Configura los servicios de Security Command Center

Existen dos tipos de servicios que se ejecutan en Security Command Center: los servicios integrados y los servicios asociados. Los servicios integrados forman parte de Security Command Center. Los servicios integrados son servicios de Google Cloud o de terceros que proporcionan resultados a Security Command Center.

En esta página, se describe cómo configurar servicios integrados y servicios integrados.

Habilita o inhabilita un servicio integrado

Los siguientes servicios integrados son parte de Security Command Center:

• Container Threat Detection
• Event Threat Detection
• Security Health Analytics
• Postura de seguridad
• Servicio de acciones sensibles
• Virtual Machine Threat Detection
• Evaluación de vulnerabilidades para Amazon Web Services (AWS)
• Web Security Scanner

Algunos servicios integrados solo están disponibles con el nivel Premium de Security Command Center o Niveles empresariales. Más información sobre los niveles de Security Command Center

No puedes habilitar o inhabilitar el servicio de postura de seguridad. Está disponible de forma predeterminada cuando activas el nivel de Security Command Center Enterprise.

La mayoría de los servicios integrados se pueden habilitar para toda tu organización o solo para carpetas o proyectos seleccionados. De forma predeterminada, las carpetas y los proyectos heredan la configuración de activación del servicio de su organización o carpeta superior.

El servicio de evaluación de vulnerabilidades para AWS solo se puede habilitar para una organización de Google Cloud y requiere que establezcas una conexión entre Security Command Center y AWS.

El servicio Container Threat Detection solo se puede habilitar para los clústeres. Si deseas obtener información sobre los permisos necesarios para la Detección de amenazas de contenedores, consulta Permisos de IAM obligatorios.

Para habilitar o inhabilitar un servicio de Security Command Center para un recurso, haz lo siguiente: lo siguiente:

1. En la consola de Google Cloud, ve a la página Findings (Resultados) de Security Command Center.

   Ir a Security Command Center

2. Selecciona la organización, la carpeta o el proyecto para el que necesitas administrar los servicios.

3. Haz clic en Configuración de settings.

4. En el servicio que deseas modificar, haz clic en Administrar configuración.

5. En la pestaña Habilitación de servicios, en la vista jerárquica de los recursos, selecciona la organización, la carpeta, el proyecto o el contenedor habilitar el servicio. Si habilitas el servicio de Evaluación de vulnerabilidades para AWS, selecciona Habilitar.

6. Para ese recurso, configura el servicio en Habilitar, Inhabilitar o Heredar.

Algunos servicios, como las estadísticas del estado de seguridad, operan con análisis por lotes. Cuando inhabilitas un servicio de este tipo, es posible que el cambio no se refleje de inmediato. El cambio se aplica después de que se completen todos los análisis por lotes en curso. Esto puede provocar una situación en la que se detecten vulnerabilidades nuevas durante un período breve después de inhabilitar el servicio.

Ver y editar los detectores de un servicio

Para algunos servicios (por ejemplo, Security Health Analytics), puedes habilitar o inhabilitar ciertos detectores, también conocidos como módulos. Para configurar los detectores de un servicio y ver sus estados actuales, haz lo siguiente:

1. En la consola de Google Cloud, ve a la página Findings (Resultados) de Security Command Center.

   Ir a Security Command Center

2. Selecciona la organización, la carpeta o el proyecto para el que necesitas administrar los servicios.

3. Haz clic en Configuración de settings.

4. En el servicio que deseas ver, haz clic en Administrar configuración.

5. Haz clic en la pestaña Módulos. Se muestran los detectores del servicio, junto con sus respectivos estados.

6. Busca el detector que quieres modificar y establece su estado como Habilitar o Inhabilitar.

Agrega servicios integrados de Google Cloud a Security Command Center

Puede agregar un servicio integrado a una activación a nivel de la organización de Security Command Center. Las activaciones a nivel del proyecto no admiten servicios integrados de Google Cloud.

Los siguientes son servicios de seguridad de Google Cloud que se integran activaciones a nivel de organización de Security Command Center:

• Software de código abierto garantizado (Assured OSS)
• Mandiant Attack Surface Management
• Detección de anomalías
• Google Cloud Armor
• Recomendador de IAM
• Protección de datos sensibles
• VM Manager (versión preliminar)

Algunos servicios integrados solo están disponibles con el nivel Premium de Security Command Center o Niveles empresariales. Más información sobre los niveles de Security Command Center

Para obtener más información sobre estos servicios, consulta Servicios de detección de vulnerabilidades y amenazas.

1. En la consola de Google Cloud, ve a la página Findings (Resultados) de Security Command Center.

   Ir a Security Command Center

2. Selecciona tu organización o proyecto.

3. Haz clic en settings Configuración.

4. Haz clic en la pestaña Servicios integrados.

5. Junto a la fuente integrada que quieras habilitar, haz clic en la lista Estado y selecciona Habilitar.

Los resultados de los servicios que habilites se muestran en la pestaña Hallazgos en el panel de Security Command Center.

Algunos servicios de seguridad de Google Cloud requieren pasos de integración adicionales que debes completar. Consulta lo siguiente:

• Para configurar la integración de Assured OSS, consulta Integración con Assured OSS.
• Para configurar la integración de la protección de datos sensibles, consulta Integra la protección de datos sensibles.

Para inhabilitar un servicio integrado, junto a su nombre, haz clic en la lista y selecciona Inhabilitar:

Agrega un servicio de seguridad de terceros

Las activaciones de Security Command Center a nivel de organización pueden mostrar los resultados de servicios de seguridad de terceros que se registraron como Cloud Marketplace socios.

Las activaciones a nivel del proyecto de Security Command Center no admiten servicios de terceros.

Para integrar servicios de seguridad que no están registradas como socios de Cloud Marketplace, pídele a los proveedores que completen la guía para la incorporación como socio de Security Command Center.

Para agregar un nuevo servicio de seguridad de terceros a Security Command Center, configura la y, luego, habilitarla en la consola de Google Cloud.

Antes de comenzar

Para agregar un servicio de seguridad para un socio registrado de Cloud Marketplace, necesitas lo siguiente:

• Las siguientes funciones de administración de identidades y accesos (IAM):
  • Administrador del centro de seguridad (roles/securitycenter.admin)
  • Administrador de cuenta de servicio (roles/iam.serviceAccountAdmin)
• Un proyecto de Google Cloud que quieras usar para el servicio de seguridad.

Configura un servicio de seguridad

A fin de configurar un servicio de seguridad de terceros, necesitas una cuenta de servicio para ese servicio. Cuando agregas el servicio de seguridad nuevo, puedes elegir entre las siguientes opciones de cuenta de servicio:

• Crea una cuenta de servicio.
• Usa tu propia cuenta de servicio existente.
• Usa una cuenta de servicio del proveedor de origen.

Para configurar un nuevo servicio de seguridad que ya está registrado como Socio de Cloud Marketplace, completa lo siguiente:

1. Ve a la página de Marketplace de Servicios de Security Command Center en la consola de Google Cloud.

   Ir a Marketplace

2. En la página Marketplace, se muestran los servicios de seguridad que están asociadas directamente con Security Command Center.

   • Si no ves la fuente de seguridad que deseas agregar, busca Seguridad y selecciona el proveedor de fuentes de seguridad.
   • Si el proveedor de servicio de seguridad no está registrado en Cloud Marketplace, pídele que complete la guía para la incorporación como socio de Security Command Center.

3. En la página del proveedor de servicios de seguridad en Cloud Marketplace, sigue las instrucciones de configuración del proveedor que se encuentran en la descripción general.

Cuando se configura correctamente, el servicio de seguridad que agregaste está disponible en el Security Command Center.

Después de configurar un nuevo servicio de seguridad, debes habilitarlo Consola de Google Cloud

Habilita el servicio de seguridad

Los servicios de seguridad de terceros usan cuentas de servicio que pueden estar fuera de la organización.

1. En la consola de Google Cloud, ve a la página Findings (Resultados) de Security Command Center.

   Ir a Security Command Center

2. Selecciona tu organización o proyecto.

3. Haz clic en settings Configuración.

4. Haz clic en la pestaña Servicios integrados.

5. Junto a la fuente integrada que quieras habilitar, haz clic en la lista Estado y selecciona Habilitar.

Los resultados de los servicios que habilites se mostrarán en la página Resultados en el panel de Security Command Center.

Cambia la cuenta de servicio de un servicio de seguridad

Puedes cambiar la cuenta de servicio que se usa para un servicio de seguridad de terceros, por ejemplo, a fin de abordar la filtración o rotación de la cuenta de servicio. Cómo cambiar el servicio para un servicio de seguridad, debes actualizarlo en la consola de Google Cloud la consola de Cloud. Luego, sigue las instrucciones del proveedor de servicios para actualizar la cuenta de servicio para su servicio.

1. En la consola de Google Cloud, ve a la página Findings (Resultados) de Security Command Center.

   Ir a Security Command Center

2. Selecciona tu organización o proyecto.

3. Haz clic en settings Configuración.

4. Haz clic en la pestaña Servicios integrados.

5. En la lista desplegable junto al servicio integrado:

   1. Selecciona Inhabilitado para inhabilitar de forma temporal el servicio integrado.
   2. Selecciona Administrar la cuenta de servicio.

6. En el panel Editar [nombre del proveedor] que aparece, ingresa la cuenta de servicio nueva y, luego, haz clic en Enviar.

7. En la lista desplegable junto al servicio integrado, selecciona Habilitado para habilitar el servicio de seguridad.

Cuando se configura correctamente, la cuenta de servicio para el servicio integrado se actualiza en Security Command Center. Sigue las instrucciones del proveedor de origen a fin de actualizar la información de la cuenta de servicio para su servicio.

¿Qué sigue?

• Obtén información sobre los servicios de seguridad de Google Cloud y cómo ver las vulnerabilidades y amenazas que muestran.
• Obtén información para optimizar Security Command Center.
• Exporta los registros a Cloud Logging.
• Configura las puntuaciones de exposición a ataques para para evaluar el riesgo.