Como configurar o Security Command Center

Configure o Security Command Center: adicione serviços de segurança, gerencie quais serviços se aplicam a quais recursos e configure a geração de registros para o Event Threat Detection e o Container Threat Detection.

Para configurar o Security Command Center, acesse a página Configurações do Security Command Center no console do Google Cloud e clique na guia da configuração que você quer alterar.

Níveis de ativação

É possível ativar o Security Command Center em um destes dois níveis: no nível da organização para uma organização ou no nível do projeto para um projeto individual.

O nível de ativação afeta os tipos de serviços que podem ser configurados. Se o Security Command Center estiver ativado no nível do projeto, serviços nativos não são compatíveis. Só é possível configurar os serviços nativos do Security Command Center.

Os serviços nativos e integrados são explicados na seção a seguir.

Para mais informações sobre os níveis de ativação, consulte a Visão geral da ativação do Security Command Center.

Serviços

Dois tipos de serviços são executados no Security Command Center: serviços integrados e serviços integrados. Os serviços integrados fazem parte do Security Command Center. Os serviços integrados são serviços do Google Cloud ou de terceiros que fornecem descobertas ao Security Command Center.

Para adicionar um novo serviço integrado a uma ativação do Security Command Center no nível da organização, conclua o guia de integração e o ative como um serviço de segurança no painel do Security Command Center. Esse recurso permite ter uma visão completa dos riscos, vulnerabilidades e ameaças de segurança do projeto ou da organização.

Depois de ativar um serviço integrado, é possível configurar quais recursos cada serviço de segurança monitora.

Serviços integrados

Os seguintes serviços integrados fazem parte do Security Command Center:

  • Container Threat Detection
  • Event Threat Detection
  • Detecção rápida de vulnerabilidadesVisualização
  • Serviço da zona de destino seguraVisualização

  • Análise de integridade da segurança

  • Postura de segurança

  • Detecção de ameaças a máquinas virtuais

  • Web Security Scanner

Alguns serviços nativos estão disponíveis apenas no nível Premium do Security Command Center. Saiba mais sobre os níveis do Security Command Center

Ativar ou desativar um serviço integrado

É possível ativar serviços integrados para os seguintes recursos:

  • Uma organização
  • Uma pasta
  • Um projeto
  • Apenas com o Container Threat Detection, um cluster

Por padrão, os recursos herdam as configurações de serviço do recurso pai.

Para ativar ou desativar um serviço do Security Command Center para um recurso, faça o seguinte:

  1. No console do Google Cloud, acesse a página do Security Command Center.

    Acesse Security Command Center

  2. Selecione a organização, a pasta ou o projeto em que você precisa gerenciar serviços.

  3. Clique em Configurações .

  4. No serviço que você quer modificar, clique em Gerenciar configurações.

  5. Na guia Ativação de serviço, encontre o recurso para o qual você precisa ativar o serviço. É possível ativar os serviços integrados para uma organização, uma pasta, um projeto ou, somente com o Container Threat Detection, um cluster.

  6. Para esse recurso, defina o serviço como Ativar, Desativar ou Herdar.

Ver os módulos de um serviço

Para alguns serviços, você pode ativar ou desativar determinados detectores, também conhecidos como módulos. Para ver os módulos de um serviço e os status atuais deles, faça o seguinte:

  1. No console do Google Cloud, acesse a página do Security Command Center.

    Acesse Security Command Center

  2. Selecione a organização, a pasta ou o projeto em que você precisa gerenciar serviços.

  3. Clique em Configurações .

  4. No serviço que você quer modificar, clique em Gerenciar configurações.

  5. Clique na guia Módulos.

    Os módulos do serviço são exibidos com os respectivos status.

Ativar ou desativar um módulo

  1. No console do Google Cloud, acesse a página do Security Command Center.

    Acesse Security Command Center

  2. Selecione a organização, a pasta ou o projeto em que você precisa gerenciar serviços.

  3. Clique em Configurações .

  4. No serviço que você quer modificar, clique em Gerenciar configurações.

  5. Clique na guia Módulos.

    Os módulos do serviço são exibidos com os respectivos status.

  6. Encontre o detector que você quer modificar e defina o status dele como Ativar ou Desativar.

Adicionar serviços ao Security Command Center

Quando o Security Command Center é ativado no nível da organização, é possível adicionar serviços integrados do Google Cloud ou serviços de segurança de terceiros ao Security Command Center.

Adicionar um serviço integrado do Google Cloud

É possível adicionar determinados serviços integrados do Google Cloud ao Security Command Center.

As ativações no nível do projeto não são compatíveis com os serviços integrados do Google Cloud.

Na página Configurações, clique na guia Serviços integrados para ver os serviços disponíveis. Veja a seguir os serviços de segurança do Google Cloud que se integram às ativações do Security Command Center no nível da organização:

  • Detecção de anomalias
  • Google Cloud Armor
  • Proteção de dados confidenciais
  • Forseti Security

Para mais informações sobre estes serviços, consulte Serviços de segurança para vulnerabilidades e ameaças.

As descobertas dos serviços de segurança do Google Cloud ficam disponíveis depois que você conclui os guias de integração.

  • Para adicionar um novo serviço, clique em Adicionar mais serviços. A página "Serviços" do Security Command Center no Google Cloud Marketplace é exibida. Clique no serviço do seu interesse e siga as instruções do provedor para adicioná-lo como um serviço integrado.
  • Para ver as descobertas de serviços de segurança, ative o serviço clicando no botão ao lado do nome do serviço. Para limitar um serviço a determinadas pastas, projetos ou clusters na sua organização, use o menu Configurações avançadas descrito mais adiante nesta página.

As fontes integradas usam contas de serviço que podem estar fora da organização. Por exemplo, as origens de segurança do Google Cloud usam uma conta de serviço em security-center-fpr.iam.gserviceaccount.com.

Caso as políticas da organização estejam definidas como restringir identidades por domínio, é preciso adicionar a conta de serviço do Security Command Center a uma identidade de um grupo que esteja em um domínio permitido. Os nomes de conta de serviço do Security Command Center no nível da organização têm o seguinte formato:

service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com

ORGANIZATION_NUMBER é o ID numérico da organização.

Na guia Serviços integrados, você adiciona novas fontes ou ativa e desativa as atuais:

  1. No console do Google Cloud, acesse a página do Security Command Center.

    Acesse Security Command Center

  2. Selecione a organização ou o projeto.

  3. Clique em Configurações .

  4. Clique na guia Serviços integrados.

  5. Ao lado da fonte integrada que você quer ativar, clique na lista Status e selecione Ativar.

As descobertas das fontes integradas selecionadas são exibidas na página Descobertas no painel do Security Command Center.

Para desativar um serviço integrado, ao lado do nome, clique na lista suspensa e selecione Desativar por padrão.

Relatórios de vulnerabilidade do VM Manager

O VM Manager é um conjunto de ferramentas que podem ser usadas para gerenciar sistemas operacionais para grandes frotas de máquinas virtuais (VMs) que executam o Windows e o Linux no Compute Engine.

As ativações no nível do projeto não são compatíveis com o VM Manager.

Se você ativar o VM Manager com o nível Premium do Security Command Center, ele gravará as descobertas de high e critical dos relatórios de vulnerabilidade no Security Command Center por padrão. Os relatórios identificam vulnerabilidades nos sistemas operacionais instalados nas VMs do Compute Engine.

Para mais informações, consulte VM Manager.

Como adicionar um serviço de segurança de terceiros

As ativações do Security Command Center no nível da organização podem exibir descobertas de serviços de segurança de terceiros que foram registrados como parceiros do Cloud Marketplace.

As ativações do Security Command Center no nível do projeto não são compatíveis com serviços de terceiros.

Os serviços de segurança de terceiros registrados como parceiros do Cloud Marketplace são:

  • Acalvio
  • Capsule8
  • Cavirin
  • Chef
  • Check Point CloudGuard Dome9
  • CloudQuest
  • McAfee
  • Qualys
  • Reblaze
  • Prisma Cloud de Palo Alto Networks
  • StackRox
  • Tenable.io

Para integrar serviços de segurança que não estejam registrados como parceiros do Google Cloud Marketplace, peça aos provedores para concluir o guia de Integração como um parceiro do Security Command Center.

Para adicionar um novo serviço de segurança de terceiros ao Security Command Center, configure esse serviço e ative-o no painel do Security Command Center.

Antes de começar

Para adicionar um serviço de segurança de um parceiro registrado do Cloud Marketplace, você precisa ter:

  • Os seguintes papéis do Identity and Access Management (IAM):
    • Administrador da Central de segurança - roles/securitycenter.admin
    • Administrador de contas de serviço - roles/iam.serviceAccountAdmin
  • Um projeto do Google Cloud que você queira usar no serviço de segurança.

Etapa 1: como configurar uma fonte de segurança

Para configurar um serviço de segurança de terceiros, você precisa de uma conta de serviço para esse serviço. Ao adicionar um novo serviço de segurança, escolha uma das seguintes opções de conta de serviço:

  • Crie uma conta de serviço.
  • Use sua própria conta de serviço atual.
  • Use uma conta de serviço do provedor de serviços.

Para configurar um novo serviço de segurança já registrado como um parceiro do Cloud Marketplace, siga as etapas abaixo:

  1. Acesse a página Marketplace dos serviços do Security Command Center no console do Google Cloud.

    Acessar o Marketplace

  2. A página do Marketplace exibe serviços de segurança associados diretamente ao Security Command Center.

    • Se você não encontrar o serviço de segurança que quer adicionar, pesquise Segurança e selecione o provedor de serviços de segurança.
    • Se o provedor de serviços de segurança não estiver registrado no Cloud Marketplace, peça ao provedor para concluir o guia Como fazer integração como um parceiro do Security Command Center.
  3. Na página do provedor de serviços de segurança no Cloud Marketplace, siga todas as instruções de configuração de provedores na Visão geral.

  4. Depois de concluir o processo de configuração do provedor, clique em Visitar o site do [nome do provedor] para se inscrever na página do Marketplace do provedor.

  5. Na página Security Command Center do console do Google Cloud que aparecerá, selecione a organização em que você quer usar o serviço de segurança.

  6. Na página Criar conta de serviço e ativar eventos do [nome do provedor], aceite a conta de serviço do provedor, se disponível, ou crie ou selecione sua própria conta de serviço. para usar:

    • Para criar uma conta de serviço:
      1. Selecione Criar uma nova conta de serviço.
      2. Ao lado de Projeto, clique em Alterar e selecione o projeto que você quer usar neste serviço de segurança.
      3. Adicione um nome de conta de serviço e um ID de conta de serviço.
    • Para usar uma conta de serviço atual, faça o seguinte:
      1. Selecione Usar uma conta de serviço atual e selecione a conta de serviço que você quer usar na lista suspensa Nome da conta de serviço.
    • Se o provedor de serviços de segurança gerenciar a conta de serviço, insira o ID da conta de serviço fornecido.
  7. Quando terminar de adicionar informações da conta de serviço, clique em Enviar ou Aceitar.

  8. Na página Conectar fonte, clique no link em Etapas de instalação para ver informações sobre como concluir a instalação.

  9. Quando terminar, clique em Concluído.

Quando configurado corretamente, o serviço de segurança que você adicionou fica disponível no Security Command Center.

Etapa 2: como ativar o serviço de segurança

Depois de configurar um novo serviço de segurança, ative-o no painel do Security Command Center.

As fontes integradas usam contas de serviço que podem estar fora da organização. Por exemplo, as origens de segurança do Google Cloud usam uma conta de serviço em security-center-fpr.iam.gserviceaccount.com.

Caso as políticas da organização estejam definidas como restringir identidades por domínio, é preciso adicionar a conta de serviço do Security Command Center a uma identidade de um grupo que esteja em um domínio permitido. Os nomes de conta de serviço do Security Command Center no nível da organização têm o seguinte formato:

service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com

ORGANIZATION_NUMBER é o ID numérico da organização.

Na guia Serviços integrados, você adiciona novas fontes ou ativa e desativa as atuais:

  1. No console do Google Cloud, acesse a página do Security Command Center.

    Acesse Security Command Center

  2. Selecione a organização ou o projeto.

  3. Clique em Configurações .

  4. Clique na guia Serviços integrados.

  5. Ao lado da fonte integrada que você quer ativar, clique na lista Status e selecione Ativar.

As descobertas das fontes integradas selecionadas são exibidas na página Descobertas no painel do Security Command Center.

Como alterar as contas de serviço do provedor

É possível alterar a conta de serviço usada em um serviço de segurança de terceiros para, por exemplo, resolver o vazamento ou a rotação da conta de serviço. Para alterar a conta de serviço de um serviço de segurança, atualize-a no painel do Security Command Center. Depois, siga as instruções do provedor de serviços para atualizar a conta de serviço para ele.

O procedimento a seguir não se aplica às ativações do Security Command Center no nível do projeto, que não compatíveis com serviços integrados de terceiros.

  1. No console do Google Cloud, acesse a página do Security Command Center.

    Acesse Security Command Center

  2. Selecione a organização ou o projeto.

  3. Clique em Configurações .

  4. Clique na guia Serviços integrados.

  5. Na lista suspensa ao lado do serviço integrado:

    1. Selecione Desativado para desativar temporariamente o serviço integrado.
    2. Em seguida, selecione Gerenciar conta de serviço.
  6. No painel Editar [nome do provedor] que aparece, insira a nova conta de serviço e clique em Enviar.

  7. Na lista suspensa ao lado do serviço integrado, selecione Ativado para ativar o serviço de segurança.

Quando configurada corretamente, a conta de serviço do serviço integrado é atualizada no Security Command Center. Siga as instruções do provedor de serviços para atualizar as informações da conta de serviço.

Exportação do Cloud Logging

Na guia Exportações contínuas, você configura a geração de registros para as descobertas do Event Threat Detection e do Container Threat Detection. As descobertas são exportadas para o projeto do Cloud Logging que você selecionou.

Dependendo da quantidade de informações, os custos do Cloud Logging podem ser significativos. Para entender o uso do serviço e os custos dele, consulte Otimização de custos para observabilidade do Google Cloud.

Para registrar descobertas, faça o seguinte:

  1. No console do Google Cloud, acesse a página do Security Command Center.

    Acesse Security Command Center

  2. Selecione a organização ou o projeto.

  3. Clique em Configurações .

  4. Clique na guia Exportações contínuas.

  5. Em Nome da exportação, clique em Exportação do Logging.

  6. Em Coletores, ative a opção Registrar descobertas no Logging.

  7. Em Projeto do Logging, insira ou pesquise o projeto em que você quer registrar as descobertas.

  8. Clique em Salvar.

Quando o Event Threat Detection e o Container Threat Detection gravam registros, cada entrada de registro inclui o tipo de recurso threat_detector e contém as mesmas informações. Para instruções sobre como analisar registros, consulte Como usar o Event Threat Detection e Como usar o Container Threat Detection.

Especifique seus recursos de alto valor

O Security Command Center calcula as pontuações de exposição a ataques e ilustra possíveis caminhos de ataque para descobertas de vulnerabilidade e configurações incorretas que expõem recursos definidos como alto valor.

Para receber pontuações de exposição a ataques e caminhos de ataque que refletem com precisão quais dos seus recursos têm alto valor real, é necessário criar configurações de valor do recurso.

A coleção de configurações de valores de recursos que você cria define seu conjunto de recursos de alto valor.

Até que você crie seu próprio conjunto de recursos de alto valor, o Security Command Center usa um conjunto de recursos padrão de alto valor que se aplica geralmente a todos os tipos de recursos compatíveis com as pontuações de exposição.

Para ver mais informações, consulte os seguintes tópicos:

Regras de silenciamento

A guia Regras de silenciamento lista todas as regras desse tipo definidas na sua organização, incluindo as pastas e projetos. Nessa guia, é possível criar uma regra de silenciamento ou gerenciar as atuais.

Essas regras suprimem automaticamente as descobertas futuras com base em filtros definidos por você. Para mais informações sobre como silenciar descobertas e trabalhar com regras de silenciamento, consulte Silenciar descobertas no Security Command Center.

Papéis

Os papéis do IAM para o Security Command Center podem ser concedidos no nível da organização, da pasta ou do projeto. A capacidade de ver, editar, criar ou atualizar descobertas, recursos e fontes de segurança depende do nível a que você tem acesso. Para saber mais sobre os papéis do Security Command Center, consulte Controle de acesso.

Para informações sobre como conceder, mudar e revogar papéis do IAM, consulte Gerenciar o acesso a projetos, pastas e organizações.

A seguir