Configurazione di Security Command Center

Configura Security Command Center, inclusi l'aggiunta di servizi di sicurezza, la gestione dei servizi applicabili a determinate risorse e l'impostazione del logging per Event Threat Detection e Container Threat Detection.

Per configurare Security Command Center, vai alla pagina Impostazioni di Security Command Center nella console Google Cloud, quindi fai clic sulla scheda dell'impostazione che vuoi modificare.

Livelli di attivazione

Puoi attivare Security Command Center in uno di due livelli: a livello di organizzazione per un'organizzazione o a livello di progetto per un singolo progetto.

Il livello di attivazione influisce sui tipi di servizi che puoi configurare. Se Security Command Center è attivato a livello di progetto, i servizi integrati non sono supportati. puoi configurare solo i servizi integrati di Security Command Center.

I servizi integrati e integrati sono descritti nella sezione seguente.

Per ulteriori informazioni sui livelli di attivazione, consulta Panoramica dell'attivazione di Security Command Center.

Servizi

Su Security Command Center vengono eseguiti due tipi di servizi: servizi integrati e servizi integrati. I servizi integrati fanno parte di Security Command Center. I servizi integrati sono servizi Google Cloud o di terze parti che forniscono i risultati a Security Command Center.

Per aggiungere un nuovo servizio integrato a un'attivazione a livello di organizzazione di Security Command Center, completa la guida all'integrazione e abilitalo come servizio di sicurezza nella dashboard di Security Command Center. Questa funzionalità consente di avere una visione completa dei rischi per la sicurezza, delle vulnerabilità e delle minacce nel progetto o nell'organizzazione.

Dopo aver abilitato un servizio integrato, puoi configurare le risorse monitorate da ciascun servizio di sicurezza.

Servizi integrati

I seguenti servizi integrati fanno parte di Security Command Center:

• Container Threat Detection
• Event Threat Detection
• Rilevamento rapido delle vulnerabilità^Anteprima

• Servizio Secured Landing Zone^Anteprima

• Security Health Analytics

• Security posture

• Virtual Machine Threat Detection

• Web Security Scanner

Alcuni servizi integrati sono disponibili solo con il livello Premium di Security Command Center. Scopri di più sui livelli di Security Command Center.

Attivare o disattivare un servizio integrato

Puoi abilitare i servizi integrati per le seguenti risorse:

• Un'organizzazione
• Una cartella
• Un progetto
• Solo con Container Threat Detection, un cluster

Per impostazione predefinita, le risorse ereditano le impostazioni del servizio della risorsa padre.

Per abilitare o disabilitare un servizio Security Command Center per una risorsa:

1. Nella console Google Cloud, vai alla pagina Security Command Center.

   Vai a Security Command Center

2. Seleziona l'organizzazione, la cartella o il progetto per cui devi gestire i servizi.

3. Fai clic su settings Impostazioni.

4. Fai clic su Gestisci impostazioni in corrispondenza del servizio che vuoi modificare.

5. Nella scheda Abilitazione dei servizi, trova la risorsa per cui devi abilitare il servizio. Puoi abilitare i servizi integrati per un'organizzazione, una cartella, un progetto o (solo con Container Threat Detection) un cluster.

6. Per questa risorsa, imposta il servizio su Abilita, Disabilita o Eredita.

Visualizzare i moduli di un servizio

Per alcuni servizi, puoi abilitare o disabilitare determinati rilevatori, noti anche come moduli. Per visualizzare i moduli di un servizio e i relativi stati attuali:

1. Nella console Google Cloud, vai alla pagina Security Command Center.

   Vai a Security Command Center

2. Seleziona l'organizzazione, la cartella o il progetto per cui devi gestire i servizi.

3. Fai clic su settings Impostazioni.

4. Fai clic su Gestisci impostazioni in corrispondenza del servizio che vuoi visualizzare.

5. Fai clic sulla scheda Moduli.

   Vengono visualizzati i moduli del servizio e i relativi stati.

Abilitare o disabilitare un modulo

1. Nella console Google Cloud, vai alla pagina Security Command Center.

   Vai a Security Command Center

2. Seleziona l'organizzazione, la cartella o il progetto per cui devi gestire i servizi.

3. Fai clic su settings Impostazioni.

4. Fai clic su Gestisci impostazioni in corrispondenza del servizio che vuoi visualizzare.

5. Fai clic sulla scheda Moduli.

   Vengono visualizzati i moduli del servizio e i relativi stati.

6. Trova il rilevatore che vuoi modificare e impostane lo stato su Attivata o Disabilita.

Aggiungi servizi a Security Command Center

Quando Security Command Center è attivato a livello di organizzazione, puoi aggiungere servizi Google Cloud integrati o servizi di sicurezza di terze parti a Security Command Center.

Aggiungi un servizio integrato di Google Cloud

Puoi aggiungere determinati servizi Google Cloud integrati a Security Command Center.

Le attivazioni a livello di progetto non supportano i servizi Google Cloud integrati.

Nella pagina Impostazioni, fai clic sulla scheda Servizi integrati per visualizzare i servizi disponibili. Di seguito sono riportati i servizi di sicurezza di Google Cloud che si integrano con le attivazioni a livello di organizzazione di Security Command Center:

• Rilevamento di anomalie
• Google Cloud Armor
• Sensitive Data Protection
• Forseti Security

Per maggiori informazioni su questi servizi, consulta Origini di sicurezza per vulnerabilità e minacce.

I risultati dei servizi di sicurezza di Google Cloud saranno disponibili dopo che avrai completato le rispettive guide all'integrazione.

• Per aggiungere un nuovo servizio, fai clic su Aggiungi altri servizi. Viene visualizzata la pagina Servizi di Security Command Center su Google Cloud Marketplace. Fai clic sul servizio che ti interessa e segui le istruzioni del fornitore per aggiungerlo come servizio integrato.
• Per visualizzare i risultati dei servizi di sicurezza, abilita il servizio facendo clic sul pulsante di attivazione/disattivazione accanto al nome del servizio. Per limitare un servizio a cartelle, progetti o cluster specifici della tua organizzazione, utilizza il menu Impostazioni avanzate descritto più avanti in questa pagina.

Le origini integrate utilizzano account di servizio che potrebbero essere esterni all'organizzazione. Ad esempio, le origini di sicurezza Google Cloud utilizzano un account di servizio all'indirizzo security-center-fpr.iam.gserviceaccount.com.

Se i criteri dell'organizzazione sono impostati per limitare le identità in base al dominio, devi aggiungere l'account di servizio Security Command Center a un'identità in un gruppo che si trova all'interno di un dominio consentito. I nomi degli account di servizio Security Command Center a livello di organizzazione hanno il seguente formato:

service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com

ORGANIZATION_NUMBER è l'ID numerico della tua organizzazione.

Nella scheda Servizi integrati, puoi aggiungere nuove origini o abilitare e disabilitare quelle esistenti:

1. Nella console Google Cloud, vai alla pagina Security Command Center.

   Vai a Security Command Center

2. Seleziona la tua organizzazione o il tuo progetto.

3. Fai clic su settings Impostazioni.

4. Fai clic sulla scheda Servizi integrati.

5. Accanto all'origine integrata che vuoi attivare, fai clic sull'elenco Stato e seleziona Abilita.

I risultati per le origini integrate selezionate vengono visualizzati nella pagina Risultati della dashboard di Security Command Center.

Per disabilitare un servizio integrato, fai clic sull'elenco a discesa accanto al nome e seleziona Disattiva per impostazione predefinita.

Report sulle vulnerabilità di VM Manager

VM Manager è una suite di strumenti utilizzabili per gestire sistemi operativi per grandi parchi di macchine virtuali (VM) che eseguono Windows e Linux su Compute Engine.

Le attivazioni a livello di progetto non supportano VM Manager.

Se abiliti VM Manager con il livello Premium di Security Command Center, per impostazione predefinita VM Manager scrive i risultati high e critical dei report sulle vulnerabilità a Security Command Center. I report identificano le vulnerabilità nei sistemi operativi installati sulle VM di Compute Engine.

Per ulteriori informazioni, consulta VM Manager.

Aggiunta di un servizio di sicurezza di terze parti

Le attivazioni a livello di organizzazione di Security Command Center possono visualizzare i risultati di servizi di sicurezza di terze parti che sono stati registrati come partner di Cloud Marketplace.

Le attivazioni a livello di progetto di Security Command Center non supportano servizi di terze parti.

I servizi di sicurezza di terze parti registrati come partner di Cloud Marketplace includono:

• Acalvio
• Capsule8
• Cavirin
• Chef
• Controlla il punto CloudGuard Dome9
• CloudQuest
• McAfee
• Qualys
• Reblaze
• Prisma Cloud di Palo Alto Networks
• StackRox
• Tenable.io

Per integrare i servizi di sicurezza non registrati come partner di Cloud Marketplace, chiedi ai fornitori di completare la guida per eseguire l'onboarding come partner di Security Command Center.

Per aggiungere un nuovo servizio di sicurezza di terze parti a Security Command Center, devi configurare il servizio di sicurezza e quindi abilitarlo nella dashboard di Security Command Center.

Prima di iniziare

Per aggiungere un servizio di sicurezza per un partner Cloud Marketplace registrato, devi avere:

• I seguenti ruoli IAM (Identity and Access Management):
  • Amministratore Centro sicurezza - roles/securitycenter.admin
  • Amministratore account di servizio - roles/iam.serviceAccountAdmin
• Un progetto Google Cloud da utilizzare per il servizio di sicurezza.

Passaggio 1: configura un servizio di sicurezza

Per configurare un servizio di sicurezza di terze parti, devi avere un account di servizio per quel servizio. Quando aggiungi il nuovo servizio di sicurezza, puoi scegliere tra le seguenti opzioni per l'account di servizio:

• Crea un account di servizio.
• Utilizza il tuo account di servizio esistente.
• Utilizza un account di servizio del fornitore di servizi.

Per configurare un nuovo servizio di sicurezza già registrato come partner di Cloud Marketplace, segui questi passaggi:

1. Vai alla pagina Marketplace Servizi di Security Command Center nella console Google Cloud.

   Vai a Marketplace

2. Nella pagina Marketplace vengono visualizzati i servizi di sicurezza direttamente associati a Security Command Center.

   • Se non vedi il servizio di sicurezza che vuoi aggiungere, cerca Sicurezza, quindi seleziona il fornitore di servizi di sicurezza.
   • Se il fornitore di servizi di sicurezza non è registrato in Cloud Marketplace, chiedi al tuo provider di completare la guida per eseguire l'onboarding come partner di Security Command Center.

3. Nella pagina del fornitore di servizi di sicurezza in Cloud Marketplace, segui le istruzioni di configurazione del provider riportate in Panoramica.

4. Una volta completata la procedura di configurazione del provider, fai clic su Visita il sito di [nome del fornitore] per registrarti nella pagina Marketplace del provider.

5. Nella pagina Security Command Center della console Google Cloud visualizzata, seleziona l'organizzazione per cui vuoi utilizzare il servizio di sicurezza.

6. Nella pagina Crea account di servizio e attiva eventi di sicurezza [nome del provider] visualizzata, accetta l'account di servizio del provider, se disponibile, oppure crea o seleziona l'account di servizio che vuoi utilizzare:

   • Per creare un account di servizio:
     1. Seleziona Crea un nuovo account di servizio.
     2. Accanto a Progetto, fai clic su Cambia per selezionare il progetto che vuoi utilizzare per questo servizio di sicurezza.
     3. Aggiungi un Nome account di servizio e un ID account di servizio.
   • Per utilizzare un account di servizio esistente:
     1. Seleziona Utilizza un account di servizio esistente, quindi scegli l'account di servizio che vuoi utilizzare dall'elenco a discesa Nome account di servizio.
   • Se il fornitore di servizi di sicurezza gestisce l'account di servizio, inserisci l'ID account di servizio che ha fornito.

7. Una volta completata l'aggiunta dei dati dell'account di servizio, fai clic su Invia o Accetta.

8. Nella pagina Connessione di origine visualizzata, fai clic sul link in Passaggi di installazione per informazioni su come completare l'installazione.

9. Quando hai finito, fai clic su Fine.

Se configurato correttamente, il servizio di sicurezza che hai aggiunto è disponibile in Security Command Center.

Passaggio 2: attiva il servizio di sicurezza

Dopo aver configurato un nuovo servizio di sicurezza, devi abilitarlo nella dashboard di Security Command Center.

Le origini integrate utilizzano account di servizio che potrebbero essere esterni all'organizzazione. Ad esempio, le origini di sicurezza Google Cloud utilizzano un account di servizio all'indirizzo security-center-fpr.iam.gserviceaccount.com.

Se i criteri dell'organizzazione sono impostati per limitare le identità in base al dominio, devi aggiungere l'account di servizio Security Command Center a un'identità in un gruppo che si trova all'interno di un dominio consentito. I nomi degli account di servizio Security Command Center a livello di organizzazione hanno il seguente formato:

service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com

ORGANIZATION_NUMBER è l'ID numerico della tua organizzazione.

Nella scheda Servizi integrati, puoi aggiungere nuove origini o abilitare e disabilitare quelle esistenti:

1. Nella console Google Cloud, vai alla pagina Security Command Center.

   Vai a Security Command Center

2. Seleziona la tua organizzazione o il tuo progetto.

3. Fai clic su settings Impostazioni.

4. Fai clic sulla scheda Servizi integrati.

5. Accanto all'origine integrata che vuoi attivare, fai clic sull'elenco Stato e seleziona Abilita.

I risultati per le origini integrate selezionate vengono visualizzati nella pagina Risultati della dashboard di Security Command Center.

Modifica degli account di servizio del fornitore

Puoi cambiare l'account di servizio utilizzato per un servizio di sicurezza di terze parti, ad esempio per risolvere la perdita o la rotazione degli account di servizio. Per cambiare l'account di servizio per un servizio di sicurezza, devi aggiornarlo nella dashboard di Security Command Center. Successivamente, segui le istruzioni del fornitore di servizi per aggiornare l'account di servizio.

La seguente procedura non si applica alle attivazioni a livello di progetto di Security Command Center, che non supporta i servizi integrati di terze parti.

1. Nella console Google Cloud, vai alla pagina Security Command Center.

   Vai a Security Command Center

2. Seleziona la tua organizzazione o il tuo progetto.

3. Fai clic su settings Impostazioni.

4. Fai clic sulla scheda Servizi integrati.

5. Nell'elenco a discesa accanto al servizio integrato:

   1. Seleziona Disattivato per disattivare temporaneamente il servizio integrato.
   2. Quindi, seleziona Gestisci account di servizio.

6. Nel riquadro Modifica [nome del provider] visualizzato, inserisci il nuovo account di servizio e fai clic su Invia.

7. Nell'elenco a discesa accanto al servizio integrato, seleziona Abilitato per abilitare il servizio di sicurezza.

Se configurato correttamente, l'account di servizio per il servizio integrato viene aggiornato in Security Command Center. Segui le istruzioni del fornitore di servizi per aggiornare i dati dell'account di servizio per il suo servizio.

Esportazione di Cloud Logging

Nella scheda Esportazioni continue, puoi configurare il logging per i risultati di Event Threat Detection e Container Threat Detection. I risultati vengono esportati nel progetto Cloud Logging selezionato.

A seconda della quantità di informazioni, i costi di Cloud Logging possono essere significativi. Per comprendere l'utilizzo del servizio e il relativo costo, consulta Ottimizzazione dei costi per l'osservabilità di Google Cloud.

Per registrare i risultati:

1. Nella console Google Cloud, vai alla pagina Security Command Center.

   Vai a Security Command Center

2. Seleziona la tua organizzazione o il tuo progetto.

3. Fai clic su settings Impostazioni.

4. Fai clic sulla scheda Esportazioni continue.

5. In Nome esportazione, fai clic su Esportazione in Logging.

6. In Sink, attiva Registra i risultati in Logging.

7. In Progetto Logging, inserisci o cerca il progetto in cui vuoi registrare i risultati.

8. Fai clic su Salva.

Quando Event Threat Detection e Container Threat Detection scrivono i log, ogni voce di log include il tipo di risorsa threat_detector e contiene le stesse informazioni dei risultati. Per istruzioni sull'esame dei log, consulta Utilizzo di Event Threat Detection e Utilizzo di Container Threat Detection.

Specifica le risorse di alto valore

Security Command Center calcola i punteggi di esposizione agli attacchi e illustra i potenziali percorsi di attacco relativi a risultati relativi a vulnerabilità e configurazione errata che espongono risorse che definisci come di alto valore.

Per ottenere punteggi di esposizione agli attacchi e percorsi di attacco che riflettano in modo accurato le risorse di valore davvero elevato, devi creare configurazioni del valore delle risorse.

La raccolta di configurazioni dei valori delle risorse che crei definisce il set di risorse di alto valore.

Finché non crei il tuo set di risorse di alto valore, Security Command Center utilizza un set predefinito di risorse di alto valore che si applica in generale a tutti i tipi di risorse supportati dai punteggi di esposizione agli attacchi.

Per ulteriori informazioni, consulta le seguenti risorse:

• Definisci e gestisci il tuo set di risorse di alto valore
• Panoramica dei punteggi di esposizione agli attacchi

Regole di disattivazione

Nella scheda Regole di disattivazione sono elencate tutte le regole di disattivazione impostate nell'organizzazione, nelle cartelle e nei progetti. In questa scheda puoi creare una regola di disattivazione o gestire quelle esistenti.

Le regole di disattivazione eliminano automaticamente i risultati futuri in base ai filtri che hai definito. Per ulteriori informazioni sulla disattivazione dei risultati e sull'utilizzo delle regole di disattivazione, consulta Disattivare i risultati in Security Command Center.

Ruoli

I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, cartella o progetto. La possibilità di visualizzare, modificare, creare o aggiornare risultati, asset e origini di sicurezza dipende dal livello per cui ti viene concesso l'accesso. Per saperne di più sui ruoli di Security Command Center, consulta Controllo dell'accesso.

Per informazioni su come concedere, modificare e revocare i ruoli IAM, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Passaggi successivi

• Scopri i servizi di sicurezza di Google Cloud e come visualizzare le vulnerabilità e le minacce che emergono.

• Scopri come ottimizzare Security Command Center.