En esta página, se explica cómo activar el nivel Security Command Center Standard o el nivel Premium de Security Command Center para un Google Cloud proyecto.
Las activaciones del nivel Standard a nivel del proyecto admiten las nuevas funciones del nivel Standard.
Para obtener información sobre las funciones del nivel Standard, consulta Niveles de servicio de Security Command Center.
Para obtener información sobre las diferencias entre los niveles Estándar y Estándar heredado, consulta Se mejoró el nivel Estándar y se activó automáticamente para algunos clientes.
Para activar Security Command Center en toda una organización, consulta uno de los siguientes recursos:
- Activa el nivel Estándar de Security Command Center para una organización
- Activa el nivel Premium de Security Command Center para una organización
- Activa el Security Command Center Enterprise Center
Antes de comenzar
Para activar Security Command Center en un proyecto, necesitas los siguientes requisitos previos, que se explican en las siguientes subsecciones:
- Lee la información sobre los requisitos previos para comprender en qué se diferencia la activación de Security Command Center a nivel del proyecto de la activación a nivel de la organización.
- Debes tener un proyecto de Google Cloud asociado a una organización.
- Se deben otorgar a tu cuenta de usuario roles de Identity and Access Management (IAM) que contengan los permisos necesarios.
- Habilita las APIs requeridas, según cómo se te haya incorporado al nivel Estándar de Security Command Center.
- Si tu proyecto hereda políticas de la organización configuradas para restringir identidades por dominio, tus cuentas de usuario y de servicio deben estar en un dominio permitido.
- Si usarás Container Threat Detection, tus clústeres de Google Kubernetes Engine deben admitir Container Threat Detection. Para obtener más información, consulta Cómo confirmar las versiones de software para Container Threat Detection.
Información previa
Para comprender en qué se diferencia la activación de Security Command Center a nivel del proyecto de la activación a nivel de la organización, consulta Descripción general de la habilitación de Security Command Center a nivel del proyecto.
Para obtener información sobre los servicios y los hallazgos de Security Command Center que no se admiten con las activaciones a nivel del proyecto, consulta Limitaciones de los servicios de activación a nivel del proyecto.
Requisitos del proyecto
Para activar Security Command Center en un proyecto, este debe estar asociado a una organización. Si necesitas crear un proyecto, consulta Crea y administra proyectos.
Roles obligatorios
Para obtener los permisos que necesitas para activar Security Command Center en un proyecto, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu proyecto:
- Administrador de seguridad (
roles/iam.securityAdmin) - Administrador del centro de seguridad (
roles/securitycenter.admin)
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.
Habilita las API obligatorias
Si tu organización se incorporó automáticamente a Security Command Center como parte de los servicios deGoogle Cloud , o si planeas usar la API de Security Command Center, debes habilitar la API para tu proyecto.
Roles necesarios para habilitar las APIs
Para habilitar las APIs, necesitas el rol de IAM de administrador de Service Usage (roles/serviceusage.serviceUsageAdmin), que contiene el permiso serviceusage.services.enable. Obtén más información para otorgar roles.
Verifica las políticas de la organización
Si tu proyecto hereda políticas de la organización que están configuradas para restringir identidades por dominio, debes cumplir con los siguientes requisitos:
- Debes acceder a la consola de Google Cloud en una cuenta que esté en un dominio permitido.
- Tus cuentas de servicio deben estar en un dominio permitido o ser miembros de un grupo dentro de tu dominio. Este requisito te permite permitir que los servicios de
@*.gserviceaccount.comaccedan a los recursos cuando el uso compartido restringido del dominio se habilita.
Confirma las versiones de software para Container Threat Detection
Si planeas usar Container Threat Detection con Google Kubernetes Engine (GKE), asegúrate de que tus clústeres estén en una versión compatible de GKE y que estén configurados de forma correcta. Para obtener más información, consulta Container Threat Detection.
Situaciones de activación para un proyecto
En esta página, se describen las siguientes situaciones de activación:
- En una organización que nunca activó Security Command Center, activa el nivel Premium o Estándar de Security Command Center para un proyecto.
- En una organización que usa el nivel Estándar, activa el nivel Premium de Security Command Center para un proyecto.
- En una organización que usa una suscripción al nivel Premium que vence, activa el nivel Premium de Security Command Center para un proyecto.
Según si tu organización usa Security Command Center, puedes activar Security Command Center para un proyecto con diferentes métodos.
Si tu organización no usa Security Command Center, la consola Google Cloud te guiará por una serie de páginas de configuración.
Si tu organización usa Security Command Center, puedes activar Security Command Center Premium para un proyecto en la pestaña Detalles del nivel de la página Configuración.
Cómo determinar si Security Command Center ya está activo en tu organización
La forma en que activas Security Command Center para un proyecto varía según si Security Command Center ya está activo en tu organización.
Para verificar si Security Command Center ya está activo en tu organización, completa los siguientes pasos:
En la consola de Google Cloud , ve a la página Descripción general de Security Command Center.
Selecciona el nombre del proyecto para el que necesitas activar Security Command Center.
Después de seleccionar el proyecto, se abrirá una de las siguientes páginas:
- Si Security Command Center está activo en tu organización, se abrirá la página Descripción general del riesgo.
- Si Security Command Center no se activó en la organización, se abrirá la página de bienvenida, desde la que podrás iniciar el proceso de activación de tu proyecto.
Si Security Command Center ya está activo en tu organización, verifica el nivel de servicio que está activo.
Abre la página Configuración de Security Command Center:
En la página Configuración, haz clic en Detalles del nivel. Se abrirá la página Nivel.
En la fila Nivel, se indica el nivel de servicio que hereda el proyecto.
Para activar Security Command Center en un proyecto, sigue el procedimiento correspondiente al estado de activación de Security Command Center en la organización principal:
Activar para un proyecto cuando Security Command Center está activo en la organización
Si Security Command Center ya está activo en una organización, el único nivel de servicio que deberás activar a nivel del proyecto es el nivel Premium, ya que, como mínimo, el proyecto heredará el uso del nivel Estándar.
Para revisar las funciones que se incluyen en cada nivel, consulta Niveles de servicio.
Para actualizar tu proyecto al nivel Premium, sigue estos pasos:
En la consola de Google Cloud , ve a la página Detalles del nivel.
Selecciona el proyecto para el que deseas actualizar el nivel de Security Command Center y, luego, haz clic en Seleccionar.
Haz clic en Administrar nivel del proyecto.
En el panel Administrar nivel, haz clic en Seleccionar para el nivel Premium. Luego, haz clic en Actualizar.
Completaste la activación de Security Command Center Premium para tu proyecto. A continuación, espera a que se completen los análisis iniciales.
Activa un proyecto cuando Security Command Center no está activo en la organización
Si Security Command Center no está activo en tu organización, se mostrará la página de bienvenida con los detalles del nivel cuando abras Security Command Center en la consola de Google Cloud . Para comenzar el proceso de activación, selecciona un nivel.
Security Command Center tiene tres niveles: Estándar, Premium y Enterprise. El nivel que selecciones determina las funciones que tienes disponibles y el costo de usar Security Command Center. Solo puedes activar el nivel Enterprise a nivel de la organización. Para obtener más información, consulta Cómo activar Security Command Center Enterprise Center.
Para revisar las funciones que se incluyen en cada nivel, consulta Niveles de servicio.
Para activar Security Command Center en un proyecto, selecciona el nivel de servicio que deseas activar, Estándar o Premium, y sigue estos pasos:
Estándar
En la consola de Google Cloud , ve a la página Descripción general de Security Command Center.
Selecciona el proyecto para el que deseas habilitar Security Command Center Standard y, luego, haz clic en Seleccionar.
En la página de bienvenida, haz clic en Obtener estándar.
Haz clic en Activar.
Premium
En la consola de Google Cloud , ve a la página Descripción general de Security Command Center.
Selecciona el proyecto para el que deseas habilitar Security Command Center Premium y, luego, haz clic en Seleccionar.
En la página de bienvenida, selecciona Comenzar una prueba gratuita de Premium.
Haz clic en Activar.
Los resultados se muestran en la consola de Google Cloud a medida que están disponibles. Después de que se muestren, puedes revisar y corregir los riesgos de Google Cloud seguridad y datos.
Security Command Center completa su primer análisis completo en un plazo de 24 horas. Es posible que algunos servicios no comiencen a analizar de inmediato. Para obtener más información, consulta Cuándo se deben esperar hallazgos en Security Command Center.
Servicios de Security Command Center
Security Command Center utiliza servicios de detección para detectar problemas de seguridad en tus entornos de nube. Después de activar Security Command Center, se habilitan automáticamente servicios específicos y se crean agentes de servicio para que estos servicios puedan actuar en tu nombre.
Sigue los pasos en Configura los servicios de Security Command Center para habilitar o inhabilitar varios servicios.
Los servicios que se habilitan automáticamente se determinan según el nivel de servicio. Selecciona tu nivel de servicio para ver qué se habilita automáticamente.
Estándar
La activación de Security Command Center Standard habilita automáticamente Security Health Analytics y otorga a su agente de servicio los roles y permisos necesarios para que el servicio funcione.
Premium
Los siguientes servicios se habilitan cuando activas Security Command Center Premium:
-
Para que Container Threat Detection funcione, asegúrate de que tus clústeres estén en una versión compatible de Google Kubernetes Engine (GKE) y que tus clústeres de GKE estén configurados correctamente. Para obtener más información, consulta Usa Container Threat Detection.
-
Event Threat Detection se basa en los registros generados por Google Cloud. Para usar Event Threat Detection, habilita los registros en tu organización, carpetas y proyectos.
Agentes de servicio
Un agente de servicio es una cuenta de servicio creada y administrada por Google Cloud para acceder a los recursos en tu nombre. Después de crear un agente de servicio, Security Command Center le otorga automáticamente los roles de IAM necesarios. La activación de Security Command Center Premium incluye los siguientes agentes de servicio:
- Agente de servicio de Cloud Security Command Center para Event Threat Detection, Security Health Analytics, Virtual Machine Threat Detection y Vulnerability Assessment
- Agente de servicio de cumplimiento de la seguridad en la nube para AI Protection y el Administrador de cumplimiento
- Agente de servicio de Container Threat Detection para Container Threat Detection
- Agente de servicio de administración de la postura de seguridad de los datos para DSPM
Para obtener instrucciones de uso y optimización, consulta la documentación de cada servicio. Por ejemplo, Event Threat Detection se basa en los registros que generaGoogle Cloud. Algunos registros siempre están activados, por lo que Event Threat Detection puede comenzar a analizarlos en cuanto se habilita. Otros registros, como la mayoría de los registros de auditoría de acceso a los datos, deben activarse antes de que Event Threat Detection pueda analizarlos.
¿Qué sigue?
Obtén más información sobre Security Command Center y sus servicios integrados.
- Obtén más información para revisar activos, resultados y vulnerabilidades con Security Command Center.
- Obtén más información sobre las fuentes de seguridad deGoogle Cloud .
- Obtén más información para agregar fuentes de seguridad a Security Command Center.