Diese Seite enthält Empfehlungen zum Verwalten von Security Command Center-Diensten und um das Produkt optimal zu nutzen.
Security Command Center ist eine leistungsstarke Plattform zur Überwachung von Daten- und Sicherheitsrisiken in Ihrem Unternehmen oder in einzelnen Projekten. Security Command Center ist wurde entwickelt, um maximalen Schutz durch dass eine minimale Konfiguration erforderlich ist. Es gibt jedoch Maßnahmen, die Sie ergreifen können, um die Plattform auf Ihren Workflow abzustimmen und Ihre Ressourcen zu schützen.
Premium- oder Enterprise-Stufe aktivieren
Die Premium- und Enterprise-Stufe von Security Command Center bieten die durch ein breites Spektrum an Cloud-Sicherheits- und Sicherheitsfunktionen Betriebsfunktionen, einschließlich Bedrohungserkennung, Software-Sicherheitslücken Bedrohungserkennung, Compliance-Bewertungen, Sicherheitsfunktionen und vieles mehr. Die Standard-Stufe bietet nur eingeschränkte Dienste und Funktionen.
Weitere Informationen zu allen Funktionen von Security Command Center, finden Sie unter Security Command Center – Übersicht.
Informationen zu den Funktionen, die in den einzelnen finden Sie die folgenden Informationen:
Aktivierungen der Premium-Stufe auf Projektebene verwenden
Sie können die Premium-Stufe für Organisationen oder Einzelpersonen aktivieren in der Google Cloud Console erstellen.
Bei Aktivierungen auf Projektebene sind Zugriff auf Organisationsebene sind unabhängig von der Stufe nicht verfügbar. Weitere Informationen Weitere Informationen finden Sie unter Funktionsverfügbarkeit bei Aktivierungen auf Projektebene.
Aktivierungen der Die Abrechnung der Premium-Stufe erfolgt nach dem Ressourcenverbrauch, es sei denn, Sie ein Abo auf Organisationsebene erwerben. Weitere Informationen finden Sie unter Preise.
Weitere Informationen zum Aktivieren beider Stufen von Security Command Center, finden Sie unter Security Command Center aktivieren – Übersicht.
Alle integrierten Dienste aktivieren
Wir empfehlen, gemäß den Best Practices alle integrierten Dienste zu aktivieren Empfehlungen einzelner Dienste.
Wenn Security Command Center aktiviert haben, können Sie auf der Seite Seite Einstellungen:
Sie können jeden Dienst deaktivieren. Am besten belassen Sie jedoch alle Dienste in Ihrem Stufe aktiviert ist. Alle Dienste beibehalten aktiviert, profitieren Sie von kontinuierlichen Updates und sorgen dafür, für neue und geänderte Ressourcen.
Bevor Sie Web Security Scanner aktivieren, Produktionsumgebung finden Sie unter Best Practices für Web Security Scanner.
Erwägen Sie auch die Aktivierung integrierter Dienste (Anomalieerkennung, Schutz sensibler Daten und Google Cloud Armor), prüfen Sie Sicherheitsdienste von Drittanbietern und aktivieren Sie Cloud Logging für Event Threat Detection und Container Threat Detection. Je nach Menge der Informationen und Google Cloud Armor-Kosten können beträchtlich sein. Befolgen Sie die Best Practices für Kosten für den Schutz sensibler Daten unter Kontrolle halten und die Google Cloud Armor-Preise lesen Leitfaden.
Logs für Event Threat Detection aktivieren
Wenn Sie Event Threat Detection verwenden, müssen Sie möglicherweise bestimmte Logs aktivieren die Event Threat Detection scannt. Obwohl einige Logs immer aktiviert sind, z. B. Cloud Logging-Administratoraktivitäten und andere, wie die meisten Audit-Logs zum Datenzugriff, und müssen aktiviert werden, damit Event Threat Detection sie scannen kann.
Zu den Logs, die Sie aktivieren sollten, gehören:
- Audit-Logs zum Datenzugriff in Cloud Logging
- Google Workspace-Logs (nur Aktivierungen auf Organisationsebene)
Welche Logs Sie aktivieren müssen, hängt von folgenden Faktoren ab:
- Die von Ihnen verwendeten Google Cloud-Dienste
- Die Sicherheitsanforderungen Ihres Unternehmens
Beim Logging fallen möglicherweise Gebühren für die Aufnahme und Speicherung bestimmte Protokolle. Bevor Sie Logs aktivieren, sollten Sie Logging-Preise.
Nachdem ein Log aktiviert wurde, beginnt Event Threat Detection automatisch mit dem Scannen.
Weitere Informationen dazu, welche Erkennungsmodule welche Logs aktiviert werden müssen, Logs, die aktiviert werden müssen
Satz hochwertiger Ressourcen definieren
Damit Sie die Ergebnisse von Sicherheitslücken und Fehlkonfigurationen priorisieren können, die Ressourcen verfügbar machen, die für Sie am wichtigsten sind, welche Ihrer hochwertigen Ressourcen Satz hochwertiger Ressourcen.
Ergebnisse, die die Ressourcen in Ihrem Satz hochwertiger Ressourcen preisgeben, höhere Angriffsrisikobewertungen.
Sie geben die Ressourcen an, die zu Ihrem Satz hochwertiger Ressourcen gehören. indem Sie Konfigurationen für den Wert von Ressourcen erstellen. Bis Sie Ihre erste Konfiguration für den Ressourcenwert verwendet, verwendet Security Command Center einen standardmäßigen Ressourcensatz, der nicht an Ihre Sicherheitsprioritäten angepasst ist.
Security Command Center in der Google Cloud Console verwenden
In der Google Cloud Console bietet Security Command Center Funktionen und visuelle Elemente, die noch nicht in der Security Command Center API verfügbar sind. Die Funktionen, darunter eine intuitive Benutzeroberfläche, formatierte Diagramme, Compliance-Berichte, und visuelle Ressourcenhierarchien bieten Ihnen einen besseren Einblick Unternehmen. Weitere Informationen finden Sie unter Security Command Center verwenden in der Google Cloud Console.
Funktionalität mit der API und mit gcloud erweitern
Wenn Sie programmatischen Zugriff benötigen, testen Sie die Security Command Center API, mit der Sie auf Ihre Security Command Center-Umgebung zugreifen und diese steuern können. Sie können API Explorer mit der Bezeichnung "API testen" in Bereichen auf API-Referenzseiten verwenden, um die Security Command Center API ohne API-Schlüssel interaktiv zu erntdecken. Sie können sich verfügbare Methoden und Parameter ansehen, Anfragen ausführen und Antworten in Echtzeit sehen.
Mit der Security Command Center API können Analysten und Administratoren Ihre Ressourcen und Ergebnisse verwalten. Entwickler können mit der API Lösungen für benutzerdefinierte Berichte und Monitoring erstellen.
Funktionen mit benutzerdefinierten Erkennungsmodulen erweitern
Wenn Sie Detektoren benötigen, die die besonderen Anforderungen Ihres Unternehmens erfüllen, Erstellen benutzerdefinierter Module:
- Benutzerdefinierte Module für Security Health Analytics ermöglicht Ihnen, eigene Erkennungsregeln für Sicherheitslücken, Fehlkonfigurationen oder Complianceverstöße.
- Mit benutzerdefinierten Modulen für Event Threat Detection können Sie Ihren Logging-Stream für Bedrohungen auf der Grundlage von Parametern, angeben.
Ressourcen prüfen und verwalten
Security Command Center zeigt alle Ihre Assets auf der Seite Assets an. in der Google Cloud Console, wo Sie Ihre Assets abfragen und Informationen ansehen können einschließlich zugehöriger Erkenntnisse, Änderungsverlauf, Metadaten, und IAM-Richtlinien.
Die Asset-Informationen auf der Seite Assets werden aus Cloud Asset Inventory: Um in Echtzeit Benachrichtigungen über Ressourcen- und Richtlinienänderungen zu erhalten, Feeds erstellen und abonnieren
Weitere Informationen finden Sie unter Seite „Assets“:
Schnell auf Sicherheitslücken und Bedrohungen reagieren
Security Command Center-Ergebnisse enthalten Aufzeichnungen zu erkannten Sicherheitsproblemen die umfassende Details zu den betroffenen Ressourcen enthalten, Schritt-für-Schritt-Anleitung zum Untersuchen und Beheben von Problemen Sicherheitslücken und Bedrohungen.
Die Ergebnisse beschreiben die erkannte Sicherheitslücke oder Fehlkonfiguration, Berechnen einer Angriffsrisikobewertung und Schweregrad. Die Ergebnisse von Sicherheitslücken weisen Sie auch auf Sicherheitsverstöße hin oder Benchmarks vorzuschlagen. Weitere Informationen finden Sie unter Unterstützte Benchmarks:
Bei Security Command Center Premium enthalten die Ergebnisse zu Sicherheitslücken auch Informationen von Mandiant und mögliche Auswirkungen der Sicherheitslücke basierend auf dem entsprechenden CVE-Eintrag der Sicherheitslücke. Anhand dieser Informationen können Sie für die Behebung der Sicherheitslücke. Weitere Informationen finden Sie unter Nach CVE-Auswirkung und Ausnutzbarkeit priorisieren.
Zu den Bedrohungsergebnissen gehören Daten aus dem MITRE-ATT&CK-Framework, das Techniken für Angriffe auf Cloud-Ressourcen erläutert und Hinweise zur Problembehebung bietet, und VirusTotal, eine Alphabet-eigener Dienst, der Kontext zu potenziell schädlichen Dateien, URLs, Domains und IP-Adressen bereitstellt.
Die folgenden Anleitungen sollen als Ausgangspunkt dienen, um Probleme zu beheben und Ihre Ressourcen zu schützen.
- Behebung von Security Health Analytics-Ergebnissen
- Web Security Scanner-Ergebnisse beheben
- Bedrohungen untersuchen und darauf reagieren
Ergebnismenge steuern
Wenn Sie die Ergebnismenge im Security Command Center steuern möchten, können Sie einzelne Ergebnisse manuell oder programmatisch ausblenden oder Ausblendungsregeln erstellen, mit denen aktuelle Ergebnisse automatisch ausgeblendet wird und zukünftige Ergebnisse basierend auf von Ihnen definierten Filtern.
Ausgeblendete Ergebnisse werden zwar nicht angezeigt, aber weiterhin zu Audit- und Compliance-Zwecken in Logs erfasst. Sie können ausgeblendete Ergebnisse aufrufen und ihre Ausblendung jederzeit aufheben. Weitere Informationen finden Sie unter Ergebnisse in Security Command Center ausblenden.
Das Ausblenden von Ergebnissen ist der empfohlene und effektivste Ansatz zur Steuerung von Ergebnisvolumen. Alternativ können Sie Sicherheitsmarkierungen verwenden, um Assets auf Zulassungslisten zu setzen.
Jeder Security Health Analytics-Detektor hat einen speziellen Markierungstyp, mit dem Sie markierte Ressourcen aus der Erkennungsrichtlinie ausschließen können. Dieses Feature ist nützlich, wenn Sie nicht möchten, dass Ergebnisse für bestimmte Ressourcen oder Projekte erstellt werden.
Weitere Informationen zu Sicherheitsmarkierungen finden Sie unter Sicherheitsmarkierungen verwenden.
Benachrichtigungen einrichten
Benachrichtigungen warnen Sie bezüglich neuer und aktualisierter Ergebnisse nahezu in Echtzeit. Mit E-Mail- und Chat-Benachrichtigungen ist das auch möglich, selbst wenn Sie nicht bei Security Command Center angemeldet sind. Weitere Informationen finden Sie unter Ergebnisbenachrichtigungen einrichten.
Mit Security Command Center Premium können Sie kontinuierliche Exporte erstellen, was das Exportieren von Ergebnissen nach Pub/Sub vereinfacht.
Cloud Functions entdecken
Cloud Functions ist ein Google Cloud-Dienst, mit dem Sie Cloud-Dienste verbinden und Code als Reaktion auf Ereignisse ausführen können. Mit der Notifications API und Cloud Functions können Sie Ergebnisse an Fehlerbehebungs- und Ticketsysteme von Drittanbietern senden oder automatisierte Aktionen ausführen, z. B. Ergebnisse automatisch schließen.
Öffnen Sie zuerst das Open-Source-Repository von Security Command Center mit Cloud Functions-Code. Das Repository enthält Lösungen, die Sie bei der Durchführung automatisierter Aktionen zu Sicherheitsergebnissen unterstützen.
Kommunikation aktiviert lassen
Security Command Center wird regelmäßig mit neuen Detektoren und Features aktualisiert. Versionshinweise informieren Sie über Produktänderungen und Aktualisierungen der Dokumentation. Sie können jedoch Ihre Kommunikationseinstellungen in der Google Cloud Console festlegen, um Produktaktualisierungen und Sonderangebote über E-Mail oder Ihr Mobilgerät zu erhalten. Sie können auch angeben, ob Sie an Nutzerumfragen und Pilotprogrammen teilnehmen möchten.
Wenn Sie Kommentare oder Fragen haben, können Sie Feedback geben, indem Sie sich an Ihren Vertriebsmitarbeiter wenden, unseren Cloud Support kontaktieren oder einen Programmfehler melden.