En esta página, se muestra cómo activar el nivel Estándar o Premium de Security Command Center para una organización. Si ya configuraste Security Command Center en tu organización, consulta la guía para usar Security Command Center.
Security Command Center ofrece tres niveles de servicio: Estándar, Premium y Enterprise. El nivel que selecciones determina las funciones que se disponibles para ti y el costo de usar Security Command Center. Para activar el nivel Enterprise, consulta Activa el nivel de Security Command Center Enterprise.
Activa el nivel Premium de Security Command Center a nivel de la organización, debes seleccionar una opción opción de precios de pago por uso en la consola de Google Cloud.
Puedes habilitar los controles de residencia de datos cuando activar Security Command Center por primera vez. Después de la activación, no puede habilitar ni inhabilitar los controles de residencia de datos. Para obtener más información, consulta Compatibilidad con la residencia de datos.
Para obtener información detallada sobre los servicios integrados de Security Command Center que se disponibles con cada nivel, consulta Niveles de Security Command Center.
Para obtener información sobre los costos asociados con el uso de Security Command Center, consulta la página de precios.
Si quieres activar Security Command Center solo para un proyecto, consulta Activa Security Command Center para un proyecto.
Requisitos previos
Antes de activar Security Command Center, necesitas una organización, el permisos de Identity and Access Management (IAM) adecuados y las políticas de la organización.
Crea una organización
Security Command Center requiere un recurso de organización que esté asociado con un dominio. Si no has creado una organización, consulta Crea y administra organizaciones.
Configura los permisos
Para configurar Security Command Center, necesitas los siguientes roles de IAM:
- Administrador de la organización
roles/resourcemanager.organizationAdmin - Administrador del centro de seguridad
roles/securitycenter.admin - Administrador de seguridad
roles/iam.securityAdmin - Crea cuentas de servicio
roles/iam.serviceAccountCreator
Obtén más información sobre las funciones de Security Command Center.
Verifica las políticas de la organización
Si las políticas de tu organización están configuradas para restringir identidades por dominio, haz lo siguiente:
- Debes acceder a la consola de Cloud en una cuenta que esté en un dominio permitido.
- Tus cuentas de servicio deben estar en un dominio permitido o miembros de un grupo dentro de tu dominio. Este requisito permite permitir que los servicios que usan el
@*.gserviceaccount.comcuenta de servicio para acceder a los recursos cuando el dominio esté restringido el uso compartido está habilitado.
Si las políticas de tu organización están configuradas para restringir el uso de recursos, verifica que securitycenter.googleapis.com esté permitido.
Situaciones de activación para una organización
En esta página, se describen las siguientes situaciones de activación:
- En una organización que nunca ha activado Security Command Center, activar el nivel Premium o Estándar de Security Command Center para una organización.
- En una organización que use el nivel Estándar, activa el Es el nivel Premium de Security Command Center para la organización.
- En una organización que usa una suscripción al nivel Premium con vencimiento, cambiar a la opción de precios de pago por uso.
Activa Security Command Center para una organización por primera vez
Para activar Security Command Center para una organización por primera vez, sigas un proceso de activación guiado en la consola de Google Cloud para elegir un nivel de servicio, habilitar los controles de residencia de datos y habilitar de detección de intrusiones que necesites. Luego, selecciona los recursos o activos que deseas supervisar y otorgar permisos. a las cuentas de servicio requeridas.
Completa los siguientes pasos para activar la versión Premium de Security Command Center a nivel de la organización.
Ve a Security Command Center en la consola de Google Cloud.
En la lista Organización, selecciona la organización que deseas. para habilitar Security Command Center y, luego, haz clic en Seleccionar.
Se abrirá la ventana Obtener Security Command Center.
En Seleccionar nivel, selecciona un nivel.
Haz clic en Siguiente. Se abrirá la página Seleccionar servicios.
Opcional: Habilita los controles de residencia de datos de Security Command Center seleccionando las siguientes opciones:
En Residencia de los datos, selecciona Habilitar residencia de datos.
Cuando la residencia de datos está habilitada, si un servicio detecta un problema de seguridad en un recurso que se ubica en una ubicación de datos compatible con Security Command Center Security Command Center almacena automáticamente el resultado en la misma ubicación de Security Command Center donde se encuentra el recurso afectado.
En el campo Selecciona una ubicación predeterminada, selecciona la ubicación Ubicación de Security Command Center en la que se almacenan los resultados de recursos que no están en una ubicación en la que Security Command Center admite o no especifican una ubicación en sus metadatos.
En la sección Servicios, habilitar los servicios integrados de Security Command Center que necesitas. Cada servicio habilitado analiza todos los recursos admitidos y, luego, informa los resultados de toda la organización. Para inhabilitar cualquiera de los servicios, Haz clic en la lista que aparece junto al nombre del servicio y selecciona Inhabilitar.
Si el nivel Estándar está habilitado, puedes configurar la habilitación los servicios Premium antes de activar el nivel Premium. La configuración Esto no se aplica hasta que actives el nivel Premium para la organización en otro momento.
Las siguientes son notas para servicios específicos:
Para que Container Threat Detection funcione correctamente, asegúrate de que tu estén en una versión compatible de Google Kubernetes Engine (GKE) y que tus clústeres de GKE estén configurar correctamente. Para obtener más información, consulta cómo usar la detección de amenazas de contenedores.
Event Threat Detection se basa en registros generados por Google Cloud. Para usar Event Threat Detection, habilita los registros para tu organización, carpetas y proyectos.
Los resultados de detección de anomalías están disponibles automáticamente en Security Command Center. Para inhabilitar la detección de anomalías después de la integración, sigue los pasos que se indican en Configura los servicios de Security Command Center.
Si bien no aparece en la lista, la postura de seguridad servicio esté habilitado. automáticamente cuando seleccionas el nivel Premium.
En Otorgar roles, otorga la IAM necesaria. para los agentes de servicio para Security Command Center.
Cuando otorgas los roles a los agentes de servicio, les proporcionas permisos que Security Command Center y sus servicios de detección necesitan para realizar sus funciones.
Los nombres de las cuentas de servicio están en los siguientes formatos:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.comTú otorgas el
securitycenter.serviceAgent. de IAM a esta cuenta de servicio.service-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.comTú otorgas el
roles/containerthreatdetection.serviceAgent. de IAM a esta cuenta de servicio.
En lugar de
ORGANIZATION_ID, la cuenta de servicio contiene el identificador numérico de tu organización.Para agregar los roles, haz clic en Otorgar roles.
Como alternativa, puedes otorgar los roles de forma manual; para ello, completa los los siguientes pasos:
- Expande la sección asignar roles manualmente y copia el gcloud CLI.
- En la barra de herramientas de la consola de Google Cloud, haz clic en Activar Cloud Shell.
- En la ventana de la terminal que, a continuación, pega los comandos de la CLI de gcloud que copiaste y, luego, presiona Intro.
Para obtener más información sobre los permisos asociados con estos roles, consulta control de acceso. Completa una de las siguientes acciones:
En Complete setup (Completar la configuración), revisa la información y haz clic en Finish.
Cuando terminas la configuración, Security Command Center inicia un análisis inicial de recursos, después de con la que puedes usar la consola de Google Cloud para revisar y solucionar problemas los riesgos de seguridad y datos en todo tu proyecto.
Puede haber una demora antes de que se inicien los análisis de algunos productos. Lee la descripción general de la latencia de Security Command Center para obtener más información sobre el proceso de activación.
Consulta la documentación de cada para ver si puedes optimizarlo o probarlo.
Por ejemplo, Event Threat Detection se basa en registros generados por en Google Cloud. Algunos registros siempre están activados, por lo que Event Threat Detection podrás comenzar a analizarlos en cuanto se habiliten. Otros registros, como la mayoría de los registros de auditoría de acceso a los datos, debe activarse antes de que Event Threat Detection puedan analizarlos. Para obtener más información, consulta Tipos de registros y requisitos de activación.
Para obtener más información sobre las pruebas y el uso de cada uno de los servicios integrados, consulta las siguientes páginas:
Actualiza del nivel Estándar al nivel Premium
Completa los siguientes pasos para actualizar del nivel Estándar de Security Command Center al nivel Premium de Security Command Center. Si quieres usar una suscripción, primero comunícate con el equipo de Ventas de Google Cloud.
Completa esta tarea cuando tu la organización requiere la postura de seguridad y detección de amenazas adicionales funcionalidades que ofrece el nivel Premium de Security Command Center.
Ve a Security Command Center en la consola de Google Cloud.
En la lista Organización, selecciona la organización que deseas actualizar. al nivel Premium de Security Command Center y, luego, haz clic en Seleccionar.
En la página de Security Command Center, haz clic en Obtener Premium.
En Cambiar nivel, verifica que esté seleccionada la opción Premium. Haz clic en Siguiente.
En Revisar servicios, habilita los servicios que necesitas.
Haz clic en Actualiza tu nivel.
Cambia de una opción de suscripción del nivel Premium a la opción de pago por uso
Si anteriormente activaste el nivel Premium de Security Command Center con un puedes inscribir Security Command Center en un precio de pago por uso antes de que venza tu suscripción. Esta inscripción garantiza que tu organización no pierda la protección y funcionalidades que ofrece el nivel Premium de Security Command Center. Este cambio de precios entrará en vigencia cuando venza tu suscripción.
Ve a Security Command Center en la consola de Google Cloud.
En la lista Organización, selecciona la organización a la que para la que quieres cambiar la opción de precios y, luego, haz clic en Seleccionar.
En la página Descripción general de Security Command Center, haz clic en Configuración. El Se abre la página Configuración, que muestra la pestaña Servicios.
En la página Configuración, haz clic en Detalle del nivel. La página Tier se abre.
Haz clic en Administrar nivel.
En la página Cambiar nivel, verifica que esté seleccionada la opción Premium y haz clic en Siguiente.
En la página Revisar servicios, revisa los servicios que habilitaste y haz clic en Actualizar tu nivel.
Cambiar de la opción de pago por uso del nivel Premium al nivel Estándar
Completa los siguientes pasos para cambiar la opción de pago por uso de Security Command Center Del nivel Premium al nivel Estándar de Security Command Center. De forma predeterminada, si tienes una suscripción, se te cambiará automáticamente al nivel Estándar cuando esta venza.
Cuando cambias al nivel Estándar de Security Command Center, pierdes acceso a los servicios y la funcionalidad del nivel Premium. Verifica que la configuración de tu organización el perfil de riesgo de seguridad no se vea afectado negativamente antes de realizar este cambio.
Aunque el nivel Estándar de Security Command Center es gratuito, es posible que experimentes cargos. Para obtener más información, consulta Posibles cargos indirectos asociados con Security Command Center.
Si actualizas al nivel Premium a nivel de la organización después de completar esta tarea, tus parámetros de configuración para los servicios de nivel Premium se restaurado.
Ve a Security Command Center en la consola de Google Cloud.
En la lista Organización, selecciona la organización a la que quieres cambiar a una versión inferior del nivel de Security Command Center y, luego, haz clic en Seleccionar.
En la página Descripción general de Security Command Center, haz clic en Configuración. El Se abre la página Configuración, que muestra la pestaña Servicios.
En la página Configuración, haz clic en Detalle del nivel. La página Tier se abre.
Haz clic en Administrar nivel.
En la página Cambiar nivel, verifica que la opción Estándar esté seleccionada y haz clic en Siguiente.
En la página Revisar servicios, revisa los servicios que habilitaste y haz clic en Actualizar tu nivel.
Cambiar de una activación a nivel de proyecto del nivel Premium a una activación a nivel de la organización del nivel Premium
Para cambiar de una activación a nivel de proyecto a una a nivel de organización, puedes seguir el proceso de activación que se describe en Activa Security Command Center por primera vez en una organización.
Se aplican los siguientes cambios de precios:
- El uso del nivel Premium de Security Command Center se rige por la activación a nivel de la organización.
- Las condiciones sobre los precios de la activación a nivel de la organización de Security Command Center los términos de fijación de precios efectivos. Los cargos se informan según los proyectos en los que se produce el uso.
Si cambias a una activación a nivel de la organización, no borres la Cuenta de servicio de Security Command Center que se creó cuando activaste la cuenta Security Command Center a nivel de proyecto. Algunos detectores de Security Health Analytics Es posible que no funcione correctamente si borras la cuenta de servicio.
Supervisa tus costos con el nivel Premium
Para supervisar los costos asociados al nivel Premium de Security Command Center, puedes usar Facturación de Cloud. Puedes exportar datos de facturación a BigQuery para obtener análisis de gastos o crear un presupuesto con alertas de gastos. Para obtener más información, consulta Supervisa los costos.
¿Qué sigue?
- Obtén más información para configurar los servicios de Security Command Center.
- Obtén más información para usar Security Command Center en la consola de Google Cloud.
- Obtén más información para trabajar con los hallazgos de Security Command Center.
- Obtén más información sobre las fuentes de seguridad de Google Cloud.