Activa el nivel de Security Command Center Enterprise

El nivel Enterprise de Security Command Center proporciona mejoras de seguridad, incluidas las siguientes:

  • Operaciones de seguridad avanzadas con Google Security Operations
  • Integraciones con otros productos de Google Cloud , como Mandiant Attack Surface Management, Sensitive Data Protection y Assured OSS
  • Compatibilidad con múltiples nubes
  • Análisis de riesgos
  • Asistencia para el cumplimiento (vista previa).

Para obtener una descripción de las funciones del nivel Enterprise, consulta Niveles de servicio.

Puedes completar el proceso de activación del nivel Enterprise con la guía de configuración de la consola de Google Cloud . Después de completar las tareas obligatorias iniciales, sigue los pasos adicionales para configurar las funciones opcionales que requiere tu organización.

Para obtener información sobre los precios y cómo obtener una suscripción, consulta Precios de Security Command Center.

Si deseas obtener instrucciones para activar Security Command Center en otro nivel, consulta Activa el nivel Estándar o Premium de Security Command Center para una organización.

Antes de comenzar

Completa los siguientes pasos antes de activar Security Command Center por primera vez:

  1. Planifica la activación
  2. Crea una organización
  3. Crea el proyecto de administración
  4. Configura permisos y APIs
  5. Configura los contactos de notificación

Planifica la activación

En esta sección, se describen las decisiones y la información que debes preparar para la activación.

Decide si habilitar la compatibilidad con la residencia de datos

Cuando activas Security Command Center, puedes habilitar la compatibilidad con la residencia de datos, lo que te brinda más control sobre la ubicación de tus datos de Security Command Center. En el caso de Google SecOps, la residencia de datos siempre está habilitada.

En el caso del nivel de servicio Enterprise, antes de activar Security Command Center con los controles de residencia de datos, debes comunicarte con tu Google Cloud representante de cuenta y programar una fecha y hora para activar Security Command Center. Después de la activación, tu representante de cuenta te ayudará a garantizar que tu instancia de Google SecOps esté configurada para admitir por completo los controles de residencia de datos.

Después de que se habilite la compatibilidad con la residencia de datos en tu organización, no podrás inhabilitarla.

Si usas el nivel de servicio Estándar o Premium, actualizar al nivel Enterprise no cambia la ubicación de tus datos de Security Command Center. Si no habilitaste la residencia de los datos de Security Command Center para el nivel Estándar o Premium, no podrás habilitarla cuando actualices al nivel Enterprise.

Cómo determinar el contacto de asistencia

Cuando activas una nueva instancia de Google SecOps, proporcionas el nombre de tu empresa y la dirección de correo electrónico de un punto de contacto. Identifica un punto de contacto de tu organización. Esta configuración no está relacionada con los Contactos esenciales.

Elige la configuración de Google SecOps

Durante la activación, conectas Security Command Center Enterprise a una instancia de Google SecOps.

  • Puedes conectarte a una instancia existente.

  • Puedes aprovisionar una instancia nueva y conectarte a ella. Puedes aprovisionar una instancia nueva y conectarte a ella incluso si ya tienes una instancia existente.

Conéctate a una instancia existente

No puedes conectar Security Command Center Enterprise a una instancia existente de SIEM independiente de Google SecOps o de SOAR independiente de Google SecOps. Si tienes preguntas sobre el tipo de instancia de Google SecOps que tienes, comunícate con tu Google Cloud representante de ventas.

Cuando seleccionas una instancia existente de Google SecOps, la página Conéctate a una instancia de SecOps proporciona un vínculo a la instancia para que puedas verificar tu selección. Debes tener acceso a esa instancia para verificarla. Necesitas, al menos, el rol de Visualizador de acceso a los datos restringido de la API de Chronicle (roles/chronicle.restrictedDataAccessViewer) en el proyecto de administración para acceder a la instancia.

Si aprovisionas Security Command Center con una instancia existente de Google SecOps configurada para usar la federación de identidades de personal, debes actualizar los grupos de identidades de personal con permisos adicionales para acceder a las funciones de las páginas de la consola de Operaciones de seguridad que están disponibles con Security Command Center Enterprise. Para obtener más información, consulta las páginas de Controla el acceso a las funciones en las páginas de la consola de Operaciones de seguridad.

Aprovisiona una instancia nueva

Cuando aprovisionas una instancia nueva, solo esta se asocia con Security Command Center. Cuando usas Security Command Center, navegas entre las páginas de la consola deGoogle Cloud y la consola de Security Operations recién aprovisionada.

Durante la activación, debes especificar la ubicación en la que se aprovisionará la nueva instancia de Google SecOps. Para obtener una lista de las regiones y multirregiones admitidas, consulta la página de ubicaciones de los servicios de SecOps. Esta ubicación solo se aplica a Google SecOps y no a otras funciones o servicios de Security Command Center.

Cada instancia de Google SecOps debe tener un proyecto de administración exclusivo que te pertenezca y que administres. Este proyecto debe estar en la misma organización en la que activas Security Command Center Enterprise. No puedes usar el mismo proyecto de administración para varias instancias de Google SecOps.

Cuando tienes una instancia existente de Google SecOps y aprovisionas una nueva instancia para Security Command Center Enterprise, ambas instancias usan la misma configuración para la transferencia directa de datos de Google Cloud . Los mismos parámetros de configuración controlan la transferencia a ambas instancias de Google SecOps, y estas reciben los mismos datos.

Durante la activación de Security Command Center Enterprise, el proceso de activación modifica la configuración de transferencia de registros de Google Cloud para establecer todos los campos de tipo de datos como habilitados: Google Cloud Logging, Metadatos de Cloud Asset y Resultados de Security Command Center Premium. No se cambia la configuración del filtro de exportación. Security Command Center Enterprise requiere estos tipos de datos para que todas las funciones operen según lo previsto. Puedes cambiar la configuración de la transferencia de registros de Google Cloud después de que se complete la activación.

Crea una organización

Security Command Center requiere un recurso de organización asociado a un dominio. Si no creaste una organización, consulta Crea y administra organizaciones.

Si tienes varias organizaciones, identifica en cuáles activarás Security Command Center Enterprise. Debes seguir estos pasos de activación para cada organización en la que planees activar Security Command Center Enterprise.

Verifica las políticas de la organización

Si las políticas de tu organización están configuradas para restringir el uso de recursos, verifica que se permitan las siguientes APIs:

  • chronicle.googleapis.com
  • cloudsecuritycompliance.googleapis.com
  • securitycenter.googleapis.com
  • securitycentermanagement.googleapis.com

Crea un proyecto de administración

Security Command Center Enterprise requiere un proyecto, llamado proyecto de administración, para habilitar la integración de Google SecOps y la administración de superficies de ataque de Mandiant. Te recomendamos que uses este proyecto exclusivamente para Security Command Center Enterprise.

Si habilitaste Google SecOps anteriormente y quieres conectarte a la instancia existente, usa el proyecto de administración existente que está conectado a Google SecOps.

Si planeas aprovisionar una nueva instancia de Google SecOps, crea un nuevo proyecto de administración dedicado a la nueva instancia. No reutilices un proyecto de administración que esté conectado a otra instancia de Google SecOps.

Google SecOps no admite el uso de un proyecto de administración que exista dentro de un perímetro de servicio de Controles del servicio de VPC.

Obtén más información sobre cómo crear y administrar proyectos.

Configura permisos y APIs

Usa la información de esta sección para configurar los permisos necesarios para activar Security Command Center Enterprise:

Obtén más información sobre las funciones de Security Command Center y las Google Cloud APIs.

Configura los permisos en la organización

Make sure that you have the following role or roles on the organization:

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Ir a IAM
  2. Selecciona la organización.
  3. Haz clic en Otorgar acceso.

  4. En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.

  5. En la lista Seleccionar un rol, elige uno.
  6. Para otorgar roles adicionales, haz clic en Agregar otro rol y agrega uno más.
  7. Haz clic en Guardar.

    8. Configura los permisos y habilita las APIs en el proyecto de administración

    1. En la consola de Google Cloud , verifica que estás viendo la organización en la que deseas activar el nivel de Security Command Center Enterprise.
    2. Selecciona el proyecto de administración que creaste anteriormente.

    3. Make sure that you have the following role or roles on the project:

      Check for the roles

      1. In the Google Cloud console, go to the IAM page.

        Go to IAM
      2. Select the project.

      3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

      4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

      Grant the roles

      1. In the Google Cloud console, go to the IAM page.

        Ir a IAM
      2. Selecciona el proyecto.
      3. Haz clic en Otorgar acceso.

      4. En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.

      5. En la lista Seleccionar un rol, elige uno.
      6. Para otorgar roles adicionales, haz clic en Agregar otro rol y agrega uno más.
      7. Haz clic en Guardar.

    4. Enable the Cloud Asset, Cloud Pub/Sub, Cloud Resource Manager, Compute Engine, Policy Analyzer, and Recommender APIs.

      Roles required to enable APIs

      To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

      Enable the APIs

      5. Crea una cuenta de servicio cuando uses una instancia existente de Google SecOps

      Si planeas conectarte a una instancia existente de Google SecOps, crea una cuenta de servicio administrada por el usuario y otórgale los siguientes roles:

      Configura los contactos de notificación

      Configura tus Contactos esenciales para que tus administradores de seguridad puedan recibir notificaciones importantes. Para obtener instrucciones, consulta Administra contactos para las notificaciones.

      Activa el nivel de Security Command Center Enterprise

      El proceso de activación configura automáticamente las cuentas de servicio, los permisos y los servicios incluidos en Security Command Center Enterprise. Puedes conectarte a una instancia existente de Google SecOps Standard, Enterprise o Enterprise Plus, o bien aprovisionar una nueva.

      1. En la consola de Google Cloud , ve a la página Descripción general del riesgo de Security Command Center.

        Ir a Security Command Center

      2. Verifica que estás viendo la organización en la que deseas activar el nivel de Security Command Center Enterprise.

      3. En la página Security Command Center, haz clic en Obtener Security Command Center.

      4. En la página Comienza a usar Security Command Center Enterprise, revisa las cuentas de servicio y las APIs que se configurarán y, luego, haz clic en Siguiente.

        • Para ver las cuentas de servicio que se crearán, haz clic en Ver cuentas de servicio y permisos.
        • Para ver las APIs que se habilitarán, haz clic en Ver APIs de Security Command Center Enterprise.
        • Para ver los términos y condiciones, haz clic en Términos y Condiciones de Security Command Center Enterprise.

        Si no ves la página Comienza a usar Security Command Center Enterprise, comunícate con el equipo de Google Cloud ventas para verificar que tu derecho de suscripción esté activo.

        En la siguiente página, se muestra una vista diferente según tu entorno.

      5. Si la organización está vinculada a una instancia de Google SecOps, elige una de las siguientes opciones. Si no está vinculada a una instancia de Google SecOps, continúa con el paso 6 para crear una nueva instancia de Google SecOps.

        • Selecciona Sí, conectarme a una instancia existente de Google Security Operations y, luego, elige una instancia en el menú. Continúa con el paso 7 para iniciar la activación.

          En el menú, se muestran las instancias de Google SecOps asociadas a la organización en la que activas Security Command Center Enterprise. Cada elemento incluye el ID de cliente de Google SecOps, la región en la que se aprovisiona y el nombre del proyecto Google Cloud con el que está asociado. No puedes seleccionar una instancia que sea incompatible con Security Command Center Enterprise.

          La página proporciona un vínculo a la instancia de Google SecOps seleccionada para que puedas verificarla. Si recibes un error cuando abres la instancia, verifica que tengas los permisos de IAM necesarios para acceder a ella.

        • Selecciona No, create a new Google Security Operations instance y, luego, continúa con el paso 6 para crear una instancia nueva de Google SecOps.

      6. Para crear una instancia nueva de Google SecOps, proporciona detalles de configuración adicionales.

        1. Especifica la información de contacto de tu empresa.

          • Contacto de asistencia técnica: Ingresa una dirección de correo electrónico individual o de grupo.
          • Nombre de la empresa: Ingresa el nombre de tu empresa.

        2. Selecciona el Tipo de ubicación en el que se aprovisionará Google Security Operations.

          • Región: Selecciona una sola región.
          • Multirregión: Selecciona una ubicación multirregional.

          Esta ubicación solo se usa para Google SecOps y no para otras funciones de Security Command Center. Para obtener una lista de las regiones y multirregiones admitidas, consulta la página de ubicaciones de los servicios de SecOps.

        3. Haz clic en Siguiente y, luego, selecciona el proyecto de administración dedicado. Creaste el proyecto de administración dedicado en un paso anterior.

          Si seleccionas un proyecto vinculado a una instancia existente de Google SecOps, recibirás un error cuando inicies la activación.

        4. Continúa con el paso 7 para iniciar la activación.

      7. Haz clic en Activar. Aparecerá la página Resumen de riesgos.

        Algunos servicios se habilitan automáticamente, como Security Health Analytics, Event Threat Detection y Virtual Machine Threat Detection. Es posible que las funciones de operaciones de seguridad tarden un tiempo en estar listas y que los hallazgos estén disponibles.

      8. Continúa con Supervisa el progreso de la activación y configura los servicios.

      Supervisa el progreso de la activación y configura los servicios

      En la guía de configuración, se muestra el estado del aprovisionamiento y se pueden ver los servicios habilitados. Puedes configurar servicios adicionales y conexiones a otros proveedores de servicios en la nube.

      1. En la consola de Google Cloud , ve a la Guía de configuración de Security Command Center.

        Ir a la Guía de configuración

      2. Selecciona la organización en la que activaste Security Command Center Enterprise.

      3. Expande el panel Consulta el resumen de las funciones de seguridad. En cada panel, se muestra el estado de habilitación de los servicios relacionados.

      4. Para conectarte a Amazon Web Services (AWS) o Microsoft Azure, haz clic en Agregar Agregar un conector. Se abrirá la pestaña Conectores en la página Configuración.

        Para obtener instrucciones adicionales, consulta lo siguiente:

      5. Haz clic en Configurar en cualquier panel para configurar servicios y capacidades adicionales. Usa los vínculos de la siguiente tabla para obtener más información sobre cada capacidad.

        Nombre del panel de capacidades Más información sobre estas capacidades
        Protección de la IA
        Seguridad del código
        Detección de amenazas de Cloud
        Seguridad de identidad y acceso
        Seguridad de los datos
        Cumplimiento
        Postura y cumplimiento
        Plataforma de respuesta
        Evaluación de vulnerabilidades

      Configura permisos para el uso continuo de Security Command Center Enterprise

      Para cambiar la configuración de tu organización, necesitas los siguientes dos roles a nivel de la organización:

      Si un usuario no requiere permisos de edición, considera otorgarle roles de visualizador.

      Para ver todos los recursos, resultados y rutas de ataque en Security Command Center, los usuarios necesitan el rol de Visualizador administrador del Centro de seguridad (roles/securitycenter.adminViewer) a nivel de la organización.

      Para ver la configuración, los usuarios necesitan el rol Administrador del Centro de seguridad (roles/securitycenter.admin) a nivel de la organización.

      Para restringir el acceso a las carpetas y los proyectos individuales, no otorgues todas las funciones a nivel de la organización. En su lugar, otorga los siguientes roles a nivel de carpeta o proyecto:

      Cada servicio de detección puede requerir permisos adicionales para habilitarlo o configurarlo. Para obtener más información, consulta la documentación específica de cada servicio.

      Para usar las funciones de la consola de Security Operations que son compatibles con Security Command Center Enterprise, consulta Cómo controlar el acceso a las funciones en las páginas de la consola de Security Operations.

      ¿Qué sigue?