreifer zu Ihren hochwertigen Ressourcen gelangen könnte. Die Simulationen berechnen und weisen alle Ergebnisse, die eine Gefährdung dieser Ressourcen zur Folge haben, Angriffsrisikobewertungen zu. Mit interaktiven Angriffspfaden können Sie die möglichen Angriffspfade visualisieren und Informationen zu den Pfaden, den zugehörigen Ergebnissen und den betroffenen Ressourcen bereitstellen.

  • Zu den Sicherheitslücken gehören auch von Mandiant bereitgestellte CVE, damit Sie deren Behebung priorisieren können.

    Auf der Seite Übersicht in der Console finden Sie im Abschnitt Die wichtigsten CVE-Ergebnisse die von Mandiant bewerteten Ergebnisse zu Sicherheitslücken, gruppiert nach ihrer Ausnutzbarkeit und potenziellen Auswirkungen. Auf der Seite Ergebnisse können Sie Ergebnisse nach CVE-ID abfragen.

    Weitere Informationen finden Sie unter Priorisieren Sie nach Auswirkung und Ausnutzbarkeit von CVEs.

  • Event Threat Detection überwacht Cloud Logging und Google Workspace mithilfe von Bedrohungsdaten, maschinellem Lernen und anderen erweiterten Methoden, um Bedrohungen wie Malware, Kryptomining und Daten-Exfiltration zu erkennen. Eine vollständige Liste der integrierten Event Threat Detection-Detektoren finden Sie unter Regeln für Event Threat Detection. Sie können auch benutzerdefinierte Event Threat Detection-Detektoren erstellen. Informationen zu Modulvorlagen zum Erstellen benutzerdefinierter Erkennungsregeln finden Sie unter Übersicht über benutzerdefinierte Module für Event Threat Detection.
  • Container Threat Detection erkennt die folgenden Containerlaufzeitangriffe:
    • Ausgeführte Binärdatei hinzugeführt
    • Hinzugefügte Mediathek geladen
    • Ausführung: schädliche Ausführung von Binärcode hinzugefügt
    • Ausführung: Schädliche Bibliothek geladen
    • Ausführung: Eingebaute schädliche Binärdatei ausgeführt
    • Ausführung: Geänderte schädliche Ausführung von Binärprogrammen
    • Ausführung: Geänderte schädliche Bibliothek geladen
    • Schädliches Script ausgeführt
    • Reverse Shell
    • Unerwartete untergeordnete Shell
  • Der Dienst für sensible Aktionen erkennt, wenn Aktionen in Ihrer Google Cloud-Organisation, Ihren Google Cloud-Ordnern oder -Projekten ausgeführt werden, die Ihrem Unternehmen schaden könnten, wenn sie von böswilligen Akteuren ausgeführt werden.
  • Virtual Machine Threat Detection erkennt potenziell schädliche Anwendungen, die in VM-Instanzen ausgeführt werden.

  • Security Health Analytics auf der Premium-Stufe umfasst die folgenden Funktionen:

    • Verwaltete Scans auf Sicherheitslücken für alle Security Health Analytics-Detektoren
    • Monitoring für zahlreiche Best Practices der Branche
    • Compliancemonitoring Die Detektoren von Security Health Analytics entsprechen den Kontrollen der allgemeinen Sicherheits-Benchmarks.
    • Unterstützung benutzerdefinierter Module, mit denen Sie Ihre eigenen benutzerdefinierten Security Health Analytics-Detektoren erstellen können.

    In der Premium-Stufe unterstützt Security Health Analytics die unter Einhaltung von Branchenstandards verwalten beschriebenen Standards.

  • Web Security Scanner in der Premium-Stufe umfasst alle Features der Standard-Stufe und zusätzliche Detektoren, die Kategorien in den OWASP Top Ten unterstützen. Web Security Scanner fügt außerdem automatisch konfigurierte verwaltete Scans hinzu.

  • Compliance-Monitoring für Ihre Google Cloud-Assets.

    Die Detektoren der Sicherheitslücken-Scanner von Security Command Center werden allgemeinen Sicherheitsstandards zugeordnet, um die Einhaltung allgemeiner Sicherheits-Benchmarks und -Standards zu gewährleisten.

    Dort können Sie unter anderem die Einhaltung der Standards prüfen, nicht konforme Kontrollen ermitteln und Berichte exportieren. Weitere Informationen finden Sie unter Einhaltung von Sicherheitsstandards bewerten und melden.

  • Sie können ein zusätzliches Cloud Asset Inventory-Kontingent anfordern, wenn ein erweitertes Asset-Monitoring erforderlich ist.
  • Rapid Vulnerability Detection scannt Netzwerke und Webanwendungen auf schwache Anmeldedaten, unvollständige Softwareinstallationen und andere kritische Sicherheitslücken, die mit hoher Wahrscheinlichkeit ausgenutzt werden.
  • Mit dem Dienst für den Sicherheitsstatus können Sie den Gesamtstatus Ihrer Sicherheit in Google Cloud definieren, bewerten und überwachen. Der Dienst „Sicherheitsstatus“ ist in der Premium-Stufe von Security Command Center nur für Kunden verfügbar, die ein Festpreisabo erwerben und die Premium-Stufe von Security Command Center auf Organisationsebene aktivieren. Der Dienst für den Sicherheitsstatus unterstützt keine nutzungsbasierte Abrechnung oder Aktivitäten auf Projektebene.
  • Der Dienst „Secured Landing Zone“ kann nur in der Premium-Stufe von Security Command Center aktiviert werden. Wenn dieser Dienst aktiviert ist, zeigt dieser Dienst Ergebnisse an, wenn es Richtlinienverstöße in den Ressourcen des bereitgestellten Blueprints gibt, generiert entsprechende Benachrichtigungen und ergreift ausgewählte automatische Abhilfemaßnahmen.
  • Berichte zu VM Manager-Sicherheitslücken
    • Wenn Sie VM Manager aktivieren, schreibt der Dienst automatisch Ergebnisse aus seinen Berichten zu Sicherheitslücken, die sich in der Vorschau befinden, in Security Command Center. Die Berichte identifizieren Sicherheitslücken in den Betriebssystemen, die auf virtuellen Compute Engine-Maschinen installiert sind. Weitere Informationen finden Sie unter VM Manager.

Unternehmensstufe

Die Enterprise-Stufe ist eine vollständig cloudnative Anwendungsschutzplattform (CNAPP), mit der SOC-Analysten, Schwachstellenanalysten und andere Cloud-Sicherheitsexperten die Sicherheit über mehrere Cloud-Dienstanbieter hinweg an einem zentralen Ort verwalten können.

Die Enterprise-Stufe bietet Erkennungs- und Untersuchungsfunktionen, Unterstützung bei der Fallverwaltung und Verwaltung des Sicherheitsstatus, einschließlich der Möglichkeit, benutzerdefinierte Sicherheitsregeln zu definieren und bereitzustellen sowie das Risiko von Sicherheitslücken und Fehlkonfigurationen in Ihrer Cloud-Umgebung zu quantifizieren und zu visualisieren.

Die Enterprise-Stufe umfasst alle Dienste und Funktionen der Standard- und Premium-Stufe sowie die folgenden zusätzlichen Dienste und Funktionen:

Funktionen der Enterprise-Stufe auf Basis von Chronicle Security Operations

Die Fallverwaltungsfunktion, Playbook-Funktionen und andere SIEM- und SOAR-Funktionen der Enterprise-Stufe von Security Command Center werden von Chronicle Security Operations unterstützt. Wenn Sie einige dieser Features und Funktionen verwenden, wird möglicherweise der Name Chronicle in der Weboberfläche angezeigt. Sie werden möglicherweise zur Anleitung in der Chronicle SecOps-Dokumentation weitergeleitet.

Bestimmte Chronicle SecOps-Features werden in Security Command Center nicht unterstützt oder eingeschränkt. Ihre Verwendung ist jedoch in frühen Abos der Enterprise-Stufe möglicherweise nicht deaktiviert oder eingeschränkt. Die folgenden Features und Funktionen dürfen nur mit den jeweiligen Einschränkungen verwendet werden:

  • Die Aufnahme von Cloud-Logs ist auf Logs beschränkt, die für die Erkennung von Cloud-Bedrohungen relevant sind, wie zum Beispiel:
    • Google Cloud
    • Cloud-Audit-Logs zur Administratoraktivität
    • Datenzugriffslogs für Cloud-Audit-Logs
    • Compute Engine-Syslog
    • GKE-Audit-Log
    • Google Workspace
    • Google Workspace-Veranstaltungen
    • Google Workspace-Benachrichtigungen
    • AWS
    • CloudTrail-Audit-Logs
    • Syslog
    • Auth-Logs
    • GuardDuty-Ereignisse
  • Ausgewählte Erkennungsmechanismen sind auf Bedrohungen in Cloud-Umgebungen beschränkt.
  • Google Cloud Marketplace-Integrationen sind auf Folgendes beschränkt:
    • Verstärken
    • Tools
    • VirusTotal V3
    • Asset-Inventar von Google Cloud
    • Google Security Command Center
    • Jira
    • Funktionen
    • Google Cloud IAM
    • E-Mail Version 2
    • Google Cloud Compute
    • Google Chronicle
    • Gefährde&ck
    • Mandiant Threat Intelligence
    • Google Cloud Policy Intelligence
    • Google Cloud Recommender
    • Dienstprogramme von Siemplify
    • Jetzt warten
    • CSV
    • SCC Enterprise
    • AWS IAM
    • AWS EC2
  • Die Anzahl der benutzerdefinierten Regeln für Einzelereignisse ist auf 20 Regeln beschränkt.
  • Risikoanalysen für UEBA (Nutzer- und Entitätsverhaltensanalysen) sind nicht verfügbar.
  • Applied Threat Intelligence ist nicht verfügbar.
  • Gemini-Unterstützung für Chronicle SecOps ist auf die Suche in natürlicher Sprache und Zusammenfassungen von Fallprüfungen beschränkt.
  • Die Datenaufbewahrung ist auf drei Monate beschränkt.

Übersicht über Funktionen und Dienste der Enterprise-Stufe

Die Enterprise-Stufe umfasst alle Dienste und Funktionen der Standard- und Premium-Stufe, die allgemein verfügbar sind.

Mit der Enterprise-Stufe werden Security Command Center die folgenden Dienste und Funktionen hinzugefügt:

  • Multi-Cloud-Unterstützung Sie können Security Command Center mit anderen Cloud-Anbietern wie AWS verbinden, um Bedrohungen, Sicherheitslücken und Fehlkonfigurationen zu erkennen. Nachdem Sie Ihre hochwertigen Ressourcen beim anderen Anbieter angegeben haben, können Sie außerdem deren Angriffsrisiko anhand von Angriffsrisikobewertungen und Angriffspfaden bewerten.
  • SIEM-Funktionen (Security Information and Event Management) für Cloud-Umgebungen auf Basis von Chronicle SecOps Sie können Logs und andere Daten für mehrere Cloud-Umgebungen scannen, Regeln zur Bedrohungserkennung definieren und in den akkumulierten Daten suchen. Weitere Informationen finden Sie in der Dokumentation zu Chronicle SecOps SIEM.
  • SOAR-Funktionen für Sicherheitsorchestrierung, Automatisierung und Reaktion auf Cloud-Umgebungen auf Basis von Chronicle SecOps Supportanfragen verwalten, Antwortworkflows definieren und Antwortdaten durchsuchen. Weitere Informationen finden Sie in der Dokumentation zu Chronicle SecOps SOAR.
  • Erweiterte Erkennung von Softwaresicherheitslücken in VMs und Containern in Ihren Cloud-Umgebungen mit der Bewertung von Sicherheitslücken, dem VM Manager und der Google Kubernetes Engine (GKE) Enterprise-Version.

Aktivierungsebenen von Security Command Center

Sie können Security Command Center für ein einzelnes Projekt (Aktivierung auf Projektebene) oder für eine ganze Organisation ( Aktivierung auf Organisationsebene) aktivieren.

Die Enterprise-Stufe erfordert eine Aktivierung auf Organisationsebene.

Weitere Informationen zum Aktivieren von Security Command Center finden Sie unter Übersicht zum Aktivieren von Security Command Center.

Nächste Schritte