Cette page explique comment activer le niveau Standard ou Premium tier de Security Command Center pour un Google Cloud projet.
Les activations du niveau Standard au niveau du projet sont compatibles avec les nouvelles fonctionnalités du niveau Standard.
Pour en savoir plus sur les fonctionnalités du niveau Standard, consultez la page Niveaux de service de Security Command Center.
Pour en savoir plus sur les différences entre les niveaux Standard et Standard-ancienne version, consultez la section Niveau Standard amélioré et activé automatiquement pour certains clients.
Pour activer Security Command Center pour une organisation entière, consultez l'une des pages suivantes :
- Activer le niveau Standard de Security Command Center pour une organisation
- Activer le niveau Premium de Security Command Center pour une organisation
- Activer Security Command Center Enterprise Center
Avant de commencer
Pour activer Security Command Center sur un projet, vous devez remplir les conditions préalables suivantes, qui sont expliquées dans les sous-sections suivantes :
- Lisez les informations préalables pour comprendre en quoi une activation de Security Command Center au niveau du projet diffère d'une activation au niveau de l'organisation.
- Vous devez disposer d'un Google Cloud projet associé à une organisation.
- Votre compte utilisateur doit disposer de rôles IAM (Identity and Access Management) contenant les autorisations requises.
- Activez les API requises, en fonction de la façon dont vous avez été intégré au niveau Standard de Security Command Center.
- Si votre projet hérite de règles d'administration configurées pour restreindre les identités par domaine, vos comptes utilisateur et de service doivent appartenir à un domaine autorisé.
- Si vous utilisez Container Threat Detection, vos clusters Google Kubernetes Engine doivent être compatibles avec Container Threat Detection. Pour en savoir plus, consultez la section Vérifier les versions logicielles pour Container Threat Detection.
Informations préalables
Pour comprendre en quoi une activation de Security Command Center au niveau du projet diffère d'une activation au niveau de l'organisation, consultez la section Présentation de l'activation de Security Command Center au niveau du projet.
Pour en savoir plus sur les services et les résultats de Security Command Center qui ne sont pas compatibles avec les activations au niveau du projet, consultez la section Limites des services d'activation au niveau du projet.
Exigences pour le projet
Pour activer Security Command Center pour un projet, celui-ci doit être associé à une organisation. Si vous devez créer un projet, consultez la section Créer et gérer des projets.
Rôles requis
Pour obtenir les autorisations dont vous avez besoin pour activer Security Command Center pour un projet, demandez à votre administrateur de vous accorder les rôles IAM suivants dans votre projet :
- Administrateur de sécurité (
roles/iam.securityAdmin) - Administrateur du centre de sécurité (
roles/securitycenter.admin)
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.
Activer les API requises
Si votre organisation a été automatiquement intégrée à Security Command Center dans le cadre de Google Cloud services, ou si vous prévoyez d'utiliser l'API Security Command Center, vous devez activer l'API pour votre projet.
Rôles requis pour activer les API
Pour activer les API, vous avez besoin du rôle IAM Administrateur d'utilisation du service (roles/serviceusage.serviceUsageAdmin), qui
contient l'autorisation serviceusage.services.enable. Découvrez comment accorder
des rôles.
Vérifier les règles d'administration
Si votre projet hérite de règles d'administration configurées pour restreindre les identités par domaine, vous devez répondre aux exigences suivantes :
- Vous devez être connecté à la Google Cloud console sur un compte faisant partie d'un domaine autorisé.
- Vos comptes de service doivent appartenir à un domaine autorisé ou être des membres d'un groupe au sein de votre domaine. Cette exigence vous permet d'autoriser les services
@*.gserviceaccount.comà accéder aux ressources lorsque le partage limité au domaine est activé.
Vérifier les versions logicielles pour Container Threat Detection
Si vous prévoyez d'utiliser Container Threat Detection avec Google Kubernetes Engine (GKE), assurez-vous que vos clusters disposent d'une version compatible de GKE et qu'ils sont correctement configurés. Pour en savoir plus, consultez la section Utiliser Container Threat Detection.
Scénarios d'activation pour un projet
Cette page aborde les scénarios d'activation suivants :
- Dans une organisation qui n'a jamais activé Security Command Center, activez le niveau Premium ou Standard de Security Command Center pour un projet.
- Dans une organisation qui utilise le niveau Standard, activez le niveau Premium de Security Command Center pour un projet.
- Dans une organisation qui utilise un abonnement au niveau Premium qui expire, activez le niveau Premium de Security Command Center pour un projet.
Selon que votre organisation utilise Security Command Center ou non, vous activez Security Command Center pour un projet à l'aide de différentes méthodes.
Si votre organisation n'utilise pas Security Command Center, la Google Cloud console vous guide à travers une série de pages de configuration.
Si votre organisation utilise Security Command Center, vous activez Security Command Center Premium pour un projet à l'aide de l'onglet Tier Details (Détails du niveau) de la page Settings (Paramètres).
Déterminer si Security Command Center est déjà actif dans votre organisation
La façon dont vous activez Security Command Center pour un projet varie selon que Security Command Center est déjà actif ou non dans votre organisation.
Pour vérifier si Security Command Center est déjà actif dans votre organisation, procédez comme suit :
Dans la Google Cloud console, accédez à la page Overview (Présentation) de Security Command Center.
Sélectionnez le nom du projet pour lequel vous devez activer Security Command Center.
Une fois le projet sélectionné, l'une des pages suivantes s'ouvre :
- Si Security Command Center est actif dans votre organisation, la page Risk overview (Présentation des risques) s'ouvre.
- Si Security Command Center n'a pas été activé dans l'organisation, la page de bienvenue s'ouvre, à partir de laquelle vous pouvez démarrer le processus d'activation pour votre projet.
Si Security Command Center est déjà actif dans votre organisation, vérifiez le niveau de service actif.
Ouvrez la page Settings (Paramètres) de Security Command Center :
Sur la page Settings (Paramètres), cliquez sur Tier Details (Détails du niveau). La page Tier (Niveau) s'ouvre.
Sur la ligne Tier (Niveau), le niveau de service dont hérite le projet est indiqué.
Pour activer Security Command Center pour un projet, suivez la procédure correspondant à l'état d'activation de Security Command Center dans l'organisation parente :
Activer pour un projet lorsque Security Command Center est actif dans l'organisation
Si Security Command Center est déjà actif dans une organisation, le seul niveau de service que vous devez activer au niveau du projet est le niveau Premium, car le projet héritera au minimum de l'utilisation du niveau Standard.
Pour consulter les fonctionnalités incluses dans chaque niveau, consultez la section Niveaux de service.
Pour passer votre projet au niveau Premium, procédez comme suit :
Dans la Google Cloud console, accédez à la page Tier details (Détails du niveau).
Sélectionnez le projet pour lequel vous souhaitez passer au niveau supérieur de Security Command Center, puis cliquez sur Select (Sélectionner).
Cliquez sur Manage project tier (Gérer le niveau du projet).
Dans le volet Manage tier (Gérer le niveau), cliquez sur Select (Sélectionner) pour le niveau Premium. Cliquez ensuite sur Update (Mettre à jour).
Vous avez terminé l'activation de Security Command Center Premium pour votre projet. Attendez ensuite la fin des analyses initiales.
Activer pour un projet lorsque Security Command Center n'est pas actif dans l'organisation
Si Security Command Center n'est pas actif dans votre organisation, la page de bienvenue avec les détails du niveau s'affiche lorsque vous ouvrez Security Command Center dans la Google Cloud console. Vous démarrez le processus d'activation en sélectionnant un niveau.
Security Command Center comporte trois niveaux : Standard, Premium et Enterprise. Le niveau que vous sélectionnez détermine les fonctionnalités dont vous disposez et le coût d'utilisation de Security Command Center. Vous ne pouvez activer le niveau Enterprise qu'au niveau de l'organisation. Pour en savoir plus, consultez la section Activer Security Command Center Enterprise Center.
Pour consulter les fonctionnalités incluses dans chaque niveau, consultez la section Niveaux de service.
Pour activer Security Command Center pour un projet, sélectionnez le niveau de service que vous souhaitez activer (Standard ou Premium) et procédez comme suit :
Standard
Dans la Google Cloud console, accédez à la page Overview (Présentation) de Security Command Center.
Sélectionnez le projet pour lequel vous souhaitez activer Security Command Center Standard, puis cliquez sur Select (Sélectionner).
Sur la page de bienvenue, cliquez sur Get Standard (Obtenir le niveau Standard).
Cliquez sur Activate (Activer).
Premium
Dans la Google Cloud console, accédez à la page Overview (Présentation) de Security Command Center.
Sélectionnez le projet pour lequel vous souhaitez activer Security Command Center Premium, puis cliquez sur Select (Sélectionner).
Sur la page de bienvenue, sélectionnez Start a Premium free trial (Démarrer un essai sans frais de Premium).
Cliquez sur Activate (Activer).
Les résultats s'affichent dans la Google Cloud console dès qu'ils sont disponibles. Une fois affichés, vous pouvez examiner et corriger les risques liés à la sécurité et aux données. Google Cloud
Security Command Center effectue sa première analyse complète dans les 24 heures. Certains services peuvent ne pas démarrer l'analyse immédiatement. Pour en savoir plus, consultez la section Quand attendre des résultats dans Security Command Center.
Services pour Security Command Center
Security Command Center utilise des services de détection pour détecter les problèmes de sécurité dans vos environnements cloud. Une fois Security Command Center activé, des services spécifiques sont automatiquement activés et des agents de service sont créés afin que ces services puissent agir en votre nom.
Suivez la procédure décrite dans Configurer les services Security Command Center pour activer ou désactiver différents services.
Les services qui sont automatiquement activés sont déterminés par votre niveau de service. Sélectionnez votre niveau de service pour voir ce qui est automatiquement activé.
Standard
L'activation de Security Command Center Standard active automatiquement Security Health Analytics et accorde à son agent de service les rôles et autorisations requis pour que le service fonctionne.
Premium
Les services suivants sont activés lorsque vous activez Security Command Center Premium :
-
Pour que Container Threat Detection fonctionne, assurez-vous que vos clusters disposent d'une version compatible de Google Kubernetes Engine (GKE) et qu'ils sont correctement configurés. Pour en savoir plus, consultez la section Utiliser Container Threat Detection.
-
Event Threat Detection s'appuie sur les journaux générés par Google Cloud. Pour utiliser Event Threat Detection, activez les journaux de votre organisation, vos dossiers et vos projets.
Agents de service
Un agent de service est un compte de service créé et géré par Google Cloud pour accéder aux ressources en votre nom. Une fois l'agent de service créé, Security Command Center lui accorde automatiquement les rôles IAM requis. L'activation de Security Command Center Premium inclut les agents de service suivants :
- Agent de service Cloud Security Command Center pour Event Threat Detection, Security Health Analytics, Virtual Machine Threat Detection et Évaluation des failles
- Agent de service de sécurité et de conformité du cloud pour protection de l'IA et Compliance Manager
- Agent de service Container Threat Detection pour Container Threat Detection
- Agent de service de gestion de la stratégie de sécurité des données pour DSPM
Pour obtenir des instructions d'utilisation et d'optimisation, consultez la documentation de chaque service. Par exemple, Event Threat Detection s'appuie sur les journaux générés par Google Cloud. Certains journaux sont toujours activés. Event Threat Detection peut donc commencer à les analyser dès qu'il est activé. D'autres journaux, tels que la plupart des journaux d'audit d'accès aux données, doivent être activés pour qu'Event Threat Detection puisse les analyser.
Étape suivante
En savoir plus sur Security Command Center et ses services intégrés
- Découvrez comment examiner les éléments, les résultats et les failles à l'aide de Security Command Center.
- Apprenez-en davantage sur les Google Cloud sources de sécurité.
- Découvrez comment ajouter des sources de sécurité à Security Command Center.