Configura Security Command Center

En esta página, se muestra cómo configurar Security Command Center para tu organización por primera vez. Si ya configuraste Security Command Center en tu organización, consulta la guía para usar de Security Command Center.

Antes de comenzar

Crea una organización

Security Command Center requiere un recurso de organización asociado a un dominio y, si deseas usar el nivel Premium, una cuenta de facturación. Si no creaste una organización, consulta Crea y administra organizaciones.

Configura los permisos

Para configurar Security Command Center, necesitas las siguientes funciones de administración de identidades y accesos (IAM):

  • Administrador de la organización roles/resourcemanager.organizationAdmin
  • Administrador del centro de seguridad roles/securitycenter.admin
  • Administrador de seguridad roles/iam.securityAdmin
  • Crea cuentas de servicio roles/iam.serviceAccountCreator

Obtén más información sobre las funciones de Security Command Center.

Verifica las políticas de la organización

Si las políticas de tu organización están configuradas para restringir identidades por dominio, haz lo siguiente:

  • Debes acceder a Cloud Console en una cuenta que esté en un dominio permitido.
  • Tus cuentas de servicio deben estar en un dominio permitido o miembros de un grupo dentro de tu dominio. Esto te permite permitir que los servicios de @*.gserviceaccount.com accedan a los recursos cuando el uso compartido restringido del dominio se habilitada.

Configura Security Command Center para tu organización

Si deseas configurar Security Command Center para tu organización, elige el nivel de Security Command Center que quieras y habilita los servicios o las fuentes integradas en las que deseas mostrar los resultados en el panel de Security Command Center. Luego, selecciona los recursos o elementos a fin de supervisar y otorgar permisos para la cuenta de servicio de Security Command Center.

Paso 1: Elige tu nivel

El nivel de Security Command Center que seleccione determina las funciones que tienes disponibles y el costo de utilizar Security Command Center. En la siguiente tabla, se proporciona una descripción general de los servicios integrados de Security Command Center, que están disponibles con los niveles Premium y Estándar:

Detalles del nivel

Funciones del nivel Standard

  • Security Health Analytics: En el nivel Standard, esta función proporciona un análisis de evaluación de vulnerabilidades administrado para Google Cloud, que puede detectar automáticamente las vulnerabilidades de mayor gravedad y las configuraciones incorrectas de tus recursos de Google Cloud. En el nivel Standard, las Estadísticas del estado de la seguridad incluyen los siguientes tipos de resultados:

    • LEGACY_AUTHORIZATION_ENABLED
    • MFA_NOT_ENFORCED
    • NON_ORG_IAM_MEMBER
    • OPEN_CISCOSECURE_WEBSM_PORT
    • OPEN_DIRECTORY_SERVICES_PORT
    • OPEN_FIREWALL
    • OPEN_RDP_PORT
    • OPEN_SSH_PORT
    • OPEN_TELNET_PORT
    • PUBLIC_BUCKET_ACL
    • PUBLIC_COMPUTE_IMAGE
    • PUBLIC_DATASET
    • PUBLIC_IP_ADDRESS
    • PUBLIC_LOG_BUCKET
    • PUBLIC_SQL_INSTANCE
    • SSL_NOT_ENFORCED
    • WEB_UI_ENABLED
  • Análisis personalizados de Web Security Scanner: En el nivel Standard, Web Security Scanner admite análisis personalizados de aplicaciones implementadas con URL públicas y direcciones IP que no están detrás de un firewall. Los análisis se configuran, administran y ejecutan manualmente para todos los proyectos y admiten un subconjunto de categorías en el proyecto OWASP Top Ten.
  • Asistencia para otorgar funciones de Identity and Access Management (IAM) a los usuarios a nivel de organización.
  • Acceso a servicios integrados de Google Cloud, que incluyen lo siguiente:

  • Se integra a Forseti Security, al kit de herramientas de seguridad de código abierto para Google Cloud y a las aplicaciones de administración de eventos e información de seguridad (SIEM) de terceros.

Funciones del nivel Premium

El nivel Premium incluye todas las funciones de nivel Estándar y agrega lo siguiente:

  • Event Threat Detection usa la inteligencia de amenazas, el aprendizaje automático y otros métodos avanzados para supervisar Cloud Logging y Google Workspace de tu organización y detectar las siguientes amenazas:
    • Software malicioso
    • Criptominería
    • Ataques de fuerza bruta a SSH
    • DoS Salientes
    • Otorgamiento anómalo de IAM
    • Robo de datos

    Event Threat Detection también identifica las siguientes amenazas de Google Workspace:

    • Contraseñas filtradas
    • Intentos de violación de las cuentas
    • Cambios en la configuración de la verificación en dos pasos
    • Cambios en la configuración de inicio de sesión único (SSO)
    • Ataques respaldados por el Gobierno
  • Container Threat Detection detecta los siguientes ataques al entorno de ejecución de los contenedores:
    • Se ejecutó el objeto binario añadido
    • Se cargó la biblioteca agregada
    • Secuencia de comandos maliciosa ejecutada
    • Shells inversas
  • Estadísticas del estado de la seguridad: El nivel Premium incluye análisis de vulnerabilidades administrados para todos los detectores de estadísticas del estado de seguridad (más de 140) y proporciona supervisión de muchas prácticas recomendadas de la industria, así como de la supervisión del cumplimiento en todos los sectores tus recursos de Google Cloud. Estos resultados también se pueden consultar en un panel de cumplimiento y exportarse a archivos CSV administrables.

    En el nivel Premium, las estadísticas del estado de la seguridad incluyen la supervisión y los informes para los siguientes estándares:

    • CIS 1.1
    • CIS 1.0
    • PCI DSS v3.2.1
    • NIST 800‑53
    • ISO 27001
  • Web Security Scanner en el nivel Premium incluye todas las funciones del nivel Standard y agrega análisis administrados que se configuran automáticamente. En estos análisis, se identifican las siguientes vulnerabilidades de seguridad en tus apps de Google Cloud:
    • Secuencia de comandos entre sitios (XSS)
    • Inyección Flash
    • Contenido mixto
    • Contraseñas en texto claro
    • Uso de bibliotecas de JavaScript inseguras
  • Asistencia para otorgar funciones de IAM a los usuarios a niveles de organización, carpeta y proyecto.
  • Exportaciones continuas, que administran automáticamente la exportación de nuevos resultados a Pub/Sub.

Informes de vulnerabilidad de VM Manager

  • Si habilitas VM Manager, el servicio escribe automáticamente los resultados de sus informes de vulnerabilidades, que se encuentran en vista previa, en Security Command Center. Los informes identifican vulnerabilidades en los sistemas operativos instalados en las máquinas virtuales de Compute Engine. Para obtener más información, consulta VM Manager.

Para obtener información sobre los costos asociados con el uso de Security Command Center, consulta la página de precios.

Para suscribirte al nivel Premium de Security Command Center, comunícate con tu representante de ventas o completa nuestro formulario de consultas de Premium. Deberías recibir una respuesta en un plazo de dos días hábiles de EE.UU. Si no te suscribes al nivel Premium, el nivel Estándar estará disponible.

Después de seleccionar el nivel que deseas, inicia la configuración del Security Command Center:

  1. Ve a Security Command Center en Cloud Console.

    Ir a Security Command Center

  2. En la lista desplegable Organización, selecciona la organización en la que quieres habilitar Security Command Center y haz clic en Seleccionar.

A continuación, selecciona los servicios integrados que deseas habilitar para tu organización.

Paso 2: Elige los servicios

En la página Elegir servicios, todos los servicios integrados están habilitados de forma predeterminada a nivel de la organización para el nivel que seleccionaste. Cada servicio analiza todos los recursos admitidos y, también, informa resultados para toda tu organización. Para inhabilitar cualquiera de los servicios, haz clic en la lista desplegable junto al nombre del servicio y selecciona Inhabilitar de forma predeterminada.

Las siguientes son notas para servicios específicos:

  • Para que la detección de amenazas a contenedores funcione de forma correcta, debes asegurarte de que tus clústeres estén en una versión compatible de Google Kubernetes Engine (GKE) y que tus clústeres de GKE estén configurados de forma correcta. Para obtener más información, consulta cómo usar la detección de amenazas de contenedores.

  • Event Threat Detection se basa en registros generados por Google Cloud. Para usar la detección de eventos de amenazas, debes habilitar registros en la organización, las carpetas y los proyectos.

  • Los resultados de detección de anomalías están disponibles automáticamente en Security Command Center. La detección de anomalías se puede inhabilitar después de la integración mediante los pasos en Configura Security Command Center.

Luego, de manera opcional, puedes habilitar o inhabilitar servicios para los recursos individuales.

Paso 3: Elige recursos

Security Command Center está diseñado para funcionar a nivel de la organización. De forma predeterminada, los recursos heredan la configuración del servicio para la organización. Todos los servicios habilitados ejecutan análisis para todos los recursos compatibles en tu organización. Esta configuración es el modo operativo óptimo para garantizar que los recursos nuevos y modificados se descubran y protejan de forma automática.

Si no quieres que Security Command Center analice toda la organización, debes excluir recursos individuales en el menú Configuración avanzada.

  1. Navega al menú Configuración avanzada y haz clic en el nodo para expandirlo.

    Menú de configuración avanzada
    Menú de configuración avanzada (haz clic para ampliar)
  2. Para cambiar la configuración de los recursos, haz clic en la lista desplegable de la columna de servicio a fin de elegir una opción de habilitación.

    • Habilitar de forma predeterminada: se habilita el servicio para el recurso.
    • Inhabilitar de forma predeterminada: se inhabilita el servicio para el recurso.
    • Heredar: el recurso usa la configuración de servicio seleccionada para su superior en la jerarquía de recursos.

Si haces clic en Buscar una carpeta o proyecto, se abrirá una ventana que te permitirá ingresar términos de búsqueda para encontrar recursos con rapidez y cambiar su configuración.

A continuación, debes otorgar permisos a la cuenta de servicio del Security Command Center.

Paso 4: Otorga permisos

Cuando habilitas Security Command Center, se crea una cuenta de servicio para ti con el formato service-org-organization-id@security-center-api.iam.gserviceaccount.com. Esta cuenta de servicio tiene las siguientes funciones de IAM a nivel de la organización:

  • securitycenter.serviceAgent permite que la cuenta de servicio de Security Command Center cree y actualice sus propias copias de los metadatos del inventario de activos de tu organización de forma continua. Para obtener información sobre los permisos asociados con esta función, consulta control de acceso.
  • serviceusage.serviceUsageAdmin. Para obtener más información sobre cómo se usa esta función, consulta ¿Qué es Service Usage?
  • cloudfunctions.serviceAgent

Para otorgar estas funciones automáticamente a la cuenta de servicio, haz clic en Otorgar funciones. Si prefieres otorgar las funciones necesarias de forma manual con la herramienta de línea de comandos de gcloud, haz lo siguiente:

  1. Haz clic para expandir la sección Otorgar funciones de forma manual y, luego, copia el comando de la herramienta de gcloud.
  2. En la barra de herramientas de Cloud Console, haz clic en Activar Cloud Shell.
  3. En la ventana de la terminal que, a continuación, pega los comandos de la herramienta de gcloud que copiaste y, luego, presiona Intro.

Las funciones necesarias se otorgan a la cuenta de servicio de Security Command Center.

A continuación, confirma la configuración de Security Command Center y se mostrará la página Explorar de Security Command Center.

Paso 5: Espera a que se completen los análisis

Cuando terminas la configuración, Security Command Center inicia un análisis inicial de los recursos, después de lo cual puedes usar el panel para revisar y solucionar los riesgos de seguridad y datos de Google Cloud en toda tu organización. Puede haber una demora antes de que se inicien los análisis de algunos productos. Lee Descripción general de la latencia de Security Command Center para obtener más información sobre el proceso de activación.

Para obtener más información sobre cada servicio integrado, consulta las guías disponibles en este sitio.

¿Qué sigue?