Cette page explique comment configurer le service de détection des droits d'accès à l'infrastructure cloud (CIEM) de Security Command Center afin de détecter les problèmes d'identité dans vos déploiements sur d'autres plates-formes cloud, comme Amazon Web Services (AWS).
Le service de détection CIEM génère des résultats qui vous alertent en cas de problèmes potentiels de sécurité des identités et des accès dans votre environnement AWS, tels que des rôles IAM, des utilisateurs et des groupes usurpés à privilèges élevés.
Avant de commencer
Avant d'activer le service de détection CIEM, effectuez les tâches suivantes:
- Achetez et activez le niveau Enterprise de Security Command Center pour votre organisation. Pour obtenir des instructions, consultez la page Activer le niveau Security Command Center Enterprise.
- Découvrez les fonctionnalités CIEM de Security Command Center.
Configurer les autorisations
Pour obtenir les autorisations nécessaires à l'activation de CIEM, demandez à votre administrateur de vous attribuer les rôles IAM suivants sur votre organisation Google Cloud:
- Administrateur de l'API Chronicle (roles/chronicle.admin)
- Administrateur Chronicle SOAR (roles/chronicle.soarAdmin)
- Administrateur du service Chronicle (roles/chroniclesm.admin)
- Propriétaire d'éléments cloud (roles/cloudasset.owner)
- Créer des comptes de service (roles/iam.serviceAccountCreator)
- Administrateur IAM de dossier (roles/resourcemanager.folderIamAdmin)
- Administrateur de l'outil de recommandation IAM (roles/recommender.iamAdmin)
- Administrateur de l'organisation (roles/resourcemanager.organizationAdmin)
- Administrateur des rôles de l'organisation (roles/iam.roleAdmin)
- Créateur de projet (roles/resourcemanager.projectCreator)
- Administrateur de projet IAM (roles/resourcemanager.projectIamAdmin)
- Administrateur de sécurité (roles/iam.securityAdmin)
- Administrateur du centre de sécurité (roles/securitycenter.admin)
Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.
Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.
Configurer les composants compatibles avec CIEM
Pour permettre au service de détection CIEM de produire des résultats pour d'autres fournisseurs cloud, vous devez configurer certains composants d'assistance dans Security Command Center.
Effectuez les tâches suivantes pour activer le service de détection CIEM pour AWS:
- Configurer l'intégration d'Amazon Web Services (AWS): effectuez cette étape pour connecter votre environnement AWS à Security Command Center afin d'évaluer les failles et les risques. Pour obtenir des instructions, consultez Se connecter à AWS pour détecter les failles et évaluer les risques.
- Configurer les intégrations: procédez comme suit pour configurer des intégrations Security Command Center facultatives, telles que la connexion à vos systèmes de gestion des demandes d'assistance :
- Pour connecter votre système de billetterie, consultez Intégrer Security Command Center Enterprise aux systèmes de billetterie.
- Pour synchroniser les données des cas, activez la synchronisation des cas.
- Configurer l'ingestion de journaux: pour configurer l'ingestion de journaux de manière appropriée pour CIEM, consultez la page Configurer l'ingestion de journaux AWS pour CIEM.
Utiliser le CIEM avec Google Cloud
La plupart des fonctionnalités CIEM de Security Command Center fonctionnent par défaut pour votre environnement Google Cloud et ne nécessitent aucune configuration supplémentaire. Dans le cadre des fonctionnalités CIEM de Security Command Center, les résultats sont générés automatiquement pour Google Cloud si vous disposez d'un abonnement Security Command Center Enterprise actif.
Étapes suivantes
- Découvrez comment examiner les résultats concernant l'identité et les accès.
- Découvrez comment examiner les demandes d'assistance pour des problèmes d'identité et d'accès.
- Apprenez-en plus sur les rôles Security Command Center.