Auf dieser Seite erhalten Sie einen Überblick über die Aktivierung des Security Command Center. Das Ziel besteht darin, häufig gestellte Fragen zu beantworten:
- Was passiert, wenn Security Command Center aktiviert ist?
- Warum gibt es vor dem Start der ersten Scans eine Verzögerung?
- Was ist die erwartete Laufzeit für die ersten Scans und die laufenden Scans?
- Wie wirken sich Änderungen an Ressourcen und Einstellungen auf die Leistung aus?
Übersicht
Wenn Sie Security Command Center zum ersten Mal aktivieren, muss ein Aktivierungsprozess abgeschlossen werden, bevor Security Command Center mit dem Scannen Ihrer Ressourcen beginnen kann. Die Scans müssen abgeschlossen sein, bevor Sie alle Ergebnisse für Ihre Google Cloud-Umgebung sehen.
Wie lange die Aktivierung und die Scans dauern, hängt von mehreren Faktoren ab, z. B. von der Anzahl der Assets und Ressourcen in Ihrer Umgebung und davon, ob das Security Command Center auf Organisationsebene oder Projektebene aktiviert ist.
Bei Aktivierungen auf Organisationsebene müssen bestimmte Schritte des Aktivierungsprozesses für jedes Projekt in der Organisation in Security Command Center wiederholt werden. Je nach Anzahl der Projekte in einer Organisation kann die Aktivierung einige Minuten bis zu mehrere Stunden dauern. Bei Organisationen mit mehr als 100.000 Projekten, vielen Ressourcen in jedem Projekt und anderen erschwerenden Faktoren kann die Aktivierung und die ersten Scans bis zu 24 Stunden oder länger dauern.
Bei der Aktivierung von Security Command Center auf Projektebene ist der Aktivierungsprozess viel schneller, da er auf das einzelne Projekt beschränkt ist, in dem Security Command Center aktiviert wird.
In den folgenden Abschnitten werden die Faktoren beschrieben, die zu Latenzen beim Starten von Scans, beim Verarbeiten von Änderungen an Einstellungen und bei der Ausführungszeit von Scans führen können.
Topologie
Die folgende Abbildung zeigt eine allgemeine Abbildung des Einrichtungs- und Aktivierungsvorgangs.
Latenz bei der Einrichtung
Vor Beginn des Scans erkennt Security Command Center Ihre Ressourcen.
Zu den indexierten Diensten gehören App Engine, BigQuery, Cloud SQL, Cloud Storage, Compute Engine, Identity and Access Management und Google Kubernetes Engine.
Bei einer Aktivierung von Security Command Center auf Projektebene sind die Erkennung und Indexierung auf das einzelne Projekt beschränkt, in dem Security Command Center aktiviert ist.
Bei einer Aktivierung auf Organisationsebene erkennt und indexiert Security Command Center Ressourcen in Ihrer gesamten Organisation.
Während des Onboarding-Vorgangs werden zwei wichtige Schritte ausgeführt.
Asset-Scan
Security Command Center führt einen ersten Asset-Scan durch, um die Gesamtzahl, den Standort und den Zustand von Projekten, Ordnern, Dateien, Clustern, Identitäten, Zugriffsrichtlinien, registrierten Nutzern und anderen Ressourcen zu ermitteln. Dieser Vorgang ist normalerweise innerhalb von Minuten abgeschlossen.
API-Aktivierung
Wenn Ressourcen gefunden werden, aktiviert Security Command Center Elemente von Google Cloud, die für Security Health Analytics, Event Threat Detection, Container Threat Detection und Web Security Scanner benötigt werden. Bei einigen Erkennungsdiensten müssen bestimmte APIs für geschützte Projekte aktiviert sein, damit sie funktionieren.
Wenn Sie Security Command Center auf Projektebene aktivieren, dauert die API-Aktivierung in der Regel weniger als eine Minute.
Bei einer Aktivierung auf Organisationsebene durchläuft Security Command Center alle Projekte, die Sie zum Scannen auswählen, um die erforderlichen APIs zu aktivieren.
Die Anzahl der Projekte in einer Organisation legt weitgehend die Länge der Onboarding- und Aktivierungsprozesse fest. Da APIs für Projekte einzeln aktiviert werden müssen, ist die API-Aktivierung für gewöhnlich die zeitaufwendigste Aufgabe, insbesondere für Unternehmen mit mehr als 100.000 Projekten.
Die erforderliche Zeit zum projektübergreifende Aktivieren von Diensten skaliert linear. Das bedeutet, dass es in der Regel doppelt so lang dauert, Dienst- und Sicherheitseinstellungen in einer Organisation mit 30.000 Projekten zu aktivieren, als eines mit 15.000 Projekten.
Bei einer Organisation mit 100.000 Projekten sollte die Einrichtung und Aktivierung der Premium-Stufe in weniger als fünf Stunden abgeschlossen sein. Die Dauer kann von vielen Faktoren abhängen, z. B. von der Anzahl der verwendeten Projekte oder Container und der Anzahl der Security Command Center-Dienste, die Sie aktivieren.
Scanlatenz
Bei der Einrichtung von Security Command Center entscheiden Sie, welche integrierten Dienste aktiviert werden sollen. Anschließend wählen Sie die Google Cloud-Ressourcen aus, die Sie analysieren oder scannen möchten, um Bedrohungen und Sicherheitslücken zu ermitteln. Wenn APIs für Projekte aktiviert sind, starten ausgewählte Dienste ihre Scans. Die Dauer dieser Scans hängt auch von der Anzahl der Projekte in einer Organisation ab.
Ergebnisse von integrierten Diensten sind verfügbar, wenn die ersten Scans abgeschlossen wurden. Dabei kann es bei jedem Dienst zu Latenzen kommen, wie unten beschrieben.
- Container Threat Detection hat folgende Latenzen:
- Aktivierungslatenz von bis zu 3,5 Stunden bei neu eingerichteten Projekten oder Organisationen.
- Aktivierungslatenz von Minuten für neu erstellte Cluster.
- Erkennungslatenz weniger Minuten für Bedrohungen in Clustern, die aktiviert wurden.
Die Aktivierung von Event Threat Detection erfolgt bei integrierten Erkennungsmechanismen innerhalb weniger Sekunden. Bei neuen oder aktualisierten benutzerdefinierten Erkennungen kann es bis zu 15 Minuten dauern, bis die Änderungen wirksam werden. In der Praxis dauert es in der Regel weniger als 5 Minuten.
Bei integrierten und benutzerdefinierten Detektoren betragen die Erkennungslatenzen in der Regel weniger als 15 Minuten ab dem Zeitpunkt, zu dem ein Log geschrieben wird, bis zum Zeitpunkt, zu dem ein Ergebnis in Security Command Center verfügbar ist.
Security Health Analytics-Scans starten ca. eine Stunde nach der Aktivierung des Dienstes. Die ersten Security Health Analytics-Scans können bis zu 12 Stunden dauern. Danach werden die meisten Erkennungen in Echtzeit gegen Änderungen der Asset-Konfiguration ausgeführt (Ausnahmen finden Sie unter Security Health Analytics-Erkennungslatenz).
VM Threat Detection hat eine Aktivierungslatenz von bis zu 48 Stunden bei neu eingerichteten Organisationen. Bei Projekten beträgt die Aktivierungslatenz bis zu 15 Minuten.
Die Sicherheitslückenbewertung für Amazon Web Services (AWS) beginnt etwa 15 Minuten, nachdem die erforderliche CloudFormation-Vorlage im Konto bereitgestellt wurde, mit dem Scannen der Ressourcen in einem AWS-Konto. Wenn im AWS-Konto eine Softwarelücke erkannt wird, ist das entsprechende Ergebnis etwa 10 Minuten später im Security Command Center verfügbar.
Wie lange ein Scan dauert, hängt von der Anzahl der EC2-Instanzen ab. Normalerweise dauert der Scan einer einzelnen EC2-Instanz weniger als 5 Minuten.
Nach dem Aktivieren des Dienstes kann es bis zu 24 Stunden dauern, bis Web Security Scanner gestartet wird. Nach dem ersten Scan wird er dann jede Woche ausgeführt.
Security Command Center führt Fehlerdetektoren aus, die Konfigurationsfehler im Zusammenhang mit Security Command Center und seinen Diensten erkennen. Diese Fehlerdetektoren sind standardmäßig aktiviert und können nicht deaktiviert werden. Die Erkennungslatenzen variieren je nach Fehlerdetektor. Weitere Informationen finden Sie unter Security Command Center-Fehler.
IAM-Rollen für Security Command Center können auf Organisations-, Ordner- oder Projektebene gewährt werden. Ob Sie Ergebnisse, Assets und Sicherheitsquellen ansehen, bearbeiten, erstellen oder aktualisieren können, hängt davon ab, auf welcher Ebene Sie Zugriff erhalten. Weitere Informationen zu Security Command Center-Rollen finden Sie unter Zugriffssteuerung.
Vorläufige Ergebnisse
Während der erste Scan durchgeführt wird, können Sie jedoch einige Ergebnisse in der Google Cloud Console sehen, noch bevor der Einrichtungsprozess abgeschlossen ist.
Vorläufige Ergebnisse sind präzise und praktisch, aber sie sind nicht aussagekräftig. Die Verwendung dieser Ergebnisse für eine Complianceprüfung innerhalb der ersten 24 Stunden wird nicht empfohlen.
Nachfolgende Scans
Änderungen innerhalb Ihrer Organisation oder Ihres Projekts, z. B. das Verschieben von Ressourcen oder das Hinzufügen neuer Ordner und Projekte bei Aktivierung auf Organisationsebene, haben in der Regel keine erheblichen Auswirkungen auf die Ressourcenerkennungszeit oder die Ausführungszeit von Scans. Einige Scans gehen jedoch nach festgelegten Zeitplänen aus, die festlegen, wie schnell die Security Command Center Änderungen erkennt.
- Event Threat Detection und Container Threat Detection: Diese Dienste werden in Echtzeit ausgeführt, wenn sie aktiviert sind, und erkennen sofort neue oder geänderte Ressourcen wie Cluster, Buckets oder Logs in aktivierten Projekten.
- Security Health Analytics: Security Health Analytics wird bei Aktivierung in Echtzeit ausgeführt und erkennt neue oder geänderte Ressourcen innerhalb von Minuten, mit Ausnahme der unten aufgeführten Erkennungen.
- VM Threat Detection: VM Threat Detection scannt jede VM-Instanz unmittelbar nach der Erstellung der Instanz. Darüber hinaus scannt VM Threat Detection alle VM-Instanzen alle 30 Minuten.
- Bei der Erkennung von Kryptowährung-Mining generiert VM Threat Detection ein Ergebnis pro Prozess, VM und Tag. Jedes Ergebnis enthält nur die Bedrohungen, die mit dem Prozess verbunden sind, der durch das Ergebnis identifiziert wird. Wenn VM Threat Detection Bedrohungen findet, sie jedoch keinem Prozess zuordnen kann, fasst VM Threat Detection für jede VM alle nicht zugehörigen Bedrohungen in einem einzigen Ergebnis zusammen, das jeweils einmal innerhalb eines Zeitraums von 24 Stunden ausgeführt wird. Bei Bedrohungen, die länger als 24 Stunden andauern, generiert die VM Threat Detection alle 24 Stunden neue Ergebnisse.
- Bei der Erkennung von Rootkits im Kernelmodus, die sich derzeit in der Vorabversion befindet, generiert VM Threat Detection alle drei Tage ein Ergebnis pro Kategorie und VM.
Beim Scannen von nichtflüchtigen Laufwerken, bei dem bekannte Malware erkannt wird, scannt VM Threat Detection jede VM-Instanz mindestens einmal täglich.
Die Sicherheitslückenbewertung für AWS führt dreimal täglich Scans durch.
Wie lange ein Scan dauert, hängt von der Anzahl der EC2-Instanzen ab. Normalerweise dauert der Scan einer einzelnen EC2-Instanz weniger als 5 Minuten.
Wenn in einem AWS-Konto eine Softwarelücke erkannt wird, ist das entsprechende Ergebnis etwa 10 Minuten später in Security Command Center verfügbar.
Web Security Scanner: Web Security Scanner wird wöchentlich am selben Tag wie der erste Scanvorgang ausgeführt. Da Web Security Scanner wöchentlich ausgeführt wird, werden Änderungen nicht in Echtzeit erkannt. Wenn Sie eine Ressource verschieben oder eine Anwendung ändern, wird die Änderung möglicherweise erst nach einer Woche erkannt. Sie können On-Demand-Scans ausführen, um neue oder geänderte Ressourcen zwischen geplanten Scans zu prüfen.
Security Command Center-Fehlerdetektoren werden regelmäßig im Batchmodus ausgeführt. Die Häufigkeit des Batchscans hängt vom Fehlerdetektor ab. Weitere Informationen finden Sie unter Security Command Center-Fehler.
Security Health Analytics-Erkennungslatenz
Erkennungen von Security Health Analytics werden regelmäßig im Batchmodus ausgeführt, nachdem der Dienst aktiviert wurde sowie wenn sich die Konfiguration eines zugehörigen Assets ändert. Sobald Security Health Analytics aktiviert ist, führen alle relevanten Änderungen an der Ressourcenkonfiguration zu aktualisierten Fehlkonfigurationsergebnissen. In einigen Fällen kann die Aktualisierung je nach Asset-Typ und Änderung einige Minuten dauern.
Einige Detektoren von Security Health Analytics unterstützen den unmittelbaren Scanmodus nicht, wenn beispielsweise eine Erkennung außerhalb der Konfiguration einer Ressource ausgeführt wird. Diese in der folgenden Tabelle aufgeführten Detektoren werden regelmäßig ausgeführt und können Fehlkonfigurationen innerhalb von 12 Stunden ermitteln. Weitere Informationen zu Detektoren von Security Health Analytics finden Sie unter Sicherheitslücken und Ergebnisse.
| Erkennungen von Security Health Analytics, die den Echtzeitscan-Modus nicht unterstützen |
|---|
| COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
| MFA_NOT_ENFORCED (zuvor als 2SV_NOT_ENFORCED bezeichnet) |
| OS_LOGIN_DISABLED |
| SQL_NO_ROOT_PASSWORD |
| SQL_WEAK_ROOT_PASSWORD |
Angriffspfadsimulationen
Angriffspfadsimulationen werden etwa alle sechs Stunden ausgeführt. Je größer oder komplexer Ihre Google Cloud-Organisation wird, desto länger kann der Zeitraum zwischen den Intervallen sein.
Wenn Sie Security Command Center zum ersten Mal aktivieren, wird für die Angriffspfadsimulationen ein standardmäßiger Satz hochwertiger Ressourcen verwendet, der alle unterstützten Ressourcentypen in Ihrer Organisation enthält.
Wenn Sie einen eigenen Satz hochwertiger Ressourcen definieren, indem Sie eine Konfigurationseinstellung für den Ressourcenwert erstellen, kann sich die Zeit zwischen den Simulationsintervallen verringern, wenn die Anzahl der Ressourceninstanzen in Ihrem Satz hochwertiger Ressourcen deutlich unter dem Standardsatz liegt.
Nächste Schritte
- Informationen zur Verwendung von Security Command Center in der Google Cloud Console
- Weitere Informationen zu Erkennungsdiensten