Mengaktifkan Security Command Center untuk sebuah project

Halaman ini menjelaskan cara mengaktifkan paket Standar atau Premium Security Command Center untuk project Google Cloud.

Untuk mengaktifkan Security Command Center untuk seluruh organisasi, lihat salah satu hal berikut:

• Mengaktifkan paket Standard atau Premium Security Command Center untuk organisasi
• Mengaktifkan paket Security Command Center Enterprise

Prasyarat

Untuk mengaktifkan Security Command Center di project, Anda memerlukan prasyarat berikut, yang dijelaskan dalam subbagian berikut:

• Baca informasi prasyarat untuk memahami perbedaan antara aktivasi Security Command Center level project dengan aktivasi level organisasi.
• Anda harus memiliki project Google Cloud yang terkait dengan organisasi.
• Akun pengguna Anda harus diberi peran Identity and Access Management (IAM) yang berisi izin yang diperlukan.
• Jika project Anda mewarisi kebijakan organisasi yang ditetapkan untuk membatasi identitas berdasarkan domain, akun pengguna dan layanan Anda harus berada di domain yang diizinkan.
• Jika Anda akan menggunakan Container Threat Detection, cluster Google Kubernetes Engine Anda harus mendukung Container Threat Detection.

Informasi prasyarat

Untuk memahami perbedaan antara aktivasi Security Command Center level project dengan aktivasi level organisasi, lihat Ringkasan pengaktifan Security Command Center level project.

Untuk mempelajari layanan dan temuan Security Command Center yang tidak didukung dengan aktivasi level project, lihat Batasan layanan aktivasi level project.

Persyaratan project

Untuk mengaktifkan Security Command Center untuk sebuah project, project tersebut harus dikaitkan dengan organisasi. Jika Anda perlu membuat project, lihat Membuat dan mengelola project.

Peran IAM yang Anda perlukan untuk tugas ini

Untuk menyiapkan Security Command Center, Anda memerlukan peran IAM berikut yang diberikan ke akun pengguna di project tempat Anda mengaktifkan Security Command Center:

• Admin Pusat Keamanan roles/securitycenter.admin
• Security Admin roles/iam.securityAdmin
• Kecuali jika akun layanan Security Command Center yang diperlukan sudah ada dari aktivasi tingkat organisasi, Buat Akun Layanan roles/iam.serviceAccountCreator

Pelajari lebih lanjut peran Security Command Center.

Memverifikasi kebijakan organisasi

Jika project Anda mewarisi kebijakan organisasi yang ditetapkan untuk membatasi identitas menurut domain, Anda harus memenuhi persyaratan berikut:

• Anda harus login ke konsol Google Cloud dengan akun yang berada di domain yang diizinkan.
• Akun layanan Anda harus berada di domain yang diizinkan, atau anggota grup dalam domain Anda. Persyaratan ini memungkinkan Anda mengizinkan akses layanan @*.gserviceaccount.com ke resource saat berbagi yang dibatasi domain diaktifkan.

Mengonfirmasi versi software untuk Container Threat Detection

Jika Anda berencana menggunakan Deteksi Ancaman Container dengan Google Kubernetes Engine (GKE), pastikan cluster Anda menggunakan GKE versi yang didukung dan cluster tersebut dikonfigurasi dengan benar. Untuk informasi selengkapnya, lihat Menggunakan Container Threat Detection.

Skenario aktivasi untuk project

Halaman ini membahas skenario aktivasi berikut:

• Di organisasi yang belum pernah mengaktifkan Security Command Center,aktifkan Paket Premium atau Standard Security Command Center untuk project.
• Di organisasi yang menggunakan Paket Standar, aktifkan paket Premium Security Command Center untuk sebuah project.
• Di organisasi yang menggunakan langganan paket Premium yang akan berakhir,aktifkan paket Premium Security Command Center untuk project.

Bergantung pada apakah organisasi Anda menggunakan Security Command Center, Anda dapat mengaktifkan Security Command Center untuk project menggunakan metode yang berbeda.

Jika organisasi Anda tidak menggunakan Security Command Center, konsol Google Cloud akan memandu Anda melalui serangkaian halaman penyiapan.

Jika organisasi Anda menggunakan Security Command Center, Anda dapat mengaktifkan Security Command Center Premium untuk project menggunakan tab Detail paket di halaman Setelan.

Menentukan apakah Security Command Center sudah aktif di organisasi Anda

Cara Anda mengaktifkan Security Command Center untuk sebuah project berbeda-beda, bergantung pada apakah Security Command Center sudah aktif di organisasi Anda.

Untuk memeriksa apakah Security Command Center sudah aktif di organisasi Anda, selesaikan langkah-langkah berikut:

1. Buka halaman Ringkasan Security Command Center di konsol Google Cloud.

   Buka Security Command Center

2. Pilih nama project yang perlu Anda aktifkan Security Command Center-nya.

   Setelah Anda memilih project, salah satu halaman berikut akan terbuka:

   • Jika Security Command Center aktif di organisasi Anda, halaman Ringkasan risiko akan terbuka.
   • Jika Security Command Center belum diaktifkan di organisasi, halaman Dapatkan Security Command Center akan terbuka, tempat Anda dapat memulai proses aktivasi untuk project.

3. Jika Security Command Center sudah aktif di organisasi Anda, periksa tingkat layanan yang saat ini aktif.

   1. Buka halaman Setelan Security Command Center:

      Buka Setelan

   2. Di halaman Setelan, klik Detail tingkat. Halaman Tingkat akan terbuka.

   3. Pada baris Tingkat, tingkat layanan yang diwarisi project akan dicantumkan.

4. Untuk mengaktifkan Security Command Center untuk sebuah project, ikuti prosedur untuk status aktivasi Security Command Center di organisasi induk:

   • Mengaktifkan untuk project saat Security Command Center aktif di organisasi
   • Mengaktifkan untuk project jika Security Command Center tidak aktif di organisasi

Mengaktifkan untuk project saat Security Command Center aktif di organisasi

Jika Security Command Center sudah aktif di organisasi, satu-satunya tingkat layanan yang perlu Anda aktifkan di tingkat project adalah tingkat Premium, karena setidaknya project akan mewarisi penggunaan tingkat Standar.

Untuk meninjau fitur yang disertakan dengan setiap tingkat, lihat Tingkat Security Command Center.

Saat Security Command Center aktif di organisasi, Anda memulai proses aktivasi level project dengan memilih project di konsol Google Cloud, lalu memilih paket Premium di halaman Setelan Security Command Center.

1. Buka tab Detail tingkat di halaman Setelan:

   Buka detail Tingkat

   Halaman pemilihan project akan terbuka sebelum Anda diarahkan ke halaman Detail tingkat.

2. Pilih project Anda. Halaman Detail tingkat akan terbuka.

3. Di halaman detail Tingkat, klik salah satu opsi berikut:

   • Mengelola tingkat project
   • Dapatkan Premium

   Halaman Kelola tingkat akan terbuka.

4. Di halaman Kelola tingkat, pilih Premium.

5. Klik Berikutnya. Halaman Layanan akan terbuka.

6. Di halaman Services, aktifkan atau nonaktifkan setiap layanan bawaan sesuai kebutuhan dengan memilih salah satu nilai berikut dari menu di sebelah kiri layanan yang tercantum:

   • Inherit (entri default)
   • Aktifkan
   • Nonaktifkan

Anda telah menyelesaikan aktivasi Security Command Center. Selanjutnya, tunggu hingga pemindaian awal selesai.

Mengaktifkan untuk project jika Security Command Center tidak aktif di organisasi

Jika organisasi Anda tidak menggunakan Security Command Center, konsol Google Cloud akan memandu Anda melalui serangkaian halaman penyiapan saat Anda mengaktifkan Security Command Center untuk sebuah project.

Langkah 1: Pilih paket Anda

Jika Security Command Center tidak aktif di organisasi Anda, saat Anda membuka Security Command Center di konsol Google Cloud, halaman Dapatkan Security Command Center akan ditampilkan. Anda memulai proses pengaktifan dengan memilih tingkat.

Security Command Center memiliki tiga paket: Standar, Premium, dan Enterprise. Paket yang Anda pilih akan menentukan fitur yang tersedia untuk Anda dan biaya penggunaan Security Command Center. Anda hanya dapat mengaktifkan tingkat Perusahaan di tingkat organisasi. Untuk informasi selengkapnya, lihat Mengaktifkan tingkat Enterprise Security Command Center.

Untuk meninjau fitur yang disertakan dengan setiap tingkat, lihat Tingkat Security Command Center.

Untuk memilih tingkat dan memulai proses aktivasi Security Command Center, selesaikan langkah-langkah berikut:

1. Buka halaman ringkasan Security Command Center di konsol Google Cloud.

   Buka Security Command Center

2. Pilih nama project yang perlu Anda aktifkan Security Command Center-nya.

   Setelah Anda memilih project, Security Command Center akan membuka halaman Dapatkan Security Command Center tempat Anda memulai proses aktivasi dengan memilih paket. Jika konsol Security Command Center terbuka, Security Command Center sudah aktif di organisasi atau project Anda.

3. Pilih tingkat Premium atau Standar, bergantung pada layanan yang Anda butuhkan.

4. Klik Berikutnya. Halaman Select services akan terbuka.

Di bagian berikutnya, Anda akan memilih layanan bawaan yang ingin diaktifkan untuk project Anda.

Langkah 2: Pilih layanan

Di halaman Pilih layanan, semua layanan bawaan Security Command Center akan ditampilkan.

1. Di halaman Services, aktifkan atau nonaktifkan setiap layanan bawaan sesuai kebutuhan dengan memilih salah satu nilai berikut dari menu di sebelah kiri layanan yang tercantum:

   • Warisan
   • Aktifkan
   • Nonaktifkan

   Setelah Anda menyelesaikan proses aktivasi, untuk setiap layanan yang diaktifkan, periksa dokumentasi untuk layanan tersebut guna mengetahui langkah-langkah tambahan yang mungkin diperlukan untuk setiap layanan.

2. Klik Berikutnya. Halaman Berikan peran akan terbuka.

Langkah 3: Konfigurasikan agen layanan

Saat Anda mengaktifkan Security Command Center untuk pertama kalinya, Google Cloud akan otomatis membuat agen layanan IAM untuk Security Command Center dan layanan deteksinya.

Seperti yang dijelaskan dalam prosedur berikut, Anda memberikan peran IAM kepada agen layanan ini yang memberikan izin yang diperlukan Security Command Center dan layanan deteksinya untuk menjalankan fungsinya.

Saat Anda mengaktifkan Security Command Center di level project dan Security Command Center belum aktif di organisasi Anda, agen layanan level project berikut akan dibuat:

• service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com. Anda memberikan peran IAM securitycenter.serviceAgent ke akun layanan ini.

• service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.com. Anda memberikan peran IAM roles/containerthreatdetection.serviceAgent ke akun layanan ini.

Sebagai ganti PROJECT_NUMBER, akun layanan berisi nomor project Anda.

Untuk memberikan peran IAM kepada agen layanan, ikuti langkah-langkah berikut:

1. Secara opsional, di halaman Grant roles, tinjau peran dan izin yang akan Anda berikan dengan mengklik Review permissions.

2. Berikan peran yang diperlukan secara otomatis dengan mengklik Berikan peran.

   Atau, Anda dapat memberikan peran secara manual, dengan menyelesaikan langkah-langkah berikut:

   1. Klik Cara lainnya: berikan peran secara manual (gcloud).
   2. Salin perintah gcloud CLI.
   3. Di toolbar konsol Google Cloud, klik Activate Cloud Shell.
   4. Di jendela terminal yang muncul, tempelkan perintah gcloud CLI yang Anda salin, lalu tekan Enter.

3. Klik Berikutnya. Halaman Selesaikan penyiapan akan terbuka.

Langkah 4: Konfirmasi aktivasi

Selesaikan aktivasi Security Command Center dengan mengikuti langkah-langkah berikut:

1. Di halaman Complete setup, klik Finish.

Setelah Anda menyelesaikan penyiapan, Security Command Center akan memulai pemindaian aset awal, lalu Anda dapat menggunakan konsol untuk meninjau dan memperbaiki risiko keamanan dan data Google Cloud di seluruh project Anda.

Mungkin ada penundaan sebelum pemindaian dimulai untuk beberapa layanan. Seperti yang Anda duga, penundaan, atau latensi pemindaian, untuk layanan dalam setiap project biasanya lebih singkat daripada untuk organisasi, tetapi sebagian besar alasan latensi masih berlaku. Untuk mengetahui informasi selengkapnya tentang latensi yang berlaku untuk organisasi, lihat Ringkasan latensi Security Command Center untuk mempelajari lebih lanjut proses aktivasi.

Untuk semua skenario aktivasi, optimalkan dan uji layanan bawaan

Setelah mengaktifkan Security Command Center, periksa dokumentasi untuk setiap layanan untuk mengetahui apakah Anda dapat menguji atau mengoptimalkan layanan lebih lanjut.

Misalnya, Event Threat Detection mengandalkan log yang dihasilkan oleh Google Cloud. Beberapa log selalu aktif, sehingga Event Threat Detection dapat mulai memindainya segera setelah diaktifkan. Log lainnya, seperti sebagian besar log audit akses data, harus diaktifkan sebelum Event Threat Detection dapat memindainya. Untuk informasi selengkapnya, lihat Jenis log dan persyaratan aktivasi.

Untuk mengetahui informasi selengkapnya tentang cara menguji dan menggunakan setiap layanan bawaan, lihat halaman berikut:

• Menggunakan Container Threat Detection
• Menggunakan Event Threat Detection
• Menggunakan Security Health Analytics
• Menggunakan Virtual Machine Threat Detection
• Menggunakan Web Security Scanner

Langkah selanjutnya

Pelajari Security Command Center dan layanan bawaannya lebih lanjut.

• Pelajari cara meninjau aset, temuan, dan kerentanan dengan menggunakan Security Command Center.
• Pelajari sumber keamanan Google Cloud.
• Pelajari cara menambahkan sumber keamanan ke Security Command Center.