Security Command Center Enterprise-Stufe aktivieren

Einführung in die Security Command Center Enterprise-Stufe

Die Security Command Center Enterprise-Stufe bietet Sicherheitsverbesserungen, darunter:

  • erweiterte Sicherheitsabläufe mit Google Security Operations.
  • Integrationen mit anderen Google Cloud Produkten wie Mandiant Attack Surface Management, Sensitive Data Protection und Assured OSS.
  • Multi-Cloud-Unterstützung.
  • Risikoanalyse.

Eine Beschreibung der Funktionen der Enterprise-Stufe finden Sie unter Dienststufen.

Sie schließen die Aktivierung der Enterprise-Stufe mit der Einrichtungsanleitung in der Google Cloud -Konsole ab. Nach den ersten obligatorischen Aufgaben können Sie zusätzliche Aufgaben ausführen, um die optionalen Funktionen einzurichten, die Ihre Organisation benötigt.

Informationen zu Preisen und zum Abschließen eines Abos finden Sie unter Security Command Center-Preise.

Eine Anleitung zum Aktivieren von Security Command Center in einer anderen Stufe finden Sie unter Security Command Center Standard- oder Premium-Stufe für eine Organisation aktivieren.

Hinweise

Führen Sie die folgenden Schritte aus, bevor Sie Security Command Center zum ersten Mal aktivieren:

  1. Aktivierung planen
  2. Organisation erstellen
  3. Managementprojekt erstellen
  4. Berechtigungen und APIs konfigurieren
  5. Benachrichtigungskontakte konfigurieren

Aktivierung planen

In diesem Abschnitt werden Entscheidungen und Informationen beschrieben, die Sie zur Vorbereitung auf die Aktivierung benötigen.

Supportkontakt ermitteln

Wenn Sie eine neue Google SecOps-Instanz aktivieren, geben Sie Ihren Unternehmensnamen und die E-Mail-Adresse eines Ansprechpartners an. Einen Ansprechpartner in Ihrer Organisation festlegen. Diese Konfiguration hat nichts mit Wichtige Kontakte zu tun.

Google SecOps-Konfiguration auswählen

Bei der Aktivierung verbinden Sie Security Command Center Enterprise mit einer Google SecOps-Instanz.

  • Sie können eine Verbindung zu einer vorhandenen Instanz herstellen.

  • Sie können eine neue Instanz bereitstellen und eine Verbindung zu ihr herstellen. Sie können eine neue Instanz bereitstellen und eine Verbindung zu ihr herstellen, auch wenn Sie bereits eine Instanz haben.

Mit einer vorhandenen Instanz verbinden

Sie können Security Command Center Enterprise nicht mit einer vorhandenen eigenständigen Google SecOps SIEM- oder eigenständigen Google SecOps SOAR-Instanz verbinden. Wenn Sie Fragen zum Typ Ihrer Google SecOps-Instanz haben, wenden Sie sich an Ihren Google Cloud Vertriebsmitarbeiter.

Wenn Sie eine vorhandene Google SecOps-Instanz auswählen, wird auf der Seite Verbindung zu einer SecOps-Instanz herstellen ein Link zur Instanz angezeigt, damit Sie Ihre Auswahl bestätigen können. Sie benötigen Zugriff auf diese Instanz, um sie zu bestätigen. Sie benötigen mindestens die Rolle Chronicle API Restricted Data Access Viewer (roles/chronicle.restrictedDataAccessViewer) für das Verwaltungsprojekt, um sich in der Instanz anzumelden.

Wenn Sie Security Command Center mit einer vorhandenen Google SecOps-Instanz bereitstellen, die für die Verwendung der Mitarbeiteridentitätsföderation konfiguriert ist, müssen Sie die Mitarbeiteridentitätspools mit zusätzlichen Berechtigungen aktualisieren, um auf Funktionen auf den Security Operations-Konsolenseiten zuzugreifen, die mit Security Command Center Enterprise verfügbar sind. Weitere Informationen finden Sie auf den Seiten Zugriff auf Funktionen auf Seiten der Security Operations Console steuern.

Neue Instanz bereitstellen

Wenn Sie eine neue Instanz bereitstellen, wird nur die neue Instanz mit Security Command Center verknüpft. Wenn Sie Security Command Center verwenden, navigieren Sie zwischen den Seiten der Google Cloud -Konsole und der neu bereitgestellten Security Operations-Konsole.

Bei der Aktivierung geben Sie den Ort an, an dem die neue Google SecOps-Instanz bereitgestellt werden soll. Eine Liste der unterstützten Regionen und Multiregionen finden Sie auf der Seite mit den Standorten der SecOps-Dienste. Dieser Standort gilt nur für Google SecOps und nicht für andere Security Command Center-Funktionen oder -Dienste.

Jede Google SecOps-Instanz muss ein eigenes Verwaltungsprojekt haben, das Ihnen gehört und das Sie verwalten. Dieses Projekt muss sich in derselben Organisation befinden, in der Sie Security Command Center Enterprise aktivieren. Sie können nicht dasselbe Verwaltungsprojekt für mehrere Google SecOps-Instanzen verwenden.

Wenn Sie eine vorhandene Google SecOps-Instanz haben und eine neue Instanz für Security Command Center Enterprise bereitstellen, verwenden beide Instanzen dieselbe Konfiguration für die direkte Aufnahme von Google Cloud -Daten. Die Aufnahme in beide Google SecOps-Instanzen wird durch dieselben Konfigurationseinstellungen gesteuert und es werden dieselben Daten empfangen.

Bei der Aktivierung von Security Command Center Enterprise werden die Google Cloud-Logaufnahmeeinstellungen so geändert, dass alle Datentypfelder aktiviert werden: Google Cloud Logging, Cloud Asset Metadata und Security Command Center Premium-Ergebnisse. Die Einstellungen für den Exportfilter werden nicht geändert. Für Security Command Center Enterprise sind diese Datentypen erforderlich, damit alle Funktionen wie vorgesehen funktionieren. Sie können die Einstellungen für die Aufnahme von Google Cloud-Logs ändern, nachdem die Aktivierung abgeschlossen ist.

Organisation erstellen

Für Security Command Center ist eine Organisationsressource erforderlich, die mit einer Domain verknüpft ist. Wenn Sie noch keine Organisation erstellt haben, finden Sie weitere Informationen unter Organisationen erstellen und verwalten.

Wenn Sie mehrere Organisationen haben, legen Sie fest, in welchen Organisationen Sie Security Command Center Enterprise aktivieren möchten. Sie müssen diese Aktivierungsschritte für jede Organisation ausführen, in der Sie Security Command Center Enterprise aktivieren möchten.

Organisationsrichtlinien prüfen

Wenn Ihre Organisationsrichtlinien so konfiguriert sind, dass die Ressourcennutzung eingeschränkt wird, prüfen Sie, ob die folgenden APIs zulässig sind:

  • chronicle.googleapis.com
  • securitycenter.googleapis.com
  • securitycentermanagement.googleapis.com

Verwaltungsprojekt erstellen

Für Security Command Center Enterprise ist ein Projekt erforderlich, das als Verwaltungsprojekt bezeichnet wird, um die Integration von Google SecOps und Mandiant Attack Surface Management zu ermöglichen. Wir empfehlen, dieses Projekt ausschließlich für Security Command Center Enterprise zu verwenden.

Wenn Sie Google SecOps bereits aktiviert haben und eine Verbindung zur vorhandenen Instanz herstellen möchten, verwenden Sie das vorhandene Verwaltungsprojekt, das mit Google SecOps verbunden ist.

Wenn Sie eine neue Google SecOps-Instanz bereitstellen möchten, erstellen Sie ein neues Verwaltungsprojekt, das für die neue Instanz vorgesehen ist. Verwenden Sie kein Verwaltungsprojekt wieder, das mit einer anderen Google SecOps-Instanz verbunden ist.

Weitere Informationen zum Erstellen und Verwalten von Projekten

Berechtigungen und APIs konfigurieren

In diesem Abschnitt werden die IAM-Rollen (Identity and Access Management) aufgeführt, die Sie zum Einrichten von Security Command Center Enterprise benötigen. Außerdem wird beschrieben, wie Sie sie für die Organisation und das Verwaltungsprojekt gewähren. Außerdem wird beschrieben, wie Sie alle APIs aktivieren, die für die Security Command Center Enterprise-Version erforderlich sind. Weitere Informationen zu Security Command Center-Rollen und Google Cloud -APIs

Berechtigungen für die Organisation konfigurieren

Make sure that you have the following role or roles on the organization:

  • Organization Administrator (roles/resourcemanager.organizationAdmin)
  • Cloud Asset Owner (roles/cloudasset.owner)
  • Security Center Admin (roles/securitycenter.admin)
  • Security Admin (roles/iam.securityAdmin)
  • Chronicle Service Viewer (roles/chroniclesm.viewer)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Zu IAM
  2. Wählen Sie die Organisation aus.
  3. Klicken Sie auf Zugriff erlauben.

  4. Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Dies ist in der Regel die E-Mail-Adresse eines Google-Kontos.

  5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
  6. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
  7. Klicken Sie auf Speichern.

    8. Berechtigungen konfigurieren und APIs im Verwaltungsprojekt aktivieren

    1. Prüfen Sie in der Google Cloud -Konsole, ob Sie die Organisation aufrufen, für die Sie die Security Command Center Enterprise-Stufe aktivieren möchten.
    2. Wählen Sie das Verwaltungsprojekt aus, das Sie zuvor erstellt haben.

    3. Make sure that you have the following role or roles on the project:

      • Service Usage Admin (roles/serviceusage.serviceUsageAdmin)
      • Service Account Token Creator (roles/iam.serviceAccountTokenCreator)
      • Chronicle API Admin (roles/chronicle.admin)
      • Chronicle Service Admin (roles/chroniclesm.admin)
      • Chronicle SOAR Admin (roles/chronicle.soarAdmin)
      • Service Account Key Admin (roles/iam.serviceAccountKeyAdmin)
      • Service Account Admin (roles/iam.serviceAccountAdmin)

      Check for the roles

      1. In the Google Cloud console, go to the IAM page.

        Go to IAM
      2. Select the project.

      3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

      4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

      Grant the roles

      1. In the Google Cloud console, go to the IAM page.

        Zu IAM
      2. Wählen Sie das Projekt aus.
      3. Klicken Sie auf Zugriff erlauben.

      4. Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Dies ist in der Regel die E-Mail-Adresse eines Google-Kontos.

      5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
      6. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
      7. Klicken Sie auf Speichern.

    4. Enable the Cloud Asset, Cloud Pub/Sub, Cloud Resource Manager, Compute Engine, Policy Analyzer, and Recommender APIs.

      Enable the APIs

      5. Benachrichtigungskontakte konfigurieren

      Konfigurieren Sie Ihre wichtigen Kontakte so, dass Ihre Sicherheitsadministratoren wichtige Benachrichtigungen erhalten können. Eine Anleitung finden Sie unter Kontakte für Benachrichtigungen verwalten.

      Security Command Center Enterprise-Stufe aktivieren

      Beim Aktivierungsprozess werden die in Security Command Center Enterprise enthaltenen Dienstkonten, Berechtigungen und Dienste automatisch konfiguriert. Sie können eine Verbindung zu einer vorhandenen Google SecOps Standard-, Enterprise- oder Enterprise Plus-Instanz herstellen oder eine neue Instanz bereitstellen.

      1. Rufen Sie in der Google Cloud Console die Seite Risikoübersicht des Security Command Center auf.

        Zum Security Command Center

      2. Prüfen Sie, ob Sie die Organisation aufrufen, für die Sie die Security Command Center Enterprise-Stufe aktivieren möchten.

      3. Klicken Sie auf der Seite Security Command Center auf Security Command Center abrufen.

      4. Prüfen Sie auf der Seite Einstieg in Security Command Center Enterprise die Dienstkonten und APIs, die konfiguriert werden, und klicken Sie dann auf Enterprise aktivieren.

        • Wenn Sie die Dienstkonten sehen möchten, die erstellt werden, klicken Sie auf Dienstkonten und Berechtigungen ansehen.
        • Wenn Sie die APIs sehen möchten, die aktiviert werden, klicken Sie auf APIs von Security Command Center Enterprise ansehen.
        • Klicken Sie auf Nutzungsbedingungen von Security Command Center Enterprise, um die Nutzungsbedingungen aufzurufen.

        Wenn Sie die Seite Einstieg in Security Command Center Enterprise nicht sehen, wenden Sie sich an Google Cloud sales, um zu prüfen, ob Ihr Aboanspruch aktiv ist.

        Auf der nächsten Seite wird je nach Umgebung eine andere Ansicht angezeigt.

      5. Wählen Sie eine der folgenden Optionen aus, um eine neue Instanz zu erstellen oder eine vorhandene Instanz zu verwenden.

        • Wählen Sie Ja, mit einer vorhandenen Google Security Operations-Instanz verbinden aus und wählen Sie dann eine Instanz aus dem Menü aus. Fahren Sie mit Schritt 7 fort, um die Aktivierung zu starten.

          Im Menü werden Google SecOps-Instanzen angezeigt, die der Organisation zugeordnet sind, in der Sie Security Command Center Enterprise aktivieren. Jedes Element enthält die Google SecOps-Kunden-ID, die Region, in der es bereitgestellt wird, und den Google Cloud Projektnamen, mit dem es verknüpft ist. Sie können keine Instanz auswählen, die nicht mit Security Command Center Enterprise kompatibel ist.

          Auf der Seite finden Sie einen Link zur ausgewählten Google SecOps-Instanz, damit Sie sie überprüfen können. Wenn beim Öffnen der Instanz ein Fehler auftritt, prüfen Sie, ob Sie die erforderlichen IAM-Berechtigungen für den Zugriff auf die Instanz haben.

        • Wählen Sie Nein, neue Google Security Operations-Instanz erstellen aus und fahren Sie dann mit Schritt 6 fort, um eine neue Google SecOps-Instanz zu erstellen.

      6. Wenn Sie eine neue Google SecOps-Instanz erstellen möchten, müssen Sie zusätzliche Einrichtungsdetails angeben.

        1. Geben Sie die Kontaktdaten Ihres Unternehmens an.

          • Kontakt für technischen Support: Geben Sie eine individuelle E‑Mail-Adresse oder eine Gruppen-E‑Mail-Adresse ein.
          • Name des Unternehmens: Geben Sie den Namen Ihres Unternehmens ein.

        2. Wählen Sie den Standorttyp aus, an dem Google Security Operations bereitgestellt wird.

          • Region: Wählen Sie eine einzelne Region aus.
          • Mehrere Regionen: Wählen Sie einen multiregionalen Standort aus.

          Dieser Standort wird nur für Google SecOps und nicht für andere Security Command Center-Funktionen verwendet. Eine Liste der unterstützten Regionen und Multiregionen finden Sie auf der Seite SecOps Services Locations.

        3. Klicken Sie auf Weiter und wählen Sie das entsprechende Verwaltungsprojekt aus. Sie haben das dedizierte Verwaltungsprojekt in einem vorherigen Schritt erstellt.

          Wenn Sie ein Projekt auswählen, das mit einer vorhandenen Google SecOps-Instanz verknüpft ist, erhalten Sie beim Start der Aktivierung eine Fehlermeldung.

        4. Fahren Sie mit Schritt 7 fort, um die Aktivierung zu starten.

      7. Klicken Sie auf Activate (Aktivieren). Der Tab Risikoübersicht> Enterprise-Einrichtung wird angezeigt und enthält den Bereitstellungsstatus. Dieser Tab befindet sich im Vorschaumodus.

        Bestimmte Dienste werden automatisch aktiviert, z. B. Security Health Analytics, Event Threat Detection und Virtual Machine Threat Detection. Es kann einige Zeit dauern, bis die Funktionen für Sicherheitsvorgänge bereit sind und Ergebnisse verfügbar werden.

      8. Fahren Sie mit den folgenden Abschnitten fort:

      Zusätzliche Funktionen mithilfe der Einrichtungsanleitung konfigurieren

      Die Einrichtungsanleitung in der Google Cloud Konsole besteht aus sechs Schritten und zusätzlichen Konfigurationsempfehlungen. Die ersten beiden Schritte werden abgeschlossen, wenn Sie Security Command Center aktivieren. Sie können die verbleibenden Schritte und Empfehlungen im Laufe der Zeit nach Bedarf Ihrer Organisation ausführen.

      1. Rufen Sie in der Google Cloud Console die Seite Risikoübersicht des Security Command Center auf.

        Zur Übersicht

      2. Wählen Sie die Organisation aus, in der Sie Security Command Center Enterprise aktiviert haben.

      3. Gehe zu Einstellungen > Tier-Details.

      4. Wählen Sie die Organisation aus, für die Sie Security Command Center Enterprise aktiviert haben.

      5. Klicken Sie auf Einrichtungsanleitung ansehen.

      6. Wenn Sie auch Amazon Web Services (AWS) oder Microsoft Azure verwenden und eine Verbindung zu diesen Cloud-Anbietern herstellen möchten, um Ressourcendaten zu importieren, klicken Sie auf Schritt 3: Multicloud-Connectors einrichten. Eine Anleitung finden Sie hier:

      7. Wenn Sie Nutzer und Gruppen hinzufügen möchten, die Sicherheitsvorgänge ausführen können, klicken Sie auf Schritt 4: Nutzer und Gruppen einrichten. Eine Anleitung finden Sie unter Zugriff auf SecOps-Funktionen mit IAM steuern.

      8. Wenn Sie die Sicherheitsorchestrierung, Automatisierung und Reaktion (Security Orchestration, Automation and Response, SOAR) konfigurieren möchten, klicken Sie auf Schritt 5: Integrationen konfigurieren. Je nach Einrichtung Ihrer Google Security Operations-Instanz ist Ihr Anwendungsfall möglicherweise bereits installiert. Wenn sie nicht installiert ist, wenden Sie sich an Ihren Kundenbetreuer oder an den Google Cloud Vertrieb. Informationen zur Integration in Ticketsysteme finden Sie unter Security Command Center Enterprise in Ticketsysteme einbinden.

      9. Wenn Sie die Erfassung von Protokolldaten in das SIEM (Security Information and Event Management) konfigurieren möchten, klicken Sie auf Schritt 6: Protokollaufnahme konfigurieren. Die Konfiguration der Datenaufnahme ist erforderlich, um Funktionen wie kuratierte Erkennungen und Cloud-Infrastruktur-Berechtigungsverwaltung zu aktivieren. Eine Anleitung finden Sie unter Verbindung zu AWS für die Logaufnahme herstellen und Verbindung zu Microsoft Azure für die Logaufnahme herstellen.

      10. Wenn Sie sensible Daten in Ihrer Google Cloud -Organisation überwachen möchten, klicken Sie auf Sensitive Data Protection einrichten. Eine Anleitung finden Sie unter Erkennung sensibler Daten aktivieren.

      11. Klicken Sie auf Code-Sicherheit einrichten, um die Sicherheit Ihres Codes zu erhöhen. Eine Anleitung finden Sie unter Assured OSS für Codesicherheit einbinden.

      12. Wenn Sie Ihre verbundenen AWS-Ressourcen auf Sicherheitslücken scannen möchten, klicken Sie auf Sicherheitslückenbewertung einrichten. Eine Anleitung finden Sie unter Sicherheitslückenbewertung für AWS aktivieren und verwenden.

      13. Wenn Sie Ihre AWS-VMs auf Bedrohungen scannen möchten, klicken Sie auf Virtual Machine Threat Detection für AWS einrichten. Eine Anleitung finden Sie unter VM Threat Detection für AWS aktivieren.

      Fortschritt beobachten und Dienste über den Tab „Enterprise-Einrichtung“ konfigurieren

      Auf dem Tab Enterprise-Einrichtung werden sowohl der Bereitstellungsstatus als auch der Fortschritt der ersten Scans Ihrer Google Cloud Ressourcen angezeigt.

      Mit den Funktionen auf dem Tab Enterprise-Einrichtung haben Sie folgende Möglichkeiten:

      • Den Bereitstellungsstatus finden Sie auf dem Tab Risikoübersicht> Enterprise-Einrichtung, einschließlich des Aktivierungsstatus der Security Command Center-Dienste.

        Zur Übersicht

      • Sehen Sie sich die Anzahl der Ergebnisse im Abschnitt Zusammenfassung der Sicherheitsfunktionen überprüfen an und klicken Sie dann auf Details ansehen, um die erstellten Dienstkonten aufzurufen.

      • Klicken Sie auf Connector hinzufügen, um die Datenerfassung von anderen Cloud-Anbietern wie AWS zu konfigurieren.

      • Sehen Sie sich die Anzahl der Dienste an, die nach Sicherheitskategorie aktiviert sind, und klicken Sie dann auf der Karte auf Einrichten, um die Dienste zu konfigurieren, die diese Sicherheitskategorie unterstützen. Bestimmte Security Command Center-Dienste werden bei der Bereitstellung standardmäßig aktiviert.

      Nächste Schritte