En esta página, se describe cómo configurar el servicio de detección de administración de derechos de la infraestructura de nube (CIEM) de Security Command Center para detectar problemas de identidad en tus implementaciones en otras plataformas en la nube, como Amazon Web Services (AWS).
El servicio de detección CIEM genera hallazgos que te alertan sobre posibles problemas de seguridad de identidad y acceso en tu entorno de AWS, como funciones de IAM asumidas con un gran nivel de privilegios, usuarios y grupos.
Antes de comenzar
Antes de habilitar el servicio de detección CIEM, completa las siguientes tareas:
- Compra y activa el nivel Enterprise de Security Command Center para tu organización. Para obtener instrucciones, consulta Activa el nivel de Security Command Center Enterprise.
- Obtén más información sobre las funciones de CIEM de Security Command Center.
Configurar los permisos
Si quieres obtener los permisos que necesitas para habilitar CIEM, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu organización de Google Cloud:
- Administrador de la API de Chronicle (roles/chronicle.admin)
- Administrador de Chronicle SOAR (roles/chronicle.soarAdmin)
- Administrador del servicio de Chronicle (roles/chroniclesm.admin)
- Propietario de recursos de Cloud (roles/cloudasset.owner)
- Crea cuentas de servicio (roles/iam.serviceAccountCreator)
- Administrador de IAM de carpeta (roles/resourcemanager.folderIamAdmin)
- Administrador del recomendador de IAM (roles/recommender.iamAdmin)
- Administrador de la organización (roles/resourcemanager.organizationAdmin)
- Administrador de funciones de la organización (roles/iam.roleAdmin)
- Creador de proyectos (roles/resourcemanager.projectCreator)
- Administrador de IAM de proyecto (roles/resourcemanager.projectIamAdmin)
- Administrador de seguridad (roles/iam.securityAdmin)
- Administrador del centro de seguridad (roles/securitycenter.admin)
Si quieres obtener más información para otorgar roles, consulta Administra el acceso.
Es posible que también puedas obtener los permisos necesarios a través de funciones personalizadas o, también, otras funciones predefinidas.
Configura componentes complementarios para CIEM
Si quieres habilitar el servicio de detección CIEM para generar hallazgos para otros proveedores de servicios en la nube, debes configurar ciertos componentes complementarios en Security Command Center.
Completa las siguientes tareas a fin de habilitar el servicio de detección CIEM para AWS:
- Configura la integración de Amazon Web Services (AWS): Completa este paso a fin de conectar tu entorno de AWS a Security Command Center para evaluar vulnerabilidades y riesgos. Para obtener instrucciones, consulta Conéctate a AWS para detectar vulnerabilidades y evaluar riesgos.
- Configura integraciones: Completa este paso para configurar integraciones opcionales de Security Command Center, como la conexión a tus sistemas de tickets:
- Para conectar tu sistema de tickets, consulta Integra Security Command Center Enterprise con sistemas de tickets.
- Para sincronizar los datos de los casos, habilita la sincronización para los casos.
- Configura la transferencia de registros: Si deseas configurar la transferencia de registros de forma adecuada para CIEM, consulta Configura la transferencia de registros de AWS para CIEM.
Usa CIEM con Google Cloud
La mayoría de las funciones CIEM de Security Command Center funcionan de forma predeterminada para tu entorno de Google Cloud y no requieren ninguna configuración adicional. Como parte de las capacidades de CIEM de Security Command Center, los resultados se producen de forma automática para Google Cloud, siempre y cuando tengas una suscripción activa a Security Command Center Enterprise.
¿Qué sigue?
- Obtén información para investigar los hallazgos sobre la identidad y el acceso.
- Obtén más información para revisar casos en busca de problemas de identidad y acceso.
- Obtén más información sobre los roles de Security Command Center.