Cette page explique comment activer le niveau Standard ou Premium de Security Command Center pour une organisation. Si Security Command Center est déjà configuré dans votre organisation, consultez le guide Utiliser Security Command Center.
Security Command Center propose trois niveaux de service: Standard, Premium et Entreprise. Le niveau que vous sélectionnez détermine les fonctionnalités disponibles et le coût d'utilisation de Security Command Center. Pour activer le niveau Entreprise, consultez Activer Security Command Center Enterprise Center.
Pour activer le niveau Premium de Security Command Center au niveau de l'organisation, vous devez sélectionner une option de tarification en libre-service basée sur l'utilisation dans la console Google Cloud.
Vous pouvez activer les contrôles de résidence des données lorsque vous activez Security Command Center pour la première fois. Une fois les contrôles de résidence des données activés, vous ne pouvez plus les activer ni les désactiver. Pour en savoir plus, consultez la section Prise en charge de la résidence des données.
Pour en savoir plus sur les services intégrés de Security Command Center disponibles avec chaque niveau, consultez Niveaux de Security Command Center.
Pour en savoir plus sur les coûts associés à l'utilisation de Security Command Center, consultez la page pricing.
Pour activer Security Command Center uniquement pour un projet, consultez Activer Security Command Center pour un projet.
Prérequis
Pour pouvoir activer Security Command Center, vous devez disposer d'une organisation, ainsi que des autorisations IAM (Identity and Access Management) appropriées et des règles d'administration appropriées.
Créer une organisation
Security Command Center nécessite une ressource d'organisation associée à un domaine. Si vous n'avez pas créé d'organisation, consultez la section Créer et gérer des organisations.
Configurer les autorisations
Pour configurer Security Command Center, vous devez disposer des rôles IAM suivants:
- Administrateur de l'organisation
roles/resourcemanager.organizationAdmin - Administrateur du centre de sécurité
roles/securitycenter.admin - Administrateur de sécurité
roles/iam.securityAdmin - Créateur de compte de service
roles/iam.serviceAccountCreator
Apprenez-en plus sur les rôles Security Command Center.
Vérifier les règles d'administration
Si les règles de votre organisation sont configurées pour restreindre les identités par domaine :
- Vous devez être connecté à la console Google Cloud sur un compte appartenant à un domaine autorisé.
- Vos comptes de service doivent appartenir à un domaine autorisé ou être des membres d'un groupe au sein de votre domaine. Cette exigence vous permet d'autoriser les services qui utilisent le compte de service
@*.gserviceaccount.comà accéder aux ressources lorsque le partage restreint au domaine est activé.
Si vos règles d'administration sont configurées pour restreindre l'utilisation des ressources, vérifiez que securitycenter.googleapis.com est autorisé.
Scénarios d'activation pour une organisation
Cette page couvre les scénarios d'activation suivants:
- Dans une organisation qui n'a jamais activé Security Command Center, activez le niveau Premium ou Standard de Security Command Center.
- Dans une organisation utilisant le niveau Standard, activez le niveau Premium de Security Command Center pour l'organisation.
- Dans une organisation qui utilise un abonnement de niveau Premium arrivant à expiration, passez à l'option de tarification en fonction de l'utilisation.
Activer Security Command Center pour une organisation pour la première fois
Pour activer Security Command Center pour une organisation pour la première fois, suivez un processus d'activation guidé dans la console Google Cloud pour choisir un niveau de service et activer les contrôles de résidence des données ainsi que les services de détection dont vous avez besoin. Ensuite, sélectionnez les ressources ou les éléments à surveiller, et accordez des autorisations aux comptes de service requis.
Procédez comme suit pour activer le niveau Premium de Security Command Center au niveau de l'organisation.
Accédez à Security Command Center dans la console Google Cloud.
Dans la liste Organisation, sélectionnez l'organisation pour laquelle vous souhaitez activer Security Command Center, puis cliquez sur Sélectionner.
La fenêtre Obtenir Security Command Center s'ouvre.
Dans Sélectionner le niveau, sélectionnez un niveau.
Cliquez sur Suivant. La page Sélectionner des services s'ouvre.
Facultatif: activez les contrôles de résidence des données de Security Command Center en sélectionnant les options suivantes:
Sous Résidence des données, sélectionnez Activer la résidence des données.
Lorsque la résidence des données est activée, si un service Security Command Center détecte un problème de sécurité dans une ressource située dans un emplacement de données compatible avec Security Command Center, Security Command Center stocke automatiquement l'enregistrement de résultat obtenu dans le même emplacement que Security Command Center.
Dans le champ Sélectionner un emplacement par défaut, sélectionnez l'emplacement par défaut de Security Command Center dans lequel stocker les résultats des ressources qui ne se trouvent pas dans un emplacement compatible avec Security Command Center ou qui ne spécifient pas d'emplacement dans leurs métadonnées.
Dans la section Services, activez les services intégrés Security Command Center dont vous avez besoin. Chaque service activé analyse toutes les ressources compatibles et consigne les résultats pour l'ensemble de votre organisation. Pour désactiver l'un des services, cliquez sur la liste à côté de son nom, puis sélectionnez Désactiver.
Si le niveau Standard est activé, vous pouvez configurer l'activation des services Premium avant d'activer le niveau Premium. La configuration ne s'applique que lorsque vous activez le niveau Premium pour l'organisation par la suite.
Les remarques suivantes concernent des services spécifiques :
Pour que Container Threat Detection fonctionne correctement, assurez-vous que vos clusters utilisent une version compatible de Google Kubernetes Engine (GKE) et que vos clusters GKE sont correctement configurés. Pour en savoir plus, consultez la page Utiliser Container Threat Detection.
Event Threat Detection s'appuie sur les journaux générés par Google Cloud. Pour utiliser Event Threat Detection, activez les journaux pour votre organisation, vos dossiers et vos projets.
Les résultats de la détection d'anomalies sont automatiquement disponibles dans Security Command Center. Vous pouvez désactiver la détection d'anomalies après l'intégration en suivant les étapes décrites dans la section Configurer Security Command Center.
Bien qu'il ne soit pas répertorié, le service de stratégie de sécurité est activé automatiquement lorsque vous sélectionnez le niveau Premium.
Dans Attribuer des rôles, accordez les rôles IAM requis aux agents de service pour Security Command Center.
En attribuant les rôles aux agents de service, vous fournissez les autorisations dont Security Command Center et ses services de détection ont besoin pour accomplir leurs fonctions.
Les noms de compte de service sont aux formats suivants:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com.Vous accordez le rôle IAM
securitycenter.serviceAgentà ce compte de service.service-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.com.Vous accordez le rôle IAM
roles/containerthreatdetection.serviceAgentà ce compte de service.
À la place de
ORGANIZATION_ID, le compte de service contient l'identifiant numérique de votre organisation.Pour ajouter les rôles, cliquez sur Attribuer des rôles.
Vous pouvez également attribuer les rôles manuellement en procédant comme suit:
- Développez la section attribuer les rôles manuellement et copiez la commande gcloud CLI.
- Dans la barre d'outils de la console Google Cloud, cliquez sur Activer Cloud Shell.
- Dans la fenêtre de terminal qui s'affiche, collez les commandes de gcloud CLI que vous avez copiées, puis appuyez sur Entrée.
Pour en savoir plus sur les autorisations associées à ces rôles, consultez la section Contrôle des accès. Effectuez l'une des opérations suivantes:
Sous Terminer la configuration, vérifiez les informations, puis cliquez sur Terminer.
Une fois la configuration terminée, Security Command Center lance une analyse initiale des éléments. Vous pouvez ensuite utiliser la console Google Cloud pour examiner et corriger les risques liés aux données et à la sécurité de Google Cloud dans l'ensemble de votre projet.
Le lancement des analyses de certains produits peut prendre quelques instants. Pour obtenir plus d'informations sur le processus d'activation, consultez la page Présentation de la latence sur Security Command Center.
Consultez la documentation de chaque service pour savoir si vous pouvez le tester ou l'optimiser davantage.
Par exemple, Event Threat Detection s'appuie sur les journaux générés par Google Cloud. Certains journaux sont toujours activés. Event Threat Detection peut donc commencer à les analyser dès qu'il est activé. D'autres journaux, tels que la plupart des journaux d'audit des accès aux données, doivent être activés pour qu'Event Threat Detection puisse les analyser. Pour en savoir plus, consultez la section Types de journaux et conditions requises pour l'activation.
Pour en savoir plus sur les tests et l'utilisation de chacun des services intégrés, consultez les pages suivantes:
Passer du niveau Standard au niveau Premium
Pour passer du niveau Standard de Security Command Center au niveau Premium, procédez comme suit : Si vous souhaitez utiliser un abonnement, contactez d'abord le service commercial Google Cloud.
Effectuez cette tâche lorsque votre organisation a besoin des fonctionnalités supplémentaires de détection des menaces et de stratégie de sécurité offertes par le niveau Premium de Security Command Center.
Accédez à Security Command Center dans la console Google Cloud.
Dans la liste Organisation, sélectionnez l'organisation que vous faites passer au niveau Premium de Security Command Center, puis cliquez sur Sélectionner.
Sur la page Security Command Center, cliquez sur S'abonner à Premium.
Dans Changer de niveau, vérifiez que l'option Premium est sélectionnée. Cliquez sur Next (Suivant).
Dans Examiner les services, activez les services dont vous avez besoin.
Cliquez sur Modifier votre niveau.
Passer d'une option d'abonnement du niveau Premium à une option basée sur l'utilisation
Si vous avez déjà activé le niveau Premium de Security Command Center via un abonnement, vous pouvez activer la tarification basée sur l'utilisation pour Security Command Center avant l'expiration de votre abonnement. Cette inscription garantit que votre organisation ne perd pas les fonctionnalités de sécurité offertes par le niveau Premium de Security Command Center. Ce changement de tarif entrera en vigueur à l'expiration de votre abonnement.
Accédez à Security Command Center dans la console Google Cloud.
Dans la liste Organisation, sélectionnez l'organisation pour laquelle vous souhaitez modifier l'option de tarification, puis cliquez sur Sélectionner.
Sur la page Présentation de Security Command Center, cliquez sur Paramètres. La page Paramètres s'ouvre et affiche l'onglet Services.
Sur la page Paramètres, cliquez sur Informations sur le niveau. La page Niveau s'ouvre.
Cliquez sur Gérer le niveau.
Sur la page Changer de niveau, vérifiez que l'option Premium est sélectionnée, puis cliquez sur Suivant.
Sur la page Examiner les services, passez en revue les services que vous avez activés et cliquez sur Mettre à jour votre niveau.
Passer de l'option basée sur l'utilisation du niveau Premium au niveau Standard
Pour passer de l'option de paiement en fonction de l'utilisation du niveau Premium de Security Command Center au niveau Standard de Security Command Center, procédez comme suit : Par défaut, si vous disposez d'un abonnement, vous passez automatiquement au niveau Standard à l'expiration de votre abonnement.
Lorsque vous revenez au niveau Standard de Security Command Center, vous n'avez plus accès aux services ni aux fonctionnalités du niveau Premium. Vérifiez que le profil de risque pour la sécurité de votre organisation n'est pas affecté de façon négative avant d'effectuer cette modification.
Même si le niveau Standard de Security Command Center est gratuit, des frais indirects peuvent toujours vous être facturés. Pour en savoir plus, consultez la section Frais indirects éventuels associés à Security Command Center.
Si vous passez au niveau Premium au niveau de l'organisation après avoir terminé cette tâche, vos paramètres de configuration pour les services du niveau Premium sont restaurés.
Accédez à Security Command Center dans la console Google Cloud.
Dans la liste Organisation, sélectionnez l'organisation pour laquelle vous souhaitez revenir à un niveau inférieur de Security Command Center, puis cliquez sur Sélectionner.
Sur la page Présentation de Security Command Center, cliquez sur Paramètres. La page Paramètres s'ouvre et affiche l'onglet Services.
Sur la page Paramètres, cliquez sur Informations sur le niveau. La page Niveau s'ouvre.
Cliquez sur Gérer le niveau.
Sur la page Changer de niveau, vérifiez que l'option Standard est sélectionnée, puis cliquez sur Suivant.
Sur la page Examiner les services, passez en revue les services que vous avez activés et cliquez sur Mettre à jour votre niveau.
Passer d'une activation du niveau Premium au niveau du projet à une activation du niveau Premium au niveau de l'organisation
Pour passer d'une activation au niveau du projet à une activation au niveau de l'organisation, vous pouvez suivre le processus d'activation décrit dans la section Activer Security Command Center pour la première fois pour une organisation.
Les modifications tarifaires suivantes s'appliquent:
- L'utilisation du niveau Premium de Security Command Center est couverte par l'activation au niveau de l'organisation.
- Les conditions tarifaires de l'activation de Security Command Center au niveau de l'organisation deviennent les conditions tarifaires en vigueur. Des frais sont rapportés pour les projets où l'utilisation a lieu.
Si vous passez à une activation au niveau de l'organisation, ne supprimez pas le compte de service Security Command Center créé lors de l'activation de Security Command Center au niveau du projet. Certains détecteurs Security Health Analytics risquent de ne pas fonctionner correctement si vous supprimez le compte de service.
Surveiller vos coûts avec le niveau Premium
Pour surveiller les coûts associés au niveau Premium de Security Command Center, vous pouvez utiliser Cloud Billing. Vous pouvez exporter des données de facturation vers BigQuery pour effectuer une analyse détaillée, ou créer un budget avec des alertes de dépenses. Pour en savoir plus, consultez la page Surveiller les coûts.
Étapes suivantes
- Découvrez comment configurer Security Command Center.
- Découvrez comment utiliser Security Command Center dans la console Google Cloud.
- Découvrez comment exploiter les résultats de Security Command Center.
- Découvrez les sources de sécurité Google Cloud.