本页面介绍了如何为组织激活 Security Command Center 标准层级或高级层级。如果您已为组织设置 Security Command Center,请参阅使用 Security Command Center 指南。
Security Command Center 提供三种服务层级:标准、高级和企业。 您选择的层级决定了 以及使用 Security Command Center 的费用。如需激活 Enterprise 层级,请参阅激活 Security Command Center Enterprise 层级。
启用 Security Command Center 高级层级 在组织级别,您可以选择自助服务 Google Cloud 控制台中的随用随付价格选项。
您可以启用数据驻留控制措施 。激活后,您需要 无法启用或停用数据驻留控制措施。如需更多信息 请参阅数据驻留支持。
如需详细了解每个层级提供的内置 Security Command Center 服务,请参阅 Security Command Center 层级。
如需了解与使用 Security Command Center 相关的费用,请参阅价格页面。
如需仅为项目激活 Security Command Center,请参阅为项目激活 Security Command Center。
前提条件
激活 Security Command Center 之前,您需要一个组织、适当的 Identity and Access Management (IAM) 权限以及适当的组织政策。
创建组织
Security Command Center 要求组织资源与 网域。如果您尚未创建组织,请参阅创建和管理组织。
设置权限
如需设置 Security Command Center,您需要以下 IAM 角色:
- 组织管理员
roles/resourcemanager.organizationAdmin - Security Center Admin
roles/securitycenter.admin - Security Admin
roles/iam.securityAdmin - Create Service Accounts
roles/iam.serviceAccountCreator
详细了解 Security Command Center 角色。
验证组织政策
如果您的组织政策已设为 按网域限制身份:
- 您必须使用在允许的网域中的账号登录 Google Cloud 控制台。
- 您的服务账号必须位于允许的网域中,或是您网域内某个群组的成员。此要求允许您允许使用
@*.gserviceaccount.com服务账号,用于在网域受限时访问资源 共享。
如果您的组织政策设置为限制资源用量,请确认是否已允许 securitycenter.googleapis.com。
组织的激活场景
本页面介绍以下激活场景:
- 在从未激活 Security Command Center 的组织中,为组织激活 Security Command Center 的高级层级或标准层级。
- 在使用标准层级的组织中,请激活 组织的 Security Command Center 高级层级。
- 在使用即将到期的高级层级订阅的组织中, 更改为随用随付定价选项。
首次为组织激活 Security Command Center
如需首次为组织启用 Security Command Center,请按以下步骤操作: 您需要按照 Google Cloud 控制台中的引导式激活流程操作, 选择服务层级、启用数据驻留控制措施以及 所需的各种检测服务。 然后,选择要监控和授予权限的资源或资产 所需的服务账号
如需激活 Security Command Center 高级方案,请完成以下步骤 层级。
转到 Google Cloud 控制台中的 Security Command Center。
在组织列表中,选择要为其启用 Security Command Center 的组织,然后点击选择。
系统随即会打开获取 Security Command Center 窗口。
在选择层级中,选择一个层级。
点击下一步。此时会打开选择服务页面。
可选:启用 Security Command Center 数据驻留控制措施 选择以下选项:
在数据驻留下,选择启用数据驻留。
启用数据驻留时(如果 Security Command Center 服务) 位于以下位置的资源中检测到安全问题: Security Command Center 支持的数据位置, Security Command Center 会自动存储生成的发现结果 在同一 Security Command Center 位置 受影响的资源
在选择默认位置字段中,选择默认位置 Security Command Center 存储发现结果的位置 资源不在 Security Command Center 的 支持或不在其元数据中指定位置。
在服务部分, 启用内置的 Security Command Center 服务 所需的资源每项已启用的服务都会扫描所有受支持的资源,并报告整个组织的发现结果。要停用任一服务 点击服务名称旁边的列表,然后选择停用。
如果标准层级已启用,您可以先配置高级服务的启用,然后再激活高级层级。只有稍后为组织激活高级层级后,配置才会应用。
以下是特定服务的说明:
为使 Container Threat Detection 正常运行,请确保集群采用了受支持的 Google Kubernetes Engine (GKE) 版本,并且 GKE 集群已正确配置。如需了解详情,请参阅使用 Container Threat Detection。
Event Threat Detection 依赖于 Google Cloud 生成的日志。要使用 Event Threat Detection,为您的组织启用日志 文件夹和项目。
Security Command Center 中自动提供了异常值检测发现结果。 初始配置完成后,您可以按照 配置 Security Command Center 服务。
安全状况虽然未列出,但 service 已启用 。
在授予角色中,授予所需的 IAM 角色 服务代理 Security Command Center
通过向服务代理授予角色, Security Command Center 及其检测服务的权限, 执行其职能所需的资源。
服务账号名称采用以下格式:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com。您授予
securitycenter.serviceAgent授予此服务账号的 IAM 角色。service-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.com。您授予
roles/containerthreatdetection.serviceAgent授予此服务账号的 IAM 角色。
该服务账号包含您的组织的数字标识符,以代替
ORGANIZATION_ID。如需添加角色,请点击授予角色。
或者,您可以通过完成以下步骤来手动授予角色:
- 展开手动授予角色部分,然后复制 gcloud CLI 命令。
- 在 Google Cloud 控制台工具栏中,点击激活 Cloud Shell。
- 在分隔的终端窗口中,粘贴您复制的 gcloud CLI 命令,然后按 Enter 键。
如需了解与这些角色关联的权限,请参阅 访问权限控制。 完成以下操作之一:
在完成设置中,查看信息,然后点击完成。
设置完之后,Security Command Center 将启动初始资源扫描,之后您可以使用 Google Cloud 控制台审核并修复项目中的 Google Cloud 安全和数据风险。
对某些产品启动扫描之前可能会有延迟。请阅读 Security Command Center 延迟时间概览以详细了解激活过程。
查看每项服务的文档,了解您是否可以进一步测试或优化该服务。
例如,Event Threat Detection 依赖于 Google Cloud 生成的日志。某些日志始终处于启用状态,因此 Event Threat Detection 可以在启用后立即开始扫描它们。其他日志(例如大多数数据访问审核日志)必须先激活,然后 Event Threat Detection 才能扫描。如需了解详情,请参阅日志类型和激活要求。
如需详细了解如何测试和使用每种内置服务,请参阅以下页面:
从标准层级升级到高级层级
如需从 Security Command Center 标准层级升级到 Security Command Center 高级层级。如果您想使用订阅,请先与 Google Cloud 销售人员联系。
完成此任务时, 组织需要额外的威胁检测和安全状况 Security Command Center 高级层级提供的各种功能。
转到 Google Cloud 控制台中的 Security Command Center。
在组织列表中,选择要升级到 Security Command Center 高级层级的组织,然后点击选择。
在 Security Command Center 页面上,点击获取高级层级。
在更改层级中,确认已选择高级。点击下一步。
在查看服务中,启用所需的服务。
点击更新层级。
从高级层级的订阅选项更改为随用随付选项
如果您之前使用 订阅,您便可在 Google Cloud 控制台中注册 Security Command Center 在订阅到期前采用随用随付定价模式。完成注册可确保贵组织不会失去安全性 Security Command Center 高级层级提供的功能。这项价格变动将在您的订阅到期后生效。
转到 Google Cloud 控制台中的 Security Command Center。
在组织列表中,选择您要使用的组织 更改定价选项,然后点击选择。
在 Security Command Center 概览 页面上,点击设置。此时会打开设置页面,并显示服务标签页。
在设置页面上,点击层级详细信息。此时会打开层级页面。
点击管理层级。
在更改层级页面中,验证是否选择了高级,然后点击下一步。
在查看服务页面中,查看已启用的服务,然后点击更新层级。
从高级层级的随用随付方案降级到标准层级
如需更改 Security Command Center 的随用随付付款方式,请完成以下步骤 从高级层级到 Security Command Center 标准层级。默认情况下,如果您有一项订阅,当订阅到期时,系统会自动将您降级为标准层级。
降级为 Security Command Center 标准层级后,您将无法再使用高级层级服务和功能。验证贵组织的 在您进行此项更改之前,安全风险概况不会受到负面影响。
虽然 Security Command Center 标准层级是免费的,但您仍可能会遇到间接 费用。如需了解详情,请参阅 可能与 Security Command Center 相关的间接费用。
如果您在完成此任务后在组织级层升级回高级层级,则高级层级服务的配置设置会恢复。
转到 Google Cloud 控制台中的 Security Command Center。
在组织列表中,选择您要使用的组织 要为其降级 Security Command Center 层级,然后点击选择。
在 Security Command Center 概览 页面上,点击设置。此时会打开设置页面,并显示服务标签页。
在设置页面上,点击层级详细信息。此时会打开层级页面。
点击管理层级。
在更改层级页面中,确认已选择标准,然后点击下一步。
在查看服务页面中,查看已启用的服务,然后点击更新层级。
从高级层级的项目级激活更改为高级层级的组织级激活
如需将项目级激活更改为组织级激活,请按以下步骤操作: 您可以按照首次为组织激活 Security Command Center 中所述的激活流程进行操作。
适用的价格变更如下:
- Security Command Center 高级层级的使用受 组织级激活。
- Security Command Center 的组织级激活价格条款 成为有效的定价条款。系统会针对产生用量的项目报告费用。
如果您更改为组织级激活,请不要删除 激活时创建的 Security Command Center 服务账号 项目级的 Security Command Center。某些 Security Health Analytics 检测器 则您可能无法正常工作。
监控高级层级费用
如需监控与 Security Command Center 高级层级相关的费用,您可以使用 Cloud Billing。您可以将结算数据导出至 BigQuery, 或创建带有支出提醒的预算。如需了解详情,请参阅 监控费用。
后续步骤
- 了解如何配置 Security Command Center 服务。
- 了解如何使用 Google Cloud 控制台中的 Security Command Center。
- 了解如何处理 Security Command Center 发现结果。
- 了解 Google Cloud 安全来源。