הפעלת Security Command Center Enterprise

רמת Enterprise של Security Command Center מספקת שיפורים באבטחה, כולל:

  • תפעול אבטחה מתקדם באמצעות Google Security Operations
  • שילובים עם מוצרים אחרים, כמו Mandiant Attack Surface Management,‏ Sensitive Data Protection ו-Assured OSS Google Cloud
  • תמיכה בסביבה מרובת עננים (multi-cloud)
  • ניתוח סיכונים
  • תמיכה בנושא תאימות (תצוגה מקדימה)

תיאור של התכונות במסלול Enterprise זמין במאמר בנושא מסלולי שירות.

אפשר להשלים את תהליך ההפעלה של רמת Enterprise באמצעות מדריך ההגדרה במסוף Google Cloud . אחרי שמבצעים את המשימות הראשוניות הנדרשות, משלימים את השלבים הנוספים כדי להגדיר תכונות אופציונליות שהארגון צריך.

למידע על תמחור ועל רכישת מינוי, אפשר לעיין במאמר תמחור של Security Command Center.

הוראות להפעלת Security Command Center עם רמת שירות שונה זמינות במאמרים הבאים:

לפני שמתחילים

לפני שמפעילים את Security Command Center בפעם הראשונה, צריך לבצע את הפעולות הבאות:

  1. תכנון ההפעלה
  2. יצירת ארגון
  3. יצירת פרויקט הניהול
  4. אימות מדיניות הארגון
  5. הגדרת הרשאות וממשקי API
  6. הגדרת אנשי הקשר לקבלת התראות

תכנון ההפעלה

בקטע הזה מתוארות ההחלטות והמידע שצריך להכין לפני ההפעלה.

החלטה אם להפעיל תמיכה במיקום האחסון של הנתונים

כשמפעילים את Security Command Center, אפשר להפעיל תמיכה במיקום הנתונים, וכך לקבל יותר שליטה במיקום הנתונים של Security Command Center. ב-Google SecOps, מיקום הנתונים מופעל תמיד.

במהדורת Enterprise, לפני שמפעילים את Security Command Center עם אמצעי בקרה של מיקום הנתונים, צריך ליצור קשר עם Google Cloud נציג החשבון ולתאם איתו תאריך ושעה להפעלת Security Command Center. אחרי ההפעלה, נציג החשבון יעזור לוודא שמופע Google SecOps מוגדר לתמיכה מלאה באמצעי בקרה על מיקום הנתונים.

אחרי שמפעילים בארגון תמיכה במיקום הנתונים, אי אפשר להשבית אותה.

אם אתם משתמשים ברמת השירות Standard או Premium, שדרוג לרמת Enterprise לא ישנה את המיקום של נתוני Security Command Center. אם לא הפעלתם את תכונת שמירת הנתונים במיקום מוגדר ב-Security Command Center במהדורות Standard או Premium, לא תוכלו להפעיל אותה כשתשדרגו למהדורת Enterprise.

איך קובעים את איש הקשר לתמיכה

כשמפעילים מופע חדש של Google SecOps, צריך לספק את שם החברה וכתובת אימייל של איש קשר. מזהים נקודת קשר בארגון. ההגדרה הזו לא קשורה לאנשי קשר חיוניים.

בחירת ההגדרה של Google SecOps

במהלך ההפעלה, מקשרים את Security Command Center Enterprise למכונת Google SecOps.

  • אפשר להתחבר למופע קיים.

  • אפשר להקצות מופע חדש ולהתחבר אליו. אתם יכולים להקצות מופע חדש ולהתחבר אליו גם אם יש לכם מופע קיים.

התחברות למכונה קיימת

אי אפשר לקשר את Security Command Center Enterprise למופע קיים של Google SecOps SIEM standalone או של Google SecOps SOAR standalone. אם יש לכם שאלות לגבי סוג המופע של Google SecOps שיש לכם, תוכלו לפנות לנציג המכירות שלכם. Google Cloud

כשבוחרים מכונת Google SecOps קיימת, בדף Connect to a SecOps instance מוצג קישור למכונה כדי שתוכלו לאמת את הבחירה. כדי לאמת את המכונה, צריכה להיות לכם גישה אליה. כדי להיכנס למופע, צריך לפחות את התפקיד Chronicle API Restricted Data Access Viewer (roles/chronicle.restrictedDataAccessViewer) בפרויקט הניהול.

אם אתם מקצים את Security Command Center באמצעות מופע קיים של Google SecOps שמוגדר לשימוש באיחוד שירותי אימות הזהות של כוח העבודה, אתם צריכים לעדכן את מאגרי הזהויות של כוח העבודה בהרשאות נוספות כדי לגשת לתכונות בדפים של מסוף Security Operations שזמינות ב-Security Command Center Enterprise. מידע נוסף על שליטה בגישה לתכונות בדפים של Security Operations Console

הקצאת מופע חדש

כשמפעילים מופע חדש, רק המופע החדש משויך ל-Security Command Center. כשמשתמשים ב-Security Command Center, אפשר לנווט בין הדפים של מסוףGoogle Cloud ומסוף Security Operations החדש שהוקצה.

במהלך ההפעלה, מציינים את המיקום שבו יוקצה מופע חדש של Google SecOps. רשימה של אזורים ואזורים מרובים נתמכים מופיעה בדף מיקומים של שירותי SecOps. המיקום הזה רלוונטי רק ל-Google SecOps, ולא לתכונות או לשירותים אחרים של Security Command Center.

לכל מופע של Google SecOps צריך להיות פרויקט ניהול ייעודי שנמצא בבעלותכם וניהולכם. הפרויקט צריך להיות באותו ארגון שבו מפעילים את Security Command Center Enterprise. אי אפשר להשתמש באותו פרויקט ניהול לכמה מכונות Google SecOps.

אם יש לכם מופע קיים של Google SecOps ואתם מקצים מופע חדש של Security Command Center Enterprise, שני המופעים משתמשים באותה הגדרה של הטמעת נתונים ישירה Google Cloud . אותן הגדרות קובעות את ההטמעה בשני המקרים של Google SecOps, והמערכת מקבלת את אותם נתונים.

במהלך ההפעלה של Security Command Center Enterprise, תהליך ההפעלה משנה את ההגדרות של הטמעת יומנים ב-Google Cloud כדי להגדיר את כל השדות של סוגי הנתונים כזמינים: Google Cloud Logging,‏ Cloud Asset Metadata וממצאים של Security Command Center Premium. הגדרות הסינון של הייצוא לא ישתנו. כדי שכל התכונות של Security Command Center Enterprise יפעלו כמו שצריך, נדרשים סוגי הנתונים האלה. אחרי שההפעלה מסתיימת, אפשר לשנות את ההגדרות של העברת יומנים ל-Google Cloud.

יצירת ארגון

כדי להשתמש ב-Security Command Center, צריך משאב ארגוני שמשויך לדומיין. אם עוד לא יצרתם ארגון, כדאי לקרוא את המאמר יצירה וניהול של ארגונים.

אם יש לכם כמה ארגונים, צריך לזהות באילו ארגונים תפעילו את Security Command Center Enterprise. צריך לפעול לפי שלבי ההפעלה האלה בכל ארגון שבו מתכננים להפעיל את Security Command Center Enterprise.

אימות מדיניות הארגון

אם מדיניות הארגון שלכם מוגדרת להגבלת השימוש במשאבים, צריך לוודא שממשקי ה-API הבאים מורשים:

  • chronicle.googleapis.com
  • cloudsecuritycompliance.googleapis.com
  • securitycenter.googleapis.com
  • securitycentermanagement.googleapis.com

יצירת פרויקט ניהול

כדי להפעיל את השילוב של Google SecOps ו-Mandiant Attack Surface Management, צריך פרויקט שנקרא פרויקט ניהול ב-Security Command Center Enterprise. מומלץ להשתמש בפרויקט הזה רק עבור Security Command Center Enterprise.

אם הפעלתם את Google SecOps בעבר ואתם רוצים להתחבר למופע הקיים, אתם יכולים להשתמש בפרויקט הניהול הקיים שמקושר ל-Google SecOps.

אם אתם מתכננים להקצות משאבים למופע חדש של Google SecOps, אתם צריכים ליצור פרויקט ניהול חדש שמוקדש למופע החדש. אל תעשו שימוש חוזר בפרויקט ניהול שמחובר למופע אחר של Google SecOps.

‫Google SecOps לא תומך בשימוש בפרויקט ניהול שקיים בגבולות גזרה לשירות של VPC Service Controls.

למידע נוסף על יצירה וניהול של פרויקטים.

הגדרת הרשאות וממשקי API

המידע בקטע הזה יעזור לכם להגדיר את ההרשאות שנדרשות כדי להפעיל את Security Command Center Enterprise:

מידע נוסף על תפקידים ב-Security Command Center ועל ממשקי API שלGoogle Cloud

הפעלת Security Center Management API

אם אתם מתכננים להשתמש ב-Security Center Management API, אתם צריכים להפעיל את ה-API הזה בפרויקט שבו אתם מתכננים להפעיל אותו:

תפקידים שנדרשים להפעלת ממשקי API

כדי להפעיל ממשקי API, צריך את תפקיד ה-IAM 'אדמין של Service Usage' (roles/serviceusage.serviceUsageAdmin), שכולל את ההרשאה serviceusage.services.enable. איך מקצים תפקידים

להפעלת ה-API

הגדרת הרשאות בארגון

צריך לוודא שיש לכם בארגון את התפקיד או התפקידים הבאים:

בדיקת התפקידים

  1. נכנסים לדף IAM במסוף Google Cloud .

    כניסה לדף IAM
  2. בוחרים את הארגון.
  3. בעמודה Principal (חשבון המשתמש), מוצאים את כל השורות שבהן מופיע השם שלכם או של קבוצה שאתם נכללים בה. כדי לברר באילו קבוצות אתם נכללים, פנו לאדמין.

  4. בודקים את העמודה Role בכל השורות שבהן מצוין או מופיע השם שלכם, כדי לראות אם רשימת התפקידים כוללת את התפקידים הנדרשים.

מתן התפקידים

  1. נכנסים לדף IAM במסוף Google Cloud .

    כניסה לדף IAM
  2. בוחרים את הארגון.
  3. לוחצים על Grant access.
  4. בשדה New principals, מזינים את מזהה המשתמש. ‫ בדרך כלל מזהה המשתמש הוא כתובת האימייל של חשבון Google.

  5. לוחצים על Select a role ומחפשים את התפקיד.
  6. כדי לתת עוד תפקידים, לוחצים על Add another role ומוסיפים אותם.
  7. לוחצים על Save.

הגדרת הרשאות והפעלת ממשקי API בפרויקט הניהול

  1. במסוף Google Cloud , מוודאים שאתם צופים בארגון שבו אתם רוצים להפעיל את רמת Enterprise של Security Command Center.
  2. בוחרים את פרויקט הניהול שיצרתם קודם.
  3. צריך לוודא שיש לכם בפרויקט את התפקיד או התפקידים הבאים:

    בדיקת התפקידים

    1. נכנסים לדף IAM במסוף Google Cloud .

      כניסה לדף IAM
    2. בוחרים את הפרויקט.
    3. בעמודה Principal (חשבון המשתמש), מוצאים את כל השורות שבהן מופיע השם שלכם או של קבוצה שאתם נכללים בה. כדי לברר באילו קבוצות אתם נכללים, פנו לאדמין.

    4. בודקים את העמודה Role בכל השורות שבהן מצוין או מופיע השם שלכם, כדי לראות אם רשימת התפקידים כוללת את התפקידים הנדרשים.

    מתן התפקידים

    1. נכנסים לדף IAM במסוף Google Cloud .

      כניסה לדף IAM
    2. בוחרים את הפרויקט.
    3. לוחצים על Grant access.
    4. בשדה New principals, מזינים את מזהה המשתמש. ‫ בדרך כלל מזהה המשתמש הוא כתובת האימייל של חשבון Google.

    5. לוחצים על Select a role ומחפשים את התפקיד.
    6. כדי לתת עוד תפקידים, לוחצים על Add another role ומוסיפים אותם.
    7. לוחצים על Save.
  4. מפעילים את Cloud Asset API,‏ Cloud Pub/Sub API,‏ Cloud Resource Manager API,‏ Compute Engine API,‏ כלי הניתוח למדיניות API ו-Recommender API.

    תפקידים שנדרשים להפעלת ממשקי API

    כדי להפעיל ממשקי API, צריך את תפקיד ה-IAM 'אדמין של Service Usage' (roles/serviceusage.serviceUsageAdmin), שכולל את ההרשאה serviceusage.services.enable. איך מקצים תפקידים

    הפעלת ממשקי ה-API

יצירת חשבון שירות כשמשתמשים במופע קיים של Google SecOps

אם אתם מתכננים להתחבר למופע קיים של Google SecOps, צריך ליצור חשבון שירות בניהול המשתמש ולהעניק לחשבון השירות את התפקידים הבאים:

הגדרת אנשי הקשר לקבלת התראות

כדאי להגדיר את אנשי הקשר החיוניים כך שמנהלי האבטחה יוכלו לקבל התראות חשובות. הוראות מופיעות במאמר בנושא איך מגדירים מי יקבל התראות.

הפעלת רמת השירות Security Command Center Enterprise

תהליך ההפעלה מגדיר באופן אוטומטי את חשבונות השירות, ההרשאות והשירותים שכלולים ב-Security Command Center Enterprise. אתם יכולים להתחבר למכונה קיימת של Google SecOps Standard,‏ Enterprise או Enterprise Plus, או להקצות מכונה חדשה.

  1. נכנסים ל-Security Command Center במסוף Google Cloud .

    מעבר אל Security Command Center

  2. בוחרים את הארגון שבו רוצים להפעיל את מהדורת Enterprise של Security Command Center ולוחצים על בחירה.

  3. בתפריט הניווט של Security Command Center, לוחצים על מדריך ההגדרה.

  4. בדף Get started with Security Command Center Enterprise, בודקים את חשבונות השירות ואת ממשקי ה-API שיוגדרו ולוחצים על Next.

    • כדי לראות את חשבונות השירות שייווצרו, לוחצים על View service accounts and permissions (הצגת חשבונות שירות והרשאות).
    • כדי לראות את ממשקי ה-API שיופעלו, לוחצים על הצגת ממשקי API של Security Command Center Enterprise.
    • כדי לראות את התנאים וההגבלות, לוחצים על התנאים וההגבלות של Security Command Center Enterprise.

    בדף הבא מוצגת תצוגה שונה בהתאם לסביבה שלכם.

  5. אם הארגון מקושר למופע של Google SecOps, בוחרים באחת מהאפשרויות הבאות. אם הוא לא מקושר למופע של Google SecOps, צריך להמשיך לשלב 6 כדי ליצור מופע חדש של Google SecOps.

    • בוחרים באפשרות כן, אני רוצה להתחבר למופע קיים של Google Security Operations, ואז בוחרים מופע מהתפריט. ממשיכים לשלב 7 כדי להתחיל את ההפעלה.

      בתפריט מוצגים מופעים של Google SecOps שמשויכים לארגון שבו מפעילים את Security Command Center Enterprise. כל פריט כולל את מספר הלקוח ב-Google SecOps, את האזור שבו הוא הוקצה ואת שם הפרויקט ב- Google Cloud שהוא משויך אליו. אי אפשר לבחור מופע שלא תואם ל-Security Command Center Enterprise.

      בדף מופיע קישור למכונת Google SecOps שנבחרה, כדי שתוכלו לאמת אותה. אם מופיעה שגיאה כשפותחים את המופע, צריך לוודא שיש לכם את הרשאות ה-IAM הנדרשות לגישה למופע.

    • בוחרים באפשרות לא, אני רוצה ליצור מופע חדש של Google Security Operations, ואז ממשיכים לשלב 6 כדי ליצור מופע חדש של Google SecOps.

  6. כדי ליצור מכונת Google SecOps חדשה, צריך לספק פרטים נוספים על ההגדרה.

    1. מציינים את הפרטים ליצירת קשר עם החברה.

      • איש קשר לתמיכה טכנית: מזינים כתובת אימייל אישית או כתובת אימייל קבוצתית.
      • שם החברה: מזינים את שם החברה.
    2. בוחרים את סוג המיקום שבו יוקצה Google SecOps.

      • אזור: בוחרים אזור אחד.
      • מספר אזורים: בוחרים מיקום במספר אזורים.

      המיקום הזה משמש רק את Google SecOps, ולא תכונות אחרות של Security Command Center. רשימה של האזורים והאזורים המרובים הנתמכים מופיעה בדף מיקומי שירותי SecOps.

    3. לוחצים על הבא ואז בוחרים את פרויקט הניהול הייעודי. יצרתם את פרויקט הניהול הייעודי בשלב הקודם.

      אם תבחרו פרויקט שמקושר למופע קיים של Google SecOps, תוצג לכם שגיאה כשתתחילו את ההפעלה.

    4. ממשיכים לשלב 7 כדי להתחיל את ההפעלה.

  7. לוחצים על הפעלה.

    שירותים מסוימים מופעלים באופן אוטומטי, כמו Security Health Analytics,‏ Event Threat Detection ו-זיהוי איומים במכונות וירטואליות. יכול להיות שיעבור קצת זמן עד שהתכונות של Google SecOps יהיו מוכנות והממצאים יהיו זמינים.

  8. ממשיכים אל מעקב אחרי התקדמות ההפעלה והגדרת שירותים.

מעקב אחרי התקדמות ההפעלה והגדרת שירותים

מדריך ההגדרה מציג את סטטוס ההקצאה ומאפשר לכם לראות את השירותים שמופעלים. אתם יכולים להגדיר שירותים נוספים וליצור חיבורים לספקי שירותי ענן אחרים.

  1. במסוף Google Cloud , עוברים אל מדריך ההגדרה של Security Command Center.

    מעבר למדריך ההגדרה

  2. בוחרים את הארגון שבו הפעלתם את Security Command Center Enterprise.

  3. מרחיבים את החלונית Review security capabilities summary (סקירה של סיכום יכולות האבטחה). בכל חלונית מוצג סטטוס ההפעלה של שירותים קשורים.

  4. כדי להתחבר ל-Amazon Web Services ‏ (AWS) או ל-Microsoft Azure, לוחצים על הוספה הוספת מחבר. תיפתח הכרטיסייה מחברים בדף הגדרות.

    הוראות נוספות מפורטות במאמרים הבאים:

  5. לוחצים על הגדרה בכל חלונית כדי להגדיר שירותים ויכולות נוספים. בטבלה הבאה מפורטים קישורים למידע נוסף על כל יכולת.

    שם חלונית היכולות מידע נוסף על היכולות האלה
    הגנה מבוססת-AI
    אבטחת קוד
    זיהוי איומים בענן
    אבטחת מידע
    אבטחת זהויות וגישה
    עמידה בדרישות
    פלטפורמת תגובה
    הערכת נקודות חולשה

הגדרת הרשאות לשימוש שוטף ב-Security Command Center Enterprise

כדי לשנות את ההגדרות של הארגון, אתם צריכים את שני התפקידים הבאים ברמת הארגון:

אם משתמש לא צריך הרשאות עריכה, כדאי להקצות לו תפקידי צפייה.

כדי להציג את כל הנכסים, הממצאים ונתיבי התקיפה ב-Security Command Center, המשתמשים צריכים את התפקיד מנהל מערכת בעל הרשאת צפייה ב-Security Center (roles/securitycenter.adminViewer) ברמת הארגון.

כדי להציג את ההגדרות, המשתמשים צריכים את התפקיד אדמין של מרכז האבטחה (roles/securitycenter.admin) ברמת הארגון.

כדי להגביל את הגישה לפרויקטים ולתיקיות ספציפיים, אל תעניקו את כל התפקידים ברמת הארגון. במקום זאת, צריך להקצות את התפקידים הבאים ברמת התיקייה או הפרויקט:

יכול להיות שכל שירות זיהוי ידרוש הרשאות נוספות כדי להפעיל או להגדיר אותו. מידע נוסף מופיע במאמרי העזרה הספציפיים לכל שירות.

כדי להשתמש בתכונות של Security Operations console שנתמכות ב-Security Command Center Enterprise, אפשר לעיין במאמר שליטה בגישה לתכונות בדפים של Security Operations console.

שינוי שירות Security Command Center

מידע נוסף על ניהול רמות זמין במאמר שינוי הרמה של Security Command Center Enterprise.

המאמרים הבאים