הפעלת רמת השירות Security Command Center Enterprise

הגדרת הרשאות והפעלת ממשקי API בפרויקט הניהול

1. במסוף Google Cloud , מוודאים שאתם צופים בארגון שבו אתם רוצים להפעיל את מהדורת Enterprise של Security Command Center.
2. בוחרים את פרויקט הניהול שיצרתם קודם.

3. Make sure that you have the following role or roles on the project:

   • Service Usage Admin (roles/serviceusage.serviceUsageAdmin)
   • Service Account Token Creator (roles/iam.serviceAccountTokenCreator)
   • Chronicle API Admin (roles/chronicle.admin)
   • Chronicle Service Admin (roles/chroniclesm.admin)
   • Chronicle SOAR Admin (roles/chronicle.soarAdmin)
   • Service Account Key Admin (roles/iam.serviceAccountKeyAdmin)
   • Service Account Admin (roles/iam.serviceAccountAdmin)

   Check for the roles

   1. In the Google Cloud console, go to the IAM page.

      Go to IAM
   2. Select the project.

   3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

   4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

   Grant the roles

   1. In the Google Cloud console, go to the IAM page.

      כניסה לדף IAM
   2. בוחרים את הפרויקט.
   3. לוחצים על ‎person_add Grant access.

   4. בשדה New principals, מזינים את מזהה המשתמש. ‫ בדרך כלל מזהה המשתמש הוא כתובת האימייל של חשבון Google.

      ‫
   5. לוחצים על בחירת תפקיד ומחפשים את התפקיד.
   6. כדי לתת עוד תפקידים, לוחצים על add Add another role ומוסיפים את כולם.
   7. לוחצים על Save.

4. Enable the Cloud Asset, Cloud Pub/Sub, Cloud Resource Manager, Compute Engine, Policy Analyzer, and Recommender APIs.

   Roles required to enable APIs

   To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

   Enable the APIs

יצירת חשבון שירות כשמשתמשים במופע קיים של Google SecOps

אם אתם מתכננים להתחבר למופע קיים של Google SecOps, צריך ליצור חשבון שירות בניהול המשתמש ולהקצות לחשבון השירות את התפקידים הבאים:

• ‫ Chronicle SOAR Service Agent (roles/chronicle.soarServiceAgent) ו-Pub/Sub Admin (roles/pubsub.admin) ברמת הארגון שבו אתם מתכננים להפעיל את Security Command Center.
• Chronicle Service Agent (roles/chronicle.serviceAgent) בפרויקט הניהול.

הגדרת אנשי הקשר לקבלת התראות

כדאי להגדיר את אנשי הקשר החיוניים כך שאדמינים של אבטחה יוכלו לקבל התראות חשובות. הוראות מפורטות מופיעות במאמר איך בוחרים מי יקבל התראות.

הפעלת רמת השירות Security Command Center Enterprise

תהליך ההפעלה מגדיר באופן אוטומטי את חשבונות השירות, ההרשאות והשירותים שנכללים ב-Security Command Center Enterprise. אתם יכולים להתחבר למכונה קיימת של Google SecOps Standard,‏ Enterprise או Enterprise Plus, או להקצות מכונה חדשה.

1. במסוף Google Cloud , נכנסים לדף Risk Overview של Security Command Center.

   מעבר אל Security Command Center

2. מוודאים שאתם צופים בארגון שבו אתם רוצים להפעיל את רמת השירות Security Command Center Enterprise.

3. בדף Security Command Center, לוחצים על קבלת Security Command Center.

4. בדף Get started with Security Command Center Enterprise, בודקים את חשבונות השירות ואת ממשקי ה-API שיוגדרו ולוחצים על Next.

   • כדי לראות את חשבונות השירות שייווצרו, לוחצים על View service accounts and permissions (הצגת חשבונות השירות וההרשאות).
   • כדי לראות את ממשקי ה-API שיופעלו, לוחצים על הצגת ממשקי API של Security Command Center Enterprise.
   • כדי לראות את התנאים וההגבלות, לוחצים על התנאים וההגבלות של Security Command Center Enterprise.

   אם לא מוצג הדף Get started with Security Command Center Enterprise, צריך לפנות אל Google Cloud sales כדי לוודא שהזכאות למינוי פעילה.

   בדף הבא מוצגת תצוגה שונה בהתאם לסביבה.

   • אם יש לכם מופע קיים של Google SecOps, תתבקשו להשתמש בו או ליצור מופע חדש. ממשיכים לשלב 5 כדי לבחור את סוג המופע.

   • אם אין לכם מופע קיים של Google SecOps, ממשיכים לשלב 6 כדי ליצור מופע חדש של Google SecOps.

5. אם הארגון מקושר למופע של Google SecOps, בוחרים באחת מהאפשרויות הבאות. אם הוא לא מקושר למופע של Google SecOps, צריך להמשיך לשלב 6 כדי ליצור מופע חדש של Google SecOps.

   • בוחרים באפשרות כן, אני רוצה להתחבר למופע קיים של Google Security Operations ואז בוחרים מופע מהתפריט. ממשיכים לשלב 7 כדי להתחיל בהפעלה.

     בתפריט מוצגים מופעים של Google SecOps שמשויכים לארגון שבו מפעילים את Security Command Center Enterprise. כל פריט כולל את מספר הלקוח ב-Google SecOps, האזור שבו הוא הוקצה ואת שם הפרויקט Google Cloud שהוא משויך אליו. אי אפשר לבחור מופע שלא תואם ל-Security Command Center Enterprise.

     בדף מופיע קישור למכונת Google SecOps שנבחרה, כדי שתוכלו לאמת אותה. אם מופיעה שגיאה כשפותחים את המופע, צריך לוודא שיש לכם את הרשאות ה-IAM הנדרשות לגישה למופע.

   • בוחרים באפשרות לא, אני רוצה ליצור מופע חדש של Google Security Operations, ואז ממשיכים לשלב 6 כדי ליצור מופע חדש של Google SecOps.

6. כדי ליצור מכונת Google SecOps חדשה, צריך לספק פרטים נוספים על ההגדרה.

   1. מציינים את הפרטים ליצירת קשר עם החברה.

      • איש קשר לתמיכה טכנית: מזינים כתובת אימייל אישית או כתובת אימייל של קבוצה.
      • שם החברה: מזינים את שם החברה.

   2. בוחרים את סוג המיקום שבו יוקצה Google Security Operations.

      • אזור: בוחרים אזור אחד.
      • מספר אזורים: בוחרים מיקום במספר אזורים.

      המיקום הזה משמש רק את Google SecOps, ולא תכונות אחרות של Security Command Center. רשימה של האזורים והאזורים המרובים הנתמכים מופיעה בדף מיקומי שירותי SecOps.

   3. לוחצים על הבא ואז בוחרים את פרויקט הניהול הייעודי. יצרתם את פרויקט הניהול הייעודי בשלב הקודם.

      אם בוחרים פרויקט שמקושר למופע קיים של Google SecOps, תוצג שגיאה כשמנסים להפעיל את המינוי.

   4. ממשיכים לשלב 7 כדי להתחיל בהפעלה.

7. לוחצים על הפעלה. יופיע הדף Risk overview.

   שירותים מסוימים מופעלים באופן אוטומטי, כמו Security Health Analytics,‏ Event Threat Detection וזיהוי איומים במכונות וירטואליות. יכול להיות שיעבור קצת זמן עד שתכונות האבטחה יהיו מוכנות והממצאים יהיו זמינים.

8. ממשיכים אל מעקב אחרי התקדמות ההפעלה והגדרת שירותים.

מעקב אחרי התקדמות ההפעלה והגדרת שירותים

מדריך ההגדרה מציג את סטטוס ההקצאה ומאפשר לכם לראות את השירותים שמופעלים. אפשר להגדיר שירותים נוספים וליצור חיבורים לספקי שירותי ענן אחרים.

1. במסוף Google Cloud , עוברים אל מדריך ההגדרה של Security Command Center.

   מעבר למדריך ההגדרה

2. בוחרים את הארגון שבו הפעלתם את Security Command Center Enterprise.

3. מרחיבים את החלונית Review security capabilities summary (סקירה של סיכום יכולות האבטחה). בכל חלונית מוצג סטטוס ההפעלה של שירותים קשורים.

4. כדי להתחבר אל Amazon Web Services ‏ (AWS) או אל Microsoft Azure, לוחצים על הוספה הוספת מחבר. תיפתח הכרטיסייה מחברים בדף הגדרות.

   הוראות נוספות מפורטות במאמרים הבאים:

   • התחברות ל-AWS לצורך הגדרה ואיסוף נתוני משאבים
   • מתחברים ל-Microsoft Azure כדי להגדיר את איסוף הנתונים של המשאבים.

5. לוחצים על הגדרה בכל חלונית כדי להגדיר שירותים ויכולות נוספים. בטבלה הבאה מפורטים קישורים למידע נוסף על כל יכולת.

   שם חלונית היכולות	מידע נוסף על היכולות האלה
   הגנה על AI	סקירה כללית של AI Protection סקירה כללית על הגנה מוגברת על המודל
   אבטחת קוד	סקירה כללית על Google Cloud Armor שילוב עם Assured OSS לאבטחת קוד.
   זיהוי איומים בענן	סקירה כללית על זיהוי איומים בקונטיינר סקירה כללית על Event Threat Detection סקירה כללית של זיהוי איומים במכונות וירטואליות התחברות ל-AWS לצורך הגדרה ואיסוף נתוני משאבים
   אבטחת הזהויות והגישה	סקירה כללית של שירות ההמלצות המשולב של IAM סקירה כללית על ניהול הרשאות בתשתית ענן (CIEM)
   אבטחת מידע	בדיקה והתאמה אישית של מסגרות אבטחת מידע הפעלת Event Threat Detection הפעלת Sensitive Data Protection הפעלת גילוי
   תאימות	איך מחילים מסגרת הקצאת תפקידים ב-IAM
   מצב אבטחה ותאימות	ניהול מצב האבטחה סקירה כללית של Security Health Analytics סקירה כללית על Web Security Scanner
   פלטפורמת תגובה	מיפוי ואימות של משתמשים כדי להפעיל תכונות שקשורות ל-SOAR שילוב של Security Command Center Enterprise עם מערכות לניהול כרטיסים עדכון תרחיש השימוש ב-Enterprise עבודה עם פלייבוקים
   הערכת נקודות חולשה	סקירה כללית של הערכת נקודות חולשה בתוכנה

הגדרת הרשאות לשימוש שוטף ב-Security Command Center Enterprise

כדי לשנות את ההגדרה של הארגון, אתם צריכים את שני התפקידים הבאים ברמת הארגון:

• אדמין ארגוני (roles/resourcemanager.organizationAdmin)
• אדמין ב-Security Center (roles/securitycenter.admin)

אם משתמש לא צריך הרשאות עריכה, כדאי להקצות לו תפקיד של צופה.

כדי להציג את כל הנכסים, הממצאים ונתיבי התקיפה ב-Security Command Center, המשתמשים צריכים את התפקיד מנהל מערכת בעל הרשאת צפייה ב-Security Center (roles/securitycenter.adminViewer) ברמת הארגון.

כדי להציג את ההגדרות, המשתמשים צריכים את התפקיד אדמין של מרכז האבטחה (roles/securitycenter.admin) ברמת הארגון.

כדי להגביל את הגישה לפרויקטים ולתיקיות ספציפיים, אל תעניקו את כל התפקידים ברמת הארגון. במקום זאת, צריך להעניק את התפקידים הבאים ברמת התיקייה או הפרויקט:

• צפייה בנכסים במרכז האבטחה (roles/securitycenter.assetsViewer)
• צפייה בתוצאות של מרכז האבטחה (roles/securitycenter.findingsViewer)

יכול להיות שיהיה צורך בהרשאות נוספות כדי להפעיל או להגדיר כל שירות זיהוי. מידע נוסף זמין במאמרי העזרה הספציפיים לכל שירות.

כדי להשתמש בתכונות של Security Operations console שנתמכות ב-Security Command Center Enterprise, אפשר לעיין במאמר שליטה בגישה לתכונות בדפים של Security Operations console.

שינוי שירות Security Command Center

מידע נוסף על ניהול רמות זמין במאמר שינוי הרמה של Security Command Center Enterprise.

המאמרים הבאים

• איך עובדים עם ממצאים של Security Command Center
• Google Cloud מידע נוסף על מקורות אבטחה
• חקירת איומים באמצעות גלאים מוכנים מראש של Google Security Operations.
• החלת מסגרות על הסביבה כדי להתאים את הסביבה לדרישות התאימות והאבטחה שלכם.