En esta página, se muestra cómo activar el nivel Premium o el nivel estándar de Security Command Center para una organización. Si ya configuraste Security Command Center en tu organización, consulta la guía para usar Security Command Center.
Security Command Center proporciona tres niveles de servicio: Estándar, Premium y Empresarial. El nivel que selecciones determina las funciones que tienes disponibles y el costo de utilizar Security Command Center. Para activar el nivel Enterprise, consulta Cómo activar Security Command Center Enterprise Center.
Para activar el nivel Premium de Security Command Center a nivel de la organización, selecciona una opción de precios de pago por uso y autoservicio en la consola de Google Cloud.
Puedes habilitar los controles de residencia de datos cuando actives Security Command Center por primera vez. Después de la activación, no podrás habilitar ni inhabilitar los controles de residencia de datos. Para obtener más información, consulta Asistencia para la residencia de datos.
Para obtener información detallada sobre los servicios integrados de Security Command Center que están disponibles con cada nivel, consulta Niveles de Security Command Center.
Para obtener información sobre los costos asociados con el uso de Security Command Center, consulta la página de precios.
Para activar Security Command Center solo para un proyecto, consulta Cómo activar Security Command Center para un proyecto.
Requisitos previos
Antes de activar Security Command Center, necesitas una organización, los permisos correctos de Identity and Access Management (IAM) y las políticas de organización adecuadas.
Crea una organización
Security Command Center requiere un recurso de organización asociado a un dominio. Si no creaste una organización, consulta Crea y administra organizaciones.
Configura los permisos
Para configurar Security Command Center, necesitas los siguientes roles de IAM:
- Administrador de la organización
roles/resourcemanager.organizationAdmin
- Administrador del centro de seguridad
roles/securitycenter.admin
- Administrador de seguridad
roles/iam.securityAdmin
- Crea cuentas de servicio
roles/iam.serviceAccountCreator
Obtén más información sobre las funciones de Security Command Center.
Verifica las políticas de la organización
Si las políticas de tu organización están configuradas para restringir identidades por dominio, haz lo siguiente:
- Debes acceder a la consola de Cloud en una cuenta que esté en un dominio permitido.
- Tus cuentas de servicio deben estar en un dominio permitido o miembros de un grupo dentro de tu dominio. Este requisito te permite permitir que los servicios que usan la cuenta de servicio
@*.gserviceaccount.com
accedan a los recursos cuando el uso compartido restringido del dominio está habilitado.
Si las políticas de tu organización están configuradas para restringir el uso de recursos, verifica que se permita securitycenter.googleapis.com
.
Situaciones de activación para una organización
En esta página, se describen las siguientes situaciones de activación:
- En una organización que nunca activó Security Command Center, activa el nivel Premium o Estándar de Security Command Center para una organización.
- En una organización que usa el nivel Estándar, activa el nivel Premium de Security Command Center para la organización.
- En una organización que usa una suscripción a un nivel Premium por vencer, cambia a la opción de precios de pago por uso.
Activa Security Command Center para una organización por primera vez
Para activar Security Command Center para una organización por primera vez, sigue un proceso de activación guiado en la consola de Google Cloud para elegir un nivel de servicio, habilitar los controles de residencia de datos y habilitar los servicios de detección que necesites. Luego, selecciona los recursos o elementos para supervisar y otorgar permisos a las cuentas de servicio requeridas.
Completa los siguientes pasos para activar el nivel Premium de Security Command Center a nivel de la organización.
En la consola de Google Cloud, ve a Security Command Center.
Selecciona la organización en la que quieres habilitar Security Command Center y, luego, haz clic en Seleccionar.
Se abrirá la ventana Obtener Security Command Center.
En Seleccionar nivel, selecciona un nivel.
Haz clic en Siguiente. Se abrirá la página Seleccionar servicios.
Opcional: Selecciona las siguientes opciones para habilitar los controles de residencia de datos de Security Command Center:
En Residencia de datos, selecciona Habilitar residencia de datos.
Cuando la residencia de datos está habilitada, si un servicio de Security Command Center detecta un problema de seguridad en un recurso que se encuentra en una ubicación de datos compatible con Security Command Center, Security Command Center almacenará automáticamente el registro de resultados resultante en la misma ubicación de Security Command Center en la que se encuentra el recurso afectado.
En el campo Seleccionar una ubicación predeterminada, selecciona la ubicación predeterminada de Security Command Center en la que deseas almacenar los resultados de los recursos que no se encuentran en una ubicación compatible con Security Command Center o que no especifican una ubicación en sus metadatos.
En la sección Servicios, habilita los servicios integrados de Security Command Center que necesites. Cada servicio habilitado analiza todos los recursos compatibles y, también, informa resultados para toda tu organización. Para inhabilitar un servicio, haz clic en la lista junto al nombre del servicio y, luego, selecciona Inhabilitar.
Si el nivel Estándar está habilitado, puedes configurar la habilitación de los servicios Premium antes de activar el nivel Premium. La configuración no se aplicará hasta que actives el nivel Premium para la organización más adelante.
Las siguientes son notas para servicios específicos:
Para que la detección de amenazas a contenedores funcione de forma correcta, asegúrate de que tus clústeres estén en una versión compatible de Google Kubernetes Engine (GKE) y que tus clústeres de GKE estén configurados de forma correcta. Para obtener más información, consulta cómo usar la detección de amenazas de contenedores.
Event Threat Detection se basa en registros generados por Google Cloud. Para usar la detección de eventos de amenazas, habilita los registros en la organización, las carpetas y los proyectos.
Los resultados de detección de anomalías están disponibles automáticamente en Security Command Center. La detección de anomalías se puede inhabilitar después de la integración mediante los pasos que se indican en Configura los servicios de Security Command Center.
Aunque no aparece en la lista, el servicio de postura de seguridad se habilita automáticamente cuando seleccionas el nivel Premium.
En Otorgar roles, otorga los roles de IAM necesarios a los agentes de servicio de Security Command Center.
Cuando otorgas los roles a los agentes de servicio, proporcionas los permisos que Security Command Center y sus servicios de detección necesitan para realizar sus funciones.
Los nombres de las cuentas de servicio tienen los siguientes formatos:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Otorga el rol de IAM
roles/securitycenter.serviceAgent
a este agente de servicio.service-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.com
Otorga el rol de IAM
roles/containerthreatdetection.serviceAgent
a este agente de servicio.
En lugar de
ORGANIZATION_ID
, el agente de servicio contiene el identificador numérico de tu organización.Para agregar los roles, haz clic en Otorgar roles.
Como alternativa, puedes otorgar los roles de forma manual. Para ello, completa los siguientes pasos:
- Expande la sección Otorgar roles de forma manual y copia el comando de gcloud CLI.
- En la barra de herramientas de la consola de Google Cloud, haz clic en Activar Cloud Shell.
- En la ventana de la terminal que, a continuación, pega los comandos de la CLI de gcloud que copiaste y, luego, presiona Intro.
Para obtener información sobre los permisos asociados con estos roles, consulta Control de acceso.
En Completar configuración, revisa la información y haz clic en Finalizar.
Cuando termines la configuración, Security Command Center iniciará un análisis inicial de recursos, después del cual podrás usar la consola de Google Cloud para revisar y solucionar los riesgos de seguridad y datos de Google Cloud en todo tu proyecto.
Puede haber una demora antes de que se inicien los análisis de algunos productos. Lee la descripción general de la latencia de Security Command Center para obtener más información sobre el proceso de activación.
Consulta la documentación de cada servicio para ver si puedes probarlo o optimizarlo más.
Por ejemplo, Event Threat Detection se basa en registros generados por Google Cloud. Algunos registros siempre están activados, por lo que Event Threat Detection puede comenzar a analizarlos en cuanto se habilita. Otros registros, como la mayoría de los registros de auditoría de acceso a los datos, deben estar activados para que Event Threat Detection pueda analizarlos. Para obtener más información, consulta Tipos de registros y requisitos de activación.
Para obtener más información sobre cómo probar y usar cada uno de los servicios integrados, consulta las siguientes páginas:
Actualiza del nivel Estándar al nivel Premium
Completa los siguientes pasos para actualizar del nivel Security Command Center Standard al nivel Security Command Center Premium. Si deseas usar una suscripción, primero comunícate con Ventas de Google Cloud.
Completa esta tarea cuando tu organización requiera las funciones adicionales de detección de amenazas y postura de seguridad que ofrece el nivel Premium de Security Command Center.
En la consola de Google Cloud, ve a Security Command Center.
Selecciona la organización a la que deseas actualizar al nivel Premium de Security Command Center y, luego, haz clic en Seleccionar.
En la página de Security Command Center, haz clic en Obtener Premium.
En Cambiar nivel, verifica que esté seleccionada la opción Premium. Haz clic en Siguiente.
En Revisar servicios, habilita los servicios que necesites.
Haz clic en Actualizar tu nivel.
Cambia de una opción de suscripción del nivel Premium a la opción de pago por uso
Si anteriormente activaste el nivel Premium de Security Command Center con una suscripción, puedes inscribir Security Command Center en el precio de pago por uso antes de que venza la suscripción. Esta inscripción ayuda a asegurar que tu organización pueda acceder al nivel Premium de Security Command Center sin interrupciones. Este cambio de precio entrará en vigencia una vez que venza tu suscripción.
En la consola de Google Cloud, ve a Security Command Center.
Selecciona la organización para la que deseas cambiar la opción de precios y, luego, haz clic en Seleccionar.
En la página Descripción general de Security Command Center, haz clic en Configuración. Se abrirá la página Configuración y se mostrará la pestaña Servicios.
En la página Configuración, haz clic en Detalles del nivel. Se abrirá la página Nivel.
Haz clic en Administrar nivel.
En la página Change tier, verifica que esté seleccionada la opción Premium y haz clic en Next.
En la página Revisar servicios, revisa los servicios que habilitaste y haz clic en Actualizar nivel.
Cambiar de la opción de pago por uso del nivel Premium al nivel Estándar
Completa los siguientes pasos para cambiar de la opción de pago por uso del nivel Premium de Security Command Center al nivel estándar de Security Command Center. De forma predeterminada, si tienes una suscripción, se te cambia automáticamente al nivel Estándar cuando esta vence.
Cuando cambias al nivel inferior de Security Command Center Estándar, pierdes el acceso a los servicios y las funciones del nivel Premium. Verifica que el perfil de riesgo de seguridad de tu organización no se vea afectado negativamente antes de realizar este cambio.
Aunque el nivel Standard de Security Command Center es gratuito, es posible que debas pagar cargos indirectos. Para obtener más información, consulta Posibles cargos indirectos asociados con Security Command Center.
Si vuelves a actualizar al nivel Premium a nivel de la organización después de completar esta tarea, se restablecerá la configuración de los servicios del nivel Premium.
En la consola de Google Cloud, ve a Security Command Center.
Selecciona la organización para la que deseas cambiar a una versión inferior del nivel de Security Command Center y, luego, haz clic en Seleccionar.
En la página Descripción general de Security Command Center, haz clic en Configuración. Se abrirá la página Configuración y se mostrará la pestaña Servicios.
En la página Configuración, haz clic en Detalles del nivel. Se abrirá la página Nivel.
Haz clic en Administrar nivel.
En la página Change tier, verifica que esté seleccionada la opción Standard y haz clic en Next.
En la página Revisar servicios, revisa los servicios que habilitaste y haz clic en Actualizar tu nivel.
Cambia la activación del nivel Premium de nivel de proyecto a nivel de organización
Para cambiar de una activación a nivel del proyecto a una a nivel de la organización, puedes seguir el proceso de activación que se describe en Cómo activar Security Command Center para una organización por primera vez.
Se aplican los siguientes cambios de precios:
- El uso del nivel Premium de Security Command Center está cubierto por la activación a nivel de la organización.
- Las condiciones de precios de la activación a nivel de la organización de Security Command Center se convierten en las condiciones de precios vigentes. Los cargos se registran en los proyectos en los que se produce el uso.
Si cambias a una activación a nivel de la organización, no borres la cuenta de servicio de Security Command Center que se creó cuando activaste Security Command Center a nivel del proyecto. Es posible que algunos detectores de Security Health Analytics no funcionen correctamente si borras la cuenta de servicio.
Supervisa tus costos con el nivel Premium
Para supervisar los costos asociados con el nivel Premium de Security Command Center, puedes usar Facturación de Cloud. Puedes exportar datos de facturación a BigQuery para realizar un análisis detallado o crear un presupuesto con alertas de gastos. Para obtener más información, consulta Supervisa los costos.
¿Qué sigue?
- Obtén más información para configurar los servicios de Security Command Center.
- Obtén más información para usar Security Command Center en la consola de Google Cloud.
- Obtén más información para trabajar con los hallazgos de Security Command Center.
- Obtén más información sobre las fuentes de seguridad de Google Cloud.