Ative o nível Enterprise do Security Command Center

O nível Enterprise do Security Command Center oferece melhoramentos de segurança, incluindo o seguinte:

  • Operações de segurança avançadas com o Google Security Operations
  • Integrações com outros Google Cloud produtos, como o Mandiant Attack Surface Management, a proteção de dados confidenciais e o Assured OSS
  • Suporte de várias nuvens
  • Análise de risco
  • Apoio técnico para conformidade (pré-visualização).

Para uma descrição das funcionalidades do nível Enterprise, consulte o artigo Níveis de serviço.

Pode concluir o processo de ativação do nível Enterprise através do guia de configuração na consola do Google Cloud . Após as tarefas obrigatórias iniciais, conclua passos adicionais para configurar funcionalidades opcionais que a sua organização requer.

Para informações sobre os preços e como subscrever, consulte o artigo Preços do Security Command Center.

Para obter instruções sobre como ativar o Security Command Center noutro nível, consulte o artigo Ative o nível Standard ou o nível Premium do Security Command Center para uma organização.

Antes de começar

Conclua o seguinte antes de ativar o Security Command Center pela primeira vez:

  1. Planeie a ativação
  2. Criar uma entidade
  3. Crie o projeto de gestão
  4. Configure autorizações e APIs
  5. Configure os contactos de notificação

Planeie a ativação

Esta secção descreve as decisões e as informações que tem de preparar para a ativação.

Decida se quer ativar o apoio técnico de residência dos dados

Quando ativa o Security Command Center, pode ativar o suporte para a residência de dados, o que lhe dá mais controlo sobre a localização dos seus dados do Security Command Center. Para o Google SecOps, a residência de dados está sempre ativada.

Para o nível de serviço Enterprise, antes de ativar o Security Command Center com controlos de residência de dados, tem de contactar o seu representante da conta Google Cloud e agendar uma data e uma hora para ativar o Security Command Center. Após a ativação, o representante da conta vai ajudar a garantir que a sua instância do Google SecOps está configurada para suportar totalmente os controlos de residência de dados.

Depois de ativar o suporte para residência de dados na sua organização, não pode desativá-lo.

Se usar o nível de serviço Standard ou Premium, a atualização para o nível Enterprise não altera a localização dos dados do Security Command Center. Se não ativou a residência de dados do Security Command Center para o nível Standard ou Premium, não pode ativá-la quando atualizar para o nível Enterprise.

Determine o contacto de apoio técnico

Quando ativa uma nova instância do Google SecOps, indica o nome da sua empresa e um endereço de email de um ponto de contacto. Identifique um ponto de contacto da sua organização. Esta configuração não está relacionada com os contactos essenciais.

Escolha a configuração do Google SecOps

Durante a ativação, associa o Security Command Center Enterprise a uma instância do Google SecOps.

  • Pode fazer a associação a uma instância existente.

  • Pode aprovisionar e estabelecer ligação a uma nova instância. Pode aprovisionar e estabelecer ligação a uma nova instância, mesmo que tenha uma instância existente.

Efetue a associação a uma instância existente

Não pode associar o Security Command Center Enterprise a uma instância autónoma do Google SecOps SIEM ou autónoma do Google SecOps SOAR existente. Se tiver dúvidas sobre o tipo de instância do Google SecOps que tem, contacte o seu Google Cloud representante de vendas.

Quando seleciona uma instância do Google SecOps existente, a página Associar a uma instância do SecOps fornece um link para a instância para que possa validar a sua seleção. Tem de ter acesso a essa instância para a validar. Tem de ter, pelo menos, a função Visualizador de acesso a dados restritos da API Chronicle (roles/chronicle.restrictedDataAccessViewer) no projeto de gestão para iniciar sessão na instância.

Se aprovisionar o Security Command Center através de uma instância do Google SecOps existente configurada para usar a federação de identidades da força de trabalho, tem de atualizar os conjuntos de identidades da força de trabalho com autorizações adicionais para aceder às funcionalidades nas páginas da consola de operações de segurança que estão disponíveis com o Security Command Center Enterprise. Para mais informações, consulte as páginas Controle o acesso às funcionalidades nas páginas da consola Security Operations.

Aprovisione uma nova instância

Quando aprovisiona uma nova instância, apenas a nova instância é associada ao Security Command Center. Quando usa o Security Command Center, navega entre as páginas da Google Cloud consola e da consola de operações de segurança recentemente aprovisionada.

Durante a ativação, especifica a localização onde a nova instância do Google SecOps vai ser aprovisionada. Para ver uma lista das regiões e multirregiões suportadas, consulte a página de localizações dos serviços SecOps. Esta localização aplica-se apenas ao Google SecOps e não a outras funcionalidades ou serviços do Security Command Center.

Cada instância do Google SecOps tem de ter um projeto de gestão dedicado que seja propriedade e gerido por si. Este projeto tem de estar na mesma organização onde ativa o Security Command Center Enterprise. Não pode usar o mesmo projeto de gestão para várias instâncias do Google SecOps.

Quando tem uma instância do Google SecOps existente e aprovisiona uma nova instância para o Security Command Center Enterprise, ambas as instâncias usam a mesma configuração para a carregamento direto de Google Cloud dados. As mesmas definições de configuração controlam o carregamento para ambas as instâncias do Google SecOps e recebem os mesmos dados.

Durante a ativação do Security Command Center Enterprise, o processo de ativação modifica as definições de carregamento de registos do Google Cloud para definir todos os campos de tipo de dados como ativados: Google Cloud Logging, metadados de recursos do Google Cloud e resultados do Security Command Center Premium. As definições de filtro de exportação não são alteradas. O Security Command Center Enterprise requer estes tipos de dados para que todas as funcionalidades funcionem conforme previsto. Pode alterar as definições de carregamento de registos do Google Cloud após a ativação estar concluída.

Criar uma entidade

O Security Command Center requer um recurso de organização associado a um domínio. Se não tiver criado uma organização, consulte o artigo Criar e gerir organizações.

Se tiver várias organizações, identifique em que organizações vai ativar o Security Command Center Enterprise. Tem de seguir estes passos de ativação para cada organização onde planeia ativar o Security Command Center Enterprise.

Valide as políticas da organização

Se as políticas da sua organização estiverem definidas para restringir a utilização de recursos, verifique se as seguintes APIs são permitidas:

  • chronicle.googleapis.com
  • cloudsecuritycompliance.googleapis.com
  • securitycenter.googleapis.com
  • securitycentermanagement.googleapis.com

Crie um projeto de gestão

O Security Command Center Enterprise requer um projeto, denominado projeto de gestão, para ativar a integração do Google SecOps e do Mandiant Attack Surface Management. Recomendamos que use este projeto exclusivamente para o Security Command Center Enterprise.

Se ativou o Google SecOps anteriormente, e quiser estabelecer ligação à instância existente, use o projeto de gestão existente que está ligado ao Google SecOps.

Se planeia aprovisionar uma nova instância do Google SecOps, crie um novo projeto de gestão dedicado à nova instância. Não reutilize um projeto de gestão ligado a outra instância do Google SecOps.

O Google SecOps não suporta a utilização de um projeto de gestão que exista num perímetro de serviço dos VPC Service Controls.

Saiba mais acerca de como criar e gerir projetos.

Configure autorizações e APIs

Use as informações nesta secção para configurar as autorizações necessárias para ativar o Security Command Center Enterprise:

Saiba mais sobre as funções do Security Command Center e as Google Cloud APIs.

Configure autorizações na organização

Make sure that you have the following role or roles on the organization:

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Aceder ao IAM
  2. Selecione a organização.
  3. Clique em Conceder acesso.

  4. No campo Novos responsáveis, introduza o identificador do utilizador. Normalmente, este é o endereço de email de uma Conta Google.

  5. Na lista Selecionar uma função, selecione uma função.
  6. Para conceder funções adicionais, clique em Adicionar outra função e adicione cada função adicional.
  7. Clique em Guardar.

    8. Configure autorizações e ative APIs no projeto de gestão

    1. Na Google Cloud consola, verifique se está a ver a organização onde quer ativar o nível Enterprise do Centro de Comando de Segurança.
    2. Selecione o projeto de gestão que criou anteriormente.

    3. Make sure that you have the following role or roles on the project:

      Check for the roles

      1. In the Google Cloud console, go to the IAM page.

        Go to IAM
      2. Select the project.

      3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

      4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

      Grant the roles

      1. In the Google Cloud console, go to the IAM page.

        Aceder ao IAM
      2. Selecione o projeto.
      3. Clique em Conceder acesso.

      4. No campo Novos responsáveis, introduza o identificador do utilizador. Normalmente, este é o endereço de email de uma Conta Google.

      5. Na lista Selecionar uma função, selecione uma função.
      6. Para conceder funções adicionais, clique em Adicionar outra função e adicione cada função adicional.
      7. Clique em Guardar.

    4. Enable the Cloud Asset, Cloud Pub/Sub, Cloud Resource Manager, Compute Engine, Policy Analyzer, and Recommender APIs.

      Roles required to enable APIs

      To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

      Enable the APIs

      5. Crie uma conta de serviço quando usar uma instância existente do Google SecOps

      Se planeia estabelecer ligação a uma instância existente do Google SecOps, crie uma conta de serviço gerida pelo utilizador e conceda à conta de serviço as seguintes funções:

      Configure os contactos de notificação

      Configure os seus contactos essenciais para que os administradores de segurança possam receber notificações importantes. Para ver instruções, consulte o artigo Gerir contactos para notificações.

      Ative o nível Enterprise do Security Command Center

      O processo de ativação configura automaticamente as contas de serviço, as autorizações e os serviços incluídos no Security Command Center Enterprise. Pode estabelecer ligação a uma instância existente do Google SecOps Standard, Enterprise ou Enterprise Plus, ou aprovisionar uma nova.

      1. Na Google Cloud consola, aceda à página Vista geral de riscos do Centro de comando de segurança.

        Aceder ao Security Command Center

      2. Verifique se está a ver a organização onde quer ativar o nível Enterprise do Security Command Center.

      3. Na página Security Command Center, clique em Obter Security Command Center.

      4. Na página Comece a usar o Security Command Center Enterprise, reveja as contas de serviço e as APIs que vão ser configuradas e, de seguida, clique em Seguinte.

        • Para ver as contas de serviço que vão ser criadas, clique em Ver contas de serviço e autorizações.
        • Para ver as APIs que vão ser ativadas, clique em Ver APIs do Security Command Center Enterprise.
        • Para ver os Termos de Utilização, clique em Termos de Utilização do Security Command Center Enterprise.

        Se não vir a página Comece a usar o Security Command Center Enterprise, contacte o departamento de Google Cloud vendas para verificar se a sua autorização de subscrição está ativa.

        A página seguinte apresenta uma vista diferente consoante o seu ambiente.

      5. Se a organização estiver associada a uma instância do Google SecOps, escolha uma das seguintes opções. Se não estiver associado a uma instância do Google SecOps, continue com o passo 6 para criar uma nova instância do Google SecOps.

        • Selecione Sim, associar-me a uma instância existente do Google Security Operations e, de seguida, escolha uma instância no menu. Continue com o passo 7 para iniciar a ativação.

          O menu apresenta instâncias do Google SecOps associadas à organização onde está a ativar o Security Command Center Enterprise. Cada item inclui o ID do cliente do Google SecOps, a região onde é aprovisionado e o nome do projeto ao qual está associado. Google Cloud Não pode selecionar uma instância incompatível com o Security Command Center Enterprise.

          A página fornece um link para a instância do Google SecOps selecionada para que a possa validar. Se receber um erro ao abrir a instância, verifique se tem as autorizações de IAM necessárias para aceder à instância.

        • Selecione Não, criar uma nova instância do Google Security Operations e, de seguida, continue com o passo 6 para criar uma nova instância do Google SecOps.

      6. Para criar uma nova instância do Google SecOps, faculte detalhes de configuração adicionais.

        1. Especifique as informações de contacto da sua empresa.

          • Contacto do apoio técnico: introduza um endereço de email individual ou um endereço de email de grupo.
          • Nome da empresa: introduza o nome da sua empresa.

        2. Selecione o Tipo de localização onde o Google Security Operations vai ser aprovisionado.

          • Região: selecione uma única região.
          • Multirregional: selecione uma localização multirregional.

          Esta localização é usada apenas para o Google SecOps e não para outras funcionalidades do Centro de comandos de segurança. Para ver uma lista das regiões e multirregiões suportadas, consulte a página de localizações dos serviços SecOps.

        3. Clique em Seguinte e, de seguida, selecione o projeto de gestão dedicado. Criou o projeto de gestão dedicado num passo anterior.

          Se selecionar um projeto associado a uma instância existente do Google SecOps, recebe um erro quando iniciar a ativação.

        4. Continue com o passo 7 para iniciar a ativação.

      7. Clique em Ativar. É apresentada a página Vista geral do risco.

        Determinados serviços são ativados automaticamente, como o Security Health Analytics, a deteção de ameaças de eventos e a deteção de ameaças de máquinas virtuais. Pode demorar algum tempo até que as funcionalidades de operações de segurança estejam prontas e as conclusões fiquem disponíveis.

      8. Continuar com Monitorizar o progresso da ativação e configurar serviços.

      Monitorize o progresso da ativação e configure os serviços

      O guia de configuração apresenta o estado de aprovisionamento e permite-lhe ver os serviços ativados. Pode configurar serviços adicionais e configurar ligações a outros fornecedores de serviços na nuvem.

      1. Na Google Cloud consola, aceda ao guia de configuração do Security Command Center.

        Aceda ao guia de configuração

      2. Selecione a organização onde ativou o Security Command Center Enterprise.

      3. Expanda o painel Resumo das capacidades de segurança de revisão. Cada painel apresenta o estado de ativação dos serviços relacionados.

      4. Para estabelecer ligação aos Amazon Web Services (AWS) ou ao Microsoft Azure, clique em Adicionar Adicionar um conetor. Esta ação abre o separador Conetores na página Definições.

        Para instruções adicionais, consulte o seguinte:

      5. Clique em Configurar em qualquer painel para configurar serviços e capacidades adicionais. Use os links na tabela seguinte para saber mais sobre cada capacidade.

        Nome do painel Capacidades Saiba mais sobre estas capacidades
        Proteção de IA
        Segurança do código
        Deteção de ameaças na nuvem
        Segurança de identidade e acesso
        Segurança dos dados
        Conformidade
        Postura e conformidade
        Plataforma de resposta
        Avaliação de vulnerabilidades

      Configure autorizações para a utilização contínua do Security Command Center Enterprise

      Para alterar a configuração da sua organização, precisa de ter as seguintes funções ao nível da organização:

      Se um utilizador não precisar de autorizações de edição, pondere conceder-lhe funções de visualizador.

      Para ver todos os recursos, as conclusões e os caminhos de ataque no Security Command Center, os utilizadores precisam da função Visualizador de administração do centro de segurança (roles/securitycenter.adminViewer) ao nível da organização.

      Para ver as definições, os utilizadores precisam da função Administrador do centro de segurança (roles/securitycenter.admin) ao nível da organização.

      Para restringir o acesso a pastas e projetos individuais, não conceda todas as funções ao nível da organização. Em alternativa, conceda as seguintes funções ao nível da pasta ou projeto:

      Cada serviço de deteção pode exigir autorizações adicionais para o ativar ou configurar. Consulte a documentação específica de cada serviço para mais informações.

      Para usar as funcionalidades da consola Security Operations que são suportadas com o Security Command Center Enterprise, consulte o artigo Controlar o acesso às funcionalidades nas páginas da consola Security Operations.

      O que se segue?