En esta página, se muestra cómo activar el nivel Estándar o Premium de Security Command Center para una organización. Si ya configuraste Security Command Center en tu organización, consulta la guía para usar Security Command Center.
Security Command Center proporciona tres niveles de servicio: Estándar, Premium y Empresarial. El nivel que selecciones determina las funciones disponibles para ti y el costo de usar Security Command Center. Para activar el nivel Enterprise, consulta Activa Security Command Center Enterprise Center.
Para activar el nivel Premium de Security Command Center a nivel de la organización, selecciona una opción de precios de autoservicio y por uso en la consola de Google Cloud.
Puedes habilitar los controles de residencia de datos cuando activas Security Command Center por primera vez. Después de la activación, no podrás habilitar ni inhabilitar los controles de residencia de datos. Para obtener más información, consulta Asistencia de residencia de datos.
Para obtener información detallada sobre los servicios integrados de Security Command Center que están disponibles con cada nivel, consulta Niveles de Security Command Center.
Para obtener información sobre los costos asociados con el uso de Security Command Center, consulta la página de pricing.
Si quieres activar Security Command Center solo para un proyecto, consulta Activa Security Command Center para un proyecto.
Requisitos previos
Antes de activar Security Command Center, necesitas una organización, los permisos adecuados de Identity and Access Management (IAM) y las políticas de la organización adecuadas.
Crea una organización
Security Command Center requiere un recurso de organización que esté asociado con un dominio. Si no creaste una organización, consulta Crea y administra organizaciones.
Configurar los permisos
Para configurar Security Command Center, necesitas los siguientes roles de IAM:
- Administrador de la organización
roles/resourcemanager.organizationAdmin - Administrador del centro de seguridad
roles/securitycenter.admin - Administrador de seguridad
roles/iam.securityAdmin - Crea cuentas de servicio
roles/iam.serviceAccountCreator
Obtén más información sobre las funciones de Security Command Center.
Verifica las políticas de la organización
Si las políticas de tu organización están configuradas para restringir identidades por dominio, haz lo siguiente:
- Debes acceder a la consola de Cloud en una cuenta que esté en un dominio permitido.
- Tus cuentas de servicio deben estar en un dominio permitido o miembros de un grupo dentro de tu dominio. Este requisito te permite permitir que los servicios que usan la cuenta de servicio
@*.gserviceaccount.comaccedan a los recursos cuando el uso compartido restringido al dominio está habilitado.
Si las políticas de tu organización están configuradas para restringir el uso de recursos, verifica que se permita securitycenter.googleapis.com.
Situaciones de activación para una organización
En esta página, se abordan las siguientes situaciones de activación:
- En una organización que nunca activó Security Command Center, activa el nivel Premium o Estándar de Security Command Center para una organización.
- En una organización que use el nivel Estándar, activa el nivel Premium de Security Command Center para la organización.
- En una organización que usa una suscripción al nivel Premium que vencerá, cambia a la opción de precios por uso.
Activa Security Command Center para una organización por primera vez
Si deseas activar Security Command Center para una organización por primera vez, sigue un proceso de activación guiado en la consola de Google Cloud a fin de elegir un nivel de servicio, habilitar los controles de residencia de datos y habilitar los servicios de detección que necesitas. Luego, selecciona los recursos o recursos para supervisar y otorgar permisos a las cuentas de servicio necesarias.
Completa los siguientes pasos para activar el nivel Premium de Security Command Center a nivel de la organización.
Ve a Security Command Center en la consola de Google Cloud.
En la lista Organización, selecciona la organización para la que deseas habilitar Security Command Center y, luego, haz clic en Seleccionar.
Se abrirá la ventana Obtener Security Command Center.
En Seleccionar nivel, selecciona un nivel.
Haz clic en Siguiente. Se abrirá la página Seleccionar servicios.
Opcional: Para habilitar los controles de residencia de datos de Security Command Center, selecciona las siguientes opciones:
En Residencia de datos, selecciona Habilitar residencia de datos.
Cuando la residencia de datos está habilitada, si un servicio de Security Command Center detecta un problema de seguridad en un recurso que se encuentra en una ubicación de datos compatible con Security Command Center, Security Command Center almacena automáticamente el registro de resultados resultante en la misma ubicación de Security Command Center en la que se encuentra el recurso afectado.
En el campo Selecciona una ubicación predeterminada, elige la ubicación predeterminada de Security Command Center en la que se almacenarán los resultados de los recursos que no estén en una ubicación compatible con Security Command Center o que no especifiquen una ubicación en sus metadatos.
En la sección Servicios, habilita los servicios integrados de Security Command Center que necesitas. Cada servicio habilitado analiza todos los recursos compatibles y, además, informa los resultados para toda tu organización. Para inhabilitar cualquiera de los servicios, haz clic en la lista junto al nombre del servicio y selecciona Inhabilitar.
Si el nivel Estándar está habilitado, puedes configurar la habilitación de los servicios Premium antes de activar el nivel Premium. La configuración no se aplica hasta que actives el nivel Premium para la organización en otro momento.
Las siguientes son notas para servicios específicos:
Para que la detección de amenazas a contenedores funcione de forma correcta, asegúrate de que tus clústeres se encuentren en una versión compatible de Google Kubernetes Engine (GKE) y de que tus clústeres de GKE estén configurados de forma correcta. Para obtener más información, consulta cómo usar la detección de amenazas de contenedores.
Event Threat Detection se basa en registros generados por Google Cloud. Si quieres usar Event Threat Detection, habilita los registros para la organización, las carpetas y los proyectos.
Los resultados de detección de anomalías están disponibles automáticamente en Security Command Center. La detección de anomalías se puede inhabilitar después de la integración mediante los pasos en Configura Security Command Center.
Aunque no en la lista, el servicio de postura de seguridad se habilita automáticamente cuando seleccionas el nivel Premium.
En Otorga funciones, otorga las funciones de IAM necesarias a los agentes de servicio para Security Command Center.
Cuando otorgas las funciones a los agentes de servicio, proporcionas los permisos que Security Command Center y sus servicios de detección necesitan para realizar sus funciones.
Los nombres de las cuentas de servicio están en los siguientes formatos:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com.Otorgas la función de IAM
securitycenter.serviceAgenta esta cuenta de servicio.service-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.com.Otorgas la función de IAM
roles/containerthreatdetection.serviceAgenta esta cuenta de servicio.
En lugar de
ORGANIZATION_ID, la cuenta de servicio contiene el identificador numérico de tu organización.Para agregar los roles, haz clic en Otorgar roles.
Como alternativa, puedes otorgar las funciones de forma manual si completas los siguientes pasos:
- Expande la sección asignar roles de forma manual y copia el comando de gcloud CLI.
- En la barra de herramientas de la consola de Google Cloud, haz clic en Activar Cloud Shell.
- En la ventana de la terminal que, a continuación, pega los comandos de la CLI de gcloud que copiaste y, luego, presiona Intro.
Para obtener información sobre los permisos asociados con estas funciones, consulta control de acceso. Completa uno de los siguientes pasos:
En Complete setup (Completar la configuración), revisa la información y haz clic en Finish (Finalizar).
Cuando finalizas la configuración, Security Command Center inicia un análisis inicial de los elementos. Después, puedes usar la consola de Google Cloud para revisar y solucionar los riesgos de seguridad y datos de Google Cloud en el proyecto.
Puede haber una demora antes de que se inicien los análisis de algunos productos. Lee la descripción general de la latencia de Security Command Center para obtener más información sobre el proceso de activación.
Consulta la documentación de cada servicio para ver si puedes optimizarlo o probarlo aún más.
Por ejemplo, Event Threat Detection se basa en los registros que genera Google Cloud. Algunos registros siempre están activados, por lo que Event Threat Detection puede comenzar a analizarlos en cuanto se habilita. Otros registros, como la mayoría de los registros de auditoría de acceso a los datos, deben activarse antes de que Event Threat Detection pueda analizarlos. Para obtener más información, consulta Tipos de registros y requisitos de activación.
Para obtener más información sobre cómo probar y usar cada uno de los servicios integrados, consulta las siguientes páginas:
Actualiza del nivel Estándar al nivel Premium
Completa los siguientes pasos para actualizar del nivel Estándar de Security Command Center al nivel Premium de Security Command Center. Si quieres usar una suscripción, primero comunícate con el equipo de Ventas de Google Cloud.
Completa esta tarea cuando tu organización requiera las capacidades adicionales de detección de amenazas y postura de seguridad que ofrece el nivel Premium de Security Command Center.
Ve a Security Command Center en la consola de Google Cloud.
En la lista Organización, selecciona la organización que deseas actualizar al nivel Premium de Security Command Center y, luego, haz clic en Seleccionar.
En la página de Security Command Center, haz clic en Obtener Premium.
En Cambiar nivel, verifica que esté seleccionada la opción Premium. Haz clic en Siguiente.
En Revisar los servicios, habilita los servicios que necesitas.
Haz clic en Actualizar el nivel.
Cambiar de una opción de suscripción del nivel Premium a la opción basada en el uso
Si anteriormente activaste el nivel Premium de Security Command Center con una suscripción, puedes inscribir Security Command Center en precios basados en el uso antes de que venza la suscripción. Esta inscripción garantiza que tu organización no pierda la funcionalidad de seguridad que ofrece el nivel Premium de Security Command Center. Este cambio en los precios entrará en vigencia una vez que venza tu suscripción.
Ve a Security Command Center en la consola de Google Cloud.
En la lista Organización, selecciona la organización para la que deseas cambiar la opción de precios y, luego, haz clic en Seleccionar.
En la página Descripción general de Security Command Center, haz clic en Configuración. Se abrirá la página Configuración y se mostrará la pestaña Servicios.
En la página Configuración, haz clic en Detalles del nivel. Se abrirá la página Nivel.
Haz clic en Administrar nivel.
En la página Cambiar nivel, verifica que esté seleccionada la opción Premium y haz clic en Siguiente.
En la página Revisar los servicios, revisa los servicios que habilitaste y haz clic en Actualizar el nivel.
Cambiar la opción del nivel Premium basada en el uso al nivel Estándar
Completa los siguientes pasos para cambiar de la opción de pago por uso del nivel Premium de Security Command Center al nivel Estándar de Security Command Center. De forma predeterminada, si tienes una suscripción, se te cambiará automáticamente al nivel Estándar cuando venza la suscripción.
Cuando cambias al nivel Estándar de Security Command Center, pierdes el acceso a los servicios y las funciones del nivel Premium. Verifica que el perfil de riesgo de seguridad de tu organización no se vea afectado de manera negativa antes de realizar este cambio.
Aunque el nivel Estándar de Security Command Center es gratuito, es posible que experimentes cargos indirectos. Para obtener más información, consulta Posibles cargos indirectos asociados con Security Command Center.
Si actualizas nuevamente al nivel Premium en el nivel de la organización después de completar esta tarea, se restablecerá la configuración de los servicios del nivel Premium.
Ve a Security Command Center en la consola de Google Cloud.
En la lista Organización, selecciona la organización para la que deseas cambiar el nivel de Security Command Center y, luego, haz clic en Seleccionar.
En la página Descripción general de Security Command Center, haz clic en Configuración. Se abrirá la página Configuración y se mostrará la pestaña Servicios.
En la página Configuración, haz clic en Detalles del nivel. Se abrirá la página Nivel.
Haz clic en Administrar nivel.
En la página Cambiar nivel, verifica que esté seleccionada la opción Estándar y haz clic en Siguiente.
En la página Revisar los servicios, revisa los servicios que habilitaste y haz clic en Actualizar el nivel.
Cambiar de una activación del nivel Premium a nivel de proyecto a una activación del nivel Premium a nivel de la organización
Para cambiar de una activación a nivel de proyecto a una a nivel de organización, puedes seguir el proceso de activación que se describe en Cómo activar Security Command Center para una organización por primera vez.
Se aplican los siguientes cambios de precios:
- El uso del nivel Premium de Security Command Center está cubierto por la activación a nivel de la organización.
- Las condiciones de precios para la activación a nivel de la organización de Security Command Center se convierten en las condiciones de fijación de precios efectivos. Los cargos se informan de los proyectos en los que se produce el uso.
Si cambias a una activación a nivel de la organización, no borres la cuenta de servicio de Security Command Center que se creó cuando activaste Security Command Center a nivel de proyecto. Es posible que algunos detectores de Security Health Analytics no funcionen de forma correcta si borras la cuenta de servicio.
Supervisa tus costos con el nivel Premium
Para supervisar los costos asociados con el nivel Premium de Security Command Center, puedes usar la Facturación de Cloud. Puedes exportar los datos de facturación a BigQuery para un análisis detallado o crear un presupuesto con alertas de gastos. Para obtener más información, consulta Supervisa los costos.
¿Qué sigue?
- Obtén más información sobre cómo configurar Security Command Center.
- Aprende a usar Security Command Center en la consola de Google Cloud.
- Obtén información sobre cómo trabajar con los resultados de Security Command Center.
- Obtén más información sobre las fuentes de seguridad de Google Cloud.