Auf dieser Seite wird beschrieben, wie Sie den Security Command Center CIEM-Erkennungsdienst (Cloud Infrastructure Entitlement Management) einrichten, um Identitätsprobleme in Google Cloud und anderen Cloud-Plattformen wie Amazon Web Services (AWS) und Microsoft Azure (Vorschau) zu erkennen.
Der CIEM-Erkennungsdienst generiert Ergebnisse, die Sie auf potenzielle Sicherheitsrisiken im Zusammenhang mit Identitäten und Zugriffen aufmerksam machen, z. B. Identitäten (Konten) mit sehr hohen Berechtigungen.
Hinweis
Bevor Sie den CIEM-Erkennungsdienst aktivieren, führen Sie die folgenden Aufgaben aus:
Kaufen und aktivieren Sie Security Command Center für Ihre Organisation. Eine Anleitung finden Sie in einem der folgenden Artikel:
- Aktivieren Sie die Security Command Center Standard-Version für eine Organisation.
- Aktivieren Sie die Security Command Center Premium-Version für eine Organisation.
- Aktivieren Sie die Security Command Center Enterprise-Stufe.
Weitere Informationen zu den CIEM-Funktionen von Security Command Center
Berechtigungen einrichten
In den folgenden Abschnitten werden die Berechtigungen beschrieben, die zum Konfigurieren von CIEM erforderlich sind.
Berechtigungen für die Aktivierung der Standard-Legacy-, Standard- und Premium-Stufe
Nachdem Sie Security Command Center aktiviert haben, sind keine zusätzlichen Berechtigungen zum Konfigurieren von CIEM erforderlich. Weitere Informationen finden Sie unter CIEM mit Google Cloudkonfigurieren.
Berechtigungen für die Aktivierung der Enterprise-Stufe
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihre Google Cloud Organisation zuzuweisen, damit Sie die nötigen Berechtigungen zum Aktivieren von CIEM haben:
- Chronicle API-Administrator (roles/chronicle.admin)
- Chronicle SOAR Admin (roles/chronicle.soarAdmin)
- Administrator von Chronicle-Dienst (roles/chroniclesm.admin)
- Cloud-Asset-Inhaber (roles/cloudasset.owner)
- Dienstkonten erstellen (roles/iam.serviceAccountCreator)
- Ordner-IAM-Administrator (roles/resourcemanager.folderIamAdmin)
- IAM Recommender-Administrator (roles/recommender.iamAdmin)
- Organisationsadministrator (roles/resourcemanager.organizationAdmin)
- Administrator für Organisationsrollen (roles/iam.roleAdmin)
- Projektersteller (roles/resourcemanager.projectCreator)
- Projekt-IAM-Administrator (roles/resourcemanager.projectIamAdmin)
- Sicherheitsadministrator (roles/iam.securityAdmin)
- Sicherheitscenter-Administrator (roles/securitycenter.admin)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
CIEM für Google Cloudkonfigurieren
Cloud Infrastructure Entitlement Management-Dienste sind standardmäßig in Ihrer Google Cloud Umgebung aktiviert und erfordern keine zusätzliche Konfiguration.
Nachdem Sie Security Command Center aktiviert haben, generieren und veröffentlichen diese Dienste Ergebnisse zu Google Cloud -Ressourcen in Security Command Center.
CIEM für AWS konfigurieren
So aktivieren Sie den CIEM-Erkennungsdienst für AWS:
- Integration von Amazon Web Services (AWS) einrichten: Verbinden Sie Ihre AWS-Umgebung mit Security Command Center. Eine Anleitung finden Sie unter Verbindung zu AWS herstellen.
- Integrationen konfigurieren: Richten Sie optionale Security Command Center-Integrationen ein, z. B. die Verbindung zu Ihren Ticketsystemen:
- Wenn Sie Ihr Ticketsystem verbinden möchten, binden Sie Security Command Center Enterprise in Ticketsysteme ein.
- Wenn Sie Falldaten synchronisieren möchten, aktivieren Sie die Synchronisierung für Fälle.
- Logaufnahme konfigurieren: Um die Logaufnahme für CIEM richtig zu konfigurieren, lesen Sie den Abschnitt AWS-Logaufnahme für CIEM konfigurieren.
CIEM für Microsoft Azure konfigurieren
So aktivieren Sie den CIEM-Erkennungsdienst für Microsoft Azure:
- Microsoft Azure-Integration einrichten: Verbinden Sie Ihre Microsoft Azure-Umgebung mit Security Command Center. Eine Anleitung finden Sie unter Verbindung zu Microsoft Azure herstellen.
- Integrationen konfigurieren: Richten Sie optionale Security Command Center-Integrationen ein, z. B. die Verbindung zu Ihren Ticketsystemen:
- Informationen zum Verbinden Ihres Ticketsystems finden Sie unter Security Command Center Enterprise in Ticketsysteme einbinden.
- Wenn Sie Falldaten synchronisieren möchten, aktivieren Sie die Synchronisierung für Fälle.
- Log-Aufnahme konfigurieren: Weitere Informationen finden Sie unter Microsoft Azure-Log-Aufnahme für CIEM konfigurieren.
Nächste Schritte
- Informationen zum Untersuchen von Ergebnissen zu Identität und Zugriff
- Fälle zu Identitäts- und Zugriffsproblemen prüfen
- Hier erhalten Sie weitere Informationen zu den Security Command Center-Rollen.