Como configurar o Security Command Center

>

Configure o Security Command Center: adicione serviços de segurança, gerencie quais serviços se aplicam a quais recursos e configure a geração de registros para o Event Threat Detection e o Container Threat Detection.

Para configurar o Security Command Center, acesse a página Configurações do Security Command Center no Console do Cloud e clique na guia da configuração que você quer alterar.

Serviços

Nesse contexto, um serviço integrado fornece descobertas de ameaças e vulnerabilidade para o Security Command Center. Para adicionar um novo serviço integrado, complete o guia de integração e ative-o como serviço de segurança no painel do Security Command Center. É possível adicionar serviços integrados do Google Cloud ao Security Command Center e outros serviços de segurança de terceiros. Esse recurso permite que você tenha uma visão completa dos riscos de segurança da organização, vulnerabilidades e ameaças.

Depois de ativar um serviço integrado, é possível configurar quais recursos cada serviço de segurança monitora.

Serviços integrados

Os seguintes serviços integrados fazem parte do Security Command Center:

  • Security Health Analytics
  • Web Security Scanner
  • Event Threat Detection
  • Container Threat Detection

Alguns serviços integrados só estarão disponíveis se sua organização estiver inscrita no nível Premium do Security Command Center. Saiba mais sobre os níveis do Security Command Center

Para ativar ou desativar um serviço integrado em todos os recursos compatíveis com o serviço, clique na lista suspensa ao lado do nome do serviço e escolha uma opção de ativação.

  • Ativar por padrão: o serviço está ativado para o recurso.
  • Desativar por padrão: o serviço está desativado para o recurso.

Para limitar um serviço a determinadas pastas, projetos ou clusters da organização, acesse Configurações avançadas para exibir uma lista hierárquica dos recursos da organização. O menu Configurações avançadas é descrito adiante nesta página.

Como adicionar um serviço integrado do Google Cloud

Na página Configurações, clique na guia Serviços integrados para ver os serviços disponíveis. Veja a seguir os serviços de segurança do Google Cloud que se integram ao Security Command Center:

  • Detecção de anomalias
  • Google Cloud Armor
  • Cloud Data Loss Prevention
  • Segurança Forseti
  • Proteção contra phishing

Para mais informações sobre esses serviços, consulte Fontes de segurança para vulnerabilidades e ameaças.

As descobertas dos serviços de segurança do Google Cloud ficam disponíveis depois que você conclui os guias de integração.

  • Para adicionar um novo serviço, clique em Adicionar mais serviços. A página "Serviços" do Security Command Center no Google Cloud Marketplace é exibida. Clique no serviço do seu interesse e siga as instruções do provedor para adicioná-lo como um serviço integrado.
  • Para ver as descobertas de serviços de segurança, ative o serviço clicando no botão ao lado do nome do serviço. Para limitar um serviço a determinadas pastas, projetos ou clusters na sua organização, use o menu Configurações avançadas descrito mais adiante nesta página.

As fontes integradas usam contas de serviço que podem estar fora da organização. Por exemplo, as origens de segurança do Google Cloud usam uma conta de serviço em security-center-fpr.iam.gserviceaccount.com. Caso as políticas da sua organização estejam definidas como restringir identidades por domínio, será necessário adicionar a conta de serviço a uma identidade em um grupo que esteja em um domínio permitido.

Na guia Serviços integrados, você adiciona novas fontes ou ativa e desativa as atuais:

  1. Acesse a página Serviços no Console do Cloud.

    Acessar Serviços

  2. Selecione a organização à qual você quer adicionar uma fonte de segurança.

  3. Selecione a guia Serviços integrados.

  4. Ao lado da fonte integrada que você quer ativar, clique na lista suspensa e selecione Ativar por padrão.

As descobertas das fontes integradas selecionadas são exibidas na página Descobertas no painel do Security Command Center.

Para desativar um serviço integrado, ao lado do nome, clique na lista suspensa e selecione Desativar por padrão.

Como adicionar um serviço de segurança de terceiros

O Security Command Center pode exibir descobertas de serviços de segurança de terceiros registrados como parceiros do Cloud Marketplace. Os serviços de segurança de terceiros que já estão registrados incluem o seguinte:

  • Acalvio
  • Capsule8
  • Cavirin
  • Chef
  • Check Point CloudGuard Dome9
  • CloudQuest
  • McAfee
  • Qualys
  • Reblaze
  • Prisma Cloud de Palo Alto Networks
  • StackRox
  • Tenable.io

Para integrar serviços de segurança que não estão registrados como parceiros do Cloud Marketplace, peça aos provedores para concluir o guia Integração como um parceiro do Security Command Center.

Para adicionar um novo serviço de segurança de terceiros ao Security Command Center, configure esse serviço e ative-o no painel do Security Command Center.

Antes de começar

Para adicionar um serviço de segurança de um parceiro registrado do Cloud Marketplace, você precisa ter:

  • Os seguintes papéis de gerenciamento de identidade e acesso (IAM, na sigla em inglês):
    • Administrador da Central de segurança - roles/securitycenter.admin
    • Administrador de contas de serviço - roles/iam.serviceAccountAdmin
  • Um projeto do Google Cloud que você queira usar no serviço de segurança.

Etapa 1: como configurar uma fonte de segurança

Para configurar um serviço de segurança de terceiros, você precisa de uma conta de serviço para esse serviço. Ao adicionar um novo serviço de segurança, escolha uma das seguintes opções de conta de serviço:

  • Crie uma conta de serviço.
  • Use sua própria conta de serviço atual.
  • Use uma conta de serviço do provedor de serviços.

Para configurar um novo serviço de segurança já registrado como um parceiro do Cloud Marketplace, siga as etapas abaixo:

  1. Acesse a página Marketplace dos serviços do Security Command Center no Console do Cloud.

    Acesse o Marketplace

  2. Veja na página Marketplace os serviços de segurança que estão diretamente associados ao Security Command Center.

    • Se você não encontrar o serviço de segurança que quer adicionar, pesquise Segurança e selecione o provedor de serviços de segurança.
    • Se o provedor de serviços de segurança não estiver registrado no Cloud Marketplace, peça ao provedor para concluir o guia Como fazer integração como um parceiro do Security Command Center.
  3. Na página do provedor de serviços de segurança no Cloud Marketplace, siga todas as instruções de configuração de provedores na Visão geral.

  4. Depois de concluir o processo de configuração do provedor, clique em Visitar o site do [nome do provedor] para se inscrever na página do Marketplace do provedor.

  5. Na página Security Command Center do Console do Cloud que aparecerá, selecione a organização em que você quer usar o serviço de segurança.

  6. Na página Criar conta de serviço e ativar eventos de segurança do [nome do provedor] que aparece, aceite a conta de serviço do provedor, se disponível, ou crie ou selecione a própria conta de serviço que você quer usar:

    • Para criar uma conta de serviço:
      1. Selecione Criar uma nova conta de serviço.
      2. Ao lado de Projeto, clique em Alterar e selecione o projeto que você quer usar neste serviço de segurança.
      3. Adicione um nome de conta de serviço e um ID de conta de serviço.
    • Para usar uma conta de serviço atual:
      1. Selecione Usar uma conta de serviço atual e selecione a conta de serviço que você quer usar na lista suspensa Nome da conta de serviço.
    • Se o provedor de serviços de segurança gerenciar a conta de serviço, insira o ID da conta de serviço fornecido.
  7. Quando terminar de adicionar informações da conta de serviço, clique em Enviar ou Aceitar.

  8. Na página Conectar fonte, clique no link em Etapas de instalação para ver informações sobre como concluir a instalação.

  9. Quando terminar, clique em Concluído.

Quando configurado corretamente, o serviço de segurança que você adicionou fica disponível no Security Command Center.

Etapa 2: como ativar o serviço de segurança

Depois de configurar um novo serviço de segurança, ative-o no painel do Security Command Center.

As fontes integradas usam contas de serviço que podem estar fora da organização. Por exemplo, as origens de segurança do Google Cloud usam uma conta de serviço em security-center-fpr.iam.gserviceaccount.com. Caso as políticas da sua organização estejam definidas como restringir identidades por domínio, será necessário adicionar a conta de serviço a uma identidade em um grupo que esteja em um domínio permitido.

Na guia Serviços integrados, você adiciona novas fontes ou ativa e desativa as atuais:

  1. Acesse a página Serviços no Console do Cloud.

    Acessar Serviços

  2. Selecione a organização à qual você quer adicionar uma fonte de segurança.

  3. Selecione a guia Serviços integrados.

  4. Ao lado da fonte integrada que você quer ativar, clique na lista suspensa e selecione Ativar por padrão.

As descobertas das fontes integradas selecionadas são exibidas na página Descobertas no painel do Security Command Center.

Como alterar as contas de serviço do provedor

É possível alterar a conta de serviço usada em um serviço de segurança de terceiros para, por exemplo, resolver o vazamento ou a rotação da conta de serviço. Para alterar a conta de serviço de um serviço de segurança, atualize-a no painel do Security Command Center. Depois, siga as instruções do provedor de serviços para atualizar a conta de serviço para ele.

  1. Acesse a página Serviços integrados do Security Command Center no Console do Cloud.

    Acessar os serviços integrados

  2. Se solicitado, selecione a organização.

  3. Na lista suspensa próxima ao serviço integrado:

    1. Selecione Desativado para desativar temporariamente o serviço integrado.
    2. Em seguida, selecione Gerenciar conta de serviço.
  4. No painel Editar [nome do provedor] que aparece, insira a nova conta de serviço e clique em Enviar.

  5. Na lista suspensa ao lado do serviço integrado, selecione Ativado para ativar o serviço de segurança.

Quando configurada corretamente, a conta de serviço do serviço integrado é atualizada no Security Command Center. Siga as instruções do provedor de serviços para atualizar as informações da conta de serviço.

Configurações avançadas

O menu Configurações avançadas permite alterar as configurações de serviço compatíveis de cada recurso compatível. Por padrão, os recursos herdam as configurações do serviço da organização. Para ativar ou desativar serviços para recursos individuais, clique na lista suspensa na coluna de serviço para selecionar a ativação do serviço em um recurso.

  • Ativar por padrão: o serviço está ativado para o recurso.
  • Desativar por padrão: o serviço está desativado para o recurso.
  • Herdar: o recurso usa a configuração do serviço selecionada para o pai na hierarquia de recursos.

Clicar em Pesquisar uma pasta ou um projeto abre uma janela que permite inserir termos de pesquisa para encontrar recursos rapidamente e alterar as configurações deles.

Exportação do Cloud Logging

Na guia Exportações contínuas, você configura a geração de registros para as descobertas do Event Threat Detection e do Container Threat Detection. As descobertas são exportadas para o projeto do Cloud Logging que você selecionou.

Dependendo da quantidade de informações, os custos do Cloud Logging podem ser significativos. Para entender o uso do serviço e o custo dele, consulte Otimização de custos do conjunto de operações do Google Cloud.

Para registrar descobertas, faça o seguinte:

  1. Acesse a página Configurações do Security Command Center.

    Acessar as configurações

  2. Se necessário, selecione a organização ou o projeto.

  3. Clique na guia Exportações contínuas.

  4. Em Exportar nome, clique em Exportação do Cloud Logging.

  5. Em Coletores, ative Registrar descobertas no Cloud Logging.

  6. Em Projeto de registro, insira ou pesquise o projeto em que você quer registrar as descobertas.

  7. Clique em Save.

Quando os registros de gravação do Event Threat Detection e do Container Threat Detection, cada entrada de registro inclui o tipo de recurso threat_detector e as mesmas informações que as descobertas. Para instruções sobre como analisar registros, consulte Como usar a detecção de ameaças de eventos e Como usar a detecção de ameaças de contêiner.

Permissões

Para visualizar e configurar papéis do IAM para o Security Command Center, navegue até o painel Permissões na página Configurações. As permissões são agrupadas por papel. Se o painel não estiver visível, clique no link Mostrar permissões na parte superior da página.

Para editar os papéis que são concedidos a um usuário:

  1. Expanda o nó clicando no ícone de seta ao lado do nome do papel.
  2. Ao lado do nome do usuário que tem os papéis que você quer editar, clique em um ícone e selecione a ação que você quer realizar:
    1. Para remover um papel, clique no ícone de exclusão para Remover membro.
    2. Para adicionar uma função, clique no ícone de lápis ao lado de Editar membro. No painel Editar permissões, adicione ou remova papéis e clique em Salvar.

Para adicionar funções a um novo usuário:

  1. clique em Adicionar membro;
  2. No painel Adicionar membros e papéis que é exibido, faça o seguinte:
    1. Insira o endereço de e-mail do usuário.
    2. Adicione um ou mais papéis e clique em Salvar.

Configurações legadas

Expanda a seção a seguir para informações sobre como gerenciar o Security Command Center Legacy, uma versão anterior ao GA do Security Command Center que não está disponível para novos assinantes. O legado do Security Command Center só está visível para usuários que não se inscreveram no nível Premium ou no nível Premium do Security Command Center.

A seguir