Configurar Security Command Center

Configura Security Command Center, lo que incluye agregar servicios de seguridad, administrar qué servicios se aplican a qué recursos y configurar el registro para Event Threat Detection y Container Threat Detection.

Para configurar Security Command Center, ve a la página de Configuración de Security Command Center en la consola de Google Cloud y haz clic en la pestaña de la configuración que deseas cambiar.

Niveles de activación

Puedes activar Security Command Center en uno de dos niveles: a nivel de la organización para una organización o a nivel de proyecto para un proyecto individual.

El nivel de activación afecta los tipos de servicios que puedes configurar. Si Security Command Center se activa a nivel de proyecto, los servicios integrados no son compatibles. Solo puedes configurar los servicios integrados de Security Command Center.

Los servicios integrados y integrados se explican en la siguiente sección.

Para obtener más información sobre los niveles de activación, consulta Descripción general de la activación de Security Command Center.

Servicios

Existen dos tipos de servicios que se ejecutan en Security Command Center: los servicios integrados y los servicios asociados. Los servicios integrados son parte de Security Command Center. Los servicios integrados son servicios de Google Cloud o de terceros que proporcionan resultados a Security Command Center.

Para agregar un servicio integrado nuevo a una activación a nivel de la organización de Security Command Center, completa su guía de integración y, luego, habilítalo como un servicio de seguridad en el panel de Security Command Center. Esta función te permite tener una vista completa de los riesgos de seguridad, las vulnerabilidades y las amenazas en tu organización o proyecto.

Después de habilitar un servicio integrado, puedes configurar qué recursos supervisa cada servicio de seguridad.

Servicios integrados

Los siguientes servicios integrados son parte de Security Command Center:

  • Container Threat Detection
  • Event Threat Detection
  • Detección rápida de vulnerabilidadesVersión preliminar
  • Servicio de Secured Landing ZoneVista previa

  • Security Health Analytics

  • Postura de seguridad

  • Virtual Machine Threat Detection

  • Web Security Scanner

Algunos servicios integrados solo están disponibles con el nivel Premium de Security Command Center. Más información sobre los niveles de Security Command Center

Habilita o inhabilita un servicio integrado

Puedes habilitar servicios integrados para los siguientes recursos:

  • Una organización
  • Una carpeta
  • Un proyecto
  • Solo con Container Threat Detection, un clúster

De forma predeterminada, los recursos heredan la configuración del servicio de su recurso superior.

Para habilitar o inhabilitar un servicio de Security Command Center para un recurso, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Findings (Resultados) de Security Command Center.

    Ir a Security Command Center

  2. Selecciona la organización, la carpeta o el proyecto para el que necesitas administrar los servicios.

  3. Haz clic en Configuración.

  4. En el servicio que deseas modificar, haz clic en Administrar configuración.

  5. En la pestaña Habilitación de servicios, busca el recurso para el que necesitas habilitar el servicio. Puedes habilitar los servicios integrados para una organización, una carpeta, un proyecto o un clúster (solo con Container Threat Detection).

  6. Para ese recurso, configura el servicio en Habilitar, Inhabilitar o Heredar.

Visualiza los módulos de un servicio

En algunos servicios, puedes habilitar o inhabilitar ciertos detectores, también conocidos como módulos. Para ver los módulos de un servicio y sus estados actuales, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Findings (Resultados) de Security Command Center.

    Ir a Security Command Center

  2. Selecciona la organización, la carpeta o el proyecto para el que necesitas administrar los servicios.

  3. Haz clic en Configuración.

  4. En el servicio que quieres ver, haz clic en Administrar configuración.

  5. Haz clic en la pestaña Módulos.

    Se muestran los módulos del servicio junto con sus respectivos estados.

Cómo habilitar o inhabilitar un módulo

  1. En la consola de Google Cloud, ve a la página Findings (Resultados) de Security Command Center.

    Ir a Security Command Center

  2. Selecciona la organización, la carpeta o el proyecto para el que necesitas administrar los servicios.

  3. Haz clic en Configuración.

  4. En el servicio que quieres ver, haz clic en Administrar configuración.

  5. Haz clic en la pestaña Módulos.

    Se muestran los módulos del servicio junto con sus respectivos estados.

  6. Busca el detector que deseas modificar y establece su estado en Habilitar o Inhabilitar.

Agrega servicios a Security Command Center

Cuando se activa Security Command Center a nivel de la organización, puedes agregar servicios integrados de Google Cloud o servicios de seguridad de terceros a Security Command Center.

Agrega un servicio integrado de Google Cloud

Puedes agregar a ciertos servicios integrados de Google Cloud a Security Command Center.

Las activaciones a nivel de proyecto no admiten los servicios integrados de Google Cloud.

En la página Configuración, haz clic en la pestaña Servicios integrados para ver los servicios disponibles. Los siguientes son servicios de seguridad de Google Cloud que se integran en activaciones de Security Command Center a nivel de la organización:

  • Detección de anomalías
  • Google Cloud Armor
  • Sensitive Data Protection
  • Forseti Security

Si deseas obtener más información sobre estos servicios, consulta Fuentes de seguridad para vulnerabilidades y amenazas.

Los resultados de los servicios de seguridad de Google Cloud están disponibles después de que completes sus guías de integración.

  •  Para agregar un servicio nuevo, haz clic en Agregar más servicios. Se muestra la página Servicios de Security Command Center en Google Cloud Marketplace. Haz clic en el servicio que te interesa y sigue las instrucciones del proveedor para agregarlo como un servicio integrado.
  • A fin de ver los resultados de los servicios de seguridad, haz clic en el botón de activar o desactivar junto al nombre del servicio para habilitar el servicio. Para limitar un servicio a determinadas carpetas, proyectos o clústeres de tu organización, usa el menú Configuración avanzada que se describe más adelante en esta página.

Las fuentes integradas usan cuentas de servicio que pueden estar fuera de la organización. Por ejemplo, las fuentes de seguridad de Google Cloud usan una cuenta de servicio en security-center-fpr.iam.gserviceaccount.com.

Si las políticas de tu organización están configuradas para restringir identidades por dominio, debes agregar la cuenta de servicio de Security Command Center a una identidad en un grupo que esté dentro de un dominio permitido. Los nombres de las cuentas de servicio de Security Command Center a nivel de la organización tienen el siguiente formato:

service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com

ORGANIZATION_NUMBER es el ID numérico de tu organización.

En la pestaña Servicios integrados, agrega fuentes nuevas o habilita e inhabilita las existentes:

  1. En la consola de Google Cloud, ve a la página Findings (Resultados) de Security Command Center.

    Ir a Security Command Center

  2. Selecciona tu organización o proyecto.

  3. Haz clic en Configuración.

  4. Haz clic en la pestaña Servicios integrados.

  5. Junto a la fuente integrada que deseas habilitar, haz clic en la lista de Estado y selecciona Habilitar.

Los resultados de las fuentes integradas que seleccionas se muestran en la página Resultadosen el panel de Security Command Center.

Para inhabilitar un servicio integrado, junto a su nombre, haz clic en la lista desplegable y selecciona Inhabilitar de forma predeterminada.

Informes de vulnerabilidad de VM Manager

VM Manager es un conjunto de herramientas que se pueden usar en la administración de sistemas operativos para flotas de máquinas virtuales (VM) grandes que ejecutan Windows y Linux en Compute Engine.

Las activaciones a nivel de proyecto no son compatibles con VM Manager.

Si habilitas VM Manager con el nivel Premium de Security Command Center, VM Manager escribe los resultados de high y critical de sus informes de vulnerabilidades en Security Command Center de forma predeterminada. Los informes identifican vulnerabilidades en los sistemas operativos que se instalan en las VM de Compute Engine.

Para obtener más información, consulta VM Manager.

Agrega un servicio de seguridad de terceros

Las activaciones a nivel de la organización de Security Command Center pueden mostrar resultados de servicios de seguridad de terceros que se registraron como socios de Cloud Marketplace.

Las activaciones a nivel de proyecto de Security Command Center no admiten servicios de terceros.

Los servicios de seguridad de terceros que están registrados como socios de Cloud Marketplace incluyen los siguientes:

  • Acalvio
  • Capsule8
  • Cavirin
  • Chef
  • Check Point CloudGuard Dome9
  • CloudQuest
  • McAfee
  • Qualys
  • Reblaze
  • Prisma Cloud de Palo Alto Networks
  • StackRox
  • Tenable.io

Para integrar servicios de seguridad que no están registradas como socios de Cloud Marketplace, pídele a los proveedores que completen la guía para la incorporación como socio de Security Command Center.

Para agregar un servicio de seguridad de terceros nueva al Security Command Center, configura la fuente de seguridad y, luego, actívala en el panel de Security Command Center.

Antes de comenzar

Con el fin de agregar un servicio de seguridad para un socio registrado de Cloud Marketplace, necesitas lo siguiente:

  • Las siguientes funciones de Identity and Access Management (IAM):
    • Administrador del centro de seguridad: roles/securitycenter.admin
    • Administrador de cuenta de servicio: roles/iam.serviceAccountAdmin
  • Un proyecto de Google Cloud que desees usar para el servicio de seguridad.

Paso 1: Configura un servicio de seguridad

A fin de configurar un servicio de seguridad de terceros, necesitas una cuenta de servicio para ese servicio. Cuando agregas el servicio de seguridad nuevo, puedes elegir entre las siguientes opciones de cuenta de servicio:

  • Crea una cuenta de servicio.
  • Usa tu propia cuenta de servicio existente.
  • Usa una cuenta de servicio del proveedor de origen.

Para configurar un servicio de seguridad nuevo que ya esté registrado como socio de Cloud Marketplace, sigue estos pasos:

  1. Ve a la página de Marketplace de Servicios de Security Command Center en la consola de Google Cloud.

    Ir a Marketplace

  2. En la página Marketplace, se muestran los servicios de seguridad que están asociadas directamente con Security Command Center.

    • Si no ves la fuente de seguridad que deseas agregar, busca Seguridad y selecciona el proveedor de fuentes de seguridad.
    • Si el proveedor de servicio de seguridad no está registrado en Cloud Marketplace, pídele que complete la guía para la incorporación como socio de Security Command Center.
  3. En la página del proveedor de servicios de seguridad en Cloud Marketplace, sigue las instrucciones de configuración del proveedor que se encuentran en la descripción general.

  4. Después de completar el proceso de configuración del proveedor, haz clic en Visitar [nombre del proveedor] sitio para registrarse en la página Marketplace del proveedor.

  5. En la página Security Command Center de la consola de Google Cloud que aparece, selecciona la organización en la que deseas usar el servicio de seguridad.

  6. En la página Crear cuenta de servicio y habilitar los eventos de seguridad de [nombre del proveedor] que aparece, acepta la cuenta de servicio del proveedor, si está disponible, o crea o selecciona tu propia cuenta de servicio que desees usar:

    • Para crear una cuenta de servicio, sigue estos pasos:
      1. Selecciona Crea una cuenta de servicio nueva.
      2. Junto a Proyecto, haz clic en Cambiar a fin de seleccionar el proyecto que deseas usar para esta fuente de seguridad.
      3. Agrega un Nombre de cuenta de servicio y un ID de la cuenta de servicio.
    • Para usar una cuenta de servicio existente, sigue estos pasos:
      1. Selecciona Use an existing service account y, luego, selecciona la cuenta de servicio que deseas usar de la lista desplegable Nombre de la cuenta de servicio.
    • Si el proveedor de la servcios de seguridad administra la cuenta de servicio, ingresa el ID de la cuenta de servicio que proporcionaron.
  7. Cuando termines de agregar información de la cuenta de servicio, haz clic en Enviar o Aceptar.

  8. En la página Conexión de origen que aparece, haz clic en el vínculo de Pasos de instalación para obtener información sobre cómo completar la instalación.

  9. Cuando hayas terminado, haz clic en Listo.

Cuando se configura correctamente, el servicio de seguridad que agregaste está disponible en el Security Command Center.

Paso 2: Habilita el servicio de seguridad

Después de configurar un servicio de seguridad nuevo, debes habilitarlo en el panel de Security Command Center.

Las fuentes integradas usan cuentas de servicio que pueden estar fuera de la organización. Por ejemplo, las fuentes de seguridad de Google Cloud usan una cuenta de servicio en security-center-fpr.iam.gserviceaccount.com.

Si las políticas de tu organización están configuradas para restringir identidades por dominio, debes agregar la cuenta de servicio de Security Command Center a una identidad en un grupo que esté dentro de un dominio permitido. Los nombres de las cuentas de servicio de Security Command Center a nivel de la organización tienen el siguiente formato:

service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com

ORGANIZATION_NUMBER es el ID numérico de tu organización.

En la pestaña Servicios integrados, agrega fuentes nuevas o habilita e inhabilita las existentes:

  1. En la consola de Google Cloud, ve a la página Findings (Resultados) de Security Command Center.

    Ir a Security Command Center

  2. Selecciona tu organización o proyecto.

  3. Haz clic en Configuración.

  4. Haz clic en la pestaña Servicios integrados.

  5. Junto a la fuente integrada que deseas habilitar, haz clic en la lista de Estado y selecciona Habilitar.

Los resultados de las fuentes integradas que seleccionas se muestran en la página Resultadosen el panel de Security Command Center.

Cambia las cuentas de servicio del proveedor

Puedes cambiar la cuenta de servicio que se usa para un servicio de seguridad de terceros, por ejemplo, a fin de abordar la filtración o rotación de la cuenta de servicio. Para cambiar la cuenta de servicio de una servicio de seguridad, debes actualizarla en el panel de Security Command Center. Después, sigue las instrucciones del proveedor de servicios para actualizar la cuenta de servicio de su servicio.

El siguiente procedimiento no se aplica a las activaciones a nivel de proyecto de Security Command Center, que no admite servicios integrados de terceros.

  1. En la consola de Google Cloud, ve a la página Findings (Resultados) de Security Command Center.

    Ir a Security Command Center

  2. Selecciona tu organización o proyecto.

  3. Haz clic en Configuración.

  4. Haz clic en la pestaña Servicios integrados.

  5. En la lista desplegable junto al servicio integrado:

    1. Selecciona Inhabilitado para inhabilitar de forma temporal el servicio integrado.
    2. Luego, selecciona Administrar cuenta de servicio.
  6. En el panel Editar [nombre del proveedor] que aparece, ingresa la cuenta de servicio nueva y, luego, haz clic en Enviar.

  7. En la lista desplegable junto al servicio integrado, selecciona Habilitado para habilitar el servicio de seguridad.

Cuando se configura correctamente, la cuenta de servicio para el servicio integrado se actualiza en Security Command Center. Sigue las instrucciones del proveedor de origen a fin de actualizar la información de la cuenta de servicio para su servicio.

Exportación de Cloud Logging

En la pestaña Exportaciones continuas, configura el registro de los resultados de Event Threat Detection y Container Threat Detection. Los resultados se exportarán al proyecto de Cloud Logging que selecciones.

Según la cantidad de información, los costos de Cloud Logging pueden ser significativos. Para comprender el uso del servicio y su costo, consulta Optimización de costos para la observabilidad de Google Cloud.

Para registrar los resultados, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Findings (Resultados) de Security Command Center.

    Ir a Security Command Center

  2. Selecciona tu organización o proyecto.

  3. Haz clic en Configuración.

  4. Haz clic en la pestaña Exportaciones continuas.

  5. En Nombre de la exportación, haz clic en Exportación de Logging.

  6. En Receptores, activa Registrar resultados en Logging.

  7. En Proyecto de Logging, ingresa o busca el proyecto en el que deseas registrar los resultados.

  8. Haz clic en Guardar.

Cuando Event Threat Detection y Container Threat Detection escriben registros, cada entrada de registro incluye el tipo de recurso threat_detector y contiene la misma información que los resultados. Para obtener instrucciones sobre cómo revisar registros, consulta Usa la detección de eventos de amenazas y Usa la detección de amenazas a contenedores.

Especifica tus recursos de alto valor

Security Command Center calcula las puntuaciones de exposición a ataques y, además, ilustra las posibles rutas de ataque para los hallazgos de vulnerabilidades y parámetros de configuración incorrectos que exponen los recursos que defines como valiosos.

Para obtener puntuaciones de exposición a ataques y rutas de ataque que reflejen con precisión cuáles de tus recursos tienen un valor realmente alto, debes crear configuraciones de valores de recursos.

El conjunto de configuraciones de valor de recursos que creas define tu conjunto de recursos de alto valor.

Hasta que crees tu propio conjunto de recursos de alto valor, Security Command Center usa un conjunto predeterminado de recursos de alto valor que se aplica, en general, a todos los tipos de recursos que admiten las puntuaciones de exposición a ataques.

Para obtener más información, consulta lo siguiente:

Reglas de silencio

La pestaña Silenciar reglas muestra todas las reglas para silenciar que se establecen en la organización, las carpetas y los proyectos. En esta pestaña, puedes crear una regla de silenciación o administrar las existentes.

Las reglas de silencio suprimen de forma automática los resultados futuros según los filtros que definas. Para obtener más información sobre cómo silenciar resultados y trabajar con reglas de silencio, consulta Silencia resultados en Security Command Center.

Roles

Las funciones de IAM para Security Command Center se pueden otorgar a nivel de organización, carpeta o proyecto. Tu capacidad de ver, editar, crear o actualizar los resultados, los elementos y las fuentes de seguridad depende del nivel para el que se te otorgue acceso. Para obtener más información sobre las funciones de Security Command Center, consulta Control de acceso.

Para obtener información sobre cómo otorgar, cambiar y revocar funciones de IAM, consulta la sección sobre cómo administrar el acceso a proyectos, carpetas y organizaciones.

¿Qué sigue?