Auf dieser Seite wird beschrieben, wie Sie die Security Command Center-Stufe „Standard“ oder „Premium“ für ein Google Cloud Projekt aktivieren.
Aktivierungen der Standardstufe auf Projektebene unterstützen die neuen Funktionen der Standardstufe.
Informationen zu den Funktionen der Standard-Stufe finden Sie unter Security Command Center-Dienststufen.
Informationen zu den Unterschieden zwischen der Standard- und der Standard-Legacy-Stufe finden Sie unter Verbesserte Standardstufe für einige Kunden automatisch aktiviert.
Informationen zum Aktivieren von Security Command Center für eine gesamte Organisation finden Sie in einem der folgenden Artikel:
- Security Command Center Standard-Version für eine Organisation aktivieren
- Security Command Center Premium-Stufe für eine Organisation aktivieren
- Security Command Center Enterprise-Stufe aktivieren
Hinweis
Wenn Sie Security Command Center für ein Projekt aktivieren möchten, müssen die folgenden Voraussetzungen erfüllt sein, die in den folgenden Unterabschnitten erläutert werden:
- Lesen Sie die Informationen zu den Voraussetzungen, um zu verstehen, wie sich eine Aktivierung von Security Command Center auf Projektebene von einer Aktivierung auf Organisationsebene unterscheidet.
- Sie benötigen ein Google Cloud -Projekt, das mit einer Organisation verknüpft ist.
- Ihrem Nutzerkonto müssen IAM-Rollen (Identity and Access Management) zugewiesen werden, die die erforderlichen Berechtigungen enthalten.
- Aktivieren Sie die erforderlichen APIs, je nachdem, wie Sie für die Security Command Center Standard-Version registriert wurden.
- Wenn in Ihrem Projekt Organisationsrichtlinien übernommen werden, die so festgelegt sind, dass Identitäten nach Domain eingeschränkt werden, müssen sich Ihre Nutzer- und Dienstkonten in einer zulässigen Domain befinden.
- Wenn Sie Container Threat Detection verwenden möchten, müssen Ihre Google Kubernetes Engine-Cluster Container Threat Detection unterstützen. Weitere Informationen finden Sie unter Softwareversionen für Container Threat Detection bestätigen.
Voraussetzungen
Informationen dazu, wie sich die Aktivierung von Security Command Center auf Projektebene von der Aktivierung auf Organisationsebene unterscheidet, finden Sie unter Übersicht über die Aktivierung von Security Command Center auf Projektebene.
Informationen zu den Diensten und Security Command Center-Ergebnissen, die bei Aktivierungen auf Projektebene nicht unterstützt werden, finden Sie unter Diensteinschränkungen bei Aktivierung auf Projektebene.
Projektanforderungen
Damit Security Command Center für ein Projekt aktiviert werden kann, muss das Projekt mit einer Organisation verknüpft sein. Wenn Sie ein Projekt erstellen müssen, lesen Sie den Hilfeartikel Projekte erstellen und verwalten.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, damit Sie die nötigen Berechtigungen zum Aktivieren von Security Command Center für ein Projekt haben:
- Sicherheitsadministrator (
roles/iam.securityAdmin) - Sicherheitscenter-Administrator (
roles/securitycenter.admin)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Erforderliche APIs aktivieren
Wenn Ihre Organisation im Rahmen vonGoogle Cloud -Diensten automatisch in Security Command Center aufgenommen wurde oder Sie die Security Command Center API verwenden möchten, müssen Sie die API für Ihr Projekt aktivieren.
Rollen, die zum Aktivieren von APIs erforderlich sind
Zum Aktivieren von APIs benötigen Sie die IAM-Rolle „Service Usage-Administrator“ (roles/serviceusage.serviceUsageAdmin), die die Berechtigung serviceusage.services.enable enthält. Weitere Informationen zum Zuweisen von Rollen
Organisationsrichtlinien prüfen
Wenn für Ihr Projekt Organisationsrichtlinien gelten, die so konfiguriert sind, dass die Identitäten nach Domain eingeschränkt werden, müssen Sie die folgenden Anforderungen erfüllen:
- Sie müssen in der Google Cloud -Konsole mit einem Konto angemeldet sein, das zu einer zulässigen Domain gehört.
- Ihre Dienstkonten müssen sich in einer zulässigen Domain befinden oder Mitglieder einer Gruppe innerhalb Ihrer Domain sein. Mit dieser Anforderung können Sie den
@*.gserviceaccount.com-Dienstzugriff auf Ressourcen gewähren, wenn die Freigabe der Domain beschränkt ist.
Softwareversionen für Container Threat Detection bestätigen
Wenn Sie Container Threat Detection mit Google Kubernetes Engine (GKE) verwenden möchten, müssen Ihre Cluster auf einer unterstützten Version von GKE basieren und richtig konfiguriert sein. Weitere Informationen finden Sie unter Container Threat Detection verwenden.
Aktivierungsszenarien für ein Projekt
Auf dieser Seite werden die folgenden Aktivierungsszenarien behandelt:
- Aktivieren Sie in einer Organisation, in der Security Command Center noch nie aktiviert wurde, entweder die Premium- oder die Standard-Stufe von Security Command Center für ein Projekt.
- Aktivieren Sie in einer Organisation, die die Standard-Stufe verwendet, die Security Command Center Premium-Stufe für ein Projekt.
- Aktivieren Sie in einer Organisation, die ein ablaufendes Premium-Stufenabo verwendet, die Premium-Stufe von Security Command Center für ein Projekt.
Je nachdem, ob Ihre Organisation Security Command Center verwendet, aktivieren Sie Security Command Center für ein Projekt mit unterschiedlichen Methoden.
Wenn Ihre Organisation Security Command Center nicht verwendet, werden Sie in der Google Cloud Console durch eine Reihe von Einrichtungsseiten geführt.
Wenn Ihre Organisation Security Command Center verwendet, aktivieren Sie Security Command Center Premium für ein Projekt auf der Seite Einstellungen auf dem Tab Stufendetails.
Prüfen, ob Security Command Center bereits in Ihrer Organisation aktiv ist
Die Aktivierung von Security Command Center für ein Projekt hängt davon ab, ob Security Command Center bereits in Ihrer Organisation aktiv ist.
So prüfen Sie, ob Security Command Center bereits in Ihrer Organisation aktiv ist:
Rufen Sie in der Google Cloud Console die Seite Security Command Center-Übersicht auf.
Wählen Sie den Namen des Projekts aus, für das Sie Security Command Center aktivieren müssen.
Nachdem Sie das Projekt ausgewählt haben, wird eine der folgenden Seiten geöffnet:
- Wenn Security Command Center in Ihrer Organisation aktiv ist, wird die Seite Risikoübersicht geöffnet.
- Wenn Security Command Center in der Organisation nicht aktiviert wurde, wird die Willkommensseite geöffnet, auf der Sie den Aktivierungsprozess für Ihr Projekt starten können.
Wenn Security Command Center bereits in Ihrer Organisation aktiv ist, prüfen Sie die aktive Service-Stufe.
Öffnen Sie die Seite Einstellungen des Security Command Center:
Klicken Sie auf der Seite Einstellungen auf Stufendetails. Die Seite Stufe wird geöffnet.
In der Zeile Tier wird die Serviceebene aufgeführt, die das Projekt übernimmt.
Wenn Sie Security Command Center für ein Projekt aktivieren möchten, folgen Sie der Anleitung für den Aktivierungsstatus von Security Command Center in der übergeordneten Organisation:
Für ein Projekt aktivieren, wenn Security Command Center in der Organisation aktiv ist
Wenn Security Command Center bereits in einer Organisation aktiv ist, müssen Sie auf Projektebene nur die Premium-Stufe aktivieren, da das Projekt mindestens die Standard-Stufe übernimmt.
Informationen zu den in den einzelnen Stufen enthaltenen Funktionen finden Sie unter Dienststufen.
So führen Sie ein Upgrade Ihres Projekts auf die Premium-Stufe durch:
Rufen Sie in der Google Cloud Console die Seite Tierdetails auf.
Wählen Sie das Projekt aus, für das Sie das Security Command Center-Abo upgraden möchten, und klicken Sie dann auf Auswählen.
Klicken Sie auf Projektstufe verwalten.
Klicken Sie im Bereich Stufe verwalten für die Premiumstufe auf Auswählen. Klicken Sie dann auf Aktualisieren.
Sie haben die Aktivierung von Security Command Center Premium für Ihr Projekt abgeschlossen. Warten Sie als Nächstes, bis die ersten Scans abgeschlossen sind.
Für ein Projekt aktivieren, wenn Security Command Center in der Organisation nicht aktiv ist
Wenn Security Command Center in Ihrer Organisation nicht aktiv ist, wird beim Öffnen von Security Command Center in der Google Cloud -Konsole die Willkommensseite mit Stufendetails angezeigt. Sie starten den Aktivierungsprozess, indem Sie ein Abo auswählen.
Security Command Center ist in drei Stufen verfügbar: Standard, Premium und Enterprise. Die von Ihnen ausgewählte Stufe bestimmt die Verfügbarkeit von Funktionen und die Kosten für die Verwendung von Security Command Center. Sie können die Enterprise-Stufe nur auf Organisationsebene aktivieren. Weitere Informationen finden Sie unter Security Command Center Enterprise-Version aktivieren.
Informationen zu den in den einzelnen Stufen enthaltenen Funktionen finden Sie unter Dienststufen.
Wenn Sie Security Command Center für ein Projekt aktivieren möchten, wählen Sie die gewünschte Servicestufe (Standard oder Premium) aus und gehen Sie so vor:
Standard
Rufen Sie in der Google Cloud Console die Seite Security Command Center-Übersicht auf.
Wählen Sie das Projekt aus, für das Sie Security Command Center Standard aktivieren möchten, und klicken Sie dann auf Auswählen.
Klicken Sie auf der Willkommensseite auf Standard erhalten.
Klicken Sie auf Activate (Aktivieren).
Premium
Rufen Sie in der Google Cloud Console die Seite Security Command Center-Übersicht auf.
Wählen Sie das Projekt aus, für das Sie Security Command Center Premium aktivieren möchten, und klicken Sie dann auf Auswählen.
Wählen Sie auf der Willkommensseite Premium kostenlos testen aus.
Klicken Sie auf Activate (Aktivieren).
Die Ergebnisse werden in der Google Cloud Console angezeigt, sobald sie verfügbar sind. Nachdem sie angezeigt wurden, können Sie Sicherheits- und Datenrisiken Google Cloud überprüfen und beheben.
Security Command Center führt den ersten vollständigen Scan innerhalb von 24 Stunden durch. Bei einigen Diensten wird die Suche möglicherweise nicht sofort gestartet. Weitere Informationen finden Sie unter Wann sind Ergebnisse im Security Command Center zu erwarten?.
Dienste für Security Command Center
Security Command Center verwendet Erkennungsdienste, um Sicherheitsprobleme in Ihren Cloud-Umgebungen zu erkennen. Nachdem Sie Security Command Center aktiviert haben, werden bestimmte Dienste automatisch aktiviert und Dienst-Agents erstellt, damit diese Dienste in Ihrem Namen agieren können.
Folgen Sie der Anleitung unter Security Command Center-Dienste konfigurieren, um verschiedene Dienste zu aktivieren oder zu deaktivieren.
Welche Dienste automatisch aktiviert werden, hängt von Ihrer Service-Stufe ab. Wählen Sie Ihre Dienststufe aus, um zu sehen, was automatisch aktiviert ist.
Standard
Wenn Sie Security Command Center Standard aktivieren, wird Security Health Analytics automatisch aktiviert und dem Dienst-Agent werden die Rollen und Berechtigungen gewährt, die für die Funktion des Dienstes erforderlich sind.
Premium
Die folgenden Dienste werden aktiviert, wenn Sie Security Command Center Premium aktivieren:
-
Damit Container Threat Detection funktioniert, müssen Ihre Cluster eine unterstützte Version von Google Kubernetes Engine (GKE) verwenden und Ihre GKE-Cluster richtig konfiguriert sein. Weitere Informationen finden Sie unter Container Threat Detection verwenden.
-
Event Threat Detection basiert auf Logs, die von Google Cloudgeneriert werden. Damit Sie Event Threat Detection verwenden können, müssen Sie für Ihre Organisation, Ordner und Projekte Logs aktivieren.
Dienst-Agents
Ein Dienst-Agent ist ein Dienstkonto, das von Google Cloud erstellt und verwaltet wird, um in Ihrem Namen auf Ressourcen zuzugreifen. Nachdem ein Dienst-Agent erstellt wurde, weist Security Command Center ihm automatisch die erforderlichen IAM-Rollen zu. Die Aktivierung von Security Command Center Premium umfasst die folgenden Dienst-Agents:
- Cloud Security Command Center-Dienstkonto für Event Threat Detection, Security Health Analytics, Virtual Machine Threat Detection und Vulnerability Assessment
- Cloud Security Compliance Service Agent für KI-Schutz und Compliance Manager
- Container Threat Detection-Dienst-Agent für Container Threat Detection
- Service-Agent für die Datensicherheitsstatus-Verwaltung
Hinweise zur Verwendung und Optimierung finden Sie in der Dokumentation zum jeweiligen Dienst. Event Threat Detection basiert beispielsweise auf Logs, die vonGoogle Cloudgeneriert werden. Einige Logs sind immer aktiviert, sodass Event Threat Detection diese Logs scannen kann, sobald die Funktion aktiviert ist. Andere Logs, z. B. die meisten Audit-Logs für den Datenzugriff, müssen aktiviert werden, bevor Event Threat Detection sie scannen kann.
Nächste Schritte
Weitere Informationen zu Security Command Center und den integrierten Diensten.
- Informationen zum Prüfen von Assets, Ergebnissen und Sicherheitslücken mit Security Command Center
- Weitere Informationen zuGoogle Cloud -Sicherheitsquellen
- Sicherheitsquellen zu Security Command Center hinzufügen