Attiva il livello Premium di Security Command Center per un'organizzazione

Questo documento descrive come attivare Security Command Center Premium per un'organizzazione tramite la console Google Cloud . L'attivazione di Security Command Center Premium attiva automaticamente una serie di servizi.

Per saperne di più su Security Command Center Premium, consulta Livelli di servizio di Security Command Center.

Per attivare Security Command Center per un altro livello di servizio, consulta quanto segue:

Per attivare Security Command Center solo per un progetto, consulta Attivare Security Command Center per un progetto.

Prima di iniziare

Prima di attivare Security Command Center Premium per un'organizzazione, devi fare quanto segue:

Ottieni ruoli e autorizzazioni Identity and Access Management (IAM) specifici.
Esamina le policy della tua organizzazione, se applicabili.
Se prevedi di abilitare la residenza dei dati, consulta la sezione Pianificazione della residenza dei dati e determina la località da utilizzare.
Se prevedi di utilizzare una chiave di crittografia gestita dal cliente (CMEK), completa le attività richieste per attivare CMEK per Security Command Center.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per attivare Security Command Center per un'organizzazione, chiedi all'amministratore di concederti i seguenti ruoli IAM nella tua organizzazione:

Security Center Admin (roles/securitycenter.admin)
Amministratore dell'organizzazione (roles/resourcemanager.organizationAdmin)

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Rivedi policy dell'organizzazione

Se i criteri dell'organizzazione sono impostati per limitare le identità in base al dominio, verifica quanto segue:

Devi aver eseguito l'accesso alla console Google Cloud su un account che si trova in un dominio consentito.
I tuoi service account devono trovarsi in un dominio consentito o essere membri di un gruppo all'interno del tuo dominio. Questo requisito ti consente di autorizzare i servizi che utilizzano il account di servizio @*.gserviceaccount.com ad accedere alle risorse quando è abilitata la condivisione con limitazioni del dominio.

Se le policy dell'organizzazione sono impostate per limitare l'utilizzo delle risorse, verifica che le seguenti API siano consentite dalla tua policy:

cloudsecuritycompliance.googleapis.com
securitycenter.googleapis.com
securitycentermanagement.googleapis.com

Attiva Security Command Center Premium

Puoi attivare Security Command Center Premium per un'organizzazione tramite la console Google Cloud .

Nella console Google Cloud , vai alla pagina di benvenuto di Security Command Center.

Vai a Security Command Center

Importante :devi utilizzare la console Google Cloud giurisdizionale per attivare Security Command Center con controlli per la residenza dei dati. Per maggiori dettagli, vedi Informazioni sulla console Google Cloud giurisdizionale.
Seleziona l'organizzazione per cui vuoi attivare Security Command Center Premium e poi fai clic su Seleziona.
Nella pagina di benvenuto, seleziona Inizia una prova senza costi di Premium.

Nota: la prova senza costi di Premium dura 30 giorni. Al termine della prova, la tua organizzazione passerà automaticamente al piano Premium pay-as-you-go e l'importo verrà addebitato sul tuo account di fatturazione.

Per annullare la prova di Premium ed evitare addebiti con pagamento a consumo, devi eseguire il downgrade al livello Standard prima della fine del periodo di prova. Puoi eseguire il downgrade in qualsiasi momento durante il periodo di prova. Per istruzioni dettagliate, vedi Eseguire il downgrade dal livello Premium al livello Standard.

Se vuoi acquistare un abbonamento Premium, consulta la sezione Livello Premium: prezzi basati sull'abbonamento per i dettagli.
(Facoltativo) Per abilitare la residenza e la crittografia dei dati, fai clic su Mostra altro.

Attenzione:devi configurare la residenza e la crittografia dei dati durante l'attivazione di Security Command Center. Non puoi modificare queste impostazioni dopo aver attivato Security Command Center.

Per saperne di più sulla residenza dei dati, vedi Pianificare la residenza dei dati.

Attenzione:Security Command Center non convalida la posizione di residenza dei dati in base alle norme dell'organizzazione che applicano il vincolo Posizioni delle risorse, gcp.resourceLocations. Quando attivi Security Command Center, devi selezionare una località coerente con le policy dell'organizzazione.

Per ulteriori informazioni sulla crittografia dei dati, vedi Attivare CMEK per Security Command Center. Se la tua organizzazione utilizza le policy dell'organizzazione per le chiavi CMEK, potresti avere solo la possibilità di scegliere CMEK o chiavi specifiche. Se non utilizzi CMEK con Security Command Center, Google cripta i dati inattivi utilizzandoGoogle-owned and Google-managed encryption keys.
Fai clic su Attiva.

Man mano che i risultati diventano disponibili, vengono visualizzati nella console. Dopodiché puoi utilizzare la console Google Cloud per esaminare e correggere Google Cloud i rischi per la sicurezza e i dati.

Security Command Center completa la prima scansione completa entro 24 ore. Potrebbe verificarsi un ritardo prima dell'avvio delle scansioni per alcuni servizi. Per saperne di più, consulta Quando aspettarsi i risultati in Security Command Center.

Servizi per Security Command Center Premium

Dopo aver attivato Security Command Center Premium, vengono attivati automaticamente servizi specifici e vengono creati agenti di servizio in modo che questi servizi possano agire per tuo conto.

Servizi

Security Command Center utilizza i servizi di rilevamento per rilevare problemi di sicurezza nei tuoi ambienti cloud. I seguenti servizi vengono abilitati quando attivi Security Command Center Premium:

AI Protection (anteprima)
Compliance Manager
Container Threat Detection

Affinché Container Threat Detection funzioni, assicurati che i cluster siano eseguiti su una versione supportata di Google Kubernetes Engine (GKE) e che i cluster GKE siano configurati correttamente. Per saperne di più, vedi Utilizzare Container Threat Detection.
Data Security Posture Management (DSPM)
Event Threat Detection

Event Threat Detection si basa sui log generati da Google Cloud. Per utilizzare Event Threat Detection, abilita i log per la tua organizzazione, le cartelle e i progetti.
Security Health Analytics
Postura di sicurezza
Virtual Machine Threat Detection
Valutazione di vulnerabilità
Web Security Scanner

Consulta la documentazione di ogni servizio per istruzioni sull'utilizzo e l'ottimizzazione. Ad esempio, Event Threat Detection si basa sui log generati da Google Cloud. Alcuni log sono sempre attivi, quindi Event Threat Detection può iniziare a esaminarli non appena viene abilitato. Altri log, come la maggior parte dei log di controllo dell'accesso ai dati, devono essere attivati prima che Event Threat Detection possa eseguirne la scansione.

I servizi descritti in questa sezione e i servizi aggiuntivi possono essere attivati o disattivati seguendo i passaggi descritti in Configurare i servizi di Security Command Center.

Agenti di servizio

Un agente di servizio è un service account creato e gestito da Google Cloud per accedere alle risorse per tuo conto. Una volta creato un service agent, Security Command Center concede automaticamente i ruoli IAM richiesti al service agent. L'attivazione di Security Command Center Premium include i seguenti service agent:

Agente di servizio Cloud Security Command Center per Event Threat Detection, Security Health Analytics, Virtual Machine Threat Detection e Vulnerability Assessment
Cloud Security Compliance Service Agent per AI Protection e Compliance Manager
Container Threat Detection Service Agent per Container Threat Detection
Agente di servizio Data Security Posture Management per DSPM

Modifica del servizio Security Command Center

Per saperne di più sulla gestione dei livelli, vedi Modificare il livello Security Command Center Premium per un'organizzazione.

Passaggi successivi

Scopri come configurare i servizi di Security Command Center.
Scopri come utilizzare Security Command Center nella console Google Cloud .
Scopri come utilizzare i risultati di Security Command Center.
Scopri di più sulle Google Cloud origini di sicurezza.
Scopri come Model Armor può aiutarti a proteggere i tuoi workload AI.
Attiva Sensitive Data Protection per proteggere i tuoi dati sensibili.
Scopri come monitorare i costi utilizzando fatturazione Cloud.