Guía de inicio rápido: Configura Security Command Center

Configura Security Command Center

En esta página, se muestra cómo configurar Security Command Center para tu organización por primera vez. Si ya configuraste Security Command Center en tu organización, consulta la guía para usar Security Command Center.

Antes de comenzar

Crea una organización

Security Command Center requiere un recurso de organización asociado a un dominio y, si deseas usar el nivel Premium, una cuenta de facturación. Si no creaste una organización, consulta Crea y administra organizaciones.

Configura los permisos

Para configurar Security Command Center, necesitas las siguientes funciones de administración de identidades y accesos (IAM):

  • Administrador de la organización roles/resourcemanager.organizationAdmin
  • Administrador del centro de seguridad roles/securitycenter.admin
  • Administrador de seguridad roles/iam.securityAdmin
  • Crea cuentas de servicio roles/iam.serviceAccountCreator

Obtén más información sobre las funciones de Security Command Center.

Verifica las políticas de la organización

Si las políticas de tu organización están configuradas para restringir identidades por dominio, haz lo siguiente:

  • Debes acceder a Cloud Console en una cuenta que esté en un dominio permitido.
  • Tus cuentas de servicio deben estar en un dominio permitido o miembros de un grupo dentro de tu dominio. Esto te permite permitir que los servicios de @*.gserviceaccount.com accedan a los recursos cuando el uso compartido restringido del dominio se habilitada.

Configura Security Command Center para tu organización

Si deseas configurar Security Command Center para tu organización, elige el nivel de Security Command Center que quieras y habilita los servicios o las fuentes integradas en las que deseas mostrar los resultados en el panel de Security Command Center. Luego, selecciona los recursos o elementos a fin de supervisar y otorgar permisos para la cuenta de servicio de Security Command Center.

Paso 1: Elige tu nivel

El nivel de Security Command Center que seleccione determina las funciones que tienes disponibles y el costo de utilizar Security Command Center. En la siguiente tabla, se proporciona una descripción general de los servicios integrados de Security Command Center, que están disponibles con los niveles Premium y Estándar:

Detalles del nivel

Funciones del nivel Standard

  • Security Health Analytics: En el nivel Standard, esta función proporciona un análisis de evaluación de vulnerabilidades administrado para Google Cloud, que puede detectar automáticamente las vulnerabilidades de mayor gravedad y las configuraciones incorrectas de tus recursos de Google Cloud. En el nivel Standard, las Estadísticas del estado de la seguridad incluyen los siguientes tipos de resultados:

    • DATAPROC_IMAGE_OUTDATED
    • LEGACY_AUTHORIZATION_ENABLED
    • MFA_NOT_ENFORCED
    • NON_ORG_IAM_MEMBER
    • OPEN_CISCOSECURE_WEBSM_PORT
    • OPEN_DIRECTORY_SERVICES_PORT
    • OPEN_FIREWALL
    • OPEN_GROUP_IAM_MEMBER
    • OPEN_RDP_PORT
    • OPEN_SSH_PORT
    • OPEN_TELNET_PORT
    • PUBLIC_BUCKET_ACL
    • PUBLIC_COMPUTE_IMAGE
    • PUBLIC_DATASET
    • PUBLIC_IP_ADDRESS
    • PUBLIC_LOG_BUCKET
    • PUBLIC_SQL_INSTANCE
    • SSL_NOT_ENFORCED
    • WEB_UI_ENABLED
  • Análisis personalizados de Web Security Scanner: En el nivel Standard, Web Security Scanner admite análisis personalizados de aplicaciones implementadas con URL públicas y direcciones IP que no están detrás de un firewall. Los análisis se configuran, administran y ejecutan manualmente para todos los proyectos y admiten un subconjunto de categorías en el proyecto OWASP Top Ten.
  • Errores de Security Command Center: proporciona instrucciones de detección y solución para los errores de configuración que evitan que Security Command Center y sus servicios funcionen de forma correcta.
  • Asistencia para otorgar funciones de Identity and Access Management (IAM) a los usuarios a nivel de organización.

  • Acceso a servicios integrados de Google Cloud, que incluyen lo siguiente:

  • Integración en BigQuery, que exporta los resultados a BigQuery para su análisis.
  • Integración en Forseti Security, el kit de herramientas de seguridad de código abierto para Google Cloud y las aplicaciones de administración de eventos e información de seguridad (SIEM) de terceros.

Funciones del nivel Premium

El nivel Premium incluye todas las funciones de nivel Estándar y agrega lo siguiente:

  • Event Threat Detection usa la inteligencia de amenazas, el aprendizaje automático y otros métodos avanzados para supervisar Cloud Logging y Google Workspace de tu organización y detectar las siguientes amenazas:
    • Software malicioso
    • Criptominería
    • Ataques de fuerza bruta a SSH
    • DoS Salientes
    • Otorgamiento anómalo de IAM
    • Robo de datos

    Event Threat Detection también identifica las siguientes amenazas de Google Workspace:

    • Contraseñas filtradas
    • Intentos de violación de las cuentas
    • Cambios en la configuración de la verificación en dos pasos
    • Cambios en la configuración de inicio de sesión único (SSO)
    • Ataques respaldados por el Gobierno
  • La Detección de amenazas a contenedores detecta los siguientes ataques a los entornos de ejecución de los contenedores:
    • Se ejecutó el objeto binario añadido
    • Se cargó la biblioteca agregada
    • Secuencia de comandos maliciosa ejecutada
    • Shells inversas
  • La detección de amenazas de máquinas virtuales detecta las aplicaciones de minería de criptomonedas que se ejecutan dentro de las instancias de VM.

  • Estadísticas del estado de la seguridad: El nivel Premium incluye análisis de vulnerabilidades administrados para todos los detectores de estadísticas del estado de seguridad (más de 140) y proporciona supervisión de muchas prácticas recomendadas de la industria, así como de la supervisión del cumplimiento en todos los sectores tus recursos de Google Cloud. Estos resultados también se pueden consultar en un panel de cumplimiento y exportarse a archivos CSV administrables.

    En el nivel Premium, las estadísticas del estado de la seguridad incluyen la supervisión y los informes para los siguientes estándares:

    • CIS 1.2
    • CIS 1.1
    • CIS 1.0
    • PCI DSS v3.2.1
    • NIST 800‑53
    • ISO 27001
  • Web Security Scanner en el nivel Premium incluye todas las funciones del nivel Estándar y los detectores adicionales que admiten categorías en los OWASP Top Ten. Web Security Scanner también agrega análisis administrados que se configuran automáticamente.
  • La Detección rápida de vulnerabilidades analiza las redes y las aplicaciones web para detectar credenciales débiles, instalaciones de software incompletas y otras vulnerabilidades críticas que tengan una alta probabilidad de explotación.
  • El nivel Premium incluye compatibilidad para otorgar funciones de IAM a los usuarios a nivel de organización, carpeta y proyecto.
  • El nivel Premium incluye la función Exportaciones continuas, que administra de forma automática la exportación de resultados nuevos para Pub/Sub.
  • Puedes solicitar una cuota adicional de Cloud Asset Inventory si surge la necesidad de una supervisión de recursos extendida.
  • El servicio de Secured Landing Zone solo se puede habilitar en el nivel Premium de Security Command Center. Cuando está habilitado, este servicio muestra hallazgos si hay infracciones de políticas en los recursos del plano implementado, genera alertas correspondientes y toma acciones de solución automáticas de forma selectiva.

    • Informes de vulnerabilidad de VM Manager

    • Si habilitas VM Manager, el servicio escribe automáticamente los resultados de sus informes de vulnerabilidades, que se encuentran en vista previa, en Security Command Center. Los informes identifican vulnerabilidades en los sistemas operativos instalados en las máquinas virtuales de Compute Engine. Para obtener más información, consulta VM Manager.

    Para obtener información sobre los costos asociados con el uso de Security Command Center, consulta la página de precios.

    Para suscribirte al nivel Premium de Security Command Center, comunícate con tu representante de ventas de Google Cloud o tu socio de Cloud.

    Después de seleccionar el nivel que deseas, inicia la configuración del Security Command Center:

    1. Ve a Security Command Center en la consola de Google Cloud.

      Ir a Security Command Center

    2. En la lista desplegable Organización, selecciona la organización en la que quieres habilitar Security Command Center y haz clic en Seleccionar.

    A continuación, selecciona los servicios integrados que deseas habilitar para tu organización.

    Paso 2: Elige los servicios

    En la página Elegir servicios, todos los servicios integrados que se incluyen con el nivel que seleccionaste están habilitados de forma predeterminada a nivel de organización. Cada servicio analiza todos los recursos compatibles y, luego, informa los hallazgos de toda tu organización. Para inhabilitar cualquiera de los servicios, haz clic en la lista desplegable junto al nombre del servicio y selecciona Inhabilitar de forma predeterminada.

    Si habilitas el nivel Standard y, luego, te suscribes al nivel Premium, todos los servicios Premium integrados, excepto Container Threat Detection, estarán habilitados de forma predeterminada a nivel de organización. La Detección de amenazas a contenedores está inhabilitada de forma predeterminada hasta que la habilites de forma manual. Para habilitar la detección de amenazas a contenedores, consulta Usa la detección de amenazas a contenedores.

    Las siguientes son notas para servicios específicos:

    • Para que la detección de amenazas a contenedores funcione de forma correcta, debes asegurarte de que tus clústeres estén en una versión compatible de Google Kubernetes Engine (GKE) y que tus clústeres de GKE estén configurados de forma correcta. Para obtener más información, consulta cómo usar la detección de amenazas de contenedores.

    • Event Threat Detection se basa en registros generados por Google Cloud. Para usar la detección de eventos de amenazas, debes habilitar registros en la organización, las carpetas y los proyectos.

    • Los resultados de detección de anomalías están disponibles automáticamente en Security Command Center. La detección de anomalías se puede inhabilitar después de la integración mediante los pasos en Configura Security Command Center.

    Luego, de manera opcional, puedes habilitar o inhabilitar servicios para los recursos individuales.

    Paso 3: Elige recursos

    Security Command Center está diseñado para operar a nivel de la organización. De forma predeterminada, los recursos heredan la configuración del servicio para la organización. Todos los servicios habilitados ejecutan análisis para todos los recursos compatibles en tu organización. Esta configuración es el modo operativo óptimo para garantizar que los recursos nuevos y modificados se descubran y protejan de forma automática.

    Si no quieres que Security Command Center analice toda tu organización, debes excluir los recursos individuales en el menú Configuración avanzada.

    1. Navega al menú Configuración avanzada y haz clic en el nodo para expandirlo.

      Menú de configuración avanzada
      Menú de configuración avanzada (haz clic para ampliar)

    2. Para cambiar la configuración de los recursos, haz clic en la lista desplegable de la columna de servicio a fin de elegir una opción de habilitación.

      • Habilitar de forma predeterminada: se habilita el servicio para el recurso.
      • Inhabilitar de forma predeterminada: se inhabilita el servicio para el recurso.
      • Heredar: el recurso usa la configuración de servicio seleccionada para su superior en la jerarquía de recursos.

    Si haces clic en Buscar una carpeta o proyecto, se abrirá una ventana que te permitirá ingresar términos de búsqueda para encontrar recursos con rapidez y cambiar su configuración.

    A continuación, debes otorgar permisos a la cuenta de servicio del Security Command Center.

    Paso 4: Otorga permisos

    Cuando habilitas Security Command Center, se crea una cuenta de servicio para ti con el siguiente formato:

    service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

    Reemplaza ORGANIZATION_ID por el identificador numérico de tu organización.

    Esta cuenta de servicio tiene las siguientes funciones de IAM a nivel de la organización:

    • securitycenter.serviceAgent permite que la cuenta de servicio de Security Command Center cree y actualice sus propias copias de los metadatos del inventario de activos de tu organización de forma continua. Para obtener información sobre los permisos asociados con esta función, consulta control de acceso.
    • serviceusage.serviceUsageAdmin. Para obtener más información sobre cómo se usa esta función, consulta ¿Qué es Service Usage?
    • cloudfunctions.serviceAgent

    Para otorgar estas funciones automáticamente a la cuenta de servicio, haz clic en Otorgar funciones. Si prefieres otorgar las funciones necesarias de forma manual con Google Cloud CLI, haz lo siguiente:

    1. Haz clic para expandir la sección Otorgar funciones de forma manual y, luego, copia el comando de la CLI de gcloud.
    2. En la barra de herramientas de la consola de Google Cloud, haz clic en Activar Cloud Shell.
    3. En la ventana de la terminal que, a continuación, pega los comandos de la CLI de gcloud que copiaste y, luego, presiona Intro.

    Las funciones necesarias se otorgan a la cuenta de servicio de Security Command Center.

    A continuación, confirma la configuración de Security Command Center y se mostrará la página Explorar de Security Command Center.

    Paso 5: Espera a que se completen los análisis

    Cuando termines la configuración, Security Command Center iniciará un análisis inicial de elementos, después de lo cual podrás usar el panel para revisar y solucionar los riesgos de seguridad y datos de Google Cloud en toda tu organización. Puede haber una demora antes de que se inicien los análisis de algunos productos. Lee la descripción general de la latencia de Security Command Center para obtener más información sobre el proceso de activación.

    Para obtener más información sobre cada servicio integrado, consulta las guías disponibles en este sitio.

    ¿Qué sigue?