En esta página, se describe cómo configurar la administración de derechos de infraestructura en la nube (CIEM) de Security Command Center. de detección de intrusiones para detectar problemas de identidad en tus implementaciones en otras nubes plataformas, como Amazon Web Services (AWS).
El servicio de detección CIEM genera hallazgos que le avisan posibles problemas de seguridad de identidad y acceso en tu entorno de AWS, como usuarios, grupos y roles de IAM asumidos con muchos privilegios.
Antes de comenzar
Antes de habilitar el servicio de detección CIEM, completa las siguientes tareas:
- Comprar y activar el nivel Enterprise de Security Command Center para tu organización. Para obtener instrucciones, consulta Activar el Nivel de Security Command Center Enterprise.
- Obtén más información sobre las funciones de CIEM de Security Command Center.
Configura los permisos
A fin de obtener los permisos que necesitas para habilitar CIEM, solicita a tu administrador que te otorgue el siguientes roles de IAM en tu organización de Google Cloud:
- Administrador de la API de Chronicle (roles/chronicle.admin)
- Administrador de Chronicle SOAR (roles/chronicle.soarAdmin)
- Administrador del servicio de Chronicle (roles/chroniclesm.admin)
- Propietario de recursos de Cloud (roles/cloudasset.owner)
- Crea cuentas de servicio (roles/iam.serviceAccountCreator)
- Administrador de IAM de carpeta (roles/resourcemanager.folderIamAdmin)
- Administrador del recomendador de IAM (roles/recommender.iamAdmin)
- Administrador de la organización (roles/resourcemanager.organizationAdmin)
- Administrador de funciones de la organización (roles/iam.roleAdmin)
- Creador de proyectos (roles/resourcemanager.projectCreator)
- Administrador de IAM de proyecto (roles/resourcemanager.projectIamAdmin)
- Administrador de seguridad (roles/iam.securityAdmin)
- Administrador del centro de seguridad (roles/securitycenter.admin)
Si quieres obtener más información para otorgar roles, consulta Administra el acceso.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
Configura componentes complementarios para CIEM
Permitir que el servicio de detección CIEM genere hallazgos para otros proveedores de servicios en la nube, debes configurar ciertos componentes de respaldo Security Command Center.
Completa las siguientes tareas para habilitar el servicio de detección CIEM para AWS:
- Configura la integración de Amazon Web Services (AWS): Completa este paso. para conectar tu entorno de AWS a Security Command Center para detectar vulnerabilidades y la evaluación de riesgos. Para obtener instrucciones, consulta Conéctate a AWS para detectar vulnerabilidades detección y evaluación de riesgos.
- Configura las integraciones: Completa este paso para configurar las integraciones opcionales
integraciones de Security Command Center, como
a tus sistemas de tickets:
- Para conectar tu sistema de tickets, consulta Integra Security Command Center Empresa con generación de tickets de la aplicación.
- Para sincronizar los datos de los casos, habilita la sincronización para los casos.
- Configurar la transferencia de registros: Configura la transferencia de registros de forma adecuada para CIEM, consulta Configura la transferencia de registros de AWS para CIEM
Usa CIEM con Google Cloud
La mayoría de las funciones de CIEM de Security Command Center funcionan de forma predeterminada para tu entorno de Google Cloud y no requieren ninguna configuración. Como parte de las capacidades CIEM de Security Command Center, los resultados se producen automáticamente para Google Cloud, siempre y cuando tengas suscripción activa a Security Command Center Enterprise.
¿Qué sigue?
- Obtén información para investigar los hallazgos sobre identidad y acceso.
- Obtén más información para revisar casos en busca de problemas de identidad y acceso.
- Obtén más información sobre Roles de Security Command Center.