Auf dieser Seite erfahren Sie, wie Sie die Security Command Center-Stufe „Standard“ oder „Premium“ für eine Organisation aktivieren. Wenn Security Command Center bereits für Ihre Organisation eingerichtet ist, lesen Sie den Leitfaden zur Verwendung von Security Command Center.
Security Command Center bietet drei Dienststufen: Standard, Premium und Enterprise. Die von Ihnen ausgewählte Stufe bestimmt die Verfügbarkeit von Funktionen und die Kosten für die Verwendung von Security Command Center. Informationen zum Aktivieren der Enterprise-Version finden Sie unter Security Command Center Enterprise-Version aktivieren.
Wenn Sie die Premium-Stufe von Security Command Center auf Organisationsebene aktivieren möchten, wählen Sie in der Google Cloud -Konsole eine Self-Service-„Pay as you go“-Preisoption aus.
Sie können Datenstandortkontrollen aktivieren, wenn Sie Security Command Center zum ersten Mal aktivieren. Nach der Aktivierung können Sie die Datenstandortkontrollen nicht mehr aktivieren oder deaktivieren. Weitere Informationen finden Sie unter Unterstützung für den Datenstandort.
Ausführliche Informationen zu den integrierten Security Command Center-Diensten, die in den einzelnen Stufen verfügbar sind, finden Sie unter Dienststufen.
Informationen zu den mit der Verwendung von Security Command Center verbundenen Kosten finden Sie auf der Seite "Preise".
Informationen zum Aktivieren von Security Command Center nur für ein Projekt finden Sie unter Security Command Center für ein Projekt aktivieren.
Vorbereitung
Bevor Sie Security Command Center aktivieren, benötigen Sie eine Organisation, die richtigen IAM-Berechtigungen (Identity and Access Management) und die richtigen Organisationsrichtlinien.
Organisation erstellen
Für Security Command Center ist eine Organisationsressource erforderlich, die mit einer Domain verknüpft ist. Wenn Sie noch keine Organisation erstellt haben, beachten Sie die Informationen unter Organisationen erstellen und verwalten.
Berechtigungen einrichten
Zum Einrichten von Security Command Center benötigen Sie die folgenden IAM-Rollen:
- Organisationsadministrator
roles/resourcemanager.organizationAdmin - Sicherheitscenter-Administrator
roles/securitycenter.admin - Sicherheitsadministrator
roles/iam.securityAdmin - Dienstkonten
roles/iam.serviceAccountCreatorerstellen
Hier erhalten Sie weitere Informationen zu den Security Command Center-Rollen.
Organisationsrichtlinien prüfen
Wenn die Organisationsrichtlinien so konfiguriert sind, dass die Identitäten nach Domain eingeschränkt werden, gilt Folgendes:
- Sie müssen in der Google Cloud -Konsole mit einem Konto angemeldet sein, das zu einer zulässigen Domain gehört.
- Ihre Dienstkonten müssen sich in einer zulässigen Domain befinden oder Mitglieder einer Gruppe innerhalb Ihrer Domain sein. Mit dieser Anforderung können Sie Diensten, die das
@*.gserviceaccount.com-Dienstkonto verwenden, den Zugriff auf Ressourcen gewähren, wenn die Freigabe der Domain beschränkt ist.
Wenn Ihre Organisationsrichtlinien so konfiguriert sind, dass die Ressourcennutzung eingeschränkt wird, prüfen Sie, ob securitycenter.googleapis.com zulässig ist.
Aktivierungsszenarien für eine Organisation
Auf dieser Seite werden die folgenden Aktivierungsszenarien behandelt:
- Aktivieren Sie in einer Organisation, in der Security Command Center noch nie aktiviert wurde, die Premium- oder Standard-Stufe von Security Command Center für eine Organisation.
- Aktivieren Sie in einer Organisation, die die Standard-Stufe verwendet, die Security Command Center Premium-Stufe für die Organisation.
- In einer Organisation, die ein ablaufendes Premium-Abo verwendet, können Sie zur „Pay as you go“-Preisoption wechseln.
Security Command Center Premium-Stufe zum ersten Mal für eine Organisation aktivieren
Wenn Sie Security Command Center zum ersten Mal für eine Organisation aktivieren, folgen Sie einem geführten Aktivierungsprozess in der Google Cloud -Konsole, um eine Dienststufe auszuwählen und die benötigten Erkennungsdienste zu aktivieren. Anschließend wählen Sie die zu überwachenden Ressourcen oder Assets aus und erteilen den erforderlichen Dienstkonten Berechtigungen.
Führen Sie die folgenden Schritte aus, um die Security Command Center Premium-Stufe auf Organisationsebene zu aktivieren.
Rufen Sie in der Google Cloud Console das Security Command Center auf.
Wählen Sie die Organisation aus, für die Sie Security Command Center aktivieren möchten, und klicken Sie dann auf Auswählen.
Das Fenster Security Command Center einrichten wird geöffnet.
Wählen Sie unter Stufe auswählen eine Stufe aus.
Klicken Sie auf Weiter. Die Seite Dienste auswählen wird geöffnet.
Aktivieren Sie im Bereich Dienste die integrierten Security Command Center-Dienste, die Sie benötigen. Jeder aktivierte Dienst scannt alle unterstützten Ressourcen und meldet die Ergebnisse für Ihre gesamte Organisation. Wenn Sie einen Dienst deaktivieren möchten, klicken Sie auf die Liste neben dem Dienstnamen und wählen Sie Deaktivieren aus.
Wenn die Standard-Stufe aktiviert ist, können Sie die Aktivierung von Premium-Diensten konfigurieren, bevor Sie die Premium-Stufe aktivieren. Die Konfiguration wird erst angewendet, wenn Sie die Premium-Stufe später für die Organisation aktivieren.
Hier sind Hinweise für bestimmte Dienste:
Damit Container Threat Detection ordnungsgemäß funktioniert, müssen Sie prüfen, ob Ihre Cluster auf einer unterstützten Version von Google Kubernetes Engine (GKE) basieren und ob Ihre GKE-Cluster richtig konfiguriert sind. Weitere Informationen finden Sie unter Container Threat Detection verwenden.
Event Threat Detection basiert auf Logs, die von Google Cloudgeneriert werden. Damit Sie Event Threat Detection verwenden können, müssen Sie für Ihre Organisation, Ordner und Projekte Logs aktivieren.
Die Ergebnisse der Anomalieerkennung sind automatisch in Security Command Center verfügbar. Wenn Sie die Anomalieerkennung deaktivieren möchten, führen Sie die Schritte unter Security Command Center-Dienste konfigurieren aus.
Obwohl nicht aufgeführt, wird der Dienst für die Sicherheitslage automatisch aktiviert, wenn Sie die Premium-Stufe auswählen.
Weisen Sie unter Rollen zuweisen den Dienst-Agents für Security Command Center die erforderlichen IAM-Rollen zu.
Wenn Sie den Dienst-Agents die Rollen zuweisen, erteilen Sie Security Command Center und seinen Erkennungsdiensten die Berechtigungen, die sie für die Ausführung ihrer Funktionen benötigen.
Die Namen der Dienstkonten haben die folgenden Formate:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.comSie weisen diesem Dienst-Agent die IAM-Rolle
roles/securitycenter.serviceAgentzu.service-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.comSie weisen diesem Dienst-Agent die IAM-Rolle
roles/containerthreatdetection.serviceAgentzu.
Anstelle von
ORGANIZATION_IDenthält der Dienst-Agent die numerische Kennzeichnung Ihrer Organisation.Klicken Sie auf Rollen zuweisen, um die Rollen hinzuzufügen.
Alternativ können Sie die Rollen manuell zuweisen. Führen Sie dazu die folgenden Schritte aus:
- Maximieren Sie den Bereich Rollen manuell gewähren und kopieren Sie den Befehl der gcloud CLI.
- Klicken Sie in der Symbolleiste der Google Cloud Console auf Cloud Shell aktivieren.
- Fügen Sie im geöffneten Terminalfenster die zuvor kopierten Befehle der gcloud-CLI ein und drücken Sie die Eingabetaste.
Weitere Informationen zu den Berechtigungen, die diesen Rollen zugeordnet sind, finden Sie unter Zugriffssteuerung.
Prüfen Sie unter Einrichtung abschließen die Informationen und klicken Sie auf Fertigstellen.
Wenn die Einrichtung abgeschlossen ist, startet Security Command Center einen ersten Asset-Scan. Danach können Sie die Google Cloud Console nutzen, um die Sicherheits- und Datenrisiken in Ihrem Projekt zu prüfen und zu beheben.Google Cloud
Bei einigen Produkten dauert es möglicherweise länger, bis Scans gestartet werden. Weitere Informationen zum Aktivierungsprozess finden Sie unter Security Command Center-Latenz – Übersicht.
In der Dokumentation zu den einzelnen Diensten finden Sie Informationen dazu, ob Sie den Dienst weiter testen oder optimieren können.
Event Threat Detection basiert beispielsweise auf Logs, die vonGoogle Cloudgeneriert werden. Einige Logs sind immer aktiviert, sodass Event Threat Detection sie sofort nach der Aktivierung scannen kann. Andere Logs, z. B. die meisten Audit-Logs für den Datenzugriff, müssen aktiviert werden, bevor Event Threat Detection sie scannen kann. Weitere Informationen finden Sie unter Logtypen und Aktivierungsanforderungen.
Weitere Informationen zum Testen und Verwenden der einzelnen integrierten Dienste finden Sie auf den folgenden Seiten:
Von der Standardstufe auf die Premiumstufe upgraden
Führen Sie die folgenden Schritte aus, um von der Security Command Center Standard-Stufe auf die Security Command Center Premium-Stufe zu aktualisieren. Wenn Sie ein Abo nutzen möchten, wenden Sie sich zuerst an denGoogle Cloud -Vertrieb.
Führen Sie diese Aufgabe aus, wenn Ihre Organisation die zusätzlichen Funktionen zur Bedrohungserkennung und zum Sicherheitsstatus benötigt, die die Premium-Stufe von Security Command Center bietet.
Rufen Sie in der Google Cloud Console das Security Command Center auf.
Wählen Sie die Organisation aus, für die Sie ein Upgrade auf die Premium-Stufe von Security Command Center durchführen möchten, und klicken Sie dann auf Auswählen.
Klicken Sie auf der Security Command Center-Seite auf Premium-Version erhalten.
Prüfen Sie unter Change tier (Stufe ändern), ob Premium ausgewählt ist. Klicken Sie auf Weiter.
Aktivieren Sie unter Dienste überprüfen die Dienste, die Sie benötigen.
Klicken Sie auf Stufe aktualisieren.
Von einer Abo-Option des Premium-Tarifs zur „Pay-as-you-go“-Option wechseln
Wenn Sie die Premium-Stufe von Security Command Center zuvor über ein Abo aktiviert haben, können Sie Security Command Center vor Ablauf Ihres Abos für die nutzungsbasierte Abrechnung registrieren. Durch diese Registrierung wird sichergestellt, dass Ihre Organisation ohne Unterbrechung auf die Premium-Stufe von Security Command Center zugreifen kann. Diese Preisänderung wird nach Ablauf Ihres Abos wirksam.
Rufen Sie in der Google Cloud Console das Security Command Center auf.
Wählen Sie die Organisation aus, für die Sie die Preisoption ändern möchten, und klicken Sie dann auf Auswählen.
Klicken Sie im Security Command Center auf der Seite Übersicht auf Einstellungen. Die Seite Einstellungen wird geöffnet und der Tab Dienste wird angezeigt.
Klicken Sie auf der Seite Einstellungen auf Stufendetails. Die Seite Stufe wird geöffnet.
Klicken Sie auf Stufe verwalten.
Prüfen Sie auf der Seite Tarif ändern, ob Premium ausgewählt ist, und klicken Sie auf Weiter.
Prüfen Sie auf der Seite Dienste überprüfen die aktivierten Dienste und klicken Sie auf Stufe aktualisieren.
Downgrade von der Pay-as-you-go-Option der Premiumstufe auf die Standardstufe
Führen Sie die folgenden Schritte aus, um von der „Pay as you go“-Zahlungsoption für die Security Command Center Premium-Stufe zur Security Command Center Standard-Stufe zu wechseln. Wenn Sie ein Abo haben, wird es nach Ablauf automatisch auf die Standard-Stufe herabgestuft.
Wenn Sie ein Downgrade auf die Security Command Center Standard-Stufe durchführen, verlieren Sie den Zugriff auf Dienste und Funktionen der Premium-Stufe. Prüfen Sie, ob sich diese Änderung negativ auf das Sicherheitsrisikoprofil Ihrer Organisation auswirkt, bevor Sie sie vornehmen.
Auch wenn die Standard-Stufe von Security Command Center kostenlos ist, können indirekte Gebühren anfallen. Weitere Informationen finden Sie unter Mögliche indirekte Gebühren im Zusammenhang mit Security Command Center.
Wenn Sie nach Abschluss dieser Aufgabe ein Upgrade auf die Premium-Stufe auf Organisationsebene durchführen, werden Ihre Konfigurationseinstellungen für die Dienste der Premium-Stufe wiederhergestellt.
Rufen Sie in der Google Cloud Console das Security Command Center auf.
Wählen Sie die Organisation aus, für die Sie das Security Command Center-Abo herabstufen möchten, und klicken Sie dann auf Auswählen.
Klicken Sie im Security Command Center auf der Seite Übersicht auf Einstellungen. Die Seite Einstellungen wird geöffnet und der Tab Dienste wird angezeigt.
Klicken Sie auf der Seite Einstellungen auf Stufendetails. Die Seite Stufe wird geöffnet.
Klicken Sie auf Stufe verwalten.
Prüfen Sie auf der Seite Tarif ändern, ob Standard ausgewählt ist, und klicken Sie auf Weiter.
Prüfen Sie auf der Seite Dienste überprüfen die aktivierten Dienste und klicken Sie auf Stufe aktualisieren.
Aktivierung der Premium-Stufe von Projektebene auf Organisationsebene umstellen
Wenn Sie von einer Aktivierung auf Projektebene zu einer Aktivierung auf Organisationsebene wechseln möchten, können Sie dem Aktivierungsprozess folgen, der unter Security Command Center zum ersten Mal für eine Organisation aktivieren beschrieben ist.
Es gelten die folgenden Preisänderungen:
- Die Nutzung der Premium-Stufe von Security Command Center ist durch die Aktivierung auf Organisationsebene abgedeckt.
- Die Preisbedingungen für die Aktivierung von Security Command Center auf Organisationsebene werden zu den gültigen Preisbedingungen. Die Kosten werden für die Projekte ausgewiesen, in denen die Nutzung erfolgt.
Wenn Sie die Aktivierung auf Organisationsebene umstellen, löschen Sie das Security Command Center-Dienstkonto nicht, das beim Aktivieren von Security Command Center auf Projektebene erstellt wurde. Bestimmte Security Health Analytics-Detektoren funktionieren möglicherweise nicht richtig, wenn Sie das Dienstkonto löschen.
Kosten mit der Premium-Stufe im Blick behalten
Mit Cloud Billing können Sie die Kosten für die Security Command Center Premium-Stufe im Blick behalten. Sie können Abrechnungsdaten zur detaillierten Analyse nach BigQuery exportieren oder ein Budget mit Ausgabenbenachrichtigungen erstellen. Weitere Informationen finden Sie unter Kosten überwachen.
Nächste Schritte
- Security Command Center-Dienste konfigurieren
- Security Command Center in der Google Cloud Konsole verwenden
- Mit Security Command Center-Ergebnissen arbeiten
- Google Cloud -Sicherheitsquellen