Configura Security Command Center, lo que incluye agregar servicios de seguridad, administrar qué servicios se aplican a qué recursos y configurar el registro para Event Threat Detection y Container Threat Detection.
Para configurar Security Command Center, ve a la página de Configuración de Security Command Center en la consola de Google Cloud y haz clic en la pestaña de la configuración que deseas cambiar.
Niveles de activación
Puedes activar Security Command Center en uno de dos niveles: a nivel de la organización para una organización o a nivel de proyecto para un proyecto individual.
El nivel de activación afecta los tipos de servicios que puedes configurar. Si Security Command Center se activa a nivel de proyecto, los servicios integrados no son compatibles. Solo puedes configurar los servicios integrados de Security Command Center.
Los servicios integrados y integrados se explican en la siguiente sección.
Para obtener más información sobre los niveles de activación, consulta Descripción general de la activación de Security Command Center.
Servicios
Existen dos tipos de servicios que se ejecutan en Security Command Center: los servicios integrados y los servicios asociados. Los servicios integrados son parte de Security Command Center. Los servicios integrados son servicios de Google Cloud o de terceros que proporcionan resultados a Security Command Center.
Para agregar un servicio integrado nuevo a una activación a nivel de la organización de Security Command Center, completa su guía de integración y, luego, habilítalo como un servicio de seguridad en el panel de Security Command Center. Esta función te permite tener una vista completa de los riesgos de seguridad, las vulnerabilidades y las amenazas en tu organización o proyecto.
Después de habilitar un servicio integrado, puedes configurar qué recursos supervisa cada servicio de seguridad.
Servicios integrados
Los siguientes servicios integrados son parte de Security Command Center:
- Container Threat Detection
- Event Threat Detection
- Detección rápida de vulnerabilidadesVersión preliminar
Servicio de Secured Landing ZoneVista previa
Security Health Analytics
Postura de seguridad
Virtual Machine Threat Detection
Web Security Scanner
Algunos servicios integrados solo están disponibles con el nivel Premium de Security Command Center. Más información sobre los niveles de Security Command Center
Habilita o inhabilita un servicio integrado
Puedes habilitar servicios integrados para los siguientes recursos:
- Una organización
- Una carpeta
- Un proyecto
- Solo con Container Threat Detection, un clúster
De forma predeterminada, los recursos heredan la configuración del servicio de su recurso superior.
Para habilitar o inhabilitar un servicio de Security Command Center para un recurso, haz lo siguiente:
En la consola de Google Cloud, ve a la página Findings (Resultados) de Security Command Center.
Selecciona la organización, la carpeta o el proyecto para el que necesitas administrar los servicios.
Haz clic en
Configuración.En el servicio que deseas modificar, haz clic en Administrar configuración.
En la pestaña Habilitación de servicios, busca el recurso para el que necesitas habilitar el servicio. Puedes habilitar los servicios integrados para una organización, una carpeta, un proyecto o un clúster (solo con Container Threat Detection).
Para ese recurso, configura el servicio en Habilitar, Inhabilitar o Heredar.
Visualiza los módulos de un servicio
En algunos servicios, puedes habilitar o inhabilitar ciertos detectores, también conocidos como módulos. Para ver los módulos de un servicio y sus estados actuales, haz lo siguiente:
En la consola de Google Cloud, ve a la página Findings (Resultados) de Security Command Center.
Selecciona la organización, la carpeta o el proyecto para el que necesitas administrar los servicios.
Haz clic en
Configuración.En el servicio que quieres ver, haz clic en Administrar configuración.
Haz clic en la pestaña Módulos.
Se muestran los módulos del servicio junto con sus respectivos estados.
Cómo habilitar o inhabilitar un módulo
En la consola de Google Cloud, ve a la página Findings (Resultados) de Security Command Center.
Selecciona la organización, la carpeta o el proyecto para el que necesitas administrar los servicios.
Haz clic en
Configuración.En el servicio que quieres ver, haz clic en Administrar configuración.
Haz clic en la pestaña Módulos.
Se muestran los módulos del servicio junto con sus respectivos estados.
Busca el detector que deseas modificar y establece su estado en Habilitar o Inhabilitar.
Agrega servicios a Security Command Center
Cuando se activa Security Command Center a nivel de la organización, puedes agregar servicios integrados de Google Cloud o servicios de seguridad de terceros a Security Command Center.
Agrega un servicio integrado de Google Cloud
Puedes agregar a ciertos servicios integrados de Google Cloud a Security Command Center.
Las activaciones a nivel de proyecto no admiten los servicios integrados de Google Cloud.
En la página Configuración, haz clic en la pestaña Servicios integrados para ver los servicios disponibles. Los siguientes son servicios de seguridad de Google Cloud que se integran en activaciones de Security Command Center a nivel de la organización:
- Detección de anomalías
- Google Cloud Armor
- Sensitive Data Protection
- Forseti Security
Si deseas obtener más información sobre estos servicios, consulta Fuentes de seguridad para vulnerabilidades y amenazas.
Los resultados de los servicios de seguridad de Google Cloud están disponibles después de que completes sus guías de integración.
- Para agregar un servicio nuevo, haz clic en Agregar más servicios. Se muestra la página Servicios de Security Command Center en Google Cloud Marketplace. Haz clic en el servicio que te interesa y sigue las instrucciones del proveedor para agregarlo como un servicio integrado.
- A fin de ver los resultados de los servicios de seguridad, haz clic en el botón de activar o desactivar junto al nombre del servicio para habilitar el servicio. Para limitar un servicio a determinadas carpetas, proyectos o clústeres de tu organización, usa el menú Configuración avanzada que se describe más adelante en esta página.
Las fuentes integradas usan cuentas de servicio que pueden estar fuera de la organización. Por ejemplo, las fuentes de seguridad de Google Cloud usan una cuenta de servicio en security-center-fpr.iam.gserviceaccount.com
.
Si las políticas de tu organización están configuradas para restringir identidades por dominio, debes agregar la cuenta de servicio de Security Command Center a una identidad en un grupo que esté dentro de un dominio permitido. Los nombres de las cuentas de servicio de Security Command Center a nivel de la organización tienen el siguiente formato:
service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com
ORGANIZATION_NUMBER es el ID numérico de tu organización.
En la pestaña Servicios integrados, agrega fuentes nuevas o habilita e inhabilita las existentes:
En la consola de Google Cloud, ve a la página Findings (Resultados) de Security Command Center.
Selecciona tu organización o proyecto.
Haz clic en
Configuración.Haz clic en la pestaña Servicios integrados.
Junto a la fuente integrada que deseas habilitar, haz clic en la lista de Estado y selecciona Habilitar.
Los resultados de las fuentes integradas que seleccionas se muestran en la página Resultadosen el panel de Security Command Center.
Para inhabilitar un servicio integrado, junto a su nombre, haz clic en la lista desplegable y selecciona Inhabilitar de forma predeterminada.
Informes de vulnerabilidad de VM Manager
VM Manager es un conjunto de herramientas que se pueden usar en la administración de sistemas operativos para flotas de máquinas virtuales (VM) grandes que ejecutan Windows y Linux en Compute Engine.
Las activaciones a nivel de proyecto no son compatibles con VM Manager.
Si habilitas VM Manager con el nivel Premium de Security Command Center, VM Manager escribe los resultados de high
y critical
de sus informes de vulnerabilidades en Security Command Center de forma predeterminada. Los informes identifican vulnerabilidades en los sistemas operativos que se instalan en las VM de Compute Engine.
Para obtener más información, consulta VM Manager.
Agrega un servicio de seguridad de terceros
Las activaciones a nivel de la organización de Security Command Center pueden mostrar resultados de servicios de seguridad de terceros que se registraron como socios de Cloud Marketplace.
Las activaciones a nivel de proyecto de Security Command Center no admiten servicios de terceros.
Los servicios de seguridad de terceros que están registrados como socios de Cloud Marketplace incluyen los siguientes:
- Acalvio
- Capsule8
- Cavirin
- Chef
- Check Point CloudGuard Dome9
- CloudQuest
- McAfee
- Qualys
- Reblaze
- Prisma Cloud de Palo Alto Networks
- StackRox
- Tenable.io
Para integrar servicios de seguridad que no están registradas como socios de Cloud Marketplace, pídele a los proveedores que completen la guía para la incorporación como socio de Security Command Center.
Para agregar un servicio de seguridad de terceros nueva al Security Command Center, configura la fuente de seguridad y, luego, actívala en el panel de Security Command Center.
Antes de comenzar
Con el fin de agregar un servicio de seguridad para un socio registrado de Cloud Marketplace, necesitas lo siguiente:
- Las siguientes funciones de Identity and Access Management (IAM):
- Administrador del centro de seguridad:
roles/securitycenter.admin
- Administrador de cuenta de servicio:
roles/iam.serviceAccountAdmin
- Administrador del centro de seguridad:
- Un proyecto de Google Cloud que desees usar para el servicio de seguridad.
Paso 1: Configura un servicio de seguridad
A fin de configurar un servicio de seguridad de terceros, necesitas una cuenta de servicio para ese servicio. Cuando agregas el servicio de seguridad nuevo, puedes elegir entre las siguientes opciones de cuenta de servicio:
- Crea una cuenta de servicio.
- Usa tu propia cuenta de servicio existente.
- Usa una cuenta de servicio del proveedor de origen.
Para configurar un servicio de seguridad nuevo que ya esté registrado como socio de Cloud Marketplace, sigue estos pasos:
Ve a la página de Marketplace de Servicios de Security Command Center en la consola de Google Cloud.
En la página Marketplace, se muestran los servicios de seguridad que están asociadas directamente con Security Command Center.
- Si no ves la fuente de seguridad que deseas agregar, busca Seguridad y selecciona el proveedor de fuentes de seguridad.
- Si el proveedor de servicio de seguridad no está registrado en Cloud Marketplace, pídele que complete la guía para la incorporación como socio de Security Command Center.
En la página del proveedor de servicios de seguridad en Cloud Marketplace, sigue las instrucciones de configuración del proveedor que se encuentran en la descripción general.
Después de completar el proceso de configuración del proveedor, haz clic en Visitar [nombre del proveedor] sitio para registrarse en la página Marketplace del proveedor.
En la página Security Command Center de la consola de Google Cloud que aparece, selecciona la organización en la que deseas usar el servicio de seguridad.
En la página Crear cuenta de servicio y habilitar los eventos de seguridad de [nombre del proveedor] que aparece, acepta la cuenta de servicio del proveedor, si está disponible, o crea o selecciona tu propia cuenta de servicio que desees usar:
- Para crear una cuenta de servicio, sigue estos pasos:
- Selecciona Crea una cuenta de servicio nueva.
- Junto a Proyecto, haz clic en Cambiar a fin de seleccionar el proyecto que deseas usar para esta fuente de seguridad.
- Agrega un Nombre de cuenta de servicio y un ID de la cuenta de servicio.
- Para usar una cuenta de servicio existente, sigue estos pasos:
- Selecciona Use an existing service account y, luego, selecciona la cuenta de servicio que deseas usar de la lista desplegable Nombre de la cuenta de servicio.
- Si el proveedor de la servcios de seguridad administra la cuenta de servicio, ingresa el ID de la cuenta de servicio que proporcionaron.
- Para crear una cuenta de servicio, sigue estos pasos:
Cuando termines de agregar información de la cuenta de servicio, haz clic en Enviar o Aceptar.
En la página Conexión de origen que aparece, haz clic en el vínculo de Pasos de instalación para obtener información sobre cómo completar la instalación.
Cuando hayas terminado, haz clic en Listo.
Cuando se configura correctamente, el servicio de seguridad que agregaste está disponible en el Security Command Center.
Paso 2: Habilita el servicio de seguridad
Después de configurar un servicio de seguridad nuevo, debes habilitarlo en el panel de Security Command Center.
Las fuentes integradas usan cuentas de servicio que pueden estar fuera de la organización. Por ejemplo, las fuentes de seguridad de Google Cloud usan una cuenta de servicio en security-center-fpr.iam.gserviceaccount.com
.
Si las políticas de tu organización están configuradas para restringir identidades por dominio, debes agregar la cuenta de servicio de Security Command Center a una identidad en un grupo que esté dentro de un dominio permitido. Los nombres de las cuentas de servicio de Security Command Center a nivel de la organización tienen el siguiente formato:
service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com
ORGANIZATION_NUMBER es el ID numérico de tu organización.
En la pestaña Servicios integrados, agrega fuentes nuevas o habilita e inhabilita las existentes:
En la consola de Google Cloud, ve a la página Findings (Resultados) de Security Command Center.
Selecciona tu organización o proyecto.
Haz clic en
Configuración.Haz clic en la pestaña Servicios integrados.
Junto a la fuente integrada que deseas habilitar, haz clic en la lista de Estado y selecciona Habilitar.
Los resultados de las fuentes integradas que seleccionas se muestran en la página Resultadosen el panel de Security Command Center.
Cambia las cuentas de servicio del proveedor
Puedes cambiar la cuenta de servicio que se usa para un servicio de seguridad de terceros, por ejemplo, a fin de abordar la filtración o rotación de la cuenta de servicio. Para cambiar la cuenta de servicio de una servicio de seguridad, debes actualizarla en el panel de Security Command Center. Después, sigue las instrucciones del proveedor de servicios para actualizar la cuenta de servicio de su servicio.
El siguiente procedimiento no se aplica a las activaciones a nivel de proyecto de Security Command Center, que no admite servicios integrados de terceros.
En la consola de Google Cloud, ve a la página Findings (Resultados) de Security Command Center.
Selecciona tu organización o proyecto.
Haz clic en
Configuración.Haz clic en la pestaña Servicios integrados.
En la lista desplegable junto al servicio integrado:
- Selecciona Inhabilitado para inhabilitar de forma temporal el servicio integrado.
- Luego, selecciona Administrar cuenta de servicio.
En el panel Editar [nombre del proveedor] que aparece, ingresa la cuenta de servicio nueva y, luego, haz clic en Enviar.
En la lista desplegable junto al servicio integrado, selecciona Habilitado para habilitar el servicio de seguridad.
Cuando se configura correctamente, la cuenta de servicio para el servicio integrado se actualiza en Security Command Center. Sigue las instrucciones del proveedor de origen a fin de actualizar la información de la cuenta de servicio para su servicio.
Exportación de Cloud Logging
En la pestaña Exportaciones continuas, configura el registro de los resultados de Event Threat Detection y Container Threat Detection. Los resultados se exportarán al proyecto de Cloud Logging que selecciones.
Según la cantidad de información, los costos de Cloud Logging pueden ser significativos. Para comprender el uso del servicio y su costo, consulta Optimización de costos para la observabilidad de Google Cloud.
Para registrar los resultados, haz lo siguiente:
En la consola de Google Cloud, ve a la página Findings (Resultados) de Security Command Center.
Selecciona tu organización o proyecto.
Haz clic en
Configuración.Haz clic en la pestaña Exportaciones continuas.
En Nombre de la exportación, haz clic en Exportación de Logging.
En Receptores, activa Registrar resultados en Logging.
En Proyecto de Logging, ingresa o busca el proyecto en el que deseas registrar los resultados.
Haz clic en Guardar.
Cuando Event Threat Detection y Container Threat Detection escriben registros, cada entrada de registro incluye el tipo de recurso threat_detector y contiene la misma información que los resultados. Para obtener instrucciones sobre cómo revisar registros, consulta Usa la detección de eventos de amenazas y Usa la detección de amenazas a contenedores.
Especifica tus recursos de alto valor
Security Command Center calcula las puntuaciones de exposición a ataques y, además, ilustra las posibles rutas de ataque para los hallazgos de vulnerabilidades y parámetros de configuración incorrectos que exponen los recursos que defines como valiosos.
Para obtener puntuaciones de exposición a ataques y rutas de ataque que reflejen con precisión cuáles de tus recursos tienen un valor realmente alto, debes crear configuraciones de valores de recursos.
El conjunto de configuraciones de valor de recursos que creas define tu conjunto de recursos de alto valor.
Hasta que crees tu propio conjunto de recursos de alto valor, Security Command Center usa un conjunto predeterminado de recursos de alto valor que se aplica, en general, a todos los tipos de recursos que admiten las puntuaciones de exposición a ataques.
Para obtener más información, consulta lo siguiente:
- Define y administra tu conjunto de recursos de alto valor
- Descripción general de las puntuaciones de exposición a ataques
Reglas de silencio
La pestaña Silenciar reglas muestra todas las reglas para silenciar que se establecen en la organización, las carpetas y los proyectos. En esta pestaña, puedes crear una regla de silenciación o administrar las existentes.
Las reglas de silencio suprimen de forma automática los resultados futuros según los filtros que definas. Para obtener más información sobre cómo silenciar resultados y trabajar con reglas de silencio, consulta Silencia resultados en Security Command Center.
Roles
Las funciones de IAM para Security Command Center se pueden otorgar a nivel de organización, carpeta o proyecto. Tu capacidad de ver, editar, crear o actualizar los resultados, los elementos y las fuentes de seguridad depende del nivel para el que se te otorgue acceso. Para obtener más información sobre las funciones de Security Command Center, consulta Control de acceso.
Para obtener información sobre cómo otorgar, cambiar y revocar funciones de IAM, consulta la sección sobre cómo administrar el acceso a proyectos, carpetas y organizaciones.
¿Qué sigue?
Obtén información sobre los servicios de seguridad de Google Cloud y cómo ver las vulnerabilidades y amenazas que muestran.
Obtén información para optimizar Security Command Center.