Activar Security Command Center para un proyecto

En esta página, se explica cómo activar el nivel Estándar o Premium de Security Command Center para un proyecto de Google Cloud.

Si quieres activar Security Command Center para toda una organización, consulta una de las siguientes opciones:

Requisitos previos

Para activar Security Command Center en un proyecto, necesitas lo siguiente: requisitos previos, que se explican en las siguientes subsecciones:

  • Lee la información de requisitos previos para comprender cómo se de Security Command Center difiere de un enfoque activación.
  • Debes tener un proyecto de Google Cloud asociado en una organización.
  • A tu cuenta de usuario se le deben otorgar roles de Identity and Access Management (IAM) que contengan los permisos necesarios.
  • Si tu proyecto hereda políticas de la organización configuradas para restringir identidades por dominio, tus cuentas de usuario y de servicio deben estar en un dominio.
  • Si usarás Container Threat Detection, tus clústeres de Google Kubernetes Engine deben ser compatibles Detección de amenazas a contenedores.

Información de requisitos previos

Para comprender cómo una activación a nivel de proyecto de Security Command Center difiere de una activación a nivel de la organización, consulta Descripción general de la habilitación a nivel de proyecto de Security Command Center.

Para conocer los servicios y los hallazgos de Security Command Center, compatible con las activaciones a nivel de proyecto, consulta Limitaciones del servicio de activación a nivel de proyecto.

Requisitos del proyecto

Para activar Security Command Center para un proyecto, este se debe asociada con una organización. Si para crear un proyecto, consulta Crea y administra proyectos.

Roles de IAM que necesitas para esta tarea

Para configurar Security Command Center, necesitas lo siguiente: de IAM otorgados a tu cuenta de usuario en el que habilitarás Security Command Center:

  • Administrador del centro de seguridad roles/securitycenter.admin
  • Administrador de seguridad roles/iam.securityAdmin
  • A menos que ya existan las cuentas de servicio necesarias de Security Command Center desde una activación a nivel de la organización, crear cuentas de servicio roles/iam.serviceAccountCreator

Obtén más información sobre las funciones de Security Command Center.

Verifica las políticas de la organización

Si tu proyecto hereda políticas de la organización configuradas como restringir identidades por dominio, debes cumplir con los siguientes requisitos:

  • Debes acceder a la consola de Cloud en una cuenta que esté en un dominio permitido.
  • Tus cuentas de servicio deben estar en un dominio permitido o miembros de un grupo dentro de tu dominio. Este requisito te permite permitir @*.gserviceaccount.com servicios tiene acceso a los recursos cuando el dominio está restringido el uso compartido está habilitado.

Confirma las versiones de software para Container Threat Detection

Si planeas usar Container Threat Detection con Google Kubernetes Engine (GKE), asegúrate de que tus clústeres estén en un versión de GKE y que la clústeres estén configurados correctamente. Para obtener más información, consulta Usar Container Threat Detection.

Situaciones de activación para un proyecto

En esta página, se describen las siguientes situaciones de activación:

  • En una organización que nunca ha activado Security Command Center, activar el nivel Premium o Estándar de Security Command Center para un proyecto.
  • En una organización que use el nivel Estándar, activa el Es el nivel Premium de Security Command Center para un proyecto.
  • En una organización que usa una suscripción al nivel Premium con vencimiento, activa el nivel Premium de Security Command Center para un proyecto.

Según si tu organización usa Security Command Center, activas Security Command Center para un proyecto con métodos diferentes.

Si tu organización no usa Security Command Center, la consola de Google Cloud te guía a través de una serie de páginas de configuración.

Si tu organización usa Security Command Center, puedes activar Security Command Center Premium para un proyecto con La pestaña Tier details de la página Settings (Configuración).

Determina si Security Command Center ya está activo en tu organización

La forma en que activas Security Command Center para un proyecto es diferente dependiendo de si Security Command Center ya está activo en tu para que se adapten a las necesidades de tu organización.

Para comprobar si Security Command Center ya está activo en tu organización, completa los siguientes pasos:

  1. Ve a la página Descripción general de Security Command Center en la consola de Google Cloud.

    Ir a Security Command Center

  2. En la lista desplegable del selector de proyectos, haz clic en el nombre del proyecto para el que necesitas activar Security Command Center.

    Después de seleccionar el proyecto, se abrirá una de las siguientes páginas:

    • Si Security Command Center está activo en tu organización, se abrirá el panel de Security Command Center.
    • Si no se activó Security Command Center en el organización, se abre la página Obtener Security Command Center, desde la cual puedes iniciar el proceso de activación de tu proyecto.

  3. Si Security Command Center ya está activo en tu organización, verifica el nivel de servicio que está activo actualmente.

    1. Abre la página Configuración de Security Command Center:

      Ir a la configuración

    2. En la página Settings, haz clic en Tier details. La página Tier se abre.

    3. En la fila Tier, el nivel de servicio que hereda el proyecto está en la lista.

  4. Si quieres activar Security Command Center para un proyecto, sigue el procedimiento para el estado de activación de Security Command Center en la organización superior:

Activar para un proyecto cuando Security Command Center esté activo en la organización

Si Security Command Center ya está activo en una organización, la única de servicio que deberías activar a nivel de proyecto El nivel Premium, porque, como mínimo, el proyecto heredará el uso de el nivel Estándar.

Para revisar las funciones que se incluyen en cada nivel, consulta Niveles de Security Command Center.

Cuando Security Command Center está activo en una organización, inicias proceso de activación a nivel de proyecto eligiendo tu proyecto en la consola de Google Cloud y, luego, el nivel Premium Página de configuración de Security Command Center.

  1. Abre la pestaña Tier details en la página Settings:

    Ir a Detalles del nivel

    Se abrirá una página de selección de proyecto antes de que se te dirija al Detalle del nivel. .

  2. Elige tu proyecto. Se abrirá la página Tier details.

  3. En la página de detalles del nivel, haz clic en cualquiera de las siguientes opciones:

    • Administrar el nivel del proyecto
    • Obtener Premium

    Se abrirá la página Administra tu nivel.

  4. En la página Administrar tu nivel, selecciona Premium.

  5. Haz clic en Siguiente. Se abrirá la página Servicios.

  6. En la página Servicios, habilita o inhabilita cada servicio integrado como según sea necesario. Para ello, selecciona uno de los siguientes valores En el menú que se encuentra a la izquierda del servicio de la lista:

    • Heredar (Inherit) (la entrada predeterminada)
    • Habilitar
    • Inhabilitar

Completaste la activación de Security Command Center. Luego, esperar a que se completen los análisis iniciales.

Se activa para un proyecto cuando Security Command Center no está activo en la organización

Si tu organización no usa Security Command Center, la consola de Google Cloud te guía a través de una serie de páginas de configuración cuando activas Security Command Center para un proyecto.

Paso 1: Selecciona tu nivel

Si Security Command Center no está activo en tu organización, cuando abras Security Command Center en la consola de Google Cloud, el Aparecerá la página Obtener Security Command Center. Inicias la activación el proceso seleccionando un nivel.

Security Command Center tiene tres niveles: Estándar, Premium y Enterprise. El nivel que selecciones determina las funciones disponibles para ti y el costo del uso de Security Command Center. Solo puedes activar el nivel Enterprise en a nivel de la organización. Para obtener más información, consulta Activa el nivel de Security Command Center Enterprise.

Para revisar las funciones que se incluyen en cada nivel, consulta Niveles de Security Command Center.

Para seleccionar tu nivel y comenzar la activación de Security Command Center completa, completa los siguientes pasos:

  1. Ve a la página de descripción general de Security Command Center en la consola de Google Cloud.

    Ir a Security Command Center

  2. En la lista desplegable del selector de proyectos, haz clic en el nombre del proyecto para el que necesitas activar Security Command Center.

    Después de seleccionar el proyecto, se abrirá Security Command Center en Página Obtén Security Command Center, donde inicias el proceso de activación seleccionando un nivel. Si se abre el panel de Security Command Center, Security Command Center ya está activo en tu organización o proyecto.

  3. Selecciona el nivel Premium o Estándar. según los servicios que necesites.

  4. Haz clic en Siguiente. Se abrirá la página Seleccionar servicios.

En la siguiente sección, deberás seleccionar los servicios integrados que deseas habilitar para tu proyecto.

Paso 2: Selecciona los servicios

En la página Seleccionar servicios, sigue estos pasos: se muestran todos los servicios integrados de Security Command Center.

  1. En la página Servicios, habilita o inhabilita cada servicio integrado como según sea necesario. Para ello, selecciona uno de los siguientes valores En el menú que se encuentra a la izquierda del servicio de la lista:

    • Heredar
    • Habilitar
    • Inhabilitar

    Después de completar el proceso de activación, para cada servicio habilitar, consulta la documentación de ese servicio para conocer pasos que pueden ser necesarios para cada servicio.

  2. Haz clic en Siguiente. Se abrirá la página Otorgar roles.

Paso 3: Configura los agentes de servicio

Cuando activas Security Command Center por primera vez, Google Cloud crea automáticamente agentes de servicio de IAM para Security Command Center y sus servicios de detección.

Como se describe en el siguiente procedimiento, otorgas a IAM roles a estos agentes de servicio que otorgan los permisos que Security Command Center y sus servicios de detección deben realizar sus funciones.

Cuando activas Security Command Center a nivel de proyecto y Security Command Center aún no está activo en tu organización, Se crean los siguientes agentes de servicio a nivel de proyecto:

  • service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com. Otorgas securitycenter.serviceAgent de IAM a esta cuenta de servicio.

  • service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.com. Otorgas roles/containerthreatdetection.serviceAgent de IAM a esta cuenta de servicio.

En lugar de PROJECT_NUMBER, la cuenta de servicio contiene la cantidad de tu proyecto.

Sigue estos pasos para otorgar los roles de IAM a los agentes de servicio pasos:

  1. De manera opcional, en la página Otorgar roles, revisa el rol y los permisos. que estás a punto de otorgar haciendo clic en Revisar permisos.

  2. Otorga los roles necesarios automáticamente haciendo clic en Otorga roles.

    Como alternativa, puedes otorgar el rol manualmente completando el los siguientes pasos:

    1. Haz clic en Alternativamente: otorga roles de forma manual (gcloud).
    2. Copia los comandos de gcloud CLI.
    3. En la barra de herramientas de la consola de Google Cloud, haz clic en Activar Cloud Shell.
    4. En la ventana de la terminal que, a continuación, pega los comandos de la CLI de gcloud que copiaste y, luego, presiona Intro.

  3. Haz clic en Siguiente. Se abrirá la página Complete setup (Configuración completa).

Paso 4: Confirma la activación

Completa la activación de Security Command Center con los siguientes pasos:

  1. En la página Complete setup (Completar la configuración), haz clic en Finish.

Cuando terminas la configuración, Security Command Center inicia un análisis inicial de recursos, después de en el que puedes usar el panel para revisar y solucionar Google Cloud los riesgos de seguridad y datos en todo tu proyecto.

Es posible que haya un retraso antes de que se inicien los análisis para algunos servicios. Como podrías esperar, el retraso, o latencia de análisis, para los servicios en un el proyecto individual suele ser más corto que para una organización, pero la mayoría de los motivos de la latencia siguen aplicándose. Para obtener más información latencias según se aplican a las organizaciones, consulta Descripción general de la latencia de Security Command Center para obtener más información sobre el proceso de activación.

Para todas las situaciones de activación, optimiza y prueba los servicios integrados

Luego de activar Security Command Center, consulta la documentación de cada uno para ver si puedes optimizarlo o probarlo.

Por ejemplo, Event Threat Detection se basa en registros generados por en Google Cloud. Algunos registros siempre están activados, por lo que Event Threat Detection podrás comenzar a analizarlos en cuanto se habiliten. Otros registros, como la mayoría de los registros de auditoría de acceso a los datos, debes activarlos antes de Event Threat Detection puedan analizarlos. Para obtener más información, consulta Tipos de registros y requisitos de activación.

Para obtener más información sobre las pruebas y el uso de cada uno de los servicios integrados, consulta las siguientes páginas:

¿Qué sigue?

Obtén más información sobre Security Command Center y sus servicios integrados.