Security Command Center – Übersicht

Diese Seite bietet einen Überblick über Security Command Center, eine Risikomanagementlösung die in Verbindung mit der Stufe „Enterprise“ Cloud Security und Enterprise Security Operations und liefert Einblicke von Mandiant und der künstlichen Intelligenz von Gemini.

Security Command Center ermöglicht Sicherheitsvorgänge SOC-Analysten, Schwachstellen- und Sicherheitsanalysten, Compliance und anderen Sicherheitsfachleuten schnell bewerten, untersuchen, und auf Sicherheitsprobleme über mehrere Cloud-Umgebungen.

Jede Cloud-Bereitstellung birgt besondere Risiken. Security Command Center kann helfen Sie die Angriffsfläche Ihrer Projekte oder Unternehmen in Google Cloud und die Angriffsfläche Ihren anderen Cloud-Umgebungen. Wenn das Security Command Center richtig für den Schutz Ihrer Ressourcen konfiguriert ist, können Sie die in Ihren Cloud-Umgebungen erkannten Sicherheitslücken und Bedrohungen besser nachvollziehen und die Behebung priorisieren.

Das Security Command Center lässt sich in viele Google Cloud-Dienste einbinden, um Sicherheitsprobleme in mehreren Cloud-Umgebungen zu erkennen. Diese Dienste auf vielfältige Weise erkennen, z. B. durch das Scannen von Ressourcenmetadaten, Scannen von Cloud-Logs und von Containern sowie von virtuellen Maschinen.

Einige dieser integrierten Dienste wie Google Security Operations und Mandiant bieten auch Funktionen und Informationen, die für die Priorisierung und Verwaltung Ihrer Untersuchungen und Reaktionen auf erkannte Probleme entscheidend sind.

Bedrohungen verwalten

In der Premium- und der Enterprise-Stufe verwendet Security Command Center sowohl integrierte und integrierte Google Cloud-Dienste zur Erkennung von Bedrohungen. Diese Dienste scannen Ihre Google Cloud-Logs, und virtuelle Maschinen nach Bedrohungsindikatoren suchen.

Wenn diese Dienste wie Event Threat Detection oder Container Threat Detection einen Bedrohungsindikator erkennen, wird ein Ergebnis ausgegeben. Ein Ergebnis ist ein Bericht oder ein Datensatz einzelner Bedrohungen oder eines anderen Problems, ein Dienst in Ihrer Cloud-Umgebung gefunden hat. Die betreffenden Dienste Ergebnisse werden auch als Ergebnisquellen bezeichnet.

In Security Command Center Enterprise lösen Ergebnisse Benachrichtigungen aus, die je nach Schwere des Ergebnisses einen Fall generieren können. Sie können einen Fall mit einem Ticketsystem verwenden, um Eigentümer für die Untersuchung und Beantwortung einer oder mehrerer Benachrichtigungen im Fall zuzuweisen.

Security Command Center Enterprise kann auch Bedrohungen in Ihren Bereitstellungen erkennen auf anderen Cloud-Plattformen. Um Bedrohungen in Bereitstellungen auf anderen Cloud-Plattformen zu erkennen, Security Command Center nimmt die Logs aus der anderen Cloud-Plattform auf, nachdem Sie um eine Verbindung herzustellen.

Weitere Informationen finden Sie auf den folgenden Seiten:

Funktionen zur Bedrohungserkennung und ‑abwehr

Security Command Center bietet SOC-Analysten folgende Sicherheit: Ziele:

  • Ereignisse in Ihren Cloud-Umgebungen erkennen, die auf eine potenzielle Bedrohung hindeuten, und die damit verbundenen Ergebnisse oder Benachrichtigungen zu priorisieren.
  • Weisen Sie Inhaber zu und verfolgen Sie den Fortschritt von Prüfungen und Antworten mit einem integrierten Fall-Workflow. Optional können Sie Ihre bevorzugten Ticketsysteme wie Jira oder ServiceNow einbinden.
  • Bedrohungswarnungen mit leistungsstarken Suchfunktionen und Querverweisen untersuchen Funktionen.
  • Reaktionsworkflows definieren und Maßnahmen automatisieren, um potenzielle Kunden zu erreichen auf Ihre Cloud-Umgebungen. Weitere Informationen zum Definieren Reaktionsworkflows und automatisierte Aktionen mit Playbooks finden Sie unter Mit Playbooks arbeiten
  • Falsch positive Ergebnisse oder Benachrichtigungen ausblenden oder ausschließen.
  • Konzentrieren Sie sich auf Bedrohungen im Zusammenhang mit gehackten Identitäten und Zugriffsberechtigungen.
  • Mit Security Command Center können Sie potenzielle Bedrohungen in anderen Cloud-Umgebungen wie AWS erkennen, untersuchen und darauf reagieren.

Sicherheitslücken verwalten

Security Command Center bietet eine umfassende Erkennung von Sicherheitslücken, die Ressourcen in Ihrer Umgebung automatisch auf Sicherheitslücken in Software, Fehlkonfigurationen und andere Arten von Sicherheit die Sie einem Angriff aussetzen können. Zusammengenommen sind diese Art von Problemen zusammenfassend als Sicherheitslücken bezeichnet.

Security Command Center nutzt sowohl integrierte integrierte Google Cloud-Dienste zur Erkennung von Sicherheitsproblemen. Die Dienste, die Ergebnisse melden, werden auch als Ergebnisquellen bezeichnet. Wenn ein Dienst ein Problem erkennt, wird ein Ergebnis ausgegeben, um das Problem aufzuzeichnen.

Fälle mit hohem Schweregrad und mit hohem Schweregrad werden standardmäßig automatisch geöffnet. Ergebnisse mit kritischem Schweregrad, um Ihnen bei der Priorisierung und Abhilfe schaffen. Sie können Inhaber zuweisen und den Fortschritt der Korrektur verfolgen Bemühungen um einen Fall.

Hier finden Sie weitere Informationen:

Schädliche Kombinationen

Die Security Command Center-Risiko-Engine, eine Funktion der Enterprise-Stufe, erkennt Gruppen von Sicherheitsproblemen, die, wenn sie in einem bestimmten Muster auftreten, einen Pfad zu einer oder mehreren Ihrer wertvollen Ressourcen erstellen, die ein entschlossener Angreifer potenziell nutzen könnte, um diese Ressourcen zu erreichen und zu manipulieren.

Diese Art von Sicherheitsproblemen wird als toxische Kombination bezeichnet. Wenn Risk Engine eine toxische Kombination erkennt, gibt es ein Ergebnis. Für jedes Ergebnis einer unangemessenen Kombination Security Command Center erstellt einen Fall in der Security Operations-Konsole, damit Sie die Auflösung der unangemessenen Kombinationen kontrollieren und verfolgen können.

Weitere Informationen finden Sie unter Übersicht über schädliche Kombinationen.

Sicherheitslücken in der Software

Mit dem Security Command Center können Sie die virtuellen Maschinen (VMs) und Container in Ihren Cloud-Umgebungen auf Sicherheitslücken prüfen, um diese zu identifizieren, zu verstehen und zu priorisieren. Für jede erkannte Sicherheitslücke finden Sie in Security Command Center ausführliche Informationen in einem Ergebniseintrag oder Ergebnis. Die mit einem Ergebnis gelieferten Informationen können umfassen:

  • Details der betroffenen Ressource
  • Informationen zu einem zugehörigen CVE-Eintrag, einschließlich einer Bewertung der Auswirkungen und Ausnutzbarkeit des CVE-Eintrags durch Mandiant
  • Eine Angriffsbewertung, mit der Sie die Problembehebung priorisieren können
  • Eine visuelle Darstellung des möglichen Wegs eines Angreifers zum hochwertige Ressourcen, die von der Sicherheitslücke gefährdet sind

Sicherheitslücken in der Software werden von den folgenden Diensten erkannt:

Fehlkonfigurationen

Security Command Center ordnet die Detektoren der Dienste zu, die nach Fehlkonfigurationen zu den Kontrollen der gängigen branchenüblichen Compliance-Standards. Die Zuordnung zeigt Ihnen nicht nur die Compliance-Standards, gegen die eine Fehlkonfiguration verstößt, sondern auch, inwieweit Sie die verschiedenen Standards einhalten. Diese Informationen können Sie dann als Bericht exportieren.

Weitere Informationen finden Sie unter Compliance prüfen und melden.

Sicherheitsstatusverstöße

Die Premium- und Enterprise-Stufen von Security Command Center umfassen den Dienst zur Sicherheitskonfiguration. Dieser Dienst gibt Ergebnisse aus, wenn Ihre Cloud-Ressourcen gegen die in den Sicherheitskonfigurationen definierten Richtlinien verstoßen, die Sie in Ihrer Cloud-Umgebung bereitgestellt haben.

Weitere Informationen finden Sie unter Dienst zum Bestimmen des Sicherheitsstatus.

Infrastruktur als Code validieren

Sie können überprüfen, ob Ihre IaC-Dateien (Infrastructure-as-Code) mit den und die Security Health Analytics-Detektoren, die Sie in Ihrer Google Cloud-Organisation. Mit dieser Funktion können Sie verhindern, dass Sie Ressourcen bereitstellen, die gegen die Standards Ihrer Organisation verstoßen. Nachdem Sie Ihre organisatorischen Richtlinien definiert und gegebenenfalls den Security Health Analytics-Dienst aktiviert haben, können Sie Ihre Terraform-Plandatei mit der Google Cloud CLI validieren oder den Validierungsprozess in Ihren Cloud Build-, Jenkins- oder GitHub Actions-Entwicklerworkflow einbinden. Weitere Informationen finden Sie unter IaC anhand der Richtlinien Ihrer Organisation validieren.

Sicherheitslücken und Fehlkonfigurationen auf anderen Cloud-Plattformen erkennen

Security Command Center Enterprise kann Sicherheitslücken in mehreren Cloud-Umgebungen erkennen. Erkennen von Sicherheitslücken in anderen Cloud-Diensten müssen Sie zuerst eine Verbindung zum jeweiligen Anbieter herstellen, Ressourcenmetadaten aufnehmen.

Weitere Informationen finden Sie unter Verbindung zu AWS zur Erkennung von Sicherheitslücken und zur Risikobewertung herstellen

Funktionen zur Verwaltung von Sicherheitslücken und Sicherheitsstatus

Mit Security Command Center, Schwachstellenanalysten, Statusadministratoren und ähnliche Sicherheitsexperten können die folgenden Sicherheitsziele erreichen:

  • Verschiedene Arten von Sicherheitslücken erkennen, einschließlich Sicherheitslücken in Software, Fehlkonfigurationen und Sicherheitsstatusverstöße, die dazu führen können, Umgebungen vor potenziellen Angriffen zu schützen.
  • Konzentrieren Sie Ihre Reaktions- und Behebungsmaßnahmen auf die Probleme mit dem höchsten Risiko. indem Sie die Angriffsrisikobewertungen auf die Ergebnisse und Benachrichtigungen für Sicherheitslücken.
  • Inhaber zuweisen und den Fortschritt der Behebung von Sicherheitslücken verfolgen durch Fälle nutzen und bevorzugte Ticketsysteme wie Jira einbinden oder ServiceNow.
  • Schützen Sie die wertvollen Ressourcen in Ihren Cloud-Umgebungen proaktiv, indem Sie die Angriffsbewertungen senken.
  • Definieren Sie benutzerdefinierte Sicherheitsstufen für Ihre Cloud-Umgebungen, die im Security Command Center verwendet werden, um Ihre Sicherheitsstufe zu bewerten und Sie auf Verstöße hinzuweisen.
  • Falsch positive Ergebnisse oder Benachrichtigungen ausblenden oder ausschließen.
  • Konzentrieren Sie sich auf Sicherheitslücken, die sich auf Identitäten und übermäßige Berechtigungen beziehen.
  • Sicherheitslücken und Risiken in Security Command Center erkennen und verwalten für Ihre anderen Cloud-Umgebungen wie AWS an.

Risiko mit Angriffsrisikobewertungen und Angriffspfaden bewerten

Bei Aktivierungen der Premium- und der Enterprise-Stufe auf Organisationsebene Security Command Center bietet Angriff für hochwertige Ressourcen sowie die Fehlkonfigurationen zu erhalten, die sich auf die hochwertigen Ressourcen auswirken.

Anhand dieser Bewertungen können Sie die Behebung von Sicherheitslücken und Fehlkonfigurationen priorisieren, die Sicherheit Ihrer am stärksten gefährdeten Ressourcen mit hohem Wert priorisieren und allgemein beurteilen, wie anfällig Ihre Cloud-Umgebungen für Angriffe sind.

In der Google Cloud Console auf der Seite Risikoübersicht im Bereich Aktive Sicherheitslücken Auf dem Tab Ergebnisse nach Angriffsrisikobewertung finden Sie die Ergebnisse mit den höchsten Angriffsrisikowerten in Ihrer Umgebung sowie die Verteilung der Ergebniswerte.

Weitere Informationen finden Sie unter Angriffsrisikobewertungen und Angriffspfade.

Ergebnisse und Benachrichtigungen mithilfe von Fällen verwalten

In Security Command Center Enterprise werden Fälle erstellt, damit Sie Ergebnisse und Benachrichtigungen verwalten, Eigentümer zuweisen und die Untersuchungen und Reaktionen auf erkannte Sicherheitsprobleme verwalten können. Bei Problemen mit hohem und kritischem Schweregrad werden automatisch Supportanfragen erstellt.

Sie können Anfragen in Ihrem bevorzugten Ticketsystem wie Jira oder ServiceNow einbinden. Wenn Fälle aktualisiert werden, können alle offenen Tickets für den Fall automatisch aktualisiert werden. Wenn ein Ticket aktualisiert wird, kann auch der entsprechende Fall aktualisiert werden.

Weitere Informationen finden Sie in der Google SecOps-Dokumentation unter Übersicht über Anfragen.

Reaktionsworkflows und automatisierte Aktionen definieren

Reaktionsworkflows definieren und Maßnahmen zur Untersuchung und Reaktion automatisieren die in Ihren Cloud-Umgebungen erkannt werden.

Weitere Informationen zum Definieren von Reaktionsworkflows und automatisierten Abläufen Playbooks zu Aktionen, siehe Mit Playbooks arbeiten

Multi-Cloud-Unterstützung: Sichere Bereitstellungen auf anderen Cloud-Plattformen

Sie können die Security Command Center-Dienste und -Funktionen auf Ihre Bereitstellungen auf anderen Cloud-Plattformen ausweiten, damit Sie alle Bedrohungen und Sicherheitslücken, die in Ihren Cloud-Umgebungen erkannt werden, an einem zentralen Ort verwalten können.

Weitere Informationen zum Verbinden von Security Command Center mit einem anderen Cloud-Dienstanbieter finden Sie auf den folgenden Seiten:

Unterstützte Cloud-Dienstanbieter

Security Command Center kann eine Verbindung zu Amazon Web Services (AWS) herstellen.

Sicherheitsstatus definieren und verwalten

Mit Aktivierungen der Premium- und der Enterprise-Stufe auf Organisationsebene von Security Command Center können Sie Sicherheitsstatus erstellen und verwalten. die den erforderlichen Status Ihrer Cloud-Assets definieren, einschließlich Ihrer Cloud Netzwerk- und Cloud-Dienste für optimale Sicherheit in Ihrer Cloud-Umgebung. Sie können die Sicherheitspositionen an die Sicherheits- und rechtlichen Anforderungen Ihres Unternehmens anpassen. Wenn Sie einen Sicherheitsstatus definieren, können Sie die Cybersicherheitsrisiken für Ihre Organisation minimieren und dazu beitragen, Angriffe zu verhindern.

Mit dem Security Command Center-Dienst für den Sicherheitsstatus können Sie einen Sicherheitsstatus definieren und bereitstellen sowie Abweichungen oder nicht autorisierte Änderungen von Ihrem definierten Status erkennen.

Der Dienst zur Bewertung der Sicherheitslage wird automatisch aktiviert, wenn Sie Security Command Center auf Organisationsebene aktivieren.

Weitere Informationen finden Sie unter Sicherheitsstatus – Übersicht.

Assets identifizieren

Security Command Center enthält Asset-Informationen aus Cloud Asset Inventory, die kontinuierlich Assets in Ihrer Cloud überwacht zu verbessern. Bei den meisten Assets werden Konfigurationsänderungen, einschließlich IAM- und Organisationsrichtlinien, nahezu in Echtzeit erkannt.

Auf der Seite Assets in der Google Cloud Console können Sie schnell Beispiel-Asset-Abfragen anwenden, bearbeiten und ausführen, eine voreingestellte Zeitbeschränkung hinzufügen oder eigene Asset-Abfragen schreiben.

Wenn Sie die Premium- oder Enterprise-Stufe von Security Command Center haben, können Sie anhand von Angriffspfadsimulationen sehen, welche Ihrer Assets für Risikobewertungen als hochwertige Ressourcen eingestuft werden.

Sie können Änderungen in Ihrer Organisation oder Ihrem Projekt schnell erkennen und folgende Fragen beantworten:

  • Wie viele Projekte haben Sie und wann wurden diese erstellt?
  • Welche Google Cloud-Ressourcen sind bereitgestellt oder in Verwendung, wie virtuelle Maschinen (VMs) der Compute Engine, Cloud Storage-Buckets oder App Engine-Instanzen?
  • Wie sieht der Bereitstellungsverlauf aus?
  • Wie können Sie die folgenden Kategorien organisieren, kommentieren, in ihnen suchen, auswählen, filtern und sortieren?
    • Assets und Asset-Attribute
    • Sicherheitsmarkierungen, mit denen Sie Assets oder Ergebnisse in Security Command Center annotieren können
    • Zeitraum

Cloud Asset Inventory kennt immer den aktuellen Status der unterstützten Assets und in der Google Cloud Console können Sie frühere Discovery-Scans prüfen, um Assets zwischen zwei Zeitpunkten zu vergleichen. Sie können auch nach nicht ausgelasteten Assets wie virtuellen Maschinen oder inaktiven IP-Adressen suchen.

Gemini-Funktionen in Security Command Center

Security Command Center nutzt Gemini, um Zusammenfassungen von Ergebnissen und Angriffspfaden und zur Unterstützung Ihrer Suchanfragen und Untersuchung erkannter Bedrohungen und Schwachstellen.

Informationen zu Gemini finden Sie unter Gemini

Gemini-Zusammenfassungen von Ergebnissen und Angriffspfaden

Wenn Sie Security Command Center Enterprise oder Premium verwenden, Gemini bietet dynamisch generierte Erläuterungen zu jedem Ergebnis und jedem simulierten Angriffspfad, den Security Command Center für Vulnerability generiert und Misconfiguration Klassenergebnisse.

Die Zusammenfassungen sind in natürlicher Sprache, die Ihnen hilft, schnell zu verstehen, auf Ergebnisse und eventuelle Angriffspfade zu reagieren.

Die Zusammenfassungen werden an den folgenden Stellen in der Google Cloud Console angezeigt:

  • Wenn Sie auf den Namen eines einzelnen Ergebnisses klicken, wird die Zusammenfassung oben auf der Detailseite des Ergebnisses angezeigt.
  • Bei den Premium- und Enterprise-Stufen von Security Command Center gilt Folgendes: Ergebnis eine Angriffsrisikobewertung hat, können Sie rechts neben dem Angriffspfad die Angriffsrisikobewertung und dann KI-Zusammenfassung.

Erforderliche IAM-Berechtigungen für KI-generierte Zusammenfassungen

Zum Aufrufen der KI-Zusammenfassungen benötigen Sie die erforderlichen IAM-Berechtigungen.

Für Ergebnisse benötigen Sie die securitycenter.findingexplanations.get IAM-Berechtigung Die Rolle mit den geringsten Berechtigungen, die diese Berechtigung enthält, ist die Rolle Sicherheitscenter-Ergebnisbetrachter (roles/securitycenter.findingsViewer).

Für Angriffspfade benötigen Sie den securitycenter.exposurepathexplan.get IAM-Berechtigung Die vordefinierte Datei mit der geringsten Berechtigung IAM-Rolle mit dieser Berechtigung ist die Leser von Angriffspfaden im Sicherheitscenter roles/securitycenter.exposurePathsViewer.

Während der Vorschau sind diese Berechtigungen nicht in der Google Cloud Console zum Hinzufügen zu benutzerdefinierten IAM-Rollen.

Sie können die Google Cloud CLI verwenden, um die Berechtigung einer benutzerdefinierten Rolle hinzuzufügen.

Informationen zum Hinzufügen von Berechtigungen über die Google Cloud CLI zu einem Weitere Informationen

Suche in natürlicher Sprache für Bedrohungsuntersuchungen

Mithilfe von Abfragen in natürlicher Sprache und Gemini können Sie nach Bedrohungsfunden, Benachrichtigungen und anderen Informationen suchen. Weitere Informationen finden Sie in der Google SecOps-Dokumentation unter Mit natürlicher Sprache UDM-Suchanfragen generieren.

KI-Prüf-Widget für Anfragen

Damit Sie Anfragen nach Ergebnissen und Benachrichtigungen besser verstehen und untersuchen können, Gemini erstellt eine Zusammenfassung der einzelnen Fälle und schlägt vor, die nächsten Schritte, die Sie unternehmen können, um den Fall zu untersuchen. Zusammenfassung und nächste Schritte werden im Widget KI-Prüfung angezeigt, wenn Sie sich einen Fall ansehen.

Umsetzbare Erkenntnisse zur Sicherheit

Integrierte und integrierte Google Cloud-Dienste von Security Command Center überwachen Sie Ihre Leistung Assets und Logs für Kompromittierungsindikatoren und Konfigurationsänderungen, bekannten Bedrohungen, Sicherheitslücken und Fehlkonfigurationen abgleichen können. Um Kontext für Vorfälle zu bieten, werden Ergebnisse mit Informationen aus den folgenden Quellen angereichert:

  • Mit den Enterprise- und Premium-Stufen:
    • KI-generierte Zusammenfassungen, mit denen Sie Security Command Center besser verstehen und entsprechende Maßnahmen ergreifen können Ergebnisse und alle damit verbundenen Angriffspfade. Weitere Informationen finden Sie unter KI-generierte Zusammenfassungen.
    • Die Ergebnisse zu Sicherheitslücken enthalten Informationen aus den entsprechenden CVE-Einträgen, einschließlich der CVE-Bewertung, sowie Bewertungen von Mandiant zu den potenziellen Auswirkungen und der potenziellen Ausnutzung der Sicherheitslücke.
    • Leistungsstarke SIEM- und SOAR-Suchfunktionen, mit denen Sie Bedrohungen und Sicherheitslücken untersuchen und verwandte Entitäten in einer einheitlichen Zeitachse durchblättern können.
  • VirusTotal, ein Alphabet-eigener Dienst, der Kontext zu potenziell schädlichen Dateien, URLs, Domains und IP-Adressen bereitstellt.
  • MITRE-ATT&CK-Framework, in dem erklärt wird, Techniken für Angriffe auf Cloud-Ressourcen und entsprechende Abhilfemaßnahmen Anleitung.
  • Cloud-Audit-Logs (Administratoraktivitätslogs und Datenzugriffslogs)

Sie erhalten Benachrichtigungen zu neuen Ergebnissen nahezu in Echtzeit, damit Ihre Sicherheitsteams Daten erheben, Bedrohungen ermitteln und Maßnahmen ergreifen können, bevor sie zu Schäden oder Verlusten für das Unternehmen führen.

Mit einer zentralen Ansicht Ihres Sicherheitsstatus und einer robusten API haben, können Sie schnell Folgendes tun:

  • Fragen beantworten, wie:
    • Welche statischen IP-Adressen sind öffentlich zugänglich?
    • Welche Images werden auf den VMs ausgeführt?
    • Gibt es Belege dafür, dass Ihre VMs für Kryptowährung verwendet werden oder anderen missbräuchlichen Aktivitäten?
    • Welche Dienstkonten wurden hinzugefügt oder entfernt?
    • Wie werden Firewalls konfiguriert?
    • Welche Storage-Buckets enthalten personenbezogene Daten oder vertrauliche Daten? Für diese Funktion muss der Schutz sensibler Daten eingebunden sein.
    • Welche Cloud-Anwendungen sind anfällig für XSS-Sicherheitslücken (Cross-Site-Scripting)?
    • Sind meine Cloud Storage-Buckets mit dem Internet verbunden?
  • Ergreifen Sie Maßnahmen, um Ihre Assets zu schützen:
    • Implementieren Sie bestätigte Korrekturschritte für Fehlkonfigurationen von Assets und Compliance-Verstöße.
    • Kombinieren Sie Bedrohungsinformationen von Google Cloud und Drittanbietern wie Palo Alto Networks, um Ihr Unternehmen besser vor kostspieligen Bedrohungen auf Computing-Ebene zu schützen.
    • Prüfen Sie, ob die entsprechenden IAM-Richtlinien vorhanden sind. Sie werden benachrichtigt, wenn Richtlinien falsch konfiguriert oder unerwartet geändert werden.
    • Integrieren Sie Ergebnisse aus eigenen oder externen Quellen für Google Cloud-Ressourcen oder andere Hybrid- oder Multi-Cloud-Ressourcen. Weitere Informationen finden Sie unter Sicherheitsdienst eines Drittanbieters hinzufügen.
    • Reagieren Sie auf Bedrohungen in Ihrer Google Workspace-Umgebung und auf unsichere Änderungen in Google Groups.

Fehlkonfigurationen zur Identitäts- und Zugriffssteuerung

Mit Security Command Center können Sie Fehlkonfigurationen von Identitäten und Zugriffen in Google Cloud leichter erkennen und beheben. Bei den Ergebnissen zu Fehlkonfigurationen werden Hauptkonten (Identitäten) identifiziert, die falsch konfiguriert sind oder übermäßige oder sensible IAM-Berechtigungen (Zugriff) auf Google Cloud-Ressourcen haben.

Cloud Infrastructure Entitlement Management

Die Verwaltung von identitäts- und zugriffsbezogenen Sicherheitsproblemen wird manchmal als Cloud Infrastructure Entitlementment (CIEM). Security Command Center bietet CIEM-Funktionen, die einen umfassenden Überblick über die Sicherheit der Identitäts- und Zugriffskonfiguration Ihrer Organisation bieten. Security Command Center bietet diese Funktionen für mehrere Cloud-Plattformen, darunter Google Cloud und Amazon Web Services (AWS). Mit CIEM sehen Sie, welche Hauptkonten übermäßige Berechtigungen in Ihrem Cloud-Umgebungen. Zusätzlich zu Google Cloud IAM Mit CIEM können Sie Berechtigungen prüfen, Hauptkonten von anderen Identitätsanbietern (z. B. Entra ID (Azure AD) und Okta) auf Ihre Google Cloud-Ressourcen haben. Die schwerwiegendsten Identitäts- und Zugriffsprobleme verschiedener Cloud-Anbieter finden Sie in der Google Cloud Console auf der Seite Übersicht des Security Command Center im Bereich Ergebnisse zu Identität und Zugriff.

Weitere Informationen zu den CIEM-Funktionen von Security Command Center Siehe Übersicht über die Cloud-Infrastrukturberechtigung Verwaltung.

Vordefinierte Abfragen für Identität und Zugriff

Auf der Seite Sicherheitslücke in der Google Cloud Console können Sie Abfragevorlagen (vordefinierte Abfragen) auswählen, die die Sicherheitslücken-Erkennungsmechanismen oder ‑kategorien anzeigen, die sich auf Identität und Zugriff beziehen. Für jede Kategorie wird die Anzahl der aktiven Ergebnisse angezeigt.

Weitere Informationen zu den Abfragevoreinstellungen finden Sie unter Wenden Sie Abfragevoreinstellungen an.

Compliance mit Branchenstandards verwalten

Security Command Center überwacht Ihre Compliance mithilfe von Detektoren, die den Steuerelementen einer Vielzahl von Sicherheitsstandards zugeordnet sind.

Für jeden unterstützten Sicherheitsstandard Security Command Center prüft eine ausgewählt werden. Für die aktivierten Steuerelemente sehen Sie im Security Command Center, wie viele bestanden haben. Für die nicht bestandenen Kontrollen wird in Security Command Center eine Liste mit Ergebnissen angezeigt, die die Kontrollfehler beschreiben.

Das CIS prüft und zertifiziert die Zuordnungen der Security Command Center-Detektoren zu den einzelnen unterstützten Versionen des CIS Google Cloud Foundations Benchmarks. Zusätzliche Compliance-Zuordnungen dienen nur zu Referenzzwecken.

Security Command Center regelmäßig werden neue Benchmark-Versionen und -Standards unterstützt. Ältere Versionen werden weiterhin unterstützt, aber irgendwann eingestellt. Wir empfehlen, den neuesten unterstützten Benchmark oder Standard zu verwenden.

Mit dem Dienst zum Bestimmen des Sicherheitsstatus können Sie Organisationsrichtlinien und Security Health Analytics-Detektoren den Standards und Kontrollen zuordnen, die für Ihr Unternehmen gelten. Nachdem Sie einen Sicherheitsstatus erstellt haben, können Sie alle Änderungen im Blick behalten die die Compliance Ihres Unternehmens beeinträchtigen könnten.

Weitere Informationen zum Verwalten der Compliance finden Sie unter Compliance mit Sicherheitsstandards prüfen und melden.

Unterstützte Sicherheitsstandards

Google Cloud

In Security Command Center werden Detektoren für Google Cloud einem oder mehreren der folgenden Compliance-Standards zugeordnet:

AWS

Security Command Center ordnet Detektoren für Amazon Web Services (AWS) einer oder mehreren der folgenden Compliance-Anforderungen zu Standards:

Flexible Plattform für Ihre Sicherheitsanforderungen

Security Command Center bietet Anpassungs- und Integrationsoptionen, mit denen Sie den Dienst optimieren können, um Ihren sich ändernden Sicherheitsanforderungen gerecht zu werden.

Anpassungsoptionen

Zu den Anpassungsoptionen gehören:

Integrationsoptionen

Folgende Integrationsoptionen sind verfügbar:

Verwendungsweise von Security Command Center

Die folgende Tabelle enthält allgemeine Produktfeatures, Anwendungsfälle und Links zu relevanten Dokumentationen, damit Sie die benötigten Inhalte schnell finden können.

Feature Anwendungsfälle Verwandte Dokumente
Identifizierung und Überprüfung von Assets
  • Anzeigen aller Ressourcen, Services und Daten aus Ihrem gesamten Unternehmen oder Projekt und aus verschiedenen für Ihre Cloud-Plattformen.
  • Bewerten Sie Sicherheitslücken für unterstützte Assets und ergreifen Sie Maßnahmen, um Korrekturen für die schwerwiegendsten Probleme zu priorisieren.

Best Practices für das Security Command Center

Zugriffskontrolle

Mit Security Command Center in der Google Cloud Console

Identifikation von vertraulichen Daten
  • Finden Sie heraus, wo sensible und regulierte Daten mit Sensitive Data Protection gespeichert werden.
  • Verhindern Sie unbeabsichtigte Gefährdungen und achten Sie darauf, dass nur Personen mit berechtigtem Interesse Zugriff erhalten.
  • Ressourcen mit Daten mit mittlerer oder hoher Vertraulichkeit automatisch als _high-value resources kennzeichnen
Ergebnisse zum Schutz sensibler Daten an das Security Command Center senden
Integration von SIEM- und SOAR-Produkten von Drittanbietern
  • Security Command Center-Daten ganz einfach in externe SIEM- und SOAR-Systeme exportieren.

Security Command Center-Daten exportieren

Kontinuierliche Exporte

Erkennung von fehlerhafter Konfiguration

Security Health Analytics

Web Security Scanner Übersicht

Ergebnisse zu Sicherheitslücken

Erkennung von Sicherheitslücken in der Software
  • Sicherheitslücken in Software in Arbeitslasten auf virtuellen Maschinen erkennen und Container bei verschiedenen Cloud-Dienstanbietern.
  • Lassen Sie sich proaktiv über neue Sicherheitslücken und Änderungen Angriffsfläche.
  • Ermitteln Sie häufige Sicherheitslücken wie Cross-Site-Scripting (XSS) und Flash Injection, die Ihre Anwendungen gefährden.
  • Mit Security Command Center Premium priorisieren anhand von CVE-Informationen, einschließlich der Bewertung der Ausnutzbarkeit und der Auswirkungen Mandiant

GKE-Sicherheitsstatus-Dashboard

VM Manager

Web Security Scanner – Übersicht

Sicherheitslücken Ergebnisse

Identitäts- und Zugriffssteuerung überwachen
  • Stellen Sie sicher, dass die entsprechenden Richtlinien zur Zugriffssteuerung für Ihre Google Cloud-Ressourcen vorhanden sind. Sie werden benachrichtigt, wenn Richtlinien falsch konfiguriert oder unerwartet geändert werden.
  • Mit Abfragevorlagen können Sie sich schnell Ergebnisse zu Fehlkonfigurationen von Identitäten und Zugriffen sowie zu Rollen ansehen, denen zu viele Berechtigungen gewährt wurden.

IAM Recommender

Zugriffskontrolle

Fehlkonfigurationen zur Identitäts- und Zugriffssteuerung

Bedrohungserkennung
  • Ermitteln Sie bösartige Aktivitäten und Nutzer in Ihrer Infrastruktur und erhalten Sie Benachrichtigungen bei aktiven Bedrohungen.
  • Bedrohungen auf anderen Cloud-Plattformen erkennen

Bedrohungen verwalten

Event Threat Detection – Übersicht

Container Threat Detection – Übersicht

Fehlererkennung
  • Benachrichtigungen zu Fehlern und Fehlkonfigurationen erhalten, die verhindern, dass Security Command Center und seine Dienste wie vorgesehen funktionieren.
Security Command Center-Fehler – Übersicht
Abhilfemaßnahmen priorisieren
  • Angriff verwenden Risikobewertungen, um die Behebung solcher zu Sicherheitslücken und Fehlkonfigurationen gefunden.
  • Verwenden Sie Bewertungen der Angriffsgefahr für Ressourcen, um die für Ihr Unternehmen wertvollsten Ressourcen proaktiv zu schützen.
Übersicht über Angriffsrisikobewertungen und Angriffspfade
Risiken beheben
  • Implementieren Sie verifizierte und empfohlene Anweisungen zur Fehlerbehebung, um Assets schnell zu schützen.
  • Konzentrieren Sie sich auf die wichtigsten Felder in einem Ergebnis, um Sicherheitsanalysten schnell die Möglichkeit zu geben, fundierte Entscheidungen zu treffen.
  • Reichern Sie zugehörige Sicherheitslücken und Bedrohungen an und verbinden Sie sie, um TTPs zu identifizieren und zu erfassen.
  • Beheben Sie Fehler und Fehlkonfigurationen, die verhindern, dass Security Command Center und seine Dienste wie vorgesehen funktionieren.

Die Untersuchung und auf Bedrohungen reagieren

Problemlösung Ergebnisse von Security Health Analytics

Problemlösung Web Security Scanner-Ergebnisse

Sicherheit Automatisierung von Antworten

Problemlösung Security Command Center-Fehler

Statusverwaltung
  • Sorgen Sie dafür, dass Ihre Arbeitslasten den Sicherheitsstandards, Compliance-Bestimmungen und den benutzerdefinierten Sicherheitsanforderungen Ihrer Organisation entsprechen.
  • Wenden Sie Ihre Sicherheitskontrollen auf Google Cloud-Projekte, -Ordner oder -Organisationen an, bevor Sie Arbeitslasten bereitstellen.
  • Prüfen Sie kontinuierlich, ob Abweichungen von Ihren definierten Sicherheitskontrollen auftreten und beheben Sie diese.

Sicherheitsstatus

Verwalten eines Sicherheitsstatus

Eingaben von Sicherheitstools von Drittanbietern
  • Integrieren Sie die Ausgabe Ihrer vorhandenen Sicherheitstools wie Cloudflare, CrowdStrike, Prisma Cloud von Palo Alto Networks und Qualys in das Security Command Center. Die Integration der Ausgabe kann Ihnen helfen, die Folgendes:

    • DDoS-Angriffe
    • Manipulierte Endpunkte
    • Compliance-Richtlinienverstöße
    • Netzwerkangriffe
    • Sicherheitslücken und Bedrohungen für Instanzen

Konfigurieren Security Command Center

Sicherheitsquellen erstellen und verwalten

Benachrichtigungen in Echtzeit
  • Erhalten Sie Security Command Center-Benachrichtigungen per E-Mail, SMS, Slack, WebEx und anderen Diensten mit Pub/Sub-Benachrichtigungen.
  • Passen Sie Ergebnisfilter an, um Ergebnisse auf Zulassungslisten auszuschließen.

Ergebnissuche einrichten Benachrichtigungen

Aktivieren E-Mail- und Chatbenachrichtigungen in Echtzeit

Sicherheitsmarkierungen verwenden

Exportieren Security Command Center-Daten

Filterung Benachrichtigungen

Assets zu Zulassungslisten hinzufügen

REST API und Client-SDKs
  • Verwenden Sie die Security Command Center REST API oder Client-SDKs, um die Einbindung in Ihre vorhandenen Sicherheitssysteme und Workflows zu vereinfachen.

Security Command Center konfigurieren

Security Command Center-Clientbibliotheken

Security Command Center API

Steuerelemente für den Datenstandort

Wenn Sie Security Command Center Standard oder Premium zum ersten Mal aktivieren, können Sie die Datenstandortkontrollen aktivieren, um die Anforderungen an den Datenstandort zu erfüllen.

Durch das Aktivieren von Datenstandortkontrollen werden die Speicher- und Security Command Center-Ergebnisse, Ausblendungsregeln, kontinuierliche Exporte und BigQuery exportiert in einen der Datenspeicherorte, Multiregionen, die Security Command Center unterstützt.

Weitere Informationen finden Sie unter Datenstandort planen.

Security Command Center-Dienststufen

Security Command Center bietet drei Dienststufen: Standard, Premium und Unternehmen.

Die ausgewählte Stufe bestimmt die Funktionen und Dienste, die für Security Command Center.

Wenn Sie Fragen zu den Servicestufen von Security Command Center haben, wenden Sie sich an Ihren Kundenbetreuer oder an Ihren Google Cloud-Vertrieb.

Informationen zu den Kosten für die Verwendung einer Security Command Center-Stufe finden Sie unter Preise.

Standardstufe

Die Standardstufe umfasst die folgenden Dienste und Funktionen:

  • Security Health Analytics: In der Standardstufe bietet Security Health Analytics verwaltetes Scannen der Sicherheitslückenbewertung für Google Cloud, mit dem automatisch die höchsten Sicherheitslücken und Fehlkonfigurationen für Ihre Google Cloud-Assets erkannt werden. In der Standard-Stufe Security Health Analytics umfasst die folgenden Ergebnistypen:

    • Dataproc image outdated
    • Legacy authorization enabled
    • MFA not enforced
    • Non org IAM member
    • Open ciscosecure websm port
    • Open directory services port
    • Open firewall
    • Open group IAM member
    • Open RDP port
    • Open SSH port
    • Open Telnet port
    • Public bucket ACL
    • Public Compute image
    • Public dataset
    • Public IP address
    • Public log bucket
    • Public SQL instance
    • SSL not enforced
    • Web UI enabled
  • Web Security Scanner Benutzerdefinierte Scans: In der Standardstufe Web Security Scanner unterstützt benutzerdefinierte Scans bereitgestellter Anwendungen mit öffentlichen URLs und IP-Adressen, die sich nicht hinter einer Firewall befinden. Scans werden manuell konfiguriert, verwaltet und werden für alle Projekte durchgeführt. Außerdem werden OWASP Top Ten.
  • Security Command Center Fehler: Security Command Center bietet Anleitungen zur Erkennung und Abhilfe für die Konfiguration Fehler, die verhindern, dass Security Command Center und seine Dienste ordnungsgemäß funktionieren.
  • Kontinuierlich Exportfunktion, mit der der Export neuer Ergebnisse automatisch verwaltet wird zu Pub/Sub senden.
  • Zugriff auf integrierte Google Cloud-Dienste, einschließlich der folgenden:

    • Sensitive Data Protection erkennt, klassifiziert und sensible Daten schützt.
    • Google Cloud Armor schützt Google Cloud-Bereitstellungen vor Bedrohungen
    • Anomalieerkennung erkennt Sicherheitsanomalien in Ihren Projekten VM-Instanzen wie potenziell gehackten Anmeldedaten das Mining von Kryptowährungen.
    • Policy Controller ermöglicht die Anwendung und Erzwingung programmierbarer Richtlinien für Ihre Kubernetes-Cluster.
  • Ergebnisse des GKE-Sicherheitsstatus-Dashboards: Sie können sich Ergebnisse zu Fehlkonfigurationen der Kubernetes-Arbeitslastsicherheit, ausführbaren Sicherheitsbulletins und Sicherheitslücken im Containerbetriebssystem oder in Sprachpaketen ansehen. Einbinden des Dashboards für den GKE-Sicherheitsstatus Ergebnisse mit Security Command Center sind als Vorabversion verfügbar.
  • Einbindung in BigQuery, wodurch Ergebnisse zur Analyse in BigQuery exportiert werden.
  • Dienst für sensible Aktionen Er erkennt, wenn Aktionen in Ihrer Google Cloud ausgeführt werden. Organisation, Ordnern und Projekten, die Ihrem Unternehmen schaden könnten, wenn sie von einem böswilligen Akteur ergriffen werden.
  • Wenn Security Command Center auf Organisationsebene aktiviert ist, können Sie Nutzern IAM-Rollen auf Organisations-, Ordner- und Projektebene zuweisen.
  • Datenstandortkontrollen, die den Speicher und Security Command Center-Ergebnisse, Ausblendungsregeln, kontinuierliche Exporte und BigQuery exportiert in einen der Datenspeicherorte, Multiregionen, die Security Command Center unterstützt.

    Weitere Informationen finden Sie unter Datenstandort planen.

Premium-Stufe

Die Premium-Stufe umfasst alle Dienste und Funktionen der Standardstufe sowie die folgenden zusätzlichen Dienste und Funktionen:

  • Angriffspfadsimulationen helfen Ihnen, Sicherheitslücken und Fehlkonfigurationen zu identifizieren und zu priorisieren, indem die Pfade ermittelt werden, über die ein potenzieller Angreifer auf Ihre wertvollen Ressourcen zugreifen könnte. Die Simulationen berechnen und zuweisen Angriff Kontaktbewertungen für alle Ergebnisse, die diese Ressourcen verfügbar machen. Interaktiv Angriff Pfade bei der Visualisierung möglicher Angriffspfade und Informationen zu den Pfaden, zugehörigen Ergebnissen und den betroffenen Ressourcen.
  • Zu den Ergebnissen zu Sicherheitslücken gehören CVE Bewertungen von Mandiant damit Sie ihre Behebung priorisieren können.

    Auf der Seite Übersicht in der Console werden die Top-CVE-Ergebnisse angezeigt. finden Sie die Ergebnisse zu Sicherheitslücken, Ausnutzbarkeit und potenzielle Auswirkungen Mandiant Auf der Seite Ergebnisse können Sie Ergebnisse nach CVE-ID abfragen.

    Weitere Informationen finden Sie unter CVEs nach Auswirkung und Ausnutzbarkeit priorisieren.

  • Event Threat Detection überwacht Cloud Logging und Google Workspace mit Bedrohungsdaten, maschinelles Lernen und andere fortschrittliche Methoden, Bedrohungen wie Malware, Kryptomining und Daten erkennen Daten-Exfiltration. Eine vollständige Liste der integrierten Event Threat Detection-Detektoren finden Sie Siehe Event Threat Detection Regeln. Sie können auch benutzerdefinierte Detektoren für die Ereignisbedrohungserkennung erstellen. Für zu Modulvorlagen, mit denen Sie benutzerdefinierte finden Sie unter Übersicht über Benutzerdefinierte Module für Event Threat Detection.
  • Container Threat Detection erkennt die folgenden Container-Laufzeitangriffe:
    • Ausgeführte Binärdatei hinzugeführt
    • Hinzugefügte Mediathek geladen
    • Ausführung: Ausgeführte schädliche Binärdatei hinzugefügt
    • Ausführung: Hinzugefügte schädliche Mediathek geladen
    • Ausführung: Integrierter bösartiger Binärprogramm ausgeführt
    • Ausführung: Geändertes bösartiges Binärprogramm ausgeführt
    • Ausführung: Geänderte schädliche Bibliothek geladen
    • Schädliches Script ausgeführt
    • Reverse Shell
    • Unerwartete untergeordnete Shell
  • Die folgenden Policy Intelligence-Funktionen sind verfügbar:

    • Erweiterte IAM-Recommender-Features, darunter:
      • Empfehlungen für Rollen, die nicht zu den einfachen Rollen gehören
      • Empfehlungen für Rollen, die für andere Ressourcen als Organisationen, Ordner und Projekte gewährt wurden, z. B. Empfehlungen für Rollen, die für Cloud Storage-Buckets gewährt wurden
      • Empfehlungen für benutzerdefinierte Rollen
      • Richtlinienstatistiken
      • Statistiken zum „Lateral Movement“
    • Policy Analyzer im großen Maßstab (über 20 Abfragen pro Organisation pro Tag). Dieses Limit gilt für alle Policy Analyzer-Tools.
    • Visualisierungen für die Analyse von Organisationsrichtlinien.
  • Sie können Assets abfragen in Cloud Asset Inventory verwenden.
  • Virtual Machine Threat Detection erkennt potenziell schädliche Anwendungen, die in VM-Instanzen ausgeführt werden.
  • Security Health Analytics in der Premium-Stufe umfasst die folgenden Funktionen:

    • Verwaltete Scans auf Sicherheitslücken für alle Security Health Analytics-Detektoren
    • Überwachung vieler Branchen-Best Practices
    • Compliancemonitoring Detektorenkarte für Security Health Analytics die Kontrollen der gemeinsamen Sicherheits-Benchmarks.
    • Benutzerdefiniertes Modul , mit dem Sie Ihre eigenen benutzerdefinierten Security Health Analytics-Detektoren

    Auf der Premium-Stufe unterstützt Security Health Analytics die unter Einhaltung von Branchenstandards verwalten beschriebenen Standards.

  • Web Security Scanner der Premium-Stufe umfasst alle Funktionen der Standard-Stufe und zusätzliche Detektoren, die Kategorien in den OWASP-Top Ten unterstützen. Web Security Scanner fügt außerdem verwaltete Scans hinzu, die automatisch konfiguriert werden.
  • Compliance-Monitoring für Ihre Google Cloud-Assets

    Um die Einhaltung gängiger Sicherheitsmesswerte und ‑standards zu messen, werden die Sicherheitslückenscanner von Security Command Center gängigen Sicherheitskontrollelementen zugeordnet.

    Sie können unter anderem prüfen, ob Sie die Standards einhalten, nicht konforme Steuerelemente identifizieren und Berichte exportieren. Weitere Informationen finden Sie unter Einhaltung von Sicherheitsstandards prüfen und melden.

  • Sie können zusätzliche Kontingente für Cloud Asset Inventory anfordern, wenn erweitertes Asset-Monitoring erforderlich ist.
  • Mit dem Dienst zum Ermitteln des Sicherheitsstatus können Sie den Gesamtstatus Ihrer Sicherheit in Google Cloud definieren, bewerten und überwachen. Wenn Sie den Dienst zur Bewertung der Sicherheitslage verwenden möchten, müssen Sie die Premium-Stufe von Security Command Center auf Organisationsebene aktivieren.
  • Mit der IaC-Validierung können Sie Ihre Infrastruktur als Code (IaC) anhand der Organisationsrichtlinien validieren und Security Health Analytics-Detektoren, die Sie in Ihrer Google Cloud Unternehmen. Wenn Sie die IaC-Validierung verwenden möchten, müssen Sie die Premium-Stufe von Security Command Center auf Organisationsebene aktivieren.
  • VM Manager-Sicherheitslückenberichte
    • Wenn Sie VM Manager aktivieren, schreibt der Dienst die Erkenntnisse aus seinen Berichten zu Sicherheitslücken, die sich in der Vorschau befinden, automatisch in das Security Command Center. Berichte Sicherheitslücken in den in Compute Engine installierten Betriebssystemen identifizieren . Weitere Informationen finden Sie unter VM Manager.

Unternehmensstufe

Die Enterprise-Stufe ist eine vollständige cloudnative Plattform für den Anwendungsschutz (CNAPP), mit der SOC-Analysten, Sicherheitsanalysten und andere Cloud-Sicherheitsexperten die Sicherheit an mehreren Cloud-Dienstanbietern an einem zentralen Ort verwalten können.

Die Enterprise-Stufe bietet Funktionen zur Erkennung und Untersuchung, Unterstützung bei der Fallverwaltung und die Verwaltung des Sicherheitsstatus. Dazu gehört die Möglichkeit, benutzerdefinierte Sicherheitsstatusregeln zu definieren und bereitzustellen sowie das Risiko zu quantifizieren und zu visualisieren, das Sicherheitslücken und Fehlkonfigurationen für Ihre Cloud-Umgebung darstellen.

Die Enterprise-Stufe umfasst alle Dienste und Funktionen der Standard- und Premium-Stufen sowie die folgenden zusätzlichen Dienste und Funktionen:

Funktionen und Dienste der Enterprise-Stufe – Zusammenfassung

Die Enterprise-Stufe umfasst alle Stufen der Standard- und Premium-Stufe Dienste und Funktionen, die allgemein verfügbar sind.

In der Enterprise-Stufe werden Security Command Center:

  • Erkennung schädlicher Kombinationen, basierend auf der Risiko-Engine von Security Command Center Weitere Informationen finden Sie unter Überblick über schädliche Inhalte Kombinationen.
  • Multi-Cloud-Unterstützung Sie können Security Command Center mit einer anderen Cloud verbinden wie AWS, um Bedrohungen, Sicherheitslücken und Fehlkonfigurationen. Nachdem Sie Ihre hochwertigen Ressourcen können Sie das Angriffsrisiko mit Angriffsrisikobewertungen und Angriffspfaden.
  • SIEM-Funktionen (Security Information and Event Management) für Cloud-Umgebungen. Logs und andere Daten auf Bedrohungen in mehreren Cloud-Umgebungen scannen, Regeln zur Bedrohungserkennung definieren und in den erfassten Daten suchen Weitere Informationen finden Sie in der Google SecOps-Dokumentation zu SIEM.
  • SOAR-Funktionen (Sicherheitsorchestrierung, Automatisierung und Reaktion) für Cloud-Umgebungen. Anfragen verwalten, Reaktionsworkflows definieren und suchen die Antwortdaten. Weitere Informationen finden Sie in der Google SecOps-SOAR-Dokumentation.
  • CIEM-Funktionen (Cloud Infrastructure Entitlement Management) für Cloud-Umgebungen Hauptkonten (Identitäten) identifizieren, die falsch konfiguriert sind oder denen zu viele oder sensible IAM-Berechtigungen (Zugriff) für Ihre Cloud-Ressourcen gewährt wurden Weitere Informationen finden Sie unter Übersicht über Cloud Infrastructure Entitlement Management.
  • Erweiterte Erkennung von Sicherheitslücken in VMs und Containern mit den folgenden integrierten und integrierte Google Cloud-Dienste:
    • Google Kubernetes Engine (GKE) Enterprise Edition
    • Sicherheitslückenbewertung für AWS
    • VM Manager

Funktionen der Enterprise-Stufe, die auf Google Security Operations basieren

Die Fallverwaltungsfunktion, Playbook-Funktionen und andere SIEM- und SOAR-Funktionen der Enterprise-Stufe von Security Command Center basieren auf Google Security Operations. Wenn Sie einige dieser sehen Sie eventuell die Google SecOps- in der Weboberfläche angezeigt. Sie werden möglicherweise an den Google SecOps-Dokumentation zur Orientierung

Bestimmte Google SecOps-Funktionen werden nicht unterstützt oder mit Security Command Center, aber ihre Nutzung wird möglicherweise nicht deaktiviert oder ist auf die Enterprise-Stufe beschränkt. Verwenden Sie Folgendes: Funktionen und Funktionalität nur gemäß den angegebenen Einschränkungen:

  • Die Aufnahme von Cloud-Logs ist auf Logs beschränkt, die für die Erkennung von Cloud-Bedrohungen relevant sind, z. B.:

    • Google Cloud

      • Administratoraktivitätslogs für Cloud-Audit-Logs
      • Cloud-Audit-Logs: Logs zum Datenzugriff
      • Compute Engine-Syslog
      • GKE-Audit-Log
    • Google Workspace

      • Google Workspace-Ereignisse
      • Google Workspace-Benachrichtigungen
    • AWS

      • CloudTrail-Audit-Logs
      • Syslog
      • Auth-Logs
      • GuardDuty-Ereignisse
  • Ausgewählte Erkennungen sind auf solche beschränkt, die Bedrohungen in Cloud-Umgebungen.

  • Google Cloud Marketplace-Integrationen sind auf Folgendes beschränkt:

    • Siemplify
    • Tools
    • VirusTotal V3
    • Google Cloud Asset Inventory
    • Google Security Command Center
    • Jira
    • Funktionen
    • Google Cloud IAM
    • E-Mail V2
    • Google Cloud Compute
    • Google Chronicle
    • Mitre Att&ck
    • Mandiant Threat Intelligence
    • Google Cloud Policy Intelligence
    • Google Cloud Recommender
    • Siemplify – Dienstprogramme
    • Service jetzt
    • CSV
    • SCC Enterprise
    • AWS IAM
    • AWS EC2
  • Die Anzahl der benutzerdefinierten Regeln für einzelne Ereignisse ist auf 20 Regeln beschränkt.

  • Risikoanalysen für UEBA (User and entity Behavior Analytics) sind nicht verfügbar.

  • Angewandte Bedrohungsinformationen sind nicht verfügbar.

  • Der Gemini-Support für Google SecOps ist auf die Suche in natürlicher Sprache und Zusammenfassungen von Fallprüfungen beschränkt.

  • Die Datenaufbewahrung ist auf drei Monate beschränkt.

Aktivierungsstufen von Security Command Center

Sie können Security Command Center für ein einzelnes Projekt aktivieren, wird als Aktivierung auf Projektebene bezeichnet. Für eine gesamte Organisation. Dies wird als Aktivierung auf Organisationsebene bezeichnet.

Für die Enterprise-Stufe ist eine Aktivierung auf Organisationsebene erforderlich.

Weitere Informationen zum Aktivieren von Security Command Center finden Sie unter Security Command Center aktivieren

Nächste Schritte