Configure o Security Command Center para sua organização pela primeira vez. Se o Security Command Center já estiver configurado para sua organização, consulte o guia sobre como usar o Security Command Center.
Antes de começar
Configurar permissões
Para configurar o Security Command Center, você precisa dos seguintes papéis de gerenciamento de identidade e acesso (IAM, na sigla em inglês):
- Administrador da organização
roles/resourcemanager.organizationAdmin
- Administrador da Central de segurança
roles/securitycenter.admin
- Administrador de segurança
roles/iam.securityAdmin
- Criar contas de serviço
roles/iam.serviceAccountCreator
Saiba mais sobre os papéis do Security Command Center.
Verificar as políticas da organização
Se as políticas da organização estiverem definidas para restringir identidades por domínio:
- É preciso fazer login no Console do Cloud em uma conta que esteja em um domínio permitido.
- As contas de serviço precisam estar em um domínio permitido ou membros de um
grupo dentro do domínio. Esse requisito permite que você possibilite o acesso de serviços
@*.gserviceaccount.com
aos recursos quando o compartilhamento restrito de domínio estiver ativado.
Se você estiver usando o VPC Service Controls, precisará conceder acesso à conta de serviço do Security Command Center depois de ativar o Security Command Center.
Como configurar o Security Command Center para sua organização
Para configurar o Security Command Center na sua organização, escolha o nível do Security Command Center que você quer e ative os serviços ou as fontes integradas que você quer exibir descobertas no painel do Security Command Center. Em seguida, selecione os recursos para monitorar e conceder permissões para a conta de serviço do Security Command Center.
Etapa 1: escolher seu nível
O nível do Security Command Center que você seleciona determina os recursos disponíveis e o custo de uso do Security Command Center. A tabela a seguir fornece uma visão geral dos serviços integrados do Security Command Center que estão disponíveis nos níveis Premium e Standard:
Detalhes do nível |
---|
Recursos do nível Standard
|
|
Para informações sobre os custos associados ao uso do Security Command Center, consulte a página de preços.
Para se inscrever no nível Premium do Security Command Center, entre em contato com seu representante de vendas ou entre em contato conosco. Se você não assinar o nível Premium, o nível Padrão estará disponível.
Se sua organização já está usando o Security Command Center, quando você fizer upgrade para os níveis Premium ou Standard, todos os novos recursos desse nível serão ativados. Depois de fazer upgrade para o nível Premium ou Standard, você só poderá alternar entre eles. Não é possível voltar para o Security Command Center legado.
Depois de selecionar o nível pretendido, inicie a configuração do Security Command Center:
- Acesse a página Security Command Center no
Console do Cloud.
Acessar a página "Security Command Center" - Na lista suspensa Organização, selecione a organização para a qual você quer ativar o Security Command Center e clique em Selecionar.
Em seguida, selecione os serviços integrados que você quer ativar para a organização.
Etapa 2: escolher serviços
Na página Escolher serviços, todos os serviços integrados são ativados por padrão no nível da organização do nível selecionado. Cada serviço verifica todos os recursos compatíveis e informa as descobertas em toda a organização. Para desativar qualquer um dos serviços, clique na lista suspensa ao lado do nome do serviço e selecione Desativar por padrão.
A seguir estão observações sobre serviços específicos:
Para que o Container Threat Detection funcione corretamente, você precisa verificar se os clusters estão em uma versão compatível do Google Kubernetes Engine (GKE) e se os clusters do GKE estão configurados corretamente. Para mais informações, consulte Como usar o Container Threat Detection.
O Event Threat Detection depende de registros gerados pelo Google Cloud. Para usar o Event Threat Detection, você precisa ativar os registros para sua organização, pastas e projetos.
As descobertas de detecção de anomalias estão automaticamente disponíveis no Security Command Center. A detecção de anomalias pode ser desativada após a integração seguindo as etapas em Como configurar o Security Command Center.
Em seguida, é possível ativar ou desativar os serviços para recursos individuais.
Etapa 3: escolher recursos
O Security Command Center foi projetado para funcionar no nível da organização. Por padrão, os recursos herdam as configurações do serviço da organização. Todos os serviços ativados executam verificações em todos os recursos compatíveis da organização. Essa configuração é o modo operacional ideal para garantir que os recursos novos e alterados sejam descobertos e protegidos automaticamente.
Se você não quiser que o Security Command Center verifique toda a organização, exclua recursos individuais no menu Configurações avançadas.
Navegue até o menu Configurações avançadas e clique no nó para expandi-lo.
Menu "Configurações avançadas" (clique para ampliar) Para alterar as configurações do recurso, clique na lista suspensa da coluna de serviço para escolher uma opção de ativação.
- Ativar por padrão: o serviço está ativado no recurso.
- Desativar por padrão: o serviço está desativado no recurso.
- Herdar: o recurso usa a configuração do serviço selecionada para o pai na hierarquia de recursos.
Clique em Pesquisar uma pasta ou um projeto para abrir uma janela que permite inserir termos de pesquisa para encontrar recursos rapidamente e alterar as configurações deles.
Em seguida, você concede permissões à conta de serviço do Security Command Center.
Etapa 4: conceder permissões
Quando você ativa o Security Command Center, uma conta de serviço é criada para você
no
formato
service-org-organization-id@security-center-api.iam.gserviceaccount.com
.
Essa conta de serviço tem os papéis do IAM a seguir no
nível da organização:
securitycenter.serviceAgent
permite que a conta de serviço do Security Command Center crie e atualize a própria cópia dos metadados de inventário de recursos da sua organização regularmente. Para saber mais sobre as permissões associadas a esse papel, consulte controle de acesso.serviceusage.serviceUsageAdmin
Para saber mais sobre como esse papel é usado, consulte O que é o Service Usage?cloudfunctions.serviceAgent
Para conceder automaticamente esses papéis à conta de serviço, clique em Conceder
papéis. Se você preferir conceder os papéis necessários manualmente usando a
ferramenta de linha de comando gcloud
:
- Clique para expandir a seção conceder papéis manualmente e copie o
comando da ferramenta
gcloud
. - Na barra de ferramentas do Console do Cloud, clique em Ativar o Cloud Shell.
- Na janela de terminal exibida, cole os comandos da ferramenta
gcloud
que você copiou e pressione Enter.
Os papéis necessários são concedidos à conta de serviço do Security Command Center.
Em seguida, confirme se a configuração do Security Command Center e a página Explorar do Security Command Center são exibidas.
Etapa 5: aguardar a conclusão das verificações
Quando você termina a configuração, o Security Command Center inicia uma verificação inicial de recursos. Depois disso, é possível usar o painel para analisar e corrigir os riscos de dados e segurançado Google Cloud em toda a organização. Pode haver um atraso até que as verificações sejaminiciadas em alguns produtos. Leia a visão geral da latência do Security Command Centerpara saber mais sobre o processo de ativação.
Para saber mais sobre cada serviço integrado, consulte os guias disponíveis neste site.
A seguir
- Saiba como usar o painel do Security Command Center para revisar recursos, descobertas e vulnerabilidades.
- Saiba mais sobre as fontes de segurança do Google Cloud.
- Saiba como adicionar fontes de segurança ao Security Command Center.