Auf dieser Seite finden Sie Empfehlungen zum Verwalten von Security Command Center-Diensten und -Features, damit Sie das Produkt optimal nutzen können.
Security Command Center ist eine leistungsstarke Plattform zum Überwachen von Daten und Sicherheitsrisiken in Ihrer gesamten Organisation oder einzelnen Projekten. Security Command Center wurde entwickelt, um maximalen Schutz bei minimaler Konfiguration zu bieten. Es gibt jedoch Maßnahmen, die Sie ergreifen können, um die Plattform auf Ihren Workflow abzustimmen und Ihre Ressourcen zu schützen.
Premium-Stufe von Security Command Center aktivieren
Die Premium-Stufe von Security Command Center umfasst wesentlich mehr Features als die Standardstufe.
Security Command Center Standard enthält Security Health Analytics ,Anomalieerkennung und nicht verwaltete Scans in Web Security Scanner, die zusammen häufige Sicherheitslücken und Anomalien in Ihren Website- oder Anwendungsprojekten erkennen. In der Standardstufe umfasst Security Health Analytics nur eine einfache Gruppe von Detektoren mit mittlerem und hohem Schweregrad.
Security Command Center Premium umfasst Dienste der Standardstufe sowie Complianceberichte, verwaltete Web Security Scanner-Scans, alle Security Health Analytics-Detektoren und die folgenden integrierten Premiumdienste:
- Rapid Vulnerability DetectionVorschau
- Virtual Machine Threat Detection
- Container Threat Detection
- Event Threat Detection
- Sicherheitsstatus
Security Command Center Premium enthält auch Angriffsrisikobewertungen, mit denen Sie Sicherheitslücken und Ergebnisse von Fehlkonfigurationen priorisieren können, sowie interaktive Angriffspfade, mit denen Sie visualisieren können, wie ein potenzieller Angreifer auf Ihre hochwertigen Ressourcen zugreifen könnte.
Sie können die Premium-Stufe für Organisationen oder einzelne Projekte selbst in der Google Cloud Console aktivieren.
Bei Aktivierungen auf Projektebene sind bestimmte Funktionen, für die ein Zugriff auf Organisationsebene erforderlich ist, unabhängig von der Stufe nicht verfügbar. Weitere Informationen finden Sie unter Verfügbarkeit von Features mit Aktivierungen auf Projektebene.
Aktivierungen der Premium-Stufe werden auf Basis des Ressourcenverbrauchs abgerechnet, sofern Sie kein Abo auf Organisationsebene erwerben. Weitere Informationen finden Sie unter Preise.
Weitere Informationen zum Aktivieren der beiden Ebenen von Security Command Center finden Sie unter Übersicht zum Aktivieren von Security Command Center.
Weitere Informationen zur Verwendung von Security Command Center zur Verbesserung Ihres Sicherheitsstatus finden Sie unter:
- Security Command Center – Übersicht
- Mit Security Command Center die Kontrolle über Ihre Sicherheit übernehmen
- Sicherheitsstatus – Übersicht
Alle integrierten Dienste aktivieren
Wir empfehlen, alle integrierten Dienste gemäß den Best Practice-Empfehlungen der einzelnen Dienste zu aktivieren.
Wenn Security Command Center bereits aktiviert ist, können Sie auf der Seite Einstellungen prüfen, welche Dienste aktiviert sind.
Sie können jeden Dienst deaktivieren. Es empfiehlt sich jedoch, alle Dienste auf Ihrer Stufe dauerhaft aktiviert zu lassen. Wenn Sie alle Dienste aktiviert lassen, können Sie von kontinuierlichen Updates profitieren und dafür sorgen, dass für neue und geänderte Ressourcen Schutzmaßnahmen bereitgestellt werden.
Lesen Sie die Best Practices, bevor Sie Rapid Vulnerability Detection oder Web Security Scanner für die Produktion aktivieren:
Beispielsweise führt Rapid Vulnerability Detection während Scans Aktionen aus, die sich negativ auf Ihre Produktionsressourcen auswirken können. Dazu gehören der Zugriff auf Administratoroberflächen und der Versuch, sich bei Ihren VMs anzumelden. Verwenden Sie Rapid Vulnerability Detection als Best Practice, um Ressourcen in Nicht-Produktionsumgebungen zu scannen, bevor Sie sie für die Produktion bereitstellen.
Sie können auch integrierte Dienste (Anomalieerkennung, Schutz sensibler Daten und Google Cloud Armor) aktivieren, Sicherheitsdienste von Drittanbietern in Betracht ziehen und Cloud Logging für Event Threat Detection und Container Threat Detection aktivieren. Je nach Informationsmenge können die Kosten für den Schutz sensibler Daten und für Google Cloud Armor beträchtlich sein. Folgen Sie den Best Practices, um die Kosten für den Schutz sensibler Daten unter Kontrolle zu halten, und lesen Sie die Preisübersicht für Google Cloud Armor.
Weitere Informationen zu Security Command Center-Diensten finden Sie in den folgenden Videos:
- Erste Schritte mit Event Threat Detection
- Erste Schritte mit Container Threat Detection
- Erste Schritte mit Web Security Scanner
- Erste Schritte mit Security Health Analytics
- Erste Schritte mit Cloud Data Loss Prevention in Security Command Center
Logs für Event Threat Detection aktivieren
Wenn Sie Event Threat Detection verwenden, müssen Sie möglicherweise bestimmte Logs aktivieren, die von Event Threat Detection gescannt werden. Obwohl einige Logs (z. B. Audit-Logs zur Administratoraktivität in Cloud Logging) immer aktiviert sind, sind andere (z. B. die meisten Audit-Logs zum Datenzugriff) standardmäßig deaktiviert und müssen aktiviert werden, bevor Event Threat Detection sie scannen kann.
Zu den Logs, die Sie aktivieren sollten, gehören:
- Audit-Logs zum Datenzugriff in Cloud Logging
- Google Workspace-Logs (nur Aktivierungen auf Organisationsebene)
Welche Logs Sie aktivieren müssen, hängt von folgenden Faktoren ab:
- Die von Ihnen verwendeten Google Cloud-Dienste
- Die Sicherheitsanforderungen Ihres Unternehmens
In Logging können für die Aufnahme und Speicherung bestimmter Logs Gebühren anfallen. Lesen Sie die Informationen zu den Logging-Preisen, bevor Sie Logs aktivieren.
Nachdem ein Protokoll aktiviert wurde, beginnt Event Threat Detection automatisch mit dem Scannen eines Protokolls.
Ausführlichere Informationen dazu, für welche Erkennungsmodule welche Logs erforderlich sind und welche dieser Logs aktiviert werden müssen, finden Sie unter Zu aktivierende Logs.
Satz hochwertiger Ressourcen definieren
Damit Sie die Ergebnisse von Sicherheitslücken und Fehlkonfigurationen priorisieren können, durch die die Ressourcen gefährdet sind, die am wichtigsten zu schützen sind, geben Sie an, welche Ihrer hochwertigen Ressourcen zu Ihrem Satz hochwertiger Ressourcen gehören.
Ergebnisse, durch die Ressourcen in Ihrem Satz hochwertiger Ressourcen gefährdet sind, erhalten eine höhere Angriffsrisikobewertung.
Sie geben die Ressourcen an, die zu Ihrem Satz hochwertiger Ressourcen gehören, indem Sie Konfigurationen für den Ressourcenwert erstellen. Bis Sie Ihre erste Konfiguration für den Ressourcenwert erstellt haben, verwendet Security Command Center einen Standardsatz hochwertiger Ressourcen, der nicht an Ihre Sicherheitsprioritäten angepasst ist.
Security Command Center in der Google Cloud Console verwenden
In der Google Cloud Console bietet Security Command Center Funktionen und visuelle Elemente, die in der Security Command Center API noch nicht verfügbar sind. Die Features wie eine intuitive Benutzeroberfläche, formatierte Diagramme, Complianceberichte und eine visuelle Ressourcenhierarchie ermöglichen Ihnen einen besseren Einblick in Ihr Unternehmen. Weitere Informationen finden Sie unter Security Command Center in der Google Cloud Console verwenden.
Funktionalität mit der API und mit gcloud erweitern
Wenn Sie programmatischen Zugriff benötigen, testen Sie die Security Command Center API, mit der Sie auf Ihre Security Command Center-Umgebung zugreifen und diese steuern können. Sie können API Explorer mit der Bezeichnung "API testen" in Bereichen auf API-Referenzseiten verwenden, um die Security Command Center API ohne API-Schlüssel interaktiv zu erntdecken. Sie können sich verfügbare Methoden und Parameter ansehen, Anfragen ausführen und Antworten in Echtzeit sehen.
Mit der Security Command Center API können Analysten und Administratoren Ihre Ressourcen und Ergebnisse verwalten. Entwickler können mit der API Lösungen für benutzerdefinierte Berichte und Monitoring erstellen. Sehen Sie sich in einem Beispiel an, wie unsere Lösungsarchitekten die Security Command Center API verwendet haben, um Policy Controller-Audit-Verstöße in Security Command Center zu melden.
Funktionalität mit benutzerdefinierten Erkennungsmodulen erweitern
Wenn Sie Detektoren benötigen, die den individuellen Anforderungen Ihrer Organisation entsprechen, sollten Sie benutzerdefinierte Module erstellen:
- Mit benutzerdefinierten Modulen für Security Health Analytics können Sie Ihre eigenen Erkennungsregeln für Sicherheitslücken, Fehlkonfigurationen oder Complianceverstöße definieren.
- Mit benutzerdefinierten Modulen für Event Threat Detection können Sie Ihren Logging-Stream basierend auf von Ihnen angegebenen Parametern auf Bedrohungen überwachen.
Ressourcen prüfen und verwalten
Security Command Center zeigt alle Ihre Assets in der Google Cloud Console auf der Seite Assets an. Dort können Sie Ihre Assets abfragen und Informationen über sie abrufen, einschließlich zugehöriger Ergebnisse, ihres Änderungsverlaufs, ihrer Metadaten und von IAM-Richtlinien.
Die Asset-Informationen auf der Seite Assets werden aus Cloud Asset Inventory abgerufen. Wenn Sie in Echtzeit über Ressourcen- und Richtlinienänderungen benachrichtigt werden möchten, erstellen und abonnieren Sie einen Feed.
Weitere Informationen finden Sie auf der Seite „Assets“.
Schnell auf Sicherheitslücken und Bedrohungen reagieren
Die Ergebnisse von Security Command Center enthalten Aufzeichnungen erkannter Sicherheitsprobleme, die ausführliche Details zu den betroffenen Ressourcen und Schritt-für-Schritt-Anleitungen zum Untersuchen und Beheben von Sicherheitslücken und Bedrohungen enthalten.
Die Ergebnisse beschreiben die erkannte Sicherheitslücke oder Fehlkonfiguration, berechnen eine Angriffsbewertung und einen geschätzten Schweregrad. Die Ergebnisse zu Sicherheitslücken weisen Sie auch auf Verstöße gegen Sicherheitsstandards oder -Benchmarks hin. Weitere Informationen finden Sie unter Unterstützte Benchmarks.
In Security Command Center Premium enthalten die Ergebnisse zu Sicherheitslücken auch Informationen von Mandiant über die Ausnutzbarkeit und potenzielle Auswirkungen der Sicherheitslücke (basierend auf dem entsprechenden CVE-Eintrag). Anhand dieser Informationen können Sie die Behebung der Sicherheitslücke priorisieren. Weitere Informationen finden Sie unter Priorisieren Sie nach CVE-Auswirkungen und -Ausnutzbarkeit.
Zu den Bedrohungsergebnissen gehören Daten aus dem MITRE-ATT&CK-Framework, das Techniken für Angriffe auf Cloud-Ressourcen erläutert und Hinweise zur Problembehebung bietet, und VirusTotal, eine Alphabet-eigener Dienst, der Kontext zu potenziell schädlichen Dateien, URLs, Domains und IP-Adressen bereitstellt.
Die folgenden Anleitungen sollen als Ausgangspunkt dienen, um Probleme zu beheben und Ihre Ressourcen zu schützen.
- Behebung von Security Health Analytics-Ergebnissen
- Web Security Scanner-Ergebnisse beheben
- Ergebnisse von Rapid Vulnerability Detection-Scans und entsprechende Maßnahmen
- Bedrohungen untersuchen und darauf reagieren
Ergebnismenge steuern
Wenn Sie die Ergebnismenge im Security Command Center steuern möchten, können Sie einzelne Ergebnisse manuell oder programmatisch ausblenden oder Ausblendungsregeln erstellen, mit denen aktuelle Ergebnisse automatisch ausgeblendet wird und zukünftige Ergebnisse basierend auf von Ihnen definierten Filtern.
Ausgeblendete Ergebnisse werden zwar nicht angezeigt, aber weiterhin zu Audit- und Compliance-Zwecken in Logs erfasst. Sie können ausgeblendete Ergebnisse aufrufen und ihre Ausblendung jederzeit aufheben. Weitere Informationen finden Sie unter Ergebnisse in Security Command Center ausblenden.
Das Ausblenden von Ergebnissen ist der empfohlene und effektivste Ansatz zur Steuerung von Ergebnisvolumen. Alternativ können Sie Sicherheitsmarkierungen verwenden, um Assets auf Zulassungslisten zu setzen.
Jeder Security Health Analytics-Detektor hat einen speziellen Markierungstyp, mit dem Sie markierte Ressourcen aus der Erkennungsrichtlinie ausschließen können. Dieses Feature ist nützlich, wenn Sie nicht möchten, dass Ergebnisse für bestimmte Ressourcen oder Projekte erstellt werden.
Weitere Informationen zu Sicherheitsmarkierungen finden Sie unter Sicherheitsmarkierungen verwenden.
Benachrichtigungen einrichten
Benachrichtigungen warnen Sie bezüglich neuer und aktualisierter Ergebnisse nahezu in Echtzeit. Mit E-Mail- und Chat-Benachrichtigungen ist das auch möglich, selbst wenn Sie nicht bei Security Command Center angemeldet sind. Weitere Informationen finden Sie unter Ergebnisbenachrichtigungen einrichten.
Mit Security Command Center Premium können Sie kontinuierliche Exporte erstellen, was das Exportieren von Ergebnissen nach Pub/Sub vereinfacht.
Cloud Functions entdecken
Cloud Functions ist ein Google Cloud-Dienst, mit dem Sie Cloud-Dienste verbinden und Code als Reaktion auf Ereignisse ausführen können. Mit der Notifications API und Cloud Functions können Sie Ergebnisse an Fehlerbehebungs- und Ticketsysteme von Drittanbietern senden oder automatisierte Aktionen ausführen, z. B. Ergebnisse automatisch schließen.
Öffnen Sie zuerst das Open-Source-Repository von Security Command Center mit Cloud Functions-Code. Das Repository enthält Lösungen, die Sie bei der Durchführung automatisierter Aktionen zu Sicherheitsergebnissen unterstützen.
Kommunikation aktiviert lassen
Security Command Center wird regelmäßig mit neuen Detektoren und Features aktualisiert. Versionshinweise informieren Sie über Produktänderungen und Aktualisierungen der Dokumentation. Sie können jedoch Ihre Kommunikationseinstellungen in der Google Cloud Console festlegen, um Produktaktualisierungen und Sonderangebote über E-Mail oder Ihr Mobilgerät zu erhalten. Sie können auch angeben, ob Sie an Nutzerumfragen und Pilotprogrammen teilnehmen möchten.
Wenn Sie Kommentare oder Fragen haben, können Sie Feedback geben, indem Sie sich an Ihren Vertriebsmitarbeiter wenden, unseren Cloud Support kontaktieren oder einen Programmfehler melden.