Dieses Thema enthält Empfehlungen zur Verwaltung von Security Command Center-Diensten und -Features, damit Sie das Produkt optimal nutzen können.
Security Command Center ist eine leistungsstarke Plattform für das Monitoring von Daten- und Sicherheitsrisiken in Ihrer Organisation und bietet maximalen Schutz bei minimalem Konfigurationsbedarf. Es gibt jedoch Maßnahmen, die Sie ergreifen können, um die Plattform auf Ihren Workflow abzustimmen und Ihre Ressourcen zu schützen.
Security Command Center Premium aktivieren
Security Command Center Premium bietet deutlich mehr Features als die Standard-Stufe.
Security Command Center Standard enthält Security Health Analytics ,Anomalieerkennung und nicht verwaltete Scans in Web Security Scanner, die zusammen häufige Sicherheitslücken und Anomalien in Ihren Website- oder Anwendungsprojekten erkennen. In der Standardstufe umfasst Security Health Analytics nur eine einfache Gruppe von Detektoren mit mittlerem und hohem Schweregrad.
Security Command Center Premium umfasst Dienste der Standardstufe und umfasst außerdem Complianceberichte, verwaltete Web Security Scanner-Scans, alle Security Health Analytics-Detektoren und die folgenden integrierten Premiumdienste:
- Schnelle Erkennung von SicherheitslückenVorschau
- Virtual Machine Threat DetectionVorschau
- Container Threat Detection
- Event Threat Detection
Wenn Sie die Premium-Stufe abonnieren möchten, wenden Sie sich an Ihren Vertriebsmitarbeiter oder füllen Sie unser Anfrageformular aus. Wenn Sie Premium nicht benötigen, können Sie ein Downgrade auf Standard ausführen.
Unter den folgenden Links finden Sie weitere Informationen dazu, wie Sie mit Security Command Center Ihren Sicherheitsstatus verbessern können:
- Security Command Center – Übersicht
- Übernehmen Sie die Kontrolle über die Sicherheit mit Cloud Security Command Center
Alle integrierten Dienste aktivieren
Standardmäßig aktiviert Security Command Center nach dem Onboarding alle integrierten Dienste in der von Ihnen ausgewählten Stufe. Sie können jeden Dienst deaktivieren. Wir empfehlen jedoch, alle Dienste in Ihrer Stufe permanent aktiviert zu lassen. Berücksichtigen Sie die Best Practices, wenn Sie Web Security Scanner für Produktionsressourcen verwenden. Wenn alle Dienste aktiviert sind, können Sie kontinuierliche Updates nutzen und dafür sorgen, dass Schutz für neue und geänderte Ressourcen bereitgestellt wird.
Eventuell sollten Sie auch integrierte Dienste (Anomalieerkennung, Cloud Data Loss Prevention und Google Cloud Armor) aktivieren, sich Sicherheitsdienste von Drittanbietern ansehen und Cloud Logging für Event Threat Detection und Container Threat Detection aktivieren. Je nach der Menge der Informationen können die Kosten von Cloud DLP und Google Cloud Armor erheblich sein. Halten Sie sich an die Best Practices zum Steuern von Cloud DLP-Kosten und lesen Sie die Preisübersicht für Google Cloud Armor.
Weitere Informationen zu Security Command Center-Diensten finden Sie in den folgenden Videos:
- Erste Schritte mit Event Threat Detection
- Erste Schritte mit Container Threat Detection
- Erste Schritte mit Web Security Scanner
- Erste Schritte mit Security Health Analytics
- Erste Schritte mit Cloud Data Loss Prevention in Security Command Center
Dashboard verwenden
Das Security Command Center-Dashboard bietet Features und visuelle Elemente, die in der Security Command Center API noch nicht verfügbar sind. Die Features, darunter eine intuitive Benutzeroberfläche, formatierte Diagramme, Complianceberichte und visuelle Hierarchien von Ressourcen, geben Ihnen einen besseren Einblick in Ihre Organisation. Informationen zu Dashboard-Features finden Sie unter Security Command Center-Dashboard verwenden.
Funktionalität mit der API und mit gcloud erweitern
Wenn Sie programmatischen Zugriff benötigen, testen Sie die Security Command Center API, mit der Sie auf Ihre Security Command Center-Umgebung zugreifen und diese steuern können. Sie können API Explorer mit der Bezeichnung "API testen" in Bereichen auf API-Referenzseiten verwenden, um die Security Command Center API ohne API-Schlüssel interaktiv zu erntdecken. Sie können sich verfügbare Methoden und Parameter ansehen, Anfragen ausführen und Antworten in Echtzeit sehen.
Mit der Security Command Center API können Analysten und Administratoren Ihre Ressourcen und Ergebnisse verwalten. Entwickler können mit der API Lösungen für benutzerdefinierte Berichte und Monitoring erstellen. Sehen Sie sich in einem Beispiel an, wie unsere Lösungsarchitekten die Security Command Center API verwendet haben, um Policy Controller-Audit-Verstöße in Security Command Center zu melden.
Ressourcen prüfen und verwalten
Security Command Center nimmt Daten zu unterstützten Assets aus Cloud Asset Inventory auf und ermöglicht es Ihnen, Ihre Google Cloud-Ressourcen in der Google Cloud Console zu finden und aufzurufen. Auf der Seite Assets im Security Command Center-Dashboard können Sie frühere Erkennungs-Scans prüfen und neue, geänderte oder gelöschte Assets identifizieren. Sie können auch nach nicht ausgelasteten Ressourcen wie virtuellen Maschinen oder inaktiven IP-Adressen suchen. Nicht verwaltete Ressourcen können Ihre Kosten erhöhen und die Angriffsfläche Ihrer Organisation erhöhen.
Um Echtzeitbenachrichtigungen zu Ressourcen- und Richtlinienänderungen zu erhalten, erstellen und abonnieren Sie einen Feed.
Weitere Tipps zum Verwalten von Ressourcen finden Sie unter Assets verwalten.
Schnell auf Sicherheitslücken und Bedrohungen reagieren
Security Command Center bietet ausführliche Details zu betroffenen Ressourcen und Schritt-für-Schritt-Anleitungen zur Untersuchung und Beseitigung von Sicherheitslücken und Bedrohungen.
Die Ergebnisse zu Sicherheitslücken warnen Sie bei Verstößen gegen Sicherheits-Benchmarks. Zu den unterstützten Compliance-Standards gehören die CIS Google Cloud Computing Foundations Benchmark v1.0.0 bis v1.2.0 (CIS Google Cloud Foundation 1.0 bis 1.2), Payment Card Industry Data Security Standard 3.2.1 (PCI-DSS v3.2.1), OWASP Top Ten, National Institute of Standards and Technology 800–53 (NIST 800–53) und International Organization for Standardization 27001 (ISO 27001)
Zu den Bedrohungsergebnissen gehören Daten aus dem MITRE-ATT&CK-Framework, das Techniken für Angriffe auf Cloud-Ressourcen erläutert und Hinweise zur Problembehebung bietet, und VirusTotal, eine Alphabet-eigener Dienst, der Kontext zu potenziell schädlichen Dateien, URLs, Domains und IP-Adressen bereitstellt.
Die folgenden Anleitungen sollen als Ausgangspunkt dienen, um Probleme zu beheben und Ihre Ressourcen zu schützen.
- Behebung von Security Health Analytics-Ergebnissen
- Web Security Scanner-Ergebnisse beheben
- Ergebnisse des schnellen Scannens auf Sicherheitslücken scannen und beheben
- Bedrohungen untersuchen und darauf reagieren
Ergebnismenge steuern
Wenn Sie die Ergebnismenge im Security Command Center steuern möchten, können Sie einzelne Ergebnisse manuell oder programmatisch ausblenden oder Ausblendungsregeln erstellen, mit denen aktuelle Ergebnisse automatisch ausgeblendet wird und zukünftige Ergebnisse basierend auf von Ihnen definierten Filtern.
Ausgeblendete Ergebnisse werden zwar nicht angezeigt, aber weiterhin zu Audit- und Compliance-Zwecken in Logs erfasst. Sie können ausgeblendete Ergebnisse aufrufen und ihre Ausblendung jederzeit aufheben. Weitere Informationen finden Sie unter Ergebnisse in Security Command Center ausblenden.
Das Ausblenden von Ergebnissen ist der empfohlene und effektivste Ansatz zur Steuerung von Ergebnisvolumen. Alternativ können Sie Sicherheitsmarkierungen verwenden, um Assets auf Zulassungslisten zu setzen.
Jeder Security Health Analytics-Detektor hat einen speziellen Markierungstyp, mit dem Sie markierte Ressourcen aus der Erkennungsrichtlinie ausschließen können. Dieses Feature ist nützlich, wenn Sie nicht möchten, dass Ergebnisse für bestimmte Ressourcen oder Projekte erstellt werden.
Weitere Informationen zu Sicherheitsmarkierungen finden Sie unter Sicherheitsmarkierungen verwenden.
Benachrichtigungen einrichten
Benachrichtigungen warnen Sie bezüglich neuer und aktualisierter Ergebnisse nahezu in Echtzeit. Mit E-Mail- und Chat-Benachrichtigungen ist das auch möglich, selbst wenn Sie nicht bei Security Command Center angemeldet sind. Weitere Informationen finden Sie unter Ergebnisbenachrichtigungen einrichten.
Mit Security Command Center Premium können Sie kontinuierliche Exporte erstellen, was das Exportieren von Ergebnissen nach Pub/Sub vereinfacht.
Cloud Functions entdecken
Cloud Functions ist ein Google Cloud-Dienst, mit dem Sie Cloud-Dienste verbinden und Code als Reaktion auf Ereignisse ausführen können. Mit der Notifications API und Cloud Functions können Sie Ergebnisse an Fehlerbehebungs- und Ticketsysteme von Drittanbietern senden oder automatisierte Aktionen ausführen, z. B. Ergebnisse automatisch schließen.
Öffnen Sie zuerst das Open-Source-Repository von Security Command Center mit Cloud Functions-Code. Das Repository enthält Lösungen, die Sie bei der Durchführung automatisierter Aktionen zu Sicherheitsergebnissen unterstützen.
Kommunikation aktiviert lassen
Security Command Center wird regelmäßig mit neuen Detektoren und Features aktualisiert. Versionshinweise informieren Sie über Produktänderungen und Aktualisierungen der Dokumentation. Sie können jedoch Ihre Kommunikationseinstellungen in der Google Cloud Console festlegen, um Produktaktualisierungen und Sonderangebote über E-Mail oder Ihr Mobilgerät zu erhalten. Sie können auch angeben, ob Sie an Nutzerumfragen und Pilotprogrammen teilnehmen möchten.
Wenn Sie Kommentare oder Fragen haben, können Sie Feedback geben, indem Sie sich an Ihren Vertriebsmitarbeiter wenden, unseren Cloud Support kontaktieren oder einen Programmfehler melden.