Ativar o nível Security Command Center Enterprise

O nível Enterprise do Security Command Center oferece melhorias de segurança, incluindo:

  • operações de segurança avançadas usando o Google Security Operations.
  • integrações com outros produtos do Google Cloud, como Mandiant Attack Surface Management, Proteção de dados sensíveis e Assured OSS.
  • suporte a várias nuvens.
  • análise de risco.

Para uma descrição dos recursos do nível Enterprise, consulte a Visão geral do Security Command Center.

Conclua o processo de ativação do nível Enterprise usando o guia de configuração no console do Google Cloud. Depois das tarefas obrigatórias iniciais, você pode concluir outras tarefas para configurar os recursos opcionais necessários para sua organização.

Para informações sobre preços e como fazer uma assinatura, consulte Preços do Security Command Center.

Para instruções sobre como ativar o Security Command Center em outro nível, consulte Ativar o nível padrão ou Premium do Security Command Center para uma organização.

Antes de começar

Conclua as seguintes etapas antes de ativar o Security Command Center pela primeira vez:

  1. Planejar a ativação
  2. Criar uma organização
  3. Criar o projeto de gerenciamento
  4. Configurar permissões e APIs
  5. Configurar contatos de notificação

Planejar a ativação

Esta seção descreve as decisões e as informações necessárias para se preparar para a ativação.

Determinar o contato de suporte

Ao ativar uma nova instância do Google SecOps, você informa o nome da sua empresa e um endereço de e-mail de um ponto de contato. Identifique um ponto de contato da sua organização. Essa configuração não está relacionada aos Contatos essenciais.

Escolher a configuração do Google SecOps

Durante a ativação, você conecta o Security Command Center Enterprise a uma instância do Google SecOps.

  • É possível se conectar a uma instância existente.

  • É possível provisionar e se conectar a uma nova instância. É possível provisionar e se conectar a uma nova instância, mesmo que você já tenha uma.

Conectar a uma instância

Não é possível conectar o Security Command Center Enterprise a uma instância independente do SIEM do Google SecOps ou independente do SOAR do Google SecOps. Se você tiver dúvidas sobre o tipo de instância do Google SecOps, entre em contato com seu representante de vendas do Google Cloud.

Quando você seleciona uma instância do Google SecOps, a página Conectar a uma instância do SecOps fornece um link para a instância para que você possa verificar sua seleção. Você precisa ter acesso a essa instância para fazer a verificação. Você precisa ter pelo menos o papel de Leitor de acesso a dados restritos da API Chronicle (roles/chronicle.restrictedDataAccessViewer) no projeto de gerenciamento para fazer login na instância.

Provisionar uma nova instância

Quando você provisiona uma nova instância, apenas ela é associada ao Security Command Center. Ao usar o Security Command Center, você navega entre o console do Google Cloud e o console de operações de segurança recém-provisionado.

Durante a ativação, você especifica o local em que a nova instância do Google SecOps será provisionada. Para conferir uma lista de regiões e multirregiões compatíveis, consulte a página de locais de serviços de SecOps. Esse local se aplica apenas ao Google SecOps, e não a outros recursos ou serviços do Security Command Center.

Cada instância do Google SecOps precisa ter um projeto de gerenciamento dedicado que você seja proprietário e gerencie. Esse projeto precisa estar na mesma organização em que você ativa o Security Command Center Enterprise. Não é possível usar o mesmo projeto de gerenciamento para várias instâncias do Google SecOps.

Quando você tem uma instância do Google SecOps e provisiona uma nova instância para o Security Command Center Enterprise, ambas usam a mesma configuração para a ingestão direta de dados do Google Cloud. As mesmas configurações controlam a ingestão para as duas instâncias do Google SecOps e recebem os mesmos dados.

Durante a ativação do Security Command Center Enterprise, o processo de ativação modifica as configurações de ingestão de registros do Google Cloud para ativar todos os campos de tipo de dados: Google Cloud Logging, metadados de recursos do Cloud e descobertas do Security Command Center Premium. As configurações do filtro de exportação não são alteradas. O Security Command Center Enterprise exige esses tipos de dados para que todos os recursos funcionem conforme o esperado. É possível mudar as configurações de transferência de registros do Google Cloud depois que a ativação for concluída.

Criar uma organização

O Security Command Center requer um recurso da organização associado a um domínio. Se você ainda não criou uma organização, consulte Como criar e gerenciar organizações.

Se você tiver várias organizações, identifique em quais delas vai ativar o Security Command Center Enterprise. Siga estas etapas de ativação para cada organização em que você planeja ativar o Security Command Center Enterprise.

Criar um projeto de gerenciamento

O Security Command Center Enterprise exige um projeto, chamado de projeto de gerenciamento, para ativar a integração do Google SecOps e do Mandiant Attack Surface Management. Recomendamos que você use esse projeto exclusivamente para o Security Command Center Enterprise.

Se você ativou o Google SecOps anteriormente e quer se conectar à instância atual, use o projeto de gerenciamento conectado ao Google SecOps.

Se você planeja provisionar uma nova instância do Google SecOps, crie um projeto de gerenciamento dedicado a ela. Não reutilize um projeto de gerenciamento conectado a outra instância do Google SecOps.

Saiba mais sobre como criar e gerenciar projetos.

Configurar permissões e APIs

Esta seção lista os papéis do Identity and Access Management necessários para configurar o Security Command Center Enterprise e descreve como conceder esses papéis à organização e ao projeto de gerenciamento. Também descreve como ativar todas as APIs necessárias pelo nível Security Command Center Enterprise. Saiba mais sobre os papéis do Security Command Center e as APIs do Google Cloud.

Configurar permissões na organização

Make sure that you have the following role or roles on the organization:

  • Organization Administrator (roles/resourcemanager.organizationAdmin)
  • Cloud Asset Owner (roles/cloudasset.owner)
  • Security Center Admin (roles/securitycenter.admin)
  • Security Admin (roles/iam.securityAdmin)
  • Chronicle Service Viewer (roles/chroniclesm.viewer)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Acessar o IAM
  2. Selecionar uma organização.
  3. Clique em CONCEDER ACESSO.

  4. No campo Novos principais, insira seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.

  5. Na lista Selecionar um papel, escolha um.
  6. Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
  7. Clique em Salvar.

    8. Para verificar o Google SecOps, você também:

    Configurar permissões e ativar APIs no projeto de gerenciamento

    1. No console do Google Cloud, verifique se você está visualizando a organização em que quer ativar o nível Security Command Center Enterprise.
    2. Selecione o projeto de gerenciamento que você criou anteriormente.

    3. Make sure that you have the following role or roles on the project:

      • Service Usage Admin (roles/serviceusage.serviceUsageAdmin)
      • Service Account Token Creator (roles/iam.serviceAccountTokenCreator)
      • Chronicle API Admin (roles/chronicle.admin)
      • Chronicle Service Admin (roles/chroniclesm.admin)
      • Chronicle SOAR Admin (roles/chronicle.soarAdmin)
      • Service Account Key Admin (roles/iam.serviceAccountKeyAdmin)
      • Service Account Admin (roles/iam.serviceAccountAdmin)

      Check for the roles

      1. In the Google Cloud console, go to the IAM page.

        Go to IAM
      2. Select the project.

      3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

      4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

      Grant the roles

      1. In the Google Cloud console, go to the IAM page.

        Acessar o IAM
      2. Selecionar um projeto.
      3. Clique em CONCEDER ACESSO.

      4. No campo Novos principais, insira seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.

      5. Na lista Selecionar um papel, escolha um.
      6. Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
      7. Clique em Salvar.

      8. Enable the Cloud Asset, Cloud Pub/Sub, Cloud Resource Manager, Compute Engine, Policy Analyzer, and Recommender APIs.

        Enable the APIs

      Configurar contatos de notificação

      Configure os contatos essenciais para que os administradores de segurança recebam notificações importantes. Para instruções, consulte Como gerenciar contatos para notificações.

      Ativar o nível Security Command Center Enterprise

      O processo de ativação configura automaticamente as contas de serviço, as permissões e os serviços incluídos no Security Command Center Enterprise. É possível se conectar a uma instância do Google SecOps Standard, Enterprise ou Enterprise Plus ou provisionar uma nova.

      1. No console do Google Cloud, acesse a página Visão geral de riscos do Security Command Center.

        Acesse Security Command Center

      2. Verifique se você está visualizando a organização em que quer ativar o nível do Security Command Center Enterprise.

      3. Na página Security Command Center, clique em Assinar o Security Command Center.

      4. Na página Comece a usar o Security Command Center Enterprise, confira as contas de serviço e as APIs que serão configuradas e clique em Ativar Enterprise.

        • Para conferir as contas de serviço que serão criadas, clique em Exibir contas de serviço e permissões.
        • Para conferir as APIs que serão ativadas, clique em Acessar APIs do Security Command Center Enterprise.
        • Para conferir os Termos e Condições, clique em Termos e Condições do Security Command Center Enterprise.

        Se a página Começar a usar o Security Command Center Enterprise não aparecer, entre em contato com a Equipe de vendas do Google Cloud para verificar se o direito de acesso à sua assinatura está ativo.

        A próxima página mostra uma visualização diferente, dependendo do seu ambiente.

      5. Escolha uma das opções a seguir para criar uma nova instância ou usar uma existente.

        • Selecione Sim, conectar-se a uma instância do Google Security Operations e escolha uma instância no menu. Siga a etapa 7 para iniciar a ativação.

          O menu mostra instâncias do Google SecOps associadas à organização em que você está ativando o Security Command Center Enterprise. Cada item inclui o ID do cliente do Google SecOps, a região em que ele está provisionado e o nome do projeto do Google Cloud com que ele está associado. Não é possível selecionar uma instância incompatível com o Security Command Center Enterprise.

          A página mostra um link para a instância do Google SecOps selecionada para que você possa fazer a verificação. Se você receber um erro ao abrir a instância, verifique se tem as permissões do IAM necessárias para acessar a instância.

        • Selecione Não, crie uma nova instância do Google Security Operations e continue com a Etapa 6 para criar uma nova instância do Google SecOps.

      6. Para criar uma nova instância do Google SecOps, forneça mais detalhes de configuração.

        1. Especifique os dados de contato da sua empresa.

          • Contato de suporte técnico: insira um endereço de e-mail individual ou de grupo.
          • Nome da empresa: insira o nome da sua empresa.

        2. Selecione o Tipo de local em que as operações de segurança do Google serão provisionadas.

          • Região: selecione uma única região.
          • Multirregional: selecione um local multirregional.

          Esse local é usado apenas para o Google SecOps, e não para outros recursos do Security Command Center. Para conferir uma lista de regiões e multirregiões compatíveis, consulte a página de locais de serviços do SecOps.

        3. Clique em Próxima e selecione o Projeto de gerenciamento dedicado. Você criou o projeto de gerenciamento dedicado em uma etapa anterior.

          Se você selecionar um projeto vinculado a uma instância do Google SecOps, vai receber um erro ao iniciar a ativação.

        4. Siga a etapa 7 para iniciar a ativação.

      7. Clique em Ativar. A página Guia de configuração e o status de provisionamento são exibidos. Pode levar algum tempo até que os recursos de operações de segurança estejam prontos e as descobertas disponíveis.

      Use o guia de configuração no console do Google Cloud para configurar outros recursos.

      Configurar outros recursos do Security Command Center

      O guia de configuração no console do Google Cloud consiste em seis etapas e outras recomendações de configuração. Você conclui as duas primeiras etapas ao ativar o Security Command Center. Você pode concluir as etapas e recomendações restantes ao longo do tempo, conforme exigido pela sua organização.

      1. No console do Google Cloud, acesse a página Visão geral de riscos do Security Command Center.

        Ir para Visão geral

      2. Acesse Configurações > Detalhes do nível.

      3. Verifique se você está visualizando a organização em que ativou o nível do Security Command Center Enterprise.

      4. Clique em Ver o guia de configuração.

      5. Se você estiver usando o Amazon Web Services (AWS) e quiser conectar o Security Command Center à AWS para avaliação de vulnerabilidades e riscos, clique em Etapa 3: configurar a integração da Amazon Web Services (AWS). Para instruções, consulte Conectar-se à AWS para detecção de vulnerabilidades e avaliação de risco.

      6. Para adicionar usuários e grupos para realizar operações de segurança, clique em Etapa 4: configurar usuários e grupos. Para instruções, consulte Controlar o acesso a recursos de SecOps usando o IAM.

      7. Para configurar a orquestração, automação e resposta de segurança (SOAR), clique em Etapa 5: configurar integrações. Dependendo da configuração da sua instância do Google Security Operations, seu caso de uso pode já estar instalado. Se não estiver instalado, entre em contato com seu representante de contas ou com a equipe de vendas do Google Cloud. Para integrar com sistemas de emissão de tíquetes, consulte Integrar o Security Command Center Enterprise a sistemas de emissão de tíquetes.

      8. Para configurar a ingestão de dados no gerenciamento de informações e eventos de segurança (SIEM), clique em Etapa 6: configurar a ingestão de registros. A configuração da ingestão de dados é necessária para ativar recursos como detecções selecionadas e gerenciamento de direitos de acesso à infraestrutura de nuvem. Para instruções, consulte Conectar-se à AWS para ingestão de registros.

      9. Para monitorar dados sensíveis na sua organização do Google Cloud, clique em Configurar a proteção de dados sensíveis. Para instruções, consulte Ativar a detecção de dados sensíveis.

      10. Para melhorar a segurança do código, clique em Configurar a segurança do código. Para instruções, consulte Integrar com o Assured OSS para segurança de código.

      A seguir