Auf dieser Seite erhalten Sie einen Überblick über den Aktivierungsprozess, der beim Aktivieren von Security Command Center ausgeführt wird. Das Ziel besteht darin, häufig gestellte Fragen zu beantworten:
- Was passiert, wenn Security Command Center aktiviert wird?
- Warum gibt es vor dem Start der ersten Scans eine Verzögerung?
- Was ist die erwartete Laufzeit für die ersten Scans und die laufenden Scans?
- Wie wirken sich Änderungen an Ressourcen und Einstellungen auf die Leistung aus?
Übersicht
Wenn Sie Security Command Center zum ersten Mal aktivieren, muss ein Aktivierungsprozess abgeschlossen sein, bevor Security Command Center Ihre Ressourcen scannen kann. Dann müssen die Scans abgeschlossen sein, bevor Sie eine vollständige Liste der Ergebnisse für Ihre Google Cloud Umgebung sehen.
Wie lange der Aktivierungsprozess und die Scans dauern, hängt von einer Reihe von Faktoren ab, z. B. von der Anzahl der Assets und Ressourcen in Ihrer Umgebung und davon, ob Security Command Center auf der Organisationsebene oder auf der Projektebeneaktiviert ist.
Bei Aktivierungen auf Organisationsebene muss Security Command Center bestimmte Schritte des Aktivierungsprozesses für jedes Projekt in der Organisation wiederholen. Je nach Anzahl der Projekte in einer Organisation kann die für den Aktivierungsprozess erforderliche Zeit zwischen Minuten und Stunden liegen. Bei Organisationen mit mehr als 100.000 Projekten, vielen Ressourcen in jedem Projekt und anderen erschwerenden Faktoren kann es bis zu 24 Stunden oder länger dauern, bis die Aktivierung und die ersten Scans abgeschlossen sind.
Bei Aktivierungen von Security Command Center auf Projektebene ist der Aktivierungsprozess viel schneller, da er auf das einzelne Projekt beschränkt ist, in dem Security Command Center aktiviert ist.
Die Faktoren, die Latenzen beim Starten von Scans, Verarbeiten von Änderungen an Einstellungen und bei der Ausführungszeit von Scans verursachen können, werden in den folgenden Abschnitten erläutert.
Latenz bei der Einrichtung
Vor Beginn des Scans erkennt Security Command Center Ihre Ressourcen und indexiert sie.
Zu den indexierten Diensten gehören App Engine, BigQuery, Cloud SQL, Cloud Storage, Compute Engine, Identity and Access Management und Google Kubernetes Engine.
Bei Aktivierungen von Security Command Center auf Projektebene beschränkt sich die Erkennung und Indexierung auf das einzelne Projekt, in dem Security Command Center aktiviert ist.
Bei Aktivierungen auf Organisationsebene erkennt und indexiert Security Command Center Ressourcen in Ihrer gesamten Organisation.
Während des Onboarding-Vorgangs werden zwei wichtige Schritte ausgeführt.
Asset-Scan
Security Command Center führt einen ersten Asset-Scan durch, um die Gesamtzahl, den Standort und den Zustand von Projekten, Ordnern, Dateien, Clustern, Identitäten, Zugriffsrichtlinien, registrierten Nutzern und anderen Ressourcen zu ermitteln. Dieser Vorgang ist normalerweise innerhalb von Minuten abgeschlossen.
API-Aktivierung
Wenn Ressourcen gefunden werden, aktiviert Security Command Center Elemente von Google Cloud die für Security Health Analytics, Event Threat Detection, Container Threat Detection, und Web Security Scanner benötigt werden. Bei einigen Erkennungsdiensten müssen bestimmte APIs für geschützte Projekte aktiviert sein, damit sie funktionieren.
Wenn Sie Security Command Center auf Projektebene aktivieren, dauert die API-Aktivierung in der Regel weniger als eine Minute.
Bei Aktivierungen auf Organisationsebene durchläuft Security Command Center alle Projekte, die Sie zum Scannen ausgewählt haben, um die erforderlichen APIs zu aktivieren.
Die Anzahl der Projekte in einer Organisation legt weitgehend die Länge der Onboarding- und Aktivierungsprozesse fest. Da APIs für Projekte einzeln aktiviert werden müssen, ist die API-Aktivierung für gewöhnlich die zeitaufwendigste Aufgabe, insbesondere für Unternehmen mit mehr als 100.000 Projekten.
Die erforderliche Zeit zum projektübergreifende Aktivieren von Diensten skaliert linear. Das bedeutet, dass es in der Regel doppelt so lang dauert, Dienst- und Sicherheitseinstellungen in einer Organisation mit 30.000 Projekten zu aktivieren, als eines mit 15.000 Projekten.
Bei einer Organisation mit 100.000 Projekten sollten Onboarding und Aktivierung der Dienststufen „Premium“ und „Enterprise“ in weniger als fünf Stunden abgeschlossen sein. Die Zeit kann je nach vielen Faktoren variieren, z. B. der Anzahl der verwendeten Projekte oder Container und der Anzahl der Security Command Center-Dienste, die Sie aktivieren möchten.
Latenz beim ersten Scan
Bei der Einrichtung von Security Command Center entscheiden Sie, welche integrierten Dienste aktiviert werden sollen. Anschließend wählen Sie die Google Cloud Ressourcen aus, die Sie analysieren oder scannen möchten, um Bedrohungen und Sicherheitslücken zu ermitteln. Wenn APIs für Projekte aktiviert sind, starten ausgewählte Dienste ihre Scans. Die Dauer dieser Scans hängt auch von der Anzahl der Projekte in einer Organisation ab.
Ergebnisse von integrierten Diensten sind verfügbar, wenn die ersten Scans abgeschlossen wurden. Bei Diensten treten Latenzen auf, wie in den folgenden Abschnitten beschrieben.
- Bedrohungserkennung für die Agent Platform (Vorabversion) hat die folgenden Latenzen:
- Aktivierungslatenz von bis zu 3,5 Stunden bei neu eingerichteten Projekten oder Organisationen.
- Erkennungslatenz von Minuten.
- Cloud Run Threat Detection hat die folgenden Latenzen:
- Aktivierungslatenz von bis zu 3,5 Stunden bei neu eingerichteten Projekten oder Organisationen.
- Erkennungslatenz von Minuten.
- Compliance-Manager: Informationen finden Sie unter Scanlatenz des Compliance-Managers für Erkennungskontrollen.
- Container Threat Detection hat die folgenden Latenzen:
- Aktivierungslatenz von bis zu 3,5 Stunden bei neu eingerichteten Projekten oder Organisationen.
- Aktivierungslatenz von Minuten für neu erstellte Cluster.
- Erkennungslatenz von Minuten für Bedrohungen in Clustern, die aktiviert wurden.
Die Aktivierung von Event Threat Detection erfolgt innerhalb weniger Sekunden für integrierte Detektoren. Bei neuen oder aktualisierten benutzerdefinierten Detektoren kann es bis zu 15 Minuten dauern, bis die Änderungen wirksam werden. In der Praxis dauert es in der Regel weniger als 5 Minuten.
Bei integrierten und benutzerdefinierten Detektoren betragen die Erkennungslatenzen in der Regel weniger als 15 Minuten ab dem Zeitpunkt, zu dem ein Log geschrieben wird, wenn ein Ergebnis in Security Command Center verfügbar ist.
Es kann ungefähr 6 Stunden dauern, bis die Problemdaten für die Security Command Center-Dienststufen „Security Command Center Premium“ und „Enterprise“ angezeigt werden.
Es kann ungefähr 2 Stunden dauern, bis die Daten des Sicherheitsgraphen für die Security Command Center-Dienststufen „Premium“ und „Enterprise“ angezeigt werden.
Security Health Analytics: Informationen finden Sie unter Scanlatenz von Security Health Analytics.
VM Threat Detection hat eine Aktivierungslatenz von bis zu 48 Stunden bei neu eingerichteten Organisationen. Bei Projekten beträgt die Aktivierungslatenz bis zu 15 Minuten.
Sicherheitslückenbewertung für Google Cloud: Siehe Ergebnisse, die von der Sicherheitslückenbewertung für generiert wurden Google Cloud für Informationen zur Häufigkeit von Scans nach der Aktivierung.
Die Sicherheitslückenbewertung für Amazon Web Services (AWS) beginnt mit dem Scannen der Ressourcen in einem AWS-Konto etwa 15 Minuten nach der ersten Bereitstellung der erforderlichen CloudFormation-Vorlage im Konto. Wenn im AWS-Konto eine Software-Sicherheitslücke erkannt wird, ist das entsprechende Ergebnis etwa 10 Minuten später in Security Command Center verfügbar.
Wie lange ein Scan dauert, hängt von der Anzahl der EC2-Instanzen ab. In der Regel dauert ein Scan einer einzelnen EC2-Instanz weniger als 5 Minuten.
Nach dem Aktivieren des Dienstes kann es bis zu 24 Stunden dauern, bis Web Security Scanner gestartet wird. Nach dem ersten Scan wird er dann jede Woche ausgeführt.
Nach dem Aktivieren des Dienstes kann es bis zu 24 Stunden dauern, bis Scans der Datensicherheitsstatus-Verwaltung gestartet werden.
Security Command Center führt Fehlerdetektoren aus, die Konfigurationsfehler im Zusammenhang mit Security Command Center und seinen Diensten erkennen. Diese Fehlerdetektoren sind standardmäßig aktiviert und können nicht deaktiviert werden. Die Erkennungslatenzen variieren je nach Fehlerdetektor. Weitere Informationen finden Sie unter Security Command Center-Fehler.
Die IAM-Rollen für Security Command Center können auf Organisations-, Ordner- oder Projektebene zugewiesen werden. Die Möglichkeit, Ergebnisse, Assets und Sicherheitsquellen anzusehen, zu bearbeiten, zu erstellen oder zu aktualisieren, hängt von der Ebene ab, auf die Sie Zugriff haben. Weitere Informationen zu Security Command Center-Rollen finden Sie unter Zugriffssteuerung.
Vorläufige Ergebnisse ansehen
Während der erste Scan durchgeführt wird, können Sie jedoch einige Ergebnisse in der Google Cloud console sehen, noch bevor der Einrichtungsprozess abgeschlossen ist. Vorläufige Ergebnisse sind präzise und praktisch, aber sie sind nicht aussagekräftig. Die Verwendung dieser Ergebnisse für eine Complianceprüfung innerhalb der ersten 24 Stunden wird nicht empfohlen.
Nachfolgende Scans
Änderungen innerhalb Ihrer Organisation oder Ihres Projekts, z. B. das Verschieben von Ressourcen oder das Hinzufügen neuer Ordner und Projekte bei Aktivierungen auf Organisationsebene, haben keine erheblichen Auswirkungen auf die Ressourcenerkennungszeit oder die Ausführungszeit von Scans. Einige Scans gehen jedoch nach festgelegten Zeitplänen aus, die festlegen, wie schnell die Security Command Center Änderungen erkennt.
- Bedrohungserkennung für die Agent Platform (Vorabversion) verwendet einen Watcher-Prozess, um Ereignisinformationen zu erfassen, während die Agent-basierte Arbeitslast ausgeführt wird. Es kann bis zu einer Minute dauern, bis der Watcher-Prozess gestartet und Informationen erfasst werden.
- Angriffspfadsimulationen: Weitere Informationen finden Sie im Abschnitt Angriffspfadsimulationen.
- Cloud Run Threat Detection verwendet einen Watcher-Prozess, um Container- und Ereignisinformationen für die gesamte Dauer einer Cloud Run-Arbeitslast zu erfassen. Es kann bis zu einer Minute dauern, bis der Watcher-Prozess gestartet und Informationen erfasst werden.
- Event Threat Detection und Container Threat Detection: Diese Dienste werden in Echtzeit ausgeführt, wenn sie aktiviert sind, und erkennen sofort neue oder geänderte Ressourcen wie Cluster, Buckets oder Logs in aktivierten Projekten.
- Security Health Analytics: Informationen zu Scantypen finden Sie unter Scantypen von Security Health Analytics. Informationen zur Erkennungslatenz finden Sie unter Nachfolgende Scans von Security Health Analytics.
- VM Threat Detection: Für den Arbeitsspeicherscan scannt VM Threat Detection jede VM-Instanz
unmittelbar nach der
Erstellung der Instanz. Darüber hinaus scannt VM Threat Detection alle VM-Instanzen alle 30 Minuten.
- Bei der Erkennung von Kryptowährungs-Mining generiert VM Threat Detection ein Ergebnis pro Prozess, pro VM und pro Tag. Jedes Ergebnis enthält nur die Bedrohungen, die mit dem Prozess verknüpft sind, der durch das Ergebnis identifiziert wird. Wenn VM Threat Detection Bedrohungen findet, sie jedoch keinem Prozess zuordnen kann, fasst VM Threat Detection für jede VM alle nicht zugehörigen Bedrohungen in einem einzigen Ergebnis zusammen, das jeweils einmal innerhalb eines Zeitraums von 24 Stunden ausgeführt wird. Bei Bedrohungen, die länger als 24 Stunden andauern, generiert die VM Threat Detection alle 24 Stunden neue Ergebnisse.
- Bei der Erkennung von Kernel-Mode-Rootkits generiert VM Threat Detection alle drei Tage ein Ergebnis pro Kategorie und pro VM.
Für den Scan nichtflüchtiger Speicher, bei dem das Vorhandensein bekannter Malware erkannt wird, scannt VM Threat Detection jede VM-Instanz mindestens täglich.
Die Sicherheitslückenbewertung für AWS führt dreimal täglich Scans aus.
Wie lange ein Scan dauert, hängt von der Anzahl der EC2-Instanzen ab. In der Regel dauert ein Scan einer einzelnen EC2-Instanz weniger als 5 Minuten.
Wenn in einem AWS-Konto eine Software-Sicherheitslücke erkannt wird, ist das entsprechende Ergebnis etwa 10 Minuten später in Security Command Center verfügbar.
Web Security Scanner: Web Security Scanner wird wöchentlich am selben Tag wie der erste Scanvorgang ausgeführt. Da Web Security Scanner wöchentlich ausgeführt wird, werden Änderungen nicht in Echtzeit erkannt. Wenn Sie eine Ressource verschieben oder eine Anwendung ändern, wird die Änderung möglicherweise erst nach einer Woche erkannt. Sie können On-Demand-Scans ausführen, um neue oder geänderte Ressourcen zwischen geplanten Scans zu prüfen.
DSPM: Ergebnisse, die von der Datensicherheitsstatus-Verwaltung generiert werden, werden nahezu in Echtzeit im Dashboard der Datensicherheitsstatus-Verwaltung angezeigt.
Security Command Center-Fehlerdetektoren werden regelmäßig im Batchmodus ausgeführt. Die Häufigkeit des Batchscans hängt vom Fehlerdetektor ab. Weitere Informationen finden Sie unter Security Command Center-Fehler.
Angriffspfadsimulationen
Angriffspfadsimulationen werden etwa alle sechs Stunden ausgeführt. Wenn Ihre Google Cloud Organisation größer oder komplexer wird, kann sich die Zeit zwischen den Intervallen verlängern.
Wenn Sie Security Command Center zum ersten Mal aktivieren, verwenden die Angriffspfadsimulationen einen Standardsatz hochwertiger Ressourcen, der sich auf eine Teilmenge der unterstützten Ressourcentypen in Ihrer Organisation konzentriert. Weitere Informationen finden Sie in der Liste der unterstützten Ressourcentypen.
Wenn Sie Ihren eigenen Satz hochwertiger Ressourcen definieren, indem Sie eine Konfiguration für den Wert von Ressourcen erstellen, kann sich die Zeit zwischen den Simulationsintervallen verkürzen, wenn die Anzahl der Ressourceninstanzen in Ihrem Satz hochwertiger Ressourcen deutlich geringer ist als im Standardsatz.
Nächste Schritte
- Informationen zur Verwendung von Security Command Center in der console Google Cloud
- Informationen zu Erkennungsdiensten.