Assets prüfen, die vom Security Command Center überwacht werden

Auf dieser Seite wird beschrieben, wie Sie Cloud-Assets ansehen, abfragen und prüfen können, um Ihren Sicherheitsstatus zu verbessern, Sicherheitsprobleme zu beheben und auf Bedrohungen zu reagieren.

In Security Command Center können Sie unter anderem die folgenden Aktionen für Assets ausführen:

Erforderliche Berechtigungen erhalten

In diesem Abschnitt werden die IAM-Rollen aufgeführt, die Sie benötigen, um mit Assets in der Konsole zu arbeiten.

Google Cloud IAM-Rollen für die Konsole

Für die Arbeit mit Assets in der Google Cloud Console benötigen Sie die folgenden IAM-Rollen.

Make sure that you have the following role or roles on the organization:

  • Security Center Assets Viewer (roles/securitycenter.assetsViewer)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Zu IAM
  2. Wählen Sie die Organisation aus.
  3. Klicken Sie auf Zugriff erlauben.

  4. Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Dies ist in der Regel die E-Mail-Adresse eines Google-Kontos.

  5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
  6. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
  7. Klicken Sie auf Speichern.

    8. Weitere Informationen zu Rollen und Berechtigungen in Security Command Center finden Sie unter IAM für Aktivierungen auf Organisationsebene.

    IAM-Rollen für die Security Operations-Konsole

    Wenn Sie Security Command Center Enterprise-Kunde sind, können Sie in der Security Operations Console mit Assets arbeiten. Sie benötigen eine der folgenden IAM-Rollen:

    • Chronicle SOAR-Administrator (roles/chronicle.soarAdmin)
    • Chronicle SOAR Threat Manager (roles/chronicle.soarThreatManager)
    • Chronicle SOAR Vulnerability Manager (roles/chronicle.soarVulnerabilityManager)

    Informationen zum Zuweisen der Rolle zu einem Nutzer finden Sie unter Nutzer mit IAM zuordnen und autorisieren.

    Liste der Assets in Security Command Center

    Assets werden in den Abfrageergebnissen der Seite Assets in derGoogle Cloud -Konsole aufgeführt.

    Wenn Security Command Center auf Organisationsebene aktiviert ist, können Sie Assets für Ihre gesamte Organisation ansehen oder Assets nach bestimmten Projekten, Ressourcentypen und Standorten filtern.

    Wenn Security Command Center auf Projektebene aktiviert ist, können Sie Assets in derGoogle Cloud Console nach Ressourcentyp und Standort filtern.

    Die Liste der Assets wird von Cloud Asset Inventory bereitgestellt. In den meisten Fällen aktualisiert Cloud Asset Inventory die Liste innerhalb von Minuten, nachdem Assets in Ihrer Google Cloud Umgebung erstellt, geändert oder entfernt wurden.

    Weitere Informationen zu Cloud Asset Inventory finden Sie unter Einführung in Cloud Asset Inventory.

    Alle Assets ansehen

    Klicken Sie auf den Tab für Ihr Service-Level, um Informationen zum Aufrufen Ihrer Assets zu erhalten.

    Standard oder Premium

    1. Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.

      Zu Assets

    2. Wählen Sie Ihre Google Cloud Organisation aus.

    Unternehmen

    1. Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.

      Zu Assets in der Enterprise-Version

    2. Wählen Sie Ihre Google Cloud Organisation aus.

    Assets sortieren

    Zum Sortieren von Assets klicken Sie auf die Spaltenüberschrift für den Wert, nach dem Sie sortieren möchten. Spalten sind nach numerischen Werten und dann in alphabetischer Reihenfolge sortiert.

    Nach Assets suchen

    Standardmäßig werden alle Assets in der Organisation in den Abfrageergebnissen angezeigt. Wenn Sie in Security Command Center nach bestimmten Assets suchen möchten, können Sie Schnellfilter verwenden oder benutzerdefinierte Filter angeben.

    Mit Schnellfiltern eine allgemeine Suche durchführen

    Mit Schnellfiltern können Sie eine allgemeine Suche nach Ihren Assets durchführen. Sie können beispielsweise nach Projekt, Ressourcentyp oder Standort suchen. Weitere Informationen finden Sie auf dem Tab für Ihre Dienstebene.

    Standard oder Premium

    1. Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.

      Zu Assets

    2. Wählen Sie im Bereich Schnellfilter einen oder mehrere Attributfilter aus, um sie einer Abfrage hinzuzufügen.

    Unternehmen

    1. Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.

      Zu Assets in der Enterprise-Version

    2. Klicken Sie auf einen der folgenden Tabs, um Ressourcen eines bestimmten Cloud-Anbieters zu filtern und anzuzeigen:
      • Google Cloud-Ressourcen
      • AWS-Ressourcen
      • Azure-Ressourcen
    3. So filtern Sie nach Ressourcen mit bestimmten Attributwerten:
      1. Klicken Sie im Bereich Filter auf einen Attributwert und dann auf Nur anzeigen. Die Abfrage wird entsprechend aktualisiert.
      2. Wenn Sie der Abfrage einen weiteren Attributwert hinzufügen möchten, klicken Sie auf den Attributwert und dann auf und nur anzeigen.
      3. Wenn Sie einen Attributwert aus der Abfrage entfernen möchten, klicken Sie auf den Attributwert und dann auf Nicht nur anzeigen.
    4. Wenn Sie einen Attributwert kopieren möchten, klicken Sie auf den Attributwert und dann auf Kopieren.

    Asset-Abfragen bearbeiten

    Klicken Sie auf den Tab für Ihre Service-Stufe, um Informationen zum Bearbeiten von Asset-Abfragen zu erhalten.

    Standard oder Premium

    1. Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.

      Zu Assets

    2. Klicken Sie auf den Tab Asset-Abfrage.
    3. Bearbeiten Sie die Abfrage auf eine der folgenden Arten:
      • Wählen Sie auf dem Untertab Abfragebibliothek eine vordefinierte Abfrage aus. Klicken Sie auf Übernehmen. Die Abfrage im Bereich Abfrage bearbeiten wird entsprechend aktualisiert.
      • Klicken Sie im Bereich Tabelle auswählen auf den Asset-Typ, für den Sie eine Abfrage ausführen möchten. Suchen Sie auf dem Untertab Schema nach dem Attribut, das Sie der Abfrage hinzufügen möchten. Das Attribut wird dem Bereich Abfrage bearbeiten hinzugefügt.
      • Bearbeiten Sie die Abfrage direkt im Bereich Abfrage bearbeiten.
    4. Klicken Sie auf Ausführen. Die Abfrageergebnisse werden entsprechend aktualisiert.

    Unternehmen

    1. Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.

      Zu Assets in der Enterprise-Version

    2. Klicken Sie auf einen der folgenden Tabs, um Ressourcen eines bestimmten Cloud-Anbieters zu filtern und anzuzeigen:
      • Google Cloud-Ressourcen
      • AWS-Ressourcen
      • Azure-Ressourcen
    3. Klicken Sie auf Filter hinzufügen. Das Dialogfeld Filter wird angezeigt. In diesem Dialogfeld können Sie unterstützte Ressourcenattribute und ‑werte auswählen.
    4. Wählen Sie für Filter ein Attribut aus, nach dem gefiltert werden soll.
    5. Legen Sie die Option für die Filterauswertung und den Attributwert fest. Die verfügbaren Auswertungsoptionen hängen vom ausgewählten Attribut ab.
      • Wenn Sie nach Ressourcen mit einem bestimmten Attributwert filtern möchten, wählen Sie Nur anzeigen aus. Wählen Sie in der Liste Wert den Attributwert aus.
      • Wenn Sie nach Ressourcen filtern möchten, deren Attributwert einen bestimmten String enthält, wählen Sie Enthält aus. Geben Sie im Feld Wert den String ein.

        Die Auswertungsoption Enthält folgt der Abfragesyntax für den Operator für teilweise Übereinstimmung. Dabei wird Ihr Suchbegriff in ein oder mehrere Tokens umgewandelt. Sonderzeichen werden als Trennzeichen verwendet. Es muss ein ganzes Token übereinstimmen. Wenn Sie nur einen Teil eines Tokens abgleichen möchten, verwenden Sie ein Sternchen (*) als Indikator für die Übereinstimmung mit dem Tokenpräfix.

      • Wenn Sie Ressourcen nach einem Zeitstempel filtern möchten, wählen Sie Vor oder Nach aus. Geben Sie im Feld Wert den Zeitstempel ein.
    6. So fügen Sie einen weiteren Filter hinzu:
      1. Klicken Sie auf Filter hinzufügen.
      2. Legen Sie das Attribut, die Auswertungsoption und den Attributwert fest.
      3. Legen Sie die logische Beziehung zwischen den Filtern fest. Wählen Sie für Logischer Operator AND oder OR aus.
    7. Klicken Sie auf Übernehmen. Der Abfrageeditor wird aktualisiert und die Abfrageergebnisse werden entsprechend gefiltert.

    Asset-Details prüfen

    In diesem Abschnitt wird beschrieben, wie Sie mehr über die Details eines bestimmten Assets erfahren können.

    Allgemeine Details ansehen

    1. Nach dem Asset suchen
    2. Klicken Sie in den Abfrageergebnissen auf den Namen des Assets. Der Detailbereich für das Asset wird geöffnet und zeigt eine Zusammenfassung der Details an.

    Vollständige Details eines Assets ansehen

    So rufen Sie alle Details zu einem Asset auf, einschließlich der Metadaten auf niedriger Ebene:

    1. Nach dem Asset suchen
    2. Klicken Sie in den Abfrageergebnissen auf den Namen des Assets. Der Detailbereich für das Asset wird geöffnet.
    3. Klicken Sie auf den Tab Vollständige Metadaten. Alle Attributnamen und -werte des Assets werden in einer Baumstruktur angezeigt.
    4. Wenn Sie im Baum nach einem bestimmten Attributnamen oder -wert suchen möchten, geben Sie den Namen oder Wert in den Filter ein.
    1. Nach dem Asset suchen
    2. Klicken Sie in den Abfrageergebnissen auf den Namen des Assets. Der Detailbereich für das Asset wird geöffnet.
    3. Klicken Sie auf den Tab Ergebnisse. Alle Ergebnisse, die sich auf das Asset beziehen, werden angezeigt.

    Änderungen an einem Asset ansehen

    Sie können Snapshots der Metadaten eines Assets vergleichen, um zu sehen, was sich geändert hat.

    Wenn Sie sich die Änderungen an einem Asset im Laufe der Zeit ansehen möchten, klicken Sie auf den Tab für die von Ihnen verwendete Konsole.

    Standard oder Premium

    1. Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.

      Zu Assets

    2. Nach dem Asset suchen
    3. Klicken Sie in der Liste der Assets im Ergebnisbereich auf den Namen des Assets. Der Detailbereich für das Asset wird geöffnet.
    4. Klicken Sie im Detailbereich für das Asset auf den Tab Änderungsverlauf.
    5. Wählen Sie auf dem Tab Änderungsverlauf sowohl eine Startzeit als auch eine Endzeit aus.
    6. Wählen Sie in der Liste Eintrag für Vergleich auswählen links einen Snapshot aus.
    7. Wählen Sie rechts in der Liste Eintrag für Vergleich auswählen einen Snapshot aus, der mit dem ersten ausgewählten Snapshot verglichen werden soll. Die Änderungen zwischen den beiden Snapshots werden hervorgehoben.

    Unternehmen

    1. Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.

      Zu Assets in der Enterprise-Version

    2. Nach dem Asset suchen
    3. Klicken Sie in der Liste der Assets im Ergebnisbereich auf den Namen des Assets. Der Detailbereich für das Asset wird geöffnet.
    4. Klicken Sie im Detailbereich für das Asset auf den Tab Änderungsverlauf.
    5. Wählen Sie in der Liste Vergleichen links einen Snapshot aus.
    6. Wählen Sie rechts in der Liste Vergleichen einen Snapshot aus, der mit dem ersten ausgewählten Snapshot verglichen werden soll. Die Änderungen zwischen den beiden Snapshots werden hervorgehoben.

    IAM-Richtlinien für ein Asset ansehen

    1. Nach dem Asset suchen
    2. Klicken Sie in den Abfrageergebnissen auf den Namen des Assets. Der Detailbereich für das Asset wird geöffnet.
    3. Klicken Sie auf den Tab IAM-Richtlinien. Die mit dem Asset verknüpften IAM-Richtlinien werden angezeigt.

    Satz hochwertiger Ressourcen ansehen

    Sie können die hochwertigen Ressourcen ansehen, die von Risk Engine in die letzten Angriffspfadsimulationen einbezogen wurden. Sie können sich auch die Scores für die Angriffsgefährdung ansehen, die von Risk Engine für jede Ressource berechnet wurden. Weitere Informationen finden Sie auf dem Tab für Ihre Dienstebene.

    Standard oder Premium

    1. Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.

      Zu Assets

    2. Klicken Sie auf den Tab Satz hochwertiger Ressourcen.
    3. Klicken Sie auf den Untertab für den Cloudanbieter, den Sie sich ansehen möchten:
      • Wenn Sie Google Cloud Ressourcen mit hohem Wert ansehen möchten, klicken Sie auf Google. Klicken Sie auf den Ressourcennamen, um die Details einer Ressource aufzurufen.
      • Wenn Sie wichtige Amazon Web Services-Ressourcen (AWS) aufrufen möchten, klicken Sie auf AWS.
      • Klicken Sie auf Azure, um wichtige Microsoft Azure-Ressourcen aufzurufen.
    4. Wenn Sie die Details zur Angriffspfadsimulation für die Ressource aufrufen möchten, klicken Sie auf die Angriffsrisikobewertung der Ressource. Informationen zum Interpretieren der Angriffspfade finden Sie unter Angriffspfade.

    Unternehmen

    So rufen Sie die Gruppe mit hochwertigen Ressourcen auf:

    1. Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.

      Zu Assets in der Enterprise-Version

    2. Klicken Sie auf den Tab Satz hochwertiger Ressourcen.
    3. Klicken Sie auf den Untertab für den Cloudanbieter, den Sie sich ansehen möchten:
      • Wenn Sie Ressourcen mit hohem Wert Google Cloud aufrufen möchten, klicken Sie auf Google Cloud-Ressourcen.
      • Wenn Sie wichtige Amazon Web Services-Ressourcen (AWS) aufrufen möchten, klicken Sie auf AWS-Ressourcen.
      • Wenn Sie hochwertige Microsoft Azure-Ressourcen aufrufen möchten, klicken Sie auf Azure-Ressourcen.
    4. Klicken Sie auf den Anzeigenamen der Ressource, um die Details aufzurufen.

    Assets nach dem Zeitstempel „Erstellt“ oder „Zuletzt aktualisiert“ filtern

    Informationen zum Filtern von Assets nach Zeitstempel finden Sie auf dem Tab für Ihre Service-Stufe.

    Standard oder Premium

    Sie können die Assets im Ergebnisbereich der Seite Assets nach den Zeitstempeln Erstellt und Zuletzt aktualisiert filtern oder sortieren.

    So fügen Sie einem Filter einen Zeitstempel für Erstellt, Zuletzt aktualisiert oder beide hinzu:

    1. Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.

      Zu Assets

    2. Bewegen Sie den Mauszeiger oben im Ergebnisbereich auf der Seite Assets in das Feld Filter. Ein Menü mit Filtern wird geöffnet.
    3. Scrollen Sie zum Bereich Erstellungszeit oder Aktualisierungszeit und wählen Sie eine der zeitbasierten Filteroptionen aus. Beispiel: Update time after. Dem Feld Filter wird ein Filter hinzugefügt.
    4. Geben Sie im Filterfeld ein Datum im Format MM/DD/YYYY ein und drücken Sie die Eingabetaste.

    Die Assets im Ergebnisbereich werden aktualisiert und es werden nur noch die Assets angezeigt, die Ihrem Filter entsprechen.

    Unternehmen

    1. Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.

      Zu Assets in der Enterprise-Version

    2. Bewegen Sie den Mauszeiger oben im Ergebnisbereich auf der Seite Assets in das Feld Filter. Ein Menü mit Filtern wird geöffnet.
    3. Scrollen Sie zum Abschnitt Erstellungszeit oder Aktualisierungszeit und wählen Sie eine der zeitbasierten Filteroptionen aus. Beispiel: Update time after. Dem Feld Filter wird ein Filter hinzugefügt.
    4. Geben Sie im Filterfeld ein Datum im Format MM/DD/YYYY HH:MM:SS ein und drücken Sie die Eingabetaste.

    Die Assets im Ergebnisbereich werden aktualisiert und es werden nur noch die Assets angezeigt, die Ihrem Filter entsprechen.

    Seite mit Asset-Abfrageergebnissen anpassen

    Um den Bildschirmbereich anzupassen, können Sie einige der Elemente anpassen, die in den Abfrageergebnissen angezeigt werden.

    Spalten ein- oder ausblenden

    Informationen dazu, wie Sie Spalten in den Abfrageergebnissen ein- oder ausblenden, finden Sie auf dem Tab für Ihre Service-Stufe.

    Standard oder Premium

    1. Klicken Sie oben im Ergebnisbereich auf view_column Spalten.
    2. Wählen Sie die Spalten aus, die angezeigt werden sollen.
    3. Entfernen Sie die Häkchen aus den Kästchen der Spalten, die ausgeblendet werden sollen.
    4. Klicken Sie auf Übernehmen, um die Änderungen auf die Abfrageergebnisse anzuwenden.

    Unternehmen

    1. Klicken Sie oben im Ergebnisbereich auf view_column Spaltenauswahl öffnen. Das Menü Spalten verwalten wird geöffnet.
    2. Wählen Sie die Spalten aus, die angezeigt werden sollen.
    3. Entfernen Sie die Häkchen aus den Kästchen der Spalten, die ausgeblendet werden sollen.
    4. Schließen Sie das Menü.

    Schnellfilterbereich ausblenden oder seine Größe ändern

    Wenn Sie mehr Bildschirmplatz für Abfrageergebnisse benötigen, können Sie Bereiche ausblenden oder ihre Größe ändern. Weitere Informationen finden Sie auf dem Tab für Ihre Dienstebene.

    Standard oder Premium

    • Wenn Sie die Seitenleiste Schnellfilter ausblenden möchten, klicken Sie auf den Linkspfeil first_page.
    • Wenn Sie die Seitenleiste Schnellfilter aufrufen möchten, klicken Sie auf den Rechtspfeil last_page.
    • Um die Größe der Anzeigespalten anzupassen, ziehen Sie die Trennlinie nach links oder rechts.

    Unternehmen

    • Wenn Sie die Seitenleiste Filter ausblenden möchten, klicken Sie auf chevron_left Seitenleiste schließen.
    • Wenn Sie die Seitenleiste Filter aufrufen möchten, klicken Sie auf chevron_right Seitenleiste öffnen.

    Nächste Schritte