Security Command Center einrichten
Auf dieser Seite erfahren Sie, wie Sie Security Command Center zum ersten Mal für Ihre Organisation einrichten. Wenn Security Command Center bereits für Ihre Organisation eingerichtet ist, lesen Sie den Leitfaden zur Verwendung von Security Command Center.
Hinweis
Organisation erstellen
Security Command Center benötigt eine Organisationsressource, die mit einer Domain verknüpft ist sowie ein Rechnungskonto, falls Sie die Premium-Stufe verwenden möchten. Wenn Sie noch keine Organisation erstellt haben, beachten Sie die Informationen unter Organisationen erstellen und verwalten.
Berechtigungen einrichten
Zum Einrichten von Security Command Center benötigen Sie die folgenden IAM-Rollen (Identity and Access Management):
- Organisationsadministrator
roles/resourcemanager.organizationAdmin
- Sicherheitscenter-Administrator
roles/securitycenter.admin
- Sicherheitsadministrator
roles/iam.securityAdmin
- Dienstkonten
roles/iam.serviceAccountCreator
erstellen
Hier erhalten Sie weitere Informationen zu den Security Command Center-Rollen.
Organisationsrichtlinien prüfen
Wenn die Organisationsrichtlinien so konfiguriert sind, dass die Identitäten nach Domain eingeschränkt werden, gilt Folgendes:
- Sie müssen in der Google Cloud Console in einem Konto angemeldet sein, das sich in einer zulässigen Domain befindet.
- Ihre Dienstkonten müssen sich in einer zulässigen Domain befinden oder Mitglieder einer Gruppe innerhalb Ihrer Domain sein. Mit dieser Anforderung können Sie den
@*.gserviceaccount.com
-Dienstzugriff auf Ressourcen gewähren, wenn die Freigabe der Domain beschränkt ist.
Security Command Center für Ihre Organisation einrichten
Zum Einrichten von Security Command Center für Ihre Organisation wählen Sie die gewünschte Security Command Center-Stufe aus und aktivieren Sie die Dienste oder integrierten Quellen, für die Ergebnisse im Security Command Center-Dashboard angezeigt werden sollen. Wählen Sie dann die Ressourcen oder Assets aus, die das Security Command Center-Dienstkonto überwachen und erteilen soll.
Schritt 1: Stufe auswählen
Die von Ihnen ausgewählte Security Command Center-Stufe legt die Verfügbarkeit von Features und die Kosten für die Verwendung von Security Command Center fest. Die folgende Tabelle bietet einen Überblick über die integrierten Security Command Center-Dienste, die für die Premium- und -Standard-Stufe verfügbar sind:
Details zu den Stufen |
---|
Features der Standard-Stufe
|
Die Premium-Stufe umfasst alle Features der Standardstufe und umfasst zusätzlich Folgendes:
Event Threat Detection erkennt außerdem folgende Google Workspace-Bedrohungen: VM Manager-Berichte zu Sicherheitslücken
|
Informationen zu den mit der Verwendung von Security Command Center verbundenen Kosten finden Sie auf der Seite "Preise".
Wenden Sie sich an Ihren Google Cloud-Vertriebsmitarbeiter oder Cloud-Partner, wenn Sie die Security Command Center-Premiumstufe abonnieren möchten.
Nachdem Sie die gewünschte Stufe ausgewählt haben, beginnen Sie mit der Einrichtung von Security Command Center:
Gehen Sie in der Google Cloud Console zum Security Command Center.
Wählen Sie in der Drop-down-Liste Organisation die Organisation aus, für die Sie Security Command Center aktivieren möchten, und klicken Sie dann auf Auswählen.
Als Nächstes wählen Sie die integrierten Dienste aus, die Sie für Ihre Organisation aktivieren möchten.
Schritt 2: Dienste auswählen
Auf der Seite Dienste auswählen sind alle integrierten Dienste, die in der ausgewählten Stufe enthalten sind, standardmäßig auf Organisationsebene aktiviert. Jeder Dienst scannt alle unterstützten Ressourcen und meldet Ergebnisse für die gesamte Organisation. Klicken Sie zum Deaktivieren eines Dienstes auf die Drop-down-Liste neben dem Dienstnamen und wählen Sie Standardmäßig deaktivieren aus.
Wenn Sie die Standard-Stufe aktivieren und später die Premium-Stufe abonnieren, werden alle integrierten Premium-Dienste mit Ausnahme der Container Threat Detection standardmäßig auf Organisationsebene aktiviert. Container Threat Detection ist standardmäßig deaktiviert, bis Sie sie manuell aktivieren. Informationen zum Aktivieren von Container Threat Detection finden Sie unter Container Threat Detection verwenden.
Hier sind Hinweise für bestimmte Dienste:
Damit Container Threat Detection ordnungsgemäß funktioniert, müssen Sie prüfen, ob Ihre Cluster auf einer unterstützten Version von Google Kubernetes Engine (GKE) basieren und ob Ihre GKE-Cluster richtig konfiguriert sind. Weitere Informationen finden Sie unter Container Threat Detection verwenden.
Event Threat Detection basiert auf Logs, die von Google Cloud generiert werden. Damit Sie Event Threat Detection verwenden können, müssen Sie für Ihre Organisation, Ordner und Projekte Logs aktivieren.
Die Ergebnisse der Anomalieerkennung sind automatisch in Security Command Center verfügbar. Wenn Sie die Anomalieerkennung deaktivieren möchten, führen Sie die Schritte unter Security Command Center konfigurieren aus.
Als Nächstes können Sie Dienste für einzelne Ressourcen aktivieren oder deaktivieren.
Schritt 3: Ressourcen auswählen
Das Security Command Center ist für den Betrieb auf Organisationsebene ausgelegt. Ressourcen übernehmen standardmäßig die Diensteinstellungen für die Organisation. Alle aktivierten Dienste führen Scans für alle unterstützten Ressourcen in Ihrer Organisation aus. Diese Konfiguration ist der optimale Betriebsmodus, damit neue und geänderte Ressourcen automatisch erkannt und geschützt werden.
Wenn Sie nicht möchten, dass Security Command Center Ihre gesamte Organisation scannt, müssen Sie einzelne Ressourcen über das Menü Erweiterte Einstellungen ausschließen.
Rufen Sie das Menü Erweiterte Einstellungen auf und klicken Sie auf den Knoten, um ihn zu maximieren.
Klicken Sie zum Ändern der Ressourceneinstellungen auf die Drop-down-Liste in der Dienstspalte, um eine Aktivierungsoption auszuwählen.
- Standardmäßig aktivieren: Der Dienst ist für die Ressource aktiviert.
- Standardmäßig deaktivieren: Der Dienst ist für die Ressource deaktiviert.
- Übernehmen: Die Ressource verwendet die Diensteinstellung, die für das übergeordnete Element in der Ressourcenhierarchie ausgewählt ist.
Durch Klicken auf Nach einem Ordner oder Projekt suchen wird ein Fenster geöffnet, in dem Sie Suchbegriffe eingeben können, um Ressourcen schnell zu finden und die Einstellungen zu ändern.
Als Nächstes erteilen Sie Berechtigungen für das Security Command Center-Dienstkonto.
Schritt 4: Berechtigungen erteilen
Wenn Sie Security Command Center aktivieren, wird für Sie ein Dienstkonto im folgenden Format erstellt:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Ersetzen Sie ORGANIZATION_ID durch die numerische Kennzeichnung Ihrer Organisation.
Dieses Dienstkonto hat auf Organisationsebene die folgenden IAM-Rollen:
- Mit
securitycenter.serviceAgent
kann das Security Command Center-Dienstkonto kontinuierlich eine eigene Kopie der Asset-Inventarmetadaten Ihrer Organisation erstellen und aktualisieren. Weitere Informationen zu den Berechtigungen, die dieser Rolle zugeordnet sind, finden Sie unter Zugriffssteuerung. serviceusage.serviceUsageAdmin
. Weitere Informationen zur Verwendung dieser Rolle finden Sie unter Was ist Service Usage?.cloudfunctions.serviceAgent
Klicken Sie auf Rollen zuweisen, um dem Dienstkonto diese Rollen automatisch zuzuweisen. Wenn Sie die erforderlichen Rollen lieber manuell über die Google Cloud CLI gewähren möchten:
- Klicken Sie auf den Bereich Rollen manuell gewähren, um ihn zu maximieren, und kopieren Sie dann den Befehl der gcloud-CLI.
- Klicken Sie in der Toolleiste der Google Cloud Console auf Cloud Shell aktivieren.
- Fügen Sie im geöffneten Terminalfenster die zuvor kopierten Befehle der gcloud-CLI ein und drücken Sie die Eingabetaste.
Die erforderlichen Rollen werden dem Security Command Center-Dienstkonto zugewiesen.
Als Nächstes bestätigen Sie, dass Security Command Center eingerichtet ist und die Security Command Center-Seite Erkunden angezeigt wird.
Schritt 5: Auf Fertigstellung der Scans warten
Wenn die Einrichtung abgeschlossen ist, startet Security Command Center einen ersten Asset-Scan. Danach können Sie das Dashboard nutzen, um die Sicherheits- und Datenrisiken in Ihrer Google Cloud zu prüfen und zu beheben. Bei einigen Produkten dauert es möglicherweise länger, bis Scans gestartet werden. Weitere Informationen zum Aktivierungsprozess finden Sie unter Security Command Center-Latenz – Übersicht.
Weitere Informationen zu den einzelnen integrierten Diensten finden Sie in den Leitfäden, die auf dieser Website verfügbar sind.
Nächste Schritte
- Weitere Informationen zum Ansehen von Assets, Ergebnissen und Sicherheitslücken im Security Command Center-Dashboard
- Weitere Informationen zu Google Cloud-Sicherheitsquellen.
- Weitere Informationen zum Hinzufügen von Sicherheitsquellen zu Security Command Center