Activar el nivel Premium de Security Command Center en una organización

En este documento se describe cómo activar Security Command Center Premium en una organización a través de la Google Cloud consola. Al activar Security Command Center Premium, se habilitan automáticamente varios servicios.

Para obtener más información sobre Security Command Center Premium, consulta los niveles de servicio de Security Command Center.

Para activar Security Command Center en otro nivel de servicio, consulta lo siguiente:

• Activar el nivel Standard de Security Command Center en una organización
• Activar el nivel Enterprise de Security Command Center

Para activar Security Command Center solo en un proyecto, consulta el artículo Activar Security Command Center en un proyecto.

Antes de empezar

Antes de activar Security Command Center Premium en una organización, debes hacer lo siguiente:

• Obtener roles y permisos específicos de Gestión de Identidades y Accesos (IAM).
• Revisa las políticas de tu organización, si se aplican a ella.
• Si tienes previsto habilitar la residencia de datos, consulta el artículo Planificar la residencia de datos y determina qué ubicación vas a usar.
• Si tienes previsto usar una clave de cifrado gestionada por el cliente (CMEK), completa las tareas necesarias para habilitar CMEK en Security Command Center.

Roles obligatorios

Para obtener los permisos que necesitas para activar Security Command Center en una organización, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en tu organización:

• Administrador del Centro de Seguridad (roles/securitycenter.admin)
• Administrador de la organización (roles/resourcemanager.organizationAdmin)

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar acceso a proyectos, carpetas y organizaciones.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Consultar las políticas de organización

Si las políticas de tu organización están configuradas para restringir las identidades por dominio, confirma lo siguiente:

• Debes iniciar sesión en la Google Cloud consola con una cuenta que pertenezca a un dominio permitido.
• Tus cuentas de servicio deben estar en un dominio permitido o ser miembros de un grupo de tu dominio. Este requisito te permite autorizar que los servicios que usan la cuenta de servicio @*.gserviceaccount.com accedan a los recursos cuando se habilita el uso compartido restringido por dominio.

Si las políticas de tu organización están configuradas para restringir el uso de recursos, comprueba que las siguientes APIs estén permitidas en tu política:

• cloudsecuritycompliance.googleapis.com
• securitycenter.googleapis.com
• securitycentermanagement.googleapis.com

Activar Security Command Center Premium

Puedes activar Security Command Center Premium en una organización a través de la Google Cloud consola.

1. En la Google Cloud consola, ve a la página de bienvenida de Security Command Center.

   Ir a Security Command Center

   .

2. Selecciona la organización en la que quieras habilitar Security Command Center Premium y, a continuación, haz clic en Seleccionar.

3. En la página de bienvenida, selecciona Iniciar prueba gratuita de Premium.

4. Opcional: Para habilitar la residencia y el cifrado de datos, haz clic en Mostrar más.

   Para obtener más información sobre la residencia de datos, consulta el artículo Planificar la residencia de datos.

   Para obtener más información sobre el cifrado de datos, consulta el artículo Habilitar CMEK en Security Command Center. Si tu organización usa políticas de organización de CMEK, es posible que solo tengas la opción de elegir CMEK o claves específicas. Si no usas CMEK con Security Command Center, Google encripta los datos en reposo conGoogle-owned and Google-managed encryption keys.

5. Haz clic en Activate (Activar).

A medida que se obtienen resultados, se muestran en la consola. Después, puedes usar la consola para revisar y corregir los riesgos de seguridad y de datos. Google Cloud Google Cloud

Security Command Center completa su primer análisis completo en un plazo de 24 horas. Puede que haya un retraso antes de que se inicien los análisis de algunos servicios. Para obtener más información, consulta Cuándo se pueden esperar resultados en Security Command Center.

Servicios de Security Command Center Premium

Cuando activas Security Command Center Premium, se habilitan automáticamente determinados servicios y se crean agentes de servicio para que estos servicios puedan actuar en tu nombre.

Servicios

Security Command Center usa servicios de detección para detectar problemas de seguridad en tus entornos de nube. Los siguientes servicios se habilitan cuando activas Security Command Center Premium:

• Gestor de cumplimiento

• Container Threat Detection

  Para que Container Threat Detection funcione, asegúrate de que tus clústeres tengan una versión compatible de Google Kubernetes Engine (GKE) y de que estén configurados correctamente. Para obtener más información, consulta Usar Container Threat Detection.

• Gestión de la postura de seguridad de los datos (DSPM)

• Event Threat Detection

  Event Threat Detection se basa en los registros generados por Google Cloud. Para usar Event Threat Detection, habilita los registros de tu organización, tus carpetas y tus proyectos.

• Security Health Analytics

• posición de seguridad

• Detección de amenazas en máquinas virtuales

• Evaluación de vulnerabilidades

• Web Security Scanner

Consulte la documentación de cada servicio para obtener instrucciones sobre el uso y la optimización. Por ejemplo, Event Threat Detection se basa en los registros generados porGoogle Cloud. Algunos registros están siempre activados, por lo que Event Threat Detection puede empezar a analizarlos en cuanto se habilita. Otros registros, como la mayoría de los registros de auditoría de acceso a datos, deben activarse para que Detección de amenazas de eventos pueda analizarlos.

Los servicios que se describen en esta sección, así como otros servicios adicionales, se pueden habilitar o inhabilitar siguiendo los pasos que se indican en el artículo Configurar los servicios de Security Command Center.

Agentes de servicio

Un agente de servicio es una cuenta de servicio creada y gestionada por Google Cloud para acceder a recursos en tu nombre. Una vez creado un agente de servicio, Security Command Center le asigna automáticamente los roles de gestión de identidades y accesos necesarios. La activación del nivel Premium de Security Command Center incluye los siguientes agentes de servicio:

• Agente de servicio de Cloud Security Command Center para Security Health Analytics y Evaluación de vulnerabilidades
• Agente de servicio de cumplimiento de seguridad de Cloud para Gestor de cumplimiento
• Agente de servicio de Container Threat Detection para Container Threat Detection
• Agente de servicio de gestión de la posición de seguridad de los datos (DSPM)

Modificar el servicio Security Command Center

En esta sección se describen los siguientes casos:

• Cambiar de la activación a nivel de proyecto a la activación a nivel de organización del nivel Premium

• Cambiar al modelo de pago por uso como organización con una suscripción al nivel Premium que va a caducar

• Cambiar del nivel Standard al Premium

• Cambiar de un nivel Premium a un nivel Estándar

Cualquiera de estos cambios puede afectar a los precios. Para obtener más información, consulta los precios de Security Command Center.

Cambiar a la activación a nivel de organización del nivel Premium

Para cambiar de la activación a nivel de proyecto a la activación a nivel de organización, sigue las instrucciones que se indican en el artículo Activar Security Command Center Premium a nivel de organización.

Cambiar a la opción de pago por uso del nivel Premium

Si tu organización usa una suscripción al nivel Premium de Security Command Center, puedes registrarte en la opción de pago por uso antes de que caduque tu suscripción para disfrutar de acceso ininterrumpido a Security Command Center Premium.

Para registrarte en el modelo de pago por uso, sigue estos pasos:

1. En la Google Cloud consola, ve a la página Detalles del nivel.

   Ir a Detalles del nivel

2. Selecciona la organización cuya opción de precios quieras cambiar y haz clic en Seleccionar.

3. Haz clic en Gestionar nivel.

4. En el panel Gestionar nivel, comprueba que esté seleccionado Premium y haz clic en Actualizar.

Una vez que hayas completado estos pasos y tu suscripción caduque, se aplicará el precio de pago por uso.

Cambiar del nivel Standard al Premium

Sigue estos pasos para cambiar del nivel Standard al nivel Premium de Security Command Center.

1. En la Google Cloud consola, ve a la página Detalles del nivel.

   Ir a Detalles del nivel

2. Seleccione la organización para la que quiera cambiar a un nivel superior de Security Command Center y, a continuación, haga clic en Seleccionar.

3. Haz clic en Actualizar a premium.

4. En el panel Gestionar nivel, haz clic en Actualizar.

Cambiar del nivel Premium al nivel Standard

Sigue estos pasos para cambiar de la opción de pago por uso del nivel Premium de Security Command Center al nivel Standard de Security Command Center. De forma predeterminada, si tienes una suscripción, se te cambiará automáticamente al nivel Estándar cuando caduque.

Si cambias al nivel Standard de Security Command Center, perderás el acceso a los servicios y las funciones del nivel Premium. Verifica que el perfil de riesgo de seguridad de tu organización no se vea afectado negativamente antes de aplicar este cambio.

Aunque el nivel Standard de Security Command Center es gratuito, es posible que se te apliquen cargos indirectos. Para obtener más información, consulta Posibles cargos indirectos asociados a Security Command Center.

1. En la Google Cloud consola, ve a la página Detalles del nivel.

   Ir a Detalles del nivel

2. Seleccione la organización para la que quiera cambiar a un nivel inferior de Security Command Center y, a continuación, haga clic en Seleccionar.

3. Haz clic en Gestionar nivel.

4. En el panel Gestionar nivel, haga clic en Seleccionar en el nivel Estándar y, a continuación, en Actualizar.

Desactivar Security Command Center

Para desactivar Security Command Center, ponte en contacto con Cloud Customer Care.

Siguientes pasos

• Consulta cómo configurar los servicios de Security Command Center.
• Consulta cómo usar Security Command Center en la Google Cloud consola.
• Consulta cómo trabajar con los resultados de Security Command Center.
• Consulta información sobre las Google Cloud fuentes de seguridad.
• Descubre cómo puede ayudarte Model Armor a proteger tus cargas de trabajo de IA.
• Habilita Protección de Datos Sensibles para proteger tus datos sensibles.
• Consulta cómo monitorizar tus costes con la facturación de Cloud.