Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Security Command Center Premium-Stufe für eine Organisation aktivieren

In diesem Dokument wird beschrieben, wie Sie Security Command Center Premium für eine Organisation über die Google Cloud Console aktivieren. Wenn Sie Security Command Center Premium aktivieren, werden automatisch verschiedene Diensteaktiviert.

Weitere Informationen zu Security Command Center Premium finden Sie unter Security Command Center-Dienststufen.

Informationen zum Aktivieren von Security Command Center für eine andere Dienststufe finden Sie hier:

Informationen zum Aktivieren von Security Command Center nur für ein Projekt finden Sie unter Security Command Center für ein Projekt aktivieren.

Hinweis

Bevor Sie Security Command Center Premium für eine Organisation aktivieren, müssen Sie Folgendes tun:

Bestimmte IAM-Rollen und -Berechtigungen (Identity and Access Management, Identitäts- und Zugriffsverwaltung) erhalten.
Optional: Zusätzliche APIs aktivieren.
Ihre Organisationsrichtlinien überprüfen, falls sie für Ihre Organisation gelten.
Wenn Sie den Datenstandort aktivieren möchten, lesen Sie den Artikel Datenstandort planen und legen Sie fest, welcher Standort verwendet werden soll.
Wenn Sie einen kundenverwalteten Verschlüsselungsschlüssel (Customer-managed Encryption Key, CMEK) verwenden möchten, führen Sie die erforderlichen Aufgaben aus, um CMEK für Security Command Center zu aktivieren.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihre Organisation zuzuweisen, damit Sie die Berechtigungen erhalten, die Sie zum Aktivieren von Security Command Center für eine Organisation benötigen:

Sicherheitscenter-Administrator (roles/securitycenter.admin)
Administrator der Organisation (roles/resourcemanager.organizationAdmin)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Security Center Management API aktivieren

Wenn Sie die Security Center Management API verwenden möchten, aktivieren Sie sie in dem Projekt, in dem Sie sie aufrufen möchten:

Rollen, die zum Aktivieren von APIs erforderlich sind

Zum Aktivieren von APIs benötigen Sie die IAM-Rolle „Service Usage-Administrator“ (roles/serviceusage.serviceUsageAdmin), die die Berechtigung serviceusage.services.enable enthält. Informationen zum Zuweisen von Rollen.

API aktivieren

Organisationsrichtlinien überprüfen

Wenn Ihre Organisationsrichtlinien so konfiguriert sind, dass die Identitäten nach Domain eingeschränkt werden, bestätigen Sie Folgendes:

Sie müssen in der Google Cloud Console mit einem Konto in einer zulässigen Domain angemeldet sein.
Ihre Dienstkonten müssen sich in einer zulässigen Domain befinden oder Mitglieder einer Gruppe innerhalb Ihrer Domain sein. Mit dieser Anforderung können Sie Diensten, die das Dienstkonto @*.gserviceaccount.com verwenden, den Zugriff auf Ressourcen gewähren, wenn die domaineingeschränkte Freigabe aktiviert ist.

Wenn Ihre Organisationsrichtlinien so konfiguriert sind, dass die Ressourcennutzung eingeschränkt wird, prüfen Sie, ob die folgenden APIs durch Ihre Richtlinie zugelassen sind:

cloudsecuritycompliance.googleapis.com
securitycenter.googleapis.com
securitycentermanagement.googleapis.com

Security Command Center Premium aktivieren

Sie können Security Command Center Premium für eine Organisation über die Google Cloud Console aktivieren.

Rufen Sie in der Google Cloud Console die Security Command Center-Willkommensseite auf.

Zum Security Command Center

**Wichtig**: Sie müssen die Console für Gerichtsbarkeiten verwenden, um Security Command Center mit Datenstandortkontrollen zu aktivieren. Google Cloud Weitere Informationen finden Sie unter Console für Gerichtsbarkeiten Google Cloud .
Wählen Sie die Organisation aus, für die Sie Security Command Center Premium aktivieren möchten, und klicken Sie dann auf Auswählen.
Wählen Sie auf der Willkommensseite die Option Premium kostenlos testen aus.

Hinweis: Ihr kostenloser Premium-Testzeitraum dauert 30 Tage. Nach Ablauf des Testzeitraums wird Ihre Organisation automatisch auf den Premium-Tarif „Pay as you go“ umgestellt und Ihr Rechnungskonto entsprechend belastet.

Wenn Sie den Premium-Testzeitraum beenden und „Pay as you go“-Gebühren vermeiden möchten, müssen Sie vor Ablauf des Testzeitraums auf die Standard-Stufe herabstufen. Sie können jederzeit während des Testzeitraums herabstufen. Eine detaillierte Anleitung finden Sie unter Von der Premium-Stufe auf die Standard-Stufe herabstufen.

Wenn Sie ein Premium-Abo erwerben möchten, finden Sie unter Premium-Stufe: Abo-basierte Preise weitere Informationen.
Optional: Wenn Sie den Datenstandort und die Datenverschlüsselung aktivieren möchten, klicken Sie auf Mehr anzeigen.

Achtung:Sie müssen den Datenstandort und die Datenverschlüsselung während der Aktivierung von Security Command Center konfigurieren. Sie können diese Einstellungen nicht mehr ändern, nachdem Sie Security Command Center aktiviert haben.

Weitere Informationen zum Datenstandort finden Sie unter Datenstandort planen.

Achtung: Security Command Center validiert Ihren Datenstandort nicht anhand von Organisationsrichtlinien, die die Einschränkung für Ressourcenstandorte erzwingen, gcp.resourceLocations. Wenn Sie Security Command Center aktivieren, müssen Sie einen Standort auswählen, der mit Ihren Organisationsrichtlinien übereinstimmt.

Weitere Informationen zur Datenverschlüsselung finden Sie unter CMEK für Security Command Center aktivieren. Wenn Ihre Organisation CMEK-Organisationsrichtlinien verwendet, haben Sie möglicherweise nur die Möglichkeit, CMEK oder bestimmte Schlüssel auszuwählen. Wenn Sie CMEK nicht mit Security Command Center verwenden, verschlüsselt Google ruhende Daten mit Google-owned and Google-managed encryption keys.
Klicken Sie auf Aktivieren.

Sobald Ergebnisse verfügbar sind, werden sie in der Console angezeigt. Anschließend können Sie in der Console Google Cloud Sicherheits- und Datenrisiken überprüfen und beheben. Google Cloud

Security Command Center führt den ersten vollständigen Scan innerhalb von 24 Stunden durch. Es kann zu einer Verzögerung kommen, bevor Scans für einige Dienste gestartet werden. Weitere Informationen finden Sie unter Wann sind Ergebnisse in Security Command Center zu erwarten?.

Dienste für Security Command Center Premium

Nachdem Sie Security Command Center Premium aktiviert haben, werden bestimmte Dienste automatisch aktiviert und Dienst-Agents erstellt, damit diese Dienste in Ihrem Namen agieren können.

Dienste

Security Command Center verwendet Erkennungsdienste um Sicherheitsprobleme in Ihren Cloud-Umgebungen zu erkennen. Die folgenden Dienste werden aktiviert, wenn Sie Security Command Center Premium aktivieren:

KI-Schutz
Compliance-Manager
Container Threat Detection

Damit Container Threat Detection funktioniert, müssen Ihre Cluster auf einer unterstützten Version von Google Kubernetes Engine (GKE) basieren und Ihre GKE-Cluster richtig konfiguriert sein. Weitere Informationen finden Sie unter Container Threat Detection verwenden.
Datensicherheitsstatus-Verwaltung (Data Security Posture Management, DSPM)
Event Threat Detection

Event Threat Detection basiert auf Logs, die von generiert werden Google Cloud. Damit Sie Event Threat Detection verwenden können, müssen Sie für Ihre Organisation, Ordner und ProjekteLogs aktivieren.
Security Health Analytics
Sicherheitsstatus
Virtual Machine Threat Detection
Sicherheitslückenbewertung
Web Security Scanner

Informationen zur Verwendung und Optimierung finden Sie in der Dokumentation der einzelnen Dienste. Event Threat Detection basiert beispielsweise auf Logs, die von Google Cloudgeneriert werden. Einige Logs sind immer aktiviert, sodass Event Threat Detection diese Logs scannen kann, sobald der Dienst aktiviert ist. Andere Logs, z. B. die meisten Audit-Logs zum Datenzugriff, müssen aktiviert werden, bevor Event Threat Detection sie scannen kann.

Die in diesem Abschnitt beschriebenen Dienste und zusätzliche Dienste können aktiviert oder deaktiviert werden. Folgen Sie dazu der Anleitung unter Security Command Center-Dienste konfigurieren.

Dienst-Agents

Ein Dienst-Agent ist ein Dienst konto, das von erstellt und verwaltet wird Google Cloud , um in Ihrem Namen auf Ressourcen zuzugreifen. Nachdem ein Dienst-Agent erstellt wurde, weist Security Command Center dem Dienst-Agent automatisch die erforderlichen IAM-Rollen zu. Die Aktivierung von Security Command Center Premium umfasst die folgenden Dienst-Agents:

Cloud Security Command Center Service Agent für Event Threat Detection, Security Health Analytics, Virtual Machine Threat Detection und Sicherheitslücken bewertung
Cloud Security Compliance Service Agent für KI-Schutz und Compliance-Manager
Container Threat Detection Service Agent für Container Threat Detection
Dienst-Agent für die Datensicherheitsstatus-Verwaltung für DSPM

Security Command Center-Dienst ändern

Weitere Informationen zur Stufenverwaltung finden Sie unter Security Command Center Premium-Stufe für eine Organisation ändern.

Nächste Schritte

Informationen zum Konfigurieren von Security Command Center-Diensten
Informationen zur Verwendung von Security Command Center in der Google Cloud Console.
Informationen zum Arbeiten mit Security Command Center-Ergebnissen.
Weitere Informationen zu Google Cloud Sicherheitsquellen.
Informationen dazu, wie Model Armor Ihre KI-Arbeitslasten schützen kann
Aktivieren Sie den Schutz sensibler Daten , um Ihre sensiblen Daten zu schützen.
Informationen zum Überwachen Ihrer Kosten mit Cloud Billing