Activar Security Command Center para un proyecto

En esta página, se explica cómo activar el nivel Estándar o Premium de Security Command Center para un proyecto de Google Cloud.

Si quieres activar Security Command Center para toda una organización, consulta uno de los siguientes vínculos:

Requisitos previos

Para activar Security Command Center en un proyecto, necesitas los siguientes requisitos, que se explican en las siguientes subsecciones:

  • Lee la información de requisitos previos para comprender cómo difiere una activación de Security Command Center a nivel de proyecto de una activación a nivel de organización.
  • Debes tener un proyecto de Google Cloud asociado a una organización.
  • Tu cuenta de usuario debe tener roles de Identity and Access Management (IAM) que contengan los permisos necesarios.
  • Si tu proyecto hereda políticas de la organización que están configuradas para restringir identidades por dominio, tus cuentas de usuario y de servicio deben estar en un dominio permitido.
  • Si utilizas la detección de amenazas a contenedores, tus clústeres de Google Kubernetes Engine deben ser compatibles con la detección de amenazas a contenedores.

Información de los requisitos previos

Para comprender cómo se diferencia una activación a nivel de proyecto de Security Command Center de una activación a nivel de organización, consulta Descripción general de la habilitación a nivel de proyecto de Security Command Center.

Para obtener información sobre los servicios y los resultados de Security Command Center que no son compatibles con las activaciones a nivel de proyecto, consulta Limitaciones del servicio de activación a nivel del proyecto.

Requisitos del proyecto

Si quieres activar Security Command Center para un proyecto, este debe estar asociado a una organización. Si necesitas crear un proyecto, consulta Crea y administra proyectos.

Roles de IAM que necesitas para esta tarea

Para configurar Security Command Center, necesitas las siguientes funciones de IAM que se otorgaron a tu cuenta de usuario en el proyecto en el que habilitas Security Command Center:

  • Administrador del centro de seguridad roles/securitycenter.admin
  • Administrador de seguridad roles/iam.securityAdmin
  • A menos que las cuentas de servicio obligatorias de Security Command Center ya existan a partir de una activación a nivel de la organización, crea cuentas de servicio roles/iam.serviceAccountCreator

Obtén más información sobre las funciones de Security Command Center.

Verifica las políticas de la organización

Si tu proyecto hereda políticas de la organización que se configuran para restringir identidades por dominio, debes cumplir con los siguientes requisitos:

  • Debes acceder a la consola de Cloud en una cuenta que esté en un dominio permitido.
  • Tus cuentas de servicio deben estar en un dominio permitido o miembros de un grupo dentro de tu dominio. Este requisito te permite permitir que los servicios de @*.gserviceaccount.com accedan a los recursos cuando el uso compartido restringido del dominio está habilitado.

Confirma las versiones de software para Container Threat Detection

Si planeas usar Container Threat Detection con Google Kubernetes Engine (GKE), asegúrate de que los clústeres se encuentren en una versión compatible de GKE y de que estén configurados de forma correcta. Para obtener más información, consulta Usa la detección de amenazas a contenedores.

Situaciones de activación para un proyecto

En esta página, se abordan las siguientes situaciones de activación:

  • En una organización que nunca activó Security Command Center, activa el nivel Premium o Estándar de Security Command Center para un proyecto.
  • En una organización que usa el nivel Estándar, activa el nivel Premium de Security Command Center para un proyecto.
  • En una organización que usa una suscripción al nivel Premium que vencerá pronto, activa el nivel Premium de Security Command Center para un proyecto.

Según si tu organización usa Security Command Center, debes activar Security Command Center para un proyecto mediante diferentes métodos.

Si tu organización no usa Security Command Center, la consola de Google Cloud te guía a través de una serie de páginas de configuración.

Si la organización usa Security Command Center, debes activar la versión Premium de Security Command Center para un proyecto mediante la pestaña Detalles del nivel de la página Configuración.

Determina si Security Command Center ya está activo en tu organización

La forma en que activas Security Command Center para un proyecto difiere según si Security Command Center ya está activo en la organización.

Para verificar si Security Command Center ya está activo en tu organización, completa los siguientes pasos:

  1. Ve a la página Descripción general de Security Command Center en la consola de Google Cloud.

    Ir a Security Command Center

  2. En la lista desplegable del selector de proyectos, haz clic en el nombre del proyecto en el que necesitas activar Security Command Center.

    Después de seleccionar el proyecto, se abrirá una de las siguientes páginas:

    • Si Security Command Center está activo en la organización, se abrirá el panel de Security Command Center.
    • Si Security Command Center no se activó en la organización, se abrirá la página Obtener Security Command Center, desde la cual puedes iniciar el proceso de activación para tu proyecto.

  3. Si Security Command Center ya está activo en la organización, verifica el nivel de servicio que está activo en ese momento.

    1. Abre la página Configuración de Security Command Center:

      Ir a la configuración

    2. En la página Configuración, haz clic en Detalles del nivel. Se abrirá la página Tier.

    3. En la fila Tier, se muestra el nivel de servicio que el proyecto hereda.

  4. Si deseas activar Security Command Center para un proyecto, sigue el procedimiento para el estado de activación de Security Command Center en la organización superior:

Activar para un proyecto cuando Security Command Center está activo en la organización

Si Security Command Center ya está activo en una organización, el único nivel de servicio que necesitas activar en el nivel de proyecto es el nivel Premium, ya que, como mínimo, el proyecto hereda el uso del nivel Estándar.

Para revisar las funciones que se incluyen en cada nivel, consulta los niveles de Security Command Center.

Cuando Security Command Center está activo en una organización, el proceso de activación a nivel de proyecto se inicia si seleccionas tu proyecto en la consola de Google Cloud y, luego, seleccionas el nivel Premium en la página Configuración de Security Command Center.

  1. Abre la pestaña Detalles del nivel en la página Configuración:

    Ir a Detalles del nivel

    Se abrirá una página de selección de proyectos antes de que ingreses a la página Tier details.

  2. Elige tu proyecto. Se abrirá la página Nivel de detalle.

  3. En la página Detalles del nivel, haz clic en cualquiera de las siguientes opciones:

    • Administrar nivel de proyecto
    • Obtener Premium

    Se abrirá la página Administra tu nivel.

  4. En la página Administra tu nivel, selecciona Premium.

  5. Haz clic en Siguiente. Se abrirá la página Servicios.

  6. En la página Servicios, habilita o inhabilita cada servicio integrado según sea necesario seleccionando uno de los siguientes valores del menú que se encuentra a la izquierda del servicio enumerado:

    • Heredar (Inherit) (la entrada predeterminada)
    • Habilitar
    • Inhabilitar

Completaste la activación de Security Command Center. Luego, espera a que se completen los análisis iniciales.

Activar para un proyecto cuando Security Command Center no está activo en la organización

Si la organización no usa Security Command Center, la consola de Google Cloud te guía a través de una serie de páginas de configuración cuando activas Security Command Center para un proyecto.

Paso 1: Selecciona tu nivel

Si Security Command Center no está activo en tu organización, se mostrará la página Obtener Security Command Center cuando abras el panel de Security Command Center en la consola de Google Cloud. Para comenzar el proceso de activación, selecciona un nivel.

Security Command Center tiene tres niveles: Estándar, Premium y Empresarial. El nivel que selecciones determina las funciones que estarán disponibles y el costo de usar Security Command Center. Solo puedes activar el nivel Enterprise a nivel de la organización. Para obtener más información, consulta Activa Security Command Center Enterprise Center.

Para revisar las funciones que se incluyen en cada nivel, consulta los niveles de Security Command Center.

Para seleccionar tu nivel y comenzar el proceso de activación de Security Command Center, completa los siguientes pasos:

  1. Ve a la página de descripción general de Security Command Center en la consola de Google Cloud.

    Ir a Security Command Center

  2. En la lista desplegable del selector de proyectos, haz clic en el nombre del proyecto en el que necesitas activar Security Command Center.

    Después de seleccionar el proyecto, Security Command Center se abre en la página Obtener Security Command Center, en la que puedes comenzar el proceso de activación mediante la selección de un nivel. Si se abre el panel de Security Command Center, Security Command Center ya está activo en tu organización o proyecto.

  3. Selecciona el nivel Premium o Estándar, según los servicios que necesites.

  4. Haz clic en Siguiente. Se abrirá la página Seleccionar servicios.

En la siguiente sección, deberás seleccionar los servicios integrados que deseas habilitar para tu proyecto.

Paso 2: Selecciona los servicios

En la página Seleccionar servicios, se muestran todos los servicios integrados de Security Command Center.

  1. En la página Servicios, habilita o inhabilita cada servicio integrado según sea necesario seleccionando uno de los siguientes valores del menú que se encuentra a la izquierda del servicio enumerado:

    • Heredar
    • Habilitar
    • Inhabilitar

    Después de completar el proceso de activación, revisa la documentación de cada servicio que habilites y consulta la documentación de ese servicio para conocer los pasos adicionales que se requieran para cada servicio.

  2. Haz clic en Siguiente. Se abrirá la página Otorgar roles.

Paso 3: Configura los agentes de servicio

Cuando activas Security Command Center por primera vez, Google Cloud crea de forma automática agentes de servicio de IAM para Security Command Center y sus servicios de detección.

Como se describe en el siguiente procedimiento, les otorgas funciones de IAM a estos agentes de servicio que proporcionan los permisos que Security Command Center y sus servicios de detección necesitan para realizar sus funciones.

Cuando activas Security Command Center a nivel de proyecto y Security Command Center aún no está activo en tu organización, se crean los siguientes agentes de servicio a nivel de proyecto:

  • service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com. Otorgas la función securitycenter.serviceAgent de IAM a esta cuenta de servicio.

  • service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.com. Otorgas la función roles/containerthreatdetection.serviceAgent de IAM a esta cuenta de servicio.

En lugar de PROJECT_NUMBER, la cuenta de servicio contiene la cantidad de tu proyecto.

Para otorgar las funciones de IAM a los agentes de servicio, sigue estos pasos:

  1. De manera opcional, en la página Otorgar roles, haz clic en Revisar permisos para revisar el rol y los permisos que estás a punto de otorgar.

  2. Para otorgar los roles necesarios de forma automática, haz clic en Otorgar roles.

    Como alternativa, puedes otorgar la función de forma manual si completas los siguientes pasos:

    1. Haz clic en De forma alternativa: otorgar roles de forma manual (gcloud).
    2. Copia los comandos de gcloud CLI.
    3. En la barra de herramientas de la consola de Google Cloud, haz clic en Activar Cloud Shell.
    4. En la ventana de la terminal que, a continuación, pega los comandos de la CLI de gcloud que copiaste y, luego, presiona Intro.

  3. Haz clic en Siguiente. Se abrirá la página Configuración completa.

Paso 4: Confirma la activación

Completa la activación de Security Command Center siguiendo estos pasos:

  1. En la página Complete setup (Completar la configuración), haz clic en Finish.

Cuando finalizas la configuración, Security Command Center inicia un análisis inicial de los elementos. Luego, puedes usar el panel para revisar y solucionar los riesgos de seguridad y de datos de Google Cloud en el proyecto.

Es posible que haya una demora antes de que se inicien los análisis de algunos servicios. Como puedes esperar, el retraso o la latencia de análisis de los servicios en un proyecto individual suele ser más corto que el de una organización, pero la mayoría de los motivos de la latencia se siguen aplicando. Para obtener más información sobre las latencias que se aplican a las organizaciones, consulta la Descripción general de la latencia de Security Command Center para obtener más información sobre el proceso de activación.

Optimiza y prueba los servicios integrados para todas las situaciones de activación

Después de activar Security Command Center, revisa la documentación de cada servicio para ver si puedes optimizarlo o probarlo más.

Por ejemplo, Event Threat Detection se basa en los registros que genera Google Cloud. Algunos registros siempre están activados, por lo que Event Threat Detection puede comenzar a analizarlos en cuanto se habilita. Otros registros, como la mayoría de los registros de auditoría de acceso a los datos, debes activarlos para que Event Threat Detection pueda analizarlos. Para obtener más información, consulta Tipos de registros y requisitos de activación.

Para obtener más información sobre cómo probar y usar cada uno de los servicios integrados, consulta las siguientes páginas:

¿Qué sigue?

Obtén más información sobre Security Command Center y sus servicios integrados.