En esta página, se describe cómo configurar la administración de derechos de infraestructura en la nube (CIEM) de Security Command Center. de detección de intrusiones para detectar problemas de identidad en tus implementaciones en otras nubes plataformas, como Amazon Web Services (AWS).
El servicio de detección CIEM genera hallazgos que le avisan posibles problemas de seguridad de identidad y acceso en tu entorno de AWS, como usuarios, grupos y roles de IAM asumidos con muchos privilegios.
Antes de comenzar
Antes de habilitar el servicio de detección CIEM, completa las siguientes tareas:
- Compra y activa el nivel Enterprise de Security Command Center para tu organización. Para obtener instrucciones, consulta Activa el nivel de Security Command Center Enterprise.
- Más información sobre Capacidades de CIEM de Security Command Center.
Configura los permisos
Para obtener los permisos que necesitas para habilitar la CIEM, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu organización de Google Cloud:
- Administrador de la API de Chronicle (roles/chronicle.admin)
- Administrador de Chronicle SOAR (roles/chronicle.soarAdmin)
- Administrador del servicio de Chronicle (roles/chroniclesm.admin)
- Propietario de recursos de Cloud (roles/cloudasset.owner)
- Crea cuentas de servicio (roles/iam.serviceAccountCreator)
- Administrador de IAM de carpeta (roles/resourcemanager.folderIamAdmin)
- Administrador del recomendador de IAM (roles/recommender.iamAdmin)
- Administrador de la organización (roles/resourcemanager.organizationAdmin)
- Administrador de funciones de la organización (roles/iam.roleAdmin)
- Creador del proyecto (roles/resourcemanager.projectCreator)
- Administrador de IAM de proyecto (roles/resourcemanager.projectIamAdmin)
- Administrador de seguridad (roles/iam.securityAdmin)
- Administrador del centro de seguridad (roles/securitycenter.admin)
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
Configura componentes complementarios para CIEM
Permitir que el servicio de detección CIEM genere hallazgos para otros proveedores de servicios en la nube, debes configurar ciertos componentes de respaldo Security Command Center.
Completa las siguientes tareas para habilitar el servicio de detección de CIEM para AWS:
- Configura la integración de Amazon Web Services (AWS): Completa este paso para conectar tu entorno de AWS a Security Command Center para la evaluación de vulnerabilidades y riesgos. Para obtener instrucciones, consulta Conéctate a AWS para detectar vulnerabilidades detección y evaluación de riesgos.
- Configura integraciones: Completa este paso para configurar integraciones opcionales de Security Command Center, como la conexión a tus sistemas de tickets:
- Para conectar tu sistema de tickets, consulta Cómo integrar Security Command Center Enterprise con sistemas de tickets.
- Para sincronizar datos de casos, Habilitar la sincronización para los casos
- Configurar la transferencia de registros: Configura la transferencia de registros de forma adecuada para CIEM, consulta Configura la transferencia de registros de AWS para CIEM
Usa CIEM con Google Cloud
La mayoría de las funciones de CIEM de Security Command Center funcionan de forma predeterminada para tu entorno de Google Cloud y no requieren configuración. Como parte de las funciones de CIEM de Security Command Center, los resultados se producen automáticamente para Google Cloud, siempre y cuando tengas una suscripción activa a Security Command Center Enterprise.
¿Qué sigue?
- Aprende a hacer lo siguiente: investigar los hallazgos sobre la identidad y el acceso.
- Obtén más información para revisar casos de problemas de identidad y acceso.
- Obtén más información sobre las funciones de Security Command Center.