Esta página mostra como ativar o nível Standard ou Premium do Security Command Center para uma organização. Se o Security Command Center já estiver configurado para sua organização, consulte o guia sobre como usar o Security Command Center.
O Security Command Center oferece três níveis de serviço: Standard, Premium e Enterprise. O nível selecionado determina os recursos disponíveis e o custo do uso do Security Command Center. Para ativar o nível Enterprise, consulte Ativar o nível Security Command Center Enterprise Center.
Para ativar o nível Premium do Security Command Center no nível da organização, selecione uma opção de autoatendimento, de pagamento por uso no console do Google Cloud.
É possível ativar os controles de residência de dados ao ativar o Security Command Center pela primeira vez. Depois da ativação, não é possível ativar ou desativar os controles de residência de dados. Para mais informações, consulte Suporte à residência de dados.
Para informações detalhadas sobre os serviços integrados do Security Command Center disponíveis para cada nível, consulte Níveis do Security Command Center.
Para informações sobre os custos associados ao uso do Security Command Center, consulte a página de preços.
Para ativar o Security Command Center apenas para um projeto, consulte Ativar o Security Command Center para um projeto.
Pré-requisitos
Antes de ativar o Security Command Center, você precisa de uma organização, das permissões apropriadas de Identity and Access Management (IAM) e das políticas da organização adequadas.
Criar uma organização
O Security Command Center requer um recurso da organização associado a um domínio. Se você ainda não criou uma organização, consulte Como criar e gerenciar organizações.
Configurar permissões
Para configurar o Security Command Center, você precisa dos seguintes papéis do IAM:
- Administrador da organização
roles/resourcemanager.organizationAdmin
- Administrador da Central de segurança
roles/securitycenter.admin
- Administrador de segurança
roles/iam.securityAdmin
- Criar contas de serviço
roles/iam.serviceAccountCreator
Saiba mais sobre os papéis do Security Command Center.
Verificar as políticas da organização
Se as políticas da organização estiverem definidas para restringir identidades por domínio:
- Você precisa fazer login no console do Google Cloud por uma conta que esteja em um domínio permitido.
- As contas de serviço precisam estar em um domínio permitido ou membros de um
grupo dentro do domínio. Esse requisito permite que você permita que serviços que usam a
conta de serviço
@*.gserviceaccount.com
acessem recursos quando o compartilhamento restrito de domínio estiver ativado.
Se as políticas da sua organização estiverem definidas para restringir o uso de recursos, verifique se securitycenter.googleapis.com
é permitido.
Cenários de ativação de uma organização
Esta página abrange os seguintes cenários de ativação:
- Em uma organização que nunca ativou o Security Command Center, ative o nível Premium ou Standard do Security Command Center para uma organização.
- Em uma organização que usa o nível Standard, ative o nível Premium do Security Command Center para a organização.
- Em uma organização que usa uma assinatura expirada do nível Premium, mude para a opção de preços de pagamento por uso.
Ativar o Security Command Center para uma organização pela primeira vez
Para ativar o Security Command Center pela primeira vez em uma organização, siga um processo de ativação guiado no console do Google Cloud para escolher um nível de serviço, ativar os controles de residência de dados e ativar os serviços de detecção necessários. Em seguida, selecione os recursos ou ativos para monitorar e conceder permissões às contas de serviço necessárias.
Conclua as etapas a seguir para ativar o nível Premium do Security Command Center no nível da organização.
No console do Google Cloud, acesse o Security Command Center.
Acesse Security Command Center
Selecione a organização para a qual você quer ativar o Security Command Center e clique em Selecionar.
A janela Instalar o Security Command Center é aberta.
Em Selecionar nível, selecione um nível.
Clique em Próxima. A página Selecionar serviços é aberta.
Opcional: ative os controles de residência de dados do Security Command Center selecionando as seguintes opções:
Em Residência de dados, selecione Ativar residência de dados.
Quando a residência de dados está ativada, se um serviço do Security Command Center detecta um problema de segurança em um recurso localizado em um local de dados com suporte do Security Command Center, o Security Command Center armazena automaticamente o registro de descoberta resultante no mesmo local do Security Command Center em que o recurso afetado está localizado.
No campo Selecionar um local padrão, escolha o local padrão do Security Command Center em que as descobertas dos recursos que não estão em um local compatível com o Security Command Center ou que não especificam um local nos metadados serão armazenadas.
Na seção Serviços, ative os serviços integrados do Security Command Center necessários. Cada serviço ativado verifica todos os recursos compatíveis e informa as descobertas de toda a organização. Para desativar um serviço, clique na lista ao lado do nome do serviço e selecione Desativar.
Se o nível Standard estiver ativado, é possível configurar a ativação dos serviços Premium antes de ativar o nível Premium. A configuração não será aplicada até você ativar o nível Premium da organização em um momento posterior.
A seguir estão observações sobre serviços específicos:
Para que o Container Threat Detection funcione corretamente, verifique se os clusters estão em uma versão compatível do Google Kubernetes Engine (GKE) e se os clusters do GKE estão configurados corretamente. Para mais informações, consulte Como usar o Container Threat Detection.
O Event Threat Detection depende de registros gerados pelo Google Cloud. Para usar o Event Threat Detection, ative os registros da sua organização, pastas e projetos.
As descobertas de detecção de anomalias estão automaticamente disponíveis no Security Command Center. A detecção de anomalias pode ser desativada após a integração seguindo as etapas em Configurar os serviços do Security Command Center.
Embora não esteja listado, o serviço de postura de segurança é ativado automaticamente quando você seleciona o nível Premium.
Em Conceder papéis, conceda os papéis do IAM necessários aos agentes de serviço do Security Command Center.
Ao conceder os papéis aos agentes de serviço, você fornece as permissões que o Security Command Center e os serviços de detecção precisam para realizar as funções.
Os nomes das conta de serviço estão nos seguintes formatos:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Você concede o papel do IAM
roles/securitycenter.serviceAgent
a esse agente de serviço.service-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.com
Conceda o papel do IAM
roles/containerthreatdetection.serviceAgent
a esse agente de serviço.
No lugar de
ORGANIZATION_ID
, o agente de serviço contém o identificador numérico da sua organização.Para adicionar as funções, clique em Conceder papéis.
Se preferir, siga estas etapas para conceder papéis manualmente:
- Expanda a seção conceder papéis manualmente e copie o comando da CLI da gcloud.
- Na barra de ferramentas do console do Google Cloud, clique em Ativar o Cloud Shell.
- Na janela de terminal exibida, cole os comandos da CLI que você copiou e pressione Enter.
Para saber mais sobre as permissões associadas a esses papéis, consulte controle de acesso.
Em Concluir configuração, revise as informações e clique em Concluir.
Ao terminar a configuração, o Security Command Center inicia uma verificação inicial de recursos. Depois disso, é possível usar o console do Google Cloud para analisar e corrigir os riscos de dados e segurança do Google Cloud em todo o projeto.
Pode haver um atraso até que as verificações sejaminiciadas em alguns produtos. Leia a visão geral da latência do Security Command Center para saber mais sobre o processo de ativação.
Verifique a documentação de cada serviço para conferir se é possível testar ou otimizar ainda mais o serviço.
Por exemplo, o Event Threat Detection depende de registros gerados pelo Google Cloud. Alguns registros ficam sempre ativados, então o Event Threat Detection pode começar a verificá-los assim que forem ativados. Outros registros, como a maioria dos registros de auditoria de acesso a dados, precisam ser ativados antes que o Event Threat Detection possa verificá-los. Para mais informações, consulte Tipos de registro e requisitos de ativação.
Para mais informações sobre como testar e usar cada um dos serviços integrados, consulte as seguintes páginas:
Fazer upgrade do nível Standard para o nível Premium
Conclua as etapas a seguir para fazer upgrade do nível Standard do Security Command Center para o nível Premium. Se você quiser usar uma assinatura, entre em contato com a equipe de vendas do Google Cloud primeiro.
Conclua essa tarefa quando sua organização precisar dos recursos adicionais de detecção de ameaças e postura de segurança oferecidos pelo nível Premium do Security Command Center.
No console do Google Cloud, acesse o Security Command Center.
Selecione a organização que você está atualizando para o nível Premium do Security Command Center e clique em Selecionar.
Na página do Security Command Center, clique em Assinar o Premium.
Em Alterar nível, verifique se a opção Premium está selecionada. Clique em Next.
Em Revisar serviços, ative os serviços necessários.
Clique em Atualizar seu nível.
Mudar de uma opção de assinatura do nível Premium para a opção de pagamento por uso
Se você ativou o nível Premium do Security Command Center usando uma assinatura, poderá inscrever o Security Command Center no preço sob demanda antes que a assinatura expire. Essa inscrição ajuda a garantir que sua organização possa acessar o nível Premium do Security Command Center sem interrupções. Essa mudança de preço entrará em vigor após a expiração da sua assinatura.
No console do Google Cloud, acesse o Security Command Center.
Selecione a organização para a qual você quer mudar a opção de preço e clique em Selecionar.
Na página Visão geral do Security Command Center, clique em Configurações. A página Configurações é aberta e mostra a guia Serviços.
Na página Configurações, clique em Detalhes de nível. A página Nível é aberta.
Clique em Gerenciar nível.
Na página Change tier, verifique se a opção Premium está selecionada e clique em Next.
Na página Revisar serviços, confira os serviços que você ativou e clique em Atualizar seu nível.
Fazer downgrade da opção de pagamento por uso do nível Premium para o nível Standard
Conclua as etapas a seguir para mudar da opção de pagamento por utilização do nível Premium do Security Command Center para o nível Standard do Security Command Center. Por padrão, se você tiver uma assinatura, será feito automaticamente o downgrade para o nível Standard quando ela expirar.
Ao fazer downgrade para o nível Standard do Security Command Center, você perde o acesso aos serviços e recursos do nível Premium. Verifique se o perfil de risco de segurança da sua organização não foi afetado negativamente antes de fazer essa alteração.
Mesmo que o nível Standard do Security Command Center seja gratuito, você ainda poderá receber cobranças indiretas. Para mais informações, consulte Possíveis cobranças indiretas associadas ao Security Command Center.
Se você fizer upgrade de volta para o nível Premium no nível da organização após concluir essa tarefa, as definições de configuração dos serviços de nível Premium serão restauradas.
No console do Google Cloud, acesse o Security Command Center.
Selecione a organização para a qual você quer fazer downgrade do nível do Security Command Center e clique em Selecionar.
Na página Visão geral do Security Command Center, clique em Configurações. A página Configurações é aberta e mostra a guia Serviços.
Na página Configurações, clique em Detalhes de nível. A página Nível é aberta.
Clique em Gerenciar nível.
Na página Alterar nível, verifique se a opção Padrão está selecionada e clique em Próxima.
Na página Revisar serviços, confira os serviços que você ativou e clique em Atualizar seu nível.
Mudar a ativação do nível Premium do projeto para o nível da organização
Para mudar de uma ativação no nível do projeto para uma ativação no nível da organização, siga o processo descrito em Ativar o Security Command Center para uma organização pela primeira vez.
As seguintes alterações de preços se aplicam:
- O uso do nível Premium do Security Command Center é coberto pela ativação no nível da organização.
- Os termos de preços para a ativação no nível da organização do Security Command Center se tornam os termos de preço efetivos. As cobranças são informadas nos projetos em que o uso ocorre.
Se você mudar para uma ativação no nível da organização, não exclua a conta de serviço do Security Command Center que foi criada quando você ativou o Security Command Center no nível do projeto. Alguns detectores do Security Health Analytics podem não funcionar corretamente se você excluir a conta de serviço.
Monitore seus custos com o nível Premium
Para monitorar os custos associados ao nível Premium do Security Command Center, use o Cloud Billing. É possível exportar dados de faturamento para o BigQuery para análise detalhada ou criar um orçamento com alertas de gastos. Para mais informações, consulte Monitorar custos.
A seguir
- Saiba como configurar os serviços do Security Command Center.
- Saiba como usar o Security Command Center no console do Google Cloud.
- Saiba como trabalhar com as descobertas do Security Command Center.
- Saiba mais sobre as fontes de segurança do Google Cloud.