Ativar o nível Premium do Security Command Center para uma organização

Este documento descreve como ativar o Security Command Center Premium para uma organização pelo Google Cloud console do Google Cloud. A ativação do Security Command Center Premium ativa automaticamente vários serviços.

Para mais informações sobre o Security Command Center Premium, consulte Níveis de serviço do Security Command Center.

Para ativar o Security Command Center para um nível de serviço diferente, consulte o seguinte:

Para ativar o Security Command Center apenas para um projeto, consulte Ativar o Security Command Center para um projeto.

Antes de começar

Antes de ativar o Security Command Center Premium para uma organização, faça o seguinte:

Receba papéis e permissões específicos do Identity and Access Management (IAM).
Opcional: ative APIs adicionais.
Revise as políticas da organização, se aplicável à sua organização.
Se você planeja ativar a residência de dados, revise o Planejamento da residência de dados e determine qual local usar.
Se você planeja usar uma chave de criptografia gerenciada pelo cliente (CMEK), conclua as tarefas necessárias para ativar a CMEK para o Security Command Center.

Funções exigidas

Para conseguir as permissões necessárias para ativar o Security Command Center para uma organização, peça ao administrador para conceder a você os seguintes papéis do IAM na sua organização:

Administrador da Central de segurança (roles/securitycenter.admin)
Administrador da organização (roles/resourcemanager.organizationAdmin)

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando personalizados papéis ou outros predefinidos papéis.

Ativar a API Security Center Management

Se você planeja usar a API Security Center Management, ative-a no projeto em que planeja chamá-la:

Funções necessárias para ativar APIs

Para ativar as APIs, é necessário ter o papel do IAM de administrador de uso do serviço (roles/serviceusage.serviceUsageAdmin), que contém a permissão serviceusage.services.enable. Saiba como conceder papéis.

Ativar a API

Revisar as políticas da organização

Se as políticas da organização estiverem definidas para restringir identidades por domínio, confirme o seguinte:

Você precisa fazer login no Google Cloud console do Google Cloud em uma conta que esteja em um domínio permitido.
As contas de serviço precisam estar em um domínio permitido ou membros de um grupo dentro do domínio. Esse requisito permite que você autorize serviços que usam a conta de serviço @*.gserviceaccount.com a acessar recursos quando o compartilhamento restrito de domínio estiver ativado.

Se as políticas da sua organização estiverem definidas para restringir o uso de recursos, verifique se as seguintes APIs são permitidas pela política:

cloudsecuritycompliance.googleapis.com
securitycenter.googleapis.com
securitycentermanagement.googleapis.com

Ativar o Security Command Center Premium

É possível ativar o Security Command Center Premium para uma organização pelo console do Google Cloud Google Cloud .

No Google Cloud console do Google Cloud, acesse a página de boas-vindas do Security Command Center.

Acesse Security Command Center

Importante: é necessário usar o console jurisdicional Google Cloud para ativar o Security Command Center com controles de residência de dados. Para mais detalhes, consulte Sobre o console jurisdicional Google Cloud console.
Selecione a organização para a qual você quer ativar o Security Command Center Premium e clique em Selecionar.
Na página de boas-vindas, selecione Iniciar um teste sem custo financeiro do Premium.

**Observação** :o teste sem custo financeiro do Premium dura 30 dias. Quando o teste terminar, sua organização fará a transição automática para o plano Premium de pagamento por uso, e a conta de faturamento será cobrada de acordo.

Para cancelar o teste do Premium e evitar cobranças de pagamento por uso, faça o downgrade para o nível Standard antes do término do período de teste. É possível fazer downgrade a qualquer momento durante o período de teste. Para instruções detalhadas, consulte Fazer downgrade do nível Premium para o nível Standard.

Se você quiser comprar uma assinatura Premium, consulte Nível Premium: preços baseados em assinatura para mais detalhes.
Opcional: para ativar a residência e a criptografia de dados, clique em Mostrar mais.

Cuidado:é necessário configurar a residência e a criptografia de dados durante a ativação do Security Command Center. Não é possível mudar essas configurações depois de ativar o Security Command Center.

Para mais informações sobre a residência de dados, consulte Planejamento da residência de dados.

Cuidado: o Security Command Center não valida o local de residência de dados em relação a nenhuma políticas da organização que aplique a restrição de locais de recursos, gcp.resourceLocations. Ao ativar o Security Command Center, selecione um local consistente com as políticas da organização.

Para mais informações sobre a criptografia de dados, consulte Ativar a CMEK para o Security Command Center. Se a organização usar políticas da organização de CMEK talvez você só tenha a opção de escolher CMEK ou chaves específicas. Se você não usar a CMEK com o Security Command Center, o Google criptografará os dados em repouso usando Google-owned and Google-managed encryption keys.
Clique em Ativar.

À medida que os resultados ficam disponíveis, eles são mostrados no console. Em seguida, você pode usar o Google Cloud console para revisar e corrigir Google Cloud riscos de segurança e dados.

O Security Command Center conclui a primeira verificação completa em até 24 horas. Pode haver um atraso antes que as verificações sejam iniciadas para alguns serviços. Para mais informações, consulte Quando esperar descobertas no Security Command Center.

Serviços do Security Command Center Premium

Depois de ativar o Security Command Center Premium, serviços específicos são ativados automaticamente, e os agentes de serviço são criados para que esses serviços possam agir em seu nome.

Serviços

O Security Command Center usa serviços de detecção para detectar problemas de segurança nos ambientes de nuvem. Os seguintes serviços são ativados quando você ativa o Security Command Center Premium:

Proteção para IA
Compliance Manager
Container Threat Detection

Para que a Detecção de Ameaças em Contêiner funcione, verifique se os clusters estão em uma versão compatível do Google Kubernetes Engine (GKE) e se os clusters do GKE estão configurados corretamente. Para mais informações, consulte Usar a Detecção de Ameaças em Contêiner.
Gerenciamento de Postura de Segurança de Dados (DSPM)
Event Threat Detection

O Event Threat Detection depende de registros gerados por Google Cloud. Para usar o Event Threat Detection, ative os registros da sua organização, pastas e projetos.
Security Health Analytics
Postura de segurança
Detecção de ameaças a máquinas virtuais
Avaliação de vulnerabilidades
Web Security Scanner

Consulte a documentação de cada serviço para instruções de uso e otimização. Por exemplo, o Event Threat Detection depende de registros gerados por Google Cloud. Alguns registros ficam sempre ativados, então o Event Threat Detection pode começar a verificar esses registros assim que forem ativados. Outros registros, como a maioria dos registros de auditoria de acesso a dados, precisam ser ativados antes que o Event Threat Detection possa verificá-los.

Os serviços descritos nesta seção e outros serviços podem ser ativados ou desativados seguindo as etapas em Configurar serviços do Security Command Center.

Agentes de serviço

Um agente de serviço é uma conta de serviço criada e gerenciada pelo Google Cloud Google Cloud para acessar recursos em seu nome. Depois que um agente de serviço é criado, o Security Command Center concede automaticamente os papéis do IAM necessários ao agente de serviço. A ativação do Security Command Center Premium inclui os seguintes agentes de serviço:

Agente de serviço do Cloud Security Command Center para Event Threat Detection, Análise de integridade da segurança, Detecção de ameaças a máquinas virtuais e Avaliação de Vulnerabilidades
Agente de serviço de compliance de segurança do Cloud para Proteção para IA e Compliance Manager
Agente de serviço da Detecção de Ameaças em Contêiner para Detecção de Ameaças em Contêiner
Agente de serviço de gerenciamento de postura de segurança de dados para DSPM

Modificar o serviço do Security Command Center

Para mais informações sobre o gerenciamento de níveis, consulte Modificar o nível Premium do Security Command Center para uma organização.

A seguir

Saiba como configurar os serviços do Security Command Center.
Saiba como usar o Security Command Center no Google Cloud console.
Saiba como trabalhar com as descobertas do Security Command Center.
Saiba mais sobre Google Cloud as fontes de segurança.
Saiba como Model Armor pode ajudar a proteger suas cargas de trabalho de IA.
Ative a Proteção de dados sensíveis para ajudar a proteger seus dados sensíveis.
Saiba como monitorar seus custos usando o Cloud Billing.