Configura Security Command Center

Configura Security Command Center para tu organización por primera vez. Si ya configuraste Security Command Center en tu organización, consulta la guía para usar de Security Command Center.

Antes de comenzar

Configura los permisos

Para configurar Security Command Center, necesitas las siguientes funciones de administración de identidades y accesos (IAM):

  • Administrador de la organización roles/resourcemanager.organizationAdmin
  • Administrador del centro de seguridad roles/securitycenter.admin
  • Administrador de seguridad roles/iam.securityAdmin
  • Crea cuentas de servicio roles/iam.serviceAccountCreator

Obtén más información sobre las funciones de Security Command Center.

Verifica las políticas de la organización

Si las políticas de tu organización están configuradas para restringir identidades por dominio, haz lo siguiente:

  • Debes acceder a Google Cloud Console en una cuenta que esté en un dominio permitido.
  • Tus cuentas de servicio deben estar en un dominio permitido o miembros de un grupo dentro de tu dominio. Esto te permite permitir que los servicios de @*.gserviceaccount.com accedan a los recursos cuando el uso compartido restringido del dominio se habilitada.

Configura Security Command Center para tu organización

Si deseas configurar Security Command Center para tu organización, elige el nivel de Security Command Center que quieras y habilita los servicios o las fuentes integradas en las que deseas mostrar los resultados en el panel de Security Command Center. Luego, selecciona los recursos o elementos a fin de supervisar y otorgar permisos para la cuenta de servicio de Security Command Center.

Paso 1: Elige tu nivel

El nivel de seguridad de Security Command Center que selecciones determinará las funciones disponibles para ti y el costo de usar Security Command Center. En la siguiente tabla, se proporciona una descripción general de los servicios integrados del Security Command Center que están disponibles con los niveles Premium y Estándar:

Detalles del nivel

Funciones del nivel Standard

  • Security Health Analytics: En el nivel Standard, esta función proporciona un análisis de evaluación de vulnerabilidades administrado para Google Cloud, que puede detectar automáticamente las vulnerabilidades de mayor gravedad y las configuraciones incorrectas de tus recursos de Google Cloud. En el nivel Standard, las Estadísticas del estado de la seguridad incluyen los siguientes tipos de resultados:

    • MFA_NOT_ENFORCED
    • NON_ORG_IAM_MEMBER
    • OPEN_FIREWALL
    • OPEN_RDP_PORT
    • OPEN_SSH_PORT
    • PUBLIC_BUCKET_ACL
    • PUBLIC_DATASET
    • PUBLIC_IP_ADDRESS
    • PUBLIC_LOG_BUCKET
    • PUBLIC_SQL_INSTANCE
    • SSL_NOT_ENFORCED
    • WEB_UI_ENABLED
  • Análisis personalizados de Web Security Scanner: en el nivel Estándar, Web Security Scanner admite análisis personalizados de aplicaciones implementadas con URL públicas y IP que no están detrás de un firewall. Los análisis se configuran, administran y ejecutan de forma manual para todos los proyectos.
  • Acceso a servicios integrados de Google Cloud, que incluyen lo siguiente:

  • Integra en Forseti Security, el kit de herramientas de seguridad de código abierto para Google Cloud, y aplicaciones de administración de eventos y administración de eventos (SIEM) de terceros.

Funciones del nivel Premium

El nivel Premium incluye todas las funciones del nivel Estándar y agrega lo siguiente:

  • Event Threat Detection supervisa la transmisión de Cloud Logging de tu organización y analiza los registros de uno o más proyectos a medida que están disponibles para detectar las siguientes amenazas:
    • Software malicioso
    • Criptominería
    • Ataques de fuerza bruta a SSH
    • DoS Salientes
    • Otorgamiento anómalo de IAM
    • Robo de datos
  • Container Threat Detection detecta los siguientes ataques al entorno de ejecución de los contenedores:
    • Se ejecutó el objeto binario añadido
    • Se cargó la biblioteca agregada
    • Shells inversas
  • Security Health Analytics: En el nivel Premium, esta función puede supervisar el cumplimiento de muchas prácticas recomendadas de la industria, así como de las normativas, en todos los recursos de Google Cloud. Estos resultados también se pueden consultar en un panel de cumplimiento y exportarse a archivos CSV administrables.

    En el nivel Premium, las estadísticas del estado de seguridad incluyen la supervisión y la generación de informes de los siguientes estándares:

    • CIS 1.0
    • PCI DSS v3.2.1
    • NIST 800‑53
    • ISO 27001
  • Web Security Scanner proporciona análisis administrados que se configuran automáticamente. Estos análisis identifican las siguientes vulnerabilidades de seguridad en tus apps de Google Cloud:
    • Secuencia de comandos entre sitios (XSS)
    • Inyección Flash
    • Contenido mixto
    • Contraseñas en texto claro
    • Uso de bibliotecas de JavaScript inseguras
  • Exportaciones continuas, que administran de forma automática la exportación de resultados nuevos a Pub/Sub.

Para obtener información sobre los costos asociados con el uso de Security Command Center, consulta la página de precios.

Para suscribirte al nivel Premium de Security Command Center, comunícate con tu representante de ventas o comunícate con nosotros. Si no te suscribes al nivel Premium, significa que el nivel Estándar está disponible.

Si tu organización ya usa Security Command Center, cuando actualices al nivel Premium o Estándar, se habilitarán todas las funciones nuevas de ese nivel. Después de actualizar al nivel Premium o Estándar, solo puedes cambiar entre ellos. No puedes volver a la versión heredada del Security Command Center.

Después de seleccionar el nivel que deseas, inicia la configuración del Security Command Center:

  1. Dirígete a Security Command Center en Cloud Console.

    Ir a Security Command Center

  2. En la lista desplegable Organización, selecciona la organización en la que quieres habilitar Security Command Center y haz clic en Seleccionar.

A continuación, selecciona los servicios integrados que deseas habilitar para tu organización.

Paso 2: Elige los servicios

En la página Elegir servicios, todos los servicios integrados están habilitados de forma predeterminada a nivel de la organización para el nivel que seleccionaste. Cada servicio analiza todos los recursos admitidos y, luego, informa los hallazgos de toda la organización. Para inhabilitar cualquiera de los servicios, haz clic en la lista desplegable junto al nombre del servicio y selecciona Inhabilitar de forma predeterminada.

Las siguientes son notas para servicios específicos:

  • Para que la detección de amenazas a contenedores funcione correctamente, debes asegurarte de que tus clústeres se encuentren en una versión compatible de Google Kubernetes Engine (GKE) y de que tus clústeres de GKE estén configurados correctamente. Para obtener más información, consulta Usa la detección de amenazas a contenedores.

  • Event Threat Detection se basa en los registros que genera Google Cloud. Si quieres usar la Detección de eventos de amenazas, debes habilitar registros para tu organización, carpetas y proyectos.

  • Los resultados de detección de anomalías están disponibles automáticamente en Security Command Center. La detección de anomalías se puede inhabilitar después de la integración mediante los pasos en Configura Security Command Center.

Luego, de manera opcional, puedes habilitar o inhabilitar servicios para los recursos individuales.

Paso 3: Elige recursos

Security Command Center está diseñado para operar a nivel de la organización. Según la configuración predeterminada, los recursos heredan la configuración del servicio de la organización. Todos los servicios habilitados ejecutan análisis de todos los recursos compatibles en tu organización. Esta configuración es el modo operativo óptimo para garantizar que los recursos nuevos y modificados se descubran y protejan automáticamente.

Si no quieres que Security Command Center analice toda tu organización, debes excluir los recursos individuales en el menú Configuración avanzada.

  1. Navega al menú Configuración avanzada y haz clic en el nodo para expandirlo.

    Menú de configuración avanzada
    Menú de configuración avanzada (haz clic para ampliar)
  2. Para cambiar la configuración de recursos, haz clic en la lista desplegable en la columna de servicio para elegir una opción de habilitación.

    • Habilitar de forma predeterminada: se habilita el servicio para el recurso.
    • Inhabilitar de forma predeterminada: se inhabilita el servicio para el recurso.
    • Heredar: el recurso usa la configuración de servicio seleccionada para su superior en la jerarquía de recursos.

Si haces clic en Buscar una carpeta o proyecto, se abrirá una ventana que te permitirá ingresar términos de búsqueda para encontrar recursos con rapidez y cambiar su configuración.

A continuación, debes otorgar permisos a la cuenta de servicio del Security Command Center.

Paso 4: Otorga permisos

Cuando habilitas Security Command Center, se crea una cuenta de servicio para ti con el formato service-org-organization-id@security-center-api.iam.gserviceaccount.com. Esta cuenta de servicio tiene las siguientes funciones de IAM a nivel de la organización:

  • securitycenter.serviceAgent permite que la cuenta de servicio de Security Command Center cree y actualice sus propias copias de los metadatos del inventario de activos de tu organización de forma continua. Para obtener información sobre los permisos asociados con esta función, consulta control de acceso.
  • serviceusage.serviceUsageAdmin. Para obtener más información sobre cómo se usa esta función, consulta ¿Qué es Service Usage?
  • cloudfunctions.serviceAgent

Para otorgar estas funciones automáticamente a la cuenta de servicio, haz clic en Otorgar funciones. Si prefieres otorgar las funciones necesarias de forma manual con la herramienta de línea de comandos de gcloud, haz lo siguiente:

  1. Haz clic para expandir la sección Otorgar funciones de forma manual y, luego, copia el comando de la herramienta de gcloud.
  2. En la barra de herramientas de Cloud Console, haz clic en Activar Cloud Shell.
  3. En la ventana de la terminal que, a continuación, pega los comandos de la herramienta de gcloud que copiaste y, luego, presiona Intro.

Las funciones necesarias se otorgan a la cuenta de servicio de Security Command Center.

A continuación, confirma la configuración de Security Command Center y se mostrará la página Explorar de Security Command Center.

Paso 5: Espera a que se completen los análisis

Cuando terminas la configuración, Security Command Center inicia un análisis inicial de los activos, después de lo cual puedes usarlo para revisar y solucionar los riesgos de seguridad y datos de Google Cloud en toda tu organización. Puede haber un retraso antes de que los análisis comiencen para algunos productos. Lee la descripción general de la latencia del Security Command Center para obtener más información sobre el proceso de activación.

Para obtener más información sobre cada servicio integrado, consulta las guías disponibles en este sitio.

¿Qué sigue?