激活 Security Command Center Enterprise 层级

Security Command Center Enterprise 层级提供安全增强功能,例如高级 安全运维、与其他 Google Cloud 产品(例如 Sensitive Data Protection 和 Assured OSS,多云端 支持和风险分析。有关企业版层级功能的说明, 请参阅 Security Command Center 概览

您可以使用设置完成 Enterprise 层级的激活过程 指南。完成初始的强制性任务后,您可以完成其他任务,以设置贵组织所需的可选功能。

如需了解价格和订阅方式,请参阅 Security Command Center 价格

如需了解如何在其他层级激活 Security Command Center,请参阅激活 为单个容器配置 组织

准备工作

请先完成这些任务,然后再完成此页面上的其余任务。

创建组织

Security Command Center 需要与网域关联的组织资源。如果您尚未创建组织,请参阅 创建和管理组织

设置权限

本部分列出了设置 Security Command Center 所需的 Identity and Access Management 角色 并介绍了如何授予这些权限。

  1. Make sure that you have the following role or roles on the organization: Organization Admin, Cloud Asset Owner, Security Center Admin, Security Admin.

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the organization.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      前往 IAM
    2. 选择组织。
    3. 点击 授予访问权限

    4. 新的主账号字段中,输入您的用户标识符。 这通常是 Google 账号的电子邮件地址。

    5. 选择角色列表中,选择一个角色。
    6. 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
    7. 点击保存

    详细了解 Security Command Center 角色

    验证组织政策

    如果您的组织政策已设为按网域限制身份,请考虑以下事项:

    • 您必须使用在允许的网域中的账号登录 Google Cloud 控制台。
    • 您的服务账号必须位于允许的网域中,或属于某个 群组。此要求允许您允许使用 @*.gserviceaccount.com 服务账号,用于在网域内访问资源 已启用“受限共享”。

    如果您的组织政策已设为限制资源使用,请验证是否允许使用以下 API:

    • chronicle.googleapis.com
    • securitycenter.googleapis.com
    • securitycentermanagement.googleapis.com

    创建管理项目

    Security Command Center Enterprise 需要一个项目(称为管理项目),才能启用其安全运营和 Mandiant 集成。

    如果您 之前启用了 Google SecOps 您可以使用现有的管理项目。否则,请创建一个新账号。 验证项目的角色和 API。

    1. In the Google Cloud console, go to the project selector page.

      Go to project selector

    2. Select or create a Google Cloud project.

    3. Enable the Cloud Asset, Cloud Pub/Sub, Cloud Resource Manager, Compute Engine, Policy Analyzer, and Recommender APIs.

      Enable the APIs

    4. Make sure that you have the following role or roles on the project: Service Usage Admin, Service Account Token Creator, Chronicle API Admin, Chronicle Service Admin, Chronicle SOAR Admin, Service Account Key Admin, and Service Account Admin.

      Check for the roles

      1. In the Google Cloud console, go to the IAM page.

        Go to IAM
      2. Select the project.

      3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

      4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

      Grant the roles

      1. In the Google Cloud console, go to the IAM page.

        前往 IAM
      2. 选择项目。
      3. 点击 授予访问权限

      4. 新的主账号字段中,输入您的用户标识符。 这通常是 Google 账号的电子邮件地址。

      5. 选择角色列表中,选择一个角色。
      6. 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
      7. 点击保存

      连接到您现有的 Google Security Operations 环境

      在激活期间,您可以从列表中选择租户,连接到现有的 Google 安全运营标准版、企业版或企业 Plus 版环境。连接后,需要进行额外配置。请与您的客户支持团队联系,获取有关如何将 Google Security Operations 租户配置为与 Security Command Center 搭配使用的指南。

      配置通知联系人

      配置重要联系人,以便安全管理员 可以接收重要通知有关说明,请参阅管理联系人 通知

      首次激活 Security Command Center Enterprise 层级

      1. 在 Google Cloud 控制台中,转到 Security Command Center 风险概览页面。

        进入 Security Command Center

      2. 确认您正在查看的组织要为其启用 Security Command Center Enterprise 层级已启用。

      3. Security Command Center Enterprise 使用入门页面中,点击激活 Enterprise。此选项会自动为 Security Command Center 企业版层级中包含的所有服务(包括 Google 安全运营和 Mandiant)创建服务账号和角色。要查看这些选项,请点击 查看服务账号和权限

        如果您没有看到 Security Command Center Enterprise 使用入门 页面上,请与 Google Cloud 销售团队联系,验证您的 订阅内容使用权有效。

      4. 选择相应管理项目,然后点击下一步

      5. 点击启用 API,然后点击下一步

      6. 完成下列操作之一:

        • 如果您已启用 Google SecOps 实例,请选择是,关联到现有的 Chronicle 实例,然后粘贴您的访问代码。
        • 如果您没有 Google SecOps,请选择否,创建 新的 Chronicle 实例)。输入您的联系信息和公司信息,然后选择您要启用 Google SecOps 的区域。此区域仅用于 Google SecOps(而非其他 Security Command Center) 功能。

      7. 点击 Activate(激活)。您会返回到风险概览页面,系统会显示配置状态。您的安全运营功能可能需要一段时间才能准备就绪,并且您才能看到相关发现。

      您可以使用 Google Cloud 控制台中的设置指南来配置其他功能。

      配置其他 Security Command Center 功能

      Google Cloud 控制台中的设置指南包括六个步骤 配置建议。激活 Security Command Center 时,您会完成前两个步骤。您可以在 完成组织。

      1. 在 Google Cloud 控制台中,前往 Security Command Center 的风险概览页面。

        转到“概览”页面

      2. 依次转到 设置 > 层级详情

      3. 请确认您查看的是已激活 Security Command Center Enterprise 层级已启用。

      4. 点击查看设置指南

      5. 如果您还使用 Amazon Web Services (AWS),并希望 将 Security Command Center 发送到 AWS 以进行漏洞和风险评估,请点击第 3 步: 设置 Amazon Web Services (AWS) 集成。如需查看相关说明,请参阅连接到 AWS 以进行漏洞检测和风险评估

      6. 如需添加用户和群组以执行安全操作,请点击第 4 步:设置用户和群组。如需了解相关说明,请参阅使用 IAM 控制对 SecOps 功能的访问权限

      7. 如需配置安全编排、自动化和响应 (SOAR),请点击 第 5 步:配置集成。 您的使用场景取决于您的 Google Security Operations 实例的设置 可能已安装。如果未安装该插件,请与您的客户代表或 Google Cloud 销售团队联系。如需与工单系统集成,请参阅将 Security Command Center Enterprise 与工单系统集成

      8. 将数据注入配置到安全信息和事件 管理 (SIEM) 中,点击第 6 步:配置日志注入。正在配置 必须启用数据注入才能启用精选检测等功能 以及云基础架构使用权 管理。有关说明,请参阅 连接到 AWS 以获取日志 提取

      9. 如需监控 Google Cloud 组织中的敏感数据,请点击 设置敏感数据保护。敏感数据发现服务的费用与 Security Command Center 的费用分开计算,无论您使用的是哪个服务层级。如果您 不会购买订阅来探索发现,您需要根据自己的 消耗量(扫描的字节数)。如需了解详情,请参阅 Sensitive Data Protection 文档中的 Discovery 价格。有关说明,请参阅启用 敏感数据 发现

      10. 如需增强代码安全性,请点击设置代码安全性。对于 相关说明,请参阅 与 Assured OSS 集成,提高代码安全性

      后续步骤