Activer le niveau Premium de Security Command Center pour une organisation

Ce document explique comment activer Security Command Center Premium pour une organisation via la Google Cloud console. L'activation de Security Command Center Premium active automatiquement divers services.

Pour en savoir plus sur Security Command Center Premium, consultez la page Niveaux de service de Security Command Center.

Pour activer Security Command Center pour un autre niveau de service, consultez les pages suivantes :

Pour activer Security Command Center pour un projet uniquement, consultez Activer Security Command Center pour un projet.

Avant de commencer

Avant d'activer Security Command Center Premium pour une organisation, vous devez effectuer les opérations suivantes :

Obtenir des rôles et des autorisations IAM (Identity and Access Management) spécifiques.
Facultatif : activer des API supplémentaires.
Examiner les règles d'administration de votre organisation, si elles s'appliquent à votre organisation.
Si vous prévoyez d'activer la résidence des données, consultez Planifier la résidence des données et déterminez l'emplacement à utiliser.
Si vous prévoyez d'utiliser une clé de chiffrement gérée par le client (CMEK), effectuez les tâches requises pour activer CMEK pour Security Command Center.

Rôles requis

Pour obtenir les autorisations dont vous avez besoin pour activer Security Command Center pour une organisation, demandez à votre administrateur de vous attribuer les rôles IAM suivants dans votre organisation :

Administrateur du centre de sécurité (roles/securitycenter.admin)
Administrateur de l'organisation (roles/resourcemanager.organizationAdmin)

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Activer l'API Security Center Management

Si vous prévoyez d'utiliser l'API Security Center Management, activez-la dans le projet où vous prévoyez de l'appeler :

Rôles requis pour activer les API

Pour activer les API, vous avez besoin du rôle IAM Administrateur d'utilisation du service (roles/serviceusage.serviceUsageAdmin), qui contient l'autorisation serviceusage.services.enable. Découvrez comment attribuer des rôles.

Activer l'API

Examiner les règles d'administration

Si les règles d'administration de votre organisation sont configurées pour restreindre les identités par domaine, vérifiez les points suivants :

Vous devez être connecté à la Google Cloud console avec un compte appartenant à un domaine autorisé.
Vos comptes de service doivent appartenir à un domaine autorisé ou être des membres d'un groupe au sein de votre domaine. Cela vous permet d'autoriser les services qui utilisent le compte de service @*.gserviceaccount.com à accéder aux ressources lorsque le partage limité au domaine est activé.

Si les règles d'administration de votre organisation sont configurées pour restreindre l'utilisation des ressources, vérifiez que les API suivantes sont autorisées par votre règle :

cloudsecuritycompliance.googleapis.com
securitycenter.googleapis.com
securitycentermanagement.googleapis.com

Activer Security Command Center Premium

Vous pouvez activer Security Command Center Premium pour une organisation via la Google Cloud console.

Dans la Google Cloud console, accédez à la page de bienvenue de Security Command Center.

Accéder à Security Command Center

Important : Vous devez utiliser la console juridictionnelle Google Cloud pour activer Security Command Center avec des contrôles de résidence des données. Pour en savoir plus, consultez À propos de la console juridictionnelle Google Cloud .
Sélectionnez l'organisation pour laquelle vous souhaitez activer Security Command Center Premium, puis cliquez sur Sélectionner.
Sur la page de bienvenue, sélectionnez Démarrer un essai sans frais de Premium.

Remarque : Votre essai sans frais de Premium dure 30 jours. À la fin de votre essai, votre organisation passera automatiquement au forfait Premium avec paiement à l'usage, et votre compte de facturation sera débité en conséquence.

Pour annuler votre essai Premium et éviter les frais de paiement à l'usage, vous devez passer au niveau Standard avant la fin de la période d'essai. Vous pouvez passer à un niveau inférieur à tout moment pendant l'essai. Pour obtenir des instructions détaillées, consultez Passer du niveau Premium au niveau Standard.

Si vous souhaitez acheter un abonnement Premium, consultez la section Niveau Premium : Tarifs basés sur l'abonnement pour en savoir plus.
Facultatif : pour activer la résidence et le chiffrement des données, cliquez sur Afficher plus.

Attention : Vous devez configurer la résidence et le chiffrement des données lors de l'activation de Security Command Center. Vous ne pourrez pas modifier ces paramètres après avoir activé Security Command Center.

Pour en savoir plus sur la résidence des données, consultez Planifier la résidence des données.

Attention : Security Command Center ne valide pas l'emplacement de résidence de vos données par rapport aux règles d'administration qui appliquent la contrainte d'emplacement des ressources, gcp.resourceLocations. Lorsque vous activez Security Command Center, vous devez sélectionner un emplacement cohérent avec les règles de votre organisation.

Pour en savoir plus sur le chiffrement des données, consultez Activer CMEK pour Security Command Center. Si votre organisation utilise des règles d'administration CMEK vous ne pourrez peut-être choisir que CMEK ou des clés spécifiques. Si vous n'utilisez pas CMEK avec Security Command Center, Google chiffre les données au repos à l'aide de Google-owned and Google-managed encryption keys.
Cliquez sur Activer.

Les résultats s'affichent dans la console au fur et à mesure qu'ils sont disponibles. Vous pouvez ensuite utiliser la Google Cloud console pour examiner et corriger les risques liés à la Google Cloud sécurité et aux données.

Security Command Center effectue sa première analyse complète dans les 24 heures. Il peut y avoir un délai avant le démarrage des analyses pour certains services. Pour en savoir plus, consultez Quand attendre les résultats dans Security Command Center.

Services pour Security Command Center Premium

Une fois Security Command Center Premium activé, des services spécifiques sont automatiquement activés et des agents de service sont créés pour que ces services puissent agir en votre nom.

Services

Security Command Center utilise des services de détection pour détecter les problèmes de sécurité dans vos environnements cloud. Les services suivants sont activés lorsque vous activez Security Command Center Premium :

Protection de l'IA
Compliance Manager
Container Threat Detection

Pour que Container Threat Detection fonctionne, assurez-vous que vos clusters disposent d'une version compatible de Google Kubernetes Engine (GKE) et qu'ils sont correctement configurés. Pour en savoir plus, consultez Utiliser Container Threat Detection.
Data Security Posture Management (DSPM)
Event Threat Detection

Event Threat Detection s'appuie sur les journaux générés par Google Cloud. Pour utiliser Event Threat Detection, activez les journaux de votre organisation, vos dossiers et vos projets.
Analyse de l'état de la sécurité
Stratégie de sécurité
Virtual Machine Threat Detection
Évaluation des failles
Web Security Scanner

Reportez-vous à la documentation de chaque service pour obtenir des instructions d'utilisation et d'optimisation. Par exemple, Event Threat Detection s'appuie sur les journaux générés par Google Cloud. Certains journaux sont toujours activés. Event Threat Detection peut donc commencer à les analyser dès qu'il est activé. D'autres journaux, tels que la plupart des journaux d'audit d'accès aux données, doivent être activés pour qu'Event Threat Detection puisse les analyser.

Les services décrits dans cette section, ainsi que d'autres services, peuvent être activés ou désactivés en suivant les étapes décrites dans Configurer les services Security Command Center.

Agents de service

Un agent de service est un compte de service créé et géré par Google Cloud pour accéder aux ressources en votre nom. Une fois l'agent de service créé, Security Command Center lui attribue automatiquement les rôles IAM requis. L'activation de Security Command Center Premium inclut les agents de service suivants :

Agent de service Cloud Security Command Center pour Event Threat Detection, Security Health Analytics, Virtual Machine Threat Detection et Vulnerability Assessment
Agent de service de sécurité et de conformité du cloud pour la protection de l'IA et Compliance Manager
Agent de service Container Threat Detection pour Container Threat Detection
Agent de service Data Security Posture Management pour DSPM

Modifier votre service Security Command Center

Pour en savoir plus sur la gestion des niveaux, consultez Modifier le niveau Security Command Center Premium pour une organisation.

Étape suivante

Découvrez comment configurer les services Security Command Center.
Découvrez comment utiliser Security Command Center dans la console. Google Cloud
Découvrez comment utiliser les résultats de Security Command Center.
Apprenez-en davantage sur les Google Cloud sources de sécurité.
Découvrez comment Model Armor peut vous aider à protéger vos charges de travail d'IA.
Activez la protection des données sensibles pour protéger vos données sensibles.
Découvrez comment surveiller vos coûts à l'aide de Cloud Billing.