Activer le niveau Security Command Center Enterprise

Le niveau Enterprise de Security Command Center offre des améliorations de sécurité, y compris les suivantes :

  • Opérations de sécurité avancées avec Google Security Operations
  • Intégrations avec d'autres produits Google Cloud , tels que Mandiant Attack Surface Management, Sensitive Data Protection et Assured OSS
  • Compatibilité avec le multicloud
  • Analyse des risques
  • Assistance pour la conformité (bêta)

Pour obtenir une description des fonctionnalités du niveau Enterprise, consultez Niveaux de service.

Vous pouvez terminer le processus d'activation du niveau Enterprise à l'aide du guide de configuration dans la console Google Cloud . Après avoir effectué les tâches obligatoires initiales, suivez d'autres étapes pour configurer les fonctionnalités facultatives dont votre organisation a besoin.

Pour en savoir plus sur les tarifs et sur la façon de souscrire un abonnement, consultez Tarifs de Security Command Center.

Pour savoir comment activer Security Command Center à un autre niveau, consultez Activer le niveau Standard ou Premium de Security Command Center pour une organisation.

Avant de commencer

Avant d'activer Security Command Center pour la première fois, procédez comme suit :

  1. Planifier l'activation
  2. Créer une organisation
  3. Créer le projet de gestion
  4. Configurer les autorisations et les API
  5. Configurer les contacts pour les notifications

Planifier l'activation

Cette section décrit les décisions et les informations dont vous avez besoin pour préparer l'activation.

Décider d'activer ou non la compatibilité avec la résidence des données

Lorsque vous activez Security Command Center, vous pouvez activer la résidence des données, ce qui vous permet de mieux contrôler l'emplacement de vos données Security Command Center. Pour Google SecOps, la résidence des données est toujours activée.

Pour le niveau de service Enterprise, avant d'activer Security Command Center avec les contrôles de résidence des données, vous devez contacter votre responsable de compte Google Cloud et planifier une date et une heure pour l'activation. Après l'activation, votre représentant de compte vous aidera à vous assurer que votre instance Google SecOps est configurée de façon à prendre entièrement en charge les contrôles de résidence des données.

Une fois la résidence des données activée dans votre organisation, vous ne pouvez plus la désactiver.

Si vous utilisez le niveau de service Standard ou Premium, la mise à niveau vers le niveau Enterprise ne modifie pas l'emplacement de vos données Security Command Center. Si vous n'avez pas activé la résidence des données Security Command Center pour le niveau Standard ou Premium, vous ne pourrez pas l'activer lorsque vous passerez au niveau Enterprise.

Identifier le contact de l'assistance

Lorsque vous activez une nouvelle instance Google SecOps, vous devez fournir le nom de votre entreprise et l'adresse e-mail d'un contact. Identifiez un contact dans votre organisation. Cette configuration n'est pas liée aux contacts essentiels.

Choisir la configuration Google SecOps

Lors de l'activation, vous connectez Security Command Center Enterprise à une instance Google SecOps.

  • Vous pouvez vous connecter à une instance existante.

  • Vous pouvez provisionner une nouvelle instance et vous y connecter. Vous pouvez provisionner une nouvelle instance et vous y connecter même si vous en avez déjà une.

Se connecter à une instance existante

Vous ne pouvez pas connecter Security Command Center Enterprise à une instance Google SecOps SIEM autonome ou Google SecOps SOAR autonome existante. Si vous avez des questions sur le type d'instance Google SecOps dont vous disposez, contactez votre Google Cloud représentant commercial.

Lorsque vous sélectionnez une instance Google SecOps existante, la page Se connecter à une instance SecOps fournit un lien vers l'instance pour que vous puissiez vérifier votre sélection. Vous devez avoir accès à cette instance pour la valider. Pour vous connecter à l'instance, vous devez disposer au moins du rôle Lecteur de l'API Chronicle avec accès limité aux données (roles/chronicle.restrictedDataAccessViewer) dans le projet de gestion.

Si vous provisionnez Security Command Center à l'aide d'une instance Google SecOps existante configurée pour utiliser la fédération des identités des employés, vous devez mettre à jour les pools d'identités des employés avec des autorisations supplémentaires pour accéder aux fonctionnalités des pages de la console Security Operations disponibles avec Security Command Center Enterprise. Pour en savoir plus, consultez les pages Contrôler l'accès aux fonctionnalités des pages de la console Security Operations.

Provisionner une nouvelle instance

Lorsque vous provisionnez une instance, seule la nouvelle instance est associée à Security Command Center. Lorsque vous utilisez Security Command Center, vous naviguez entre les pages de la consoleGoogle Cloud et de la nouvelle console Security Operations.

Lors de l'activation, vous spécifiez l'emplacement où la nouvelle instance Google SecOps doit être provisionnée. Pour obtenir la liste des régions et emplacements multirégionaux compatibles, consultez la page Localisation des services SecOps. Cet emplacement ne s'applique qu'à Google SecOps, et non aux autres fonctionnalités ou services Security Command Center.

Chaque instance Google SecOps doit disposer d'un projet de gestion dédié que vous possédez et gérez. Ce projet doit appartenir à la même organisation que celle dans laquelle vous activez Security Command Center Enterprise. Vous ne pouvez pas utiliser le même projet de gestion pour plusieurs instances Google SecOps.

Lorsque vous disposez d'une instance Google SecOps existante et que vous provisionnez une nouvelle instance pour Security Command Center Enterprise, les deux instances utilisent la même configuration pour l'ingestion directe des données Google Cloud . Les mêmes paramètres de configuration contrôlent l'ingestion dans les deux instances Google SecOps, qui reçoivent les mêmes données.

Lors de l'activation de Security Command Center Enterprise, le processus d'activation modifie les paramètres d'ingestion des journaux Google Cloud pour activer tous les champs de type de données : Google Cloud Logging, Métadonnées d'éléments Cloud et Résultats Security Command Center Premium. Les paramètres du filtre d'exportation ne sont pas modifiés. Security Command Center Enterprise nécessite ces types de données pour que toutes les fonctionnalités fonctionnent comme prévu. Vous pouvez modifier les paramètres d'ingestion des journaux Google Cloud une fois l'activation terminée.

Créer une organisation

Security Command Center nécessite une ressource d'organisation associée à un domaine. Si vous n'avez pas créé d'organisation, consultez la page Créer et gérer des organisations.

Si vous avez plusieurs organisations, identifiez celles dans lesquelles vous allez activer Security Command Center Enterprise. Vous devez suivre ces étapes d'activation pour chaque organisation dans laquelle vous prévoyez d'activer Security Command Center Enterprise.

Vérifier les règles d'administration

Si les règles de votre organisation sont configurées pour restreindre l'utilisation des ressources, vérifiez que les API suivantes sont autorisées :

  • chronicle.googleapis.com
  • cloudsecuritycompliance.googleapis.com
  • securitycenter.googleapis.com
  • securitycentermanagement.googleapis.com

Créer un projet de gestion

Security Command Center Enterprise nécessite un projet, appelé projet de gestion, pour activer l'intégration de Google SecOps et de Mandiant Attack Surface Management. Nous vous recommandons d'utiliser ce projet exclusivement pour Security Command Center Enterprise.

Si vous avez déjà activé Google SecOps et que vous souhaitez vous connecter à l'instance existante, utilisez le projet de gestion existant associé à Google SecOps.

Si vous prévoyez de provisionner une nouvelle instance Google SecOps, créez un projet de gestion dédié à cette instance. N'utilisez pas un projet de gestion déjà associé à une autre instance Google SecOps.

Google SecOps n'est pas compatible avec l'utilisation d'un projet de gestion existant dans un périmètre de service VPC Service Controls.

Découvrez comment créer et gérer des projets.

Configurer les autorisations et les API

Utilisez les informations de cette section pour configurer les autorisations requises pour activer Security Command Center Enterprise :

En savoir plus sur les rôles Security Command Center et les APIGoogle Cloud

Configurer les autorisations sur l'organisation

Make sure that you have the following role or roles on the organization:

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Accéder à IAM
  2. Sélectionnez l'organisation.
  3. Cliquez sur  Accorder l'accès.

  4. Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.

  5. Dans la liste Sélectionner un rôle, sélectionnez un rôle.
  6. Pour attribuer des rôles supplémentaires, cliquez sur  Ajouter un autre rôle et ajoutez tous les rôles supplémentaires.
  7. Cliquez sur Enregistrer.

    8. Configurer les autorisations et activer les API sur le projet de gestion

    1. Dans la console Google Cloud , vérifiez que vous consultez l'organisation pour laquelle vous souhaitez activer le niveau Security Command Center Enterprise.
    2. Sélectionnez le projet de gestion que vous avez créé précédemment.

    3. Make sure that you have the following role or roles on the project:

      Check for the roles

      1. In the Google Cloud console, go to the IAM page.

        Go to IAM
      2. Select the project.

      3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

      4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

      Grant the roles

      1. In the Google Cloud console, go to the IAM page.

        Accéder à IAM
      2. Sélectionnez le projet.
      3. Cliquez sur  Accorder l'accès.

      4. Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.

      5. Dans la liste Sélectionner un rôle, sélectionnez un rôle.
      6. Pour attribuer des rôles supplémentaires, cliquez sur  Ajouter un autre rôle et ajoutez tous les rôles supplémentaires.
      7. Cliquez sur Enregistrer.

    4. Enable the Cloud Asset, Cloud Pub/Sub, Cloud Resource Manager, Compute Engine, Policy Analyzer, and Recommender APIs.

      Roles required to enable APIs

      To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

      Enable the APIs

      5. Créer un compte de service lorsque vous utilisez une instance Google SecOps existante

      Si vous prévoyez de vous connecter à une instance Google SecOps existante, créez un compte de service géré par l'utilisateur et attribuez-lui les rôles suivants :

      Configurer les contacts pour les notifications

      Configurez vos contacts essentiels afin que vos administrateurs de sécurité puissent recevoir des notifications importantes. Pour obtenir des instructions, consultez Gérer les contacts pour les notifications.

      Activer le niveau Security Command Center Enterprise

      Le processus d'activation configure automatiquement les comptes de service, les autorisations et les services inclus dans Security Command Center Enterprise. Vous pouvez vous connecter à une instance Google SecOps Standard, Enterprise ou Enterprise Plus existante, ou en provisionner une nouvelle.

      1. Dans la console Google Cloud , accédez à la page Présentation des risques de Security Command Center.

        Accéder à Security Command Center

      2. Vérifiez que vous consultez l'organisation pour laquelle vous souhaitez activer le niveau Security Command Center Enterprise.

      3. Sur la page Security Command Center, cliquez sur Obtenir Security Command Center.

      4. Sur la page Faites vos premiers pas avec Security Command Center Enterprise, vérifiez les comptes de service et les API qui seront configurés, puis cliquez sur Suivant.

        • Pour afficher les comptes de service qui seront créés, cliquez sur Afficher les comptes de service et les autorisations.
        • Pour afficher les API qui seront activées, cliquez sur Afficher les API Security Command Center Enterprise.
        • Pour consulter les conditions d'utilisation, cliquez sur Conditions d'utilisation de Security Command Center Enterprise.

        Si la page Faites vos premiers pas avec Security Command Center Enterprise ne s'affiche pas, contactez Google Cloud sales pour vérifier que votre droit d'accès à l'abonnement est actif.

        La page suivante affiche une vue différente selon votre environnement.

      5. Si l'organisation est associée à une instance Google SecOps, choisissez l'une des options suivantes. S'il n'est pas associé à une instance Google SecOps, passez à l'étape 6 pour en créer une.

        • Sélectionnez Oui, se connecter à une instance Google Security Operations existante, puis choisissez une instance dans le menu. Passez à l'étape 7 pour lancer l'activation.

          Le menu affiche les instances Google SecOps associées à l'organisation dans laquelle vous activez Security Command Center Enterprise. Chaque élément inclut l'ID client Google SecOps, la région dans laquelle il est provisionné et le nom du projet Google Cloud auquel il est associé. Vous ne pouvez pas sélectionner une instance incompatible avec Security Command Center Enterprise.

          La page fournit un lien vers l'instance Google SecOps sélectionnée pour que vous puissiez la vérifier. Si vous obtenez une erreur lorsque vous ouvrez l'instance, vérifiez que vous disposez des autorisations IAM requises pour y accéder.

        • Sélectionnez Non, créer une instance Google Security Operations, puis passez à l'étape 6 pour créer une instance Google SecOps.

      6. Pour créer une instance Google SecOps, fournissez des informations de configuration supplémentaires.

        1. Saisissez les coordonnées de votre entreprise.

          • Contact de l'assistance technique : saisissez une adresse e-mail individuelle ou de groupe.
          • Nom de l'entreprise : saisissez le nom de votre entreprise.

        2. Sélectionnez le type d'emplacement où Google Security Operations sera provisionné.

          • Région : sélectionnez une seule région.
          • Multirégional : sélectionnez un emplacement multirégional.

          Cet emplacement n'est utilisé que pour Google SecOps, et non pour les autres fonctionnalités de Security Command Center. Pour obtenir la liste des régions et zones multirégionales acceptées, consultez la page Emplacements des services SecOps.

        3. Cliquez sur Suivant, puis sélectionnez le projet de gestion dédié. Vous avez créé le projet de gestion dédié lors d'une étape précédente.

          Si vous sélectionnez un projet associé à une instance Google SecOps existante, une erreur s'affichera lorsque vous lancerez l'activation.

        4. Passez à l'étape 7 pour lancer l'activation.

      7. Cliquez sur Activer. La page Présentation des risques s'affiche.

        Certains services sont activés automatiquement, comme Security Health Analytics, Event Threat Detection et Virtual Machine Threat Detection. Il peut s'écouler un certain temps avant que les fonctionnalités d'opérations de sécurité soient prêtes et que les résultats soient disponibles.

      8. Poursuivez avec Surveiller la progression de l'activation et configurer les services.

      Suivre la progression de l'activation et configurer les services

      Le guide de configuration affiche l'état du provisionnement et vous permet de consulter les services activés. Vous pouvez configurer des services supplémentaires et des connexions à d'autres fournisseurs de services cloud.

      1. Dans la console Google Cloud , accédez au guide de configuration de Security Command Center.

        Accéder au guide de configuration

      2. Sélectionnez l'organisation dans laquelle vous avez activé Security Command Center Enterprise.

      3. Développez le panneau Examiner le récapitulatif des fonctionnalités de sécurité. Chaque panneau affiche l'état d'activation des services associés.

      4. Pour vous connecter à Amazon Web Services (AWS) ou Microsoft Azure, cliquez sur Ajouter Ajouter un connecteur. L'onglet Connecteurs de la page Paramètres s'ouvre.

        Pour obtenir des instructions supplémentaires, consultez les ressources suivantes :

      5. Cliquez sur Configurer dans n'importe quel panneau pour configurer des services et des fonctionnalités supplémentaires. Utilisez les liens du tableau suivant pour en savoir plus sur chaque fonctionnalité.

        Nom du panneau des fonctionnalités En savoir plus sur ces fonctionnalités
        Protection de l'IA
        Sécurité du code
        Détection des menaces cloud
        Sécurité des identités et des accès
        Sécurité des données
        Conformité
        Posture et conformité
        Plate-forme de réponse
        Évaluation des failles

      Configurer les autorisations pour une utilisation continue de Security Command Center Enterprise

      Pour modifier la configuration de votre organisation, vous avez besoin des deux rôles suivants au niveau de l'organisation :

      Si un utilisateur ne nécessite pas de droits de modification, pensez à lui accorder des rôles de lecteur.

      Pour afficher tous les éléments, résultats et chemins d'attaque dans Security Command Center, les utilisateurs doivent disposer du rôle Lecteur administrateur du centre de sécurité (roles/securitycenter.adminViewer) au niveau de l'organisation.

      Pour afficher les paramètres, les utilisateurs doivent disposer du rôle Administrateur du centre de sécurité (roles/securitycenter.admin) au niveau de l'organisation.

      Pour restreindre l'accès à des dossiers et projets individuels, n'attribuez pas tous les rôles au niveau de l'organisation. Accordez plutôt les rôles suivants au niveau du dossier ou du projet :

      Chaque service de détection peut nécessiter des autorisations supplémentaires pour être activé ou configuré. Pour en savoir plus, consultez la documentation spécifique à chaque service.

      Pour utiliser les fonctionnalités de la console Security Operations compatibles avec Security Command Center Enterprise, consultez Contrôler l'accès aux fonctionnalités des pages de la console Security Operations.

      Étapes suivantes