Activar el nivel Enterprise de Security Command Center

Enterprise

El nivel Enterprise de Security Command Center ofrece mejoras de seguridad, como las siguientes:

  • Operaciones de seguridad avanzadas con Google Security Operations
  • Integraciones con otros productos de Google Cloud , como Mandiant Attack Surface Management, Sensitive Data Protection y Assured OSS
  • Compatibilidad con multinube
  • Análisis de riesgos
  • Asistencia para el cumplimiento (vista previa).

Para ver una descripción de las funciones del nivel Enterprise, consulta Niveles de servicio.

Puedes completar el proceso de activación del nivel Enterprise con la guía de configuración de la Google Cloud consola. Después de completar las tareas obligatorias iniciales, siga los pasos adicionales para configurar las funciones opcionales que necesite su organización.

Para obtener información sobre los precios y cómo conseguir una suscripción, consulta Precios de Security Command Center.

Para obtener instrucciones sobre cómo activar Security Command Center en otro nivel, consulta el artículo Activar el nivel Standard o Premium de Security Command Center en una organización.

Antes de empezar

Antes de activar Security Command Center por primera vez, haz lo siguiente:

  1. Plan de activación
  2. Creación de una organización
  3. Crear el proyecto de gestión
  4. Configurar permisos y APIs
  5. Configurar contactos de notificación

Plan de activación

En esta sección se describen las decisiones y la información que debe preparar para la activación.

Decidir si se habilita la residencia de datos

Cuando activas Security Command Center, puedes habilitar la compatibilidad con la residencia de datos, lo que te da más control sobre la ubicación de tus datos de Security Command Center. En Google SecOps, la residencia de datos siempre está habilitada.

En el nivel de servicio Enterprise, antes de activar Security Command Center con controles de residencia de datos, debes ponerte en contacto con tu Google Cloud representante de cuenta y concertar una fecha y una hora para activar Security Command Center. Después de la activación, tu representante de cuenta te ayudará a asegurarte de que tu instancia de Google SecOps esté configurada para admitir por completo los controles de residencia de datos.

Una vez que se haya habilitado la residencia de datos en tu organización, no podrás inhabilitarla.

Si usas el nivel de servicio Standard o Premium, al cambiar al nivel Enterprise no se modificará la ubicación de tus datos de Security Command Center. Si no has habilitado la residencia de datos de Security Command Center en el nivel Standard o Premium, no podrás habilitarla al cambiar al nivel Enterprise.

Determinar el contacto de asistencia

Cuando activas una nueva instancia de Google SecOps, proporcionas el nombre de tu empresa y la dirección de correo de un contacto. Identifica un punto de contacto de tu organización. Esta configuración no está relacionada con Contactos esenciales.

Elige la configuración de Google SecOps

Durante la activación, conectas Security Command Center Enterprise a una instancia de Google SecOps.

  • Puedes conectarte a una instancia que ya tengas.

  • Puedes aprovisionar una nueva instancia y conectarte a ella. Puedes aprovisionar una instancia nueva y conectarte a ella aunque ya tengas una.

Conectarse a una instancia

No puedes conectar Security Command Center Enterprise a una instancia independiente de SIEM de Google SecOps ni a una instancia independiente de SOAR de Google SecOps. Si tienes alguna pregunta sobre el tipo de instancia de Google SecOps que tienes, ponte en contacto con tu Google Cloud representante de ventas.

Cuando seleccionas una instancia de Google SecOps, la página Conectar con una instancia de SecOps proporciona un enlace a la instancia para que puedas verificar tu selección. Debes tener acceso a esa instancia para verificarla. Debes tener al menos el rol Chronicle API Restricted Data Access Viewer (roles/chronicle.restrictedDataAccessViewer) en el proyecto de gestión para iniciar sesión en la instancia.

Si aprovisionas Security Command Center con una instancia de Google SecOps que ya esté configurada para usar Federación de Identidades de la Fuerza de Trabajo, debes actualizar los grupos de identidades de la fuerza de trabajo con permisos adicionales para acceder a las funciones de las páginas de la consola de Security Operations que están disponibles en Security Command Center Enterprise. Para obtener más información, consulta las páginas Controlar el acceso a las funciones de las páginas de la consola de Security Operations.

Aprovisionar una nueva instancia

Cuando aprovisionas una instancia nueva, solo esta se asocia a Security Command Center. Cuando usas Security Command Center, te desplazas entre las páginas de la Google Cloud consola y la consola de Security Operations recién aprovisionada.

Durante la activación, especifica la ubicación en la que se va a aprovisionar la nueva instancia de Google SecOps. Para ver una lista de las regiones y multirregiones admitidas, consulta la página de ubicaciones de los servicios de operaciones de seguridad. Esta ubicación solo se aplica a Google SecOps y no a otras funciones o servicios de Security Command Center.

Cada instancia de Google SecOps debe tener un proyecto de gestión dedicado que sea de tu propiedad y que tú gestiones. Este proyecto debe pertenecer a la misma organización en la que activas Security Command Center Enterprise. No puedes usar el mismo proyecto de gestión para varias instancias de Google SecOps.

Si ya tienes una instancia de Google SecOps y aprovisionas una nueva para Security Command Center Enterprise, ambas instancias usarán la misma configuración para la ingestión directa de Google Cloud datos. Los mismos ajustes de configuración controlan la ingestión en ambas instancias de Google SecOps y reciben los mismos datos.

Durante la activación de Security Command Center Enterprise, el proceso de activación modifica los ajustes de ingesta de registros de Google Cloud para habilitar todos los campos de tipo de datos: Cloud Logging, Metadatos de recursos de Cloud y resultados de Security Command Center Premium. Los ajustes del filtro de exportación no se han cambiado. Security Command Center Enterprise requiere estos tipos de datos para que todas las funciones funcionen según lo previsto. Puedes cambiar los ajustes de ingesta de registros de Google Cloud una vez que se haya completado la activación.

Creación de una organización

Security Command Center requiere un recurso de organización asociado a un dominio. Si no has creado ninguna organización, consulta el artículo Crear y gestionar organizaciones.

Si tienes varias organizaciones, identifica en cuáles vas a activar Security Command Center Enterprise. Debes seguir estos pasos de activación en cada organización en la que quieras activar Security Command Center Enterprise.

Verificar las políticas de la organización

Si las políticas de tu organización están configuradas para restringir el uso de recursos, comprueba que se permitan las siguientes APIs:

  • chronicle.googleapis.com
  • cloudsecuritycompliance.googleapis.com
  • securitycenter.googleapis.com
  • securitycentermanagement.googleapis.com

Crear un proyecto de gestión

Security Command Center Enterprise requiere un proyecto, denominado proyecto de gestión, para habilitar la integración de Google SecOps y Mandiant Attack Surface Management. Te recomendamos que utilices este proyecto exclusivamente para Security Command Center Enterprise.

Si habilitaste Google SecOps anteriormente y quieres conectarte a la instancia, usa el proyecto de gestión que ya esté conectado a Google SecOps.

Si tiene previsto aprovisionar una nueva instancia de Google SecOps, cree un proyecto de gestión dedicado a la nueva instancia. No reutilices un proyecto de gestión que esté conectado a otra instancia de Google SecOps.

Google SecOps no admite el uso de un proyecto de gestión que se encuentre dentro de un perímetro de servicio de Controles de Servicio de VPC.

Consulta más información sobre cómo crear y gestionar proyectos.

Configurar permisos y APIs

Usa la información de esta sección para configurar los permisos necesarios para activar Security Command Center Enterprise:

Consulta más información sobre los roles de Security Command Center y las Google Cloud APIs.

Configurar permisos en la organización

Make sure that you have the following role or roles on the organization:

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Ir a IAM
  2. Selecciona la organización.
  3. Haz clic en Conceder acceso.

  4. En el campo Nuevos principales, introduce tu identificador de usuario. Normalmente, se trata de la dirección de correo de una cuenta de Google.

  5. En la lista Selecciona un rol, elige un rol.
  6. Para conceder más roles, haz clic en Añadir otro rol y añade cada rol adicional.
  7. Haz clic en Guardar.

    8. Configurar permisos y habilitar APIs en el proyecto de gestión

    1. En la consola de Google Cloud , compruebe que está viendo la organización en la que quiere activar el nivel Enterprise de Security Command Center.
    2. Seleccione el proyecto de gestión que creó anteriormente.

    3. Make sure that you have the following role or roles on the project:

      Check for the roles

      1. In the Google Cloud console, go to the IAM page.

        Go to IAM
      2. Select the project.

      3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

      4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

      Grant the roles

      1. In the Google Cloud console, go to the IAM page.

        Ir a IAM
      2. Selecciona el proyecto.
      3. Haz clic en Conceder acceso.

      4. En el campo Nuevos principales, introduce tu identificador de usuario. Normalmente, se trata de la dirección de correo de una cuenta de Google.

      5. En la lista Selecciona un rol, elige un rol.
      6. Para conceder más roles, haz clic en Añadir otro rol y añade cada rol adicional.
      7. Haz clic en Guardar.

    4. Enable the Cloud Asset, Cloud Pub/Sub, Cloud Resource Manager, Compute Engine, Policy Analyzer, and Recommender APIs.

      Roles required to enable APIs

      To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

      Enable the APIs

      5. Crear una cuenta de servicio al usar una instancia de Google SecOps

      Si tienes previsto conectarte a una instancia de Google SecOps, crea una cuenta de servicio gestionada por el usuario y asigna a la cuenta de servicio los siguientes roles:

      Configurar contactos de notificación

      Configura tus contactos esenciales para que tus administradores de seguridad puedan recibir notificaciones importantes. Para ver las instrucciones, consulta Gestionar contactos de notificaciones.

      Activar el nivel Enterprise de Security Command Center

      El proceso de activación configura automáticamente las cuentas de servicio, los permisos y los servicios incluidos en Security Command Center Enterprise. Puedes conectarte a una instancia de Google SecOps Standard, Enterprise o Enterprise Plus que ya tengas, o bien aprovisionar una nueva.

      1. En la Google Cloud consola, ve a la página Resumen de riesgos de Security Command Center.

        Ir a Security Command Center

      2. Comprueba que estás viendo la organización en la que quieres activar el nivel Enterprise de Security Command Center.

      3. En la página Security Command Center, haz clic en Obtener Security Command Center.

      4. En la página Introducción a Security Command Center Enterprise, revisa las cuentas de servicio y las APIs que se configurarán y, a continuación, haz clic en Siguiente.

        • Para ver las cuentas de servicio que se crearán, haz clic en Ver cuentas de servicio y permisos.
        • Para ver las APIs que se habilitarán, haz clic en Ver APIs Enterprise de Security Command Center.
        • Para ver los términos y condiciones, haz clic en Términos y condiciones de Security Command Center Enterprise.

        Si no ves la página Introducción a Security Command Center Enterprise, ponte en contacto con el equipo de Google Cloud ventas para verificar que tu suscripción está activa.

        En la página siguiente se muestra una vista diferente en función de tu entorno.

      5. Si la organización está vinculada a una instancia de Google SecOps, elija una de las siguientes opciones. Si no está vinculada a ninguna instancia de Google SecOps, continúa con el paso 6 para crear una.

        • Selecciona Sí, conéctame a una instancia de Google Security Operations y, a continuación, elige una instancia en el menú. Continúa con el paso 7 para iniciar la activación.

          En el menú se muestran las instancias de Google SecOps asociadas a la organización en la que estás activando Security Command Center Enterprise. Cada elemento incluye el ID de cliente de Google SecOps, la región en la que se aprovisiona y el nombre del proyecto Google Cloud al que está asociado. No puedes seleccionar una instancia que no sea compatible con Security Command Center Enterprise.

          La página proporciona un enlace a la instancia de Google SecOps seleccionada para que puedas verificarla. Si aparece un error al abrir la instancia, comprueba que tienes los permisos de gestión de identidades y accesos necesarios para acceder a ella.

        • Seleccione No, create a new Google Security Operations instance (No, crear una instancia de Google Security Operations) y, a continuación, continúe con el paso 6 para crear una instancia de Google SecOps.

      6. Para crear una instancia de Google SecOps, proporciona más detalles de configuración.

        1. Especifica la información de contacto de tu empresa.

          • Contacto de asistencia técnica: introduce una dirección de correo de un usuario o de un grupo.
          • Nombre de la empresa: introduce el nombre de tu empresa.

        2. Seleccione el tipo de ubicación en el que se aprovisionará Google Security Operations.

          • Región: selecciona una región.
          • Multirregión: selecciona una ubicación multirregional.

          Esta ubicación solo se usa para Google SecOps, no para otras funciones de Security Command Center. Para ver una lista de las regiones y multirregiones admitidas, consulta la página de ubicaciones de los servicios de SecOps.

        3. Haz clic en Siguiente y, a continuación, selecciona el proyecto de gestión correspondiente. En un paso anterior, creaste el proyecto de gestión específico.

          Si seleccionas un proyecto vinculado a una instancia de Google SecOps, se producirá un error al iniciar la activación.

        4. Continúa con el paso 7 para iniciar la activación.

      7. Haz clic en Activate (Activar). Aparecerá la página Resumen de riesgos.

        Algunos servicios se habilitan automáticamente, como Security Health Analytics, Event Threat Detection y Virtual Machine Threat Detection. Las funciones de operaciones de seguridad pueden tardar un tiempo en estar listas y en mostrar los resultados.

      8. Continúa con la sección Monitorizar el progreso de la activación y configurar los servicios.

      Monitorizar el progreso de la activación y configurar los servicios

      La guía de configuración muestra el estado del aprovisionamiento y te permite ver los servicios que están habilitados. Puedes configurar servicios adicionales y conexiones con otros proveedores de servicios en la nube.

      1. En la Google Cloud consola, ve a la guía de configuración de Security Command Center.

        Ir a la guía de configuración

      2. Selecciona la organización en la que has activado Security Command Center Enterprise.

      3. Abre el panel Resumen de las funciones de seguridad. En cada panel se muestra el estado de habilitación de los servicios relacionados.

      4. Para conectarte a Amazon Web Services (AWS) o Microsoft Azure, haz clic en Añadir Añadir un conector. Se abrirá la pestaña Conectores de la página Configuración.

        Para obtener más instrucciones, consulta lo siguiente:

      5. Haz clic en Configurar en cualquier panel para configurar servicios y funciones adicionales. Use los enlaces de la siguiente tabla para obtener más información sobre cada función.

        Nombre del panel de funciones Más información sobre estas funciones
        Protección de la IA
        Seguridad del código
        Detección de amenazas en la nube
        Seguridad de identidades y accesos
        Seguridad de los datos
        Cumplimiento
        Postura y cumplimiento
        Plataforma de respuesta
        Evaluación de vulnerabilidades

      Configurar permisos para usar Security Command Center Enterprise de forma continua

      Para cambiar la configuración de tu organización, necesitas los dos roles siguientes a nivel de organización:

      Si un usuario no necesita permisos de edición, puede asignarle roles de lector.

      Para ver todos los recursos, las detecciones y las rutas de ataque en Security Command Center, los usuarios deben tener el rol Lector administrador de Security Center (roles/securitycenter.adminViewer) a nivel de organización.

      Para ver la configuración, los usuarios deben tener el rol Administrador del centro de seguridad (roles/securitycenter.admin) a nivel de organización.

      Para restringir el acceso a carpetas y proyectos concretos, no concedas todos los roles a nivel de organización. En su lugar, asigna los siguientes roles a nivel de carpeta o proyecto:

      Cada servicio de detección puede requerir permisos adicionales para habilitarse o configurarse. Para obtener más información, consulta la documentación específica de cada servicio.

      Para usar las funciones de la consola de Security Operations que se admiten con Security Command Center Enterprise, consulta Controlar el acceso a las funciones de las páginas de la consola de Security Operations.

      Siguientes pasos