Nesta página, mostramos como ativar o nível Standard ou Premium do Security Command Center de uma organização. Se o Security Command Center já estiver configurado para sua organização, consulte o guia sobre como usar o Security Command Center.
O Security Command Center oferece três níveis de serviço: Standard, Premium e Enterprise. O nível selecionado determina os recursos disponíveis para você e o custo de usar o Security Command Center. Para ativar o nível Enterprise, consulte Ativar o nível Enterprise do Security Command Center.
Para ativar o nível Premium do Security Command Center no nível da organização, selecione uma opção de autoatendimento, de pagamento por uso no console do Google Cloud.
É possível ativar os controles de residência de dados ao ativar o Security Command Center pela primeira vez. Depois da ativação, não é possível ativar ou desativar os controles de residência de dados. Para mais informações, consulte Suporte à residência de dados.
Para saber mais sobre os serviços integrados do Security Command Center que são disponíveis em cada nível, consulte Níveis do Security Command Center.
Para informações sobre os custos associados ao uso do Security Command Center, consulte a página de preços.
Para ativar o Security Command Center apenas para um projeto, consulte Ative o Security Command Center para um projeto.
Pré-requisitos
Antes de ativar o Security Command Center, você precisa de uma organização, das permissões apropriadas de Identity and Access Management (IAM) e das políticas da organização adequadas.
Criar uma organização
O Security Command Center requer um recurso da organização associado a um domínio. Se você ainda não criou uma organização, consulte Como criar e gerenciar organizações.
Configurar permissões
Para configurar o Security Command Center, você precisa dos seguintes papéis do IAM:
- Administrador da organização
roles/resourcemanager.organizationAdmin
- Administrador da Central de segurança
roles/securitycenter.admin
- Administrador de segurança
roles/iam.securityAdmin
- Criar contas de serviço
roles/iam.serviceAccountCreator
Saiba mais sobre os papéis do Security Command Center.
Verificar as políticas da organização
Se as políticas da organização estiverem definidas para restringir identidades por domínio:
- Você precisa fazer login no console do Google Cloud por uma conta que esteja em um domínio permitido.
- As contas de serviço precisam estar em um domínio permitido ou membros de um
grupo dentro do domínio. Esse requisito permite permitir que os serviços que usam o
@*.gserviceaccount.com
conta de serviço para acessar recursos quando o domínio estiver restrito o compartilhamento estiver ativado.
Se as políticas da sua organização estiverem definidas para restringir o uso de recursos, verifique se securitycenter.googleapis.com
é permitido.
Cenários de ativação de uma organização
Esta página abrange os seguintes cenários de ativação:
- Em uma organização que nunca ativou o Security Command Center, ative o nível Premium ou Standard do Security Command Center para uma organização.
- Em uma organização que usa o nível Standard, ative o nível Premium do Security Command Center para a organização.
- Em uma organização que usa uma assinatura expirada do nível Premium, mude para a opção de preços de pagamento por uso.
Ativar o Security Command Center para uma organização pela primeira vez
Para ativar o Security Command Center pela primeira vez em uma organização, siga um processo de ativação guiado no console do Google Cloud para escolher um nível de serviço, ativar os controles de residência de dados e ativar os serviços de detecção necessários. Em seguida, selecione os recursos ou ativos para monitorar e conceder permissões às contas de serviço necessárias.
Conclua as etapas a seguir para ativar o Security Command Center Premium no nível da organização.
No console do Google Cloud, acesse o Security Command Center.
Na lista Organização, selecione a organização para a qual você quer ativar o Security Command Center e clique em Selecionar.
A janela Instalar o Security Command Center é aberta.
Em Selecionar nível, selecione um nível.
Clique em Próxima. A página Selecionar serviços é aberta.
Opcional: ativar Controles de residência de dados do Security Command Center selecionando as seguintes opções:
Em Residência dos dados, selecione Ativar residência de dados.
Quando a residência de dados está ativada, se um serviço do Security Command Center detecta um problema de segurança em um recurso localizado em um Local de dados com suporte do Security Command Center, O Security Command Center armazena automaticamente a descoberta resultante gravar no mesmo local do Security Command Center do recurso afetado.
No campo Selecionar um local padrão, escolha o local padrão do Security Command Center em que as descobertas serão armazenadas para recursos que não estão em um local compatível com o Security Command Center ou que não especificam um local nos metadados.
Na seção Serviços, ativar os serviços integrados do Security Command Center de que precisa. Cada serviço ativado verifica todos os recursos compatíveis e informa as descobertas em toda a organização. Para desativar qualquer um dos serviços, clique na lista ao lado do nome do serviço e selecione Desativar.
Se o nível Standard estiver ativado, é possível configurar a ativação dos serviços Premium antes de ativar o nível Premium. A configuração não será aplicada até você ativar o nível Premium da organização posteriormente
A seguir estão observações sobre serviços específicos:
Para que o Container Threat Detection funcione corretamente, você precisa verificar se os clusters estão em uma versão compatível do Google Kubernetes Engine (GKE) e se os clusters do GKE estão configurados corretamente. Para mais informações, consulte Como usar o Container Threat Detection.
O Event Threat Detection depende de registros gerados pelo Google Cloud. Para usar o Event Threat Detection, ative os registros da sua organização, pastas e projetos.
As descobertas de detecção de anomalias estão automaticamente disponíveis no Security Command Center. Para desativar a detecção de anomalias após a integração, siga as etapas em Configurar os serviços do Security Command Center.
Embora não esteja listado, o serviço de postura de segurança é ativado automaticamente quando você seleciona o nível Premium.
Em Conceder papéis, conceda os papéis do IAM necessários aos agentes de serviço do Security Command Center.
Ao conceder os papéis aos agentes de serviço, você fornece as permissões que o Security Command Center e os serviços de detecção precisam para realizar as funções.
Os nomes das conta de serviço têm os seguintes formatos:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Você concede a permissão de
securitycenter.serviceAgent
papel do IAM para esta conta de serviço.service-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.com
Você concede o papel do IAM
roles/containerthreatdetection.serviceAgent
a essa conta de serviço.
No lugar de
ORGANIZATION_ID
, a conta de serviço contém o identificador numérico de sua organização.Para adicionar os papéis, clique em Conceder papéis.
Se preferir, siga estas etapas para conceder papéis manualmente:
- Expanda a seção conceder papéis manualmente e copie o comando da CLI da gcloud.
- Na barra de ferramentas do console do Google Cloud, clique em Ativar o Cloud Shell.
- Na janela de terminal exibida, cole os comandos da CLI que você copiou e pressione Enter.
Para saber mais sobre as permissões associadas a esses papéis, consulte controle de acesso. Conclua um dos seguintes itens:
Em Concluir configuração, revise as informações e clique em Concluir.
Ao terminar a configuração, o Security Command Center inicia uma verificação inicial de recursos. Depois disso, é possível usar o console do Google Cloud para analisar e corrigir os riscos de segurança e dados do Google Cloud em toda a organização.
Pode haver um atraso até que as verificações sejaminiciadas em alguns produtos. Leia a visão geral da latência do Security Command Centerpara saber mais sobre o processo de ativação.
Verifique a documentação de cada serviço para conferir se é possível testar ou otimizar ainda mais o serviço.
Por exemplo, o Event Threat Detection depende de registros gerados pelo Google Cloud. Alguns registros ficam sempre ativados, então o Event Threat Detection pode começar a verificá-los assim que forem ativados. Outros registros, como a maioria dos registros de auditoria de acesso a dados, precisam ser ativados antes que o Event Threat Detection possa verificá-los. Para mais informações, consulte Tipos de registro e requisitos de ativação.
Para mais informações sobre como testar e usar cada serviço integrado, consulte as seguintes páginas:
Fazer upgrade do nível Standard para o nível Premium
Conclua as etapas a seguir para fazer upgrade do nível Standard do Security Command Center para o nível Premium. Se você quiser usar uma assinatura, entre em contato com a equipe de vendas do Google Cloud primeiro.
Conclua essa tarefa quando sua organização precisar dos recursos adicionais de detecção de ameaças e postura de segurança oferecidos pelo nível Premium do Security Command Center.
No console do Google Cloud, acesse o Security Command Center.
Na lista Organização, selecione a organização que você está atualizando para o nível Premium do Security Command Center e clique em Selecionar.
Na página do Security Command Center, clique em Assinar o Premium.
Em Alterar nível, verifique se a opção Premium está selecionada. Clique em Next.
Em Revisar serviços, ative os serviços necessários.
Clique em Atualizar seu nível.
Mudar de uma opção de assinatura do nível Premium para a opção de pagamento por uso
Se você ativou o nível Premium do Security Command Center usando uma assinatura, poderá inscrever o Security Command Center no preço sob demanda antes que a assinatura expire. Esse registro garante que sua organização não perca a funcionalidade de segurança oferecida pelo nível Premium do Security Command Center. Essa mudança de preço entrará em vigor após a expiração da sua assinatura.
No console do Google Cloud, acesse o Security Command Center.
Na lista Organização, selecione a organização para a qual você quer alterar a opção de preço e clique em Selecionar.
Na página Visão geral do Security Command Center, clique em Configurações. A página Configurações é aberta e exibe a guia Serviços.
Na página Configurações, clique em Detalhes de nível. A página Nível é aberta.
Clique em Gerenciar nível.
Na página Alterar nível, verifique se a opção Premium está selecionada e clique em Next.
Na página Revisar serviços, verifique os serviços que você ativou e clique em Atualizar seu nível.
Fazer downgrade da opção de pagamento por uso do nível Premium para o nível Standard
Conclua as etapas a seguir para mudar a opção de pagamento por uso do Security Command Center nível Premium para o nível Standard do Security Command Center. Por padrão, se você tiver uma assinatura, será feito automaticamente o downgrade para o nível Standard quando ela expirar.
Ao fazer downgrade para o nível Standard do Security Command Center, você perde o acesso aos serviços e funcionalidades do nível Premium. Verifique se o perfil de risco de segurança da sua organização não foi afetado negativamente antes de fazer essa alteração.
Mesmo que o nível Standard do Security Command Center seja gratuito, você ainda poderá receber cobranças indiretas. Para mais informações, consulte Possíveis cobranças indiretas associadas ao Security Command Center.
Se você fizer upgrade de volta para o nível Premium no nível da organização após concluir essa tarefa, as definições de configuração dos serviços de nível Premium serão restauradas.
No console do Google Cloud, acesse o Security Command Center.
Na lista Organização, selecione a organização de que você quer fazer downgrade do nível do Security Command Center e clique em Selecionar.
Na página Visão geral do Security Command Center, clique em Configurações. A página Configurações é aberta e exibe a guia Serviços.
Na página Configurações, clique em Detalhes de nível. A página Nível é aberta.
Clique em Gerenciar nível.
Na página Alterar nível, verifique se Padrão está selecionado e clique em Avançar.
Na página Revisar serviços, verifique os serviços que você ativou e clique em Atualizar seu nível.
Mudar a ativação do nível Premium do projeto para o nível da organização
Para mudar de uma ativação no nível do projeto para uma ativação no nível da organização, siga o processo de ativação descrito em Ativar o Security Command Center para uma organização pela primeira vez.
As seguintes alterações de preços se aplicam:
- O uso do nível Premium do Security Command Center é coberto pela ativação no nível da organização.
- Os termos de preços para a ativação no nível da organização do Security Command Center se tornam os termos de preço efetivos. As cobranças são informadas nos projetos em que o uso ocorre.
Se você mudar para uma ativação no nível da organização, não exclua a conta de serviço do Security Command Center que foi criada quando você ativou o Security Command Center no nível do projeto. Determinados detectores da Análise de integridade da segurança pode não funcionar corretamente se você excluir a conta de serviço.
Monitore seus custos com o nível Premium
Para monitorar os custos associados ao nível Premium do Security Command Center, use o Cloud Billing. É possível exportar dados de faturamento para o BigQuery para análise detalhada ou criar um orçamento com alertas de gastos. Para mais informações, consulte Monitorar custos.
A seguir
- Saiba como configurar os serviços do Security Command Center.
- Saiba como usar o Security Command Center no console do Google Cloud.
- Saiba como trabalhar com as descobertas do Security Command Center.
- Saiba mais sobre as fontes de segurança do Google Cloud.