Ativar o Security Command Center para um projeto

Nesta página, explicamos como ativar o nível padrão ou premium do Security Command Center em um projeto do Google Cloud.

Para ativar o Security Command Center para uma organização inteira, consulte uma das seguintes opções:

Pré-requisitos

Para ativar o Security Command Center em um projeto, você precisa dos seguintes pré-requisitos, explicados nas subseções a seguir:

  • Leia as informações de pré-requisito para entender como uma ativação do Security Command Center no nível do projeto é diferente de uma ativação no nível da organização.
  • Você precisa ter um projeto do Google Cloud associado a uma organização.
  • Sua conta de usuário precisa receber papéis do Identity and Access Management (IAM) que contenham as permissões necessárias.
  • Se o projeto herdar políticas da organização definidas para restringir identidades por domínio, as contas de usuário e serviço precisam ficar em um domínio permitido.
  • Se você usar o Container Threat Detection, os clusters do Google Kubernetes Engine precisam ser compatíveis com ele.

Informações sobre pré-requisitos

Para entender como uma ativação do Security Command Center no nível do projeto é diferente da ativação no nível da organização, consulte Visão geral da ativação do Security Command Center no nível do projeto.

Para saber mais sobre os serviços e as descobertas do Security Command Center que não são compatíveis com as ativações no nível do projeto, consulte Limitações do serviço de ativação no nível do projeto.

Requisitos do projeto

Para ativar o Security Command Center para um projeto, ele precisa estar associado a uma organização. Se você precisar criar um projeto, consulte Como criar e gerenciar projetos.

Papéis do IAM necessários para esta tarefa

Para configurar o Security Command Center, os seguintes papéis do IAM devem ser concedidos à conta de usuário no projeto em que o Security Command Center será ativado:

  • Administrador da Central de segurança roles/securitycenter.admin
  • Administrador de segurança roles/iam.securityAdmin
  • A menos que as contas de serviço do Security Command Center necessárias já existam em uma ativação no nível da organização, crie contas de serviço roles/iam.serviceAccountCreator

Saiba mais sobre os papéis do Security Command Center.

Verificar as políticas da organização

Se o projeto herdar políticas da organização definidas para restringir identidades por domínio, você precisará atender aos seguintes requisitos:

  • Você precisa fazer login no console do Google Cloud por uma conta que esteja em um domínio permitido.
  • As contas de serviço precisam estar em um domínio permitido ou membros de um grupo dentro do domínio. Esse requisito permite que você permita o acesso de serviços @*.gserviceaccount.com aos recursos quando o compartilhamento restrito de domínio estiver ativado.

Confirmar as versões de software do Container Threat Detection

Se você planeja usar o Container Threat Detection com o Google Kubernetes Engine (GKE), verifique se os clusters estão em uma versão compatível do GKE e se estão corretamente configurados. Para mais informações, consulte Como usar o Container Threat Detection.

Cenários de ativação de um projeto

Esta página abrange os seguintes cenários de ativação:

  • Em uma organização que nunca ativou o Security Command Center, ative o nível Premium ou Standard do Security Command Center para um projeto.
  • Em uma organização que usa o nível Standard, ative o nível Premium do Security Command Center para um projeto.
  • Em uma organização que usa uma assinatura do nível Premium que está prestes a expirar, ative o nível Premium do Security Command Center para um projeto.

Se a organização estiver usando o Security Command Center, ative o Security Command Center para um projeto usando métodos diferentes.

Se a organização não usar o Security Command Center, o console do Google Cloud guia você por uma série de páginas de configuração.

Se a organização usa o Security Command Center, ative o Security Command Center Premium para um projeto na guia Detalhes de nível da página Configurações.

Determinar se o Security Command Center já está ativo na organização

A maneira de ativar o Security Command Center para um projeto varia dependendo se o Security Command Center já está ativo na organização.

Para verificar se o Security Command Center já está ativo na organização, conclua as seguintes etapas:

  1. Acesse a página Visão geral do Security Command Center no console do Google Cloud.

    Acesse Security Command Center

  2. Selecione o nome do projeto para o qual você precisa ativar o Security Command Center.

    Depois de selecionar o projeto, uma das seguintes páginas vai ser aberta:

    • Se o Security Command Center estiver ativo na sua organização, a página Visão geral de riscos será aberta.
    • Se o Security Command Center não estiver ativado na organização, a página Usar o Security Command Center será aberta para você iniciar o processo de ativação do projeto.
  3. Se o Security Command Center já estiver ativo na organização, verifique o nível de serviço que está ativo no momento.

    1. Abra a página Configurações do Security Command Center:

      Acesse configurações

    2. Na página Configurações, clique em Detalhes de nível. A página Nível é aberta.

    3. O nível de serviço que o projeto herda é listado na linha Nível.

  4. Para ativar o Security Command Center para um projeto, siga o procedimento para o estado de ativação do Security Command Center na organização-pai:

Ativar para um projeto quando o Security Command Center estiver ativo na organização

Se o Security Command Center já estiver ativo em uma organização, o único nível de serviço que você precisará ativar no nível do projeto será o nível Premium, porque, no mínimo, o projeto herdará o uso do nível Standard.

Para analisar os recursos de cada nível, consulte Níveis do Security Command Center.

Quando o Security Command Center está ativo em uma organização, você inicia o processo de ativação no nível do projeto selecionando seu projeto no console do Google Cloud e, em seguida, selecionando o nível Premium na página Configuraçõesdo Security Command Center.

  1. Abra a guia Detalhe de nível da página Configurações:

    Acesse Detalhes de nível

    Uma página de seleção de projetos é aberta antes de você acessar a página Detalhes de nível.

  2. Selecione o projeto. A página Detalhes de nível é aberta.

  3. Na página Detalhes de nível, clique em uma das seguintes opções:

    • Gerenciar o nível do projeto
    • Seja Premium

    A página Gerenciar seu nível é aberta.

  4. Na página Gerenciar seu nível, selecione Premium.

  5. Clique em Próxima. A página Serviços é aberta.

  6. Na página Serviços, ative ou desative cada serviço integrado conforme necessário selecionando um dos seguintes valores do menu à esquerda do serviço listado:

    • Herdar (a entrada padrão)
    • Ativar
    • Desativar

Você concluiu a ativação do Security Command Center. Em seguida, aguarde a conclusão das verificações iniciais.

Ativar para um projeto quando o Security Command Center não estiver ativo na organização

Se sua organização não usa o Security Command Center, o console do Google Cloud guia você por uma série de páginas de configuração quando o Security Command Center é ativado para um projeto.

Etapa 1: selecionar o nível

Quando o Security Command Center não está ativo na sua organização, ao abrir o Security Command Center no console do Google Cloud, a página Usar o Security Command Center é exibida. Para iniciar o processo de ativação, selecione um nível.

O Security Command Center tem três níveis: Standard, Premium e Enterprise. O nível selecionado determina os recursos disponíveis e o custo de uso do Security Command Center. Só é possível ativar o nível Enterprise no nível da organização. Para mais informações, consulte Ativar o Security Command Center Enterprise Center.

Para analisar os recursos de cada nível, consulte Níveis do Security Command Center.

Para selecionar o nível e iniciar o processo de ativação do Security Command Center, siga estas etapas:

  1. Acesse a página de visão geral do Security Command Center no console do Google Cloud.

    Acesse Security Command Center

  2. Selecione o nome do projeto para o qual você precisa ativar o Security Command Center.

    Depois de selecionar o projeto, o Security Command Center é aberto na página Use o Security Command Center, na qual você inicia o processo de ativação selecionando um nível. Se o console do Security Command Center for aberto, ele já está ativo na organização ou no projeto.

  3. Selecione o nível Premium ou Standard, dependendo dos serviços necessários.

  4. Clique em Next. A página Selecionar serviços é aberta.

Na próxima seção, você vai selecionar os serviços integrados que quer ativar para o projeto.

Etapa 2: selecionar serviços

Na página Selecionar serviços, todos os serviços integrados do Security Command Center são exibidos.

  1. Na página Serviços, ative ou desative cada serviço integrado conforme necessário selecionando um dos seguintes valores do menu à esquerda do serviço listado:

    • Herdar
    • Ativar
    • Desativar

    Depois de concluir o processo de ativação, verifique as etapas adicionais que podem ser necessárias para cada serviço habilitado na documentação desse serviço.

  2. Clique em Next. A página Conceder papéis é aberta.

Etapa 3: configurar os agentes de serviço

Quando você ativa o Security Command Center pela primeira vez, o Google Cloud cria automaticamente agentes de serviço do IAM para o Security Command Center e os serviços de detecção.

Conforme descrito no procedimento a seguir, você concede papéis do IAM a esses agentes de serviço que fornecem as permissões que o Security Command Center e os serviços de detecção precisam para executar as funções.

Quando você ativa o Security Command Center no nível do projeto e ele ainda não está ativo na organização, os seguintes agentes de serviço no nível do projeto são criados:

  • service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com. Você concede o papel do IAM securitycenter.serviceAgent a essa conta de serviço.

  • service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.com. Você concede o papel do IAM roles/containerthreatdetection.serviceAgent a essa conta de serviço.

No lugar de PROJECT_NUMBER, a conta de serviço contém o número do projeto.

Para conceder os papéis do IAM aos agentes de serviço, siga estas etapas:

  1. Como opção, na página Conceder papéis, clique em Analisar permissões para revisar os papéis e permissões que serão concedidos.

  2. Conceda os papéis necessários automaticamente clicando em Conceder papéis.

    Se preferir, siga estas etapas para conceder papéis manualmente:

    1. Clique em Alternativamente: conceder papéis manualmente (gcloud).
    2. Copie os comandos da CLI gcloud.
    3. Na barra de ferramentas do console do Google Cloud, clique em Ativar o Cloud Shell.
    4. Na janela de terminal exibida, cole os comandos da CLI que você copiou e pressione Enter.
  3. Clique em Next. A página Configuração completa é aberta.

Etapa 4: confirmar a ativação

Siga estas etapas para concluir a ativação do Security Command Center:

  1. Na página Concluir configuração, clique em Concluir.

Ao terminar a configuração, o Security Command Center inicia uma verificação inicial de recursos. Depois disso, é possível usar o console para analisar e corrigir os riscos de dados e segurança do Google Cloud em todo o projeto.

As verificações de alguns serviços podem demorar um tempo até serem iniciadas. Como esperado, o atraso ou a latência de verificação para serviços de um projeto individual geralmente é menor do que para uma organização, mas a maioria dos motivos para a latência ainda se aplica. Para mais informações sobre as latências aplicáveis às organizações e para saber mais sobre o processo de ativação, consulte Visão geral da latência do Security Command Center.

Para todos os cenários de ativação, otimizar e testar os serviços integrados

Depois de ativar o Security Command Center, verifique a documentação de cada serviço para ver se é possível testá-los ou otimizá-los ainda mais.

Por exemplo, o Event Threat Detection depende de registros gerados pelo Google Cloud. Alguns registros ficam sempre ativados, então o Event Threat Detection pode começar a verificá-los assim que forem ativados. Outros registros, como a maioria dos registros de auditoria de acesso a dados, precisam ser ativados antes que o Event Threat Detection possa verificá-los. Para mais informações, consulte Tipos de registro e requisitos de ativação.

Para mais informações sobre como testar e usar cada serviço integrado, consulte as seguintes páginas:

A seguir

Saiba mais sobre o Security Command Center e os serviços integrados dele.