Ativar o Security Command Center para um projeto

Nesta página, explicamos como ativar os níveis Standard ou Premium do Security Command Center em um projeto do Google Cloud.

Para ativar o Security Command Center para uma organização inteira, consulte uma das seguintes opções:

• Ativar o nível Standard ou Premium do Security Command Center para uma organização
• Ativar o Security Command Center Enterprise Center

Pré-requisitos

Para ativar o Security Command Center em um projeto, é necessário atender aos seguintes pré-requisitos, explicados nas seguintes subseções:

• Leia as informações de pré-requisito para entender as diferenças entre a ativação do Security Command Center no nível do projeto e a ativação no nível da organização.
• Você precisa ter um projeto do Google Cloud associado a uma organização.
• Sua conta de usuário precisa receber papéis do Identity and Access Management (IAM) com as permissões necessárias.
• Se o projeto herdar políticas da organização definidas para restringir identidades por domínio, as contas de usuário e serviço precisam ficar em um domínio permitido.
• Se você usar o Container Threat Detection, os clusters do Google Kubernetes Engine precisam ser compatíveis com ele.

Informações de pré-requisito

Para entender como uma ativação do Security Command Center no nível do projeto é diferente da ativação no nível da organização, consulte Visão geral da ativação do Security Command Center no nível do projeto.

Para saber mais sobre os serviços e as descobertas do Security Command Center que não são compatíveis com as ativações no nível do projeto, consulte Limitações do serviço de ativação no nível do projeto.

Requisitos do projeto

Para ativar o Security Command Center em um projeto, ele precisa estar associado a uma organização. Se você precisa criar um projeto, consulte Como criar e gerenciar projetos.

Papéis do IAM necessários para esta tarefa

Para configurar o Security Command Center, os seguintes papéis do IAM devem ser concedidos à conta de usuário no projeto em que o Security Command Center será ativado:

• Administrador da Central de segurança roles/securitycenter.admin
• Administrador de segurança roles/iam.securityAdmin
• A menos que as contas de serviço necessárias do Security Command Center já existam em uma ativação no nível da organização, crie contas de serviço roles/iam.serviceAccountCreator

Saiba mais sobre os papéis do Security Command Center.

Verificar as políticas da organização

Se o projeto herdar políticas da organização definidas para restringir identidades por domínio, será necessário atender aos seguintes requisitos:

• Você precisa fazer login no console do Google Cloud por uma conta que esteja em um domínio permitido.
• As contas de serviço precisam estar em um domínio permitido ou membros de um grupo dentro do domínio. Esse requisito permite que os serviços do @*.gserviceaccount.com acessem os recursos quando o compartilhamento restrito de domínio estiver ativado.

Confirmar as versões de software do Container Threat Detection

Se você planeja usar o Container Threat Detection com o Google Kubernetes Engine (GKE), verifique se os clusters estão em uma versão compatível do GKE e se estão configurados corretamente. Para mais informações, consulte Como usar o Container Threat Detection.

Cenários de ativação para um projeto

Esta página abrange os seguintes cenários de ativação:

• Em uma organização que nunca ativou o Security Command Center, ative o nível Premium ou Standard do Security Command Center para um projeto.
• Em uma organização que usa o nível Standard, ative o nível Premium do Security Command Center em um projeto.
• Em uma organização que usa uma assinatura de nível Premium prestes a expirar, ative o nível Premium do Security Command Center para um projeto.

Se a organização estiver usando o Security Command Center, ative o Security Command Center para um projeto usando métodos diferentes.

Se a organização não usar o Security Command Center, o console do Google Cloud guia você por uma série de páginas de configuração.

Se a organização usa o Security Command Center, ative o Security Command Center Premium para um projeto na guia Detalhes de nível da página Configurações.

Determinar se o Security Command Center já está ativo na organização

A maneira de ativar o Security Command Center para um projeto varia dependendo se o Security Command Center já está ativo na organização.

Para verificar se o Security Command Center já está ativo na organização, conclua as seguintes etapas:

1. Acesse a página Visão geral do Security Command Center no console do Google Cloud.

   Acesse Security Command Center

2. Na lista suspensa do seletor de projetos, clique no nome do projeto em que você precisa ativar o Security Command Center.

   Depois de selecionar o projeto, uma das seguintes páginas vai ser aberta:

   • O painel será aberto se o Security Command Center estiver ativo na organização.
   • Se o Security Command Center não estiver ativado na organização, a página Usar o Security Command Center será aberta para você iniciar o processo de ativação do projeto.

3. Se o Security Command Center já estiver ativo na organização, verifique o nível de serviço que está ativo no momento.

   1. Abra a página Configurações do Security Command Center:

      Acesse configurações

   2. Na página Configurações, clique em Detalhes de nível. A página Nível é aberta.

   3. O nível de serviço que o projeto herda é listado na linha Nível.

4. Para ativar o Security Command Center para um projeto, siga o procedimento para o estado de ativação do Security Command Center na organização-pai:

   • Ativar em um projeto quando o Security Command Center estiver ativo na organização
   • Ativar para um projeto quando o Security Command Center não estiver ativo na organização

Ativar para um projeto quando o Security Command Center estiver ativo na organização

Se o Security Command Center já estiver ativo em uma organização, o único nível de serviço que você precisará ativar no nível do projeto será o nível Premium, porque, no mínimo, o projeto herdará o uso do nível Standard.

Para analisar os recursos de cada nível, consulte Níveis do Security Command Center.

Quando o Security Command Center está ativo em uma organização, você inicia o processo de ativação no nível do projeto selecionando seu projeto no console do Google Cloud e, em seguida, selecionando o nível Premium na página Configuraçõesdo Security Command Center.

1. Abra a guia Detalhe de nível da página Configurações:

   Acesse Detalhes de nível

   Uma página de seleção de projetos é aberta antes de você acessar a página Detalhes de nível.

2. Selecione o projeto. A página Detalhes de nível é aberta.

3. Na página Detalhes de nível, clique em uma das seguintes opções:

   • Gerenciar o nível do projeto
   • Seja Premium

   A página Gerenciar o nível é aberta.

4. Na página Gerenciar seu nível, selecione Premium.

5. Clique em Próxima. A página Serviços é aberta.

6. Na página Serviços, ative ou desative cada serviço integrado conforme necessário selecionando um dos seguintes valores do menu à esquerda do serviço listado:

   • Herdar (a entrada padrão)
   • Ativar
   • Desativar

Você concluiu a ativação do Security Command Center. Em seguida, aguarde a conclusão das verificações iniciais.

Ativar para um projeto quando o Security Command Center não estiver ativo na organização

Se sua organização não usa o Security Command Center, o console do Google Cloud guia você por uma série de páginas de configuração quando o Security Command Center é ativado para um projeto.

Etapa 1: selecionar o nível

Quando o Security Command Center não está ativo na organização, ao abrir o painel do Security Command Center no console do Google Cloud, a página Usar o Security Command Center é exibida. Selecione um nível para iniciar o processo de ativação.

O Security Command Center tem três níveis: Standard, Premium e Enterprise. O nível selecionado determina os recursos disponíveis para você e o custo de uso do Security Command Center. Só é possível ativar o nível Enterprise no nível da organização. Para mais informações, consulte Ativar o Security Command Center Enterprise Center.

Para analisar os recursos de cada nível, consulte Níveis do Security Command Center.

Para selecionar o nível e iniciar o processo de ativação do Security Command Center, siga estas etapas:

1. Acesse a página de visão geral do Security Command Center no console do Google Cloud.

   Acesse Security Command Center

2. Na lista suspensa do seletor de projetos, clique no nome do projeto em que você precisa ativar o Security Command Center.

   Depois de selecionar o projeto, o Security Command Center é aberto na página Use o Security Command Center, na qual você inicia o processo de ativação selecionando um nível. Se o painel do Security Command Center for aberto, ele já está ativo na organização ou no projeto.

3. Selecione o nível Premium ou Standard, dependendo dos serviços necessários.

4. Clique em Próxima. A página Selecionar serviços é aberta.

Na próxima seção, você selecionará os serviços integrados que quer ativar no projeto.

Etapa 2: selecionar serviços

Na página Selecionar serviços, todos os serviços integrados do Security Command Center são exibidos.

1. Na página Serviços, ative ou desative cada serviço integrado conforme necessário selecionando um dos seguintes valores do menu à esquerda do serviço listado:

   • Herdar
   • Ativar
   • Desativar

   Depois de concluir o processo de ativação, verifique as etapas adicionais que podem ser necessárias para cada serviço habilitado na documentação desse serviço.

2. Clique em Próxima. A página Conceder papéis é aberta.

Etapa 3: configurar os agentes de serviço

Quando você ativa o Security Command Center pela primeira vez, o Google Cloud cria automaticamente agentes de serviço do IAM para o Security Command Center e os serviços de detecção dele.

Conforme descrito no procedimento a seguir, conceda papéis do IAM a esses agentes de serviço com as permissões necessárias para que o Security Command Center e os serviços de detecção dele executem as próprias funções.

Quando você ativa o Security Command Center no nível do projeto e ele ainda não está ativo na sua organização, os seguintes agentes de serviço no nível do projeto são criados:

• service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com. Você concede o papel do IAM securitycenter.serviceAgent a essa conta de serviço.

• service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.com. Você concede o papel do IAM roles/containerthreatdetection.serviceAgent a essa conta de serviço.

No lugar de PROJECT_NUMBER, a conta de serviço contém o número do projeto.

Para conceder os papéis do IAM aos agentes de serviço, siga estas etapas:

1. Como opção, na página Conceder papéis, clique em Analisar permissões para revisar os papéis e permissões que serão concedidos.

2. Conceda os papéis necessários automaticamente clicando em Conceder papéis.

   Se preferir, siga estas etapas para conceder papéis manualmente:

   1. Clique em Alternativamente: conceder papéis manualmente (gcloud).
   2. Copie os comandos da CLI gcloud.
   3. Na barra de ferramentas do console do Google Cloud, clique em Ativar o Cloud Shell.
   4. Na janela de terminal exibida, cole os comandos da CLI que você copiou e pressione Enter.

3. Clique em Próxima. A página Concluir configuração é aberta.

Etapa 4: confirmar a ativação

Siga estas etapas para concluir a ativação do Security Command Center:

1. Na página Concluir configuração, clique em Concluir.

Ao terminar a configuração, o Security Command Center inicia uma verificação inicial de recursos. Depois disso, é possível usar o painel para analisar e corrigir os riscos de segurança e dados do Google Cloud em toda a organização.

As verificações de alguns serviços podem demorar um tempo até serem iniciadas. Como esperado, o atraso ou a latência de verificação para serviços de um projeto individual geralmente é menor do que para uma organização, mas a maioria dos motivos para a latência ainda se aplica. Para mais informações sobre as latências aplicáveis às organizações e para saber mais sobre o processo de ativação, consulte Visão geral da latência do Security Command Center.

Para todos os cenários de ativação, otimizar e testar os serviços integrados

Depois de ativar o Security Command Center, verifique a documentação de cada serviço para ver se é possível testá-los ou otimizá-los ainda mais.

Por exemplo, o Event Threat Detection depende de registros gerados pelo Google Cloud. Alguns registros ficam sempre ativados, então o Event Threat Detection pode começar a verificá-los assim que forem ativados. Outros registros, como a maioria dos registros de auditoria de acesso a dados, precisam ser ativados antes que o Event Threat Detection possa verificá-los. Para mais informações, consulte Tipos de registro e requisitos de ativação.

Para mais informações sobre como testar e usar cada serviço integrado, consulte as seguintes páginas:

• Usar o Container Threat Detection
• Usar o Event Threat Detection
• Usar a Detecção rápida de vulnerabilidades
• Usar a Análise de integridade da segurança
• Usar a Detecção de ameaças a máquinas virtuais
• Usar o Web Security Scanner

A seguir

Saiba mais sobre o Security Command Center e os serviços integrados dele.

• Saiba como analisar recursos, descobertas e vulnerabilidades usando o painel do Security Command Center.
• Saiba mais sobre as fontes de segurança do Google Cloud.
• Saiba como adicionar fontes de segurança ao Security Command Center.