Best Practices für Security Command Center

Diese Seite enthält Empfehlungen zum Verwalten von Security Command Center-Diensten und um das Produkt optimal zu nutzen.

Security Command Center ist eine leistungsstarke Plattform für das Monitoring von Daten- und Sicherheitsrisiken in Ihrer Organisation oder in einzelnen Projekten. Security Command Center ist wurde entwickelt, um maximalen Schutz durch dass eine minimale Konfiguration erforderlich ist. Es gibt jedoch Maßnahmen, die Sie ergreifen können, um die Plattform auf Ihren Workflow abzustimmen und Ihre Ressourcen zu schützen.

Premium- oder Enterprise-Stufe aktivieren

Die Premium- und Enterprise-Stufe von Security Command Center bieten die durch ein breites Spektrum an Cloud-Sicherheits- und Sicherheitsfunktionen Betriebsfunktionen, einschließlich Bedrohungserkennung, Software-Sicherheitslücken Bedrohungserkennung, Compliance-Bewertungen, Sicherheitsfunktionen und vieles mehr. Die Standard-Stufe bietet nur eingeschränkte Dienste und Funktionen.

Weitere Informationen zu allen Funktionen von Security Command Center finden Sie unter Security Command Center – Übersicht

Informationen zu den Funktionen der einzelnen Stufen finden Sie hier:

Aktivierung der Premium-Stufe auf Projektebene verwenden

Sie können die Premium-Stufe für Organisationen oder einzelne Projekte selbst in der Google Cloud Console aktivieren.

Bei Aktivierungen auf Projektebene sind bestimmte Funktionen, für die Zugriff auf Organisationsebene erforderlich ist, unabhängig von der Stufe nicht verfügbar. Weitere Informationen finden Sie unter Verfügbarkeit von Funktionen mit Aktivierungen auf Projektebene.

Aktivierungen der Die Abrechnung der Premium-Stufe erfolgt nach dem Ressourcenverbrauch, es sei denn, Sie ein Abo auf Organisationsebene erwerben. Weitere Informationen finden Sie unter Preise.

Weitere Informationen zur Aktivierung der beiden Security Command Center-Stufen finden Sie unter Security Command Center aktivieren.

Alle integrierten Dienste aktivieren

Wir empfehlen, alle integrierten Dienste zu aktivieren, sofern die Best Practices für die einzelnen Dienste dies zulassen.

Wenn Security Command Center bereits aktiviert ist, können Sie auf der Seite Einstellungen nachsehen, welche Dienste aktiviert sind.

Sie können jeden Dienst deaktivieren. Am besten belassen Sie jedoch alle Dienste in Ihrem Stufe aktiviert ist. Alle Dienste beibehalten aktiviert, profitieren Sie von kontinuierlichen Updates und sorgen dafür, für neue und geänderte Ressourcen.

Lesen Sie sich die Best Practices für Web Security Scanner durch, bevor Sie Web Security Scanner in der Produktion aktivieren.

Erwägen Sie auch die Aktivierung integrierter Dienste (Anomalieerkennung, Schutz sensibler Daten und Google Cloud Armor), prüfen Sie Sicherheitsdienste von Drittanbietern und aktivieren Sie Cloud Logging für Event Threat Detection und Container Threat Detection. Je nach Menge der Informationen und Google Cloud Armor-Kosten können beträchtlich sein. Halten Sie sich an die Best Practices zum Steuern der Kosten für den Schutz sensibler Daten und lesen Sie die Preisübersicht für Google Cloud Armor.

Logs für Event Threat Detection aktivieren

Wenn Sie Event Threat Detection verwenden, müssen Sie möglicherweise bestimmte Logs aktivieren die Event Threat Detection scannt. Obwohl einige Logs immer aktiviert sind, z. B. Cloud Logging-Administratoraktivitäten und andere, wie die meisten Audit-Logs zum Datenzugriff, und müssen aktiviert werden, damit Event Threat Detection sie scannen kann.

Zu den Logs, die Sie aktivieren sollten, gehören:

  • Audit-Logs zum Datenzugriff in Cloud Logging
  • Google Workspace-Logs (nur Aktivierung auf Organisationsebene)

Welche Logs Sie aktivieren müssen, hängt von folgenden Faktoren ab:

  • Die von Ihnen verwendeten Google Cloud-Dienste
  • Die Sicherheitsanforderungen Ihres Unternehmens

Für die Aufnahme und Speicherung bestimmter Protokolle können beim Logging Gebühren anfallen. Bevor Sie Logs aktivieren, sollten Sie Logging-Preise.

Nachdem ein Log aktiviert wurde, wird es automatisch von Event Threat Detection gescannt.

Ausführliche Informationen dazu, welche Logs für welche Erkennungsmodule erforderlich sind und welche davon aktiviert werden müssen, finden Sie unter Zu aktivierende Logs.

Satz hochwertiger Ressourcen definieren

Damit Sie Sicherheitslücken und Fehlkonfigurationen priorisieren können, die die für Sie wichtigsten Ressourcen gefährden, geben Sie an, welche Ihrer hochwertigen Ressourcen in die Gruppe Ihrer hochwertigen Ressourcen gehören.

Ergebnisse, die die Ressourcen in Ihrer Gruppe wertvoller Ressourcen gefährden, erhalten eine höhere Angriffsrisikobewertung.

Sie geben die Ressourcen an, die zu Ihrem Satz hochwertiger Ressourcen gehören, indem Sie wird erstellt Konfigurationen für den Wert von Ressourcen. Bis Sie Ihre erste Konfiguration für Ressourcenwerte erstellen, verwendet Security Command Center ein Standard-Ressourcenset mit hohem Wert, das nicht an Ihre Sicherheitsprioritäten angepasst ist.

Security Command Center in der Google Cloud Console verwenden

In der Google Cloud Console bietet Security Command Center Funktionen und visuelle Elemente, die noch nicht in der Security Command Center API verfügbar sind. Die Funktionen, darunter eine intuitive Benutzeroberfläche, formatierte Diagramme, Complianceberichte und visuelle Hierarchien von Ressourcen, geben Ihnen einen besseren Einblick in Ihre Organisation. Weitere Informationen finden Sie unter Security Command Center in der Google Cloud Console verwenden.

Funktionalität mit der API und mit gcloud erweitern

Wenn Sie programmatischen Zugriff benötigen, testen Sie die Security Command Center-Clientbibliotheken und die Security Command Center API, mit denen Sie auf Ihre Security Command Center-Umgebung zugreifen und diese steuern können. Sie können den API Explorer mit der Bezeichnung „API testen“ verwenden in Bereichen auf API-Referenzseiten, um die Security Command Center API ohne API-Schlüssel interaktiv kennenlernen. Sie können sich verfügbare Methoden und Parameter ansehen, Anfragen ausführen und Antworten in Echtzeit sehen.

Mit der Security Command Center API können Analysten und Administratoren Ihre Ressourcen und Ergebnisse verwalten. Entwickler können mit der API Lösungen für benutzerdefinierte Berichte und Monitoring erstellen.

Funktionalität mit benutzerdefinierten Erkennungsmodulen erweitern

Wenn Sie Detektoren benötigen, die die besonderen Anforderungen Ihres Unternehmens erfüllen, Erstellen benutzerdefinierter Module:

Ressourcen prüfen und verwalten

Security Command Center zeigt alle Ihre Assets auf der Seite Assets an. in der Google Cloud Console, wo Sie Ihre Assets abfragen und Informationen ansehen können einschließlich zugehöriger Erkenntnisse, Änderungsverlauf, Metadaten, und IAM-Richtlinien.

Die Asset-Informationen auf der Seite Assets werden aus Cloud Asset Inventory gelesen. Um in Echtzeit Benachrichtigungen über Ressourcen- und Richtlinienänderungen zu erhalten, Feeds erstellen und abonnieren

Weitere Informationen finden Sie unter Seite „Assets“:

Schnell auf Sicherheitslücken und Bedrohungen reagieren

Die Ergebnisse von Security Command Center enthalten Daten zu erkannten Sicherheitsproblemen, einschließlich ausführlicher Details zu den betroffenen Ressourcen und Schritt-für-Schritt-Anleitungen zur Untersuchung und Behebung von Sicherheitslücken und Bedrohungen.

In den Ergebnissen zu Sicherheitslücken werden die erkannte Sicherheitslücke oder Fehlkonfiguration beschrieben sowie ein Angriffsbewertungswert und eine geschätzte Schwere berechnet. Die Ergebnisse zu Sicherheitslücken warnen Sie auch bei Verstößen gegen Sicherheitsstandards oder -Benchmarks. Weitere Informationen finden Sie unter Unterstützte Benchmarks.

Mit Security Command Center Premium enthalten die Ergebnisse zu Sicherheitslücken auch Informationen von Mandiant zur Ausnutzbarkeit und den potenziellen Auswirkungen der Sicherheitslücke basierend auf dem entsprechenden CVE-Eintrag. Anhand dieser Informationen können Sie die Behebung der Sicherheitslücke priorisieren. Weitere Informationen finden Sie unter CVEs nach Auswirkung und Ausnutzbarkeit priorisieren.

Zu den Bedrohungsergebnissen gehören Daten aus dem MITRE-ATT&CK-Framework, das Techniken für Angriffe auf Cloud-Ressourcen erläutert und Hinweise zur Problembehebung bietet, und VirusTotal, eine Alphabet-eigener Dienst, der Kontext zu potenziell schädlichen Dateien, URLs, Domains und IP-Adressen bereitstellt.

Die folgenden Anleitungen sollen als Ausgangspunkt dienen, um Probleme zu beheben und Ihre Ressourcen zu schützen.

Ergebnismenge steuern

Um die Anzahl der Ergebnisse in Security Command Center zu steuern, können Sie einzelne Ergebnisse programmatisch ausblenden oder Ausblendungsregeln erstellen, die werden Ergebnisse anhand der von Ihnen definierten Filter automatisch ausgeblendet. Es gibt zwei Arten von Stummschaltungsregeln, mit denen Sie die Lautstärke von Suchergebnissen steuern können:

  • Statische Ausblendungsregeln, mit denen zukunftsgerichtete Ergebnisse auf unbestimmte Zeit ausgeblendet werden.
  • Dynamische Ausblendungsregeln mit einer Option zum vorübergehenden Ausblenden aktueller und zukünftiger Ergebnisse.

Wir empfehlen, ausschließlich dynamische Stummschaltungsregeln zu verwenden, um die Anzahl der manuell geprüften Ergebnisse zu reduzieren. Um Verwechslungen zu vermeiden, empfehlen wir, nicht gleichzeitig statische und dynamische Stummschaltungsregeln zu verwenden. Für einen Vergleich der beiden Regeln finden Sie unter Arten von Ausblendungen Regeln.

Ausgeblendete Ergebnisse werden zwar nicht angezeigt, aber weiterhin zu Audit- und Compliance-Zwecken in Logs erfasst. Sie können ausgeblendete Ergebnisse aufrufen und ihre Ausblendung jederzeit aufheben. Weitere Informationen finden Sie unter Ergebnisse in Security Command Center ausblenden.

Die empfohlene und effektivste Methode, Ergebnisse mit dynamischen Ausblendungsregeln auszublenden zur Steuerung des Ergebnisvolumens. Alternativ können Sie „Sicherheit“ verwenden um Assets zu auf die Zulassungsliste setzen.

Jeder Detektor von Security Health Analytics hat einen speziellen Markierungstyp, mit dem Sie Ressourcen aus der Erkennungsrichtlinie markiert. Dieses Feature ist nützlich, wenn Sie nicht möchten, dass Ergebnisse für bestimmte Ressourcen oder Projekte erstellt werden.

Weitere Informationen zu Sicherheitsmarkierungen finden Sie unter Sicherheitsmarkierungen verwenden.

Benachrichtigungen einrichten

Benachrichtigungen warnen Sie bezüglich neuer und aktualisierter Ergebnisse nahezu in Echtzeit. Mit E-Mail- und Chat-Benachrichtigungen ist das auch möglich, selbst wenn Sie nicht bei Security Command Center angemeldet sind. Weitere Informationen finden Sie unter Ergebnisbenachrichtigungen einrichten

Mit Security Command Center Premium können Sie kontinuierliche Exporte erstellen, was das Exportieren von Ergebnissen nach Pub/Sub vereinfacht.

Cloud Run-Funktionen kennenlernen

Cloud Run-Funktionen sind eine Google Cloud-Dienst, mit dem Sie Cloud-Dienste verbinden und Code ausführen können auf Ereignisse reagieren. Mit der Notifications API und Cloud Run-Funktionen können Sie Ergebnisse an Fehlerbehebungs- und Ticketsysteme von Drittanbietern senden oder automatisierte Aktionen ausführen, z. B. Ergebnisse automatisch schließen.

Besuchen Sie zum Einstieg das Open-Source-Repository von Security Command Center Cloud Run-Funktionscode Das Repository enthält Lösungen, die Sie bei der Durchführung automatisierter Aktionen zu Sicherheitsergebnissen unterstützen.

Kommunikation aktiviert lassen

Security Command Center wird regelmäßig mit neuen Detektoren und Features aktualisiert. Versionshinweise zum Produkt Änderungen und Aktualisierungen der Dokumentation. Sie können jedoch Ihre Kommunikationseinstellungen in der Google Cloud Console festlegen, um Produktaktualisierungen und Sonderangebote per E-Mail oder auf Ihrem Mobilgerät zu erhalten. Sie können auch angeben, ob Sie an Nutzerumfragen und Pilotprogrammen teilnehmen möchten.

Wenn Sie Kommentare oder Fragen haben, können Sie Feedback geben, indem Sie sich an Ihren Vertriebsmitarbeiter wenden, unseren Cloud Support kontaktieren oder einen Programmfehler melden.

Nächste Schritte