Activer Security Command Center pour un projet

Cette page explique comment activer le niveau Standard ou Premium de Security Command Center pour un projet Google Cloud.

Pour activer Security Command Center pour l'ensemble d'une organisation, consultez l'une des pages suivantes:

Prérequis

Pour activer Security Command Center sur un projet, vous devez remplir les conditions préalables suivantes, qui sont expliquées dans les sous-sections suivantes:

  • Consultez les conditions préalables pour comprendre en quoi une activation de Security Command Center au niveau du projet diffère d'une activation au niveau de l'organisation.
  • Vous devez disposer d'un projet Google Cloud associé à une organisation.
  • Votre compte utilisateur doit disposer des rôles Identity and Access Management (IAM) contenant les autorisations requises.
  • Si votre projet hérite de règles d'administration définies pour restreindre les identités par domaine, vos comptes utilisateur et de service doivent appartenir à un domaine autorisé.
  • Si vous souhaitez utiliser Container Threat Detection, vos clusters Google Kubernetes Engine doivent être compatibles avec Container Threat Detection.

Informations préalables

Pour comprendre les différences entre une activation au niveau du projet de Security Command Center et une activation au niveau de l'organisation, consultez la page Présentation de l'activation de Security Command Center au niveau du projet.

Pour en savoir plus sur les services et les résultats de Security Command Center, consultez la section Limites du service d'activation au niveau du projet.

Exigences du projet

Pour que vous puissiez activer Security Command Center pour un projet, celui-ci doit être associé à une organisation. Si vous devez créer un projet, consultez la page Créer et gérer des projets.

Rôles IAM dont vous avez besoin pour cette tâche

Pour configurer Security Command Center, les rôles IAM suivants doivent être attribués à votre compte utilisateur dans le projet dans lequel vous activez Security Command Center:

  • Administrateur du centre de sécurité roles/securitycenter.admin
  • Administrateur de sécurité roles/iam.securityAdmin
  • Créer des comptes de service roles/iam.serviceAccountCreator, sauf si les comptes de service Security Command Center requis existent déjà lors d'une activation au niveau de l'organisation

Apprenez-en plus sur les rôles Security Command Center.

Vérifier les règles d'administration

Si votre projet hérite de règles d'administration configurées pour restreindre les identités par domaine, vous devez répondre aux exigences suivantes:

  • Vous devez être connecté à la console Google Cloud sur un compte appartenant à un domaine autorisé.
  • Vos comptes de service doivent appartenir à un domaine autorisé ou être des membres d'un groupe au sein de votre domaine. Cette exigence vous permet d'autoriser les services @*.gserviceaccount.com à accéder aux ressources lorsque le partage restreint au domaine est activé.

Confirmer les versions logicielles de Container Threat Detection

Si vous prévoyez d'utiliser Container Threat Detection avec Google Kubernetes Engine (GKE), assurez-vous que vos clusters utilisent une version compatible de GKE et qu'ils sont correctement configurés. Pour en savoir plus, consultez la page Utiliser Container Threat Detection.

Scénarios d'activation pour un projet

Cette page couvre les scénarios d'activation suivants:

  • Dans une organisation qui n'a jamais activé Security Command Center, activez le niveau Premium ou Standard de Security Command Center pour un projet.
  • Dans une organisation qui utilise le niveau Standard, activez le niveau Premium de Security Command Center pour un projet.
  • Dans une organisation qui utilise un abonnement Premium arrivant à expiration, activez le niveau Premium de Security Command Center pour un projet.

Selon que votre organisation utilise Security Command Center ou non, vous pouvez l'activer pour un projet à l'aide de différentes méthodes.

Si votre organisation n'utilise pas Security Command Center, la console Google Cloud vous guide à travers une série de pages de configuration.

Si votre organisation utilise Security Command Center, vous devez activer Security Command Center Premium pour un projet dans l'onglet Informations sur le niveau de la page Paramètres.

Déterminer si Security Command Center est déjà actif dans votre organisation

La procédure d'activation de Security Command Center pour un projet diffère selon que Security Command Center est déjà actif dans votre organisation ou non.

Pour vérifier si Security Command Center est déjà actif dans votre organisation, procédez comme suit:

  1. Accédez à la page Présentation de Security Command Center dans la console Google Cloud.

    Accéder à Security Command Center

  2. Dans la liste déroulante du sélecteur de projet, cliquez sur le nom du projet pour lequel vous devez activer Security Command Center.

    Une fois le projet sélectionné, l'une des pages suivantes s'ouvre:

    • Si Security Command Center est actif dans votre organisation, son tableau de bord s'ouvre.
    • Si Security Command Center n'a pas été activé dans l'organisation, la page Obtenir Security Command Center s'ouvre et vous permet de lancer le processus d'activation de votre projet.

  3. Si Security Command Center est déjà actif dans votre organisation, vérifiez le niveau de service actuellement actif.

    1. Ouvrez la page Paramètres de Security Command Center:

      Accéder aux paramètres

    2. Sur la page Paramètres, cliquez sur Informations sur le niveau. La page Niveau s'ouvre.

    3. La ligne Tier indique le niveau de service dont le projet hérite.

  4. Pour activer Security Command Center pour un projet, suivez la procédure permettant d'activer l'état d'activation de Security Command Center dans l'organisation parente:

Activer pour un projet lorsque Security Command Center est actif dans l'organisation

Si Security Command Center est déjà actif dans une organisation, le seul niveau de service que vous devrez activer au niveau du projet sera le niveau Premium, car le projet héritera au minimum de l'utilisation du niveau Standard.

Pour connaître les fonctionnalités incluses avec chaque niveau, consultez la section Niveaux de Security Command Center.

Lorsque Security Command Center est actif dans une organisation, vous démarrez le processus d'activation au niveau du projet en sélectionnant votre projet dans la console Google Cloud, puis le niveau Premium sur la page Paramètres de Security Command Center.

  1. Ouvrez l'onglet Tier detail (Détails du niveau) sur la page Settings (Paramètres) :

    Accéder aux détails du niveau

    Une page de sélection de projet s'ouvre avant que vous ne soyez redirigé vers la page Informations sur le niveau.

  2. Sélectionnez votre projet. La page Tier detail (Détails du niveau) s'ouvre.

  3. Sur la page "Informations sur le niveau", cliquez sur l'une des options suivantes:

    • Gérer le niveau du projet
    • Obtenir Premium

    La page Gérer votre niveau s'ouvre.

  4. Sur la page Gérer votre niveau, sélectionnez Premium.

  5. Cliquez sur Suivant. La page Services s'ouvre.

  6. Sur la page Services, activez ou désactivez chaque service intégré selon vos besoins en sélectionnant l'une des valeurs suivantes dans le menu situé à gauche du service répertorié:

    • Hériter (entrée par défaut)
    • Activer
    • Désactiver

Vous avez terminé l'activation de Security Command Center. Attendez ensuite que les analyses initiales soient terminées.

À activer pour un projet lorsque Security Command Center n'est pas actif dans l'organisation

Si votre organisation n'utilise pas Security Command Center, la console Google Cloud vous guide à travers une série de pages de configuration lorsque vous activez Security Command Center pour un projet.

Étape 1: Sélectionnez votre niveau

Lorsque Security Command Center n'est pas actif dans votre organisation, la page Obtenir Security Command Center s'affiche lorsque vous ouvrez le tableau de bord Security Command Center dans la console Google Cloud. Pour démarrer le processus d'activation, vous devez sélectionner un niveau.

Security Command Center comporte trois niveaux: Standard, Premium et Entreprise. Le niveau que vous sélectionnez détermine les fonctionnalités disponibles et le coût d'utilisation de Security Command Center. Vous ne pouvez activer le niveau Entreprise qu'au niveau de l'organisation. Pour en savoir plus, consultez Activer Security Command Center Enterprise Center.

Pour connaître les fonctionnalités incluses avec chaque niveau, consultez la section Niveaux de Security Command Center.

Pour sélectionner votre niveau et lancer le processus d'activation de Security Command Center, procédez comme suit:

  1. Accédez à la page de présentation de Security Command Center dans la console Google Cloud.

    Accéder à Security Command Center

  2. Dans la liste déroulante du sélecteur de projet, cliquez sur le nom du projet pour lequel vous devez activer Security Command Center.

    Une fois le projet sélectionné, Security Command Center s'ouvre sur la page Obtenir Security Command Center, qui vous permet de lancer le processus d'activation en sélectionnant un niveau. Si le tableau de bord Security Command Center s'ouvre, cela signifie qu'il est déjà actif dans votre organisation ou votre projet.

  3. Sélectionnez le niveau Premium ou Standard, selon les services dont vous avez besoin.

  4. Cliquez sur Suivant. La page Sélectionner des services s'ouvre.

Dans la section suivante, vous sélectionnez les services intégrés que vous souhaitez activer pour votre projet.

Étape 2: Sélectionnez des services

La page Sélectionner des services affiche tous les services intégrés à Security Command Center.

  1. Sur la page Services, activez ou désactivez chaque service intégré selon vos besoins en sélectionnant l'une des valeurs suivantes dans le menu situé à gauche du service répertorié:

    • Hériter
    • Activer
    • Désactiver

    Une fois le processus d'activation terminé, consultez la documentation de chaque service que vous activez pour connaître les étapes supplémentaires pouvant être requises pour chacun d'eux.

  2. Cliquez sur Suivant. La page Attribuer des rôles s'ouvre.

Étape 3: Configurer les agents de service

Lorsque vous activez Security Command Center pour la première fois, Google Cloud crée automatiquement des agents de service IAM pour Security Command Center et ses services de détection.

Comme décrit dans la procédure suivante, vous attribuez à ces agents de service des rôles IAM qui fournissent les autorisations dont Security Command Center et ses services de détection ont besoin pour exécuter leurs fonctions.

Lorsque vous activez Security Command Center au niveau du projet et que Security Command Center n'est pas déjà actif dans votre organisation, les agents de service suivants sont créés au niveau du projet:

  • service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com. Vous accordez le rôle IAM securitycenter.serviceAgent à ce compte de service.

  • service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.com. Vous accordez le rôle IAM roles/containerthreatdetection.serviceAgent à ce compte de service.

À la place de PROJECT_NUMBER, le compte de service contient le numéro de votre projet.

Pour attribuer les rôles IAM aux agents de service, procédez comme suit:

  1. Sur la page Attribuer des rôles, vous pouvez également examiner le rôle et les autorisations que vous êtes sur le point d'accorder en cliquant sur Examiner les autorisations.

  2. Attribuez automatiquement les rôles requis en cliquant sur Attribuer des rôles.

    Vous pouvez également attribuer le rôle manuellement en procédant comme suit:

    1. Cliquez sur Autrement: attribuer des rôles manuellement (gcloud).
    2. Copiez les commandes de gcloud CLI.
    3. Dans la barre d'outils de la console Google Cloud, cliquez sur Activer Cloud Shell.
    4. Dans la fenêtre de terminal qui s'affiche, collez les commandes de gcloud CLI que vous avez copiées, puis appuyez sur Entrée.

  3. Cliquez sur Suivant. La page Terminer la configuration s'ouvre.

Étape 4: Confirmez l'activation

Activez Security Command Center en procédant comme suit:

  1. Sur la page Terminer la configuration, cliquez sur Terminer.

Une fois la configuration terminée, Security Command Center lance une analyse initiale des éléments. Vous pouvez ensuite utiliser le tableau de bord pour examiner et corriger les risques liés aux données et à la sécurité Google Cloud dans l'ensemble de votre projet.

Il peut s'écouler un certain temps avant que les analyses ne soient lancées pour certains services. Comme vous pouvez vous y attendre, le délai, ou latence d'analyse, des services d'un projet individuel est généralement plus court que pour une organisation, mais la plupart des raisons de la latence continuent de s'appliquer. Pour en savoir plus sur les latences applicables aux organisations, consultez la section Présentation de la latence de Security Command Center afin d'en savoir plus sur le processus d'activation.

Pour tous les scénarios d'activation, optimisez et testez les services intégrés

Après avoir activé Security Command Center, consultez la documentation de chaque service pour voir si vous pouvez le tester ou l'optimiser davantage.

Par exemple, Event Threat Detection s'appuie sur les journaux générés par Google Cloud. Certains journaux sont toujours activés. Event Threat Detection peut donc commencer à les analyser dès qu'il est activé. D'autres journaux, comme la plupart des journaux d'audit des accès aux données, doivent être activés pour qu'Event Threat Detection puisse les analyser. Pour en savoir plus, consultez la section Types de journaux et conditions requises pour l'activation.

Pour en savoir plus sur les tests et l'utilisation de chacun des services intégrés, consultez les pages suivantes:

Étapes suivantes

Apprenez-en davantage sur Security Command Center et ses services intégrés.