Activer Security Command Center pour un projet

Cette page explique comment activer le niveau Standard ou Premium tier de Security Command Center pour un Google Cloud projet.

Les activations du niveau Standard au niveau du projet sont compatibles avec les nouvelles fonctionnalités du niveau Standard.

Pour activer Security Command Center pour une organisation entière, consultez l'une des pages suivantes :

Avant de commencer

Pour activer Security Command Center sur un projet, vous devez remplir les conditions préalables suivantes, qui sont expliquées dans les sous-sections suivantes :

  • Lisez les informations préalables pour comprendre en quoi une activation de Security Command Center au niveau du projet diffère d'une activation au niveau de l'organisation.
  • Vous devez disposer d'un Google Cloud projet associé à une organisation.
  • Votre compte utilisateur doit disposer de rôles IAM (Identity and Access Management) contenant les autorisations requises.
  • Activez les API requises, en fonction de la façon dont vous avez été intégré au niveau Standard de Security Command Center.
  • Si votre projet hérite de règles d'administration configurées pour restreindre les identités par domaine, vos comptes utilisateur et de service doivent appartenir à un domaine autorisé.
  • Si vous utilisez Container Threat Detection, vos clusters Google Kubernetes Engine doivent être compatibles avec Container Threat Detection. Pour en savoir plus, consultez la section Vérifier les versions logicielles pour Container Threat Detection.

Informations préalables

Pour comprendre en quoi une activation de Security Command Center au niveau du projet diffère d'une activation au niveau de l'organisation, consultez la section Présentation de l'activation de Security Command Center au niveau du projet.

Pour en savoir plus sur les services et les résultats de Security Command Center qui ne sont pas compatibles avec les activations au niveau du projet, consultez la section Limites des services d'activation au niveau du projet.

Exigences pour le projet

Pour activer Security Command Center pour un projet, celui-ci doit être associé à une organisation. Si vous devez créer un projet, consultez la section Créer et gérer des projets.

Rôles requis

Pour obtenir les autorisations dont vous avez besoin pour activer Security Command Center pour un projet, demandez à votre administrateur de vous accorder les rôles IAM suivants dans votre projet :

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Activer les API requises

Si votre organisation a été automatiquement intégrée à Security Command Center dans le cadre de Google Cloud services, ou si vous prévoyez d'utiliser l'API Security Command Center, vous devez activer l'API pour votre projet.

Rôles requis pour activer les API

Pour activer les API, vous avez besoin du rôle IAM Administrateur d'utilisation du service (roles/serviceusage.serviceUsageAdmin), qui contient l'autorisation serviceusage.services.enable. Découvrez comment accorder des rôles.

Activer l'API

Vérifier les règles d'administration

Si votre projet hérite de règles d'administration configurées pour restreindre les identités par domaine, vous devez répondre aux exigences suivantes :

  • Vous devez être connecté à la Google Cloud console sur un compte faisant partie d'un domaine autorisé.
  • Vos comptes de service doivent appartenir à un domaine autorisé ou être des membres d'un groupe au sein de votre domaine. Cette exigence vous permet d'autoriser les services @*.gserviceaccount.com à accéder aux ressources lorsque le partage limité au domaine est activé.

Vérifier les versions logicielles pour Container Threat Detection

Si vous prévoyez d'utiliser Container Threat Detection avec Google Kubernetes Engine (GKE), assurez-vous que vos clusters disposent d'une version compatible de GKE et qu'ils sont correctement configurés. Pour en savoir plus, consultez la section Utiliser Container Threat Detection.

Scénarios d'activation pour un projet

Cette page aborde les scénarios d'activation suivants :

  • Dans une organisation qui n'a jamais activé Security Command Center, activez le niveau Premium ou Standard de Security Command Center pour un projet.
  • Dans une organisation qui utilise le niveau Standard, activez le niveau Premium de Security Command Center pour un projet.
  • Dans une organisation qui utilise un abonnement au niveau Premium qui expire, activez le niveau Premium de Security Command Center pour un projet.

Selon que votre organisation utilise Security Command Center ou non, vous activez Security Command Center pour un projet à l'aide de différentes méthodes.

Si votre organisation n'utilise pas Security Command Center, la Google Cloud console vous guide à travers une série de pages de configuration.

Si votre organisation utilise Security Command Center, vous activez Security Command Center Premium pour un projet à l'aide de l'onglet Tier Details (Détails du niveau) de la page Settings (Paramètres).

Déterminer si Security Command Center est déjà actif dans votre organisation

La façon dont vous activez Security Command Center pour un projet varie selon que Security Command Center est déjà actif ou non dans votre organisation.

Pour vérifier si Security Command Center est déjà actif dans votre organisation, procédez comme suit :

  1. Dans la Google Cloud console, accédez à la page Overview (Présentation) de Security Command Center.

    Accéder à Security Command Center

  2. Sélectionnez le nom du projet pour lequel vous devez activer Security Command Center.

    Une fois le projet sélectionné, l'une des pages suivantes s'ouvre :

    • Si Security Command Center est actif dans votre organisation, la page Risk overview (Présentation des risques) s'ouvre.
    • Si Security Command Center n'a pas été activé dans l'organisation, la page de bienvenue s'ouvre, à partir de laquelle vous pouvez démarrer le processus d'activation pour votre projet.
  3. Si Security Command Center est déjà actif dans votre organisation, vérifiez le niveau de service actif.

    1. Ouvrez la page Settings (Paramètres) de Security Command Center :

      Accéder aux paramètres

    2. Sur la page Settings (Paramètres), cliquez sur Tier Details (Détails du niveau). La page Tier (Niveau) s'ouvre.

    3. Sur la ligne Tier (Niveau), le niveau de service dont hérite le projet est indiqué.

  4. Pour activer Security Command Center pour un projet, suivez la procédure correspondant à l'état d'activation de Security Command Center dans l'organisation parente :

Activer pour un projet lorsque Security Command Center est actif dans l'organisation

Si Security Command Center est déjà actif dans une organisation, le seul niveau de service que vous devez activer au niveau du projet est le niveau Premium, car le projet héritera au minimum de l'utilisation du niveau Standard.

Pour consulter les fonctionnalités incluses dans chaque niveau, consultez la section Niveaux de service.

Pour passer votre projet au niveau Premium, procédez comme suit :

  1. Dans la Google Cloud console, accédez à la page Tier details (Détails du niveau).

    Accéder aux détails du niveau

  2. Sélectionnez le projet pour lequel vous souhaitez passer au niveau supérieur de Security Command Center, puis cliquez sur Select (Sélectionner).

  3. Cliquez sur Manage project tier (Gérer le niveau du projet).

  4. Dans le volet Manage tier (Gérer le niveau), cliquez sur Select (Sélectionner) pour le niveau Premium. Cliquez ensuite sur Update (Mettre à jour).

Vous avez terminé l'activation de Security Command Center Premium pour votre projet. Attendez ensuite la fin des analyses initiales.

Activer pour un projet lorsque Security Command Center n'est pas actif dans l'organisation

Si Security Command Center n'est pas actif dans votre organisation, la page de bienvenue avec les détails du niveau s'affiche lorsque vous ouvrez Security Command Center dans la Google Cloud console. Vous démarrez le processus d'activation en sélectionnant un niveau.

Security Command Center comporte trois niveaux : Standard, Premium et Enterprise. Le niveau que vous sélectionnez détermine les fonctionnalités dont vous disposez et le coût d'utilisation de Security Command Center. Vous ne pouvez activer le niveau Enterprise qu'au niveau de l'organisation. Pour en savoir plus, consultez la section Activer Security Command Center Enterprise Center.

Pour consulter les fonctionnalités incluses dans chaque niveau, consultez la section Niveaux de service.

Pour activer Security Command Center pour un projet, sélectionnez le niveau de service que vous souhaitez activer (Standard ou Premium) et procédez comme suit :

Standard

  1. Dans la Google Cloud console, accédez à la page Overview (Présentation) de Security Command Center.

    Accéder à Security Command Center

  2. Sélectionnez le projet pour lequel vous souhaitez activer Security Command Center Standard, puis cliquez sur Select (Sélectionner).

  3. Sur la page de bienvenue, cliquez sur Get Standard (Obtenir le niveau Standard).

  4. Cliquez sur Activate (Activer).

Premium

  1. Dans la Google Cloud console, accédez à la page Overview (Présentation) de Security Command Center.

    Accéder à Security Command Center

  2. Sélectionnez le projet pour lequel vous souhaitez activer Security Command Center Premium, puis cliquez sur Select (Sélectionner).

  3. Sur la page de bienvenue, sélectionnez Start a Premium free trial (Démarrer un essai sans frais de Premium).

  4. Cliquez sur Activate (Activer).

Les résultats s'affichent dans la Google Cloud console dès qu'ils sont disponibles. Une fois affichés, vous pouvez examiner et corriger les risques liés à la sécurité et aux données. Google Cloud

Security Command Center effectue sa première analyse complète dans les 24 heures. Certains services peuvent ne pas démarrer l'analyse immédiatement. Pour en savoir plus, consultez la section Quand attendre des résultats dans Security Command Center.

Services pour Security Command Center

Security Command Center utilise des services de détection pour détecter les problèmes de sécurité dans vos environnements cloud. Une fois Security Command Center activé, des services spécifiques sont automatiquement activés et des agents de service sont créés afin que ces services puissent agir en votre nom.

Suivez la procédure décrite dans Configurer les services Security Command Center pour activer ou désactiver différents services.

Les services qui sont automatiquement activés sont déterminés par votre niveau de service. Sélectionnez votre niveau de service pour voir ce qui est automatiquement activé.

Standard

L'activation de Security Command Center Standard active automatiquement Security Health Analytics et accorde à son agent de service les rôles et autorisations requis pour que le service fonctionne.

Premium

Les services suivants sont activés lorsque vous activez Security Command Center Premium :

Agents de service

Un agent de service est un compte de service créé et géré par Google Cloud pour accéder aux ressources en votre nom. Une fois l'agent de service créé, Security Command Center lui accorde automatiquement les rôles IAM requis. L'activation de Security Command Center Premium inclut les agents de service suivants :

Pour obtenir des instructions d'utilisation et d'optimisation, consultez la documentation de chaque service. Par exemple, Event Threat Detection s'appuie sur les journaux générés par Google Cloud. Certains journaux sont toujours activés. Event Threat Detection peut donc commencer à les analyser dès qu'il est activé. D'autres journaux, tels que la plupart des journaux d'audit d'accès aux données, doivent être activés pour qu'Event Threat Detection puisse les analyser.

Étape suivante

En savoir plus sur Security Command Center et ses services intégrés