רמת Enterprise של Security Command Center מספקת שיפורים באבטחה, כולל:
- תפעול אבטחה מתקדם באמצעות Google Security Operations
- שילובים עם מוצרים אחרים, כמו Mandiant Attack Surface Management, Sensitive Data Protection ו-Assured OSS Google Cloud
- תמיכה בסביבה מרובת עננים (multi-cloud)
- ניתוח סיכונים
- תמיכה בנושא תאימות (תצוגה מקדימה)
תיאור של התכונות במסלול Enterprise זמין במאמר בנושא מסלולי שירות.
אפשר להשלים את תהליך ההפעלה של רמת Enterprise באמצעות מדריך ההגדרה במסוף Google Cloud . אחרי שמבצעים את המשימות הראשוניות הנדרשות, משלימים את השלבים הנוספים כדי להגדיר תכונות אופציונליות שהארגון צריך.
למידע על תמחור ועל רכישת מינוי, אפשר לעיין במאמר תמחור של Security Command Center.
הוראות להפעלת Security Command Center עם רמת שירות שונה זמינות במאמרים הבאים:
לפני שמתחילים
לפני שמפעילים את Security Command Center בפעם הראשונה, צריך לבצע את הפעולות הבאות:
- תכנון ההפעלה
- יצירת ארגון
- יצירת פרויקט הניהול
- אימות מדיניות הארגון
- הגדרת הרשאות וממשקי API
- הגדרת אנשי הקשר לקבלת התראות
תכנון ההפעלה
בקטע הזה מתוארות ההחלטות והמידע שצריך להכין לפני ההפעלה.
החלטה אם להפעיל תמיכה במיקום האחסון של הנתונים
כשמפעילים את Security Command Center, אפשר להפעיל תמיכה במיקום הנתונים, וכך לקבל יותר שליטה במיקום הנתונים של Security Command Center. ב-Google SecOps, מיקום הנתונים מופעל תמיד.
במהדורת Enterprise, לפני שמפעילים את Security Command Center עם אמצעי בקרה של מיקום הנתונים, צריך ליצור קשר עם Google Cloud נציג החשבון ולתאם איתו תאריך ושעה להפעלת Security Command Center. אחרי ההפעלה, נציג החשבון יעזור לוודא שמופע Google SecOps מוגדר לתמיכה מלאה באמצעי בקרה על מיקום הנתונים.אחרי שמפעילים בארגון תמיכה במיקום הנתונים, אי אפשר להשבית אותה.
אם אתם משתמשים ברמת השירות Standard או Premium, שדרוג לרמת Enterprise לא ישנה את המיקום של נתוני Security Command Center. אם לא הפעלתם את תכונת שמירת הנתונים במיקום מוגדר ב-Security Command Center במהדורות Standard או Premium, לא תוכלו להפעיל אותה כשתשדרגו למהדורת Enterprise.
איך קובעים את איש הקשר לתמיכה
כשמפעילים מופע חדש של Google SecOps, צריך לספק את שם החברה וכתובת אימייל של איש קשר. מזהים נקודת קשר בארגון. ההגדרה הזו לא קשורה לאנשי קשר חיוניים.
בחירת ההגדרה של Google SecOps
במהלך ההפעלה, מקשרים את Security Command Center Enterprise למכונת Google SecOps.
אפשר להתחבר למופע קיים.
אפשר להקצות מופע חדש ולהתחבר אליו. אתם יכולים להקצות מופע חדש ולהתחבר אליו גם אם יש לכם מופע קיים.
התחברות למכונה קיימת
אי אפשר לקשר את Security Command Center Enterprise למופע קיים של Google SecOps SIEM standalone או של Google SecOps SOAR standalone. אם יש לכם שאלות לגבי סוג המופע של Google SecOps שיש לכם, תוכלו לפנות לנציג המכירות שלכם. Google Cloud
כשבוחרים מכונת Google SecOps קיימת, בדף Connect to a SecOps instance מוצג קישור למכונה כדי שתוכלו לאמת את הבחירה. כדי לאמת את המכונה, צריכה להיות לכם גישה אליה.
כדי להיכנס למופע, צריך לפחות את התפקיד Chronicle API Restricted Data Access Viewer (roles/chronicle.restrictedDataAccessViewer) בפרויקט הניהול.
אם אתם מקצים את Security Command Center באמצעות מופע קיים של Google SecOps שמוגדר לשימוש באיחוד שירותי אימות הזהות של כוח העבודה, אתם צריכים לעדכן את מאגרי הזהויות של כוח העבודה בהרשאות נוספות כדי לגשת לתכונות בדפים של מסוף Security Operations שזמינות ב-Security Command Center Enterprise. מידע נוסף על שליטה בגישה לתכונות בדפים של Security Operations Console
הקצאת מופע חדש
כשמפעילים מופע חדש, רק המופע החדש משויך ל-Security Command Center. כשמשתמשים ב-Security Command Center, אפשר לנווט בין הדפים של מסוףGoogle Cloud ומסוף Security Operations החדש שהוקצה.
במהלך ההפעלה, מציינים את המיקום שבו יוקצה מופע חדש של Google SecOps. רשימה של אזורים ואזורים מרובים נתמכים מופיעה בדף מיקומים של שירותי SecOps. המיקום הזה רלוונטי רק ל-Google SecOps, ולא לתכונות או לשירותים אחרים של Security Command Center.
לכל מופע של Google SecOps צריך להיות פרויקט ניהול ייעודי שנמצא בבעלותכם וניהולכם. הפרויקט צריך להיות באותו ארגון שבו מפעילים את Security Command Center Enterprise. אי אפשר להשתמש באותו פרויקט ניהול לכמה מכונות Google SecOps.
אם יש לכם מופע קיים של Google SecOps ואתם מקצים מופע חדש של Security Command Center Enterprise, שני המופעים משתמשים באותה הגדרה של הטמעת נתונים ישירה Google Cloud . אותן הגדרות קובעות את ההטמעה בשני המקרים של Google SecOps, והמערכת מקבלת את אותם נתונים.
במהלך ההפעלה של Security Command Center Enterprise, תהליך ההפעלה משנה את ההגדרות של הטמעת יומנים ב-Google Cloud כדי להגדיר את כל השדות של סוגי הנתונים כזמינים: Google Cloud Logging, Cloud Asset Metadata וממצאים של Security Command Center Premium. הגדרות הסינון של הייצוא לא ישתנו. כדי שכל התכונות של Security Command Center Enterprise יפעלו כמו שצריך, נדרשים סוגי הנתונים האלה. אחרי שההפעלה מסתיימת, אפשר לשנות את ההגדרות של העברת יומנים ל-Google Cloud.
יצירת ארגון
כדי להשתמש ב-Security Command Center, צריך משאב ארגוני שמשויך לדומיין. אם עוד לא יצרתם ארגון, כדאי לקרוא את המאמר יצירה וניהול של ארגונים.
אם יש לכם כמה ארגונים, צריך לזהות באילו ארגונים תפעילו את Security Command Center Enterprise. צריך לפעול לפי שלבי ההפעלה האלה בכל ארגון שבו מתכננים להפעיל את Security Command Center Enterprise.
אימות מדיניות הארגון
אם מדיניות הארגון שלכם מוגדרת להגבלת השימוש במשאבים, צריך לוודא שממשקי ה-API הבאים מורשים:
chronicle.googleapis.comcloudsecuritycompliance.googleapis.comsecuritycenter.googleapis.comsecuritycentermanagement.googleapis.com
יצירת פרויקט ניהול
כדי להפעיל את השילוב של Google SecOps ו-Mandiant Attack Surface Management, צריך פרויקט שנקרא פרויקט ניהול ב-Security Command Center Enterprise. מומלץ להשתמש בפרויקט הזה רק עבור Security Command Center Enterprise.
אם הפעלתם את Google SecOps בעבר ואתם רוצים להתחבר למופע הקיים, אתם יכולים להשתמש בפרויקט הניהול הקיים שמקושר ל-Google SecOps.
אם אתם מתכננים להקצות משאבים למופע חדש של Google SecOps, אתם צריכים ליצור פרויקט ניהול חדש שמוקדש למופע החדש. אל תעשו שימוש חוזר בפרויקט ניהול שמחובר למופע אחר של Google SecOps.
Google SecOps לא תומך בשימוש בפרויקט ניהול שקיים בגבולות גזרה לשירות של VPC Service Controls.
למידע נוסף על יצירה וניהול של פרויקטים.
הגדרת הרשאות וממשקי API
המידע בקטע הזה יעזור לכם להגדיר את ההרשאות שנדרשות כדי להפעיל את Security Command Center Enterprise:
- אופציונלי: הפעלת Security Center Management API
- הגדרת הרשאות בארגון
- הגדרת הרשאות והפעלת ממשקי API בפרויקט הניהול
- יצירת חשבון שירות אם מתכננים להתחבר למופע קיים של Google SecOps
מידע נוסף על תפקידים ב-Security Command Center ועל ממשקי API שלGoogle Cloud
הפעלת Security Center Management API
אם אתם מתכננים להשתמש ב-Security Center Management API, אתם צריכים להפעיל את ה-API הזה בפרויקט שבו אתם מתכננים להפעיל אותו:
תפקידים שנדרשים להפעלת ממשקי API
כדי להפעיל ממשקי API, צריך את תפקיד ה-IAM 'אדמין של Service Usage' (roles/serviceusage.serviceUsageAdmin), שכולל את ההרשאה serviceusage.services.enable. איך מקצים תפקידים
הגדרת הרשאות בארגון
צריך לוודא שיש לכם בארגון את התפקיד או התפקידים הבאים:
-
אדמין ארגוני (
roles/resourcemanager.organizationAdmin) - בעלים של נכס בענן (
roles/cloudasset.owner) - אדמין ב-Security Center (
roles/securitycenter.admin) - Security Admin (
roles/iam.securityAdmin) - צפייה בשירות Chronicle (
roles/chroniclesm.viewer)
בדיקת התפקידים
-
נכנסים לדף IAM במסוף Google Cloud .
כניסה לדף IAM - בוחרים את הארגון.
-
בעמודה Principal (חשבון המשתמש), מוצאים את כל השורות שבהן מופיע השם שלכם או של קבוצה שאתם נכללים בה. כדי לברר באילו קבוצות אתם נכללים, פנו לאדמין.
- בודקים את העמודה Role בכל השורות שבהן מצוין או מופיע השם שלכם, כדי לראות אם רשימת התפקידים כוללת את התפקידים הנדרשים.
מתן התפקידים
-
נכנסים לדף IAM במסוף Google Cloud .
כניסה לדף IAM - בוחרים את הארגון.
- לוחצים על Grant access.
-
בשדה New principals, מזינים את מזהה המשתמש. בדרך כלל מזהה המשתמש הוא כתובת האימייל של חשבון Google.
- לוחצים על Select a role ומחפשים את התפקיד.
- כדי לתת עוד תפקידים, לוחצים על Add another role ומוסיפים אותם.
- לוחצים על Save.
הגדרת הרשאות והפעלת ממשקי API בפרויקט הניהול
- במסוף Google Cloud , מוודאים שאתם צופים בארגון שבו אתם רוצים להפעיל את רמת Enterprise של Security Command Center.
- בוחרים את פרויקט הניהול שיצרתם קודם.
-
צריך לוודא שיש לכם בפרויקט את התפקיד או התפקידים הבאים:
- אדמין בשימוש בשירות (
roles/serviceusage.serviceUsageAdmin) - יצירת אסימונים בחשבון שירות (
roles/iam.serviceAccountTokenCreator) - Chronicle API Admin (
roles/chronicle.admin) - אדמין בשירות Chronicle (
roles/chroniclesm.admin) - אדמין ב-Chronicle SOAR (
roles/chronicle.soarAdmin) - אדמין של מפתח לחשבון שירות (
roles/iam.serviceAccountKeyAdmin) - אדמין בחשבון שירות (
roles/iam.serviceAccountAdmin)
בדיקת התפקידים
-
נכנסים לדף IAM במסוף Google Cloud .
כניסה לדף IAM - בוחרים את הפרויקט.
-
בעמודה Principal (חשבון המשתמש), מוצאים את כל השורות שבהן מופיע השם שלכם או של קבוצה שאתם נכללים בה. כדי לברר באילו קבוצות אתם נכללים, פנו לאדמין.
- בודקים את העמודה Role בכל השורות שבהן מצוין או מופיע השם שלכם, כדי לראות אם רשימת התפקידים כוללת את התפקידים הנדרשים.
מתן התפקידים
-
נכנסים לדף IAM במסוף Google Cloud .
כניסה לדף IAM - בוחרים את הפרויקט.
- לוחצים על Grant access.
-
בשדה New principals, מזינים את מזהה המשתמש. בדרך כלל מזהה המשתמש הוא כתובת האימייל של חשבון Google.
- לוחצים על Select a role ומחפשים את התפקיד.
- כדי לתת עוד תפקידים, לוחצים על Add another role ומוסיפים אותם.
- לוחצים על Save.
- אדמין בשימוש בשירות (
-
מפעילים את Cloud Asset API, Cloud Pub/Sub API, Cloud Resource Manager API, Compute Engine API, כלי הניתוח למדיניות API ו-Recommender API.
תפקידים שנדרשים להפעלת ממשקי API
כדי להפעיל ממשקי API, צריך את תפקיד ה-IAM 'אדמין של Service Usage' (
roles/serviceusage.serviceUsageAdmin), שכולל את ההרשאהserviceusage.services.enable. איך מקצים תפקידים
יצירת חשבון שירות כשמשתמשים במופע קיים של Google SecOps
אם אתם מתכננים להתחבר למופע קיים של Google SecOps, צריך ליצור חשבון שירות בניהול המשתמש ולהעניק לחשבון השירות את התפקידים הבאים:
-
Chronicle SOAR Service Agent (
roles/chronicle.soarServiceAgent) ו-Pub/Sub Admin (roles/pubsub.admin) ברמת הארגון שבו אתם מתכננים להפעיל את Security Command Center. -
Chronicle Service Agent (
roles/chronicle.serviceAgent) בפרויקט הניהול.
הגדרת אנשי הקשר לקבלת התראות
כדאי להגדיר את אנשי הקשר החיוניים כך שמנהלי האבטחה יוכלו לקבל התראות חשובות. הוראות מופיעות במאמר בנושא איך מגדירים מי יקבל התראות.
הפעלת רמת השירות Security Command Center Enterprise
תהליך ההפעלה מגדיר באופן אוטומטי את חשבונות השירות, ההרשאות והשירותים שכלולים ב-Security Command Center Enterprise. אתם יכולים להתחבר למכונה קיימת של Google SecOps Standard, Enterprise או Enterprise Plus, או להקצות מכונה חדשה.
נכנסים ל-Security Command Center במסוף Google Cloud .
בוחרים את הארגון שבו רוצים להפעיל את מהדורת Enterprise של Security Command Center ולוחצים על בחירה.
בתפריט הניווט של Security Command Center, לוחצים על מדריך ההגדרה.
בדף Get started with Security Command Center Enterprise, בודקים את חשבונות השירות ואת ממשקי ה-API שיוגדרו ולוחצים על Next.
- כדי לראות את חשבונות השירות שייווצרו, לוחצים על View service accounts and permissions (הצגת חשבונות שירות והרשאות).
- כדי לראות את ממשקי ה-API שיופעלו, לוחצים על הצגת ממשקי API של Security Command Center Enterprise.
- כדי לראות את התנאים וההגבלות, לוחצים על התנאים וההגבלות של Security Command Center Enterprise.
בדף הבא מוצגת תצוגה שונה בהתאם לסביבה שלכם.
אם יש לכם מופע קיים של Google SecOps, תתבקשו להשתמש בו או ליצור מופע חדש. ממשיכים לשלב 5 כדי לבחור את סוג האירוע.
אם אין לכם מופע קיים של Google SecOps, ממשיכים לשלב 6 כדי ליצור מופע חדש של Google SecOps.
אם הארגון מקושר למופע של Google SecOps, בוחרים באחת מהאפשרויות הבאות. אם הוא לא מקושר למופע של Google SecOps, צריך להמשיך לשלב 6 כדי ליצור מופע חדש של Google SecOps.
בוחרים באפשרות כן, אני רוצה להתחבר למופע קיים של Google Security Operations, ואז בוחרים מופע מהתפריט. ממשיכים לשלב 7 כדי להתחיל את ההפעלה.
בתפריט מוצגים מופעים של Google SecOps שמשויכים לארגון שבו מפעילים את Security Command Center Enterprise. כל פריט כולל את מספר הלקוח ב-Google SecOps, את האזור שבו הוא הוקצה ואת שם הפרויקט ב- Google Cloud שהוא משויך אליו. אי אפשר לבחור מופע שלא תואם ל-Security Command Center Enterprise.
בדף מופיע קישור למכונת Google SecOps שנבחרה, כדי שתוכלו לאמת אותה. אם מופיעה שגיאה כשפותחים את המופע, צריך לוודא שיש לכם את הרשאות ה-IAM הנדרשות לגישה למופע.
בוחרים באפשרות לא, אני רוצה ליצור מופע חדש של Google Security Operations, ואז ממשיכים לשלב 6 כדי ליצור מופע חדש של Google SecOps.
כדי ליצור מכונת Google SecOps חדשה, צריך לספק פרטים נוספים על ההגדרה.
מציינים את הפרטים ליצירת קשר עם החברה.
- איש קשר לתמיכה טכנית: מזינים כתובת אימייל אישית או כתובת אימייל קבוצתית.
- שם החברה: מזינים את שם החברה.
בוחרים את סוג המיקום שבו יוקצה Google SecOps.
- אזור: בוחרים אזור אחד.
- מספר אזורים: בוחרים מיקום במספר אזורים.
המיקום הזה משמש רק את Google SecOps, ולא תכונות אחרות של Security Command Center. רשימה של האזורים והאזורים המרובים הנתמכים מופיעה בדף מיקומי שירותי SecOps.
לוחצים על הבא ואז בוחרים את פרויקט הניהול הייעודי. יצרתם את פרויקט הניהול הייעודי בשלב הקודם.
אם תבחרו פרויקט שמקושר למופע קיים של Google SecOps, תוצג לכם שגיאה כשתתחילו את ההפעלה.
ממשיכים לשלב 7 כדי להתחיל את ההפעלה.
לוחצים על הפעלה.
שירותים מסוימים מופעלים באופן אוטומטי, כמו Security Health Analytics, Event Threat Detection ו-זיהוי איומים במכונות וירטואליות. יכול להיות שיעבור קצת זמן עד שהתכונות של Google SecOps יהיו מוכנות והממצאים יהיו זמינים.
ממשיכים אל מעקב אחרי התקדמות ההפעלה והגדרת שירותים.
מעקב אחרי התקדמות ההפעלה והגדרת שירותים
מדריך ההגדרה מציג את סטטוס ההקצאה ומאפשר לכם לראות את השירותים שמופעלים. אתם יכולים להגדיר שירותים נוספים וליצור חיבורים לספקי שירותי ענן אחרים.
במסוף Google Cloud , עוברים אל מדריך ההגדרה של Security Command Center.
בוחרים את הארגון שבו הפעלתם את Security Command Center Enterprise.
מרחיבים את החלונית Review security capabilities summary (סקירה של סיכום יכולות האבטחה). בכל חלונית מוצג סטטוס ההפעלה של שירותים קשורים.
כדי להתחבר ל-Amazon Web Services (AWS) או ל-Microsoft Azure, לוחצים על הוספה הוספת מחבר. תיפתח הכרטיסייה מחברים בדף הגדרות.
הוראות נוספות מפורטות במאמרים הבאים:
לוחצים על הגדרה בכל חלונית כדי להגדיר שירותים ויכולות נוספים. בטבלה הבאה מפורטים קישורים למידע נוסף על כל יכולת.
שם חלונית היכולות מידע נוסף על היכולות האלה הגנה מבוססת-AI אבטחת קוד זיהוי איומים בענן אבטחת מידע אבטחת זהויות וגישה עמידה בדרישות פלטפורמת תגובה הערכת נקודות חולשה
הגדרת הרשאות לשימוש שוטף ב-Security Command Center Enterprise
כדי לשנות את ההגדרות של הארגון, אתם צריכים את שני התפקידים הבאים ברמת הארגון:
-
אדמין ארגוני (
roles/resourcemanager.organizationAdmin) -
אדמין ב-Security Center (
roles/securitycenter.admin)
אם משתמש לא צריך הרשאות עריכה, כדאי להקצות לו תפקידי צפייה.
כדי להציג את כל הנכסים, הממצאים ונתיבי התקיפה ב-Security Command Center, המשתמשים צריכים את התפקיד מנהל מערכת בעל הרשאת צפייה ב-Security Center (roles/securitycenter.adminViewer) ברמת הארגון.
כדי להציג את ההגדרות, המשתמשים צריכים את התפקיד
אדמין של מרכז האבטחה (roles/securitycenter.admin) ברמת הארגון.
כדי להגביל את הגישה לפרויקטים ולתיקיות ספציפיים, אל תעניקו את כל התפקידים ברמת הארגון. במקום זאת, צריך להקצות את התפקידים הבאים ברמת התיקייה או הפרויקט:
-
צפייה בנכסים במרכז האבטחה (
roles/securitycenter.assetsViewer) - צפייה בתוצאות של מרכז האבטחה
(
roles/securitycenter.findingsViewer)
יכול להיות שכל שירות זיהוי ידרוש הרשאות נוספות כדי להפעיל או להגדיר אותו. מידע נוסף מופיע במאמרי העזרה הספציפיים לכל שירות.
כדי להשתמש בתכונות של Security Operations console שנתמכות ב-Security Command Center Enterprise, אפשר לעיין במאמר שליטה בגישה לתכונות בדפים של Security Operations console.
שינוי שירות Security Command Center
מידע נוסף על ניהול רמות זמין במאמר שינוי הרמה של Security Command Center Enterprise.
המאמרים הבאים
- איך עובדים עם ממצאים של Security Command Center
- Google Cloud מידע נוסף על מקורות אבטחה
- חקירת איומים באמצעות גלאים מוכנים מראש
- הטמעת מסגרות בסביבה כדי להתאים את הסביבה לדרישות התאימות והאבטחה שלכם.