Configura Security Command Center

Configura Security Command Center para tu organización por primera vez. Si ya configuraste Security Command Center en tu organización, consulta la guía para usar de Security Command Center.

Antes de comenzar

Configura los permisos

Para configurar Security Command Center, necesitas las siguientes funciones de administración de identidades y accesos (IAM):

  • Administrador de la organización roles/resourcemanager.organizationAdmin
  • Administrador del centro de seguridad roles/securitycenter.admin
  • Administrador de seguridad roles/iam.securityAdmin
  • Crea cuentas de servicio roles/iam.serviceAccountCreator

Obtén más información sobre las funciones de Security Command Center.

Verifica las políticas de la organización

Si las políticas de tu organización están configuradas para restringir identidades por dominio, haz lo siguiente:

  • Debes acceder a Cloud Console en una cuenta que esté en un dominio permitido.
  • Tus cuentas de servicio deben estar en un dominio permitido o miembros de un grupo dentro de tu dominio. Esto te permite permitir que los servicios de @*.gserviceaccount.com accedan a los recursos cuando el uso compartido restringido del dominio se habilitada.

Si usas los Controles del servicio de VPC, debes otorgar acceso a la cuenta de servicio del Security Command Center después de habilitar Security Command Center.

Configura Security Command Center para tu organización

Si deseas configurar Security Command Center para tu organización, elige el nivel de Security Command Center que quieras y habilita los servicios o las fuentes integradas en las que deseas mostrar los resultados en el panel de Security Command Center. Luego, selecciona los recursos o elementos a fin de supervisar y otorgar permisos para la cuenta de servicio de Security Command Center.

Paso 1: Elige tu nivel

El nivel de Security Command Center que selecciones determinará las funciones disponibles para ti y el costo de usar Security Command Center. En la siguiente tabla, se proporciona una descripción general de los servicios integrados de Security Command Center, que están disponibles con los niveles Premium y Estándar:

Detalles del nivel

Funciones del nivel Standard

  • Security Health Analytics: En el nivel Standard, esta función proporciona un análisis de evaluación de vulnerabilidades administrado para Google Cloud, que puede detectar automáticamente las vulnerabilidades de mayor gravedad y las configuraciones incorrectas de tus recursos de Google Cloud. En el nivel Standard, las Estadísticas del estado de la seguridad incluyen los siguientes tipos de resultados:

    • 2SV_NOT_ENFORCED
    • NON_ORG_IAM_MEMBER
    • OPEN_FIREWALL
    • OPEN_RDP_PORT
    • OPEN_SSH_PORT
    • OPEN_TELNET_PORT
    • PUBLIC_BUCKET_ACL
    • PUBLIC_COMPUTE_IMAGE
    • PUBLIC_IP_ADDRESS
    • PUBLIC_LOG_BUCKET
    • PUBLIC_SQL_INSTANCE
    • SSL_NOT_ENFORCED
    • WEB_UI_ENABLED
  • Análisis personalizados de Web Security Scanner: En el nivel Standard, Web Security Scanner admite análisis personalizados de aplicaciones implementadas con IP y URL públicas que no están detrás de un firewall.

Funciones del nivel Premium

  • Event Threat Detection supervisa la transmisión de Cloud Logging de tu organización y analiza los registros de uno o más proyectos a medida que están disponibles para detectar las siguientes amenazas:
    • Software malicioso
    • Criptominería
    • Ataques de fuerza bruta a SSH
    • DoS Salientes
    • Otorgamiento anómalo de IAM
    • Robo de datos
  • Container Threat Detection detecta los siguientes ataques al entorno de ejecución de los contenedores:
    • Se ejecutó el objeto binario añadido
    • Se cargó la biblioteca agregada
    • Shells inversas

  • Security Health Analytics: En el nivel Premium, esta función puede supervisar el cumplimiento de muchas prácticas recomendadas de la industria, así como de las normativas, en todos los recursos de Google Cloud. Estos resultados también se pueden consultar en un panel de cumplimiento y exportarse a archivos CSV administrables.

    En el nivel Premium, Security Health Analytics incluyen la supervisión y generación de informes sobre los siguientes estándares:

    • CIS 1.0
    • PCI DSS v3.2.1
    • NIST 800‑53
    • ISO 27001
  • Web Security Scanner proporciona análisis administrados que identifican las siguientes vulnerabilidades de seguridad en las apps de Google Cloud:
    • Secuencia de comandos entre sitios (XSS)
    • Inyección Flash
    • Contenido mixto
    • Contraseñas en texto claro
    • Uso de bibliotecas de JavaScript inseguras
  • El nivel Premium también incluye todas las características del nivel Standard.

Para obtener información sobre los costos asociados con el uso de Security Command Center, consulta la página de precios.

Para suscribirte al nivel Premium de Security Command Center, comunícate con tu representante de ventas o comunícate con nosotros. Si no te suscribes al nivel Premium, el nivel Estándar estará disponible.

Si tu organización ya usa Security Command Center, cuando actualices al nivel Premium o Estándar, se habilitarán todas las funciones nuevas de ese nivel. Después de actualizar al nivel Premium o Estándar, solo puedes cambiar entre ellas; no puedes volver a Security Command Center.

Después de seleccionar el nivel que deseas, inicia la configuración del Security Command Center:

  1. Ve a la página de Security Command Center en Cloud Console.
    Ir a la página Security Command Center
  2. En la lista desplegable Organización, selecciona la organización en la que quieres habilitar Security Command Center y haz clic en Seleccionar.

A continuación, selecciona los servicios integrados que deseas habilitar para tu organización.

Paso 2: Elige los servicios

En la página Elegir servicios, todos los servicios integrados están habilitados de forma predeterminada a nivel de la organización para el nivel que seleccionaste. Cada servicio analiza todos los recursos compatibles y analiza los hallazgos para toda tu organización. Para inhabilitar cualquiera de los servicios, haz clic en la lista desplegable junto al nombre del servicio y selecciona Inhabilitar de forma predeterminada.

Las siguientes son notas para servicios específicos:

  • Para que la detección de amenazas a contenedores funcione de forma correcta, debes asegurarte de que tus clústeres estén en una versión compatible de Google Kubernetes Engine (GKE) y que tus clústeres de GKE estén configurados correctamente. Para obtener más información, consulta cómo usar la detección de amenazas de contenedores.

  • La Detección de eventos de amenazas se basa en los registros que genera Google Cloud. Para usar la Detección de eventos de amenazas, debes habilitar los registros de tu organización, carpetas y proyectos.

  • Los resultados de detección de anomalías están disponibles automáticamente en Security Command Center. La detección de anomalías se puede inhabilitar después de la integración mediante los pasos en Configura Security Command Center.

Luego, de manera opcional, puedes habilitar o inhabilitar servicios para los recursos individuales.

Paso 3: Elige recursos

Security Command Center está diseñado para operar a nivel de la organización. De forma predeterminada, los recursos heredan la configuración del servicio para la organización. Todos los servicios habilitados ejecutan análisis para todos los recursos compatibles en tu organización. Esta configuración es el modo operativo óptimo para garantizar que los recursos nuevos y modificados se descubran y protejan de forma automática.

Si no quieres que Security Command Center analice toda la organización, debes excluir recursos individuales en el menú Configuración avanzada.

  1. Navega al menú Configuración avanzada y haz clic en el nodo para expandirlo.

    Menú de configuración avanzada
    Menú de configuración avanzada (haz clic para ampliar)

  2. Para cambiar la configuración de recursos, haz clic en la lista desplegable en la columna de servicio a fin de elegir una opción de habilitación.

    • Habilitar de forma predeterminada: se habilita el servicio para el recurso.
    • Inhabilitar de forma predeterminada: se inhabilita el servicio para el recurso.
    • Heredar: el recurso usa la configuración de servicio seleccionada para su superior en la jerarquía de recursos.

Si haces clic en Buscar una carpeta o proyecto, se abrirá una ventana que te permitirá ingresar términos de búsqueda para encontrar recursos con rapidez y cambiar su configuración.

A continuación, debes otorgar permisos a la cuenta de servicio del Security Command Center.

Paso 4: Otorga permisos

Cuando habilitas Security Command Center, se crea una cuenta de servicio para ti con el formato service-org-organization-id@security-center-api.iam.gserviceaccount.com. Esta cuenta de servicio tiene las siguientes funciones de IAM a nivel de la organización:

  • securitycenter.serviceAgent permite que la cuenta de servicio de Security Command Center cree y actualice sus propias copias de los metadatos del inventario de activos de tu organización de forma continua. Para obtener información sobre los permisos asociados con esta función, consulta control de acceso.
  • serviceusage.serviceUsageAdmin. Para obtener más información sobre cómo se usa esta función, consulta ¿Qué es Service Usage?
  • cloudfunctions.serviceAgent

Para otorgar estas funciones automáticamente a la cuenta de servicio, haz clic en Otorgar funciones. Si prefieres otorgar las funciones necesarias de forma manual con la herramienta de línea de comandos de gcloud, haz lo siguiente:

  1. Haz clic para expandir la sección Otorgar funciones de forma manual y, luego, copia el comando de la herramienta de gcloud.
  2. En la barra de herramientas de Cloud Console, haz clic en Activar Cloud Shell.
  3. En la ventana de la terminal que, a continuación, pega los comandos de la herramienta de gcloud que copiaste y, luego, presiona Intro.

Las funciones necesarias se otorgan a la cuenta de servicio de Security Command Center.

A continuación, confirma la configuración de Security Command Center y se mostrará la página Explorar de Security Command Center.

Paso 5: Espera a que se completen los análisis

Cuando termines la configuración, Security Command Center iniciará un análisis inicial de los elementos. Después de esto, podrás usar el panel para revisar y solucionar los riesgos de seguridad y datos de Google Cloud en toda la organización. Puede haber un retraso antes de que se inicien los análisis para algunos productos. Lee la descripción general de latencia de Security Command Center para obtener más información sobre el proceso de activación.

Para obtener más información sobre cada servicio integrado, consulta las guías disponibles en este sitio.

¿Qué sigue?