Activa el nivel Premium de Security Command Center para una organización

En este documento, se describe cómo activar Security Command Center Premium para una organización a través de la consola de Google Cloud . Activar Security Command Center Premium habilita automáticamente una variedad de servicios.

Para obtener más información sobre Security Command Center Premium, consulta Niveles de servicio de Security Command Center.

Para activar Security Command Center en un nivel de servicio diferente, consulta lo siguiente:

• Activa el nivel Estándar de Security Command Center para una organización
• Cómo activar el nivel de Security Command Center Enterprise

Para activar Security Command Center solo para un proyecto, consulta Cómo activar Security Command Center para un proyecto.

Antes de comenzar

Antes de activar Security Command Center Premium para una organización, debes hacer lo siguiente:

• Obtén roles y permisos específicos de Identity and Access Management (IAM).
• Revisa las políticas de tu organización, si corresponde.
• Si planeas habilitar la residencia de datos, revisa Planificación de la residencia de datos y determina qué ubicación usar.
• Si planeas usar una clave de encriptación administrada por el cliente (CMEK), completa las tareas requeridas para habilitar la CMEK para Security Command Center.

Roles obligatorios

Para obtener los permisos que necesitas para activar Security Command Center en una organización, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu organización:

• Administrador del centro de seguridad (roles/securitycenter.admin)
• Administrador de la organización (roles/resourcemanager.organizationAdmin)

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Revisa las políticas de la organización

Si las políticas de tu organización están configuradas para restringir identidades por dominio, confirma lo siguiente:

• Debes acceder a la consola de Google Cloud en una cuenta que esté en un dominio permitido.
• Tus cuentas de servicio deben estar en un dominio permitido o miembros de un grupo dentro de tu dominio. Este requisito te permite permitir que los servicios que usan la cuenta de servicio de @*.gserviceaccount.com accedan a los recursos cuando el uso compartido restringido del dominio está habilitado.

Si las políticas de tu organización están configuradas para restringir el uso de recursos, verifica que las siguientes APIs estén permitidas por tu política:

• cloudsecuritycompliance.googleapis.com
• securitycenter.googleapis.com
• securitycentermanagement.googleapis.com

Activa Security Command Center Premium

Puedes activar Security Command Center Premium para una organización a través de la consola de Google Cloud .

1. En la consola Google Cloud , ve a la página de bienvenida de Security Command Center.

   Ir a Security Command Center

2. Selecciona la organización para la que deseas habilitar Security Command Center Premium y, luego, haz clic en Seleccionar.

3. En la página de bienvenida, selecciona Comenzar una prueba gratuita de Premium.

4. Opcional: Para habilitar la residencia y la encriptación de datos, haz clic en Mostrar más.

   Para obtener más información sobre la residencia de los datos, consulta Planificación de la residencia de los datos.

   Para obtener más información sobre la encriptación de datos, consulta Habilita la CMEK para Security Command Center. Si tu organización usa políticas de la organización de CMEK, es posible que solo tengas la opción de elegir CMEK o claves específicas. Si no usas la CMEK con Security Command Center, Google encripta los datos en reposo conGoogle-owned and Google-managed encryption keys.

5. Haz clic en Activar.

A medida que los resultados estén disponibles, se mostrarán en la consola. Luego, puedes usar la consola de Google Cloud para revisar y solucionar Google Cloud los riesgos de seguridad y datos.

Security Command Center completa su primer análisis completo en un plazo de 24 horas. Es posible que haya una demora antes de que se inicien los análisis de algunos servicios. Para obtener más información, consulta Cuándo esperar resultados en Security Command Center.

Servicios de Security Command Center Premium

Después de activar Security Command Center Premium, se habilitan automáticamente servicios específicos y se crean agentes de servicio para que estos servicios puedan actuar en tu nombre.

Servicios

Security Command Center usa servicios de detección para detectar problemas de seguridad en tus entornos de nube. Los siguientes servicios se habilitan cuando activas Security Command Center Premium:

• Compliance Manager

• Detección de amenazas a contenedores

  Para que la detección de amenazas a contenedores funcione, asegúrate de que tus clústeres estén en una versión compatible de Google Kubernetes Engine (GKE) y que tus clústeres de GKE estén configurados correctamente. Para obtener más información, consulta Usa la detección de amenazas de contenedores.

• Administración de la postura de seguridad de los datos (DSPM)

• Event Threat Detection

  Event Threat Detection se basa en los registros generados por Google Cloud. Para usar Event Threat Detection, habilita los registros en tu organización, carpetas y proyectos.

• Estadísticas del estado de la seguridad

• postura de seguridad

• Virtual Machine Threat Detection

• Evaluación de vulnerabilidades

• Web Security Scanner

Consulta la documentación de cada servicio para obtener instrucciones de uso y optimización. Por ejemplo, Event Threat Detection se basa en los registros que generaGoogle Cloud. Algunos registros siempre están activados, por lo que Event Threat Detection puede comenzar a analizarlos en cuanto se habilita. Otros registros, como la mayoría de los registros de auditoría de acceso a los datos, deben activarse antes de que Event Threat Detection pueda analizarlos.

Los servicios que se describen en esta sección, y otros servicios adicionales, se pueden habilitar o inhabilitar siguiendo los pasos que se indican en Configura los servicios de Security Command Center.

Agentes de servicio

Un agente de servicio es una cuenta de servicio creada y administrada por Google Cloud para acceder a los recursos en tu nombre. Después de que se crea un agente de servicio, Security Command Center le otorga automáticamente los roles de IAM necesarios. La activación de Security Command Center Premium incluye los siguientes agentes de servicio:

• Agente de servicio de Security Command Center de Cloud para las estadísticas del estado de la seguridad y la evaluación de vulnerabilidades
• Agente de servicio de cumplimiento de la seguridad en la nube para el Administrador de cumplimiento
• Agente de servicio de Container Threat Detection para Container Threat Detection
• Agente de servicio de administración de la postura de seguridad de los datos para DSPM

Modifica tu servicio de Security Command Center

En esta sección, se describen las siguientes situaciones:

• Cambio de la activación del nivel Premium de un proyecto a una organización

• Cambio a precios de pago por uso como organización con una suscripción de nivel Premium que vence

• Actualización del nivel Estándar al nivel Premium

• Cambio del nivel Premium al nivel Estándar

Cualquiera de estos cambios podría afectar los precios. Para obtener más detalles, consulta los precios de Security Command Center.

Cambio a la activación a nivel de la organización del nivel Premium

Para cambiar de una activación a nivel del proyecto a una activación a nivel de la organización, sigue las instrucciones que se indican en Activa Security Command Center Premium a nivel de la organización.

Cambia a la opción de pago por uso del nivel Premium

Si tu organización usa una suscripción al nivel Premium de Security Command Center, puedes inscribirte en los precios de pago por uso antes de que venza tu suscripción para tener acceso ininterrumpido a Security Command Center Premium.

Para inscribirte en los precios de pago por uso, completa los siguientes pasos:

1. En la consola de Google Cloud , ve a la página Detalles del nivel.

   Ir a Detalles del nivel

2. Selecciona la organización para la que deseas cambiar la opción de fijación de precios y, luego, haz clic en Seleccionar.

3. Haz clic en Administrar nivel.

4. En el panel Administrar nivel, verifica que esté seleccionado Premium y haz clic en Actualizar.

Una vez que completes estos pasos y venza tu suscripción, se aplicarán los precios de pago por uso.

Actualiza del nivel Estándar al nivel Premium

Completa los siguientes pasos para cambiar del nivel Estándar de Security Command Center al nivel Premium.

1. En la consola de Google Cloud , ve a la página Detalles del nivel.

   Ir a Detalles del nivel

2. Selecciona la organización para la que deseas actualizar el nivel de Security Command Center y, luego, haz clic en Seleccionar.

3. Haz clic en Actualizar a Premium.

4. En el panel Administrar nivel, haz clic en Actualizar.

Cambiar del nivel Premium al nivel Estándar

Completa los siguientes pasos para cambiar de la opción de pago por uso del nivel Premium de Security Command Center al nivel Estándar de Security Command Center. De forma predeterminada, si tienes una suscripción, se te cambiará automáticamente al nivel Estándar cuando venza.

Cuando cambias al nivel Estándar de Security Command Center, pierdes el acceso a los servicios y las funciones del nivel Premium. Antes de realizar este cambio, verifica que el perfil de riesgo de seguridad de tu organización no se vea afectado de forma negativa.

Aunque el nivel Estándar de Security Command Center es gratuito, es posible que se te apliquen cargos indirectos. Para obtener más información, consulta Posibles cargos indirectos asociados con Security Command Center.

1. En la consola de Google Cloud , ve a la página Detalles del nivel.

   Ir a Detalles del nivel

2. Selecciona la organización para la que deseas cambiar a una versión inferior del nivel de Security Command Center y, luego, haz clic en Seleccionar.

3. Haz clic en Administrar nivel.

4. En el panel Administrar nivel, haz clic en Seleccionar para el nivel Estándar y, luego, en Actualizar.

Desactiva Security Command Center

Para desactivar Security Command Center, comunícate con Atención al cliente de Cloud.

¿Qué sigue?

• Obtén más información para configurar los servicios de Security Command Center.
• Obtén más información para usar Security Command Center en la consola de Google Cloud .
• Obtén más información para trabajar con los hallazgos de Security Command Center.
• Obtén más información sobre las fuentes de seguridad deGoogle Cloud .
• Descubre cómo Model Armor puede ayudarte a proteger tus cargas de trabajo de IA.
• Habilita Sensitive Data Protection para proteger tus datos sensibles.
• Obtén más información para supervisar tus costos con la Facturación de Cloud.