Guia de início rápido: configurar o Security Command Center

Configurar o Security Command Center

Esta página mostra como configurar o Security Command Center para a organização pela primeira vez. Se o Security Command Center já estiver configurado para a organização, consulte o guia sobre como usar o Security Command Center.

Antes de começar

Criar uma organização

O Security Command Center requer um recurso da organização associado a um domínio e, se você quiser usar o nível Premium, uma conta de faturamento. Se você ainda não criou uma organização, consulte Como criar e gerenciar organizações.

Configurar permissões

Para configurar o Security Command Center, você precisa dos seguintes papéis de gerenciamento de identidade e acesso (IAM, na sigla em inglês):

  • Administrador da organização roles/resourcemanager.organizationAdmin
  • Administrador da Central de segurança roles/securitycenter.admin
  • Administrador de segurança roles/iam.securityAdmin
  • Criar contas de serviço roles/iam.serviceAccountCreator

Saiba mais sobre os papéis do Security Command Center.

Verificar as políticas da organização

Se as políticas da organização estiverem definidas para restringir identidades por domínio:

  • Você precisa fazer login no Console do Cloud em uma conta que esteja em um domínio permitido.
  • As contas de serviço precisam estar em um domínio permitido ou membros de um grupo dentro do domínio. Esse requisito permite que você possibilite o acesso de serviços @*.gserviceaccount.com aos recursos quando o compartilhamento restrito de domínio estiver ativado.

Como configurar o Security Command Center para sua organização

Para configurar o Security Command Center na sua organização, escolha o nível do Security Command Center que você quer e ative os serviços ou as fontes integradas que você quer exibir descobertas no painel do Security Command Center. Em seguida, selecione os recursos para monitorar e conceder permissões para a conta de serviço do Security Command Center.

Etapa 1: escolher seu nível

O nível do Security Command Center que você seleciona determina os recursos disponíveis e o custo de uso do Security Command Center. A tabela a seguir fornece uma visão geral dos serviços integrados do Security Command Center que estão disponíveis nos níveis Premium e Standard:

Detalhes do nível

Recursos do nível Standard

  • Security Health Analytics: no nível Standard, o Security Health Analytics oferece verificação de vulnerabilidade gerenciada para o Google Cloud. Esse processo detecta automaticamente os riscos mais altos e as configurações incorretas dos seus recursos do Google Cloud. No nível Standard, o Security Health Analytics inclui os seguintes tipos de resultados:

    • DATAPROC_IMAGE_OUTDATED
    • LEGACY_AUTHORIZATION_ENABLED
    • MFA_NOT_ENFORCED
    • NON_ORG_IAM_MEMBER
    • OPEN_CISCOSECURE_WEBSM_PORT
    • OPEN_DIRECTORY_SERVICES_PORT
    • OPEN_FIREWALL
    • OPEN_GROUP_IAM_MEMBER
    • OPEN_RDP_PORT
    • OPEN_SSH_PORT
    • OPEN_TELNET_PORT
    • PUBLIC_BUCKET_ACL
    • PUBLIC_COMPUTE_IMAGE
    • PUBLIC_DATASET
    • PUBLIC_IP_ADDRESS
    • PUBLIC_LOG_BUCKET
    • PUBLIC_SQL_INSTANCE
    • SSL_NOT_ENFORCED
    • WEB_UI_ENABLED
  • Verificações personalizadas do Web Security Scanner: no nível Standard, essa ferramenta admite verificações personalizadas de aplicativos implantados com URLs e endereços IP públicos que não estão protegidos por firewall. As verificações são configuradas, gerenciadas e executadas manualmente para todos os projetos e são compatíveis com um subconjunto de categorias em OWASP Top 10
  • Erros do Security Command Center: ele fornece orientações de detecção e remediação para erros de configuração que impedem o funcionamento correto do Security Command Center e dos serviços.
  • Suporte para conceder aos usuários papéis do Identity and Access Management (IAM) no nível da organização.

  • Acesso a serviços integrados do Google Cloud, incluindo os seguintes:

    • O Cloud Data Loss Prevention descobre, classifica e protege dados confidenciais.
    • O Google Cloud Armor protege as implantações do Google Cloud contra ameaças
    • A detecção de anomalias identifica anomalias de segurança dos seus projetos e instâncias de máquina virtual (VM), como possíveis credenciais vazadas e mineração de moedas.
  • Integração com o BigQuery, que exporta descobertas para o BigQuery para análise.
  • Integração com o Forseti Security, o kit de ferramentas de segurança de código aberto para o Google Cloud e aplicativos de gerenciamento de eventos e informações de segurança (SIEM, na sigla em inglês) de terceiros.

Recursos do nível Premium

O nível Premium inclui todos os recursos do nível Padrão e adiciona o seguinte:

  • O Event Threat Detection usa inteligência de ameaças, machine learning e outros métodos avançados para monitorar o Cloud Logging e o Google Workspace da sua organização e detectar as seguintes ameaças:
    • Malware
    • Criptomineração
    • Ataques de força bruta contra SSH
    • DoS de saída
    • Concessão anômala de IAM
    • Exfiltração de dados

    O Event Threat Detection também identifica as seguintes ameaças no Google Workspace:

    • Vazamento de senhas
    • Tentativa de violação de contas
    • Mudanças nas configurações da verificação em duas etapas
    • Mudanças nas configurações de Logon único (SSO)
    • Ataques apoiados pelo governo
  • O Container Threat Detection detecta os seguintes ataques ao ambiente de execução do contêiner:
    • Adição de binário executado
    • Adição de biblioteca carregada
    • Script malicioso executado
    • Shell reverso
  • A Virtual Machine Threat Detection detecta aplicativos de mineração de criptomoedas executados em instâncias de VM.

  • Security Health Analytics: o nível Premium inclui verificações de vulnerabilidade gerenciadas para todos os detectores do Security Health Analytics (mais de 140), além de oferecer monitoramento de muitas das práticas recomendadas do setor e de conformidade no seus recursos do Google Cloud. Esses resultados também podem ser revisados em um painel de conformidade e exportado como CSVs gerenciáveis.

    No nível Premium, o Security Health Analytics inclui monitoramento e geração de relatórios para os seguintes padrões:

    • CIS 1.2
    • CIS 1.1
    • CIS 1.0
    • PCI DSS v3.2.1
    • NIST 800-53
    • ISO 27001
  • O Web Security Scanner no nível Premium inclui todos os recursos do nível Standard e outros detectores compatíveis com categorias no OWASP Top 10. O Web Security Scanner também adiciona verificações gerenciadas que são configuradas automaticamente.
  • O Rapid Vulnerability Detection verifica as redes e os aplicativos da Web para detectar credenciais fracas, instalações de software incompletas e outras vulnerabilidades críticas com alta probabilidade de serem exploradas.
  • O nível Premium inclui suporte para conceder papéis do IAM aos usuários nos níveis de organização, pasta e projeto.
  • O nível Premium inclui o recurso de exportações contínuas, que gerencia automaticamente a exportação de novas descobertas para o Pub/Sub.
  • Será possível solicitar uma cota adicional do Inventário de recursos do Cloud se a necessidade de monitoramento estendido de recursos surgir.
  • O serviço da Zona de destino segura só pode ser ativado no nível Premium do Security Command Center. Quando ativado, esse serviço exibe descobertas se houver violações de política nos recursos do blueprint implantado, gera alertas correspondentes e realiza medidas de correção automáticas.

    • Relatórios de vulnerabilidade do VM Manager

    • Se você ativar o VM Manager, o serviço gravará automaticamente as descobertas dos relatórios de vulnerabilidade que estão em fase de pré-lançamento no Security Command Center. Os relatórios identificam vulnerabilidades nos sistemas operacionais instalados em máquinas virtuais do Compute Engine. Para mais informações, consulte VM Manager.

    Para informações sobre os custos associados ao uso do Security Command Center, consulte a página de preços.

    Para assinar o nível Premium do Security Command Center, entre em contato com seu representante de vendas ou parceiro do Google Cloud.

    Depois de selecionar o nível pretendido, inicie a configuração do Security Command Center:

    1. Acesse o Security Command Center no console do Google Cloud.

      Acesse Security Command Center

    2. Na lista suspensa Organização, selecione a organização para a qual você quer ativar o Security Command Center e clique em Selecionar.

    Em seguida, selecione os serviços integrados que você quer ativar para a organização.

    Etapa 2: escolher serviços

    Na página Escolher serviços, todos os serviços integrados incluídos no nível selecionado são ativados por padrão no nível da organização. Cada serviço verifica todos os recursos compatíveis e informa as descobertas em toda a organização. Para desativar qualquer um dos serviços, clique na lista suspensa ao lado do nome do serviço e selecione Desativar por padrão.

    Se você ativar o nível Standard e depois assinar o nível Premium, todos os serviços Premium integrados, exceto o Container Threat Detection, vão ser ativados por padrão no nível da organização. O Container Threat Detection fica desativado por padrão até que você o ative manualmente. Para ativar o Container Threat Detection, consulte Como usar o Container Threat Detection.

    A seguir estão observações sobre serviços específicos:

    • Para que o Container Threat Detection funcione corretamente, você precisa verificar se os clusters estão em uma versão compatível do Google Kubernetes Engine (GKE) e se os clusters do GKE estão configurados corretamente. Para mais informações, consulte Como usar o Container Threat Detection.

    • O Event Threat Detection depende de registros gerados pelo Google Cloud. Para usar o Event Threat Detection, você precisa ativar os registros para sua organização, pastas e projetos.

    • As descobertas de detecção de anomalias estão automaticamente disponíveis no Security Command Center. A detecção de anomalias pode ser desativada após a integração seguindo as etapas em Como configurar o Security Command Center.

    Em seguida, é possível ativar ou desativar os serviços para recursos individuais.

    Etapa 3: escolher recursos

    O Security Command Center foi projetado para funcionar no nível da organização. Por padrão, os recursos herdam as configurações do serviço da organização. Todos os serviços ativados executam verificações em todos os recursos compatíveis da organização. Essa configuração é o modo operacional ideal para garantir que os recursos novos e alterados sejam descobertos e protegidos automaticamente.

    Se você não quiser que o Security Command Center verifique toda a organização, exclua recursos individuais no menu Configurações avançadas.

    1. Navegue até o menu Configurações avançadas e clique no nó para expandi-lo.

      Menu de configurações avançadas
      Menu "Configurações avançadas" (clique para ampliar)

    2. Para alterar as configurações do recurso, clique na lista suspensa da coluna de serviço para escolher uma opção de ativação.

      • Ativar por padrão: o serviço está ativado no recurso.
      • Desativar por padrão: o serviço está desativado no recurso.
      • Herdar: o recurso usa a configuração do serviço selecionada para o pai na hierarquia de recursos.

    Clique em Pesquisar uma pasta ou um projeto para abrir uma janela que permite inserir termos de pesquisa para encontrar recursos rapidamente e alterar as configurações deles.

    Em seguida, você concede permissões à conta de serviço do Security Command Center.

    Etapa 4: conceder permissões

    Quando você ativa o Security Command Center, uma conta de serviço é criada para você no formato:

    service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

    Substitua ORGANIZATION_ID pelo identificador numérico da sua organização.

    Essa conta de serviço tem os papéis do IAM a seguir no nível da organização:

    • securitycenter.serviceAgent permite que a conta de serviço do Security Command Center crie e atualize a própria cópia dos metadados de inventário de recursos da sua organização regularmente. Para saber mais sobre as permissões associadas a esse papel, consulte controle de acesso.
    • serviceusage.serviceUsageAdmin Para saber mais sobre como esse papel é usado, consulte O que é o Service Usage?
    • cloudfunctions.serviceAgent

    Para conceder automaticamente esses papéis à conta de serviço, clique em Conceder papéis. Se você preferir conceder os papéis necessários manualmente usando a Google Cloud CLI:

    1. Clique para expandir a seção conceder papéis manualmente e copie o comando da CLI gcloudI.
    2. Na barra de título do console do Google Cloud, clique em Ativar o Cloud Shell.
    3. Na janela de terminal exibida, cole os comandos da CLI que você copiou e pressione Enter.

    Os papéis necessários são concedidos à conta de serviço do Security Command Center.

    Em seguida, confirme se a configuração do Security Command Center e a página Explorar do Security Command Center são exibidas.

    Etapa 5: aguardar a conclusão das verificações

    Quando você termina a configuração, o Security Command Center inicia uma verificação inicial de recursos. Depois disso, é possível usar o painel para analisar e corrigir os riscos de dados e segurançado Google Cloud em toda a organização. Pode haver um atraso até que as verificações sejaminiciadas em alguns produtos. Leia a visão geral da latência do Security Command Centerpara saber mais sobre o processo de ativação.

    Para saber mais sobre cada serviço integrado, consulte os guias disponíveis neste site.

    A seguir