Security Command Center Premium-Stufe für eine Organisation aktivieren

In diesem Dokument wird beschrieben, wie Sie Security Command Center Premium für eine Organisation über die Google Cloud Konsole aktivieren. Wenn Sie Security Command Center Premium aktivieren, werden automatisch verschiedene Dienste aktiviert.

Weitere Informationen zu Security Command Center Premium finden Sie unter Security Command Center-Dienststufen.

Informationen zum Aktivieren von Security Command Center für eine andere Dienststufe finden Sie unter:

Informationen zum Aktivieren von Security Command Center nur für ein Projekt finden Sie unter Security Command Center für ein Projekt aktivieren.

Hinweise

Bevor Sie Security Command Center Premium für eine Organisation aktivieren, müssen Sie Folgendes tun:

  • Rufen Sie bestimmte IAM-Rollen und -Berechtigungen (Identity and Access Management) ab.
  • Sehen Sie sich die Organisationsrichtlinien an, sofern sie für Ihre Organisation gelten.
  • Wenn Sie den Datenstandort aktivieren möchten, lesen Sie den Abschnitt Datenstandort planen und legen Sie fest, welcher Standort verwendet werden soll.
  • Wenn Sie einen vom Kunden verwalteten Verschlüsselungsschlüssel (Customer-Managed Encryption Key, CMEK) verwenden möchten, führen Sie die erforderlichen Aufgaben zum Aktivieren von CMEK für Security Command Center aus.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihre Organisation zuzuweisen, damit Sie die nötigen Berechtigungen zum Aktivieren von Security Command Center für eine Organisation haben:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Organisationsrichtlinien überprüfen

Wenn die Organisationsrichtlinien so konfiguriert sind, dass die Identitäten nach Domain eingeschränkt werden, prüfen Sie Folgendes:

  • Sie müssen in der Google Cloud Console mit einem Konto angemeldet sein, das zu einer zulässigen Domain gehört.
  • Ihre Dienstkonten müssen sich in einer zulässigen Domain befinden oder Mitglieder einer Gruppe innerhalb Ihrer Domain sein. Mit dieser Anforderung können Sie Diensten, die das @*.gserviceaccount.com-Dienstkonto verwenden, den Zugriff auf Ressourcen gewähren, wenn die domaineingeschränkte Freigabe aktiviert ist.

Wenn Ihre Organisationsrichtlinien so konfiguriert sind, dass die Ressourcennutzung eingeschränkt wird, prüfen Sie, ob die folgenden APIs durch Ihre Richtlinie zugelassen werden:

  • cloudsecuritycompliance.googleapis.com
  • securitycenter.googleapis.com
  • securitycentermanagement.googleapis.com

Security Command Center Premium aktivieren

Sie können Security Command Center Premium für eine Organisation über die Google Cloud -Konsole aktivieren.

  1. Rufen Sie in der Google Cloud Console die Security Command Center-Startseite auf.

    Zum Security Command Center

  2. Wählen Sie die Organisation aus, für die Sie Security Command Center Premium aktivieren möchten, und klicken Sie dann auf Auswählen.

  3. Wählen Sie auf der Willkommensseite Premium kostenlos testen aus.

  4. Optional: Wenn Sie den Datenstandort und die Datenverschlüsselung aktivieren möchten, klicken Sie auf Mehr anzeigen.

    Weitere Informationen zum Datenstandort finden Sie unter Datenstandort planen.

    Weitere Informationen zur Datenverschlüsselung finden Sie unter CMEK für Security Command Center aktivieren. Wenn Ihre Organisation CMEK-Organisationsrichtlinien verwendet, haben Sie möglicherweise nur die Möglichkeit, CMEK oder bestimmte Schlüssel auszuwählen. Wenn Sie CMEK nicht mit Security Command Center verwenden, verschlüsselt Google inaktive Daten mitGoogle-owned and Google-managed encryption keys.

  5. Klicken Sie auf Activate (Aktivieren).

Sobald Ergebnisse verfügbar sind, werden sie in der Konsole angezeigt. Anschließend können Sie die Google Cloud Console verwenden, um Google Cloud Sicherheits- und Datenrisiken zu prüfen und zu beheben.

Security Command Center führt den ersten vollständigen Scan innerhalb von 24 Stunden durch. Bei einigen Diensten dauert es möglicherweise länger, bis Scans gestartet werden. Weitere Informationen finden Sie unter Wann sind Ergebnisse im Security Command Center zu erwarten?.

Dienste für Security Command Center Premium

Nachdem Sie Security Command Center Premium aktiviert haben, werden bestimmte Dienste automatisch aktiviert und Dienst-Agents erstellt, damit diese Dienste in Ihrem Namen agieren können.

Dienste

Security Command Center verwendet Erkennungsdienste, um Sicherheitsprobleme in Ihren Cloud-Umgebungen zu erkennen. Die folgenden Dienste werden aktiviert, wenn Sie Security Command Center Premium aktivieren:

Anleitungen zur Verwendung und Optimierung finden Sie in der Dokumentation der einzelnen Dienste. Event Threat Detection basiert beispielsweise auf Logs, die vonGoogle Cloudgeneriert werden. Einige Logs sind immer aktiviert, sodass Event Threat Detection diese Logs scannen kann, sobald es aktiviert wird. Andere Logs, z. B. die meisten Audit-Logs für den Datenzugriff, müssen aktiviert werden, bevor Event Threat Detection sie scannen kann.

Die in diesem Abschnitt beschriebenen Dienste und zusätzliche Dienste können aktiviert oder deaktiviert werden, indem Sie die Schritte unter Security Command Center-Dienste konfigurieren ausführen.

Kundenservicemitarbeiter

Ein Dienst-Agent ist ein Dienstkonto, das von Google Cloud erstellt und verwaltet wird, um in Ihrem Namen auf Ressourcen zuzugreifen. Nachdem ein Dienst-Agent erstellt wurde, weist Security Command Center ihm automatisch die erforderlichen IAM-Rollen zu. Die Aktivierung von Security Command Center Premium umfasst die folgenden Dienst-Agents:

Security Command Center-Dienst ändern

In diesem Abschnitt werden die folgenden Szenarien beschrieben:

  • Von einer Aktivierung des Premium-Tarifs auf Projektebene zu einer Aktivierung auf Organisationsebene wechseln

  • Als Organisation mit einem auslaufenden Premium-Abo auf „Pay as you go“-Preise umstellen

  • Upgrade von der Standard- auf die Premium-Stufe

  • Downgrade von der Premium- auf die Standardstufe

Diese Änderungen können sich auf die Preise auswirken. Weitere Informationen finden Sie unter Security Command Center-Preise.

Zur Aktivierung der Premium-Stufe auf Organisationsebene wechseln

Wenn Sie von einer Aktivierung auf Projektebene zu einer Aktivierung auf Organisationsebene wechseln möchten, folgen Sie der Anleitung unter Security Command Center Premium auf Organisationsebene aktivieren.

Zur „Pay as you go“-Option der Premium-Stufe wechseln

Wenn Ihre Organisation ein Abo für die Premium-Stufe von Security Command Center verwendet, können Sie sich vor Ablauf Ihres Abos für die nutzungsbasierte Abrechnung registrieren, um einen unterbrechungsfreien Zugriff auf Security Command Center Premium zu ermöglichen.

So melden Sie sich für die nutzungsbasierte Abrechnung an:

  1. Rufen Sie in der Google Cloud Console die Seite Tier Detail auf.

    Zu den Stufendetails

  2. Wählen Sie die Organisation aus, für die Sie die Preisoption ändern möchten, und klicken Sie dann auf Auswählen.

  3. Klicken Sie auf Stufe verwalten.

  4. Prüfen Sie im Bereich Stufe verwalten, ob Premium ausgewählt ist, und klicken Sie auf Aktualisieren.

Nachdem Sie diese Schritte ausgeführt haben und Ihr Abo abläuft, gelten die Preise für die nutzungsbasierte Abrechnung.

Upgrade von der Standard- auf die Premiumstufe

Führen Sie die folgenden Schritte aus, um von der Security Command Center-Standardstufe zur Security Command Center-Premiumstufe zu wechseln.

  1. Rufen Sie in der Google Cloud Console die Seite Tier Detail auf.

    Zu den Stufendetails

  2. Wählen Sie die Organisation aus, für die Sie das Security Command Center-Abo upgraden möchten, und klicken Sie dann auf Auswählen.

  3. Klicken Sie auf Auf Premium upgraden.

  4. Klicken Sie im Bereich Stufe verwalten auf Aktualisieren.

Downgrade von der Premium- auf die Standardstufe

Führen Sie die folgenden Schritte aus, um von der nutzungsbasierten Abrechnung für die Security Command Center Premium-Stufe zur Security Command Center Standard-Stufe zu wechseln. Wenn Sie ein Abo haben, wird es nach Ablauf automatisch auf die Standard-Stufe herabgestuft.

Wenn Sie ein Downgrade auf die Security Command Center Standard-Stufe durchführen, verlieren Sie den Zugriff auf Dienste und Funktionen der Premium-Stufe. Prüfen Sie, ob sich diese Änderung negativ auf das Sicherheitsrisikoprofil Ihrer Organisation auswirkt, bevor Sie sie vornehmen.

Auch wenn die Standard-Stufe von Security Command Center kostenlos ist, können indirekte Gebühren anfallen. Weitere Informationen finden Sie unter Mögliche indirekte Gebühren im Zusammenhang mit Security Command Center.

  1. Rufen Sie in der Google Cloud Console die Seite Tier Detail auf.

    Zu den Stufendetails

  2. Wählen Sie die Organisation aus, für die Sie das Security Command Center-Abo herabstufen möchten, und klicken Sie dann auf Auswählen.

  3. Klicken Sie auf Stufe verwalten.

  4. Klicken Sie im Bereich Stufe verwalten für die Standard-Stufe auf Auswählen und dann auf Aktualisieren.

Security Command Center deaktivieren

Wenn Sie Security Command Center deaktivieren möchten, wenden Sie sich an Cloud Customer Care.

Nächste Schritte