Guida rapida: configura Security Command Center

Configurare Security Command Center

Questa pagina mostra come configurare Security Command Center per la tua organizzazione per la prima volta. Se Security Command Center è già configurato per la tua organizzazione, consulta la guida all'utilizzo di Security Command Center.

Prima di iniziare

Crea un'organizzazione

Security Command Center richiede una risorsa dell'organizzazione associata a un dominio e, se vuoi utilizzare il livello Premium, un account di fatturazione. Se non hai creato un'organizzazione, consulta Creare e gestire le organizzazioni.

Configura le autorizzazioni

Per configurare Security Command Center, devi avere i seguenti ruoli IAM (Identity and Access Management):

  • Amministratore dell'organizzazione roles/resourcemanager.organizationAdmin
  • Amministratore Centro sicurezza roles/securitycenter.admin
  • Amministratore sicurezza roles/iam.securityAdmin
  • Crea account di servizio roles/iam.serviceAccountCreator

Scopri di più sui ruoli Security Command Center.

Verificare i criteri dell'organizzazione

Se i criteri dell'organizzazione sono impostati in modo da limitare le identità in base al dominio:

  • Devi aver eseguito l'accesso a Google Cloud Console su un account che fa parte di un dominio consentito.
  • Gli account di servizio devono appartenere a un dominio consentito o ai membri di un gruppo all'interno del dominio. Questo requisito consente di consentire ai servizi @*.gserviceaccount.com di accedere alle risorse quando è abilitata la condivisione limitata per i domini.

Configurazione di Security Command Center per la tua organizzazione

Per configurare Security Command Center per la tua organizzazione, scegli il livello di Security Command Center che preferisci e abilita i servizi o le origini integrate in cui vuoi visualizzare i risultati nella dashboard di Security Command Center. Quindi seleziona le risorse o gli asset per monitorare e concedere le autorizzazioni per l'account di servizio Security Command Center.

Passaggio 1: scegli il livello

Il livello di Security Command Center selezionato determina le funzionalità disponibili per te e il costo di utilizzo di Security Command Center. La tabella seguente fornisce una panoramica dei servizi integrati di Security Command Center disponibili con i livelli Premium e Standard:

Dettagli sui livelli

Funzionalità del livello Standard

  • Security Health Analytics: nel livello Standard, Security Health Analytics fornisce la scansione gestita della valutazione di vulnerabilità per Google Cloud che può rilevare automaticamente le vulnerabilità e gli errori di configurazione più gravi per i tuoi asset Google Cloud. Nel livello Standard, Security Health Analytics include i seguenti tipi di ricerca:

    • DATAPROC_IMAGE_OUTDATED
    • LEGACY_AUTHORIZATION_ENABLED
    • MFA_NOT_ENFORCED
    • NON_ORG_IAM_MEMBER
    • OPEN_CISCOSECURE_WEBSM_PORT
    • OPEN_DIRECTORY_SERVICES_PORT
    • OPEN_FIREWALL
    • OPEN_GROUP_IAM_MEMBER
    • OPEN_RDP_PORT
    • OPEN_SSH_PORT
    • OPEN_TELNET_PORT
    • PUBLIC_BUCKET_ACL
    • PUBLIC_COMPUTE_IMAGE
    • PUBLIC_DATASET
    • PUBLIC_IP_ADDRESS
    • PUBLIC_LOG_BUCKET
    • PUBLIC_SQL_INSTANCE
    • SSL_NOT_ENFORCED
    • WEB_UI_ENABLED
  • Scansioni personalizzate di Web Security Scanner: nel livello Standard, Web Security Scanner supporta le scansioni personalizzate per le applicazioni di cui è stato eseguito il deployment con URL e indirizzi IP pubblici che non sono protette da un firewall. Le scansioni vengono configurate, gestite ed eseguite manualmente per tutti i progetti e supportano un sottoinsieme di categorie della OWASP Top Ten
  • Errori di Security Command Center: Security Command Center fornisce indicazioni di rilevamento e correzione per gli errori di configurazione che impediscono a Security Command Center e ai suoi servizi di funzionare correttamente.
  • Supporto per concedere agli utenti ruoli IAM (Identity and Access Management) a livello di organizzazione.
  • Accesso ai servizi Google Cloud integrati, tra cui:

  • Integrazione con BigQuery, che esporta i risultati in BigQuery per l'analisi.
  • Integrazione con Forseti Security, il toolkit di sicurezza open source per Google Cloud e applicazioni SIEM (Security and Information Management and Event Management) di terze parti.

Funzionalità del livello Premium

Il livello Premium include tutte le funzionalità del livello Standard e aggiunge quanto segue:

  • Event Threat Detection utilizza l'intelligence per le minacce, il machine learning e altri metodi avanzati per monitorare Cloud Logging e Google Workspace della tua organizzazione e rilevare le seguenti minacce:
    • Malware
    • Cryptomining
    • Forza bruta SSH
    • DoS in uscita
    • Concessione IAM anomala
    • Esfiltrazione di dati

    Event Threat Detection identifica anche le seguenti minacce di Google Workspace:

    • Password divulgate
    • Tentativi di violazione degli account
    • Modifiche alle impostazioni della verifica in due passaggi
    • Modifiche alle impostazioni del Single Sign-On (SSO)
    • Attacchi sostenuti da un governo
  • Container Threat Detection rileva i seguenti attacchi di runtime del container:
    • Programma binario aggiuntivo eseguito
    • Libreria aggiuntiva caricata
    • Script dannoso eseguito
    • Shell inversa
  • Virtual Machine Threat Detection rileva le applicazioni di mining di criptovaluta in esecuzione all'interno delle istanze VM.
  • Security Health Analytics: il livello Premium include l'analisi delle vulnerabilità gestita per tutti i rilevatori di Security Health Analytics (oltre 140) e fornisce il monitoraggio di numerose best practice del settore e della conformità negli asset Google Cloud. Tali risultati possono essere esaminati anche in una dashboard di Conformità ed esportati come CSV gestibili.

    Nel livello Premium, Security Health Analytics include monitoraggio e report per i seguenti standard:

    • CIS 1.2
    • CIS 1.1
    • CIS 1.0
    • PCI DSS v3.2.1
    • NIST 800-53
    • ISO 27001
  • Web Security Scanner nel livello Premium include tutte le funzionalità di livello Standard e altri rilevatori che supportano le categorie della OWASP Top Ten. Web Security Scanner aggiunge anche scansioni gestite che vengono configurate automaticamente. Queste scansioni identificano le seguenti vulnerabilità di sicurezza nelle tue app Google Cloud:
    • Cross-site scripting (XSS)
    • Flash injection
    • Contenuto misto
    • Password in chiaro
    • Utilizzo di librerie JavaScript non sicure
  • Il livello Premium include il supporto per la concessione dei ruoli IAM degli utenti a livello di organizzazione, cartella e progetto.
  • Il livello Premium include la funzionalità Esportazioni continue, che gestisce automaticamente l'esportazione di nuovi risultati in Pub/Sub.
  • Puoi richiedere un'ulteriore quota di Cloud Asset Inventory se è necessario il monitoraggio esteso degli asset.
  • Il servizio di servizio Secured Landing Zone può essere abilitato solo nel livello Security Command Center Premium. Quando è abilitato, questo servizio visualizza i risultati se vengono rilevate violazioni dei criteri nelle risorse del progetto base di cui è stato eseguito il deployment, genera avvisi corrispondenti ed esegue in modo selettivo le azioni correttive.
  • Report sulle vulnerabilità di VM Manager

    • Se abiliti VM Manager, il servizio scrive automaticamente i risultati dei report sulle vulnerabilità, che sono in anteprima, in Security Command Center. I report identificano le vulnerabilità nei sistemi operativi installati sulle macchine virtuali di Compute Engine. Per maggiori informazioni, consulta VM Manager.

    Per informazioni sui costi associati all'utilizzo di Security Command Center, consulta la pagina dei prezzi.

    Per abbonarti al livello Security Command Center Premium, contatta il tuo rappresentante di vendita Google Cloud o il tuo partner Cloud.

    Dopo aver selezionato il livello che ti interessa, avvia la configurazione di Security Command Center:

    1. Vai a Security Command Center nella console.

      Vai a Security Command Center

    2. Nell'elenco a discesa Organizzazione, seleziona l'organizzazione per cui vuoi abilitare Security Command Center, quindi fai clic su Seleziona.

    Successivamente, seleziona i servizi integrati che vuoi attivare per la tua organizzazione.

    Passaggio 2: scegli i servizi

    Nella pagina Scegli servizi, tutti i servizi integrati sono attivati per impostazione predefinita a livello di organizzazione per il livello selezionato. Ogni servizio esegue la scansione di tutte le risorse supportate e registra i risultati dell'intera organizzazione. Per disattivare uno dei servizi, fai clic sull'elenco a discesa accanto al nome del servizio e seleziona Disabilita per impostazione predefinita.

    Di seguito sono riportate le note relative a servizi specifici:

    • Per il corretto funzionamento di Container Threat Detection, devi assicurarti che i tuoi cluster utilizzino una versione supportata di Google Kubernetes Engine (GKE) e che i tuoi cluster GKE siano configurati correttamente. Per saperne di più, consulta la pagina relativa all'utilizzo di Container Threat Detection.

    • Event Threat Detection si basa su log generati da Google Cloud. Per utilizzare Event Threat Detection, devi attivare i log per l'organizzazione, le cartelle e i progetti.

    • I risultati del rilevamento di anomalie sono disponibili automaticamente in Security Command Center. Il rilevamento di anomalie può essere disabilitato dopo l'onboarding seguendo i passaggi in Configurazione di Security Command Center.

    Successivamente, potrai abilitare o disabilitare i servizi per singole risorse.

    Passaggio 3: scegli le risorse

    Security Command Center è progettato per funzionare a livello di organizzazione. Per impostazione predefinita, le risorse ereditano le impostazioni del servizio per l'organizzazione. Tutti i servizi abilitati eseguono analisi per tutte le risorse supportate nella tua organizzazione. Questa configurazione è la modalità operativa ottimale per garantire che le risorse nuove e modificate vengano rilevate e protette automaticamente.

    Se non vuoi che Security Command Center esegua la scansione di tutta l'organizzazione, devi escludere le singole risorse nel menu Impostazioni avanzate.

    1. Vai al menu Impostazioni avanzate e fai clic sul nodo per espanderlo.

      Menu Impostazioni avanzate
      Menu Impostazioni avanzate (fai clic per ingrandire)
    2. Per modificare le impostazioni delle risorse, fai clic sull'elenco a discesa nella colonna del servizio per scegliere un'opzione di abilitazione.

      • Abilitato per impostazione predefinita: il servizio è abilitato per la risorsa.
      • Disabilitato per impostazione predefinita: il servizio è disabilitato per la risorsa.
      • Eredita: la risorsa utilizza l'impostazione del servizio selezionata per l'elemento padre nella gerarchia delle risorse.

    Fai clic su Cerca una cartella o un progetto per aprire una finestra in cui puoi inserire termini di ricerca per trovare rapidamente le risorse e modificarne le impostazioni.

    Successivamente, concederai le autorizzazioni all'account di servizio Security Command Center.

    Passaggio 4: concedi le autorizzazioni

    Quando abiliti Security Command Center, viene creato per te un account di servizio nel seguente formato:

    service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
    

    Sostituisci ORGANIZATION_ID con l'identificatore numerico della tua organizzazione.

    Questo account di servizio ha i seguenti ruoli IAM a livello di organizzazione:

    • securitycenter.serviceAgent consente all'account di servizio Security Command Center di creare e aggiornare la propria copia dei metadati dell'inventario di asset della tua organizzazione su base continuativa. Per scoprire di più sulle autorizzazioni associate a questo ruolo, consulta il controllo dell'accesso.
    • serviceusage.serviceUsageAdmin. Per scoprire di più su come viene utilizzato questo ruolo, consulta la sezione Che cos'è l'utilizzo del servizio?
    • cloudfunctions.serviceAgent

    Per concedere automaticamente questi ruoli all'account di servizio, fai clic su Concedi ruoli. Se preferisci concedere manualmente i ruoli richiesti utilizzando Google Cloud CLI:

    1. Fai clic per espandere la sezione concedi i ruoli manualmente e copia il comando dell'interfaccia a riga di comando gcloud.
    2. Nella barra degli strumenti della console, fai clic su Attiva Cloud Shell.
    3. Nella finestra del terminale visualizzata, incolla i comandi di gcloud CLI che hai copiato e premi Invio.

    I ruoli richiesti vengono concessi all'account di servizio Security Command Center.

    Successivamente, confermi la configurazione di Security Command Center e viene visualizzata la pagina Esplora di Security Command Center.

    Passaggio 5: attendi il completamento delle scansioni

    Al termine della configurazione, Security Command Center avvia una scansione iniziale degli asset, dopodiché puoi utilizzare la dashboard per esaminare e risolvere i rischi relativi alla sicurezza e ai dati di Google Cloud in tutta l'organizzazione. Potrebbe verificarsi un ritardo prima che vengano avviate le scansioni per alcuni prodotti. Consulta la panoramica della latenza di Security Command Center per scoprire di più sul processo di attivazione.

    Per scoprire di più su ciascun servizio integrato, consulta le guide disponibili su questo sito.

    Passaggi successivi