Activar el nivel Estándar o Premium de Security Command Center para una organización

En esta página, se muestra cómo activar el nivel Estándar o Premium de Security Command Center para una organización. Si ya configuraste Security Command Center en tu organización, consulta la guía para usar Security Command Center.

Security Command Center ofrece tres niveles de servicio: Estándar, Premium y Enterprise. El nivel que selecciones determina las funciones disponibles y el costo de usar Security Command Center. Para activar el nivel Enterprise, consulta Activa el nivel de Security Command Center Enterprise.

Para activar el nivel Premium de Security Command Center a nivel de la organización, selecciona una opción de precios de autoservicio basados en el uso en la consola de Google Cloud.

Puedes habilitar los controles de residencia de datos cuando activas Security Command Center por primera vez. Después de la activación, no puedes habilitar o inhabilitar los controles de residencia de datos. Para obtener más información, consulta Compatibilidad con la residencia de los datos.

Para obtener información detallada sobre los servicios integrados de Security Command Center que están disponibles con cada nivel, consulta Niveles de Security Command Center.

Para obtener información sobre los costos asociados con el uso de Security Command Center, consulta la página de pricing.

Si quieres activar Security Command Center solo para un proyecto, consulta Activa Security Command Center para un proyecto.

Requisitos previos

Antes de activar Security Command Center, necesitas una organización, los permisos adecuados de Identity and Access Management (IAM) y las políticas de la organización adecuadas.

Crea una organización

Security Command Center requiere un recurso de organización que esté asociado con un dominio. Si no creaste una organización, consulta Crea y administra organizaciones.

Configurar los permisos

Para configurar Security Command Center, necesitas los siguientes roles de IAM:

• Administrador de la organización roles/resourcemanager.organizationAdmin
• Administrador del centro de seguridad roles/securitycenter.admin
• Administrador de seguridad roles/iam.securityAdmin
• Crea cuentas de servicio roles/iam.serviceAccountCreator

Obtén más información sobre las funciones de Security Command Center.

Verifica las políticas de la organización

Si las políticas de tu organización están configuradas para restringir identidades por dominio, haz lo siguiente:

• Debes acceder a la consola de Cloud en una cuenta que esté en un dominio permitido.
• Tus cuentas de servicio deben estar en un dominio permitido o miembros de un grupo dentro de tu dominio. Este requisito te permite permitir que los servicios que usan la cuenta de servicio @*.gserviceaccount.com accedan a los recursos cuando está habilitado el uso compartido restringido del dominio.

Si las políticas de tu organización están configuradas para restringir el uso de recursos, verifica que securitycenter.googleapis.com esté permitido.

Situaciones de activación para una organización

En esta página, se describen las siguientes situaciones de activación:

• En una organización que nunca activó Security Command Center, activa el nivel Premium o el nivel Estándar de Security Command Center para una organización.
• En una organización que usa el nivel Estándar, activa el nivel Premium de Security Command Center.
• En una organización que usa una suscripción del nivel Premium con vencimiento, cambia a la opción de precios basados en el uso.

Activa Security Command Center para una organización por primera vez

Si deseas activar Security Command Center para una organización por primera vez, debes seguir un proceso de activación guiado en la consola de Google Cloud para elegir un nivel de servicio, habilitar los controles de residencia de datos y habilitar los servicios de detección que necesites. Luego, selecciona los recursos o recursos para supervisar y otorgar permisos a las cuentas de servicio requeridas.

Completa los siguientes pasos para activar el nivel Premium de Security Command Center a nivel de la organización.

1. Ve a Security Command Center en la consola de Google Cloud.

   Ir a Security Command Center

2. En la lista Organización, selecciona la organización en la que deseas habilitar Security Command Center y, luego, haz clic en Seleccionar.

   Se abrirá la ventana Obtener Security Command Center.

3. En Seleccionar nivel, selecciona un nivel.

4. Haz clic en Siguiente. Se abrirá la página Seleccionar servicios.

5. Opcional: Habilita los controles de residencia de datos de Security Command Center mediante la selección de las siguientes opciones:

   1. En Residencia de los datos, selecciona Habilitar residencia de datos.

      Cuando la residencia de datos está habilitada, si un servicio de Security Command Center detecta un problema de seguridad en un recurso que se encuentra en una ubicación de datos compatible con Security Command Center, Security Command Center almacena de forma automática el registro de resultados en la misma ubicación de Security Command Center en la que se encuentra el recurso afectado.

   2. En el campo Selecciona una ubicación predeterminada, elige la ubicación predeterminada de Security Command Center para almacenar los resultados de los recursos que no se encuentran en una ubicación compatible con Security Command Center o que no especifican una ubicación en los metadatos.

6. En la sección Servicios, habilita los servicios integrados de Security Command Center que necesitas. Cada servicio habilitado analiza todos los recursos admitidos y, luego, informa los resultados de toda la organización. Para inhabilitar cualquiera de los servicios, haz clic en la lista que aparece junto al nombre del servicio y selecciona Inhabilitar.

   Si el nivel Estándar está habilitado, puedes configurar la habilitación de los servicios Premium antes de activar el nivel Premium. La configuración no se aplica hasta que actives el nivel Premium para la organización en otro momento.

   Las siguientes son notas para servicios específicos:

   • Para que Container Threat Detection funcione correctamente, asegúrate de que tus clústeres tengan una versión compatible de Google Kubernetes Engine (GKE) y de que estén configurados de forma correcta. Para obtener más información, consulta cómo usar la detección de amenazas de contenedores.

   • Event Threat Detection se basa en registros generados por Google Cloud. Si quieres usar Event Threat Detection, habilita los registros para tu organización, carpetas y proyectos.

   • Los resultados de detección de anomalías están disponibles automáticamente en Security Command Center. La detección de anomalías se puede inhabilitar después de la integración si sigues los pasos en Configura los servicios de Security Command Center.

   • Aunque no está en la lista, el servicio de postura de seguridad se habilita automáticamente cuando seleccionas el nivel Premium.

7. En Otorgar roles, otorga los roles de IAM necesarios a los agentes de servicio para Security Command Center.

   Cuando otorgas las funciones a los agentes de servicio, proporcionas los permisos que Security Command Center y sus servicios de detección necesitan para realizar sus funciones.

   Los nombres de las cuentas de servicio están en los siguientes formatos:

   • service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com.

     Otorgas la función de IAM securitycenter.serviceAgent a esta cuenta de servicio.

   • service-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.com.

     Otorgas la función de IAM roles/containerthreatdetection.serviceAgent a esta cuenta de servicio.

   En lugar de ORGANIZATION_ID, la cuenta de servicio contiene el identificador numérico de la organización.

   Para agregar los roles, haz clic en Otorgar roles.

   Como alternativa, puedes otorgar las funciones de forma manual si completas los siguientes pasos:

   1. Expande la sección asignar roles manualmente y copia el comando de gcloud CLI.
   2. En la barra de herramientas de la consola de Google Cloud, haz clic en Activar Cloud Shell.
   3. En la ventana de la terminal que, a continuación, pega los comandos de la CLI de gcloud que copiaste y, luego, presiona Intro.

   Para obtener más información sobre los permisos asociados con estas funciones, consulta Control de acceso. Completa una de las siguientes acciones:

8. En Complete setup (Completar la configuración), revisa la información y haz clic en Finish.

   Cuando finalizas la configuración, Security Command Center inicia un análisis inicial de los elementos, después del cual puedes usar la consola de Google Cloud para revisar y solucionar los riesgos de seguridad y datos de Google Cloud en el proyecto.

   Puede haber una demora antes de que se inicien los análisis de algunos productos. Lee la descripción general de la latencia de Security Command Center para obtener más información sobre el proceso de activación.

9. Consulta la documentación de cada servicio para ver si puedes optimizarlo o probarlo aún más.

   Por ejemplo, Event Threat Detection se basa en registros generados por Google Cloud. Algunos registros siempre están activados, por lo que Event Threat Detection puede comenzar a analizarlos. Otros registros, como la mayoría de los registros de auditoría de acceso a los datos, deben activarse antes de que Event Threat Detection pueda analizarlos. Para obtener más información, consulta Tipos de registros y requisitos de activación.

   Para obtener más información sobre las pruebas y el uso de cada uno de los servicios integrados, consulta las siguientes páginas:

   • Usa la detección de amenazas a contenedores
   • Usa Event Threat Detection
   • Usa la Detección rápida de vulnerabilidades
   • Usa Security Health Analytics
   • Usa Virtual Machine Threat Detection
   • Usa Web Security Scanner
   • Usa el servicio de postura de seguridad

Actualiza del nivel Estándar al nivel Premium

Completa los siguientes pasos para actualizar del nivel Estándar de Security Command Center al nivel Premium de Security Command Center. Si quieres usar una suscripción, primero comunícate con el equipo de Ventas de Google Cloud.

Completa esta tarea cuando tu organización requiera las capacidades adicionales de detección de amenazas y postura de seguridad que ofrece el nivel Premium de Security Command Center.

1. Ve a Security Command Center en la consola de Google Cloud.

   Ir a Security Command Center

2. En la lista Organización, selecciona la organización que deseas actualizar al nivel Premium de Security Command Center y, luego, haz clic en Seleccionar.

3. En la página de Security Command Center, haz clic en Obtener Premium.

4. En Cambiar nivel, verifica que esté seleccionada la opción Premium. Haz clic en Siguiente.

5. En Revisar servicios, habilita los servicios que necesitas.

6. Haz clic en Actualiza tu nivel.

Cambiar de una opción de suscripción del nivel Premium a la opción de uso basado en el uso

Si activaste el nivel Premium de Security Command Center con una suscripción, puedes inscribir Security Command Center en los precios por uso antes de que venza la suscripción. Esta inscripción garantiza que tu organización no pierda la función de seguridad que ofrece el nivel Premium de Security Command Center. Este cambio de precios entrará en vigencia cuando venza tu suscripción.

1. Ve a Security Command Center en la consola de Google Cloud.

   Ir a Security Command Center

2. En la lista Organización, selecciona la organización para la que deseas cambiar la opción de precios y, luego, haz clic en Seleccionar.

3. En la página Descripción general de Security Command Center, haz clic en Configuración. Se abre la página Configuración y se muestra la pestaña Servicios.

4. En la página Configuración, haz clic en Detalle del nivel. Se abrirá la página Tier.

5. Haz clic en Administrar nivel.

6. En la página Cambiar nivel, verifica que esté seleccionada la opción Premium y haz clic en Siguiente.

7. En la página Revisar servicios, revisa los servicios que habilitaste y haz clic en Actualizar tu nivel.

Cambiar de la opción basada en el uso del nivel Premium al nivel Estándar

Completa los siguientes pasos para cambiar de la opción de pago por uso del nivel Premium de Security Command Center al nivel Estándar de Security Command Center. De forma predeterminada, si tienes una suscripción, se te cambiará automáticamente al nivel Estándar cuando esta venza.

Cuando cambias al nivel Estándar de Security Command Center, pierdes acceso a los servicios y la funcionalidad del nivel Premium. Verifica que el perfil de riesgo de seguridad de tu organización no se vea afectado de manera negativa antes de realizar este cambio.

Aunque el nivel Estándar de Security Command Center es gratuito, es posible que se te apliquen cargos indirectos. Para obtener más información, consulta Posibles cargos indirectos asociados con Security Command Center.

Si actualizas al nivel Premium a nivel de la organización después de completar esta tarea, se restablecerán los parámetros de configuración de los servicios de nivel Premium.

1. Ve a Security Command Center en la consola de Google Cloud.

   Ir a Security Command Center

2. En la lista Organización, selecciona la organización para la que deseas cambiar el nivel de Security Command Center y, luego, haz clic en Seleccionar.

3. En la página Descripción general de Security Command Center, haz clic en Configuración. Se abre la página Configuración y se muestra la pestaña Servicios.

4. En la página Configuración, haz clic en Detalle del nivel. Se abrirá la página Tier.

5. Haz clic en Administrar nivel.

6. En la página Cambiar nivel, verifica que la opción Estándar esté seleccionada y haz clic en Siguiente.

7. En la página Revisar servicios, revisa los servicios que habilitaste y haz clic en Actualizar tu nivel.

Cambiar de una activación a nivel de proyecto del nivel Premium a una activación a nivel de la organización del nivel Premium

Para cambiar de una activación a nivel de proyecto a una a nivel de organización, puedes seguir el proceso de activación que se describe en Activa Security Command Center para una organización por primera vez.

Se aplican los siguientes cambios de precios:

• El uso del nivel Premium de Security Command Center está cubierto por la activación a nivel de la organización.
• Las condiciones de precios para la activación a nivel de la organización de Security Command Center se convierten en las condiciones de precios vigentes. Los cargos se informan según los proyectos en los que se produce el uso.

Si cambias a una activación a nivel de la organización, no borres la cuenta de servicio de Security Command Center que se creó cuando activaste Security Command Center a nivel de proyecto. Algunos detectores de Security Health Analytics podrían no funcionar correctamente si borras la cuenta de servicio.

Supervisa tus costos con el nivel Premium

Para supervisar los costos asociados con el nivel Premium de Security Command Center, puedes usar la Facturación de Cloud. Puedes exportar datos de facturación a BigQuery para realizar un análisis detallado o crear un presupuesto con alertas de gastos. Para obtener más información, consulta Supervisa los costos.

¿Qué sigue?

• Obtén más información para configurar los servicios de Security Command Center.
• Obtén más información para usar Security Command Center en la consola de Google Cloud.
• Obtén más información para trabajar con los hallazgos de Security Command Center.
• Obtén más información sobre las fuentes de seguridad de Google Cloud.