Mengaktifkan Paket Premium Security Command Center untuk organisasi

Dokumen ini menjelaskan cara mengaktifkan Security Command Center Premium untuk organisasi melalui konsol Google Cloud . Mengaktifkan Security Command Center Premium secara otomatis mengaktifkan berbagai layanan.

Untuk mengetahui informasi selengkapnya tentang Security Command Center Premium, lihat Paket layanan Security Command Center.

Untuk mengaktifkan Security Command Center untuk paket layanan yang berbeda, lihat berikut ini:

Untuk mengaktifkan Security Command Center hanya untuk project, lihat Mengaktifkan Security Command Center untuk project.

Sebelum memulai

Sebelum mengaktifkan Security Command Center Premium untuk organisasi, Anda harus melakukan hal berikut:

  • Dapatkan peran dan izin Identity and Access Management (IAM) tertentu.
  • Opsional: Aktifkan API tambahan.
  • Tinjau kebijakan organisasi Anda, jika berlaku untuk organisasi Anda.
  • Jika Anda berencana mengaktifkan residensi data, tinjau Merencanakan residensi data dan tentukan lokasi yang akan digunakan.
  • Jika Anda berencana menggunakan kunci enkripsi yang dikelola pelanggan (CMEK), selesaikan tugas yang diperlukan untuk mengaktifkan CMEK untuk Security Command Center.

Anda dapat mengonfigurasi residensi data dan enkripsi data saat mengaktifkan Security Command Center. Untuk mengubah setelan ini setelah Anda mengaktifkan Security Command Center Standard atau Premium, lihat Mengubah konfigurasi residensi data atau enkripsi data.

Peran yang diperlukan

Untuk mendapatkan izin yang Anda perlukan untuk mengaktifkan Security Command Center bagi organisasi, minta administrator Anda untuk memberi Anda peran IAM berikut pada organisasi Anda:

Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Mengaktifkan Security Center Management API

Jika Anda berencana menggunakan Security Center Management API, aktifkan API ini di project tempat Anda berencana memanggilnya:

Peran yang diperlukan untuk mengaktifkan API

Untuk mengaktifkan API, Anda memerlukan peran IAM Service Usage Admin (roles/serviceusage.serviceUsageAdmin), yang berisi izin serviceusage.services.enable. Pelajari cara memberikan peran.

Mengaktifkan API

Meninjau kebijakan organisasi

Jika kebijakan organisasi Anda ditetapkan untuk membatasi identitas menurut domain, konfirmasi hal berikut:

  • Anda harus login ke konsol di akun yang berada di domain yang diizinkan. Google Cloud
  • Akun layanan Anda harus berada dalam domain yang diizinkan, atau anggota grup dalam domain Anda. Persyaratan ini memungkinkan Anda mengizinkan layanan yang menggunakan akun layanan @*.gserviceaccount.com untuk mengakses resource saat berbagi dengan batasan domain diaktifkan.

Jika kebijakan organisasi Anda ditetapkan untuk membatasi penggunaan resource, pastikan bahwa API berikut diizinkan oleh kebijakan Anda:

  • cloudsecuritycompliance.googleapis.com
  • securitycenter.googleapis.com
  • securitycentermanagement.googleapis.com

Mengaktifkan Security Command Center Premium

Anda dapat mengaktifkan Security Command Center Premium untuk organisasi melalui konsol Google Cloud .

  1. Di konsol Google Cloud , buka halaman selamat datang Security Command Center.

    Buka Security Command Center

  2. Jika Anda ingin mengaktifkan residensi data, buka konsol yurisdiksi menggunakan URL yang cocok dengan lokasi yang ingin Anda konfigurasi.

    Anda harus menggunakan konsol Google Cloud yurisdiksi untuk mengaktifkan Security Command Center dengan kontrol residensi data dan mengubah konfigurasi residensi data setelah aktivasi. Untuk mengetahui detailnya, lihat Tentang konsol Google Cloud yurisdiksi.

  3. Pilih organisasi yang ingin Anda aktifkan Security Command Center Premium-nya, lalu klik Pilih.

  4. Di halaman selamat datang, pilih Mulai uji coba gratis Premium.

    Untuk membatalkan uji coba Premium dan menghindari biaya sesuai penggunaan, Anda harus melakukan downgrade ke paket Standard sebelum periode uji coba berakhir. Anda dapat melakukan downgrade kapan saja selama uji coba. Untuk mengetahui petunjuk mendetail, lihat bagian Melakukan downgrade dari paket Premium ke paket Standard.

    Jika Anda ingin membeli langganan Premium, lihat Tingkat Premium: Harga berbasis langganan untuk mengetahui detailnya.

  5. Opsional: Untuk mengonfirmasi konfigurasi residensi data atau mengubah konfigurasi enkripsi data, klik Tampilkan lebih banyak.

    • Jika Anda menggunakan konsol yurisdiksi, kolom Data residency akan menampilkan Aktifkan dan kolom Location akan menampilkan lokasi yang sama dengan konsol yurisdiksi. Untuk mengubah lokasi, buka konsol menggunakan URL yang cocok dengan lokasi yang ingin Anda konfigurasi.
    • Konfigurasi enkripsi data default menggunakan Google-owned and Google-managed encryption keys. Untuk menggunakan kunci Cloud Key Management Service, klik Edit enkripsi data, lalu lakukan tindakan berikut:
      1. Pilih Kunci Cloud KMS.
      2. Pilih project.
      3. Pilih kunci. Anda dapat memilih kunci dari Google Cloud project mana pun, termasuk project di organisasi lain. Hanya kunci di lokasi yang kompatibel yang ditampilkan dalam daftar.

      Untuk mempelajari lokasi utama mana yang kompatibel dengan Security Command Center, lihat Menentukan lokasi utama.

      Jika organisasi Anda menggunakan kebijakan organisasi CMEK, Anda mungkin hanya memiliki opsi untuk memilih CMEK atau kunci tertentu.

      Selama proses aktivasi, Security Command Center memberikan peran Cloud KMS CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter) kepada Agen Layanan Cloud Security Command Center pada kunci Cloud KMS.

  6. Klik Activate.

Saat hasil tersedia, hasil tersebut akan ditampilkan di konsol. Kemudian, Anda dapat menggunakan konsol Google Cloud untuk meninjau dan memperbaiki Google Cloud risiko keamanan dan data.

Security Command Center menyelesaikan pemindaian penuh pertamanya dalam waktu 24 jam. Mungkin ada penundaan sebelum pemindaian dimulai untuk beberapa layanan. Untuk mengetahui informasi selengkapnya, lihat Kapan temuan dapat ditemukan di Security Command Center.

Layanan untuk Security Command Center Premium

Setelah Anda mengaktifkan Security Command Center Premium, layanan tertentu akan diaktifkan secara otomatis, dan agen layanan akan dibuat sehingga layanan ini dapat bertindak atas nama Anda.

Layanan

Security Command Center menggunakan layanan deteksi untuk mendeteksi masalah keamanan di lingkungan cloud Anda. Layanan berikut diaktifkan saat Anda mengaktifkan Security Command Center Premium:

Lihat dokumentasi setiap layanan untuk mengetahui petunjuk penggunaan dan pengoptimalan. Sebagai contoh, Event Threat Detection mengandalkan log yang dihasilkan oleh Google Cloud. Beberapa log selalu aktif, sehingga Event Threat Detection dapat mulai memindai log ini segera setelah diaktifkan. Log lainnya, seperti sebagian besar log audit akses data, harus diaktifkan sebelum Event Threat Detection dapat memindainya.

Layanan yang diuraikan dalam bagian ini, dan layanan tambahan, dapat diaktifkan atau dinonaktifkan dengan mengikuti langkah-langkah dalam Mengonfigurasi layanan Security Command Center.

Agen layanan

Agen layanan adalah akun layanan yang dibuat dan dikelola oleh Google Cloud untuk mengakses resource atas nama Anda. Setelah agen layanan dibuat, Security Command Center akan otomatis memberikan peran IAM yang diperlukan kepada agen layanan. Aktivasi Premium Security Command Center mencakup agen layanan berikut:

Mengubah layanan Security Command Center

Untuk mengetahui informasi selengkapnya tentang pengelolaan paket, lihat Mengubah paket Premium Security Command Center untuk organisasi.

Langkah berikutnya