Security Command Center Premium-Stufe für eine Organisation aktivieren

In diesem Dokument wird beschrieben, wie Sie Security Command Center Premium für eine Organisation über die Google Cloud Console aktivieren. Wenn Sie Security Command Center Premium aktivieren, werden automatisch verschiedene Dienste aktiviert.

Weitere Informationen zu Security Command Center Premium finden Sie unter Security Command Center-Dienststufen.

Informationen zum Aktivieren von Security Command Center für eine andere Dienststufe finden Sie unter:

Informationen zum Aktivieren von Security Command Center nur für ein Projekt finden Sie unter Security Command Center für ein Projekt aktivieren.

Hinweis

Bevor Sie Security Command Center Premium für eine Organisation aktivieren, müssen Sie Folgendes tun:

  • Rufen Sie bestimmte IAM-Rollen und -Berechtigungen (Identity and Access Management) ab.
  • Optional: Zusätzliche APIs aktivieren
  • Sehen Sie sich die Organisationsrichtlinien an, sofern sie für Ihre Organisation gelten.
  • Wenn Sie den Datenstandort aktivieren möchten, lesen Sie den Abschnitt Datenstandort planen und legen Sie fest, welcher Standort verwendet werden soll.
  • Wenn Sie einen kundenverwalteten Verschlüsselungsschlüssel (Customer-Managed Encryption Key, CMEK) verwenden möchten, führen Sie die erforderlichen Aufgaben zum Aktivieren von CMEK für Security Command Center aus.

Sie können den Datenstandort und die Datenverschlüsselung konfigurieren, wenn Sie Security Command Center aktivieren. Informationen zum Ändern dieser Einstellungen nach der Aktivierung von Security Command Center Standard oder Premium finden Sie unter Konfiguration des Datenstandorts oder der Datenverschlüsselung ändern.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihre Organisation zuzuweisen, damit Sie die nötigen Berechtigungen zum Aktivieren von Security Command Center für eine Organisation haben:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Security Center Management API aktivieren

Wenn Sie die Security Center Management API verwenden möchten, aktivieren Sie sie in dem Projekt, in dem Sie sie aufrufen möchten:

Rollen, die zum Aktivieren von APIs erforderlich sind

Zum Aktivieren von APIs benötigen Sie die IAM-Rolle „Service Usage-Administrator“ (roles/serviceusage.serviceUsageAdmin), die die Berechtigung serviceusage.services.enable enthält. Weitere Informationen zum Zuweisen von Rollen

API aktivieren

Organisationsrichtlinien überprüfen

Wenn die Organisationsrichtlinien so konfiguriert sind, dass die Identitäten nach Domain eingeschränkt werden, prüfen Sie Folgendes:

  • Sie müssen in der Google Cloud Console mit einem Konto angemeldet sein, das zu einer zulässigen Domain gehört.
  • Ihre Dienstkonten müssen sich in einer zulässigen Domain befinden oder Mitglieder einer Gruppe innerhalb Ihrer Domain sein. Mit dieser Anforderung können Sie Diensten, die das @*.gserviceaccount.com-Dienstkonto verwenden, den Zugriff auf Ressourcen gewähren, wenn die domainbeschränkte Freigabe aktiviert ist.

Wenn Ihre Organisationsrichtlinien so konfiguriert sind, dass die Ressourcennutzung eingeschränkt wird, prüfen Sie, ob die folgenden APIs durch Ihre Richtlinie zugelassen werden:

  • cloudsecuritycompliance.googleapis.com
  • securitycenter.googleapis.com
  • securitycentermanagement.googleapis.com

Security Command Center Premium aktivieren

Sie können Security Command Center Premium für eine Organisation über die Google Cloud Konsole aktivieren.

  1. Rufen Sie in der Google Cloud Console die Security Command Center-Startseite auf.

    Zum Security Command Center

  2. Wenn Sie den Datenstandort aktivieren möchten, öffnen Sie eine Gerichtsbarkeitskonsole über die URL, die dem Standort entspricht, den Sie konfigurieren möchten.

    Sie müssen die Google Cloud Konsole für die Gerichtsbarkeit verwenden, um Security Command Center mit Datenstandortkontrollen zu aktivieren und die Datenstandortkonfiguration nach der Aktivierung zu ändern. Weitere Informationen finden Sie unter Informationen zurGoogle Cloud -Konsole für die Gerichtsbarkeit.

  3. Wählen Sie die Organisation aus, für die Sie Security Command Center Premium aktivieren möchten, und klicken Sie dann auf Auswählen.

  4. Wählen Sie auf der Willkommensseite Premium kostenlos testen aus.

    Wenn Sie Ihren Premium-Testzeitraum kündigen und Gebühren für die nutzungsbasierte Abrechnung vermeiden möchten, müssen Sie vor Ablauf des Testzeitraums auf das Standard-Abo herabstufen. Sie können während des Testzeitraums jederzeit ein Downgrade durchführen. Eine detaillierte Anleitung finden Sie unter Downgrade von der Premium- zur Standardstufe.

    Wenn Sie ein Premium-Abo kaufen möchten, finden Sie weitere Informationen unter Premium-Tarif: Abo-basierte Preise.

  5. Optional: Wenn Sie die Konfiguration des Datenstandorts bestätigen oder die Konfiguration der Datenverschlüsselung ändern möchten, klicken Sie auf Mehr anzeigen.

    • Wenn Sie eine Gerichtsbarkeitskonsole verwenden, wird im Feld Datenstandort Aktivieren und im Feld Standort derselbe Standort wie in der Gerichtsbarkeitskonsole angezeigt. Wenn Sie den Standort ändern möchten, öffnen Sie die Console über eine URL, die dem Standort entspricht, den Sie konfigurieren möchten.
    • Bei der Standardkonfiguration für die Datenverschlüsselung wird Google-owned and Google-managed encryption keysverwendet. Wenn Sie einen Cloud Key Management Service-Schlüssel verwenden möchten, klicken Sie auf Datenverschlüsselung bearbeiten und gehen Sie dann so vor:
      1. Wählen Sie Cloud KMS-Schlüssel aus.
      2. Wählen Sie ein Projekt aus.
      3. Wählen Sie einen Schlüssel aus. Sie können einen Schlüssel aus einem beliebigen Google Cloud Projekt auswählen, auch aus Projekten in anderen Organisationen. In der Liste werden nur Schlüssel an kompatiblen Standorten angezeigt.

      Informationen dazu, welche wichtigen Orte mit Security Command Center kompatibel sind, finden Sie unter Wichtigen Ort festlegen.

      Wenn Ihre Organisation CMEK-Organisationsrichtlinien verwendet, haben Sie möglicherweise nur die Möglichkeit, CMEK oder bestimmte Schlüssel auszuwählen.

      Während der Aktivierung weist Security Command Center dem Cloud Security Command Center-Dienst-Agent die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler (roles/cloudkms.cryptoKeyEncrypterDecrypter) für den Cloud KMS-Schlüssel zu.

  6. Klicken Sie auf Activate (Aktivieren).

Sobald Ergebnisse verfügbar sind, werden sie in der Console angezeigt. Anschließend können Sie die Google Cloud Console verwenden, um Google Cloud Sicherheits- und Datenrisiken zu prüfen und zu beheben.

Security Command Center führt den ersten vollständigen Scan innerhalb von 24 Stunden durch. Bei einigen Diensten dauert es möglicherweise länger, bis Scans gestartet werden. Weitere Informationen finden Sie unter Wann sind Ergebnisse in Security Command Center zu erwarten?.

Dienste für Security Command Center Premium

Nachdem Sie Security Command Center Premium aktiviert haben, werden bestimmte Dienste automatisch aktiviert und Dienst-Agents erstellt, damit diese Dienste in Ihrem Namen agieren können.

Dienste

Security Command Center verwendet Erkennungsdienste, um Sicherheitsprobleme in Ihren Cloud-Umgebungen zu erkennen. Die folgenden Dienste werden aktiviert, wenn Sie Security Command Center Premium aktivieren:

Anleitungen zur Verwendung und Optimierung finden Sie in der Dokumentation der einzelnen Dienste. Event Threat Detection basiert beispielsweise auf Logs, die vonGoogle Cloudgeneriert werden. Einige Logs sind immer aktiviert, sodass Event Threat Detection diese Logs scannen kann, sobald die Funktion aktiviert ist. Andere Logs, z. B. die meisten Audit-Logs für den Datenzugriff, müssen aktiviert werden, bevor Event Threat Detection sie scannen kann.

Die in diesem Abschnitt beschriebenen Dienste und zusätzliche Dienste können aktiviert oder deaktiviert werden, indem Sie die Schritte unter Security Command Center-Dienste konfigurieren ausführen.

Dienst-Agents

Ein Dienst-Agent ist ein Dienstkonto, das von Google Cloud erstellt und verwaltet wird, um in Ihrem Namen auf Ressourcen zuzugreifen. Nachdem ein Dienst-Agent erstellt wurde, weist Security Command Center ihm automatisch die erforderlichen IAM-Rollen zu. Die Aktivierung von Security Command Center Premium umfasst die folgenden Dienst-Agents:

Security Command Center-Dienst ändern

Weitere Informationen zur Stufenverwaltung finden Sie unter Security Command Center Premium-Stufe für eine Organisation ändern.

Nächste Schritte