Attivare Security Command Center per un progetto

Questa pagina spiega come attivare il livello Standard o Premium di Security Command Center per un progetto Google Cloud.

Per attivare Security Command Center per un'intera organizzazione, consulta uno degli argomenti seguenti:

Prerequisiti

Per attivare Security Command Center in un progetto, sono necessari i seguenti prerequisiti, spiegati nelle sottosezioni seguenti:

  • Leggi le informazioni dei prerequisiti per capire in che modo l'attivazione di Security Command Center a livello di progetto differisce da un'attivazione a livello di organizzazione.
  • Devi avere un progetto Google Cloud associato a un'organizzazione.
  • Al tuo account utente devono essere concessi i ruoli IAM (Identity and Access Management) che contengono le autorizzazioni richieste.
  • Se il tuo progetto eredita criteri dell'organizzazione impostati per limitare le identità in base al dominio, gli account utente e di servizio devono trovarsi in un dominio consentito.
  • Se utilizzerai Container Threat Detection, i tuoi cluster Google Kubernetes Engine devono supportare Container Threat Detection.

Informazioni prerequisito

Per capire in che modo un'attivazione di Security Command Center a livello di progetto è diversa da un'attivazione a livello di organizzazione, consulta la Panoramica dell'abilitazione a livello di progetto di Security Command Center.

Per saperne di più sui servizi e sui risultati di Security Command Center non sono supportati con le attivazioni a livello di progetto, consulta Limitazioni dei servizi di attivazione a livello di progetto.

Requisiti del progetto

Per attivare Security Command Center per un progetto, il progetto deve essere associato a un'organizzazione. Se devi creare un progetto, consulta Creazione e gestione dei progetti.

Ruoli IAM necessari per questa attività

Per configurare Security Command Center, è necessario che siano concessi i seguenti ruoli IAM al tuo account utente nel progetto in cui stai abilitando Security Command Center:

  • Amministratore Centro sicurezza roles/securitycenter.admin
  • Amministratore sicurezza roles/iam.securityAdmin
  • A meno che non esistano già gli account di servizio Security Command Center richiesti da un'attivazione a livello di organizzazione, crea account di servizio roles/iam.serviceAccountCreator

Scopri di più sui ruoli di Security Command Center.

Verifica i criteri dell'organizzazione

Se il tuo progetto eredita criteri dell'organizzazione impostati per limitare le identità in base al dominio, devi soddisfare i seguenti requisiti:

  • Devi aver eseguito l'accesso alla console Google Cloud su un account che si trova in un dominio consentito.
  • I tuoi account di servizio devono trovarsi in un dominio consentito o devono far parte di un gruppo all'interno del tuo dominio. Questo requisito consente di consentire ai servizi @*.gserviceaccount.com di accedere alle risorse quando la condivisione limitata per i domini è abilitata.

Conferma le versioni del software per Container Threat Detection

Se prevedi di utilizzare Container Threat Detection con Google Kubernetes Engine (GKE), assicurati che i cluster utilizzino una versione di GKE supportata e che siano configurati correttamente. Per ulteriori informazioni, consulta Utilizzo di Container Threat Detection.

Scenari di attivazione per un progetto

In questa pagina vengono trattati i seguenti scenari di attivazione:

  • In un'organizzazione che non ha mai attivato Security Command Center, attiva il livello Premium o Standard di Security Command Center per un progetto.
  • In un'organizzazione che utilizza il livello Standard, attiva il livello Premium di Security Command Center per un progetto.
  • In un'organizzazione che utilizza un abbonamento al livello Premium in scadenza, attiva il livello Premium di Security Command Center per un progetto.

A seconda che la tua organizzazione utilizzi Security Command Center, puoi attivare Security Command Center per un progetto utilizzando metodi diversi.

Se la tua organizzazione non usa Security Command Center, la console Google Cloud ti guiderà attraverso una serie di pagine di configurazione.

Se la tua organizzazione utilizza Security Command Center, puoi attivare Security Command Center Premium per un progetto utilizzando la scheda Dettagli livello della pagina Impostazioni.

Determina se Security Command Center è già attivo nella tua organizzazione

La modalità di attivazione di Security Command Center per un progetto varia a seconda che Security Command Center sia già attivo nella tua organizzazione.

Per verificare se Security Command Center è già attivo nella tua organizzazione, completa i seguenti passaggi:

  1. Vai alla pagina Panoramica di Security Command Center nella console Google Cloud.

    Vai a Security Command Center

  2. Nell'elenco a discesa del selettore di progetti, fai clic sul nome del progetto per cui devi attivare Security Command Center.

    Dopo aver selezionato il progetto, si apre una delle seguenti pagine:

    • Se Security Command Center è attivo nella tua organizzazione, si apre la dashboard di Security Command Center.
    • Se Security Command Center non è stato attivato nell'organizzazione, si apre la pagina Ottieni Security Command Center da cui puoi avviare il processo di attivazione del progetto.

  3. Se Security Command Center è già attivo nella tua organizzazione, controlla il livello di servizio attualmente attivo.

    1. Apri la pagina Impostazioni di Security Command Center:

      Vai alle Impostazioni

    2. Nella pagina Impostazioni, fai clic su Dettagli livello. Si apre la pagina Tier.

    3. Nella riga Tier (Livello), viene elencato il livello di servizio che il progetto eredita.

  4. Per attivare Security Command Center per un progetto, segui la procedura per lo stato di attivazione di Security Command Center nell'organizzazione padre:

Attiva per un progetto quando Security Command Center è attivo nell'organizzazione

Se Security Command Center è già attivo in un'organizzazione, l'unico livello di servizio che deve essere attivato a livello di progetto è il livello Premium, perché, come minimo, il progetto erediterà l'utilizzo del livello Standard.

Per esaminare le funzionalità incluse in ogni livello, vedi Livelli di Security Command Center.

Quando Security Command Center è attivo in un'organizzazione, puoi avviare il processo di attivazione a livello di progetto selezionando il tuo progetto nella console Google Cloud e quindi il livello Premium nella pagina Impostazioni di Security Command Center.

  1. Apri la scheda Dettagli livello nella pagina Impostazioni:

    Vai ai dettagli del livello

    Si apre una pagina di selezione del progetto prima che venga visualizzata la pagina Dettagli livello.

  2. Seleziona il progetto. Si apre la pagina Dettagli livello.

  3. Nella pagina dei dettagli del livello, fai clic su una delle seguenti opzioni:

    • Gestisci il livello di progetto
    • Passa a Premium

    Viene visualizzata la pagina Gestisci il tuo livello.

  4. Nella pagina Gestisci il tuo livello, seleziona Premium.

  5. Tocca Avanti. Viene visualizzata la pagina Servizi.

  6. Nella pagina Servizi, abilita o disabilita ogni servizio integrato in base alle esigenze selezionando uno dei seguenti valori dal menu a sinistra del servizio in elenco:

    • Eredita (la voce predefinita)
    • Abilita
    • Disattiva

Hai completato l'attivazione di Security Command Center. Attendi quindi il completamento delle scansioni iniziali.

Attiva per un progetto quando Security Command Center non è attivo nell'organizzazione

Se la tua organizzazione non utilizza Security Command Center, la console Google Cloud ti guiderà attraverso una serie di pagine di configurazione quando attivi Security Command Center per un progetto.

Passaggio 1: seleziona il livello

Se Security Command Center non è attivo nella tua organizzazione, quando apri la dashboard di Security Command Center nella console Google Cloud, viene visualizzata la pagina Ottieni Security Command Center. Puoi avviare il processo di attivazione selezionando un livello.

Security Command Center dispone di tre livelli: Standard, Premium ed Enterprise. Il livello che selezioni determina le funzionalità disponibili e il costo di utilizzo di Security Command Center. Puoi attivare il livello Enterprise solo a livello di organizzazione. Per maggiori informazioni, vedi Attivare il livello di Security Command Center Enterprise.

Per esaminare le funzionalità incluse in ogni livello, vedi Livelli di Security Command Center.

Per selezionare il livello e avviare il processo di attivazione di Security Command Center, completa questi passaggi:

  1. Vai alla pagina di riepilogo di Security Command Center nella console Google Cloud.

    Vai a Security Command Center

  2. Nell'elenco a discesa del selettore di progetti, fai clic sul nome del progetto per cui devi attivare Security Command Center.

    Dopo aver selezionato il progetto, Security Command Center apre la pagina Ottieni Security Command Center in cui puoi avviare il processo di attivazione selezionando un livello. Se si apre la dashboard di Security Command Center, Security Command Center è già attivo nella tua organizzazione o nel tuo progetto.

  3. Seleziona il livello Premium o Standard, a seconda dei servizi che ti servono.

  4. Tocca Avanti. Viene visualizzata la pagina Seleziona servizi.

Nella sezione successiva, dovrai selezionare i servizi integrati che vuoi abilitare per il progetto.

Passaggio 2: seleziona i servizi

Nella pagina Seleziona servizi sono visualizzati tutti i servizi integrati di Security Command Center.

  1. Nella pagina Servizi, abilita o disabilita ogni servizio integrato in base alle esigenze selezionando uno dei seguenti valori dal menu a sinistra del servizio in elenco:

    • Eredita
    • Abilita
    • Disattiva

    Dopo aver completato il processo di attivazione, per ogni servizio abilitato, consulta la documentazione del servizio per eventuali passaggi aggiuntivi che potrebbero essere necessari per ogni servizio.

  2. Tocca Avanti. Viene visualizzata la pagina Concedi ruoli.

Passaggio 3: configura gli agenti di servizio

Quando attivi Security Command Center per la prima volta, Google Cloud crea automaticamente agenti di servizio IAM per Security Command Center e i relativi servizi di rilevamento.

Come descritto nella procedura seguente, concedi i ruoli IAM a questi agenti di servizio che forniscono le autorizzazioni necessarie a Security Command Center e ai suoi servizi di rilevamento per eseguire le proprie funzioni.

Quando attivi Security Command Center a livello di progetto e Security Command Center non è già attivo nella tua organizzazione, vengono creati i seguenti agenti di servizio a livello di progetto:

  • service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com. Concedi il ruolo IAM securitycenter.serviceAgent a questo account di servizio.

  • service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.com. Concedi il ruolo IAM roles/containerthreatdetection.serviceAgent a questo account di servizio.

Al posto di PROJECT_NUMBER, l'account di servizio contiene il numero del progetto.

Per concedere i ruoli IAM agli agenti di servizio, segui questi passaggi:

  1. (Facoltativo) Nella pagina Concedi ruoli, rivedi il ruolo e le autorizzazioni che stai per concedere facendo clic su Rivedi autorizzazioni.

  2. Concedi automaticamente i ruoli richiesti facendo clic su Concedi ruoli.

    In alternativa, puoi concedere il ruolo manualmente seguendo questi passaggi:

    1. Fai clic su In alternativa, concedi i ruoli manualmente (gcloud).
    2. Copia i comandi gcloud CLI.
    3. Nella barra degli strumenti della console Google Cloud, fai clic su Attiva Cloud Shell.
    4. Nella finestra del terminale che si apre, incolla i comandi di gcloud CLI che hai copiato, quindi premi Invio.

  3. Tocca Avanti. Viene visualizzata la pagina Completa la configurazione.

Passaggio 4: conferma l'attivazione

Per completare l'attivazione di Security Command Center:

  1. Nella pagina Completa la configurazione, fai clic su Fine.

Al termine della configurazione, Security Command Center avvia una scansione iniziale degli asset, dopodiché potrai utilizzare la dashboard per esaminare e risolvere i rischi per la sicurezza e i dati di Google Cloud nel tuo progetto.

Potrebbe verificarsi un ritardo prima dell'avvio delle analisi per alcuni servizi. Come ci si potrebbe aspettare, il ritardo, o latenza della scansione, per i servizi in un singolo progetto è in genere più breve di quello per un'organizzazione, ma la maggior parte dei motivi della latenza si applica comunque. Per saperne di più sulle latenze che si applicano alle organizzazioni, consulta la panoramica della latenza di Security Command Center per saperne di più sul processo di attivazione.

Per tutti gli scenari di attivazione, ottimizza e testa i servizi integrati

Dopo aver attivato Security Command Center, controlla la documentazione di ciascun servizio per sapere se puoi testare o ottimizzare ulteriormente il servizio.

Ad esempio, Event Threat Detection si basa sui log generati da Google Cloud. Alcuni log sono sempre attivi, quindi Event Threat Detection può iniziare ad analizzarli non appena viene abilitato. Altri log, come la maggior parte degli audit log di accesso ai dati, devi attivarli prima che Event Threat Detection possa analizzarli. Per ulteriori informazioni, consulta Tipi di log e requisiti di attivazione.

Per ulteriori informazioni su come testare e utilizzare ciascuno dei servizi integrati, consulta le seguenti pagine:

Passaggi successivi

Scopri di più su Security Command Center e sui suoi servizi integrati.