Auf dieser Seite wird erläutert, wie Sie die Dienststufe „Standard“ oder „Premium“ von Security Command Center für ein Google Cloud Projekt aktivieren.
Informationen zum Aktivieren von Security Command Center für eine gesamte Organisation finden Sie in einem der folgenden Artikel:
- Security Command Center Standard für eine Organisation aktivieren
- Security Command Center Premium für eine Organisation aktivieren
- Security Command Center Enterprise aktivieren
Hinweis
Um Security Command Center für ein Projekt zu aktivieren, müssen die folgenden Voraussetzungen erfüllt sein, die in den folgenden Unterabschnitten erläutert werden:
- Lesen Sie die Informationen zu den Voraussetzungen, um zu verstehen, wie sich eine Aktivierung von Security Command Center auf Projektebene von einer Aktivierung auf Organisationsebene unterscheidet.
- Sie benötigen ein Google Cloud Projekt, das mit einer Organisation verknüpft ist.
- Ihrem Nutzerkonto müssen IAM-Rollen (Identity and Access Management) zugewiesen werden, die die erforderlichen Berechtigungen enthalten.
- Aktivieren Sie die erforderlichen APIs, je nachdem, wie Sie in die Standard-Stufe von Security Command Center aufgenommen wurden.
- Wenn Ihr Projekt Organisationsrichtlinien erbt, die so konfiguriert sind, dass die Identitäten nach Domain eingeschränkt werden, müssen sich Ihre Nutzer- und Dienstkonten in einer zulässigen Domain befinden.
- Wenn Sie Container Threat Detection verwenden, müssen Ihre Google Kubernetes Engine-Cluster Container Threat Detection unterstützen. Weitere Informationen finden Sie unter Softwareversionen für Container Threat Detection bestätigen.
Informationen zu den Voraussetzungen
Informationen dazu, wie sich eine Aktivierung von Security Command Center auf Projektebene von einer Aktivierung auf Organisationsebene unterscheidet, finden Sie unter Aktivierung von Security Command Center auf Projektebene – Übersicht.
Informationen zu den Diensten und Security Command Center-Ergebnissen, die bei Aktivierungen auf Projektebene nicht unterstützt werden, finden Sie unter Dienstbeschränkungen bei Aktivierung auf Projektebene.
Projektanforderungen
Damit Sie Security Command Center für ein Projekt aktivieren können, muss das Projekt mit einer Organisation verknüpft sein. Informationen zum Erstellen eines Projekts finden Sie unter Projekte erstellen und verwalten.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihr Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Aktivieren von Security Command Center für ein Projekt benötigen:
-
Sicherheitsadministrator (
roles/iam.securityAdmin) -
Sicherheitscenter-Administrator (
roles/securitycenter.admin)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Erforderliche APIs aktivieren
Wenn Ihre Organisation im Rahmen von Google Cloud Diensten automatisch in Security Command Center aufgenommen wurde oder Sie die Security Command Center API verwenden möchten, müssen Sie die API für Ihr Projekt aktivieren.
Rollen, die zum Aktivieren von APIs erforderlich sind
Zum Aktivieren von APIs benötigen Sie die IAM-Rolle „Service Usage-Administrator“
(roles/serviceusage.serviceUsageAdmin), die
die Berechtigung serviceusage.services.enable enthält. Informationen zum Zuweisen von
Rollen.
Organisationsrichtlinien prüfen
- Sie müssen in der Google Cloud console mit einem Konto angemeldet sein, das zu einer zulässigen Domain gehört.
- Ihre Dienstkonten müssen sich in einer zulässigen Domain befinden oder Mitglieder einer Gruppe innerhalb Ihrer Domain sein. Mit dieser Anforderung können Sie Diensten mit dem Präfix
@*.gserviceaccount.comden Zugriff auf Ressourcen gewähren, wenn die Freigabe der Domain beschränkt ist.
Softwareversionen für Container Threat Detection bestätigen
Wenn Sie Container Threat Detection mit Google Kubernetes Engine (GKE) verwenden möchten, müssen Ihre Cluster eine unterstützte Version von GKE verwenden und richtig konfiguriert sein. Weitere Informationen finden Sie unter Container Threat Detection verwenden.
Aktivierungsszenarien für ein Projekt
Auf dieser Seite werden die folgenden Aktivierungsszenarien behandelt:
- Aktivieren Sie in einer Organisation, in der Security Command Center noch nie aktiviert wurde, entweder die Premium- oder die Standard-Stufe von Security Command Center für ein Projekt.
- Aktivieren Sie in einer Organisation, die die Standard-Stufe verwendet, die Premium-Stufe von Security Command Center für ein Projekt.
- Aktivieren Sie in einer Organisation, die ein ablaufendes Abo für die Premium-Stufe verwendet, die Premium-Stufe von Security Command Center für ein Projekt.
Je nachdem, ob Ihre Organisation Security Command Center verwendet, aktivieren Sie Security Command Center für ein Projekt mit unterschiedlichen Methoden.
Wenn Ihre Organisation Security Command Center nicht verwendet, die Google Cloud Konsole führt Sie durch eine Reihe von Einrichtungsseiten.
Wenn Ihre Organisation Security Command Center verwendet, aktivieren Sie Security Command Center Premium für ein Projekt auf dem Tab Stufendetails der Seite Einstellungen.
Prüfen, ob Security Command Center in Ihrer Organisation bereits aktiv ist
Wie Sie Security Command Center für ein Projekt aktivieren, hängt davon ab, ob Security Command Center in Ihrer Organisation bereits aktiv ist.
So prüfen Sie, ob Security Command Center in Ihrer Organisation bereits aktiv ist:
Rufen Sie in der Google Cloud console die Seite Übersicht von Security Command Center auf.
Wählen Sie den Namen des Projekts aus, für das Sie Security Command Center aktivieren möchten.
Nachdem Sie das Projekt ausgewählt haben, wird eine der folgenden Seiten geöffnet:
- Wenn Security Command Center in Ihrer Organisation aktiv ist, wird die Seite Risikoübersicht geöffnet.
- Wenn Security Command Center in der Organisation nicht aktiviert wurde, wird die Willkommensseite geöffnet, auf der Sie den Aktivierungsprozess für Ihr Projekt starten können.
Wenn Security Command Center in Ihrer Organisation bereits aktiv ist, prüfen Sie die aktive Dienststufe.
Öffnen Sie die Seite Einstellungen von Security Command Center:
Klicken Sie auf der Seite Einstellungen auf Stufendetails. Die Seite Stufe wird geöffnet.
In der Zeile Stufe ist die Dienststufe aufgeführt, die das Projekt erbt.
Folgen Sie der Anleitung für den Aktivierungsstatus von Security Command Center in der übergeordneten Organisation, um Security Command Center für ein Projekt zu aktivieren:
Aktivieren für ein Projekt, wenn Security Command Center in der Organisation aktiv ist
Wenn Security Command Center in einer Organisation bereits aktiv ist, müssen Sie nur die Premium-Stufe auf Projektebene aktivieren, da das Projekt mindestens die Nutzung der Standard-Stufe erbt.
Informationen zu den Funktionen, die in den einzelnen Stufen enthalten sind, finden Sie unter Dienststufen.
So führen Sie ein Upgrade Ihres Projekts auf die Premium-Stufe durch:
Rufen Sie in der Google Cloud console die Seite Stufendetails auf.
Wählen Sie das Projekt aus, für das Sie die Security Command Center-Stufe aktualisieren möchten, und klicken Sie dann auf Auswählen.
Klicken Sie auf Projektstufe verwalten.
Klicken Sie im Bereich Stufe verwalten für die Premium-Stufe auf Auswählen. Klicken Sie dann auf Aktualisieren.
Sie haben die Aktivierung von Security Command Center Premium für Ihr Projekt abgeschlossen. Warten Sie nun, bis die ersten Scans abgeschlossen sind.
Aktivieren für ein Projekt, wenn Security Command Center in der Organisation nicht aktiv ist
Wenn Security Command Center in Ihrer Organisation nicht aktiv ist, wird die Willkommensseite mit den Stufendetails angezeigt, wenn Sie Security Command Center in der Google Cloud console öffnen. Sie starten den Aktivierungsprozess, indem Sie eine Stufe auswählen.
Security Command Center hat drei Stufen: Standard, Premium und Enterprise. Die von Ihnen ausgewählte Stufe bestimmt die Verfügbarkeit von Funktionen und die Kosten für die Verwendung von Security Command Center. Sie können die Enterprise-Stufe nur auf Organisationsebene aktivieren. Weitere Informationen finden Sie unter Security Command Center Enterprise aktivieren.
Informationen zu den Funktionen, die in den einzelnen Stufen enthalten sind, finden Sie unter Dienststufen.
Wählen Sie die Dienststufe aus, die Sie aktivieren möchten (Standard oder Premium), und folgen Sie dieser Anleitung, um Security Command Center für ein Projekt zu aktivieren:
Standard
Rufen Sie in der Google Cloud console die Seite Übersicht von Security Command Center auf.
Wählen Sie das Projekt aus, für das Sie Security Command Center Standard aktivieren möchten, und klicken Sie dann auf Auswählen.
Klicken Sie auf der Willkommensseite auf Standard abrufen.
Klicken Sie auf Aktivieren.
Premium
Rufen Sie in der Google Cloud console die Seite Übersicht von Security Command Center auf.
Wählen Sie das Projekt aus, für das Sie Security Command Center Premium aktivieren möchten, und klicken Sie dann auf Auswählen.
Wählen Sie auf der Willkommensseite Premium kostenlos testen aus.
Klicken Sie auf Aktivieren.
Die Ergebnisse werden in der Google Cloud console angezeigt, sobald sie verfügbar sind. Nachdem sie angezeigt wurden, können SieSicherheits Google Cloud und Datenrisiken prüfen und beheben.
Security Command Center führt den ersten vollständigen Scan innerhalb von 24 Stunden durch. Bei einigen Diensten kann es etwas dauern, bis der Scan gestartet wird. Weitere Informationen finden Sie unter Wann sind Ergebnisse in Security Command Center zu erwarten?.
Dienste für Security Command Center
Security Command Center verwendet Erkennungsdienste um Sicherheitsprobleme in Ihren Cloud-Umgebungen zu erkennen. Nachdem Sie Security Command Center aktiviert haben, werden bestimmte Dienste automatisch aktiviert und Dienst-Agents erstellt, damit diese Dienste in Ihrem Namen agieren können.
Folgen Sie der Anleitung unter Security Command Center-Dienste konfigurieren , um verschiedene Dienste zu aktivieren oder zu deaktivieren.
Die automatisch aktivierten Dienste werden durch Ihre Dienststufe bestimmt. Wählen Sie Ihre Dienststufe aus, um zu sehen, was automatisch aktiviert wird.
Standard
Wenn Sie Security Command Center Standard aktivieren, wird Security Health Analytics automatisch aktiviert und dem Dienst-Agent werden die Rollen und Berechtigungen zugewiesen, die für die Funktion des Dienstes erforderlich sind.
Premium
Die folgenden Dienste werden aktiviert, wenn Sie Security Command Center Premium aktivieren:
-
Damit Container Threat Detection funktioniert, müssen Ihre Cluster eine unterstützte Version von Google Kubernetes Engine (GKE) verwenden und richtig konfiguriert sein. Weitere Informationen finden Sie unter Container Threat Detection verwenden.
-
Event Threat Detection basiert auf Logs, die vongeneriert werden Google Cloud. Damit Sie Event Threat Detection verwenden können, müssen Sie für Ihre Organisation, Ordner und ProjekteLogs aktivieren.
Dienst-Agents
Ein Dienst-Agent ist ein Dienst konto, das von Google Cloud erstellt und verwaltet wird, um in Ihrem Namen auf Ressourcen zuzugreifen. Nachdem ein Dienst-Agent erstellt wurde, weist Security Command Center dem Dienst-Agent automatisch die erforderlichen IAM-Rollen zu. Die Aktivierung von Security Command Center Premium umfasst die folgenden Dienst-Agents:
- Cloud Security Command Center Service Agent für Event Threat Detection, Security Health Analytics, Virtual Machine Threat Detection und Sicherheitslücken bewertung
- Cloud Security Compliance Service Agent für AI Protection und Compliance-Manager
- Container Threat Detection Service Agent für Container Threat Detection
- Data Security Posture Management Service Agent für DSPM
Anleitungen zur Verwendung und Optimierung finden Sie in der Dokumentation für die einzelnen Dienste. Event Threat Detection basiert beispielsweise auf Logs, die von Google Cloudgeneriert werden. Einige Logs sind immer aktiviert, sodass Event Threat Detection diese Logs scannen kann, sobald der Dienst aktiviert ist. Andere Logs, z. B. die meisten Audit-Logs zum Datenzugriff, müssen aktiviert werden, bevor Event Threat Detection sie scannen kann.
Nächste Schritte
Weitere Informationen zu Security Command Center und den integrierten Diensten.
- Informationen zum Prüfen von Assets, Ergebnissen und Sicherheitslücken mit Security Command Center.
- Weitere Informationen zu Google Cloud Sicherheitsquellen.
- Informationen zum Hinzufügen von Sicherheitsquellen zu Security Command Center.