Configurar Security Command Center

>

Configura Security Command Center, lo que incluye agregar servicios de seguridad, administrar qué servicios se aplican a qué recursos y configurar el registro para Event Threat Detection y Container Threat Detection.

Para configurar Security Command Center, ve a la página de Configuración de Security Command Center en Cloud Console y haz clic en la pestaña de la configuración que deseas cambiar.

Servicios

En este contexto, un servicio integrado proporciona resultados de vulnerabilidad y amenazas al Security Command Center. Para agregar una servicio integrado nuevo, completa la guía de integración y, luego, habilitarla como fuente de seguridad en el panel de Security Command Center. Puedes agregar servicios integrados de Google Cloud a Security Command Center, junto con otros servicios de seguridad de terceros. Esta función te permite tener una vista completa de los riesgos de seguridad, las vulnerabilidades y las amenazas de tu organización.

Después de habilitar un servicio integrado, puedes configurar los recursos que supervisa cada servicio de seguridad.

Servicios integrados

Los siguientes servicios integrados son parte de Security Command Center:

  • Estadísticas del estado de la seguridad
  • Web Security Scanner
  • Event Threat Detection
  • Detección de amenazas a contenedores

Algunos servicios integrados solo están disponibles si tu organización está suscrita al nivel Premium de Security Command Center. Más información sobre los niveles de Security Command Center

Si deseas habilitar o inhabilitar un servicio integrado para todos tus recursos que el servicio admite, haz clic en la lista desplegable junto al nombre del servicio y elige una opción de habilitación.

  • Habilitar de forma predeterminada: se habilita el servicio para el recurso.
  • Inhabilitar de forma predeterminada: se inhabilita el servicio para el recurso.

Para limitar un servicio a ciertas carpetas, proyectos o clústeres de tu organización, navega a Configuración avanzada a fin de mostrar una lista jerárquica de los recursos de la organización. El menú de Configuración avanzada se describe más adelante en esta página.

Agrega un servicio integrado de Google Cloud

En la página Configuración, haz clic en la pestaña Servicios integrados para ver los servicios disponibles. Los siguientes son servicios de seguridad de Google Cloud que se integran en Security Command Center:

  • Detección de anomalías
  • Google Cloud Armor
  • Cloud Data Loss Prevention
  • Seguridad de Foresti
  • Phishing Protection

Para obtener más información sobre estos servicios, consulta Fuentes de seguridad para las vulnerabilidades y amenazas.

Los resultados de los servicios de seguridad de Google Cloud están disponibles después de que completes sus guías de integración.

  • Para agregar un servicio nuevo, haz clic en Agregar más servicios. Se muestra la página Servicios de Security Command Center en Google Cloud Marketplace. Haz clic en el servicio que te interesa y sigue las instrucciones del proveedor para agregarlo como un servicio integrado.
  • A fin de ver los resultados de los servicios de seguridad, haz clic en el botón de activar o desactivar junto al nombre del servicio para habilitar el servicio. Para limitar un servicio a determinadas carpetas, proyectos o clústeres de tu organización, usa el menú Configuración avanzada que se describe más adelante en esta página.

Las fuentes integradas usan cuentas de servicio que pueden estar fuera de la organización. Por ejemplo, las fuentes de seguridad de Google Cloud usan una cuenta de servicio en security-center-fpr.iam.gserviceaccount.com. Si las políticas de la organización se configuraron para restringir las identidades por dominio, debes agregar la cuenta de servicio a una identidad de un grupo dentro de un dominio permitido.

En la pestaña Servicios integrados, agrega fuentes nuevas o habilita e inhabilita las existentes:

  1. Ve a la página Servicios en Cloud Console.
    Ir a la página Servicios
  2. Selecciona la organización a la que deseas agregar una fuente de seguridad.
  3. Selecciona la pestaña Servicios integrados.
  4. Haz clic en la lista desplegable junto a la fuente integrada que deseas habilitar y selecciona Habilitar de forma predeterminada.

Los resultados de las fuentes integradas que seleccionas se muestran en la página Resultados en el panel de Security Command Center.

Para inhabilitar un servicio integrado, junto a su nombre, haz clic en la lista desplegable y selecciona Inhabilitar de forma predeterminada.

Agrega un servicio de seguridad de terceros

Security Command Center puede mostrar resultados de servicios de seguridad de terceros que se registraron como socios de Cloud Marketplace. Los servicios de seguridad de terceros que ya están registrados incluyen los siguientes:

  • Acalvio
  • Capsule8
  • Cavirin
  • Chef
  • Check Point CloudGuard Dome9
  • CloudQuest
  • McAfee
  • Qualys
  • Reblaze
  • Prisma Cloud de Palo Alto Networks
  • StackRox
  • Tenable.io

Para integrar los servicios de seguridad que no están registrados como socios de Cloud Marketplace, pídeles a los proveedores que completen la guía para Onboard como un socio de Security Command Center.

Para agregar un servicio de seguridad de terceros nueva al Security Command Center, configura la fuente de seguridad y, luego, actívala en el panel de Security Command Center.

Antes de comenzar

Con el fin de agregar un servicio de seguridad para un socio registrado de Cloud Marketplace, necesitas lo siguiente:

  • Las siguientes funciones de administración de identidades y accesos (IAM):
    • Administrador del centro de seguridad: roles/securitycenter.admin
    • Administrador de cuenta de servicio: roles/iam.serviceAccountAdmin
  • Un proyecto de Google Cloud que desees usar para el servicio de seguridad.

Paso 1: Configura un servicio de seguridad

A fin de configurar un servicio de seguridad de terceros, necesitas una cuenta de servicio para ese servicio. Cuando agregas el servicio de seguridad nuevo, puedes elegir entre las siguientes opciones de cuenta de servicio:

  • Crea una cuenta de servicio.
  • Usa tu propia cuenta de servicio existente.
  • Usa una cuenta de servicio del proveedor de origen.

Para configurar un servicio de seguridad nuevo que ya esté registrado como socio de Cloud Marketplace, sigue estos pasos:

  1. Ve a la página de Marketplace de Servicios de Security Command Center en Cloud Console.
    Ir a la página Marketplace
  2. En la página Marketplace, se muestran los servicios de seguridad que están asociadas directamente con Security Command Center.
    • Si no ves el servicio de seguridad que deseas agregar, busca Seguridad y luego selecciona el proveedor de servicios de seguridad.
    • Si el proveedor de servicio de seguridad no está registrado en Cloud Marketplace, pídele que complete la guía para la incorporación como socio de Security Command Center.
  3. En la página del proveedor de servicios de seguridad en Cloud Marketplace, sigue las instrucciones de configuración del proveedor que se encuentran en la descripción general.
  4. Después de completar el proceso de configuración del proveedor, haz clic en Visitar [nombre del proveedor] sitio para registrarse en la página Marketplace del proveedor.
  5. En la página Security Command Center de Cloud Console que aparece, selecciona la organización en la que deseas usar el servicio de seguridad.
  6. En la página Crear cuenta de servicio y habilitar los eventos de seguridad de [nombre del proveedor] que aparece, acepta la cuenta de servicio del proveedor, si está disponible, o crea o selecciona tu propia cuenta de servicio que desees usar:
    • Para crear una cuenta de servicio, haz lo siguiente:
      1. Selecciona Crea una cuenta de servicio nueva.
      2. Junto a Proyecto, haz clic en Cambiar para seleccionar el proyecto que deseas usar para este servicio de seguridad.
      3. Agrega un Nombre de cuenta de servicio y un ID de la cuenta de servicio.
    • Para usar una cuenta de servicio existente, sigue estos pasos:
      1. Selecciona Use an existing service account y, luego, selecciona la cuenta de servicio que deseas usar de la lista desplegable Nombre de la cuenta de servicio.
    • Si el proveedor de la servcios de seguridad administra la cuenta de servicio, ingresa el ID de la cuenta de servicio que proporcionaron.
  7. Cuando termines de agregar información de la cuenta de servicio, haz clic en Enviar o Aceptar.
  8. En la página Conexión de origen que aparece, haz clic en el vínculo de Pasos de instalación para obtener información sobre cómo completar la instalación.
  9. Cuando hayas terminado, haz clic en Listo.

Cuando se configura correctamente, el servicio de seguridad que agregaste está disponible en el Security Command Center.

Paso 2: Habilita el servicio de seguridad

Después de configurar un servicio de seguridad nuevo, debes habilitarlo en el panel de Security Command Center.

Las fuentes integradas usan cuentas de servicio que pueden estar fuera de la organización. Por ejemplo, las fuentes de seguridad de Google Cloud usan una cuenta de servicio en security-center-fpr.iam.gserviceaccount.com. Si las políticas de la organización se configuraron para restringir las identidades por dominio, debes agregar la cuenta de servicio a una identidad de un grupo dentro de un dominio permitido.

En la pestaña Servicios integrados, agrega fuentes nuevas o habilita e inhabilita las existentes:

  1. Ve a la página Servicios en Cloud Console.
    Ir a la página Servicios
  2. Selecciona la organización a la que deseas agregar una fuente de seguridad.
  3. Selecciona la pestaña Servicios integrados.
  4. Haz clic en la lista desplegable junto a la fuente integrada que deseas habilitar y selecciona Habilitar de forma predeterminada.

Los resultados de las fuentes integradas que seleccionas se muestran en la página Resultados en el panel de Security Command Center.

Cambia las cuentas de servicio del proveedor

Puedes cambiar la cuenta de servicio que se usa para un servicio de seguridad de terceros, por ejemplo, a fin de abordar las filtraciones o la rotación de cuentas de servicio. Para cambiar la cuenta de servicio de un servicio de seguridad, debes actualizarla en el panel de Security Command Center. Después, sigue las instrucciones del proveedor de servicios para actualizar la cuenta de servicio de su servicio.

  1. Ve a la página Servicios integrados de Security Command Center en Cloud Console.
    Ir a la página Servicios integrados
  2. Si se le solicita, selecciona tu organización.
  3. En la lista desplegable junto al servicio integrado:
    1. Seleccione Inhabilitado para inhabilitar temporalmente el servicio integrado.
    2. Luego, selecciona Administrar cuenta de servicio.
  4. En el panel Editar [nombre del proveedor] que aparece, ingresa la cuenta de servicio nueva y, luego, haz clic en Enviar.
  5. En la lista desplegable junto al servicio integrado, selecciona Habilitado para habilitar el servicio de seguridad.

Cuando se configura correctamente, la cuenta de servicio para el servicio integrado se actualiza en Security Command Center. Sigue las instrucciones del proveedor de origen a fin de actualizar la información de la cuenta de servicio para su servicio.

Configuración avanzada

El menú Configuración avanzada te permite cambiar la configuración de servicios admitidos para cada recurso admitido. De forma predeterminada, los recursos heredan la configuración del servicio para la organización. Si deseas habilitar o inhabilitar servicios para recursos individuales de forma opcional, haz clic en la lista desplegable de la columna de servicio a fin de seleccionar la habilitación del servicio en un recurso.

  • Habilitar de forma predeterminada: se habilita el servicio para el recurso.
  • Inhabilitar de forma predeterminada: se inhabilita el servicio para el recurso.
  • Heredar: el recurso usa la configuración de servicio seleccionada para su superior en la jerarquía de recursos.

Si haces clic en Buscar una carpeta o proyecto, se abrirá una ventana que te permitirá ingresar términos de búsqueda para encontrar recursos con rapidez y cambiar su configuración.

Receptores

En la pestaña Receptores, debes configurar el registro de los resultados de Event Threat Detection y Container Threat Detection. Los resultados se exportarán al proyecto de Cloud Logging que selecciones.

Para registrar los resultados, sigue estos pasos:

  1. Haz clic en el botón junto a Log Findings to Stackdriver (Resultados de un registro a Stackdriver).
  2. En el cuadro Logging Project, selecciona el proyecto en el que deseas escribir los registros.
  3. Haz clic en Guardar.

Cuando Event Threat Detection y Container Threat Detection Detection, cada entrada de registro incluye el tipo de recurso threat_detector y contiene la misma información que los resultados. Para obtener instrucciones sobre cómo revisar los resultados y los registros, consulta Usa la detección de amenazas a eventos y Usa la detección de amenazas a contenedores.

Permisos

Para ver y configurar las funciones de IAM de Security Command Center, navega al panel Permisos en la página Configuración. Los permisos se agrupan por función. Si el panel no es visible, haz clic en el vínculo Mostrar permisos en la parte superior de la página.

Para editar las funciones que se otorgan a un usuario, haz lo siguiente:

  1. Para expandir el nodo, haz clic en el ícono de flecha junto al nombre de la función.
  2. Junto al nombre del usuario para el que quieres editar funciones, haz clic en un ícono y, luego, selecciona la acción que deseas realizar:
    1. A fin de quitar una función, haz clic en el ícono de borrar para Quitar miembro.
    2. Para agregar una función, haz clic en el ícono de lápiz como Editar miembro. En el panel Editar permisos que aparecerá, agrega o quita funciones y, luego, haz clic en Guardar.

Para agregar funciones a un usuario nuevo, haz lo siguiente:

  1. Haz clic en Agregar miembro.
  2. En el panel Agregar miembros y funciones que aparecerá, haz lo siguiente:
    1. Ingresa la dirección de correo electrónico del usuario.
    2. Agrega una o más funciones y haz clic en Guardar.

Configura las IU heredadas

Expande la siguiente sección a fin de obtener información para administrar Security Command Center con la IU heredada. La IU heredada es una versión previa al Security Command Center que no está disponible para los suscriptores nuevos. La IU heredada solo es visible para los usuarios que no se suscribieron al nivel Premium o Estándar de Security Command Center.

¿Qué sigue?