Best Practices für Security Command Center

Dieses Thema enthält Empfehlungen zur Verwaltung von Security Command Center-Diensten und -Features, damit Sie das Produkt optimal nutzen können.

Security Command Center ist eine leistungsstarke Plattform für das Monitoring von Daten- und Sicherheitsrisiken in Ihrer Organisation oder in einzelnen Projekten. Security Command Center bietet maximalen Schutz bei minimalem Konfigurationsbedarf. Es gibt jedoch Maßnahmen, die Sie ergreifen können, um die Plattform auf Ihren Workflow abzustimmen und Ihre Ressourcen zu schützen.

Premium- oder Enterprise-Stufe aktivieren

Die Premium- und Enterprise-Stufen von Security Command Center bieten den größten Schutz durch eine breite Palette von Funktionen für die Cloud-Sicherheit und den Sicherheitsbetrieb, einschließlich Bedrohungserkennung, Erkennung von Software-Sicherheitslücken, Compliance-Bewertungen, Funktionen für den Sicherheitsbetrieb und vieles mehr. Die Stufen „Standard“ und „Standard-Legacy“ bieten nur eingeschränkte Dienste und Funktionen.

Informationen zu den Funktionen, die in den einzelnen Dienststufen enthalten sind, finden Sie unter Dienststufen.

Aktivierungen auf Projektebene verwenden

Bei den Dienststufen „Standard-Legacy“, „Standard“ und „Premium“ können Sie Security Command Center für einzelne Projekte aktivieren.

Bei Aktivierungen auf Projektebene sind bestimmte Funktionen, für die Zugriff auf Organisationsebene erforderlich ist, unabhängig von der Stufe nicht verfügbar. Weitere Informationen finden Sie unter Featureverfügbarkeit bei Aktivierungen auf Projektebene.

Weitere Informationen zum Aktivieren einer Security Command Center-Stufe finden Sie unter Übersicht zur Aktivierung von Security Command Center.

Informationen zu den Kosten für Security Command Center bei Aktivierung auf Projektebene finden Sie unter Preise.

Alle integrierten Dienste aktivieren

Wir empfehlen, alle integrierten Dienste zu aktivieren, vorbehaltlich der Best-Practice-Empfehlungen der einzelnen Dienste.

Wenn Security Command Center bereits aktiviert ist, können Sie auf der Seite Einstellungen prüfen, welche Dienste aktiviert sind.

Sie können jeden Dienst deaktivieren, aber es ist am besten, alle Dienste Ihrer Stufe immer aktiviert zu lassen. Wenn alle Dienste aktiviert sind, können Sie kontinuierliche Updates nutzen und dafür sorgen, dass Schutz für neue und geänderte Ressourcen bereitgestellt wird.

Bevor Sie Web Security Scanner in der Produktion aktivieren, lesen Sie die Best Practices für Web Security Scanner.

Eventuell sollten Sie auch integrierte Dienste (Anomalieerkennung, Schutz sensibler Daten und Google Cloud Armor) aktivieren, sich Sicherheitsdienste von Drittanbietern ansehen, und Cloud Logging für Event Threat Detection und Container Threat Detection aktivieren. Abhängig von der Menge der Informationen können die Kosten für Schutz sensibler Daten und Cloud Armor erheblich sein. Halten Sie sich an die Best Practices zum Steuern der Kosten für Schutz sensibler Daten und lesen Sie die Preisübersicht für Cloud Armor.

Logs für Event Threat Detection aktivieren

Wenn Sie Event Threat Detection verwenden, müssen Sie möglicherweise bestimmte Logs aktivieren, die von Event Threat Detection gescannt werden. Einige Logs sind immer aktiviert, z. B. Audit-Logs zur Administratoraktivität von Cloud Logging. Andere Logs, z. B. die meisten Audit-Logs zum Datenzugriff, sind standardmäßig deaktiviert und müssen aktiviert werden, bevor Event Threat Detection sie scannen kann.

Einige der Logs, die Sie aktivieren sollten, sind:

• Audit-Logs zum Datenzugriff von Cloud Logging
• Google Workspace-Logs (nur Aktivierungen auf Organisationsebene)

Welche Logs Sie aktivieren müssen, hängt von Folgendem ab:

• Die verwendeten Dienste Google Cloud
• Die Sicherheitsanforderungen Ihres Unternehmens

Für das Logging können Gebühren für die Aufnahme und Speicherung bestimmter Logs anfallen. Lesen Sie sich die Logging-Preisean, bevor Sie Logs aktivieren.

Nachdem ein Log aktiviert wurde, wird es automatisch von Event Threat Detection gescannt.

Weitere Informationen dazu, welche Erkennungsmodule welche Logs erfordern und welche dieser Logs Sie aktivieren müssen, finden Sie unter Zu aktivierende Logs.

Satz hochwertiger Ressourcen definieren

Damit Sie Ergebnisse zu Sicherheitslücken und Fehlkonfigurationen priorisieren können, die die Ressourcen gefährden, die für Sie am wichtigsten sind, geben Sie an, welche Ihrer hochwertigen Ressourcen zu Ihrem Satz hochwertiger Ressourcengehören.

Ergebnisse, die die Ressourcen in Ihrem Satz hochwertiger Ressourcen gefährden, erhalten höhere Angriffsrisikobewertungen.

Sie geben die Ressourcen an, die zu Ihrem Satz hochwertiger Ressourcen gehören, indem Sie Konfigurationen für den Wert von Ressourcenerstellen. Bis Sie Ihre erste Konfiguration für den Wert von Ressourcen erstellen, verwendet Security Command Center einen Standardsatz hochwertiger Ressourcen, der nicht an Ihre Sicherheitsprioritäten angepasst ist.

Security Command Center in der Google Cloud Console verwenden

In der Google Cloud Console bietet Security Command Center Funktionen und visuelle Elemente, die in der Security Command Center API nicht verfügbar sind. Die Features, darunter eine intuitive Benutzeroberfläche, formatierte Diagramme, Complianceberichte und visuelle Hierarchien von Ressourcen, geben Ihnen einen besseren Einblick in Ihre Organisation. Weitere Informationen finden Sie unter Security Command Center in der Google Cloud Console verwenden.

Funktionalität mit der API und mit gcloud erweitern

Wenn Sie programmatischen Zugriff benötigen, testen Sie die Security Command Center-Clientbibliotheken und die Security Command Center API, mit denen Sie auf Ihre Security Command Center-Umgebung zugreifen und diese steuern können. Sie können API Explorer mit der Bezeichnung "API testen" in Bereichen auf API-Referenzseiten verwenden, um die Security Command Center API ohne API-Schlüssel interaktiv zu erntdecken. Sie können sich verfügbare Methoden und Parameter ansehen, Anfragen ausführen und Antworten in Echtzeit sehen.

Mit der Security Command Center API können Analysten und Administratoren Ihre Ressourcen und Ergebnisse verwalten. Entwickler können mit der API Lösungen für benutzerdefinierte Berichte und Monitoring erstellen.

Funktionalität mit benutzerdefinierten Erkennungsmodulen erweitern

Wenn Sie Detektoren benötigen, die den speziellen Anforderungen Ihrer Organisation entsprechen, können Sie benutzerdefinierte Module erstellen:

• Mit benutzerdefinierten Modulen für Security Health Analytics können Sie eigene Erkennungsregeln für Sicherheitslücken, Fehlkonfigurationen oder Complianceverstöße definieren.
• Mit benutzerdefinierten Modulen für Event Threat Detection können Sie Ihren Logging-Stream anhand von von Ihnen angegebenen Parametern auf Bedrohungen überwachen.

Ressourcen prüfen und verwalten

Security Command Center zeigt alle Ihre Assets auf der Seite Assets in der Google Cloud Console an. Dort können Sie Informationen wie die Ergebnisse für jedes Asset, den Änderungsverlauf, die Metadaten und die IAM Richtlinien aufrufen. Bei den Dienststufen „Premium“ und „Enterprise“ können Sie Ihre SQL-Abfragen auch verwenden, um Ihre Assets zu analysieren.

Die Asset-Informationen auf der Assets Seite werden aus Cloud Asset Inventory gelesen. Um Echtzeitbenachrichtigungen zu Ressourcen- und Richtlinienänderungen zu erhalten, erstellen und abonnieren Sie einen Feed.

Weitere Informationen finden Sie auf der Seite Assets.

Schnell auf Sicherheitslücken und Bedrohungen reagieren

Security Command Center-Ergebnisse enthalten Aufzeichnungen zu erkannten Sicherheitsproblemen mit ausführlichen Details zu den betroffenen Ressourcen und Schritt-für-Schritt-Anleitungen zur Untersuchung und Behebung von Sicherheitslücken und Bedrohungen.

Ergebnisse zu Sicherheitslücken beschreiben die erkannte Sicherheitslücke oder Fehlkonfiguration und berechnen eine Angriffsrisikobewertung und einen geschätzten Schweregrad. Ergebnisse zu Sicherheitslücken warnen Sie auch bei Verstößen gegen Sicherheitsstandards oder -Benchmarks. Weitere Informationen finden Sie unter Unterstützte Benchmarks.

Bei den Dienststufen „Standard“, „Premium“ und „Enterprise“ enthalten Ergebnisse zu Sicherheitslücken auch Informationen von Mandiant zur Ausnutzbarkeit und zu den potenziellen Auswirkungen der Sicherheitslücke basierend auf dem entsprechenden CVE-Eintrag der Sicherheitslücke. Mit diesen Informationen können Sie die Behebung der Sicherheitslücke priorisieren. Weitere Informationen finden Sie unter Nach CVE-Auswirkungen und Ausnutzbarkeit priorisieren.

Zu den Bedrohungsergebnissen gehören Daten aus dem MITRE ATT&CK Framework, das Techniken für Angriffe auf Cloud-Ressourcen erläutert und Hinweise zur Problembehebung bietet, und VirusTotal, ein Alphabet-eigener Dienst, der Kontext zu potenziell schädlichen Dateien, URLs, Domains und IP-Adressen bereitstellt.

Die folgenden Anleitungen sollen als Ausgangspunkt dienen, um Probleme zu beheben und Ihre Ressourcen zu schützen.

• Behebung von Security Health Analytics-Ergebnissen
• Web Security Scanner-Ergebnisse beheben
• Bedrohungen untersuchen und darauf reagieren

Ergebnismenge steuern

Wenn Sie die Ergebnismenge im Security Command Center steuern möchten, können Sie einzelne Ergebnisse manuell oder programmatisch ausblenden oder Ausblendungsregeln erstellen, mit denen Ergebnisse basierend auf von Ihnen definierten Filtern automatisch ausgeblendet werden. Es gibt zwei Arten von Ausblendungsregeln, mit denen Sie die Ergebnismenge steuern können:

• Statische Ausblendungsregeln, mit denen zukünftige Ergebnisse dauerhaft ausgeblendet werden.
• Dynamische Ausblendungsregeln, die eine Option zum vorübergehenden Ausblenden aktueller und zukünftiger Ergebnisse enthalten.

Wir empfehlen, ausschließlich dynamische Ausblendungsregeln zu verwenden, um die Anzahl der Ergebnisse zu reduzieren, die Sie manuell prüfen. Um Verwechslungen zu vermeiden, empfehlen wir, nicht gleichzeitig statische und dynamische Ausblendungsregeln zu verwenden. Einen Vergleich der beiden Regel typen finden Sie unter Arten von Ausblendungs regeln.

Ausgeblendete Ergebnisse werden zwar nicht angezeigt, aber weiterhin zu Audit- und Compliance-Zwecken in Logs erfasst. Sie können ausgeblendete Ergebnisse aufrufen und ihre Ausblendung jederzeit aufheben. Weitere Informationen finden Sie unter Ergebnisse in Security Command Center ausblenden.

Das Ausblenden von Ergebnissen mit dynamischen Ausblendungsregeln ist der empfohlene und effektivste Ansatz zur Steuerung von Ergebnisvolumen. Alternativ können Sie Sicherheits markierungen verwenden, um Assets auf Zulassungslisten zu setzen.

Jeder Security Health Analytics-Detektor hat einen speziellen Markierungstyp, mit dem Sie markierte Ressourcen aus der Erkennungsrichtlinie ausschließen können. Dieses Feature ist nützlich, wenn Sie nicht möchten, dass Ergebnisse für bestimmte Ressourcen oder Projekte erstellt werden.

Weitere Informationen zu Sicherheitsmarkierungen finden Sie unter Sicherheitsmarkierungen verwenden.

Benachrichtigungen einrichten

Benachrichtigungen warnen Sie bezüglich neuer und aktualisierter Ergebnisse nahezu in Echtzeit. Mit E-Mail- und Chat-Benachrichtigungen, ist das auch möglich, selbst wenn Sie nicht bei Security Command Center angemeldet sind. Weitere Informationen finden Sie unter Ergebnisbenachrichtigungen einrichten.

Sie können auch kontinuierliche Exporteerstellen, die den Export von Ergebnissen nach Pub/Subvereinfachen.

Cloud Run-Funktionen entdecken

Cloud Run Functions ist ein Google Cloud Dienst, mit dem Sie Cloud-Dienste verbinden und Code als Reaktion auf Ereignisse ausführen können. Mit der Notifications API und Cloud Run Functions können Sie Ergebnisse an Fehlerbehebungs- und Ticketsysteme von Drittanbietern senden oder automatisierte Aktionen ausführen, z. B. Ergebnisse automatisch schließen.

Öffnen Sie zuerst das Open-Source-Repository von Security Command Center mit Cloud Run Functions-Code. Das Repository enthält Lösungen, die Sie bei der Durchführung automatisierter Aktionen zu Sicherheitsergebnissen unterstützen.

Kommunikation aktiviert lassen

Security Command Center wird regelmäßig mit neuen Detektoren und Features aktualisiert. Versionshinweise informieren Sie über Produkt änderungen und Aktualisierungen der Dokumentation. Sie können jedoch Ihre Kommunikationseinstellungen in der Google Cloud Console festlegen, um Produktaktualisierungen und Sonderangebote über E-Mail oder Ihr Mobilgerät zu erhalten. Sie können auch angeben, ob Sie an Nutzerumfragen und Pilotprogrammen teilnehmen möchten.

Wenn Sie Kommentare oder Fragen haben, können Sie Feedback geben, indem Sie sich an Ihren Vertriebsmitarbeiter wenden, unseren Cloud Support kontaktieren, einen Fehler melden, oder das Menü Feedback in der Google Cloud Console verwenden.

Feedback über die Google Cloud Console senden

1. Rufen Sie in der Google Cloud Console Security Command Center auf.

   Zum Security Command Center

2. Wählen Sie Ihre Organisation oder das Projekt aus.

3. Klicken Sie auf feedback Feedback.

4. Wenn Sie Ihre allgemeine Zufriedenheit mit Security Command Center angeben möchten, klicken Sie auf thumb_up Mag ich oder thumb_down Mag ich nicht.

5. So geben Sie detailliertes Feedback:

   1. Klicken Sie auf feedback Mehr Feedback geben.
   2. Geben Sie Ihr Feedback in das Feld ein. Geben Sie keine vertraulichen Informationen ein.
   3. Wenn Sie einen Screenshot zu Ihrem Feedback hinzufügen möchten, klicken Sie auf Screenshot erstellen.
   4. Optional: Mit dem Tool Informationen hervorheben oder ausblenden können Sie Kästchen um Bereiche zeichnen, die Sie im Screenshot hervorheben oder ausblenden möchten. Klicken Sie auf Fertig.
   5. Klicken Sie auf Senden.

Nächste Schritte

• Weitere Informationen zur Verwendung von Security Command Center .

• Informationen zum Konfigurieren von Security Command Center-Diensten