Configurer Security Command Center

Configurer Security Command Center, y compris ajouter des services de sécurité, déterminer quelles services appliquer à quelles ressources et configurer la journalisation pour Event Threat Detection et Container Threat Detection.

Pour configurer Security Command Center, accédez à la page Paramètres de Security Command Center dans la console Google Cloud, puis cliquez sur l'onglet correspondant au paramètre que vous souhaitez modifier.

Niveaux d'activation

Vous pouvez activer Security Command Center à l'un des deux niveaux suivants: au niveau de l'organisation pour une organisation ou au niveau d'un projet pour un projet individuel.

Le niveau d'activation affecte les types de services que vous pouvez configurer. Si Security Command Center est activé au niveau du projet, les services intégrés ne sont pas compatibles. Vous ne pouvez configurer que les services intégrés à Security Command Center.

Les services intégrés et intégrés sont expliqués dans la section suivante.

Pour en savoir plus sur les niveaux d'activation, consultez la section Présentation de l'activation de Security Command Center.

Services

Deux types de services s'exécutent sur Security Command Center : les services prédéfinis et les services intégrés. Les services prédéfinis font partie de Security Command Center. Les services intégrés sont des services Google Cloud ou tiers qui fournissent les résultats à Security Command Center.

Pour ajouter un nouveau service intégré à une activation de Security Command Center au niveau de l'organisation, complétez son guide d'intégration, puis activez-le en tant que service de sécurité dans le tableau de bord Security Command Center. Cette fonctionnalité vous offre une vue complète des risques, des failles et des menaces de sécurité dans votre projet ou votre organisation.

Après avoir activé un service intégré, vous pouvez configurer les ressources surveillées par chaque service de sécurité.

Services intégrés

Les services intégrés suivants font partie de Security Command Center :

• Container Threat Detection
• Event Threat Detection
• Détection rapide des failles^Preview

• Service Secured Landing Zone^Bêta

• les résultats et recommandations

• Stratégie de sécurité

• Virtual Machine Threat Detection

• Les fonctionnalités d'analyse gérées

Certains services intégrés ne sont disponibles qu'avec le niveau Premium de Security Command Center. Apprenez-en plus sur les différents niveaux de Security Command Center.

Activer ou désactiver un service intégré

Vous pouvez activer les services intégrés pour les ressources suivantes:

• Une organisation
• Un dossier
• Un projet
• Avec Container Threat Detection uniquement, un cluster

Par défaut, les ressources héritent des paramètres de service de leur ressource parente.

Pour activer ou désactiver un service Security Command Center pour une ressource, procédez comme suit:

1. Dans la console Google Cloud, accédez à la page "Security Command Center".

   Accéder à Security Command Center

2. Sélectionnez l'organisation, le dossier ou le projet pour lequel vous devez gérer les services.

3. Cliquez sur Paramètres settings.

4. Cliquez sur Gérer les paramètres pour le service que vous souhaitez modifier.

5. Dans l'onglet Activation des services, recherchez la ressource pour laquelle vous devez activer le service. Vous pouvez activer les services intégrés pour une organisation, un dossier, un projet ou (avec Container Threat Detection uniquement) un cluster.

6. Pour cette ressource, définissez le service sur Activer, Désactiver ou Hériter.

Afficher les modules d'un service

Pour certains services, vous pouvez activer ou désactiver des détecteurs, également appelés modules. Pour afficher les modules d'un service et leur état actuel, procédez comme suit:

1. Dans la console Google Cloud, accédez à la page "Security Command Center".

   Accéder à Security Command Center

2. Sélectionnez l'organisation, le dossier ou le projet pour lequel vous devez gérer les services.

3. Cliquez sur Paramètres settings.

4. Cliquez sur Gérer les paramètres pour le service que vous souhaitez afficher.

5. Cliquez sur l'onglet Modules.

   Les modules du service s'affichent, avec leur état respectif.

Activer ou désactiver un module

1. Dans la console Google Cloud, accédez à la page "Security Command Center".

   Accéder à Security Command Center

2. Sélectionnez l'organisation, le dossier ou le projet pour lequel vous devez gérer les services.

3. Cliquez sur Paramètres settings.

4. Cliquez sur Gérer les paramètres pour le service que vous souhaitez afficher.

5. Cliquez sur l'onglet Modules.

   Les modules du service s'affichent, avec leur état respectif.

6. Recherchez le détecteur que vous souhaitez modifier et définissez son état sur Activer ou Désactiver.

Ajouter des services à Security Command Center

Lorsque Security Command Center est activé au niveau de l'organisation, vous pouvez ajouter des services Google Cloud intégrés ou des services de sécurité tiers à Security Command Center.

Ajouter un service intégré Google Cloud

Vous pouvez les ajouter à certains services Google Cloud intégrés à Security Command Center.

Les activations au niveau du projet ne sont pas compatibles avec les services Google Cloud intégrés.

Sur la page Paramètres, cliquez sur l'onglet Services intégrés pour afficher les services disponibles. Vous trouverez ci-dessous les services de sécurité Google Cloud qui s'intègrent aux activations de Security Command Center au niveau de l'organisation:

• Détection d'anomalies
• Google Cloud Armor
• Protection des données sensibles
• Forseti Security

Pour en savoir plus sur ces services, consultez la page Sources de sécurité pour les failles et les menaces.

Les résultats issus des services de sécurité de Google Cloud sont disponibles une fois que vous avez terminé leurs guides d'intégration.

• Pour ajouter un service, cliquez sur Ajouter d'autres services. La page "Services Security Command Center" de Google Cloud Marketplace s'affiche. Cliquez sur le service qui vous intéresse et suivez les instructions du fournisseur pour l'ajouter en tant que service intégré.
• Pour afficher les résultats des services de sécurité, activez le service en cliquant sur le bouton d'activation/désactivation situé à côté du nom du service. Pour limiter un service à certains dossiers, projets ou clusters de votre organisation, utilisez le menu Paramètres avancés décrit plus loin sur cette page.

Les sources intégrées utilisent des comptes de service qui peuvent se trouver en dehors de votre organisation. Par exemple, les sources de sécurité Google Cloud utilisent un compte de service à l'adresse security-center-fpr.iam.gserviceaccount.com.

Si vos règles d'administration sont configurées pour restreindre les identités par domaine, vous devez ajouter le compte de service Security Command Center à une identité d'un groupe situé dans un domaine autorisé. Les noms de compte de service Security Command Center au niveau de l'organisation ont le format suivant:

service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com

ORGANIZATION_NUMBER est l'ID numérique de votre organisation.

Dans l'onglet Services intégrés, vous ajoutez de nouvelles sources, ou activez et désactivez des sources existantes en procédant comme suit :

1. Dans la console Google Cloud, accédez à la page "Security Command Center".

   Accéder à Security Command Center

2. Sélectionnez votre organisation ou votre projet.

3. Cliquez sur Paramètres settings.

4. Cliquez sur l'onglet Services intégrés.

5. À côté de la source intégrée que vous souhaitez activer, cliquez sur la liste État, puis sélectionnez Activer.

Les résultats des sources intégrées que vous sélectionnez sont affichés sur la page Résultats du tableau de bord Security Command Center.

Pour désactiver un service intégré, cliquez sur la liste déroulante située à côté de son nom, puis sélectionnez Désactiver par défaut.

Rapports de failles de VM Manager

VM Manager est une suite d'outils qui permet de gérer les systèmes d'exploitation des grands parcs de machines virtuelles (VM) exécutant Windows et Linux sur Compute Engine.

Les activations au niveau du projet ne sont pas compatibles avec VM Manager.

Si vous activez VM Manager avec le niveau Premium de Security Command Center, VM Manager écrit par défaut les résultats high et critical de ses rapports sur les failles dans Security Command Center. Les rapports identifient les failles des systèmes d'exploitation installés sur les VM Compute Engine.

Pour en savoir plus, consultez la section VM Manager.

Ajouter un service de sécurité tiers

Les activations de Security Command Center au niveau de l'organisation peuvent afficher les résultats de services de sécurité tiers enregistrés en tant que partenaires Cloud Marketplace.

Les activations de Security Command Center au niveau du projet ne sont pas compatibles avec les services tiers.

Les services de sécurité tiers enregistrés en tant que partenaires Cloud Marketplace sont les suivants:

• Acalvio
• Capsule8
• Cavirin
• Chef
• Check Point CloudGuard Dome9
• CloudQuest
• McAfee
• Qualys
• Reblaze
• Prisma Cloud by Palo Alto Networks
• StackRox
• Tenable.io

Pour intégrer des services de sécurité qui ne sont pas enregistrées en tant que partenaires Cloud Marketplace, demandez à votre fournisseur de suivre le guide intitulé Intégrer en tant que partenaire Security Command Center.

Pour ajouter un service de sécurité tiers à Security Command Center, configurez le service de sécurité puis activez-le dans le tableau de bord de Security Command Center.

Avant de commencer

Pour ajouter un service de sécurité pour un partenaire de place de marché Cloud enregistré, vous avez besoin des éléments suivants :

• Les rôles Identity and Access Management (IAM) suivants :
  • Administrateur du centre de sécurité - roles/securitycenter.admin
  • Administrateur de compte de service - roles/iam.serviceAccountAdmin
• Un projet Google Cloud que vous souhaitez utiliser pour le service de sécurité.

Étape 1 : Configurer un service de sécurité

Pour configurer un service de sécurité tiers, vous avez besoin d'un compte de service pour ce service. Lorsque vous ajoutez le service de sécurité, vous avez le choix entre les options de compte de service suivantes :

• Créer un compte de service
• Utilisez votre propre compte de service existant
• Utilisez un compte de service du fournisseur de services

Pour configurer un nouveau service de sécurité déjà enregistré en tant que partenaire de place de marché Cloud, procédez comme suit :

1. Accédez à la page Place de marché de Security Command Center dans la console Google Cloud.

   Accéder à Marketplace

2. La page Place de marché affiche les services de sécurité directement associés à Security Command Center.

   • Si vous ne voyez pas le service de sécurité que vous souhaitez ajouter, recherchez Security (Sécurité), puis sélectionnez le fournisseur de service de sécurité.
   • Si le fournisseur de services de sécurité n'est pas enregistré dans Cloud Marketplace, demandez-lui de suivre le guide Intégrer en tant que partenaire Security Command Center.

3. Sur la page du fournisseur de services de sécurité de la place de marché Cloud, suivez les instructions de configuration du fournisseur dans la présentation.

4. Une fois le processus de configuration du fournisseur terminé, cliquez sur Accéder au site [nom du fournisseur] pour s'inscrire sur la page Place de marché du fournisseur.

5. Sur la page Security Command Center de la console Google Cloud qui s'affiche, sélectionnez l'organisation pour laquelle vous souhaitez utiliser le service de sécurité.

6. Sur la page Créer un compte de service et activer les événements liés à la sécurité de [nom du fournisseur] qui s'affiche, acceptez le compte de service du fournisseur, s'il est disponible, ou créez ou sélectionnez votre propre compte de service que vous souhaitez utiliser :

   • Pour créer un compte de service, procédez comme suit :
     1. Cliquez sur Créer un compte de service.
     2. À côté de Projet, cliquez sur Modifier pour sélectionner le projet que vous souhaitez utiliser pour ce service de sécurité.
     3. Ajoutez un nom de compte de service et un ID de compte de service.
   • Pour utiliser un compte de service existant :
     1. Cliquez sur Utiliser un compte de service existant, puis sélectionnez le compte de service que vous souhaitez utiliser dans la liste déroulante Nom du compte de service.
   • Si le fournisseur de services de sécurité gère le compte de service, saisissez l'ID du compte de service qu'il a fourni.

7. Lorsque vous avez terminé d'ajouter les informations du compte de service, cliquez sur Envoyer ou Accepter.

8. Sur la page Connecter la source qui s'affiche, cliquez sur le lien sous Étapes d'installation pour obtenir des informations sur la procédure d'installation.

9. Lorsque vous avez fini, cliquez sur Terminé.

Une fois la configuration effectuée, le service de sécurité que vous avez ajouté est disponible dans Security Command Center.

Étape 2 : Activer le service de sécurité

Après avoir configuré un nouveau service de sécurité, vous devez l'activer dans le tableau de bord de Security Command Center.

Les sources intégrées utilisent des comptes de service qui peuvent se trouver en dehors de votre organisation. Par exemple, les sources de sécurité Google Cloud utilisent un compte de service à l'adresse security-center-fpr.iam.gserviceaccount.com.

Si vos règles d'administration sont configurées pour restreindre les identités par domaine, vous devez ajouter le compte de service Security Command Center à une identité d'un groupe situé dans un domaine autorisé. Les noms de compte de service Security Command Center au niveau de l'organisation ont le format suivant:

service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com

ORGANIZATION_NUMBER est l'ID numérique de votre organisation.

Dans l'onglet Services intégrés, vous ajoutez de nouvelles sources, ou activez et désactivez des sources existantes en procédant comme suit :

1. Dans la console Google Cloud, accédez à la page "Security Command Center".

   Accéder à Security Command Center

2. Sélectionnez votre organisation ou votre projet.

3. Cliquez sur Paramètres settings.

4. Cliquez sur l'onglet Services intégrés.

5. À côté de la source intégrée que vous souhaitez activer, cliquez sur la liste État, puis sélectionnez Activer.

Les résultats des sources intégrées que vous sélectionnez sont affichés sur la page Résultats du tableau de bord Security Command Center.

Changer de comptes de service de fournisseur

Vous pouvez modifier le compte de service utilisé pour un service de sécurité tiers ; par exemple, pour traiter les fuites ou la rotation des comptes de service. Pour modifier le compte de service d'un service de sécurité, vous devez le mettre à jour dans le tableau de bord de Security Command Center. Ensuite, suivez les instructions du fournisseur de services pour mettre à jour le compte de service associé à son service.

La procédure suivante ne s'applique pas aux activations de Security Command Center au niveau du projet, qui ne sont pas compatibles avec les services tiers intégrés.

1. Dans la console Google Cloud, accédez à la page "Security Command Center".

   Accéder à Security Command Center

2. Sélectionnez votre organisation ou votre projet.

3. Cliquez sur Paramètres settings.

4. Cliquez sur l'onglet Services intégrés.

5. Dans la liste déroulante située à côté du service intégré :

   1. Sélectionnez Désactivé pour désactiver temporairement le service intégré.
   2. Sélectionnez ensuite Gérer le compte de service.

6. Dans le panneau Modifier [nom du fournisseur] qui s'affiche, saisissez le nouveau compte de service, puis cliquez sur Envoyer.

7. Dans la liste déroulante située à côté du service intégré, sélectionnez Activé pour activer le service de sécurité.

Lorsqu'il est correctement configuré, le compte de service du service intégré est mis à jour dans Security Command Center. Suivez les instructions du fournisseur correspondant au service pour mettre à jour les informations du compte de service associé à son service.

Exportation Cloud Logging

Dans l'onglet Exportations continues, configurez la journalisation pour les résultats liés à Event Threat Detection et à Container Threat Detection. Les résultats sont exportés vers le projet Cloud Logging que vous sélectionnez.

Selon la quantité d'informations, les coûts liés à Cloud Logging peuvent être importants. Pour comprendre votre utilisation du service et son coût, consultez la page Optimisation des coûts pour l'observabilité Google Cloud.

Pour consigner les résultats, procédez comme suit :

1. Dans la console Google Cloud, accédez à la page "Security Command Center".

   Accéder à Security Command Center

2. Sélectionnez votre organisation ou votre projet.

3. Cliquez sur Paramètres settings.

4. Cliquez sur l'onglet Exportations continues.

5. Sous Nom de l'exportation, cliquez sur Exportation vers Logging.

6. Sous Récepteurs, activez Consigner les résultats dans Logging.

7. Sous Logging project (Projet de journalisation), saisissez ou recherchez le projet dans lequel vous souhaitez consigner les résultats.

8. Cliquez sur Enregistrer.

Lorsque Event Threat Detection et Container Threat Detection écrivent des journaux, chaque entrée de journal inclut le type de ressource threat_detector et contient les mêmes informations que les résultats. Pour obtenir des instructions sur l'examen des journaux, consultez les pages Utiliser Event Threat Detection et Utiliser Container Threat Detection.

Spécifiez vos ressources les plus importantes

Security Command Center calcule les scores d'exposition aux attaques et illustre les chemins d'attaque potentiels pour les résultats de failles et de mauvaise configuration exposant les ressources que vous définissez comme à forte valeur.

Pour obtenir des scores d'exposition aux attaques et des chemins d'attaque qui reflètent avec précision les ressources à forte valeur ajoutée, vous devez créer des configurations de valeurs de ressources.

L'ensemble de configurations de valeurs de ressources que vous créez définit votre ensemble de ressources à forte valeur.

Tant que vous n'avez pas créé votre propre ensemble de ressources à forte valeur, Security Command Center utilise un ensemble de ressources de forte valeur par défaut qui s'applique généralement à tous les types de ressources compatibles avec les scores d'exposition aux attaques.

Pour en savoir plus, consultez les ressources suivantes :

• Définir et gérer votre ensemble de ressources à forte valeur ajoutée
• Présentation des scores d'exposition aux attaques

Règles de masquage

L'onglet Règles de masquage répertorie toutes les règles de masquage définies dans votre organisation, vos dossiers et vos projets. Dans cet onglet, vous pouvez créer une règle de masquage ou gérer les règles existantes.

Les règles de masquage suppriment automatiquement les résultats futurs en fonction des filtres que vous définissez. Pour en savoir plus sur le masquage des résultats et l'utilisation de règles de masquage, consultez la section Ignorer les résultats dans Security Command Center.

Rôles

Les rôles IAM pour Security Command Center peuvent être attribués au niveau de l'organisation, d'un dossier ou d'un projet. Votre capacité à afficher, modifier, créer ou mettre à jour des résultats, des éléments et des sources de sécurité dépend du niveau d'accès qui vous est accordé. Pour en savoir plus sur les rôles Security Command Center, consultez la page Contrôle des accès.

Pour découvrir comment accorder, modifier et révoquer des rôles IAM, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Étapes suivantes

• Découvrez les services de sécurité Google Cloud et comment afficher les failles et les menaces qu'ils mettent en évidence.

• Découvrez comment optimiser Security Command Center.