Esta página descreve como configurar o serviço de detecção do CIEM (Gerenciamento de direitos de acesso à infraestrutura em nuvem) do Security Command Center para detectar problemas de identidade nas implantações em outras plataformas em nuvem, como a Amazon Web Services (AWS).
O serviço de detecção do CIEM gera descobertas que alertam sobre possíveis problemas de segurança de identidade e acesso no seu ambiente da AWS, como papéis do IAM, usuários e grupos altamente privilegiados assumidos.
Antes de começar
Antes de ativar o serviço de detecção do CIEM, conclua as seguintes tarefas:
- Compre e ative o nível Enterprise do Security Command Center para sua organização. Para instruções, consulte Ativar o Security Command Center Enterprise Center.
- Saiba mais sobre os recursos de CIEM do Security Command Center.
Configurar permissões
Para receber as permissões necessárias para ativar o CIEM, peça ao administrador que conceda a você os seguintes papéis do IAM na sua organização do Google Cloud:
- Administrador da API Chronicle (roles/chronicle.admin)
- Chronicle SOAR Admin (roles/chronicle.soarAdmin)
- Administrador de serviço do Chronicle (roles/chroniclesm.admin)
- Proprietário de recursos do Cloud (roles/cloudasset.owner)
- Criador de contas de serviço (roles/iam.serviceAccountCreator)
- Administrador de pastas do IAM (roles/resourcemanager.folderIamAdmin)
- Administrador de recomendações do IAM (roles/recommender.iamAdmin)
- Administrador da organização (roles/resourcemanager.organizationAdmin)
- Administrador de papéis da organização (roles/iam.roleAdmin)
- Criador de projetos (roles/resourcemanager.projectCreator)
- Administrador de IAM do projeto (roles/resourcemanager.projectIamAdmin)
- Administrador de segurança (roles/iam.securityAdmin)
- Administrador da Central de segurança (roles/securitycenter.admin)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
Configurar componentes de suporte para CIEM
Para ativar o serviço de detecção do CIEM e produzir descobertas para outros provedores de nuvem, configure determinados componentes de suporte no Security Command Center.
Conclua as seguintes tarefas para ativar o serviço de detecção do CIEM para a AWS:
- Configurar a integração do Amazon Web Services (AWS): conclua esta etapa para conectar seu ambiente da AWS ao Security Command Center para avaliação de vulnerabilidade e risco. Para instruções, consulte Conectar-se à AWS para detecção de vulnerabilidades e avaliação de risco.
- Configurar integrações: conclua esta etapa para configurar integrações opcionais do Security Command Center, como a conexão com seus sistemas de emissão de tíquetes:
- Para conectar seu sistema de tíquetes, consulte Integrar o Security Command Center Enterprise a sistemas de tíquetes.
- Para sincronizar dados de casos, ative a sincronização de casos.
- Configurar a ingestão de registros: para configurar a ingestão de registros de forma adequada para a CIEM, consulte Configurar a ingestão de registros da AWS para a CIEM.
Usar o CIEM com o Google Cloud
A maioria dos recursos do CIEM do Security Command Center funciona por padrão no seu ambiente do Google Cloud e não requer nenhuma configuração adicional. Como parte dos recursos de CIEM do Security Command Center, as descobertas são produzidas automaticamente para o Google Cloud, desde que você tenha uma assinatura ativa do Security Command Center Enterprise.
A seguir
- Saiba como investigar descobertas de identidade e acesso.
- Saiba como analisar casos de problemas de identidade e acesso.
- Saiba mais sobre os papéis do Security Command Center.