Configurar Security Command Center

>

Configura Security Command Center, que incluye agregar fuentes de seguridad, administrar qué fuentes se aplican a qué recursos y configurar el registro para Event Threat Detection y Container Threat Detection

Para configurar Security Command Center, ve a la página de Configuración de Security Command Center en Cloud Console y haz clic en la pestaña de la configuración que deseas cambiar.

Fuentes y servicios

En este contexto, una fuente integrada proporciona resultados de vulnerabilidad y amenazas al Security Command Center. Para agregar una nueva fuente integrada, completa la guía de integración y, luego, configúrala como fuente de seguridad en el panel de Security Command Center. Puedes agregar fuentes integradas de Google Cloud a Security Command Center, junto con otras fuentes de seguridad de terceros. Esta función te permite tener una vista completa de los riesgos de seguridad, las vulnerabilidades y las amenazas de tu organización.

Después de habilitar una fuente integrada, puedes configurar qué recursos supervisa cada fuente de seguridad.

Servicios integrados

Servicios integrados

Los siguientes servicios integrados son parte de Security Command Center:

  • Estadísticas del estado de la seguridad
  • Web Security Scanner
  • Event Threat Detection
  • Detección de amenazas a contenedores

Algunos servicios integrados solo están disponibles si tu organización está suscrita al nivel Premium de Security Command Center. Más información sobre los niveles de Security Command Center

A fin de habilitar o inhabilitar un servicio integrado para todos los recursos que admite el servicio, haz clic en el botón de activación junto al nombre del servicio. Si quieres limitar un servicio a determinadas carpetas, proyectos o clústeres de tu organización, navega a Configuración avanzada para mostrar una lista jerárquica de los proyectos y carpetas de tu organización. El menú Configuración avanzada se describe más adelante en esta página.

Agrega una fuente integrada de Google Cloud

En la página Configuración, haz clic en la pestaña Servicios integrados para ver las fuentes disponibles. Google Cloud ofrece las siguientes fuentes de seguridad de Google Cloud que se integran a Security Command Center:

  • Detección de anomalías
  • Google Cloud Armor
  • Cloud Data Loss Prevention
  • Seguridad de Foresti
  • Phishing Protection

Para obtener más información sobre lo que ofrecen estas fuentes, consulta las fuentes de seguridad para vulnerabilidades y amenazas.

Los resultados de las fuentes de seguridad de Google Cloud están disponibles después de que completes sus guías de integración.

  • Para agregar una fuente nueva, haz clic en Agregar más servicios. Se muestra la página Servicios de Security Command Center en Google Cloud Marketplace. Haz clic en cualquier servicio que quieras agregar y sigue las instrucciones del proveedor de servicios para agregarlos como una fuente integrada.
  • Para ver los resultados de las fuentes de seguridad, haz clic en el botón de activación junto al nombre del servicio para habilitar el servicio. Para limitar un servicio a determinadas carpetas, proyectos o clústeres de tu organización, usa el menú Configuración avanzada que se describe más adelante en esta página.

Las fuentes integradas usan cuentas de servicio que pueden estar fuera de la organización. Por ejemplo, las fuentes de seguridad de Google Cloud usan una cuenta de servicio en security-center-fpr.iam.gserviceaccount.com. Si las políticas de la organización se configuraron para restringir las identidades por dominio, debes agregar la cuenta de servicio a una identidad de un grupo dentro de un dominio permitido.

En la pestaña Fuentes integradas, agrega fuentes nuevas o habilita e inhabilita las existentes:

  1. Ve a la página Servicios en Cloud Console.
    Ir a la página Servicios
  2. Selecciona la organización a la que deseas agregar una fuente de seguridad.
  3. Selecciona la pestaña Fuentes integradas.
  4. Junto a la fuente integrada que deseas habilitar, haz clic en el botón de activar o desactivar.

Los resultados de las fuentes integradas que seleccionas se muestran en la página Resultados en el panel de Security Command Center.

Agrega una fuente de seguridad de terceros

Security Command Center puede mostrar los resultados de fuentes de seguridad de terceros que se registraron como socios de Google Cloud Marketplace. Los socios de seguridad de terceros que ya están registrados incluyen los siguientes:

  • Acalvio
  • Capsule8
  • Cavirin
  • Chef
  • Check Point CloudGuard Dome9
  • Cloudflare
  • CloudQuest
  • McAfee
  • Qualys
  • Reblaze
  • Prisma Cloud de Palo Alto Networks
  • StackRox
  • Tenable.io

Para integrar fuentes de seguridad que no están registradas como socios de Google Cloud Marketplace, pídele a los proveedores que completen la guía para la incorporación como socio de Security Command Center.

Para agregar una fuente de seguridad de terceros nueva al Security Command Center, configura la fuente de seguridad y, luego, actívala en el panel de Security Command Center.

Antes de comenzar

Para agregar una fuente de seguridad a un socio registrado de Cloud Marketplace, necesitas lo siguiente:

  • Las siguientes funciones de administración de identidades y accesos (IAM):
    • Administrador del centro de seguridad: roles/securitycenter.admin
    • Administrador de cuenta de servicio: roles/iam.serviceAccountAdmin
  • Un proyecto de Google Cloud que deseas usar para la fuente de seguridad.

Paso 1: Configura una fuente de seguridad

A fin de configurar una fuente de seguridad de terceros, necesitas una cuenta de servicio para esa fuente. Cuando agregas la fuente de seguridad nueva, puedes elegir entre las siguientes opciones de cuenta de servicio:

  • Crea una cuenta de servicio.
  • Usa tu propia cuenta de servicio existente.
  • Usa una cuenta de servicio del proveedor de origen.

Para configurar una fuente de seguridad nueva que ya esté registrada como socio de Cloud Marketplace, sigue estos pasos:

  1. Ve a la página de Marketplace de Servicios de Security Command Center en Cloud Console.
    Ir a la página Marketplace
  2. En la página Marketplace, se muestran las fuentes de seguridad que están asociadas directamente con Security Command Center.
    • Si no ves la fuente de seguridad que deseas agregar, busca Seguridad y selecciona el proveedor de fuentes de seguridad.
    • Si el proveedor de fuentes de seguridad no está registrado en Cloud Marketplace, pídele que complete la guía para la incorporación como socio de Security Command Center.
  3. En la página del proveedor de fuentes de seguridad en Cloud Marketplace, sigue las instrucciones de configuración del proveedor que se encuentran en la Descripción general.
  4. Después de completar el proceso de configuración del proveedor, haz clic en Visitar [nombre del proveedor] sitio para registrarse en la página Marketplace del proveedor.
  5. En la página Security Command Center de Cloud Console que aparece, selecciona la organización en la que deseas usar la fuente de seguridad.
  6. En la página Crear cuenta de servicio y habilitar los eventos de seguridad de [nombre del proveedor] que aparece, acepta la cuenta de servicio del proveedor, si está disponible, o crea o selecciona tu propia cuenta de servicio que desees usar:
    • Para crear una cuenta de servicio, haz lo siguiente:
      1. Selecciona Crea una cuenta de servicio nueva.
      2. Junto a Proyecto, haz clic en Cambiar a fin de seleccionar el proyecto que deseas usar para esta fuente de seguridad.
      3. Agrega un Nombre de cuenta de servicio y un ID de la cuenta de servicio.
    • Para usar una cuenta de servicio existente, sigue estos pasos:
      1. Selecciona Use an existing service account y, luego, selecciona la cuenta de servicio que deseas usar de la lista desplegable Nombre de la cuenta de servicio.
    • Si el proveedor de la fuente de seguridad administra la cuenta de servicio, ingresa el ID de la cuenta de servicio que proporcionaron.
  7. Cuando termines de agregar información de la cuenta de servicio, haz clic en Enviar o Aceptar.
  8. En la página Conexión de origen que aparece, haz clic en el vínculo de Pasos de instalación para obtener información sobre cómo completar la instalación.
  9. Cuando hayas terminado, haz clic en Listo.

Cuando se configura correctamente, la fuente de seguridad que agregaste está disponible en el Security Command Center.

Paso 2: Habilita la fuente de seguridad

Después de configurar una fuente de seguridad nueva, debes habilitarla en el panel de Security Command Center.

Las fuentes integradas usan cuentas de servicio que pueden estar fuera de la organización. Por ejemplo, las fuentes de seguridad de Google Cloud usan una cuenta de servicio en security-center-fpr.iam.gserviceaccount.com. Si las políticas de la organización se configuraron para restringir las identidades por dominio, debes agregar la cuenta de servicio a una identidad de un grupo dentro de un dominio permitido.

En la pestaña Fuentes integradas, agrega fuentes nuevas o habilita e inhabilita las existentes:

  1. Ve a la página Servicios en Cloud Console.
    Ir a la página Servicios
  2. Selecciona la organización a la que deseas agregar una fuente de seguridad.
  3. Selecciona la pestaña Fuentes integradas.
  4. Junto a la fuente integrada que deseas habilitar, haz clic en el botón de activar o desactivar.

Los resultados de las fuentes integradas que seleccionas se muestran en la página Resultados en el panel de Security Command Center.

Cambia las cuentas de servicio del proveedor

Puedes cambiar la cuenta de servicio que se usa para una fuente de seguridad de terceros, por ejemplo, a fin de abordar la filtración o rotación de la cuenta de servicio. Para cambiar la cuenta de servicio de una fuente de seguridad, debes actualizarla en el panel de Security Command Center. Después, sigue las instrucciones del proveedor de servicios para actualizar la cuenta de servicio de su servicio.

  1. Ve a la página Fuentes integradas de Security Command Center en Cloud Console.
    Ir a la página Fuentes integradas
  2. En Habilitada, haz clic a fin de inhabilitar de forma temporal la fuente integrada para la que deseas cambiar la cuenta de servicio.
  3. Junto al nombre de la cuenta de servicio, haz clic en Editar.
  4. En el panel Editar [nombre del proveedor] que aparece, ingresa la cuenta de servicio nueva y, luego, haz clic en Enviar.
  5. En Habilitado, haz clic para habilitar la fuente de seguridad.

Cuando se configura correctamente, la cuenta de servicio para la fuente integrada se actualiza en Security Command Center. Sigue las instrucciones del proveedor de origen a fin de actualizar la información de la cuenta de servicio para su servicio.

Configuración avanzada

El menú Configuración avanzada te permite cambiar la configuración de servicios admitidos para cada recurso admitido. De forma predeterminada, los recursos heredan la configuración del servicio para la organización. Si deseas habilitar o inhabilitar servicios para recursos individuales de forma opcional, haz clic en la lista desplegable de la columna de servicio a fin de seleccionar la habilitación del servicio en un recurso.

  • Habilitar de forma predeterminada: se habilita el servicio para el recurso.
  • Inhabilitar de forma predeterminada: se inhabilita el servicio para el recurso.
  • Heredar: el recurso usa la configuración de servicio seleccionada para su superior en la jerarquía de recursos.

Si haces clic en Buscar una carpeta o proyecto, se abrirá una ventana que te permitirá ingresar términos de búsqueda para encontrar recursos con rapidez y cambiar su configuración.

Receptores

En la pestaña Receptores, debes configurar el registro de los resultados de Event Threat Detection y Container Threat Detection. Los resultados se exportarán al proyecto de Cloud Logging que selecciones.

Para registrar los resultados, sigue estos pasos:

  1. Haz clic en el botón junto a Log Findings to Stackdriver (Resultados de un registro a Stackdriver).
  2. En el cuadro Logging Project, selecciona el proyecto en el que deseas escribir los registros.

Permisos

Para ver y configurar las funciones de IAM de Security Command Center, navega al panel Permisos en la página Configuración. Los permisos se agrupan por función. Si el panel no es visible, haz clic en el vínculo Mostrar permisos en la parte superior de la página.

Para editar las funciones que se otorgan a un usuario, haz lo siguiente:

  1. Haz clic en el ícono de flecha junto al nombre de la función para expandir el nodo.
  2. Junto al nombre del usuario para el que deseas editar funciones, haz clic en un ícono a fin de seleccionar la acción que deseas realizar:
    1. A fin de quitar una función, haz clic en el ícono de borrar para Quitar miembro.
    2. Para agregar una función, haz clic en el ícono de lápiz como Editar miembro. En el panel Editar permisos que aparecerá, agrega o quita funciones y, luego, haz clic en Guardar.

Para agregar funciones a un usuario nuevo, haz lo siguiente:

  1. Haz clic en Agregar miembro.
  2. En el panel Agregar miembros y funciones que aparecerá, haz lo siguiente:
    1. Ingresa la dirección de correo electrónico del usuario.
    2. Agrega una o más funciones y haz clic en Guardar.

Configura las IU heredadas

Expande la siguiente sección a fin de obtener información para administrar Security Command Center con la IU heredada. La IU heredada solo es visible si no migraste al nivel Premium o Estándar de Security Command Center.

¿Qué sigue?