Configurer Security Command Center

Configurez Security Command Center pour votre organisation pour la première fois. Si Security Command Center est déjà configuré pour votre organisation, consultez le guide Utiliser Security Command Center.

Avant de commencer

Configurer les autorisations

Pour configurer Security Command Center, vous devez disposer des rôles IAM (Identity and Access Management) suivants :

  • Administrateur de l'organisation roles/resourcemanager.organizationAdmin
  • Administrateur du centre de sécurité roles/securitycenter.admin
  • Administrateur de sécurité roles/iam.securityAdmin
  • Créateur de compte de service roles/iam.serviceAccountCreator

Apprenez-en plus sur les rôles Security Command Center.

Vérifier les règles d'administration

Si les règles de votre organisation sont configurées pour restreindre les identités par domaine :

  • vous devez être connecté à Cloud Console sur un compte faisant partie d'un domaine autorisé ;
  • vos comptes de service doivent appartenir à un domaine autorisé ou être des membres d'un groupe au sein de votre domaine. Cela vous permet d'autoriser les services @*.gserviceaccount.com à accéder aux ressources lorsque le partage limité au domaine est activé.

Si vous utilisez VPC Service Controls, vous devez accorder l'accès au compte de service Security Command Center après avoir activé Security Command Center.

Configurer Security Command Center pour votre organisation

Pour configurer Security Command Center pour votre organisation, choisissez le niveau Security Command Center souhaité, activez les services ou les sources de sécurité dont vous souhaitez afficher les résultats dans le tableau de bord Security Command Center, sélectionnez les ressources ou les éléments à surveiller, puis accordez des autorisations pour le compte de service Security Command Center.

Étape 1 : Choisissez votre niveau

Le niveau Security Command Center que vous sélectionnez affecte les fonctionnalités disponibles et les coûts liés à l'utilisation de Security Command Center. Le tableau suivant présente les services Security Command Center intégrés disponibles avec les niveaux Premium et Standard :

Détail des niveaux

Fonctionnalités du niveau Standard

  • Security Health Analytics : au niveau Standard, Security Health Analytics fournit une analyse gérée de l'évaluation des failles pour Google Cloud, afin de détecter automatiquement les failles et les erreurs de configuration les plus graves liées à vos ressources Google Cloud. Les éléments détectés sont, entre autres, les suivants :
    • Les ressources exposées de manière publique, comme les buckets, les instances SQL, les ensembles de données et les VM
    • Les pare-feu mal configurés (ceux qui sont ouverts ou trop permissifs, par exemple)
    • Configurations IAM non sécurisées

Fonctionnalités du niveau Premium

  • Event Threat Detection surveille le flux Cloud Logging de votre entreprise et analyse les journaux d'un ou plusieurs projets dès qu'ils deviennent disponibles afin de détecter les menaces suivantes :
    • Logiciel malveillant
    • Minage de cryptomonnaie
    • Attaque par force brute SSH
    • DoS sortant
    • Octroi anormal d'autorisations IAM
  • Container Threat Detection détecte les attaques suivantes visant l'environnement d'exécution des conteneurs :
    • Binaire suspect
    • Bibliothèque suspecte
    • Interface système inversée
  • Security Health Analytics : au niveau Premium, Security Health Analytics surveille vos ressources Google Cloud pour s'assurer qu'elles sont conformes à diverses bonnes pratiques du secteur. Les résultats peuvent être examinés dans un tableau de bord de conformité et exportés sous forme de fichiers CSV gérables.

    Au niveau Premium, Security Health Analytics fournit des services de surveillance et de reporting conformes aux normes suivantes :

    • CIS 1.0
    • PCI DSS v3.2.1
    • NIST 800-53
    • ISO 27001
  • Web Security Scanner fournit des analyses gérées capables d'identifier les failles de sécurité suivantes au sein de vos applications Google Cloud :
    • Script intersites (XSS)
    • Injection Flash
    • Contenu mixte
    • Mots de passe en texte clair
    • Utilisation de bibliothèques JavaScript non sécurisées

Pour en savoir plus sur les coûts associés à l'utilisation de Security Command Center, consultez la page Tarifs.

Pour vous abonner au niveau Premium de Security Command Center, contactez votre conseiller commercial ou contactez-nous. Si vous ne vous abonnez pas au niveau Premium, le niveau Standard sera automatiquement disponible.

Si votre organisation utilise déjà Security Command Center, lorsque vous passez au niveau Premium ou Standard, toutes les nouvelles fonctionnalités de ce niveau sont activées. Après être passé au niveau Premium ou Standard, vous ne pouvez basculer qu'entre eux. Vous ne pouvez pas revenir à l'ancienne version de Security Command Center.

Après avoir sélectionné le niveau souhaité, démarrez la configuration de Security Command Center :

  1. Accédez à la page Security Command Center de Cloud Console.
    Accéder à la page "Security Command Center"
  2. Dans la liste déroulante Organisation, sélectionnez l'organisation pour laquelle vous souhaitez activer Security Command Center, puis cliquez sur Sélectionner.

Sélectionnez ensuite les services intégrés que vous souhaitez activer pour votre organisation.

Étape 2 : Choisir les services

Les résultats de la détection d'anomalies sont automatiquement disponibles dans Security Command Center. Pour afficher les résultats provenant d'autres sources de sécurité dans le tableau de bord Security Command Center, vous devez activer les services que vous souhaitez utiliser comme sources de sécurité.

Sur la page Choisir des services, tous les services intégrés sont activés au niveau de l'organisation pour le niveau Security Command Center que vous avez sélectionné. Pour désactiver un service, cliquez sur le bouton d'activation/désactivation situé à côté du nom du service.

Lorsque vous activez Container Threat Detection en tant que service, vous devez vous assurer que vos clusters s'exécutent sur une version compatible de Google Kubernetes Engine (GKE). Pour en savoir plus, consultez la page Utiliser Container Threat Detection.

Vous pouvez ensuite activer ou désactiver des services pour des ressources individuelles.

Étape 3 : Choisir les ressources

L'onglet Ressources vous permet de modifier les paramètres de service acceptés pour chaque ressource compatible. Par défaut, les ressources héritent des paramètres de service de l'organisation. Pour activer ou désactiver des services pour des ressources individuelles, cliquez sur la liste déroulante de la colonne de service pour sélectionner l'activation de services sur une ressource.

  • Activé : le service est activé pour la ressource.
  • Désactivé : le service est désactivé pour la ressource.
  • Hériter de la ressource parente : la ressource utilise le paramètre de service sélectionné pour son parent dans la hiérarchie des ressources.

Ensuite, accordez des autorisations au compte de service Security Command Center.

Étape 4 : Accorder des autorisations

Lorsque vous activez Security Command Center, un compte de service est créé pour vous au format service-org-organization-id@security-center-api.iam.gserviceaccount.com. Ce compte de service dispose des rôles IAM suivants au niveau de l'organisation :

  • securitycenter.serviceAgent permet au compte de service Security Command Center de créer et de mettre à jour régulièrement sa propre copie des métadonnées d'inventaire des éléments de votre organisation. Pour en savoir plus sur les autorisations associées à ce rôle, consultez la page Contrôle des accès.
  • serviceusage.serviceUsageAdmin. Pour en savoir plus sur l'utilisation de ce rôle, consultez la page Qu'est-ce que Service Usage ?.
  • cloudfunctions.serviceAgent

Pour attribuer automatiquement ces rôles au compte de service, cliquez sur Attribuer des rôles. Si vous préférez attribuer manuellement les rôles requis à l'aide de l'outil de ligne de commande gcloud, procédez comme suit :

  1. Cliquez pour développer la section Attribuer des rôles manuellement, puis copiez la commande de l'outil gcloud.
  2. Dans la barre d'outils de Cloud Console, cliquez sur Activer Cloud Shell.
  3. Dans la fenêtre de terminal qui s'affiche, collez les commandes de l'outil gcloud que vous avez copiées, puis appuyez sur Entrée.

Les rôles requis sont attribués au compte de service Security Command Center.

Vérifiez ensuite la configuration de Security Command Center et la page Explorer de Security Command Center s'affiche.

Étape 5 : Attendre la fin des analyses

Une fois la configuration terminée, Security Command Center lance une analyse initiale des éléments. L'analyse des éléments s'effectue en quelques minutes. Une fois que Security Command Center termine l'analyse des éléments, vous pouvez utiliser le tableau de bord pour examiner et corriger les risques liés à la sécurité et aux données de Google Cloud au sein de votre organisation. Les résultats des services intégrés sont disponibles une fois que chaque service termine ses analyses initiales :

  • Container Threat Detection présente les latences suivantes :
    • Latence d'activation d'une heure pour les organisations nouvellement ajoutées
    • Latence d'activation d'une heure pour les clusters nouvellement créés
    • Latence de détection de plusieurs minutes pour les menaces dans les clusters qui ont été activés
  • L'activation de Event Threat Detection présente une latence de l'ordre de quelques secondes et les latences de bout en bout sont inférieures à 15 minutes pour la latence du 99e centile, mesurée sur une période de 30 jours.
  • Les analyses de l'état de la sécurité commencent environ une heure après l'activation du service. La toute première analyse de l'état de la sécurité peut prendre jusqu'à 12 heures.
  • Les analyses de Web Security Scanner peuvent prendre jusqu'à 24 heures après l'activation du service. Dans la plupart des cas, les analyses de Web Security Scanner démarrent environ une heure après leur mise en œuvre.

Pour en savoir plus sur chaque service intégré, consultez les guides disponibles sur ce site.

Étape suivante