Mengaktifkan Security Command Center untuk sebuah project

Halaman ini menjelaskan cara mengaktifkan paket Standar atau tingkat Premium Security Command Center untuk project Google Cloud.

Untuk mengaktifkan Security Command Center bagi seluruh organisasi, lihat salah satu artikel berikut:

Prasyarat

Untuk mengaktifkan Security Command Center pada project, Anda memerlukan prasyarat berikut, yang dijelaskan dalam subbagian berikut:

  • Baca informasi prasyarat untuk memahami perbedaan aktivasi Security Command Center tingkat project dengan aktivasi tingkat organisasi.
  • Anda harus memiliki project Google Cloud yang terkait dengan organisasi.
  • Akun pengguna Anda perlu diberi peran Identity and Access Management (IAM) yang berisi izin yang diperlukan.
  • Jika project Anda mewarisi kebijakan organisasi yang ditetapkan untuk membatasi identitas berdasarkan domain, akun pengguna dan akun layanan Anda harus berada di domain yang diizinkan.
  • Jika Anda akan menggunakan Container Threat Detection, cluster Google Kubernetes Engine Anda harus mendukung Deteksi Ancaman Container.

Informasi prasyarat

Untuk memahami perbedaan aktivasi Security Command Center tingkat project dengan aktivasi tingkat organisasi, baca Ringkasan pengaktifan Security Command Center tingkat project.

Untuk mempelajari layanan dan temuan Security Command Center yang tidak didukung dengan aktivasi level project, lihat Batasan layanan aktivasi tingkat project.

Persyaratan proyek

Untuk mengaktifkan Security Command Center untuk suatu project, project tersebut harus dikaitkan dengan organisasi. Jika Anda perlu membuat project, lihat Membuat dan mengelola project.

Peran IAM yang Anda perlukan untuk tugas ini

Untuk menyiapkan Security Command Center, Anda memerlukan peran IAM berikut yang diberikan ke akun pengguna dalam project tempat Anda mengaktifkan Security Command Center:

  • Admin Pusat Keamanan roles/securitycenter.admin
  • Admin Keamanan roles/iam.securityAdmin
  • Kecuali jika akun layanan Security Command Center yang diperlukan sudah ada dari aktivasi tingkat organisasi, Buat Akun Layanan roles/iam.serviceAccountCreator

Pelajari peran Security Command Center lebih lanjut.

Memverifikasi kebijakan organisasi

Jika project Anda mewarisi kebijakan organisasi yang ditetapkan untuk membatasi identitas berdasarkan domain, Anda harus memenuhi persyaratan berikut:

  • Anda harus login ke konsol Google Cloud menggunakan akun yang berada di domain yang diizinkan.
  • Akun layanan Anda harus berada di domain yang diizinkan, atau merupakan anggota grup dalam domain Anda. Persyaratan ini memungkinkan Anda mengizinkan akses layanan @*.gserviceaccount.com ke resource saat berbagi yang dibatasi domain diaktifkan.

Mengonfirmasi versi software untuk Container Threat Detection

Jika Anda berencana menggunakan Container Threat Detection dengan Google Kubernetes Engine (GKE), pastikan cluster Anda berada di versi GKE yang didukung dan cluster telah dikonfigurasi dengan benar. Untuk mengetahui informasi selengkapnya, lihat Menggunakan Deteksi Ancaman Container.

Skenario aktivasi untuk sebuah project

Halaman ini membahas skenario aktivasi berikut:

  • Pada organisasi yang belum pernah mengaktifkan Security Command Center, aktifkan Paket Premium atau Standar Security Command Center untuk sebuah project.
  • Pada organisasi yang menggunakan Paket Standar, aktifkan paket Premium Security Command Center untuk project.
  • Pada organisasi yang menggunakan langganan paket Premium yang akan berakhir, aktifkan paket Premium Security Command Center untuk sebuah project.

Bergantung pada apakah organisasi Anda menggunakan Security Command Center, Anda mengaktifkan Security Command Center untuk suatu project menggunakan metode yang berbeda.

Jika organisasi Anda tidak menggunakan Security Command Center, konsol Google Cloud akan memandu Anda melalui serangkaian halaman penyiapan.

Jika organisasi Anda menggunakan Security Command Center, Anda perlu mengaktifkan Security Command Center Premium untuk sebuah project menggunakan tab Detail tingkat di halaman Setelan.

Menentukan apakah Security Command Center sudah aktif di organisasi Anda

Cara mengaktifkan Security Command Center untuk suatu project berbeda-beda, bergantung pada apakah Security Command Center sudah aktif di organisasi Anda.

Untuk memeriksa apakah Security Command Center sudah aktif di organisasi Anda, selesaikan langkah-langkah berikut:

  1. Buka halaman Ringkasan Security Command Center di Konsol Google Cloud.

    Buka Security Command Center

  2. Dari menu drop-down pemilih project, klik nama project yang Security Command Center-nya perlu Anda aktifkan.

    Setelah Anda memilih project, salah satu halaman berikut akan terbuka:

    • Jika Security Command Center aktif di organisasi Anda, dasbor Security Command Center akan terbuka.
    • Jika Security Command Center belum diaktifkan di organisasi, halaman Get Security Command Center akan terbuka, tempat Anda dapat memulai proses aktivasi project.
  3. Jika Security Command Center sudah aktif di organisasi Anda, periksa tingkat layanan yang saat ini aktif.

    1. Buka halaman Settings Security Command Center:

      Buka Settings

    2. Di halaman Setelan, klik Detail tingkat. Halaman Tier akan terbuka.

    3. Pada baris Tingkat, tingkat layanan yang diwarisi oleh project akan dicantumkan.

  4. Guna mengaktifkan Security Command Center untuk suatu project, ikuti prosedur untuk status aktivasi Security Command Center di organisasi induk:

Aktifkan untuk project saat Security Command Center aktif di organisasi

Jika Security Command Center sudah aktif di organisasi, satu-satunya tingkat layanan yang perlu Anda aktifkan pada level project adalah paket Premium, karena setidaknya project tersebut akan mewarisi penggunaan tingkat Standar.

Untuk meninjau fitur yang disertakan pada setiap tingkat, lihat tingkat Security Command Center.

Saat Security Command Center aktif di organisasi, Anda akan memulai proses aktivasi level project dengan memilih project di Google Cloud Console, lalu memilih paket Premium di halaman Settings Security Command Center.

  1. Buka tab Detail tingkat di halaman Setelan:

    Buka detail Tingkat

    Halaman pemilihan project akan terbuka sebelum Anda diarahkan ke halaman Detail tingkat.

  2. Pilih project Anda. Halaman Detail tingkat akan terbuka.

  3. Di halaman detail Tingkat, klik salah satu opsi berikut:

    • Mengelola tingkat project
    • Dapatkan Premium

    Halaman Kelola tingkat Anda akan terbuka.

  4. Di halaman Kelola paket Anda, pilih Premium.

  5. Klik Next. Halaman Layanan akan terbuka.

  6. Di halaman Layanan, aktifkan atau nonaktifkan setiap layanan bawaan sesuai kebutuhan dengan memilih salah satu nilai berikut dari menu di sebelah kiri layanan yang tercantum:

    • Inherit (entri default)
    • Aktifkan
    • Nonaktifkan

Anda telah menyelesaikan aktivasi Security Command Center. Selanjutnya, tunggu hingga pemindaian awal selesai.

Aktifkan untuk project saat Security Command Center tidak aktif di organisasi

Jika organisasi Anda tidak menggunakan Security Command Center, konsol Google Cloud akan memandu Anda menyelesaikan serangkaian halaman penyiapan saat mengaktifkan Security Command Center untuk sebuah project.

Langkah 1: Pilih tingkat Anda

Jika Security Command Center tidak aktif di organisasi Anda, halaman Get Security Command Center akan ditampilkan saat Anda membuka dasbor Security Command Center di Konsol Google Cloud. Anda memulai proses aktivasi dengan memilih tingkat.

Security Command Center memiliki tiga tingkat: Standard, Premium, dan Enterprise. Tingkat yang dipilih menentukan fitur yang tersedia untuk Anda dan biaya penggunaan Security Command Center. Anda hanya dapat mengaktifkan tingkat Enterprise di level organisasi. Untuk informasi selengkapnya, lihat Mengaktifkan tingkat Security Command Center Enterprise.

Untuk meninjau fitur yang disertakan pada setiap tingkat, lihat tingkat Security Command Center.

Untuk memilih tingkat dan memulai proses aktivasi Security Command Center, selesaikan langkah-langkah berikut:

  1. Buka halaman ringkasan Security Command Center di Konsol Google Cloud.

    Buka Security Command Center

  2. Dari menu drop-down pemilih project, klik nama project yang Security Command Center-nya perlu Anda aktifkan.

    Setelah Anda memilih project, Security Command Center akan membuka halaman Get Security Command Center, tempat Anda memulai proses aktivasi dengan memilih tingkat. Jika dasbor Security Command Center terbuka, Security Command Center sudah aktif di organisasi atau project Anda.

  3. Pilih tingkat Premium atau Standard, bergantung pada layanan yang Anda butuhkan.

  4. Klik Next. Halaman Pilih layanan akan terbuka.

Di bagian berikutnya, Anda akan memilih layanan bawaan yang ingin diaktifkan untuk project Anda.

Langkah 2: Pilih layanan

Di halaman Select services, semua layanan bawaan Security Command Center akan ditampilkan.

  1. Di halaman Layanan, aktifkan atau nonaktifkan setiap layanan bawaan sesuai kebutuhan dengan memilih salah satu nilai berikut dari menu di sebelah kiri layanan yang tercantum:

    • Mewarisi
    • Aktifkan
    • Nonaktifkan

    Setelah Anda menyelesaikan proses aktivasi, untuk setiap layanan yang Anda aktifkan, periksa dokumentasi untuk layanan tersebut untuk mengetahui langkah tambahan apa pun yang mungkin diperlukan untuk setiap layanan.

  2. Klik Next. Halaman Berikan peran akan terbuka.

Langkah 3: Konfigurasi agen layanan

Saat Anda mengaktifkan Security Command Center untuk pertama kalinya, Google Cloud akan otomatis membuat agen layanan IAM untuk Security Command Center dan layanan deteksinya.

Seperti yang dijelaskan dalam prosedur berikut, Anda memberikan peran IAM kepada agen layanan ini yang memberikan izin yang diperlukan Security Command Center dan layanan deteksinya untuk menjalankan fungsinya.

Saat Anda mengaktifkan Security Command Center di level project dan Security Command Center belum aktif di organisasi Anda, agen layanan level project berikut akan dibuat:

  • service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com. Anda memberikan peran IAM securitycenter.serviceAgent ke akun layanan ini.

  • service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.com. Anda memberikan peran IAM roles/containerthreatdetection.serviceAgent ke akun layanan ini.

Sebagai pengganti PROJECT_NUMBER, akun layanan berisi nomor project Anda.

Untuk memberikan peran IAM kepada agen layanan, ikuti langkah-langkah berikut:

  1. Secara opsional, di halaman Berikan peran, tinjau peran dan izin yang akan Anda berikan dengan mengklik Tinjau izin.

  2. Berikan peran yang diperlukan secara otomatis dengan mengklik Berikan peran.

    Atau, Anda dapat memberikan peran secara manual, dengan menyelesaikan langkah-langkah berikut:

    1. Klik Atau: berikan peran secara manual (gcloud).
    2. Salin perintah CLI gcloud.
    3. Di toolbar Konsol Google Cloud, klik Activate Cloud Shell.
    4. Di jendela terminal yang muncul, tempel perintah gcloud CLI yang Anda salin, lalu tekan Enter.
  3. Klik Next. Halaman Complete setup akan terbuka.

Langkah 4: Konfirmasi aktivasi

Selesaikan aktivasi Security Command Center dengan mengikuti langkah-langkah berikut:

  1. Di halaman Complete setup, klik Finish.

Setelah Anda menyelesaikan penyiapan, Security Command Center akan memulai pemindaian aset awal, setelah itu Anda dapat menggunakan dasbor untuk meninjau dan memperbaiki risiko keamanan dan data Google Cloud di seluruh project Anda.

Mungkin ada penundaan sebelum pemindaian dimulai untuk beberapa layanan. Seperti yang mungkin Anda harapkan, keterlambatan, atau pindai latensi, untuk layanan di setiap project biasanya lebih singkat daripada yang diperlukan untuk organisasi, tetapi sebagian besar alasan latensi masih berlaku. Untuk mengetahui informasi selengkapnya tentang latensi yang berlaku untuk organisasi, lihat Ringkasan latensi Security Command Center untuk mempelajari proses aktivasi lebih lanjut.

Untuk semua skenario aktivasi, optimalkan dan uji layanan bawaan

Setelah Anda mengaktifkan Security Command Center, periksa dokumentasi untuk setiap layanan guna melihat apakah Anda dapat menguji atau mengoptimalkan layanan lebih lanjut.

Misalnya, Event Threat Detection bergantung pada log yang dibuat oleh Google Cloud. Beberapa log selalu aktif, sehingga Event Threat Detection dapat mulai memindainya segera setelah diaktifkan. Log lain, seperti sebagian besar log audit akses data, harus Anda aktifkan sebelum Event Threat Detection dapat memindainya. Untuk mengetahui informasi selengkapnya, lihat Persyaratan aktivasi dan jenis log.

Untuk informasi selengkapnya tentang menguji dan menggunakan setiap layanan bawaan, lihat halaman berikut:

Langkah selanjutnya

Pelajari lebih lanjut tentang Security Command Center dan layanan bawaannya.