Ativar o nível Security Command Center Enterprise

O nível Enterprise do Security Command Center oferece melhorias de segurança, incluindo o seguinte:

  • Operações de segurança avançadas usando o Google Security Operations
  • Integrações com outros Google Cloud produtos, como Gerenciamento da Superfície de Ataque da Mandiant, Proteção de Dados Sensíveis e Assured OSS
  • Suporte multicloud
  • Análise de risco
  • Suporte à compliance (pré-lançamento)

Para uma descrição dos recursos do nível Enterprise, consulte Níveis de serviço.

Você pode concluir o processo de ativação do nível Enterprise usando o guia de configuração no console Google Cloud . Depois das tarefas obrigatórias iniciais, conclua outras etapas para configurar recursos opcionais que sua organização precisa.

Para informações sobre preços e como assinar, consulte Preços do Security Command Center.

Para instruções sobre como ativar o Security Command Center com um nível de serviço diferente, consulte o seguinte:

Antes de começar

Antes de ativar o Security Command Center pela primeira vez, faça o seguinte:

  1. Planejar a ativação
  2. Criar uma organização
  3. Criar o projeto de gerenciamento
  4. Verificar as políticas da organização
  5. Configurar permissões e APIs
  6. Configurar contatos de notificação

Planejar a ativação

Esta seção descreve as decisões e informações necessárias para se preparar para a ativação.

Decidir se é necessário ativar o suporte à residência de dados

Ao ativar o Security Command Center, você pode ativar o suporte à residência de dados, que dá mais controle sobre a localização dos dados do Security Command Center. Para o Google SecOps, a residência de dados está sempre ativada.

Para o nível de serviço Enterprise, antes de ativar o Security Command Center com controles de residência de dados, entre em contato com seu representante da conta do Google Cloud e agende uma data e hora para ativar o Security Command Center. Após a ativação, seu representante da conta vai ajudar a garantir que a instância do Google SecOps esteja configurada para oferecer suporte total aos controles de residência de dados.

Depois que o suporte à residência de dados é ativado na sua organização, não é possível desativá-lo.

Se você usa o nível de serviço Standard ou Premium, o upgrade para o nível Enterprise não muda o local dos dados do Security Command Center. Se você não ativou a residência de dados do Security Command Center para o nível Standard ou Premium, não será possível ativá-la ao fazer upgrade para o nível Enterprise.

Determinar o contato de suporte

Ao ativar uma nova instância do Google SecOps, você informa o nome da empresa e um endereço de e-mail de um ponto de contato. Identifique um ponto de contato da sua organização. Essa configuração não está relacionada aos Contatos essenciais.

Escolher a configuração do Google SecOps

Durante a ativação, você conecta o Security Command Center Enterprise a uma instância do Google SecOps.

  • É possível se conectar a uma instância atual.

  • É possível provisionar e se conectar a uma nova instância. É possível provisionar e se conectar a uma nova instância mesmo que você já tenha uma.

Conectar a uma instância

Não é possível conectar o Security Command Center Enterprise a uma instância independente do Google SecOps SIEM ou do Google SecOps SOAR. Se você tiver dúvidas sobre o tipo de instância do Google SecOps, entre em contato com seu representante de vendas Google Cloud .

Ao selecionar uma instância do Google SecOps, a página Conectar a uma instância do SecOps fornece um link para que você verifique sua seleção. Você precisa ter acesso a essa instância para fazer a verificação. Você precisa ter pelo menos o papel de Leitor de acesso a dados restritos da API Chronicle (roles/chronicle.restrictedDataAccessViewer) no projeto de gerenciamento para fazer login na instância.

Se você provisionar o Security Command Center usando uma instância do Google SecOps configurada para usar a Federação de identidade de colaboradores, será necessário atualizar os pools de identidade de colaboradores com permissões adicionais para acessar recursos nas páginas do console do Security Operations disponíveis com o Security Command Center Enterprise. Para mais informações, consulte Controlar o acesso a recursos nas páginas do console de operações de segurança.

Provisionar uma nova instância

Quando você provisiona uma nova instância, apenas ela é associada ao Security Command Center. Ao usar o Security Command Center, você navega entre as páginas do consoleGoogle Cloud e o console do Security Operations recém-provisionado.

Durante a ativação, você especifica o local em que a nova instância do Google SecOps será provisionada. Para conferir uma lista de regiões e multirregiões compatíveis, acesse a página de locais dos serviços do SecOps. Esse local se aplica apenas ao Google SecOps, e não a outros recursos ou serviços do Security Command Center.

Cada instância do Google SecOps precisa ter um projeto de gerenciamento dedicado que você possui e gerencia. Esse projeto precisa estar na mesma organização em que você ativa o Security Command Center Enterprise. Não é possível usar o mesmo projeto de gerenciamento para várias instâncias do Google SecOps.

Quando você tem uma instância do Google SecOps e provisiona uma nova instância para o Security Command Center Enterprise, ambas usam a mesma configuração para a ingestão direta de dados de Google Cloud . As mesmas configurações controlam a ingestão nas duas instâncias do Google SecOps, e elas recebem os mesmos dados.

Durante a ativação do Security Command Center Enterprise, o processo modifica as configurações de ingestão de registros do Google Cloud para definir todos os campos de tipo de dados como ativados: Google Cloud Logging, Metadados de recursos do Cloud e Descobertas do Security Command Center Premium. As configurações de filtro de exportação não são alteradas. O Security Command Center Enterprise exige esses tipos de dados para que todos os recursos funcionem conforme o esperado. É possível mudar as configurações de ingestão de registros do Google Cloud depois que a ativação for concluída.

Criar uma organização

O Security Command Center requer um recurso da organização associado a um domínio. Se você ainda não criou uma organização, consulte Como criar e gerenciar organizações.

Se você tiver várias organizações, identifique em quais delas vai ativar o Security Command Center Enterprise. Siga estas etapas de ativação para cada organização em que você planeja ativar o Security Command Center Enterprise.

Verificar as políticas da organização

Se as políticas da sua organização estiverem definidas para restringir o uso de recursos, verifique se as seguintes APIs são permitidas:

  • chronicle.googleapis.com
  • cloudsecuritycompliance.googleapis.com
  • securitycenter.googleapis.com
  • securitycentermanagement.googleapis.com

Criar um projeto de gerenciamento

O Security Command Center Enterprise exige um projeto, chamado de projeto de gerenciamento, para ativar a integração do Google SecOps e do Gerenciamento da Superfície de Ataque da Mandiant. Recomendamos que você use esse projeto exclusivamente para o Security Command Center Enterprise.

Se você ativou o Google SecOps antes e quer se conectar à instância atual, use o projeto de gerenciamento conectado ao Google SecOps.

Se você planeja provisionar uma nova instância do Google SecOps, crie um projeto de gerenciamento dedicado a ela. Não reutilize um projeto de gerenciamento conectado a outra instância do Google SecOps.

O Google SecOps não é compatível com o uso de um projeto de gerenciamento que exista em um perímetro de serviço do VPC Service Controls.

Saiba mais sobre como criar e gerenciar projetos.

Configurar permissões e APIs

Use as informações desta seção para configurar as permissões necessárias para ativar o Security Command Center Enterprise:

Saiba mais sobre os papéis do Security Command Center e as APIsGoogle Cloud .

Ativar a API Security Center Management

Se você planeja usar a API Security Center Management, ative-a no projeto em que você pretende chamá-la:

Funções necessárias para ativar APIs

Para ativar as APIs, é necessário ter o papel do IAM de administrador de uso do serviço (roles/serviceusage.serviceUsageAdmin), que contém a permissão serviceusage.services.enable. Saiba como conceder papéis.

Ativar a API

Configurar permissões na organização

Verifique se você tem os seguintes papéis na organização:

Verificar os papéis

  1. No console do Google Cloud , acesse a página IAM.

    Acessar IAM
  2. Selecione a organização.

  3. Na coluna Principal, encontre todas as linhas que identificam você ou um grupo no qual você está incluído. Para saber em quais grupos você está incluído, entre em contato com o administrador.

  4. Em todas as linhas que especificam ou incluem você, verifique a coluna Papel para ver se a lista de papéis inclui os papéis necessários.

Conceder os papéis

  1. No console do Google Cloud , acesse a página IAM.

    Acessar IAM
  2. Selecione a organização.
  3. Clique em Conceder acesso.

  4. No campo Novos principais, digite seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.

  5. Clique em Selecionar um papel e pesquise o papel.
  6. Para conceder outros papéis, adicione-os clicando em Adicionar outro papel.
  7. Clique em Salvar.

Configurar permissões e ativar APIs no projeto de gerenciamento

  1. No console do Google Cloud , verifique se você está visualizando a organização em que quer ativar o nível Security Command Center Enterprise.
  2. Selecione o projeto de gerenciamento que você criou anteriormente.

  3. Verifique se você tem os seguintes papéis no projeto:

    Verificar os papéis

    1. No console do Google Cloud , acesse a página IAM.

      Acessar IAM
    2. Selecione o projeto.

    3. Na coluna Principal, encontre todas as linhas que identificam você ou um grupo no qual você está incluído. Para saber em quais grupos você está incluído, entre em contato com o administrador.

    4. Em todas as linhas que especificam ou incluem você, verifique a coluna Papel para ver se a lista de papéis inclui os papéis necessários.

    Conceder os papéis

    1. No console do Google Cloud , acesse a página IAM.

      Acessar IAM
    2. Selecione o projeto.
    3. Clique em Conceder acesso.

    4. No campo Novos principais, digite seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.

    5. Clique em Selecionar um papel e pesquise o papel.
    6. Para conceder outros papéis, adicione-os clicando em Adicionar outro papel.
    7. Clique em Salvar.

  4. Ative as APIs Cloud Asset, Cloud Pub/Sub, Cloud Resource Manager, Compute Engine, Policy Analyzer e Recommender.

    Funções necessárias para ativar APIs

    Para ativar as APIs, é necessário ter o papel do IAM de administrador de uso do serviço (roles/serviceusage.serviceUsageAdmin), que contém a permissão serviceusage.services.enable. Saiba como conceder papéis.

    Ativar as APIs

Criar uma conta de serviço ao usar uma instância do Google SecOps

Se você planeja se conectar a uma instância do Google SecOps existente, crie uma conta de serviço gerenciado pelo usuário e conceda a ela os seguintes papéis:

Configurar contatos de notificação

Configure os contatos essenciais para que os administradores de segurança recebam notificações importantes. Para instruções, consulte Como gerenciar contatos para notificações.

Ativar o nível Security Command Center Enterprise

O processo de ativação configura automaticamente as contas de serviço, as permissões e os serviços incluídos no Security Command Center Enterprise. Você pode se conectar a uma instância do Google SecOps Standard, Enterprise ou Enterprise Plus ou provisionar uma nova.

  1. No console do Google Cloud , acesse o Security Command Center.

    Acesse Security Command Center

  2. Selecione a organização em que você quer ativar o nível Security Command Center Enterprise e clique em Selecionar.

  3. No menu de navegação do Security Command Center, clique em Guia de configuração.

  4. Na página Começar a usar o Security Command Center Enterprise, revise as contas de serviço e as APIs que serão configuradas e clique em Próxima.

    • Para conferir as contas de serviço que serão criadas, clique em Ver contas de serviço e permissões.
    • Para conferir as APIs que serão ativadas, clique em Acessar APIs do Security Command Center Enterprise.
    • Para conferir os termos e condições, clique em Termos e Condições do Security Command Center Enterprise.

    A próxima página mostra uma visualização diferente dependendo do seu ambiente.

  5. Se a organização estiver vinculada a uma instância do Google SecOps, escolha uma das opções a seguir. Se não estiver vinculada a uma instância do Google SecOps, continue com a etapa 6 para criar uma instância do Google SecOps.

    • Selecione Sim, conecte-se a uma instância do Google Security Operations para mim e escolha uma instância no menu. Continue com a etapa 7 para iniciar a ativação.

      O menu mostra as instâncias do Google SecOps associadas à organização em que você está ativando o Security Command Center Enterprise. Cada item inclui o ID do cliente do Google SecOps, a região em que ele é provisionado e o nome do projeto Google Cloud a que está associado. Não é possível selecionar uma instância incompatível com o Security Command Center Enterprise.

      A página fornece um link para a instância do Google SecOps selecionada para que você possa verificar. Se você receber um erro ao abrir a instância, verifique se tem as permissões do IAM necessárias para acessar a instância.

    • Selecione Não, criar uma nova instância do Google Security Operations e continue com a etapa 6 para criar uma nova instância do Google SecOps.

  6. Para criar uma instância do Google SecOps, forneça mais detalhes de configuração.

    1. Especifique os dados de contato da sua empresa.

      • Contato de suporte técnico: insira um endereço de e-mail individual ou de grupo.
      • Nome da empresa: insira o nome da sua empresa.

    2. Selecione o Tipo de local em que o Google SecOps será provisionado.

      • Região: selecione uma única região.
      • Multirregional: selecione um local multirregional.

      Esse local é usado apenas pelo Google SecOps, e não por outros recursos do Security Command Center. Para conferir uma lista de regiões e multirregiões compatíveis, consulte a página de locais dos serviços da SecOps.

    3. Clique em Próxima e selecione o Projeto de gerenciamento dedicado. Você criou o projeto de gerenciamento dedicado em uma etapa anterior.

      Se você selecionar um projeto vinculado a uma instância do Google SecOps, um erro vai aparecer quando você iniciar a ativação.

    4. Continue com a etapa 7 para iniciar a ativação.

  7. Clique em Ativar.

    Alguns serviços são ativados automaticamente, como a Análise de integridade da segurança, o Event Threat Detection e a Detecção de ameaças a máquinas virtuais. Pode levar algum tempo até que os recursos do Google SecOps fiquem prontos e as descobertas sejam disponibilizadas.

  8. Continue com Acompanhar o progresso da ativação e configurar serviços.

Monitorar o progresso da ativação e configurar serviços

O guia de configuração mostra o status do provisionamento e permite visualizar os serviços ativados. É possível configurar outros serviços e conexões com outros provedores de serviços de nuvem.

  1. No console do Google Cloud , acesse o guia de configuração do Security Command Center.

    Acessar o Guia de configuração

  2. Selecione a organização em que você ativou o Security Command Center Enterprise.

  3. Abra o painel Revisar o resumo dos recursos de segurança. Cada painel mostra o status de ativação dos serviços relacionados.

  4. Para se conectar à Amazon Web Services (AWS) ou ao Microsoft Azure, clique em Adicionar Adicionar conector. Isso abre a guia Conectores na página Configurações.

    Para mais instruções, consulte:

  5. Clique em Configurar em qualquer painel para configurar outros serviços e recursos. Use os links na tabela a seguir para saber mais sobre cada funcionalidade.

    Nome do painel "Recursos" Saiba mais sobre essas funcionalidades
    Proteção de IA
    Segurança do código
    Detecção de ameaças na nuvem
    Segurança de dados
    Segurança de identidade e acesso
    Compliance
    Plataforma de resposta
    Avaliação de vulnerabilidades

Configurar permissões para uso contínuo do Security Command Center Enterprise

Para mudar a configuração da sua organização, você precisa dos dois papéis a seguir no nível da organização:

Se um usuário não precisar de permissões para edição, considere conceder a ele papéis de leitor.

Para visualizar todos os recursos, descobertas e caminhos de ataque no Security Command Center, os usuários precisam ter o papel Leitor administrador da Central de segurança (roles/securitycenter.adminViewer) no nível da organização.

Para visualizar as configurações, os usuários precisam do papel Administrador da Central de segurança (roles/securitycenter.admin) no nível da organização.

Para restringir o acesso a pastas e projetos individuais, não conceda todos os papéis no nível da organização. Em vez disso, conceda os seguintes papéis no nível da pasta ou do projeto:

Cada serviço de detecção pode exigir permissões adicionais para ser ativado ou configurado. Consulte a documentação específica de cada serviço para mais informações.

Para usar os recursos do console de operações de segurança compatíveis com o Security Command Center Enterprise, consulte Controlar o acesso a recursos nas páginas do console de operações de segurança.

Modificar seu serviço do Security Command Center

Para mais informações sobre o gerenciamento de níveis, consulte Modificar o nível do Security Command Center Enterprise.

A seguir