Diese Seite wurde von der Cloud Translation API übersetzt.

Security Command Center für ein Projekt aktivieren

Auf dieser Seite wird beschrieben, wie Sie die Standard- oder Premium-Stufe von Security Command Center für ein Google Cloud Projekt aktivieren.

Informationen zum Aktivieren von Security Command Center für eine gesamte Organisation finden Sie in einem der folgenden Artikel:

Vorbereitung

Wenn Sie Security Command Center für ein Projekt aktivieren möchten, müssen die folgenden Voraussetzungen erfüllt sein, die in den folgenden Unterabschnitten erläutert werden:

Lesen Sie die Informationen zu den Voraussetzungen, um zu verstehen, wie sich eine Aktivierung von Security Command Center auf Projektebene von einer Aktivierung auf Organisationsebene unterscheidet.
Sie benötigen ein Google Cloud -Projekt, das mit einer Organisation verknüpft ist.
Ihrem Nutzerkonto müssen IAM-Rollen (Identity and Access Management) zugewiesen werden, die die erforderlichen Berechtigungen enthalten.
Wenn in Ihrem Projekt Organisationsrichtlinien übernommen werden, die so festgelegt sind, dass Identitäten nach Domain eingeschränkt werden, müssen sich Ihre Nutzer- und Dienstkonten in einer zulässigen Domain befinden.
Wenn Sie Container Threat Detection verwenden möchten, müssen Ihre Google Kubernetes Engine-Cluster Container Threat Detection unterstützen.

Voraussetzungen

Informationen dazu, wie sich die Aktivierung von Security Command Center auf Projektebene von der Aktivierung auf Organisationsebene unterscheidet, finden Sie unter Übersicht über die Aktivierung von Security Command Center auf Projektebene.

Informationen zu den Diensten und Security Command Center-Ergebnissen, die bei Aktivierungen auf Projektebene nicht unterstützt werden, finden Sie unter Diensteinschränkungen bei Aktivierung auf Projektebene.

Projektanforderungen

Damit Sie Security Command Center für ein Projekt aktivieren können, muss das Projekt mit einer Organisation verknüpft sein. Wenn Sie ein Projekt erstellen müssen, lesen Sie den Hilfeartikel Projekte erstellen und verwalten.

IAM-Rollen, die Sie für diese Aufgabe benötigen

Zum Einrichten von Security Command Center benötigen Sie die folgenden IAM-Rollen, die Ihrem Nutzerkonto in dem Projekt zugewiesen sind, in dem Sie Security Command Center aktivieren:

Sicherheitscenter-Administrator roles/securitycenter.admin
Sicherheitsadministrator roles/iam.securityAdmin
Sofern die erforderlichen Security Command Center-Dienstkonten nicht bereits durch eine Aktivierung auf Organisationsebene vorhanden sind, erstellen Sie Dienstkonten. roles/iam.serviceAccountCreator

Hier erhalten Sie weitere Informationen zu den Security Command Center-Rollen.

Organisationsrichtlinien prüfen

Wenn für Ihr Projekt Organisationsrichtlinien gelten, die so konfiguriert sind, dass die Identitäten nach Domain eingeschränkt werden, müssen Sie die folgenden Anforderungen erfüllen:

Sie müssen in der Google Cloud -Konsole mit einem Konto angemeldet sein, das zu einer zulässigen Domain gehört.
Ihre Dienstkonten müssen sich in einer zulässigen Domain befinden oder Mitglieder einer Gruppe innerhalb Ihrer Domain sein. Mit dieser Anforderung können Sie den @*.gserviceaccount.com-Dienstzugriff auf Ressourcen gewähren, wenn die Freigabe der Domain beschränkt ist.

Softwareversionen für Container Threat Detection bestätigen

Wenn Sie Container Threat Detection mit Google Kubernetes Engine (GKE) verwenden möchten, müssen Ihre Cluster auf einer unterstützten Version von GKE basieren und richtig konfiguriert sein. Weitere Informationen finden Sie unter Container Threat Detection verwenden.

Aktivierungsszenarien für ein Projekt

Auf dieser Seite werden die folgenden Aktivierungsszenarien behandelt:

Aktivieren Sie in einer Organisation, in der Security Command Center noch nie aktiviert wurde, entweder die Premium- oder die Standard-Stufe von Security Command Center für ein Projekt.
Aktivieren Sie in einer Organisation, die die Standard-Stufe verwendet, die Security Command Center Premium-Stufe für ein Projekt.
Aktivieren Sie in einer Organisation, die ein ablaufendes Premium-Stufen-Abo verwendet, die Premium-Stufe von Security Command Center für ein Projekt.

Je nachdem, ob Ihre Organisation Security Command Center verwendet, aktivieren Sie Security Command Center für ein Projekt mit unterschiedlichen Methoden.

Wenn Ihre Organisation Security Command Center nicht verwendet, werden Sie in der Google Cloud Console durch eine Reihe von Einrichtungsseiten geführt.

Wenn Ihre Organisation Security Command Center verwendet, aktivieren Sie Security Command Center Premium für ein Projekt auf dem Tab Stufendetails der Seite Einstellungen.

Prüfen, ob Security Command Center in Ihrer Organisation bereits aktiv ist

Die Aktivierung von Security Command Center für ein Projekt hängt davon ab, ob Security Command Center in Ihrer Organisation bereits aktiv ist.

So prüfen Sie, ob Security Command Center bereits in Ihrer Organisation aktiv ist:

Rufen Sie in der Google Cloud Console die Seite Übersicht des Security Command Center auf.

Zum Security Command Center
Wählen Sie den Namen des Projekts aus, für das Sie Security Command Center aktivieren müssen.

Nachdem Sie das Projekt ausgewählt haben, wird eine der folgenden Seiten geöffnet:
- Wenn Security Command Center in Ihrer Organisation aktiv ist, wird die Seite Risikoübersicht geöffnet.
- Wenn Security Command Center in der Organisation nicht aktiviert wurde, wird die Seite Security Command Center erhalten geöffnet, auf der Sie den Aktivierungsprozess für Ihr Projekt starten können.
Wenn Security Command Center bereits in Ihrer Organisation aktiv ist, prüfen Sie die derzeit aktive Dienststufe.
1. Öffnen Sie die Seite Einstellungen im Security Command Center:
  
  Einstellungen aufrufen
2. Klicken Sie auf der Seite Einstellungen auf Stufendetails. Die Seite Stufe wird geöffnet.
3. In der Zeile Tier wird die Serviceebene aufgeführt, die das Projekt übernimmt.
Wenn Sie Security Command Center für ein Projekt aktivieren möchten, folgen Sie der Anleitung für den Aktivierungsstatus von Security Command Center in der übergeordneten Organisation:
- Für ein Projekt aktivieren, wenn Security Command Center in der Organisation aktiv ist
- Für ein Projekt aktivieren, wenn Security Command Center in der Organisation nicht aktiv ist

Für ein Projekt aktivieren, wenn Security Command Center in der Organisation aktiv ist

Wenn Security Command Center bereits in einer Organisation aktiv ist, müssen Sie auf Projektebene nur die Premium-Stufe aktivieren, da das Projekt mindestens die Standard-Stufe erbt.

Informationen zu den in den einzelnen Stufen enthaltenen Funktionen finden Sie unter Dienststufen.

Wenn Security Command Center in einer Organisation aktiv ist, starten Sie die Aktivierung auf Projektebene, indem Sie Ihr Projekt in derGoogle Cloud -Konsole auswählen und dann auf der Seite Einstellungen von Security Command Center die Premium-Stufe auswählen.

Öffne auf der Seite Einstellungen den Tab Stufendetails:

Zu den Stufendetails

Bevor Sie zur Seite Tier-Details weitergeleitet werden, wird eine Seite zur Projektauswahl geöffnet.
Wählen Sie Ihr Projekt aus. Die Seite Tierdetail wird geöffnet.
Klicken Sie auf der Seite mit den Stufendetails auf eine der folgenden Optionen:
- Projektstufe verwalten
- Premium abonnieren
Die Seite Abo verwalten wird geöffnet.
Wähle auf der Seite Mitgliedschaftsstufe verwalten die Option Premium aus.

Hinweis :Wenn Sie derzeit Security Command Center Premium auf Organisationsebene verwenden, richten Sie Aktivierungen auf Projektebene ein, bevor die Aktivierung auf Organisationsebene endet, um eine Unterbrechung der Abdeckung zu vermeiden. Wenn Sie ein Abo auf Organisationsebene verwenden, wird nach Ablauf des Abos die Security Command Center Premium-Abdeckung nur für die Projekte fortgesetzt, für die die Premium-Stufe bereits ausgewählt ist. Wenn Sie das „Pay as you go“-Preismodell auf Organisationsebene verwenden, müssen Sie die Aktivierung auf Organisationsebene auf die Standard-Stufe herabstufen, damit die Aktivierungen auf Projektebene wirksam werden.
Klicken Sie auf Weiter. Die Seite Dienste wird geöffnet.
Aktivieren oder deaktivieren Sie auf der Seite Dienste jeden integrierten Dienst nach Bedarf, indem Sie im Menü links neben dem aufgeführten Dienst einen der folgenden Werte auswählen:
- Übernehmen (Standardeintrag)
- Aktivieren
- Deaktivieren
Achtung: Die Aktivierung bestimmter Dienste kann sich auf Ihre Betriebsumgebung auswirken:
- Wenn Sie Container Threat Detection aktivieren, wird ein DaemonSet-Objekt in Ihren GKE-Clustern bereitgestellt. Sorgen Sie dafür, dass Ihre Cluster genügend Ressourcen zum Ausführen dieser DaemonSets haben. Weitere Informationen finden Sie unter Ressourcennutzung.

Sie haben die Aktivierung von Security Command Center abgeschlossen. Warten Sie als Nächstes, bis die ersten Scans abgeschlossen sind.

Für ein Projekt aktivieren, wenn Security Command Center in der Organisation nicht aktiv ist

Wenn Ihre Organisation Security Command Center nicht verwendet, werden Sie in der Google Cloud Console durch eine Reihe von Einrichtungsseiten geführt, wenn Sie Security Command Center für ein Projekt aktivieren.

Schritt 1: Stufe auswählen

Wenn Security Command Center in Ihrer Organisation nicht aktiv ist und Sie Security Command Center in der Google Cloud -Konsole öffnen, wird die Seite Security Command Center erhalten angezeigt. Sie starten die Aktivierung, indem Sie ein Abo auswählen.

Security Command Center ist in drei Stufen verfügbar: Standard, Premium und Enterprise. Die von Ihnen ausgewählte Stufe bestimmt die Verfügbarkeit von Funktionen und die Kosten für die Verwendung von Security Command Center. Sie können die Enterprise-Stufe nur auf Organisationsebene aktivieren. Weitere Informationen finden Sie unter Security Command Center Enterprise-Version aktivieren.

Informationen zu den in den einzelnen Stufen enthaltenen Funktionen finden Sie unter Dienststufen.

Führen Sie die folgenden Schritte aus, um Ihre Stufe auszuwählen und den Aktivierungsprozess für Security Command Center zu starten:

Rufen Sie in der Google Cloud Console die Übersichtsseite des Security Command Center auf.

Zum Security Command Center
Wählen Sie den Namen des Projekts aus, für das Sie Security Command Center aktivieren müssen.

Nachdem Sie das Projekt ausgewählt haben, wird Security Command Center auf der Seite Security Command Center erhalten geöffnet. Dort können Sie den Aktivierungsprozess starten, indem Sie eine Stufe auswählen. Wenn die Security Command Center-Konsole geöffnet wird, ist Security Command Center bereits in Ihrer Organisation oder Ihrem Projekt aktiv.
Wählen Sie je nach den benötigten Diensten entweder die Premium- oder die Standard-Stufe aus.
Klicken Sie auf Weiter. Die Seite Dienste auswählen wird geöffnet.

Im nächsten Abschnitt wählen Sie die integrierten Dienste aus, die Sie für Ihr Projekt aktivieren möchten.

Schritt 2: Dienste auswählen

Auf der Seite Dienste auswählen werden alle integrierten Dienste von Security Command Center angezeigt.

Aktivieren oder deaktivieren Sie auf der Seite Dienste jeden integrierten Dienst nach Bedarf, indem Sie im Menü links neben dem aufgeführten Dienst einen der folgenden Werte auswählen:
- Übernehmen
- Aktivieren
- Deaktivieren
Achtung: Die Aktivierung bestimmter Dienste kann sich auf Ihre Betriebsumgebung auswirken:
- Wenn Sie Container Threat Detection aktivieren, wird ein DaemonSet-Objekt in Ihren GKE-Clustern bereitgestellt. Sorgen Sie dafür, dass Ihre Cluster genügend Ressourcen zum Ausführen dieser DaemonSets haben. Weitere Informationen finden Sie unter Ressourcennutzung.
Nachdem Sie die Aktivierung abgeschlossen haben, sollten Sie für jeden Dienst, den Sie aktivieren, in der Dokumentation nachsehen, ob zusätzliche Schritte erforderlich sind.
Klicken Sie auf Weiter. Die Seite Rollen zuweisen wird geöffnet.

Schritt 3: Dienst-Agents konfigurieren

Wenn Sie Security Command Center zum ersten Mal aktivieren,werden automatisch IAM-Dienstkonten für Security Command Center und seine Erkennungsdienste erstellt. Google Cloud

Wie im folgenden Verfahren beschrieben, weisen Sie diesen Dienst-Agents IAM-Rollen zu, die die Berechtigungen enthalten, die Security Command Center und seine Erkennungsdienste für ihre Funktionen benötigen.

Wenn Sie Security Command Center auf Projektebene aktivieren und Security Command Center noch nicht in Ihrer Organisation aktiv ist, werden die folgenden Dienstkonten auf Projektebene erstellt:

service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com. Sie weisen diesem Dienstkonto die IAM-Rolle securitycenter.serviceAgent zu.
service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.com. Sie weisen diesem Dienstkonto die IAM-Rolle roles/containerthreatdetection.serviceAgent zu.

Anstelle von PROJECT_NUMBER enthält das Dienstkonto die Nummer Ihres Projekts.

So weisen Sie den Dienst-Agents die IAM-Rollen zu:

Optional können Sie auf der Seite Rollen zuweisen die Rolle und die Berechtigungen, die Sie zuweisen möchten, prüfen, indem Sie auf Berechtigungen prüfen klicken.
Klicken Sie auf Rollen gewähren, um die erforderlichen Rollen automatisch zu gewähren.

Alternativ können Sie die Rolle manuell zuweisen. Führen Sie dazu die folgenden Schritte aus:
1. Klicken Sie auf Alternativ: Rollen manuell gewähren (gcloud).
2. Kopieren Sie die gcloud CLI-Befehle.
3. Klicken Sie in der Symbolleiste der Google Cloud Console auf Cloud Shell aktivieren.
4. Fügen Sie im geöffneten Terminalfenster die zuvor kopierten Befehle der gcloud-CLI ein und drücken Sie die Eingabetaste.
Klicken Sie auf Weiter. Die Seite Einrichtung abschließen wird geöffnet.

Schritt 4: Aktivierung bestätigen

Führen Sie die folgenden Schritte aus, um die Aktivierung von Security Command Center abzuschließen:

Klicken Sie auf der Seite Einrichtung abschließen auf Fertigstellen.

Wenn die Einrichtung abgeschlossen ist, startet Security Command Center einen ersten Asset-Scan. Danach können Sie die Console nutzen, um die Sicherheits- und Datenrisiken in Ihrem Projekt zu prüfen und zu beheben. Google Cloud

Bei einigen Diensten dauert es möglicherweise länger, bis Scans gestartet werden. Wie zu erwarten, ist die Verzögerung oder Scanlatenz für Dienste in einem einzelnen Projekt in der Regel kürzer als für eine Organisation. Die meisten Gründe für Latenz gelten jedoch weiterhin. Weitere Informationen zu Latenzen in Organisationen finden Sie unter Security Command Center-Latenz – Übersicht.

In allen Aktivierungsszenarien die integrierten Dienste optimieren und testen

Nachdem Sie Security Command Center aktiviert haben, können Sie in der Dokumentation für jeden Dienst nachsehen, ob Sie den Dienst weiter testen oder optimieren können.

Event Threat Detection basiert beispielsweise auf Logs, die vonGoogle Cloudgeneriert werden. Einige Logs sind immer aktiviert, sodass Event Threat Detection sie sofort nach der Aktivierung scannen kann. Andere Logs, z. B. die meisten Audit-Logs für den Datenzugriff, müssen Sie aktivieren, bevor Event Threat Detection sie scannen kann. Weitere Informationen finden Sie unter Logtypen und Aktivierungsanforderungen.

Weitere Informationen zum Testen und Verwenden der einzelnen integrierten Dienste finden Sie auf den folgenden Seiten:

Nächste Schritte

Weitere Informationen zu Security Command Center und den integrierten Diensten