Como configurar o Security Command Center

>

Configure o Security Command Center, incluindo adicionar fontes de segurança, gerenciar quais fontes se aplicam a quais recursos e configurar a geração de registros para o Event Threat Detection e o Container Threat Detection.

Para configurar o Security Command Center, acesse a página Configurações do Security Command Center no Console do Cloud e clique na guia da configuração que você quer alterar.

Origens e Serviços

Nesse contexto, uma fonte de segurança é um serviço que fornece descobertas de vulnerabilidades e ameaças ao Security Command Center. Para adicionar uma nova fonte de segurança, você completa o guia de integração e, em seguida, ativa-a como uma fonte de segurança no painel do Security Command Center. É possível adicionar origens de segurança do Google Cloud ao Security Command Center e outras origens de segurança de terceiros. Isso permite que você tenha uma visão completa dos riscos de segurança da organização, vulnerabilidades e ameaças.

Depois de ativar uma fonte de segurança, é possível configurar quais recursos cada fonte monitora.

Serviços integrados

Serviços integrados

Os seguintes serviços integrados fazem parte do Security Command Center:

  • Security Health Analytics
  • Web Security Scanner
  • Event Threat Detection
  • Container Threat Detection

Alguns serviços integrados só estarão disponíveis se sua organização estiver inscrita no nível Premium do Security Command Center. Saiba mais sobre os níveis do Security Command Center

Para ativar ou desativar um serviço integrado para todos os recursos compatíveis com o serviço, clique no botão ao lado do nome do serviço. Para limitar um serviço a determinadas pastas, projetos ou clusters na organização, clique em Editar recursos para exibir a guia Recursos descrita posteriormente nesta página.

Como adicionar uma fonte de segurança integrada ao Google Cloud

O Google Cloud oferece as seguintes fontes de segurança do Google Cloud que se integram ao Security Command Center:

  • Detecção de anomalias
  • Cloud Data Loss Prevention
  • Segurança Forseti
  • Proteção contra phishing

Para mais informações sobre o que essas fontes oferecem, consulte fontes de segurança para vulnerabilidades e ameaças.

As descobertas das fontes de segurança do Google Cloud ficam disponíveis depois que você conclui os guias de integração.

  • Para adicionar uma nova fonte, clique em Adicionar mais fontes. A página do Google Cloud Marketplace do Services do Security Command Center é exibida. Clique em qualquer serviço que queira adicionar e siga as instruções do provedor para adicioná-lo como uma fonte integrada.
  • Para ver as descobertas de fontes de segurança, ative o serviço clicando no botão ao lado do nome do serviço. Para limitar um serviço a determinadas pastas, projetos ou clusters na sua organização, use a guia Recursos descrita mais adiante nesta página.

A fonte de segurança integrada usa uma conta de serviço que pode estar fora da sua organização. Por exemplo, as origens de segurança do Google Cloud usam uma conta de serviço em security-center-fpr.iam.gserviceaccount.com.

Na guia Fontes de segurança, adicione novas fontes ou ative e desative as atuais:

  1. Acesse a página "Fontes e serviços" no Console do Cloud.
    Acessar a página "Fontes e serviços"
  2. Selecione a organização à qual você quer adicionar uma fonte de segurança.
  3. Clique no botão ao lado da fonte de segurança que você quer ativar.

As descobertas das fontes de segurança selecionadas são exibidas na página "Descobertas" no painel do Security Command Center.

Como adicionar uma fonte de segurança de terceiros

O Security Command Center pode exibir descobertas de fontes de segurança de terceiros registradas como parceiros do Google Cloud Marketplace. Os parceiros de segurança de terceiros que já estão registrados incluem:

  • Acalvio
  • Capsule8
  • Cavirin
  • Chef
  • Check Point CloudGuard Dome9
  • Cloudflare
  • CloudQuest
  • McAfee
  • Qualys
  • Reblaze
  • Redlock da Palo Alto Networks
  • StackRox
  • Tenable.io
  • Twistlock

Se você quiser integrar uma fonte de segurança que ainda não esteja registrada como parceiro do Google Cloud Marketplace, peça ao seu provedor para concluir o guia de Integração como parceiro do Security Command Center.

Para adicionar uma nova fonte de segurança de terceiros ao Security Command Center, configure a fonte de segurança e ative-a no painel do Security Command Center.

Antes de começar

Para adicionar uma fonte de segurança para um parceiro registrado do Cloud Marketplace, você precisa de:

  • Os seguintes papéis de gerenciamento de identidade e acesso (IAM, na sigla em inglês):
    • Administrador da Central de segurança - roles/securitycenter.admin
    • Administrador de contas de serviço - roles/iam.serviceAccountAdmin
  • Um projeto do Google Cloud que você quer usar para a fonte de segurança.

Etapa 1: configurar uma fonte de segurança

Para configurar uma fonte de segurança de terceiros, você precisa de uma conta de serviço para essa fonte. Ao adicionar a nova fonte de segurança, escolha uma das seguintes opções de conta de serviço:

  • Crie uma conta de serviço.
  • Use sua própria conta de serviço atual.
  • Use uma conta de serviço do provedor de fonte.

Para configurar uma nova fonte de segurança já registrada como um parceiro do Cloud Marketplace, siga as etapas abaixo:

  1. Acesse a página Marketplace dos serviços do Security Command Center no Console do Cloud.
    Acessar a página do Marketplace
  2. A página do Marketplace exibe fontes de segurança associadas diretamente ao Security Command Center.
    • Se não vir a fonte de segurança que você quer adicionar, pesquise Segurança e selecione o provedor de fonte de segurança.
    • Se o provedor de fonte de segurança não estiver registrado no Cloud Marketplace, peça ao provedor para concluir o guia para Integrar como um parceiro do Security Command Center.
  3. Na página do provedor de fonte de segurança no Cloud Marketplace, siga todas as instruções de configuração de provedores na Visão geral.
  4. Depois de concluir o processo de configuração do provedor, clique em Visitar o site do [nome do provedor] para se inscrever na página do Marketplace do provedor.
  5. Na página Security Command Center do Console do Cloud exibida, selecione a organização para a qual você quer usar a fonte de segurança.
  6. Na página Criar conta de serviço e ativar eventos do [nome do provedor], aceite a conta de serviço do provedor, se disponível, ou crie ou selecione sua própria conta de serviço. para usar:
    • Para criar uma conta de serviço:
      1. Selecione Criar uma nova conta de serviço.
      2. Ao lado de Projeto, clique em Alterar para selecionar o projeto que você quer usar para essa fonte de segurança.
      3. Adicione um nome de conta de serviço e um ID de conta de serviço.
    • Para usar uma conta de serviço atual:
      1. Selecione Usar uma conta de serviço atual e selecione a conta de serviço que você quer usar na lista suspensa Nome da conta de serviço.
    • Se o provedor de fonte de segurança gerenciar a conta de serviço, insira o ID da conta de serviço fornecido.
  7. Quando terminar de adicionar informações da conta de serviço, clique em Enviar ou Aceitar.
  8. Na página Conectar fonte, clique no link em Etapas de instalação para ver informações sobre como concluir a instalação.
  9. Quando terminar, clique em Concluído.

Quando configurada corretamente, a fonte de segurança que você adicionou fica disponível na Security Command Center.

Etapa 2: como ativar a fonte de segurança

Depois de configurar uma nova fonte de segurança, você precisará ativá-la no painel do Security Command Center.

A fonte de segurança integrada usa uma conta de serviço que pode estar fora da sua organização. Por exemplo, as origens de segurança do Google Cloud usam uma conta de serviço em security-center-fpr.iam.gserviceaccount.com. Se as políticas da sua organização estiverem definidas para restringir identidades por domínio, você precisará adicionar a conta de serviço a uma identidade em um grupo que esteja dentro de um domínio permitido.

Na guia Fontes de segurança, adicione novas fontes ou ative e desative as atuais:

  1. Acesse a página "Fontes e serviços" no Console do Cloud.
    Acessar a página "Fontes e serviços"
  2. Selecione a organização à qual você quer adicionar uma fonte de segurança.
  3. Clique no botão ao lado da fonte de segurança que você quer ativar.

As descobertas das fontes de segurança selecionadas são exibidas na página "Descobertas" no painel do Security Command Center.

Como alterar as contas de serviço do provedor

É possível alterar a conta de serviço usada em uma fonte de segurança de terceiros para, por exemplo, resolver o vazamento ou a rotação da conta de serviço. Para alterar a conta de serviço de uma fonte de segurança, é preciso atualizá-la no painel do Security Command Center e seguir as instruções do provedor de serviços para atualizar a conta de serviço para o serviço.

  1. Acesse a página Fontes de segurança do Security Command Center no Console do Cloud.
    Acessar a página "Fontes de segurança"
  2. Em Ativado, clique para desativar temporariamente a fonte de segurança para a qual você quer alterar a conta de serviço.
  3. Ao lado do nome da conta de serviço, clique em Editar.
  4. No painel Editar [nome do provedor] que aparece, insira a nova conta de serviço e clique em Enviar.
  5. Em Ativado, clique para ativar a fonte de segurança.

Quando configurada corretamente, a conta de serviço da fonte de segurança é atualizada no Security Command Center. Você também precisa seguir as instruções do provedor de fonte para atualizar as informações da conta de serviço para o serviço.

Recursos

Na guia Recursos, você altera as configurações de serviço compatíveis para cada recurso. Por padrão, os recursos herdam as configurações do serviço da organização. Para ativar ou desativar serviços para recursos individuais, clique na lista suspensa na coluna de serviço para selecionar a ativação do serviço em um recurso.

  • Ativado: o serviço está ativado para o recurso.
  • Off: o serviço está desativado para o recurso.
  • Herdar do recurso pai: o recurso usa a configuração de serviço selecionada para o pai na hierarquia de recursos.

Coletores

Na guia Coletores, você configura a geração de registros para descobertas do Event Threat Detection e do Container Threat Detection As descobertas são exportadas para o projeto do Cloud Logging que você selecionou.

Para registrar descobertas:

  1. Clique no botão ativar ao lado de Descobertas de registro para o Stackdriver.
  2. Na caixa Projeto do Logging, selecione o projeto em que você quer gravar registros.

Permissões

Para visualizar e configurar os papéis do IAM para o Security Command Center, clique em Mostrar permissões na página Configuração. As permissões são agrupadas por papel.

Para editar os papéis que são concedidos a um usuário:

  1. Clique ao lado do nome do papel para expandir o nó.
  2. Ao lado do nome do usuário que você quer editar papéis, clique para selecionar a ação que você quer realizar:
    1. Para remover um papel, clique em Remover membro.
    2. Para adicionar um papel, clique em Editar membro. No painel Editar permissões, adicione ou remova papéis e clique em Salvar.

Para adicionar funções a um novo usuário: 1. clique em Adicionar membro; 1. No painel Adicionar membros e papéis que é exibido: 2. Insira o endereço de e-mail do usuário. 2. Adicione um ou mais papéis e clique em Salvar.

Configurações da IU legada

Expanda a seção a seguir para informações sobre como gerenciar o Security Command Center usando a IU legada. A IU legada só estará visível se você não tiver migrado para o nível Premium ou Standard do Security Command Center.

A seguir