Ativar o nível Premium do Security Command Center para uma organização

Este documento descreve como ativar o Security Command Center Premium para uma organização pelo console Google Cloud . A ativação do Security Command Center Premium habilita automaticamente vários serviços.

Para mais informações sobre o Security Command Center Premium, consulte Níveis de serviço do Security Command Center.

Para ativar o Security Command Center em um nível de serviço diferente, consulte o seguinte:

Para ativar o Security Command Center apenas para um projeto, consulte Ativar o Security Command Center para um projeto.

Antes de começar

Antes de ativar o Security Command Center Premium para uma organização, faça o seguinte:

  • Receba papéis e permissões específicos do Identity and Access Management (IAM).
  • Opcional: ative outras APIs.
  • Revise as políticas da organização, se aplicável.
  • Se você planeja ativar a residência de dados, consulte Planejamento para residência de dados e determine qual local usar.
  • Se você planeja usar uma chave de criptografia gerenciada pelo cliente (CMEK), conclua as tarefas necessárias para ativar a CMEK no Security Command Center.

É possível configurar a residência e a criptografia de dados ao ativar o Security Command Center. Para mudar essas configurações depois de ativar o Security Command Center Standard ou Premium, consulte Modificar a configuração de residência ou criptografia de dados.

Funções exigidas

Para receber as permissões necessárias para ativar o Security Command Center em uma organização, peça ao administrador que conceda a você os seguintes papéis do IAM na sua organização:

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.

Ativar a API Security Center Management

Se você planeja usar a API Security Center Management, ative-a no projeto em que você pretende chamá-la:

Funções necessárias para ativar APIs

Para ativar as APIs, é necessário ter o papel do IAM de administrador de uso do serviço (roles/serviceusage.serviceUsageAdmin), que contém a permissão serviceusage.services.enable. Saiba como conceder papéis.

Ativar a API

Revisar as políticas da organização

Se as políticas da organização estiverem definidas para restringir identidades por domínio, confirme o seguinte:

  • Você precisa fazer login no console do Google Cloud em uma conta que esteja em um domínio permitido.
  • As contas de serviço precisam estar em um domínio permitido ou membros de um grupo dentro do domínio. Esse requisito permite que você autorize serviços que usam a conta de serviço @*.gserviceaccount.com a acessar recursos quando o compartilhamento restrito de domínio está ativado.

Se as políticas da sua organização estiverem definidas para restringir o uso de recursos, verifique se as seguintes APIs são permitidas pela sua política:

  • cloudsecuritycompliance.googleapis.com
  • securitycenter.googleapis.com
  • securitycentermanagement.googleapis.com

Ativar o Security Command Center Premium

É possível ativar o Security Command Center Premium para uma organização no console Google Cloud .

  1. No console do Google Cloud , acesse a página inicial do Security Command Center.

    Acesse Security Command Center

  2. Se você quiser ativar a residência de dados, abra um console jurisdicional usando o URL que corresponde ao local que você planeja configurar.

    Você precisa usar o console jurisdicional Google Cloud para ativar o Security Command Center com controles de residência de dados e modificar a configuração de residência de dados após a ativação. Para mais detalhes, consulte Sobre o console Google Cloud jurisdicional.

  3. Selecione a organização para a qual você quer ativar o Security Command Center Premium e clique em Selecionar.

  4. Na página de boas-vindas, selecione Iniciar um teste sem custo financeiro do Premium.

    Para cancelar o teste do Premium e evitar cobranças por uso, faça o downgrade para o plano Standard antes do fim do período de teste. É possível fazer downgrade a qualquer momento durante o período de teste. Para instruções detalhadas, consulte Fazer downgrade do nível Premium para o Standard.

    Se quiser comprar uma assinatura do Premium, consulte Nível Premium: preços por assinatura para mais detalhes.

  5. Opcional: para confirmar a configuração de residência de dados ou mudar a configuração de criptografia de dados, clique em Mostrar mais.

    • Se você estiver usando um console jurisdicional, o campo Residência de dados vai mostrar Ativar, e o campo Localização vai mostrar o mesmo local do console jurisdicional. Para mudar o local, abra o console usando um URL que corresponda ao local que você quer configurar.
    • A configuração padrão de criptografia de dados usa Google-owned and Google-managed encryption keys. Para usar uma chave do Cloud Key Management Service, clique em Editar criptografia de dados e faça o seguinte:
      1. Selecione Chave do Cloud KMS.
      2. Selecione um projeto.
      3. Selecione uma chave. É possível selecionar uma chave de qualquer Google Cloud projeto, incluindo projetos em outras organizações. Somente as chaves em locais compatíveis aparecem na lista.

      Para saber quais locais principais são compatíveis com o Security Command Center, consulte Determinar o local principal.

      Se a organização usar políticas da organização de CMEK, talvez você só tenha a opção de escolher CMEK ou chaves específicas.

      Durante o processo de ativação, o Security Command Center concede o papel de criptografador/descriptografador de CryptoKey do Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) ao agente de serviço do Cloud Security Command Center na chave do Cloud KMS.

  6. Clique em Ativar.

À medida que os resultados ficam disponíveis, eles são mostrados no console. Em seguida, use o console Google Cloud para analisar e corrigir os riscos de segurança Google Cloud e de dados.

O Security Command Center conclui a primeira verificação completa em até 24 horas. As verificações de alguns serviços podem demorar um tempo até serem iniciadas. Para mais informações, consulte Quando esperar descobertas no Security Command Center.

Serviços do Security Command Center Premium

Depois de ativar o Security Command Center Premium, serviços específicos são ativados automaticamente, e agentes de serviço são criados para que esses serviços possam agir em seu nome.

Serviços

O Security Command Center usa serviços de detecção para identificar problemas de segurança nos seus ambientes de nuvem. Os seguintes serviços são ativados quando você ativa o Security Command Center Premium:

Consulte a documentação de cada serviço para instruções de uso e otimização. Por exemplo, o Event Threat Detection depende de registros gerados pelo Google Cloud. Alguns registros ficam sempre ativados, então o Event Threat Detection pode começar a verificá-los assim que forem ativados. Outros registros, como a maioria dos registros de auditoria de acesso a dados, precisam ser ativados antes que o Event Threat Detection possa verificá-los.

Os serviços descritos nesta seção e outros podem ser ativados ou desativados seguindo as etapas em Configurar serviços do Security Command Center.

Agentes de serviço

Um agente de serviço é uma conta de serviço criada e gerenciada pelo Google Cloud para acessar recursos em seu nome. Depois que um agente de serviço é criado, o Security Command Center concede automaticamente os papéis necessários do IAM a ele. A ativação do Security Command Center Premium inclui os seguintes agentes de serviço:

Modificar seu serviço do Security Command Center

Para mais informações sobre o gerenciamento de níveis, consulte Modificar o nível do Security Command Center Premium para uma organização.

A seguir