En esta página, se muestra cómo activar el nivel Estándar o Premium de Security Command Center para una organización. Si ya configuraste Security Command Center en tu organización, consulta la guía para usar Security Command Center.
Security Command Center proporciona tres niveles de servicio: Estándar, Premium y Empresarial. El nivel que selecciones determina las funciones disponibles. para ti y el costo de usar Security Command Center. Para activar el nivel Enterprise, consulta Cómo activar el nivel Enterprise de Security Command Center.
Activa el nivel Premium de Security Command Center a nivel de la organización, debes seleccionar una opción opción de precios de pago por uso en la consola de Google Cloud.
Puedes habilitar los controles de residencia de datos cuando actives Security Command Center por primera vez. Después de la activación, no podrás habilitar ni inhabilitar los controles de residencia de datos. Para obtener más información, consulta Asistencia para la residencia de datos.
Para obtener información detallada sobre los servicios integrados de Security Command Center que se disponibles con cada nivel, consulta Niveles de Security Command Center.
Para obtener información sobre los costos asociados con el uso de Security Command Center, consulta la página de precios.
Para activar Security Command Center solo para un proyecto, consulta Cómo activar Security Command Center para un proyecto.
Requisitos previos
Antes de activar Security Command Center, necesitas una organización, los permisos correctos de Identity and Access Management (IAM) y las políticas de organización adecuadas.
Crea una organización
Security Command Center requiere un recurso de organización asociado a un dominio. Si no creaste una organización, consulta Crea y administra organizaciones.
Configura los permisos
Para configurar Security Command Center, necesitas los siguientes roles de IAM:
- Administrador de la organización
roles/resourcemanager.organizationAdmin - Administrador del centro de seguridad
roles/securitycenter.admin - Administrador de seguridad
roles/iam.securityAdmin - Crea cuentas de servicio
roles/iam.serviceAccountCreator
Obtén más información sobre las funciones de Security Command Center.
Verifica las políticas de la organización
Si las políticas de tu organización están configuradas para restringir identidades por dominio, haz lo siguiente:
- Debes acceder a la consola de Cloud en una cuenta que esté en un dominio permitido.
- Tus cuentas de servicio deben estar en un dominio permitido o miembros de un grupo dentro de tu dominio. Este requisito te permite permitir que los servicios que usan el
@*.gserviceaccount.comcuenta de servicio para acceder a los recursos cuando el dominio esté restringido el uso compartido está habilitado.
Si las políticas de tu organización están configuradas para restringir el uso de recursos, verifica que se permita securitycenter.googleapis.com.
Situaciones de activación para una organización
En esta página, se describen las siguientes situaciones de activación:
- En una organización que nunca ha activado Security Command Center, activar el nivel Premium o Estándar de Security Command Center para una organización.
- En una organización que use el nivel Estándar, activa el Es el nivel Premium de Security Command Center para la organización.
- En una organización que usa una suscripción a nivel Premium por vencer, cambia a la opción de precios de pago por uso.
Activa Security Command Center para una organización por primera vez
Para activar Security Command Center para una organización por primera vez, sigue un proceso de activación guiado en la consola de Google Cloud para elegir un nivel de servicio, habilitar los controles de residencia de datos y habilitar los servicios de detección que necesites. Luego, selecciona los recursos o elementos para supervisar y otorgar permisos a las cuentas de servicio requeridas.
Completa los siguientes pasos para activar la versión Premium de Security Command Center a nivel de la organización.
En la consola de Google Cloud, ve a Security Command Center.
En la lista Organización, selecciona la organización en la que quieres habilitar Security Command Center y, luego, haz clic en Seleccionar.
Se abrirá la ventana Obtener Security Command Center.
En Seleccionar nivel, selecciona un nivel.
Haz clic en Siguiente. Se abrirá la página Seleccionar servicios.
Opcional: Selecciona las siguientes opciones para habilitar los controles de residencia de datos de Security Command Center:
En Residencia de datos, selecciona Habilitar residencia de datos.
Cuando la residencia de datos está habilitada, si un servicio de Security Command Center detecta un problema de seguridad en un recurso que se encuentra en una ubicación de datos compatible con Security Command Center, Security Command Center almacenará automáticamente el registro de resultados resultante en la misma ubicación de Security Command Center en la que se encuentra el recurso afectado.
En el campo Seleccionar una ubicación predeterminada, selecciona la ubicación predeterminada de Security Command Center en la que deseas almacenar los resultados de los recursos que no se encuentran en una ubicación compatible con Security Command Center o que no especifican una ubicación en sus metadatos.
En la sección Servicios, habilita los servicios integrados de Security Command Center que necesites. Cada servicio habilitado analiza todos los recursos compatibles y, también, informa resultados para toda tu organización. Para inhabilitar cualquiera de los servicios, Haz clic en la lista que aparece junto al nombre del servicio y selecciona Inhabilitar.
Si el nivel Estándar está habilitado, puedes configurar la habilitación los servicios Premium antes de activar el nivel Premium. La configuración no se aplicará hasta que actives el nivel Premium para la organización más adelante.
Las siguientes son notas para servicios específicos:
Para que la detección de amenazas a contenedores funcione de forma correcta, asegúrate de que tus clústeres estén en una versión compatible de Google Kubernetes Engine (GKE) y que tus clústeres de GKE estén configurados de forma correcta. Para obtener más información, consulta cómo usar la detección de amenazas de contenedores.
Event Threat Detection se basa en registros generados por Google Cloud. Para usar Event Threat Detection, habilita los registros para tu organización, carpetas y proyectos.
Los resultados de detección de anomalías están disponibles automáticamente en Security Command Center. La detección de anomalías se puede inhabilitar después de la integración mediante los pasos en Configura los servicios de Security Command Center.
Si bien no aparece en la lista, la postura de seguridad servicio esté habilitado. automáticamente cuando seleccionas el nivel Premium.
En Otorgar roles, otorga la IAM necesaria. para los agentes de servicio para Security Command Center.
Cuando otorgas los roles a los agentes de servicio, les proporcionas permisos que Security Command Center y sus servicios de detección necesitan para realizar sus funciones.
Los nombres de las cuentas de servicio tienen los siguientes formatos:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.comOtorga el rol de IAM
securitycenter.serviceAgenta esta cuenta de servicio.service-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.comOtorgas
roles/containerthreatdetection.serviceAgentde IAM a esta cuenta de servicio.
En lugar de
ORGANIZATION_ID, la cuenta de servicio contiene el identificador numérico de tu organización.Para agregar los roles, haz clic en Otorgar roles.
Como alternativa, puedes otorgar los roles de forma manual. Para ello, completa los siguientes pasos:
- Expande la sección Otorgar roles de forma manual y copia el comando de la CLI de gcloud.
- En la barra de herramientas de la consola de Google Cloud, haz clic en Activar Cloud Shell.
- En la ventana de la terminal que, a continuación, pega los comandos de la CLI de gcloud que copiaste y, luego, presiona Intro.
Para obtener información sobre los permisos asociados con estos roles, consulta Control de acceso. Completa una de las siguientes opciones:
En Completar configuración, revisa la información y haz clic en Finalizar.
Cuando finalizas la configuración, Security Command Center inicia un análisis inicial de los recursos, después de con la que puedes usar la consola de Google Cloud para revisar y solucionar problemas los riesgos de seguridad y datos en todo tu proyecto.
Puede haber una demora antes de que se inicien los análisis de algunos productos. Lee la descripción general de la latencia de Security Command Center para obtener más información sobre el proceso de activación.
Consulta la documentación de cada para ver si puede optimizarlo o probarlo.
Por ejemplo, Event Threat Detection se basa en registros generados por Google Cloud. Algunos registros siempre están activados, por lo que Event Threat Detection puede comenzar a analizarlos en cuanto se habilita. Otros registros, como la mayoría de los registros de auditoría de acceso a los datos, deben estar activados para que Event Threat Detection pueda analizarlos. Para obtener más información, consulta Tipos de registros y requisitos de activación.
Para obtener más información sobre las pruebas y el uso de cada uno de los servicios integrados, consulta las siguientes páginas:
Actualiza del nivel Estándar al Premium
Completa los siguientes pasos para actualizar del nivel Security Command Center Standard al nivel Security Command Center Premium. Si quieres usar una suscripción, primero comunícate con el equipo de Ventas de Google Cloud.
Completa esta tarea cuando tu la organización requiere la postura de seguridad y detección de amenazas adicionales funcionalidades que ofrece el nivel Premium de Security Command Center.
En la consola de Google Cloud, ve a Security Command Center.
En la lista Organización, selecciona la organización a la que deseas actualizar al nivel Premium de Security Command Center y, luego, haz clic en Seleccionar.
En la página de Security Command Center, haz clic en Obtener Premium.
En Cambiar nivel, verifica que esté seleccionada la opción Premium. Haz clic en Siguiente.
En Revisar servicios, habilita la servicios que necesitas.
Haz clic en Actualizar tu nivel.
Cambia de una opción de suscripción del nivel Premium a la opción de pago por uso
Si anteriormente activaste el nivel Premium de Security Command Center con un puedes inscribir Security Command Center en un precio de pago por uso antes de que venza tu suscripción. Esta inscripción garantiza que tu organización no pierda la funcionalidad de seguridad que ofrece el nivel Premium de Security Command Center. Este cambio de precios entrará en vigencia cuando venza tu suscripción.
En la consola de Google Cloud, ve a Security Command Center.
En la lista Organización, selecciona la organización a la que para la que quieres cambiar la opción de precios y, luego, haz clic en Seleccionar.
En la página Descripción general de Security Command Center, haz clic en Configuración. El Se abre la página Configuración, que muestra la pestaña Servicios.
En la página Configuración, haz clic en Detalle del nivel. La página Tier se abre.
Haz clic en Administrar nivel.
En la página Cambiar nivel, verifica que esté seleccionada la opción Premium y haz clic en Siguiente.
En la página Revisar servicios, revisa los servicios que habilitaste y haz clic en Actualizar tu nivel.
Cambiar de la opción de pago por uso del nivel Premium al nivel Estándar
Completa los siguientes pasos para cambiar de la opción de pago por uso del nivel Premium de Security Command Center al nivel estándar de Security Command Center. De forma predeterminada, si tienes una suscripción, se te cambiará automáticamente al nivel Estándar cuando esta venza.
Cuando cambias al nivel Estándar de Security Command Center, pierdes acceso a los servicios y la funcionalidad del nivel Premium. Verifica que el perfil de riesgo de seguridad de tu organización no se vea afectado negativamente antes de realizar este cambio.
Aunque el nivel Estándar de Security Command Center es gratuito, es posible que experimentes cargos. Para obtener más información, consulta Posibles cargos indirectos asociados con Security Command Center.
Si vuelves a actualizar al nivel Premium a nivel de la organización después de completar esta tarea, se restablecerá la configuración de los servicios del nivel Premium.
En la consola de Google Cloud, ve a Security Command Center.
En la lista Organización, selecciona la organización a la que cambiar a una versión inferior del nivel de Security Command Center y, luego, hacer clic en Seleccionar.
En la página Descripción general de Security Command Center, haz clic en Configuración. El Se abre la página Configuración, que muestra la pestaña Servicios.
En la página Configuración, haz clic en Detalle del nivel. La página Tier se abre.
Haz clic en Administrar nivel.
En la página Change tier, verifica que esté seleccionada la opción Standard y haz clic en Next.
En la página Revisar servicios, revisa los servicios que habilitaste y haz clic en Actualizar tu nivel.
Cambia la activación del nivel Premium de nivel de proyecto a nivel de organización
Para cambiar de una activación a nivel de proyecto a una a nivel de organización, puedes seguir el proceso de activación que se describe en Activa Security Command Center para una organización por primera vez.
Se aplican los siguientes cambios de precios:
- El uso del nivel Premium de Security Command Center se rige por la activación a nivel de la organización.
- Las condiciones de precios de la activación a nivel de la organización de Security Command Center se convierten en las condiciones de precios vigentes. Los cargos se informan según los proyectos en los que se produce el uso.
Si cambias a una activación a nivel de la organización, no borres la Cuenta de servicio de Security Command Center que se creó cuando activaste la cuenta Security Command Center a nivel de proyecto. Algunos detectores de Security Health Analytics Es posible que no funcione correctamente si borras la cuenta de servicio.
Supervisa tus costos con el nivel Premium
Para supervisar los costos asociados al nivel Premium de Security Command Center, puedes usar Facturación de Cloud. Puedes exportar datos de facturación a BigQuery para obtener análisis de gastos o crear un presupuesto con alertas de gastos. Para obtener más información, consulta Supervisa los costos.
¿Qué sigue?
- Aprende a hacer lo siguiente: Configurar los servicios de Security Command Center
- Aprende a hacer lo siguiente: Usar Security Command Center en la consola de Google Cloud.
- Aprende a trabajar con Hallazgos de Security Command Center.
- Obtén más información sobre las fuentes de seguridad de Google Cloud.