Security Command Center – Übersicht

Diese Seite bietet einen Überblick über Security Command Center, eine Risikomanagementlösung die in Verbindung mit der Stufe „Enterprise“ Cloud Security und Enterprise Security Operations und liefert Einblicke von Mandiant und der künstlichen Intelligenz von Gemini.

Security Command Center ermöglicht Sicherheitsvorgänge SOC-Analysten, Schwachstellen- und Sicherheitsanalysten, Compliance und anderen Sicherheitsfachleuten schnell bewerten, untersuchen, und auf Sicherheitsprobleme über mehrere Cloud-Umgebungen.

Jede Cloud-Bereitstellung birgt besondere Risiken. Mit Security Command Center können Sie die Angriffsfläche Ihrer Projekte oder Organisationen in Google Cloud sowie die Angriffsfläche Ihrer anderen Cloud-Umgebungen nachvollziehen und bewerten. Richtig konfiguriert zum Schutz Ihrer Ressourcen, Security Command Center kann Ihnen helfen, Sicherheitslücken auszumachen und Bedrohungen, die in Ihren Cloud-Umgebungen erkannt wurden, und priorisieren ihre Fehlerbehebungen.

Security Command Center ist in viele Google Cloud-Dienste eingebunden um Sicherheitsprobleme in mehreren Cloud-Umgebungen zu erkennen. Diese Dienste auf vielfältige Weise erkennen, z. B. durch das Scannen von Ressourcenmetadaten, Scannen von Cloud-Logs und von Containern sowie von virtuellen Maschinen.

Einige dieser integrierten Dienste, z. B. Google Security Operations und Mandiant, bieten auch Funktionen und Informationen, wichtig für die Priorisierung und Verwaltung Ihrer Untersuchungen und Reaktionen zu erkannten Problemen.

Bedrohungen verwalten

In der Premium- und der Enterprise-Stufe verwendet Security Command Center sowohl integrierte und integrierte Google Cloud-Dienste zur Erkennung von Bedrohungen. Diese Dienste scannen Ihre Google Cloud-Logs, Container und virtuellen Maschinen auf Bedrohungsindikatoren.

Wenn diese Dienste, z. B. Event Threat Detection oder Container Threat Detection, erkennen, als Bedrohungsindikator, geben sie eine Befindung aus. Ein Ergebnis ist ein Bericht oder ein Datensatz einzelner Bedrohungen oder eines anderen Problems, ein Dienst in Ihrer Cloud-Umgebung gefunden hat. Die betreffenden Dienste Ergebnisse werden auch als Ergebnisquellen bezeichnet.

In Security Command Center Enterprise lösen Ergebnisse Benachrichtigungen aus, die je nach Schweregrad des Ergebnisses kann einen Fall erstellen. Sie können einen Fall mit einem Ticketing-System verwenden, um Zuweisen von Verantwortlichen für die Untersuchung von und die Reaktion auf eine oder mehrere Benachrichtigungen im Fall.

Security Command Center Enterprise kann auch Bedrohungen in Ihren Bereitstellungen erkennen auf anderen Cloud-Plattformen. Um Bedrohungen in Bereitstellungen auf anderen Cloud-Plattformen zu erkennen, werden die Logs der anderen Cloud-Plattform in Security Command Center aufgenommen, nachdem Sie eine Verbindung hergestellt haben.

Weitere Informationen finden Sie auf den folgenden Seiten:

Funktionen zur Bedrohungserkennung und ‑abwehr

Security Command Center bietet SOC-Analysten folgende Sicherheit: Ziele:

  • Ereignisse in Ihren Cloud-Umgebungen erkennen, die auf eine potenzielle Bedrohung hindeuten, und die damit verbundenen Ergebnisse oder Benachrichtigungen zu priorisieren.
  • Weisen Sie Inhaber zu und verfolgen Sie den Fortschritt von Prüfungen und Antworten mit einem integrierten Fall-Workflow. Optional können Sie Ihre bevorzugten wie Jira oder ServiceNow.
  • Bedrohungswarnungen mit leistungsstarken Such- und Verweisen untersuchen
  • Reaktionsworkflows definieren und Maßnahmen automatisieren, um potenzielle Kunden zu erreichen auf Ihre Cloud-Umgebungen. Weitere Informationen zum Definieren Reaktionsworkflows und automatisierte Aktionen mit Playbooks finden Sie unter Mit Playbooks arbeiten
  • Falsch positive Ergebnisse oder Benachrichtigungen ausblenden oder ausschließen.
  • Konzentrieren Sie sich auf Bedrohungen im Zusammenhang mit gehackten Identitäten und Zugriffsberechtigungen.
  • Nutzen Sie Security Command Center, um potenzielle in anderen Cloud-Umgebungen wie AWS.

Sicherheitslücken verwalten

Security Command Center bietet eine umfassende Sicherheitslückenerkennung, bei der die Ressourcen in Ihrer Umgebung automatisch auf Softwarelücken, Fehlkonfigurationen und andere Sicherheitsprobleme gescannt werden, die Sie anfällig für Angriffe machen könnten. Diese Art von Problemen werden zusammen als Sicherheitslücken bezeichnet.

Security Command Center nutzt sowohl integrierte integrierte Google Cloud-Dienste zur Erkennung von Sicherheitsproblemen. Die Dienste, die Ergebnisse liefern, werden auch als Findungsquellen bezeichnet. Wenn ein Dienst ein Problem erkennt, wird ein Ergebnis ausgegeben, um das Problem aufzuzeichnen.

Bei Sicherheitslücken mit hoher und kritischer Schwere werden standardmäßig automatisch Supportanfragen erstellt, damit Sie die Behebung priorisieren können. Sie können Inhaber zuweisen und den Fortschritt der Korrektur verfolgen Bemühungen um einen Fall.

Hier finden Sie weitere Informationen:

Schädliche Kombinationen

Die Security Command Center-Risiko-Engine ist eine Funktion der Enterprise-Stufe. Sie erkennt Gruppen von Sicherheitsproblemen, die, wenn sie in einem bestimmten Muster auftreten, einen Pfad zu einer oder mehreren Ihrer wertvollen Ressourcen erstellen, die ein entschlossener Angreifer potenziell nutzen könnte, um diese Ressourcen zu erreichen und zu manipulieren.

Diese Art von Sicherheitsproblemen wird als toxische Kombination bezeichnet. Wenn Risk Engine eine toxische Kombination erkennt, gibt es ein Ergebnis. Für jedes Ergebnis einer unangemessenen Kombination Security Command Center erstellt einen Fall in der Security Operations-Konsole, damit Sie die Auflösung der unangemessenen Kombinationen kontrollieren und verfolgen können.

Weitere Informationen finden Sie unter Übersicht über schädliche Kombinationen.

Softwarelücken

Damit Sie Sicherheitslücken besser erkennen, verstehen und priorisieren können, Security Command Center kann die virtuellen Maschinen (VMs) und Container bewerten in Ihren Cloud-Umgebungen auf Sicherheitslücken prüfen. Für jeden erkannten bietet Security Command Center detaillierte Informationen ein Ergebnisdatensatz oder ein Ergebnis. Die mit einem Ergebnis gelieferten Informationen können umfassen:

  • Details der betroffenen Ressource
  • Informationen zu allen zugehörigen CVE-Einträgen, einschließlich einer Bewertung von Mandiant über die Auswirkungen und die Ausnutzbarkeit des CVE-Elements
  • Eine Bewertung der Angriffsgefahr, mit der Sie die Behebung priorisieren können
  • Eine visuelle Darstellung des möglichen Wegs eines Angreifers zum hochwertige Ressourcen, die von der Sicherheitslücke gefährdet sind

Sicherheitslücken in der Software werden von den folgenden Diensten erkannt:

Fehlkonfigurationen

Security Command Center ordnet die Detektoren der Dienste zu, die nach Fehlkonfigurationen zu den Kontrollen der gängigen branchenüblichen Compliance-Standards. Sie sehen nicht nur die Compliance-Standards, die durch eine fehlerhafte Konfiguration gegen die Richtlinien verstoßen, können Sie anhand der Zuordnung sehen, die Sie als Bericht exportieren können.

Weitere Informationen finden Sie unter Compliance bewerten und melden

Sicherheitsstatusverstöße

Die Premium- und Enterprise-Stufen von Security Command Center umfassen Folgendes: Security Posture Service, der Ergebnisse ausgibt, Cloud-Ressourcen verstoßen gegen die in der Sicherheits- Sicherheitsstatus, die Sie in Ihrer Cloud-Umgebung bereitgestellt haben.

Weitere Informationen finden Sie unter Dienst zum Bestimmen des Sicherheitsstatus.

Infrastruktur als Code validieren

Sie können überprüfen, ob Ihre IaC-Dateien (Infrastructure-as-Code) mit den und die Security Health Analytics-Detektoren, die Sie in Ihrer Google Cloud-Organisation. So wird sichergestellt, dass Sie Ressourcen, die gegen die Standards Ihrer Organisation verstoßen. Nachdem Sie Ihre organisatorischen Richtlinien definiert und gegebenenfalls den Security Health Analytics-Dienst aktiviert haben, können Sie Ihre Terraform-Plandatei mit der Google Cloud CLI validieren oder den Validierungsprozess in Ihren Cloud Build-, Jenkins- oder GitHub Actions-Entwicklerworkflow einbinden. Weitere Informationen finden Sie unter Validieren Sie IaC anhand der Richtlinien Ihrer Organisation.

Sicherheitslücken und Fehlkonfigurationen auf anderen Cloud-Plattformen erkennen

Security Command Center Enterprise kann Sicherheitslücken in mehreren Cloud-Umgebungen. Zum Erkennen von Sicherheitslücken in anderen Cloud-Diensten müssen Sie zuerst eine Verbindung zum jeweiligen Anbieter herstellen, Ressourcenmetadaten aufnehmen.

Weitere Informationen finden Sie unter Verbindung zu AWS für die Erkennung von Sicherheitslücken und die Risikobewertung herstellen.

Funktionen zur Verwaltung von Sicherheitslücken und Sicherheitsstatus

Mit Security Command Center, Schwachstellenanalysten, Statusadministratoren und ähnliche Sicherheitsexperten können die folgenden Sicherheitsziele erreichen:

  • Erkennen verschiedener Arten von Sicherheitslücken, einschließlich Softwarelücken, Fehlkonfigurationen und Verstößen gegen die Sicherheitsanforderungen, die Ihre Cloud-Umgebungen anfällig für potenzielle Angriffe machen können.
  • Konzentrieren Sie Ihre Reaktions- und Behebungsmaßnahmen auf die Probleme mit dem höchsten Risiko. indem Sie die Angriffsrisikobewertungen auf die Ergebnisse und Benachrichtigungen für Sicherheitslücken.
  • Inhaber zuweisen und den Fortschritt der Behebung von Sicherheitslücken verfolgen durch Fälle nutzen und bevorzugte Ticketsysteme wie Jira einbinden oder ServiceNow.
  • Hochwertige Ressourcen in Ihren Cloud-Umgebungen proaktiv schützen durch Senkung der Angriffsrisikobewertungen
  • Definieren Sie benutzerdefinierte Sicherheitsstatus für Ihre Cloud-Umgebungen, die im Security Command Center verwendet werden, um Ihren Status zu bewerten und Sie auf Verstöße hinzuweisen.
  • Falsch positive Ergebnisse oder Benachrichtigungen ausblenden oder ausschließen.
  • Konzentrieren Sie sich auf Sicherheitslücken im Zusammenhang mit Identitäten und übermäßige Sicherheitslücken. Berechtigungen.
  • Sicherheitslücken und Risikobewertungen für andere Cloud-Umgebungen wie AWS in Security Command Center erkennen und verwalten

Risiko mit Angriffsrisikobewertungen und Angriffspfaden bewerten

Bei einer Aktivierung der Premium- und Enterprise-Stufen auf Organisationsebene bietet Security Command Center Angriffsrisikobewertungen für hochwertige Ressourcen und die Ergebnisse zu Sicherheitslücken und Fehlkonfigurationen, die sich auf die hochwertigen Ressourcen auswirken.

Anhand dieser Werte können Sie die Behebung von Sicherheitslücken priorisieren und Fehlkonfigurationen, um die Sicherheit Ihrer die am stärksten gefährdeten hochwertigen Ressourcen Cloud-Umgebungen angegriffen werden sollen.

In der Google Cloud Console auf der Seite Risikoübersicht im Bereich Aktive Sicherheitslücken Auf dem Tab Ergebnisse nach Angriffsrisikobewertung finden Sie die Ergebnisse mit den höchsten Angriffsrisikowerten in Ihrer Umgebung sowie die Verteilung der Ergebniswerte.

Weitere Informationen finden Sie unter Angriffsrisikobewertungen und Angriffspfade.

Ergebnisse und Benachrichtigungen mit Supportanfragen verwalten

Security Command Center Enterprise erstellt Fälle, um Sie bei der Verwaltung von Ergebnissen und Benachrichtigungen erhalten, Eigentümer zuweisen und Prüfungen und Antworten erkannte Sicherheitsprobleme. Fälle mit hohem Schweregrad werden automatisch geöffnet und Probleme mit kritischen Schweregraden.

Sie können Anfragen in Ihrem bevorzugten Ticketsystem wie Jira oder ServiceNow einbinden. Wenn Fälle aktualisiert werden, können alle offenen Tickets für den Fall automatisch aktualisiert werden. Wenn ein Ticket aktualisiert wird, kann auch der entsprechende Fall aktualisiert werden.

Weitere Informationen finden Sie in der Supportübersicht unter in der Google SecOps-Dokumentation.

Reaktionsabläufe und automatisierte Aktionen definieren

Reaktionsworkflows definieren und Maßnahmen zur Untersuchung und Reaktion automatisieren die in Ihren Cloud-Umgebungen erkannt werden.

Weitere Informationen zum Definieren von Reaktionsworkflows und automatisierten Abläufen Playbooks zu Aktionen, siehe Mit Playbooks arbeiten

Multi-Cloud-Unterstützung: Sichere Bereitstellungen auf anderen Cloud-Plattformen

Sie können die Dienste und Funktionen von Security Command Center erweitern, um Ihre Bereitstellungen auf anderen Cloud-Plattformen, sodass Sie alle Bedrohungen und Schwachstellen an einem zentralen Ort zu verwalten, in all Ihren Cloud-Umgebungen erkannt werden.

Weitere Informationen zum Verbinden von Security Command Center mit einem anderen Cloud-Dienstanbieter finden Sie auf den folgenden Seiten:

Unterstützte Cloud-Dienstanbieter

Security Command Center kann eine Verbindung zu Amazon Web Services (AWS) herstellen.

Sicherheitsstatus definieren und verwalten

Mit Aktivierungen der Premium- und der Enterprise-Stufe auf Organisationsebene von Security Command Center können Sie Sicherheitsstatus erstellen und verwalten. die den erforderlichen Status Ihrer Cloud-Assets definieren, einschließlich Ihrer Cloud Netzwerk- und Cloud-Dienste für optimale Sicherheit in Ihrer Cloud-Umgebung. Sie können Sicherheitsstatus an die Sicherheitsanforderungen Ihres Unternehmens anpassen rechtlicher Anforderungen. Durch das Festlegen eines Sicherheitsstatus können Sie die Cyberrisiken für Ihre und helfen, Angriffe zu verhindern.

Mit dem Security Command Center-Dienst für den Sicherheitsstatus definieren und Stellen Sie einen Sicherheitsstatus bereit und erkennen Sie Abweichungen oder nicht autorisierte Änderungen von Ihrer festgelegten Haltung entfernt.

Der Dienst für den Sicherheitsstatus wird automatisch aktiviert, wenn Sie Security Command Center auf Organisationsebene aktivieren.

Weitere Informationen finden Sie unter Übersicht über den Sicherheitsstatus.

Assets identifizieren

Security Command Center enthält Asset-Informationen aus Cloud Asset Inventory, die kontinuierlich Assets in Ihrer Cloud überwacht zu verbessern. Bei den meisten Assets werden Konfigurationsänderungen, einschließlich IAM- und Organisationsrichtlinien, nahezu in Echtzeit erkannt.

Auf der Seite Assets in der Google Cloud Console können Sie Asset-Abfragen anwenden, bearbeiten und ausführen, eine voreingestellte Zeitbeschränkung hinzufügen oder können Sie Ihre eigenen Asset-Abfragen schreiben.

Wenn Sie die Premium- oder Enterprise-Stufe von Security Command Center nutzen, welche Assets als hochwertigen Ressourcen für Risikobewertungen Angriffspfadsimulationen.

Sie können Veränderungen in Ihrer Organisation oder Ihrem Projekt schnell identifizieren und Fragen wie:

  • Wie viele Projekte haben Sie und wann wurden sie erstellt?
  • Welche Google Cloud-Ressourcen sind bereitgestellt oder in Verwendung, wie virtuelle Maschinen (VMs) der Compute Engine, Cloud Storage-Buckets oder App Engine-Instanzen?
  • Wie sieht der Bereitstellungsverlauf aus?
  • Wie können Sie die folgenden Kategorien organisieren, kommentieren, in ihnen suchen, auswählen, filtern und sortieren?
    • Assets und Asset-Attribute
    • Sicherheitsmarkierungen, mit denen Sie Assets oder Ergebnisse in Security Command Center annotieren können
    • Zeitraum

Cloud Asset Inventory kennt immer den aktuellen Status unterstützter Assets und können Sie in der Google Cloud Console bisherige Discovery-Scans um Assets zu verschiedenen Zeitpunkten zu vergleichen. Sie können auch nach nicht ausgelasteten Assets wie virtuellen Maschinen oder inaktiven IP-Adressen suchen.

Gemini-Funktionen in Security Command Center

Security Command Center nutzt Gemini, um Zusammenfassungen von Ergebnissen und Angriffspfaden und zur Unterstützung Ihrer Suchanfragen und Untersuchung erkannter Bedrohungen und Schwachstellen.

Informationen zu Gemini finden Sie unter Gemini

Gemini-Zusammenfassungen von Ergebnissen und Angriffspfaden

Wenn Sie Security Command Center Enterprise oder Premium verwenden, Gemini bietet dynamisch generierte Erläuterungen zu jedem Ergebnis und jedem simulierten Angriffspfad, den Security Command Center für Vulnerability generiert und Misconfiguration Klassenergebnisse.

Die Zusammenfassungen sind in natürlicher Sprache, um schnell zu verstehen, auf Ergebnisse und eventuelle Angriffspfade reagieren.

Die Zusammenfassungen werden an den folgenden Stellen in der Google Cloud Console angezeigt:

  • Wenn Sie auf den Namen eines einzelnen Ergebnisses klicken, wird die Zusammenfassung am auf der Detailseite des Ergebnisses.
  • Bei den Premium- und Enterprise-Stufen von Security Command Center gilt Folgendes: Ergebnis eine Angriffsrisikobewertung hat, können Sie rechts neben dem Angriffspfad die Angriffsrisikobewertung und dann KI-Zusammenfassung.

Erforderliche IAM-Berechtigungen für KI-generierte Zusammenfassungen

Zum Ansehen der KI-Zusammenfassungen benötigen Sie das erforderliche IAM Berechtigungen.

Für Ergebnisse benötigen Sie die securitycenter.findingexplanations.get IAM-Berechtigung Die vordefinierte Datei mit der geringsten Berechtigung IAM-Rolle mit dieser Berechtigung ist die Sicherheitscenter-Ergebnisbetrachter (roles/securitycenter.findingsViewer) Rolle.

Für Angriffspfade benötigen Sie den securitycenter.exposurepathexplan.get IAM-Berechtigung Die vordefinierte Datei mit der geringsten Berechtigung IAM-Rolle mit dieser Berechtigung ist die Leser von Angriffspfaden im Sicherheitscenter roles/securitycenter.exposurePathsViewer.

Während der Vorschau sind diese Berechtigungen nicht in der Google Cloud Console zum Hinzufügen zu benutzerdefinierten IAM-Rollen.

Sie können die Google Cloud CLI verwenden, um die Berechtigung einer benutzerdefinierten Rolle hinzuzufügen.

Informationen zum Hinzufügen von Berechtigungen zu einer benutzerdefinierten Rolle mit der Google Cloud CLI finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten.

Suche in natürlicher Sprache für Bedrohungsuntersuchungen

Sie können nach Bedrohungen, Warnungen und anderen Inhalten suchen. mithilfe von Abfragen in natürlicher Sprache und mit Gemini. Für finden Sie unter UDM-Suchanfragen mithilfe natürlicher Sprache generieren in der Google SecOps-Dokumentation.

KI-Untersuchungs-Widget für Supportanfragen

Damit Sie Fälle besser verstehen und auf Ergebnisse und Warnungen prüfen können, bietet Gemini eine Zusammenfassung jedes Falls und schlägt die nächsten Schritte für die Untersuchung vor. Zusammenfassung und nächste Schritte werden im Widget KI-Prüfung angezeigt, wenn Sie sich einen Fall ansehen.

Umsetzbare Erkenntnisse zur Sicherheit

Integrierte und integrierte Google Cloud-Dienste von Security Command Center überwachen Sie Ihre Leistung Assets und Logs für Kompromittierungsindikatoren und Konfigurationsänderungen, bekannten Bedrohungen, Sicherheitslücken und Fehlkonfigurationen abgleichen können. Um Kontext für Vorfälle zu bieten, werden Ergebnisse mit Informationen aus den folgenden Quellen angereichert:

  • Bei den Enterprise- und Premium-Stufen gilt:
    • KI-generierte Zusammenfassungen, mit denen Sie Security Command Center besser verstehen und entsprechende Maßnahmen ergreifen können Ergebnisse und alle damit verbundenen Angriffspfade. Weitere Informationen können Sie sich KI-generierte Zusammenfassungen ansehen.
    • Ergebnisse zu Sicherheitslücken enthalten Informationen aus den entsprechenden CVE-Einträgen, einschließlich CVE-Wert und die Mandiant-Experten zur die potenziellen Auswirkungen und das Ausnutzungspotenzial.
    • Leistungsstarke SIEM- und SOAR-Suchfunktionen, mit denen Sie Bedrohungen und Sicherheitslücken untersuchen und verwandte Entitäten in einer einheitlichen Zeitachse durchblättern können.
  • VirusTotal, ein Dienst von Alphabet, der Kontext zu potenziell schädlichen Dateien bietet URLs, Domains und IP-Adressen.
  • MITRE-ATT&CK-Framework, in dem erklärt wird, Techniken für Angriffe auf Cloud-Ressourcen und entsprechende Abhilfemaßnahmen Anleitung.
  • Cloud-Audit-Logs (Administratoraktivitätslogs und Datenzugriffslogs)

Sie erhalten Benachrichtigungen zu neuen Ergebnissen nahezu in Echtzeit, damit Ihre Sicherheitsteams Daten erheben, Bedrohungen ermitteln und Maßnahmen ergreifen können, bevor sie zu Schäden oder Verlusten für das Unternehmen führen.

Mit einer zentralen Ansicht Ihres Sicherheitsstatus und einer robusten API haben, können Sie schnell Folgendes tun:

  • Fragen beantworten, wie:
    • Welche statischen IP-Adressen sind öffentlich zugänglich?
    • Welche Images werden auf den VMs ausgeführt?
    • Gibt es Belege dafür, dass Ihre VMs für Kryptowährung verwendet werden oder anderen missbräuchlichen Aktivitäten?
    • Welche Dienstkonten wurden hinzugefügt oder entfernt?
    • Wie werden Firewalls konfiguriert?
    • Welche Storage-Buckets enthalten personenbezogene Daten oder vertrauliche Daten? Für diese Funktion muss der Schutz sensibler Daten eingebunden sein.
    • Welche Cloud-Anwendungen sind anfällig für XSS-Sicherheitslücken (Cross-Site-Scripting)?
    • Sind meine Cloud Storage-Buckets mit dem Internet verbunden?
  • Ergreifen Sie Maßnahmen, um Ihre Assets zu schützen:
    • Implementieren Sie bestätigte Korrekturschritte für Fehlkonfigurationen von Assets und Compliance-Verstöße.
    • Kombinieren Sie Bedrohungsinformationen von Google Cloud und Drittanbietern wie Palo Alto Networks, um Ihr Unternehmen besser vor kostspieligen Bedrohungen auf Computing-Ebene zu schützen.
    • Prüfen Sie, ob die entsprechenden IAM-Richtlinien vorhanden sind. Sie werden benachrichtigt, wenn Richtlinien falsch konfiguriert oder unerwartet geändert werden.
    • Integrieren Sie Ergebnisse aus eigenen oder externen Quellen für Google Cloud-Ressourcen oder andere Hybrid- oder Multi-Cloud-Ressourcen. Weitere Informationen finden Sie unter Sicherheitsdienst eines Drittanbieters hinzufügen.
    • Reagieren Sie auf Bedrohungen in Ihrer Google Workspace-Umgebung und auf unsichere Änderungen in Google Groups.

Fehlkonfigurationen zur Identitäts- und Zugriffssteuerung

Mit Security Command Center können Sie leichter erkennen und beheben, zu Fehlkonfigurationen zur Identitäts- und Zugriffssteuerung in Google Cloud gefunden. Ergebnisse zu Fehlkonfigurationen identifizieren Hauptkonten (Identitäten), die falsch konfiguriert oder übermäßige oder sensible IAM-Berechtigungen Berechtigungen (Zugriff) auf Google Cloud-Ressourcen

Berechtigungsverwaltung für Cloud-Infrastruktur

Die Verwaltung von identitäts- und zugriffsbezogenen Sicherheitsproblemen wird manchmal als Cloud Infrastructure Entitlements Management (CIEM). Security Command Center-Angebote CIEM-Funktionen, die einen umfassenden Überblick über Sicherheit der Identitäts- und Zugriffskonfiguration Ihrer Organisation. Security Command Center bietet diese Funktionen für verschiedene Cloud-Plattformen, Google Cloud und Amazon Web Services (AWS) Mit CIEM können Sie sehen, welche Hauptkonten in Ihren Cloud-Umgebungen zu viele Berechtigungen haben. Zusätzlich zu Google Cloud IAM Mit CIEM können Sie Berechtigungen prüfen, Hauptkonten von anderen Identitätsanbietern (z. B. Entra ID (Azure AD) und Okta) auf Ihre Google Cloud-Ressourcen haben. Sie sehen die schwerwiegendsten Identitäten und auf Ergebnisse von mehreren Cloud-Anbietern im Bereich Identität und Zugriff Ergebnisse auf der Security Command Center-Seite Übersicht in der Google Cloud Console.

Weitere Informationen zu den CIEM-Funktionen von Security Command Center Siehe Übersicht über die Cloud-Infrastrukturberechtigung Verwaltung.

Abfragevoreinstellungen für Identität und Zugriff

Auf der Seite Sicherheitslücken in der Google Cloud Console können Sie Folgendes tun: Wählen Sie Abfragevoreinstellungen (vordefinierte Abfragen) aus, Schwachstellendetektoren oder -kategorien, die sich auf die Identität beziehen und Zugriffsrechte. Für jede Kategorie wird die Anzahl der aktiven Ergebnisse angezeigt.

Weitere Informationen zu den Abfragevoreinstellungen finden Sie unter Wenden Sie Abfragevoreinstellungen an.

Compliance mit Branchenstandards verwalten

Security Command Center überwacht die Compliance mit Detektoren, die den Kontrollen eines Wide-Systems von Sicherheitsstandards.

Für jeden unterstützten Sicherheitsstandard Security Command Center eine Teilmenge der Steuerelemente überprüft. Für die geprüften Steuerelemente wird in Security Command Center angezeigt, wie viele Passagen passieren. Für die nicht bestandene Kontrollen haben, zeigt Security Command Center eine Liste der Ergebnisse an, und beschreiben die fehlerhaften Einstellungen.

CIS überprüft und zertifiziert die Zuordnungen von Security Command Center alle unterstützten Detektoren Version der CIS Google Cloud Foundations Benchmark. Zusätzliche Compliance Zuordnungen dienen nur zu Referenzzwecken.

Security Command Center regelmäßig werden neue Benchmark-Versionen und -Standards unterstützt. Älter -Versionen werden weiterhin unterstützt, werden aber irgendwann verworfen. Wir empfehlen, die neueste unterstützte Benchmark oder den neuesten verfügbaren Standard zu verwenden.

Mit der Service für den Sicherheitsstatus können Sie Organisationsrichtlinien und Security Health Analytics-Detektoren den Standards und die für Ihr Unternehmen gelten. Nachdem Sie eine Sicherheitskonfiguration erstellt haben, können Sie Änderungen an der Umgebung überwachen, die sich auf die Compliance Ihres Unternehmens auswirken könnten.

Weitere Informationen zum Verwalten der Compliance finden Sie unter Sicherheitskonformität bewerten und melden .

Unterstützte Sicherheitsstandards in Google Cloud

Security Command Center Ordnet Detektoren für Google Cloud einer oder mehreren der folgenden Compliance-Anforderungen zu Standards:

Von AWS unterstützte Sicherheitsstandards

Security Command Center ordnet Detektoren für Amazon Web Services (AWS) einer oder mehreren der folgenden Compliance-Anforderungen zu Standards:

Flexible Plattform für Ihre Sicherheitsanforderungen

Security Command Center bietet Anpassungs- und Integrationsoptionen, mit denen können Sie das Dienstprogramm des Dienstes an Ihre sich ändernden Sicherheitsanforderungen anpassen.

Anpassungsoptionen

Zu den Anpassungsoptionen gehören:

Integrationsoptionen

Folgende Integrationsoptionen sind verfügbar:

Verwendungsweise von Security Command Center

Die folgende Tabelle enthält allgemeine Produktfeatures, Anwendungsfälle und Links zu relevanten Dokumentationen, damit Sie die benötigten Inhalte schnell finden können.

Feature Anwendungsfälle Verwandte Dokumente
Asset-Identifikation und -Überprüfung
  • Anzeigen aller Ressourcen, Services und Daten aus Ihrem gesamten Unternehmen oder Projekt und aus verschiedenen für Ihre Cloud-Plattformen.
  • Bewerten Sie Sicherheitslücken für unterstützte Assets und ergreifen Sie Maßnahmen, um Korrekturen für die schwerwiegendsten Probleme zu priorisieren.

Security Command Center Best Practices

Zugriffskontrolle

Mit Security Command Center in der Google Cloud Console
Identifikation von vertraulichen Daten
  • Finden Sie heraus, wo sensible und regulierte Daten mit Sensitive Data Protection gespeichert werden.
  • Verhindern Sie unbeabsichtigte Gefährdungen und achten Sie darauf, dass nur Personen mit berechtigtem Interesse Zugriff erhalten.
  • Geben Sie Ressourcen an, die Daten mit mittlerer Vertraulichkeit enthalten, oder Daten mit hoher Vertraulichkeit als _Hochwertige Ressourcen automatisch.
 Ergebnisse für den Schutz sensibler Daten an Security Command Center senden
Integration von SIEM- und SOAR-Produkten von Drittanbietern
  • Sie können Security Command Center-Daten ganz einfach in externes SIEM exportieren und SOAR-Systeme.

Exportieren Security Command Center-Daten

Kontinuierlich Exporte
Erkennung von fehlerhafter Konfiguration

Security Health Analytics

Web Security Scanner – Übersicht

Sicherheitslücken Ergebnisse

Erkennung von Sicherheitslücken in der Software
  • Sicherheitslücken in Software in Arbeitslasten auf virtuellen Maschinen erkennen und Container bei verschiedenen Cloud-Dienstanbietern.
  • Lassen Sie sich proaktiv über neue Sicherheitslücken und Änderungen Angriffsfläche.
  • Ermitteln Sie häufige Sicherheitslücken wie Cross-Site-Scripting (XSS) und Flash Injection, die Ihre Anwendungen gefährden.
  • Mit Security Command Center Premium priorisieren anhand von CVE-Informationen, einschließlich der Bewertung der Ausnutzbarkeit und der Auswirkungen Mandiant

Dashboard für den GKE-Sicherheitsstatus

VM Manager

Web Security Scanner – Übersicht

Sicherheitslücken Ergebnisse

Monitoring von Identitäts- und Zugriffssteuerung
  • Stellen Sie sicher, dass die entsprechenden Richtlinien zur Zugriffssteuerung für Ihre Google Cloud-Ressourcen vorhanden sind. Sie werden benachrichtigt, wenn Richtlinien falsch konfiguriert oder unerwartet geändert werden.
  • Mit Abfragevoreinstellungen schnell Ergebnisse für Identität und Zugriff ansehen Fehlkonfigurationen und Rollen, denen übermäßig viele Berechtigungen gewährt wurden.

IAM Recommender

Zugriffskontrolle

Fehlkonfigurationen zur Identitäts- und Zugriffssteuerung
Bedrohungserkennung
  • Ermitteln Sie bösartige Aktivitäten und Nutzer in Ihrer Infrastruktur und erhalten Sie Benachrichtigungen bei aktiven Bedrohungen.
  • Bedrohungen auf anderen Cloud-Plattformen erkennen

Bedrohungen verwalten

Event Threat Detection Übersicht

Container Threat Detection Übersicht
Fehlererkennung
  • Benachrichtigungen zu Fehlern und Fehlkonfigurationen erhalten, die verhindern, dass Security Command Center und seine Dienste wie vorgesehen funktionieren.
 Security Command Center-Fehler – Übersicht
Abhilfemaßnahmen priorisieren
  • Angriff verwenden Risikobewertungen, um die Behebung solcher die Ergebnisse zu Sicherheitslücken und Fehlkonfigurationen zu finden.
  • Verwenden Sie Angriffsrisikobewertungen für Ressourcen, um sie proaktiv zu schützen die für Ihr Unternehmen am wertvollsten sind.
 Übersicht über Angriffe Risikobewertungen und Angriffspfade
Risiken beheben
  • Implementieren Sie verifizierte und empfohlene Anweisungen zur Fehlerbehebung, um Assets schnell zu schützen.
  • Konzentrieren Sie sich auf die wichtigsten Felder in einem Ergebnis, um Sicherheitsanalysten schnell die Möglichkeit zu geben, fundierte Entscheidungen zu treffen.
  • Reichern Sie zugehörige Sicherheitslücken und Bedrohungen an und verbinden Sie sie, um TTPs zu identifizieren und zu erfassen.
  • Beheben Sie Fehler und Fehlkonfigurationen, die verhindern, dass Security Command Center und seine Dienste wie vorgesehen funktionieren.

Die Untersuchung und auf Bedrohungen reagieren

Problemlösung Ergebnisse von Security Health Analytics

Problemlösung Web Security Scanner-Ergebnisse

Sicherheit Automatisierung von Antworten

Problemlösung Security Command Center-Fehler
Statusverwaltung
  • Sorgen Sie dafür, dass Ihre Arbeitslasten den Sicherheitsstandards, Compliance-Bestimmungen und den benutzerdefinierten Sicherheitsanforderungen Ihrer Organisation entsprechen.
  • Wenden Sie Ihre Sicherheitskontrollen auf Google Cloud-Projekte, -Ordner oder -Organisationen an, bevor Sie Arbeitslasten bereitstellen.
  • Prüfen Sie kontinuierlich, ob Abweichungen von Ihren definierten Sicherheitskontrollen auftreten und beheben Sie diese.

Sicherheitsstatus Übersicht

Sicherheitsstatus verwalten
Eingaben von Sicherheitstools von Drittanbietern

  • Integrieren Sie die Ausgabe Ihrer vorhandenen Sicherheitstools wie Cloudflare, CrowdStrike, Prisma Cloud von Palo Alto Networks und Qualys in das Security Command Center. Durch die Einbindung der Ausgabe können Sie Folgendes erkennen:

    • DDoS-Angriffe
    • Manipulierte Endpunkte
    • Compliance-Richtlinienverstöße
    • Netzwerkangriffe
    • Sicherheitslücken und Bedrohungen für Instanzen

Konfigurieren Security Command Center

Wird erstellt... und die Verwaltung von Sicherheitsquellen
Benachrichtigungen in Echtzeit
  • Erhalten Sie Security Command Center-Benachrichtigungen per E-Mail, SMS, Slack, WebEx und anderen Diensten mit Pub/Sub-Benachrichtigungen.
  • Passen Sie Ergebnisfilter an, um Ergebnisse auf Zulassungslisten auszuschließen.

Ergebnisbenachrichtigungen einrichten

Aktivieren E-Mail- und Chatbenachrichtigungen in Echtzeit

Sicherheitsmarkierungen verwenden

Exportieren Security Command Center-Daten

Benachrichtigungen filtern

Hinzufügen Assets auf die Zulassungsliste setzen
REST API und Client-SDKs
  • Verwenden Sie die Security Command Center REST API oder Client-SDKs, um die Einbindung in Ihre vorhandenen Sicherheitssysteme und Workflows zu vereinfachen.

Security Command Center konfigurieren

Security Command Center Clientbibliotheken

Security Command Center API

Steuerelemente für den Datenstandort

Zum Erfüllen der Anforderungen an den Datenstandort, wenn Sie Security Command Center aktivieren Standard oder Premium können Sie zum ersten Mal Datenstandortkontrollen aktivieren.

Durch das Aktivieren von Datenstandortkontrollen werden die Speicher- und Security Command Center-Ergebnisse, Ausblendungsregeln, kontinuierliche Exporte und BigQuery exportiert in einen der Datenspeicherorte, Multiregionen, die Security Command Center unterstützt.

Weitere Informationen finden Sie unter Datenstandort planen.

Security Command Center-Dienststufen

Security Command Center bietet drei Dienststufen: Standard, Premium und Unternehmen.

Die ausgewählte Stufe bestimmt die Funktionen und Dienste, die für Security Command Center.

Wenn Sie Fragen zu den Servicestufen von Security Command Center haben, wenden Sie sich an Ihren Kundenbetreuer oder an Ihren Google Cloud-Vertrieb.

Informationen zu den Kosten, die mit der Nutzung einer Security Command Center-Stufe verbunden sind, Weitere Informationen finden Sie unter Preise.

Standardstufe

Die Standard-Stufe umfasst die folgenden Dienste und Funktionen:

  • Security Health Analytics: in der Standard-Stufe bietet Security Health Analytics verwaltete Schwachstellen Bewertungsscans für Google Cloud, die automatisch erkennen, Sicherheitslücken und Fehlkonfigurationen in Ihren Google Cloud-Assets zu identifizieren. In der Standard-Stufe Security Health Analytics umfasst die folgenden Ergebnistypen:

    • Dataproc image outdated
    • Legacy authorization enabled
    • MFA not enforced
    • Non org IAM member
    • Open ciscosecure websm port
    • Open directory services port
    • Open firewall
    • Open group IAM member
    • Open RDP port
    • Open SSH port
    • Open Telnet port
    • Public bucket ACL
    • Public Compute image
    • Public dataset
    • Public IP address
    • Public log bucket
    • Public SQL instance
    • SSL not enforced
    • Web UI enabled
  • Web Security Scanner Benutzerdefinierte Scans: In der Standardstufe Web Security Scanner unterstützt benutzerdefinierte Scans bereitgestellter Anwendungen mit öffentlichen URLs und IP-Adressen, die sich nicht hinter einer Firewall befinden. Scans werden manuell konfiguriert, verwaltet und werden für alle Projekte durchgeführt. Außerdem werden OWASP Top Ten.
  • Security Command Center Fehler: Security Command Center bietet Anleitungen zur Erkennung und Abhilfe für die Konfiguration Fehler, die verhindern, dass Security Command Center und seine Dienste ordnungsgemäß funktionieren.
  • Kontinuierlich Exportfunktion, mit der der Export neuer Ergebnisse automatisch verwaltet wird zu Pub/Sub senden.

  • Zugriff auf integrierte Google Cloud-Dienste, einschließlich der folgenden:

    • Sensitive Data Protection erkennt, klassifiziert und sensible Daten schützt.
    • Google Cloud Armor schützt Google Cloud-Bereitstellungen vor Bedrohungen
    • Anomalieerkennung erkennt Sicherheitsanomalien in Ihren Projekten VM-Instanzen wie potenziell gehackten Anmeldedaten das Mining von Kryptowährungen.
    • Policy Controller ermöglicht die Anwendung und Erzwingung programmierbarer Richtlinien für Ihre Kubernetes-Cluster.
  • Ergebnisse des GKE-Sicherheitsstatus-Dashboards: Ergebnisse ansehen über Fehlkonfigurationen zur Sicherheit von Kubernetes-Arbeitslasten, verwertbare Sicherheit und Sicherheitslücken im Container-Betriebssystem oder in Pakete. Einbinden des Dashboards für den GKE-Sicherheitsstatus Ergebnisse mit Security Command Center sind als Vorabversion verfügbar.
  • Einbindung in BigQuery, wodurch Ergebnisse zur Analyse in BigQuery exportiert werden.
  • Sensitive Actions Service, der erkennt, wenn in Ihrer Google Cloud-Organisation, in Ihren Ordnern und in Ihren Projekten Aktionen ausgeführt werden, die für Ihr Unternehmen schädlich sein könnten, wenn sie von einem böswilligen Akteur ausgeführt werden.
  • Wenn Security Command Center auf Organisationsebene aktiviert ist, können Sie Nutzern IAM-Rollen auf Organisations-, Ordner- und Projektebene zuweisen.
  • Datenstandortkontrollen, die den Speicher und Security Command Center-Ergebnisse, Ausblendungsregeln, kontinuierliche Exporte und BigQuery exportiert in einen der Datenspeicherorte, Multiregionen, die Security Command Center unterstützt.

    Weitere Informationen finden Sie unter Datenspeicherort planen.

Premium-Stufe

Die Premium-Stufe umfasst alle Dienste und Funktionen der Standard-Stufe sowie die folgenden zusätzlichen Dienste und Funktionen:

  • Angriff mithilfe von Pfadsimulationen können Sie zu Sicherheitslücken und Fehlkonfigurationen durch die Identifizierung der Pfade die ein potenzieller Angreifer nutzen könnte, um auf Ihre wertvollen Ressourcen zuzugreifen. Die Simulationen berechnen und zuweisen Angriff Kontaktbewertungen für alle Ergebnisse, die diese Ressourcen verfügbar machen. Interaktiv Angriff Pfade helfen Ihnen bei der Visualisierung möglicher Angriffspfade und Informationen zu den Pfaden, zugehörigen Ergebnissen und den betroffenen Ressourcen.

  • Die Ergebnisse zu Sicherheitslücken umfassen CVE-Bewertungen von Mandiant, mit denen Sie die Behebung priorisieren können.

    Auf der Seite Übersicht in der Console werden die Top-CVE-Ergebnisse angezeigt. finden Sie die Ergebnisse zu Sicherheitslücken, Ausnutzbarkeit und potenzielle Auswirkungen Mandiant Auf der Seite Ergebnisse können Sie Ergebnisse nach CVE-ID abfragen.

    Weitere Informationen finden Sie unter CVEs nach Auswirkung und Ausnutzbarkeit priorisieren.

  • Event Threat Detection überwacht Cloud Logging und Google Workspace mit Bedrohungsdaten, maschinelles Lernen und andere fortschrittliche Methoden, Bedrohungen wie Malware, Kryptomining und Daten erkennen Daten-Exfiltration. Eine vollständige Liste der integrierten Event Threat Detection-Detektoren finden Sie Siehe Event Threat Detection Regeln. Sie können auch benutzerdefinierte Event Threat Detection-Detektoren erstellen. Für zu Modulvorlagen, mit denen Sie benutzerdefinierte finden Sie unter Übersicht über Benutzerdefinierte Module für Event Threat Detection.
  • Container Threat Detection erkennt die folgenden Container-Laufzeitangriffe:
    • Ausgeführte Binärdatei hinzugeführt
    • Hinzugefügte Mediathek geladen
    • Ausführung: Schadprogramm ausgeführt und hinzugefügt
    • Ausführung: Schädliche Bibliothek wurde hinzugefügt
    • Ausführung: Eingebaute schädliche Binärdatei ausgeführt
    • Ausführung: Geändertes bösartiges Binärprogramm ausgeführt
    • Ausführung: Geänderte schädliche Bibliothek geladen
    • Schädliches Script ausgeführt
    • Reverse Shell
    • Unerwartete untergeordnete Shell

  • Das folgende Policy Intelligence stehen Ihnen folgende Funktionen zur Verfügung:

    • Erweiterte IAM-Recommender-Features, darunter:
      • Empfehlungen für Rollen, die nicht zu den einfachen Rollen gehören
      • Empfehlungen für Rollen, die für andere Ressourcen gewährt wurden als Organisationen, Ordner und Projekte, z. B. Empfehlungen für Rollen, die Cloud Storage-Buckets gewährt wurden
      • Empfehlungen, die benutzerdefinierte Rollen vorschlagen
      • Richtlinienstatistiken
      • Informationen zu Lateralbewegungen
    • Policy Analyzer im großen Maßstab (über 20 Abfragen pro Organisation pro Tag). Dieses Limit gilt für alle Policy Analyzer-Tools.
    • Visualisierungen für die Analyse von Organisationsrichtlinien.
  • Sie können Assets in Cloud Asset Inventory abfragen.
  • Virtual Machine Threat Detection erkennt potenziell schädliche Anwendungen, die in der VM ausgeführt werden Instanzen.

  • Sicherheitsintegritäts-Analytics der Premium-Stufe umfasst die folgenden Funktionen:

    • Verwaltete Scans auf Sicherheitslücken für alle Security Health Analytics-Detektoren
    • Monitoring für viele branchenübliche Best Practices
    • Compliance-Monitoring. Detektorenkarte für Security Health Analytics die Kontrollen der gemeinsamen Sicherheits-Benchmarks.
    • Benutzerdefiniertes Modul , mit dem Sie Ihre eigenen benutzerdefinierten Security Health Analytics-Detektoren

    Auf der Premium-Stufe unterstützt Security Health Analytics die unter Einhaltung von Branchenstandards verwalten beschriebenen Standards.

  • Web Security Scanner der Premium-Stufe umfasst alle Funktionen der Standard-Stufe und zusätzliche Detektoren, die Kategorien in den OWASP-Top Ten unterstützen. Web Security Scanner fügt auch verwalteten Scans, die automatisch konfiguriert werden.

  • Compliance für das Monitoring Ihrer Google Cloud-Assets.

    Um Ihre Compliance mit gängigen Sicherheits-Benchmarks zu messen und Standards, Detektoren für die Security Command Center-Sicherheitslücke den Scannern gängige Sicherheitsstandards zugewiesen sind.

    Sie können die Einhaltung der Standards prüfen, nicht konformen Kontrollen, Exportberichte und mehr. Weitere Informationen Siehe Bewerten und Einhaltung von Sicherheitsstandards.

  • Sie können zusätzliche Kontingente für Cloud Asset Inventory anfordern, wenn erweitertes Asset-Monitoring erforderlich ist.
  • Mit dem Dienst „Security Posture“ können Sie die Gesamtheit der Sicherheitsstatus in Google Cloud. Der Dienst zur Bewertung der Sicherheitslage ist nur in der Premium-Stufe von Security Command Center für Kunden verfügbar, die ein Festpreisabo erwerben und die Premium-Stufe von Security Command Center auf Organisationsebene aktivieren. Der Dienst „Security Posture“ unterstützt keine „Pay as you go“-Abrechnung oder Aktivierungen auf Projektebene.
  • Mit der IaC-Validierungsfunktion können Sie Ihre Infrastruktur als Code (IaC) anhand der Organisationsrichtlinien und Security Health Analytics-Detektoren die Sie in Ihrer Google Cloud-Organisation definiert haben. Diese Funktion ist nur in der Premium-Stufe von Security Command Center für Kunden verfügbar, die ein Festpreisabo erwerben und die Premium-Stufe von Security Command Center auf Organisationsebene aktivieren. Diese Funktion wird nicht unterstützt „Pay as you go“-Abrechnung oder Aktivierungen auf Projektebene.
  • VM Manager-Sicherheitslückenberichte
    • Wenn Sie VM Manager aktivieren, schreibt der Dienst automatisch Ergebnisse aus Berichte zu Sicherheitslücken, die sich in der Vorabversion befinden, an Security Command Center. Berichte Sicherheitslücken in den in Compute Engine installierten Betriebssystemen identifizieren . Weitere Informationen finden Sie unter VM Manager

Unternehmensstufe

Die Enterprise-Stufe ist eine vollständige cloudnative Plattform für den Anwendungsschutz (CNAPP), mit der SOC-Analysten, Sicherheitsanalysten und andere Cloud-Sicherheitsexperten die Sicherheit an mehreren Cloud-Dienstanbietern an einem zentralen Ort verwalten können.

Die Enterprise-Stufe bietet Erkennungs- und Prüffunktionen, Support für das Fallmanagement und Statusmanagement, einschließlich der Fähigkeit, zum Definieren und Bereitstellen und das Risiko, dass Schwachstellen und Fehlkonfigurationen auf Ihre Cloud-Umgebung auswirken.

Die Enterprise-Stufe umfasst alle Dienste der Standard- und Premium-Stufe sowie die folgenden zusätzlichen Dienste und Funktionen:

Zusammenfassung der Funktionen und Dienste der Enterprise-Stufe

Die Enterprise-Stufe umfasst alle Stufen der Standard- und Premium-Stufe Dienste und Funktionen, die allgemein verfügbar sind.

Die Enterprise-Stufe bietet die folgenden Dienste und Funktionen in Security Command Center:

  • Erkennung schädlicher Kombinationen mithilfe von Security Command Center Risk-Engine. Weitere Informationen finden Sie unter Überblick über schädliche Inhalte Kombinationen.
  • Unterstützung für Multi-Cloud. Sie können Security Command Center mit einer anderen Cloud verbinden wie AWS, um Bedrohungen, Sicherheitslücken und Fehlkonfigurationen. Nachdem Sie Ihre hochwertigen Ressourcen können Sie das Angriffsrisiko mit Angriffsrisikobewertungen und Angriffspfaden.
  • SIEM-Funktionen (Security Information and Event Management) für Cloud-Umgebungen. Logs und andere Daten auf Bedrohungen für mehrere Cloud-Umgebungen, definieren Sie Regeln für die Bedrohungserkennung und suchen Sie nach akkumulierten Daten. Weitere Informationen finden Sie unter Google SecOps SIEM Dokumentation.
  • SOAR-Funktionen (Sicherheitsorchestrierung, Automatisierung und Reaktion) für Cloud-Umgebungen. Anfragen verwalten, Reaktionsworkflows definieren und suchen die Antwortdaten. Weitere Informationen finden Sie in der Google SecOps-SOAR-Dokumentation.
  • CIEM-Funktionen (Cloud Infrastructure Entitlement Management) für Cloud-Umgebungen Falsch konfigurierte oder falsch konfigurierte Hauptkontokonten (Identitäten) identifizieren übermäßig vielen oder vertraulichen IAM-Berechtigungen (Zugriff) Ihre Cloud-Ressourcen. Weitere Informationen finden Sie unter Übersicht über Cloud Infrastructure Entitlement Management.
  • Erweiterte Erkennung von Sicherheitslücken in VMs und Containern mit den folgenden integrierten und integrierte Google Cloud-Dienste:
    • Google Kubernetes Engine (GKE) Enterprise Edition
    • Sicherheitslückenbewertung für AWS
    • VM Manager

Von Google Security Operations unterstützte Funktionen der Enterprise-Stufe

Die Funktion zur Fallverwaltung, Playbook-Funktionen sowie weitere SIEM- und SOAR-Tools Funktionen der Enterprise-Stufe von Security Command Center werden von Google Security Operations unterstützt. Wenn Sie einige dieser Funktionen verwenden, wird in der Weboberfläche möglicherweise der Name „Google SecOps“ angezeigt und Sie werden zur Google SecOps-Dokumentation weitergeleitet.

Bestimmte Google SecOps-Funktionen werden nicht unterstützt oder mit Security Command Center, aber ihre Nutzung wird möglicherweise nicht deaktiviert oder ist auf die Enterprise-Stufe beschränkt. Verwenden Sie Folgendes: Funktionen und Funktionalität nur gemäß den angegebenen Einschränkungen:

  • Die Aufnahme von Cloud-Logs ist auf Logs beschränkt, die für Cloud Threat Detection wie die folgenden:

    • Google Cloud

      • Cloud-Audit-Logs: Administratoraktivitäten
      • Datenzugriffslogs von Cloud-Audit-Logs
      • Compute Engine-Syslog
      • GKE-Audit-Log

    • Google Workspace

      • Google Workspace-Ereignisse
      • Google Workspace-Benachrichtigungen

    • AWS

      • CloudTrail-Audit-Logs
      • Syslog
      • Auth-Logs
      • GuardDuty-Veranstaltungen

  • Ausgewählte Erkennungen sind auf solche beschränkt, die Bedrohungen in Cloud-Umgebungen.

  • Google Cloud Marketplace-Integrationen sind auf Folgendes beschränkt:

    • Siemplify
    • Tools
    • VirusTotal V3
    • Google Cloud Asset Inventory
    • Google Security Command Center
    • Jira
    • Funktionen
    • Google Cloud IAM
    • E-Mail V2
    • Google Cloud Compute
    • Google Chronicle
    • Mitre Att&ck
    • Mandiant Threat Intelligence
    • Google Cloud Policy Intelligence
    • Google Cloud Recommender
    • Siemplify – Dienstprogramme
    • Service jetzt
    • CSV
    • SCC Enterprise
    • AWS IAM
    • AWS EC2

  • Die Anzahl benutzerdefinierter Regeln für einzelne Ereignisse ist auf 20 Regeln beschränkt.

  • Risikoanalysen für UEBA (User and entity Behavior Analytics) sind nicht verfügbar.

  • Angewandte Bedrohungsinformationen sind nicht verfügbar.

  • Gemini-Unterstützung für Google SecOps ist auf die Suche in natürlicher Sprache und auf Zusammenfassungen von Falluntersuchungen beschränkt.

  • Die Aufbewahrungsdauer für Daten ist auf drei Monate begrenzt.

Aktivierungsstufen von Security Command Center

Sie können Security Command Center für ein einzelnes Projekt aktivieren, wird als Aktivierung auf Projektebene bezeichnet. Für eine gesamte Organisation. Dies wird als Aktivierung auf Organisationsebene bezeichnet.

Für die Enterprise-Stufe ist eine Aktivierung auf Organisationsebene erforderlich.

Weitere Informationen zum Aktivieren von Security Command Center finden Sie unter Security Command Center aktivieren

Nächste Schritte