Questa pagina spiega come attivare il livello Standard o Premium di Security Command Center per un progetto Google Cloud .
Per attivare Security Command Center per un'intera organizzazione, consulta una delle seguenti risorse:
- Attivare il livello Security Command Center Standard per un'organizzazione
- Attivare il livello Security Command Center Premium per un'organizzazione
- Attiva il livello Security Command Center Enterprise
Prima di iniziare
Per attivare Security Command Center in un progetto, devi soddisfare i seguenti prerequisiti, illustrati nelle sezioni secondarie seguenti:
- Leggi le informazioni sui prerequisiti per capire in che modo un'attivazione di Security Command Center a livello di progetto differisce da un'attivazione a livello di organizzazione.
- Devi disporre di un progetto Google Cloud associato a un'organizzazione.
- Al tuo account utente devono essere concessi ruoli IAM (Identity and Access Management) che contengono le autorizzazioni richieste.
- Abilita le API richieste, a seconda di come è stato eseguito l'onboarding al livello Security Command Center Standard.
- Se il tuo progetto eredita criteri dell'organizzazione impostati per limitare le identità per dominio, i tuoi account utente e service account devono trovarsi in un dominio consentito.
- Se utilizzerai Container Threat Detection, i tuoi cluster Google Kubernetes Engine devono supportare Container Threat Detection. Per saperne di più, consulta Conferma le versioni software per Container Threat Detection.
Informazioni sui prerequisiti
Per capire in che modo un'attivazione di Security Command Center a livello di progetto differisce da un'attivazione a livello di organizzazione, consulta la Panoramica dell'attivazione di Security Command Center a livello di progetto.
Per scoprire di più sui servizi e sui risultati di Security Command Center non supportati con le attivazioni a livello di progetto, consulta Limitazioni del servizio di attivazione a livello di progetto.
Requisiti del progetto
Per attivare Security Command Center per un progetto, quest'ultimo deve essere associato a un'organizzazione. Se devi creare un progetto, consulta la pagina Creazione e gestione dei progetti.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per attivare Security Command Center per un progetto, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto:
-
Security Admin (
roles/iam.securityAdmin) -
Security Center Admin (
roles/securitycenter.admin)
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Abilita le API richieste
Se la tua organizzazione è stata registrata automaticamente a Security Command Center nell'ambito dei serviziGoogle Cloud o se prevedi di utilizzare l'API Security Command Center, devi attivare l'API per il tuo progetto.
Ruoli richiesti per abilitare le API
Per abilitare le API, devi disporre del ruolo IAM Amministratore utilizzo dei servizi (roles/serviceusage.serviceUsageAdmin), che include l'autorizzazione serviceusage.services.enable. Scopri come concedere
i ruoli.
Verifica le policy dell'organizzazione
Se il tuo progetto eredita le policy dell'organizzazione impostate per limitare le identità in base al dominio, devi soddisfare i seguenti requisiti:
- Devi aver eseguito l'accesso alla console Google Cloud su un account che si trova in un dominio consentito.
- I tuoi service account devono trovarsi in un dominio consentito o essere membri di un gruppo all'interno del tuo dominio. Questo requisito ti consente di autorizzare
i servizi
@*.gserviceaccount.comad accedere alle risorse quando è abilitata la condivisione limitata per i domini.
Conferma le versioni software per Container Threat Detection
Se prevedi di utilizzare Container Threat Detection con Google Kubernetes Engine (GKE), assicurati che i cluster siano eseguiti su una versione supportata di GKE e che siano configurati correttamente. Per saperne di più, consulta Utilizzo di Container Threat Detection.
Scenari di attivazione per un progetto
Questa pagina illustra i seguenti scenari di attivazione:
- In un'organizzazione che non ha mai attivato Security Command Center, attiva il livello Premium o Standard di Security Command Center per un progetto.
- In un'organizzazione che utilizza il livello Standard, attiva il livello Security Command Center Premium per un progetto.
- In un'organizzazione che utilizza un abbonamento al livello Premium in scadenza, attiva il livello Premium di Security Command Center per un progetto.
A seconda che la tua organizzazione utilizzi Security Command Center, attivi Security Command Center per un progetto utilizzando metodi diversi.
Se la tua organizzazione non utilizza Security Command Center, la console Google Cloud ti guida attraverso una serie di pagine di configurazione.
Se la tua organizzazione utilizza Security Command Center, attiva Security Command Center Premium per un progetto utilizzando la scheda Dettagli livello della pagina Impostazioni.
Determinare se Security Command Center è già attivo nella tua organizzazione
La modalità di attivazione di Security Command Center per un progetto varia a seconda che Security Command Center sia già attivo nella tua organizzazione.
Per verificare se Security Command Center è già attivo nella tua organizzazione, completa i seguenti passaggi:
Nella console Google Cloud , vai alla pagina Panoramica di Security Command Center.
Seleziona il nome del progetto per il quale devi attivare Security Command Center.
Dopo aver selezionato il progetto, si apre una delle seguenti pagine:
- Se Security Command Center è attivo nella tua organizzazione, si apre la pagina Panoramica dei rischi.
- Se Security Command Center non è stato attivato nell'organizzazione, si apre la pagina di benvenuto, da cui puoi avviare la procedura di attivazione per il tuo progetto.
Se Security Command Center è già attivo nella tua organizzazione, controlla il livello di servizio attivo.
Apri la pagina Impostazioni di Security Command Center:
Nella pagina Impostazioni, fai clic su Dettagli livello. Si apre la pagina Livello.
Nella riga Livello è elencato il service tier ereditato dal progetto.
Per attivare Security Command Center per un progetto, segui la procedura per lo stato di attivazione di Security Command Center nell'organizzazione padre:
Attivare per un progetto quando Security Command Center è attivo nell'organizzazione
Se Security Command Center è già attivo in un'organizzazione, l'unico livello di servizio che devi attivare a livello di progetto è il livello Premium, perché, come minimo, il progetto erediterà l'utilizzo del livello Standard.
Per esaminare le funzionalità incluse in ogni livello, consulta la sezione Livelli di servizio.
Per eseguire l'upgrade del progetto al livello Premium:
Nella console Google Cloud , vai alla pagina Dettagli livello.
Seleziona il progetto per cui vuoi eseguire l'upgrade del livello di Security Command Center, quindi fai clic su Seleziona.
Fai clic su Gestisci livello progetto.
Nel riquadro Gestisci livello, fai clic su Seleziona per il livello Premium. Quindi, fai clic su Aggiorna.
Hai completato l'attivazione di Security Command Center Premium per il tuo progetto. Poi, attendi il completamento delle scansioni iniziali.
Attivare per un progetto quando Security Command Center non è attivo nell'organizzazione
Se Security Command Center non è attivo nella tua organizzazione, quando apri Security Command Center nella console Google Cloud viene visualizzata la pagina di benvenuto con i dettagli del livello. Per iniziare la procedura di attivazione, seleziona un livello.
Security Command Center ha tre livelli: Standard, Premium ed Enterprise. Il livello selezionato determina le funzionalità a tua disposizione e il costo di utilizzo di Security Command Center. Puoi attivare il livello Enterprise solo a livello di organizzazione. Per maggiori informazioni, consulta Attivare il livello Security Command Center Enterprise.
Per esaminare le funzionalità incluse in ogni livello, consulta la sezione Livelli di servizio.
Per attivare Security Command Center per un progetto, seleziona il livello di servizio che vuoi attivare, Standard o Premium, e segui questi passaggi:
Standard
Nella console Google Cloud , vai alla pagina Panoramica di Security Command Center.
Seleziona il progetto per cui vuoi attivare Security Command Center Standard e poi fai clic su Seleziona.
Nella pagina di benvenuto, fai clic su Ottieni standard.
Fai clic su Attiva.
Premium
Nella console Google Cloud , vai alla pagina Panoramica di Security Command Center.
Seleziona il progetto per cui vuoi attivare Security Command Center Premium e poi fai clic su Seleziona.
Nella pagina di benvenuto, seleziona Inizia una prova senza costi di Premium.
Fai clic su Attiva.
I risultati vengono visualizzati nella console Google Cloud man mano che diventano disponibili. Una volta visualizzati, puoi esaminare e correggere i rischi per la sicurezza e i dati. Google Cloud
Security Command Center completa la prima scansione completa entro 24 ore. Alcuni servizi potrebbero non iniziare subito la scansione. Per saperne di più, consulta Quando aspettarsi i risultati in Security Command Center.
Servizi per Security Command Center
Security Command Center utilizza i servizi di rilevamento per rilevare problemi di sicurezza nei tuoi ambienti cloud. Dopo aver attivato Security Command Center, vengono attivati automaticamente servizi specifici e vengono creati agenti di servizio in modo che questi servizi possano agire per tuo conto.
Segui i passaggi descritti in Configurare i servizi di Security Command Center per abilitare o disabilitare vari servizi.
I servizi attivati automaticamente sono determinati dal tuo livello di servizio. Seleziona il tuo livello di servizio per vedere cosa è abilitato automaticamente.
Standard
L'attivazione di Security Command Center Standard abilita automaticamente Security Health Analytics e concede al relativo agente di servizio i ruoli e le autorizzazioni necessari per il funzionamento del servizio.
Premium
Quando attivi Security Command Center Premium, vengono abilitati i seguenti servizi:
-
Affinché Container Threat Detection funzioni, assicurati che i cluster siano eseguiti su una versione supportata di Google Kubernetes Engine (GKE) e che i cluster GKE siano configurati correttamente. Per saperne di più, vedi Utilizzare Container Threat Detection.
-
Event Threat Detection si basa sui log generati da Google Cloud. Per utilizzare Event Threat Detection, abilita i log per la tua organizzazione, le cartelle e i progetti.
Agenti di servizio
Un agente di servizio è un service account creato e gestito da Google Cloud per accedere alle risorse per tuo conto. Una volta creato un service agent, Security Command Center concede automaticamente i ruoli IAM richiesti al service agent. L'attivazione di Security Command Center Premium include i seguenti service agent:
- Agente di servizio Cloud Security Command Center per Event Threat Detection, Security Health Analytics, Virtual Machine Threat Detection e Vulnerability Assessment
- Cloud Security Compliance Service Agent per AI Protection e Compliance Manager
- Container Threat Detection Service Agent per Container Threat Detection
- Agente di servizio Data Security Posture Management per DSPM
Per istruzioni sull'utilizzo e l'ottimizzazione, consulta la documentazione di ogni servizio. Ad esempio, Event Threat Detection si basa sui log generati da Google Cloud. Alcuni log sono sempre attivi, quindi Event Threat Detection può iniziare a esaminarli non appena viene abilitato. Altri log, come la maggior parte dei log di controllo dell'accesso ai dati, devono essere attivati prima che Event Threat Detection possa eseguirne la scansione.
Passaggi successivi
Scopri di più su Security Command Center e sui suoi servizi integrati.
- Scopri come esaminare asset, risultati e vulnerabilità utilizzando Security Command Center.
- Scopri di più sulle Google Cloud origini di sicurezza.
- Scopri come aggiungere origini di sicurezza a Security Command Center.