Nesta página, mostramos como ativar os níveis Standard ou Premium do Security Command Center em uma organização. Se o Security Command Center já estiver configurado para a organização, consulte o guia sobre como usar o Security Command Center.
O Security Command Center oferece três níveis de serviço: Standard, Premium e Enterprise. O nível selecionado determina os recursos disponíveis e o custo do uso do Security Command Center. Para ativar o nível Enterprise, consulte Ativar o nível Security Command Center Enterprise Center.
Para ativar o nível Premium do Security Command Center no nível da organização, selecione uma opção de preços de autoatendimento baseada no uso no console do Google Cloud.
É possível ativar os controles de residência de dados ao ativar o Security Command Center pela primeira vez. Após a ativação, não será possível ativar ou desativar os controles de residência de dados. Para mais informações, consulte Suporte à residência de dados.
Para informações detalhadas sobre os serviços integrados do Security Command Center disponíveis para cada nível, consulte Níveis do Security Command Center.
Para informações sobre os custos associados ao uso do Security Command Center, consulte a página de pricing.
Para ativar o Security Command Center apenas para um projeto, consulte Ativar o Security Command Center para um projeto.
Pré-requisitos
Antes de ativar o Security Command Center, você precisa de uma organização, das permissões apropriadas de Identity and Access Management (IAM) e das políticas da organização adequadas.
Criar uma organização
O Security Command Center requer um recurso da organização associado a um domínio. Se você ainda não criou uma organização, consulte Como criar e gerenciar organizações.
Configurar permissões
Para configurar o Security Command Center, você precisa dos seguintes papéis do IAM:
- Administrador da organização
roles/resourcemanager.organizationAdmin - Administrador da Central de segurança
roles/securitycenter.admin - Administrador de segurança
roles/iam.securityAdmin - Criar contas de serviço
roles/iam.serviceAccountCreator
Saiba mais sobre os papéis do Security Command Center.
Verificar as políticas da organização
Se as políticas da organização estiverem definidas para restringir identidades por domínio:
- Você precisa fazer login no console do Google Cloud por uma conta que esteja em um domínio permitido.
- As contas de serviço precisam estar em um domínio permitido ou membros de um
grupo dentro do domínio. Esse requisito permite que serviços que usam a
conta de serviço
@*.gserviceaccount.comacessem recursos quando o compartilhamento restrito de domínio estiver ativado.
Se as políticas da sua organização estiverem definidas para restringir o uso de recursos, verifique se securitycenter.googleapis.com é permitido.
Cenários de ativação de uma organização
Esta página abrange os seguintes cenários de ativação:
- Em uma organização que nunca ativou o Security Command Center, ative o nível Premium ou Standard do Security Command Center para uma organização.
- Em uma organização que usa o nível Standard, ative o nível Premium do Security Command Center para a organização.
- Em uma organização que usa uma assinatura expirada do nível Premium, mude para a opção de preços com base no uso.
Ativar o Security Command Center para uma organização pela primeira vez
Para ativar o Security Command Center em uma organização pela primeira vez, siga um processo de ativação guiado no console do Google Cloud para escolher um nível de serviço e ativar os controles de residência de dados e os serviços de detecção necessários. Em seguida, selecione os recursos ou recursos para monitorar e conceder permissões às contas de serviço necessárias.
Conclua as etapas a seguir para ativar o nível Premium do Security Command Center no nível da organização.
Acesse o Security Command Center no console do Google Cloud.
Na lista Organização, selecione a organização para a qual você quer ativar o Security Command Center e clique em Selecionar.
A janela Instalar o Security Command Center é aberta.
Em Selecionar nível, selecione um nível.
Clique em Próxima. A página Selecionar serviços é aberta.
Opcional: ative os controles de residência de dados do Security Command Center selecionando as seguintes opções:
Em Residência de dados, selecione Ativar a residência de dados.
Quando a residência de dados está ativada, se um serviço do Security Command Center detectar um problema de segurança em um recurso localizado em um local de dados compatível com o Security Command Center, o Security Command Center armazenará automaticamente o registro de descoberta resultante no mesmo local em que o recurso afetado está localizado.
No campo Selecionar um local padrão, selecione o local padrão do Security Command Center para armazenar descobertas de recursos que não estão em um local compatível com o Security Command Center ou que não especificam um local nos metadados.
Na seção Serviços, ative os serviços integrados do Security Command Center necessários. Cada serviço ativado verifica todos os recursos compatíveis e relata descobertas para toda a organização. Para desativar qualquer um dos serviços, clique na lista ao lado do nome do serviço e selecione Desativar.
Se o nível Standard estiver ativado, é possível configurar a ativação dos serviços Premium antes de ativar o nível Premium. A configuração não será aplicada até você ativar o nível Premium da organização posteriormente
A seguir estão observações sobre serviços específicos:
Para que o Container Threat Detection funcione corretamente, você precisa verificar se os clusters estão em uma versão compatível do Google Kubernetes Engine (GKE) e se os clusters do GKE estão configurados corretamente. Para mais informações, consulte Como usar o Container Threat Detection.
O Event Threat Detection depende de registros gerados pelo Google Cloud. Para usar o Event Threat Detection, ative os registros da sua organização, pastas e projetos.
As descobertas de detecção de anomalias estão automaticamente disponíveis no Security Command Center. A detecção de anomalias pode ser desativada após a integração seguindo as etapas em Como configurar o Security Command Center.
Embora não esteja listado, o serviço de postura de segurança é ativado automaticamente quando você seleciona o nível Premium.
Em Conceder papéis, conceda os papéis do IAM necessários aos agentes de serviço do Security Command Center.
Ao conceder os papéis aos agentes de serviço, você fornece as permissões que o Security Command Center e os serviços de detecção dele precisam para executar as funções.
Os nomes das conta de serviço estão nos seguintes formatos:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com.Você concede o papel
securitycenter.serviceAgentdo IAM a essa conta de serviço.service-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.com.Você concede o papel
roles/containerthreatdetection.serviceAgentdo IAM a essa conta de serviço.
No lugar de
ORGANIZATION_ID, a conta de serviço contém o identificador numérico de sua organização.Para adicionar os papéis, clique em Conceder papéis.
Se preferir, siga estas etapas para conceder papéis manualmente:
- Expanda a seção conceder papéis manualmente e copie o comando da CLI da gcloud.
- Na barra de ferramentas do console do Google Cloud, clique em Ativar o Cloud Shell.
- Na janela de terminal exibida, cole os comandos da CLI que você copiou e pressione Enter.
Para saber mais sobre as permissões associadas a esses papéis, consulte controle de acesso. Conclua um dos seguintes itens:
Em Concluir configuração, revise as informações e clique em Concluir.
Ao terminar a configuração, o Security Command Center inicia uma verificação inicial de recursos. Depois disso, é possível usar o console do Google Cloud para analisar e corrigir os riscos de segurança e dados do Google Cloud em toda a organização.
Pode haver um atraso até que as verificações sejaminiciadas em alguns produtos. Leia a visão geral da latência do Security Command Centerpara saber mais sobre o processo de ativação.
Verifique a documentação de cada serviço para conferir se é possível testar ou otimizar ainda mais o serviço.
Por exemplo, o Event Threat Detection depende de registros gerados pelo Google Cloud. Alguns registros ficam sempre ativados, então o Event Threat Detection pode começar a verificá-los assim que forem ativados. Outros registros, como a maioria dos registros de auditoria de acesso a dados, precisam ser ativados antes que o Event Threat Detection possa verificá-los. Para mais informações, consulte Tipos de registro e requisitos de ativação.
Para mais informações sobre como testar e usar cada serviço integrado, consulte as seguintes páginas:
Fazer upgrade do nível Standard para o nível Premium
Conclua as etapas a seguir para fazer upgrade do nível Standard do Security Command Center para o nível Premium. Se você quiser usar uma assinatura, entre em contato com a equipe de vendas do Google Cloud primeiro.
Conclua essa tarefa quando sua organização precisar dos recursos adicionais de detecção de ameaças e postura de segurança oferecidos pelo nível Premium do Security Command Center.
Acesse o Security Command Center no console do Google Cloud.
Na lista Organização, selecione a organização que você está atualizando para o nível Premium do Security Command Center e clique em Selecionar.
Na página do Security Command Center, clique em Assinar o Premium.
Em Alterar nível, verifique se a opção Premium está selecionada. Clique em Next.
Em Avaliar serviços, ative os serviços necessários.
Clique em Atualizar seu nível.
Mudar de uma opção de assinatura do nível Premium para a opção baseada no uso
Se você ativou o nível Premium do Security Command Center usando uma assinatura, poderá inscrever o Security Command Center em preços baseados no uso antes que a assinatura expire. Esse registro garante que sua organização não perca a funcionalidade de segurança oferecida pelo nível Premium do Security Command Center. Essa mudança de preço entrará em vigor após a expiração da sua assinatura.
Acesse o Security Command Center no console do Google Cloud.
Na lista Organização, selecione a organização para a qual você quer alterar a opção de preço e clique em Selecionar.
Na página Visão geral do Security Command Center, clique em Configurações. A página Configurações é aberta e exibe a guia Serviços.
Na página Configurações, clique em Detalhes de nível. A página Nível é aberta.
Clique em Gerenciar nível.
Na página Alterar nível, verifique se a opção Premium está selecionada e clique em Next.
Na página Revisar serviços, verifique os serviços que você ativou e clique em Atualizar seu nível.
Fazer downgrade da opção baseada no uso do nível Premium para o nível Padrão
Conclua as etapas a seguir para alterar a opção de pagamento com base no uso do nível Premium do Security Command Center para o nível Standard do Security Command Center. Por padrão, se você tiver uma assinatura, será feito automaticamente o downgrade para o nível Standard quando ela expirar.
Ao fazer downgrade para o nível Standard do Security Command Center, você perde o acesso aos serviços e funcionalidades do nível Premium. Verifique se o perfil de risco de segurança da sua organização não foi afetado negativamente antes de fazer essa alteração.
Mesmo que o nível Standard do Security Command Center seja gratuito, você ainda poderá receber cobranças indiretas. Para mais informações, consulte Possíveis cobranças indiretas associadas ao Security Command Center.
Se você fizer upgrade de volta para o nível Premium no nível da organização após concluir essa tarefa, as definições de configuração dos serviços de nível Premium serão restauradas.
Acesse o Security Command Center no console do Google Cloud.
Na lista Organização, selecione a organização de que você quer fazer downgrade do nível do Security Command Center e clique em Selecionar.
Na página Visão geral do Security Command Center, clique em Configurações. A página Configurações é aberta e exibe a guia Serviços.
Na página Configurações, clique em Detalhes de nível. A página Nível é aberta.
Clique em Gerenciar nível.
Na página Alterar nível, verifique se Padrão está selecionado e clique em Avançar.
Na página Revisar serviços, verifique os serviços que você ativou e clique em Atualizar seu nível.
Mudar de uma ativação do nível Premium no nível do projeto para uma ativação no nível Premium da organização
Para alterar de uma ativação no nível do projeto para uma ativação no nível da organização, siga o processo descrito em Ativar o Security Command Center para uma organização pela primeira vez.
As seguintes alterações de preços se aplicam:
- O uso do nível Premium do Security Command Center é coberto pela ativação no nível da organização.
- Os termos de preços para a ativação no nível da organização do Security Command Center se tornam os termos de preço efetivos. As cobranças são informadas nos projetos em que o uso ocorre.
Se você mudar para uma ativação no nível da organização, não exclua a conta de serviço do Security Command Center criada quando você ativou no nível do projeto. Alguns detectores do Security Health Analytics podem não funcionar corretamente se você excluir a conta de serviço.
Monitore seus custos com o nível Premium
Para monitorar os custos associados ao nível Premium do Security Command Center, use o Cloud Billing. É possível exportar dados de faturamento para o BigQuery para análise detalhada ou criar um orçamento com alertas de gastos. Para mais informações, consulte Monitorar custos.
A seguir
- Saiba como configurar o Security Command Center.
- Saiba como usar o Security Command Center no console do Google Cloud.
- Saiba como trabalhar com as descobertas do Security Command Center.
- Saiba mais sobre as fontes de segurança do Google Cloud.