本页面介绍如何为组织激活 Security Command Center 标准层级或高级层级。如果您已为组织设置 Security Command Center,请参阅使用 Security Command Center 指南。
Security Command Center 提供三种服务层级:标准、高级和企业。您选择的层级决定了您可以使用的功能以及 Security Command Center 的使用费用。如需激活 Enterprise 层级,请参阅激活 Security Command Center Enterprise 层级。
如需在组织级层激活 Security Command Center 高级层级,请在 Google Cloud 控制台中选择基于用量的自助式价格选项。
首次启用 Security Command Center 时,您可以启用数据驻留控制措施。激活后,您便无法启用或停用数据驻留控制措施。如需了解详情,请参阅数据驻留支持。
如需详细了解每个层级提供的内置 Security Command Center 服务,请参阅 Security Command Center 层级。
如需了解与使用 Security Command Center 相关的费用,请参阅pricing页面。
如需仅为项目激活 Security Command Center,请参阅为项目激活 Security Command Center。
前提条件
激活 Security Command Center 之前,您需要一个组织、适当的 Identity and Access Management (IAM) 权限以及适当的组织政策。
创建组织
Security Command Center 需要与网域关联的组织资源。如果您尚未创建组织,请参阅创建和管理组织。
设置权限
如需设置 Security Command Center,您需要以下 IAM 角色:
- 组织管理员
roles/resourcemanager.organizationAdmin - Security Center Admin
roles/securitycenter.admin - Security Admin
roles/iam.securityAdmin - Create Service Accounts
roles/iam.serviceAccountCreator
详细了解 Security Command Center 角色。
验证组织政策
如果您的组织政策已设为 按网域限制身份:
- 您必须使用在允许的网域中的账号登录 Google Cloud 控制台。
- 您的服务账号必须位于允许的网域中,或是您网域内某个群组的成员。通过此项要求,您可以在启用网域限定共享功能的情况下允许使用
@*.gserviceaccount.com服务帐号的服务访问资源。
如果您的组织政策设置为限制资源使用,请验证是否允许 securitycenter.googleapis.com。
组织的激活场景
本页面介绍以下激活场景:
- 在从未激活 Security Command Center 的组织中,为组织激活 Security Command Center 的高级层级或标准层级。
- 在使用标准层级的组织中,为组织激活 Security Command Center 高级层级。
- 在使用即将过期的高级层级订阅的组织中,请更改为基于用量的价格选项。
首次为组织激活 Security Command Center
如需首次为组织激活 Security Command Center,您需要在 Google Cloud 控制台中按照引导式激活流程选择服务层级、启用数据驻留控制措施,以及启用所需的检测服务。然后,选择要监控的资源或资产,并向所需服务帐号授予权限。
如需在组织级层激活 Security Command Center 高级层级,请完成以下步骤。
转到 Google Cloud 控制台中的 Security Command Center。
在组织列表中,选择要为其启用 Security Command Center 的组织,然后点击选择。
系统会打开获取 Security Command Center 窗口。
在选择层级中,选择一个层级。
点击下一步。此时会打开选择服务页面。
可选:通过选择以下选项启用 Security Command Center 数据驻留控制:
在数据驻留下,选择启用数据驻留。
启用数据驻留后,如果 Security Command Center 服务在位于 Security Command Center 支持的数据位置的资源中检测到安全问题,则 Security Command Center 会自动将生成的发现结果记录存储在受影响资源所在的 Security Command Center 位置。
在选择默认位置字段中,选择默认的 Security Command Center 位置,将不在 Security Command Center 支持的位置或未在元数据中指定位置的资源存储发现结果。
在服务部分,启用所需的内置 Security Command Center 服务。每项启用的服务都会扫描整个组织的所有受支持的资源并报告发现结果。如需停用任何服务,请点击相应服务名称旁边的列表,然后选择停用。
如果标准层级已启用,您可以先配置高级服务的启用,然后再激活高级层级。只有稍后为组织激活高级层级后,配置才会应用。
以下是特定服务的说明:
为使 Container Threat Detection 正常运行,请确保集群采用了受支持的 Google Kubernetes Engine (GKE) 版本,并且 GKE 集群已正确配置。如需了解详情,请参阅使用 Container Threat Detection。
Event Threat Detection 依赖于 Google Cloud 生成的日志。如需使用 Event Threat Detection,请为组织、文件夹和项目启用日志。
Security Command Center 中自动提供了异常值检测发现结果。 新手入门后,可以按照配置 Security Command Center 中的步骤停用异常检测。
虽然未列出,但当您选择高级层级时,系统会自动启用安全状况服务。
在授予角色中,向 Security Command Center 的服务代理授予所需的 IAM 角色。
通过向服务代理授予角色,您可以提供 Security Command Center 及其检测服务执行其职能所需的权限。
服务账号名称采用以下格式:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com.您将向此服务帐号授予
securitycenter.serviceAgentIAM 角色。service-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.com.您将向此服务帐号授予
roles/containerthreatdetection.serviceAgentIAM 角色。
该服务账号包含您的组织的数字标识符,以代替
ORGANIZATION_ID。如需添加角色,请点击授予角色。
或者,您可以通过完成以下步骤来手动授予角色:
- 展开手动授予角色部分,然后复制 gcloud CLI 命令。
- 在 Google Cloud 控制台工具栏中,点击激活 Cloud Shell。
- 在分隔的终端窗口中,粘贴您复制的 gcloud CLI 命令,然后按 Enter 键。
如需了解与这些角色关联的权限,请参阅访问权限控制。完成以下操作之一:
在完成设置中,查看信息,然后点击完成。
设置完之后,Security Command Center 将启动初始资源扫描,之后您可以使用 Google Cloud 控制台审核并修复项目中的 Google Cloud 安全和数据风险。
对某些产品启动扫描之前可能会有延迟。请阅读 Security Command Center 延迟时间概览以详细了解激活过程。
查看每项服务的文档,了解您是否可以进一步测试或优化该服务。
例如,Event Threat Detection 依赖于 Google Cloud 生成的日志。某些日志始终处于启用状态,因此 Event Threat Detection 可以在启用后立即开始扫描它们。其他日志(例如大多数数据访问审核日志)必须先激活,然后 Event Threat Detection 才能扫描。如需了解详情,请参阅日志类型和激活要求。
如需详细了解如何测试和使用每种内置服务,请参阅以下页面:
从标准层级升级到高级层级
如需从 Security Command Center 标准层级升级到 Security Command Center 高级层级,请完成以下步骤。如果您想使用订阅,请先与 Google Cloud 销售人员联系。
如果您的组织需要 Security Command Center 高级方案提供的额外威胁检测和安全状况功能,请完成此任务。
转到 Google Cloud 控制台中的 Security Command Center。
在组织列表中,选择要升级到 Security Command Center 高级层级的组织,然后点击选择。
在 Security Command Center 页面上,点击获取高级层级。
在更改层级中,确认已选择高级。点击下一步。
在查看服务中,启用所需的服务。
点击更新层级。
从高级层级的订阅选项更改为基于用量选项
如果您之前使用订阅激活了 Security Command Center 高级层级,则可以在订阅到期之前注册基于用量价格的 Security Command Center。此注册可确保您的组织不会失去 Security Command Center 高级方案提供的安全功能。此价格变更将在订阅到期后生效。
转到 Google Cloud 控制台中的 Security Command Center。
在组织列表中,选择要为其更改价格选项的组织,然后点击选择。
在 Security Command Center 概览 页面上,点击设置。此时会打开设置页面,并显示服务标签页。
在设置页面上,点击层级详细信息。此时会打开层级页面。
点击管理层级。
在更改层级页面中,验证是否选择了高级,然后点击下一步。
在查看服务页面,查看您已启用的服务,然后点击更新层级。
从高级层级基于用量的选项降级为标准层级
如需从 Security Command Center 高级层级基于用量的付款方式更改为 Security Command Center 标准层级,请完成以下步骤。默认情况下,如果您有一项订阅,当订阅到期时,系统会自动将您降级为标准层级。
降级到 Security Command Center 标准层级后,您将无法再使用高级层级的服务和功能。在进行此更改之前,请确认贵组织的安全风险概况未受到负面影响。
虽然 Security Command Center 标准层级是免费的,但您仍可能会遇到间接费用。如需了解详情,请参阅可能的与 Security Command Center 相关的间接费用。
如果您在完成此任务后在组织级层升级回高级层级,则高级层级服务的配置设置会恢复。
转到 Google Cloud 控制台中的 Security Command Center。
在组织列表中,选择要为其降级 Security Command Center 层级的组织,然后点击选择。
在 Security Command Center 概览 页面上,点击设置。此时会打开设置页面,并显示服务标签页。
在设置页面上,点击层级详细信息。此时会打开层级页面。
点击管理层级。
在更改层级页面中,确认已选择标准,然后点击下一步。
在查看服务页面,查看您已启用的服务,然后点击更新层级。
从高级层级的项目级激活更改为高级层级的组织级激活
如需从项目级激活更改为组织级激活,您可以按照首次为组织激活 Security Command Center 中所述的激活流程进行操作。
以下价格变动适用:
- 在组织级激活过程中,可以使用 Security Command Center 高级层级。
- 针对组织级 Security Command Center 激活的价格条款将成为有效的价格条款。系统会针对产生用量的项目报告费用。
如果您更改为组织级激活,请勿删除您在项目级激活 Security Command Center 时创建的 Security Command Center 服务帐号。如果您确实删除了服务帐号,则某些 Security Health Analytics 检测器可能无法正常运行。
监控高级层级费用
如需监控与 Security Command Center 高级层级相关的费用,您可以使用 Cloud Billing。您可以将结算数据导出到 BigQuery 进行详细分析,或者创建具有支出提醒的预算。如需了解详情,请参阅监控费用。
后续步骤
- 了解如何配置 Security Command Center。
- 了解如何使用 Google Cloud 控制台中的 Security Command Center。
- 了解如何使用 Security Command Center 发现结果。
- 了解 Google Cloud 安全来源。