Cette page explique comment activer le niveau Security Command Center Standard ou Premium pour un projet Google Cloud .
Pour activer Security Command Center pour une organisation entière, consultez l'une des pages suivantes :
- Activer le niveau Standard de Security Command Center pour une organisation
- Activer le niveau Security Command Center Premium pour une organisation
- Activer le niveau Security Command Center Enterprise
Avant de commencer
Pour activer Security Command Center sur un projet, vous devez remplir les conditions préalables suivantes, qui sont expliquées dans les sous-sections suivantes :
- Lisez les informations préalables pour comprendre la différence entre l'activation de Security Command Center au niveau du projet et au niveau de l'organisation.
- Vous devez disposer d'un projet Google Cloud associé à une organisation.
- Votre compte utilisateur doit disposer de rôles IAM (Identity and Access Management) contenant les autorisations requises.
- Activez les API requises, en fonction de la façon dont vous avez été intégré au niveau Security Command Center Standard.
- Si votre projet hérite de règles d'administration définies pour restreindre les identités par domaine, vos comptes utilisateur et de service doivent appartenir à un domaine autorisé.
- Si vous utilisez Container Threat Detection, vos clusters Google Kubernetes Engine doivent être compatibles avec ce service. Pour en savoir plus, consultez Confirmer les versions logicielles pour Container Threat Detection.
Informations préalables
Pour comprendre la différence entre l'activation de Security Command Center au niveau du projet et au niveau de l'organisation, consultez Présentation de l'activation de Security Command Center au niveau du projet.
Pour en savoir plus sur les services et les résultats Security Command Center qui ne sont pas compatibles avec les activations au niveau du projet, consultez Limites des services d'activation au niveau du projet.
Exigences pour le projet
Pour activer Security Command Center pour un projet, celui-ci doit être associé à une organisation. Si vous devez créer un projet, consultez Créer et gérer des projets.
Rôles requis
Pour obtenir les autorisations nécessaires pour activer Security Command Center pour un projet, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre projet :
-
Administrateur de sécurité (
roles/iam.securityAdmin) -
Administrateur du centre de sécurité (
roles/securitycenter.admin)
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
Activer les API requises
Si votre organisation a été automatiquement intégrée à Security Command Center dans le cadre des servicesGoogle Cloud , ou si vous prévoyez d'utiliser l'API Security Command Center, vous devez activer l'API pour votre projet.
Rôles requis pour activer les API
Pour activer les API, vous avez besoin du rôle IAM Administrateur Service Usage (roles/serviceusage.serviceUsageAdmin), qui contient l'autorisation serviceusage.services.enable. Découvrez comment attribuer des rôles.
Vérifier les règles d'administration
Si votre projet hérite de règles d'administration définies sur restreindre les identités par domaine, vous devez respecter les exigences suivantes :
- Vous devez être connecté à la console Google Cloud sur un compte faisant partie d'un domaine autorisé.
- Vos comptes de service doivent appartenir à un domaine autorisé ou être des membres d'un groupe au sein de votre domaine. Cela vous permet d'autoriser les services
@*.gserviceaccount.comà accéder aux ressources lorsque le partage limité au domaine est activé.
Confirmer les versions logicielles pour Container Threat Detection
Si vous prévoyez d'utiliser Container Threat Detection avec Google Kubernetes Engine (GKE), assurez-vous que vos clusters disposent d'une version compatible de GKE et qu'ils sont correctement configurés. Pour en savoir plus, consultez Utiliser Container Threat Detection.
Scénarios d'activation pour un projet
Cette page aborde les scénarios d'activation suivants :
- Dans une organisation qui n'a jamais activé Security Command Center, activez le niveau Premium ou Standard de Security Command Center pour un projet.
- Dans une organisation qui utilise le niveau Standard, activez le niveau Premium de Security Command Center pour un projet.
- Dans une organisation qui utilise un abonnement au niveau Premium arrivant à expiration, activez le niveau Premium de Security Command Center pour un projet.
Selon que votre organisation utilise ou non Security Command Center, vous devez activer Security Command Center pour un projet à l'aide de différentes méthodes.
Si votre organisation n'utilise pas Security Command Center, la console Google Cloud vous guide à travers une série de pages de configuration.
Si votre organisation utilise Security Command Center, vous pouvez activer Security Command Center Premium pour un projet à l'aide de l'onglet Détails du niveau de la page Paramètres.
Déterminer si Security Command Center est déjà actif dans votre organisation
La procédure d'activation de Security Command Center pour un projet varie selon que Security Command Center est déjà actif ou non dans votre organisation.
Pour vérifier si Security Command Center est déjà actif dans votre organisation, procédez comme suit :
Dans la console Google Cloud , accédez à la page Présentation de Security Command Center.
Sélectionnez le nom du projet pour lequel vous devez activer Security Command Center.
Après avoir sélectionné le projet, l'une des pages suivantes s'ouvre :
- Si Security Command Center est actif dans votre organisation, la page Aperçu des risques s'ouvre.
- Si Security Command Center n'a pas été activé dans l'organisation, la page d'accueil s'ouvre. Vous pouvez y lancer le processus d'activation pour votre projet.
Si Security Command Center est déjà actif dans votre organisation, vérifiez le niveau de service actif.
Ouvrez la page Paramètres de Security Command Center :
Sur la page Paramètres, cliquez sur Détails du niveau. La page Niveau s'ouvre.
La ligne Niveau indique le niveau de service dont hérite le projet.
Pour activer Security Command Center pour un projet, suivez la procédure correspondant à l'état d'activation de Security Command Center dans l'organisation parente :
Activer pour un projet lorsque Security Command Center est actif dans l'organisation
Si Security Command Center est déjà actif dans une organisation, le seul niveau de service que vous devrez activer au niveau du projet est le niveau Premium, car le projet héritera au minimum de l'utilisation du niveau Standard.
Pour consulter les fonctionnalités incluses dans chaque niveau, consultez Niveaux de service.
Pour passer au niveau Premium, procédez comme suit :
Dans la console Google Cloud , accédez à la page Détails du niveau.
Sélectionnez le projet pour lequel vous souhaitez passer à un niveau supérieur de Security Command Center, puis cliquez sur Sélectionner.
Cliquez sur Gérer le niveau du projet.
Dans le volet Gérer le niveau, cliquez sur Sélectionner pour le niveau Premium. Cliquez ensuite sur Mettre à jour.
Vous avez terminé d'activer Security Command Center Premium pour votre projet. Ensuite, attendez la fin des analyses initiales.
Activer pour un projet lorsque Security Command Center n'est pas actif dans l'organisation
Si Security Command Center n'est pas actif dans votre organisation, la page d'accueil avec les détails du niveau s'affiche lorsque vous ouvrez Security Command Center dans la console Google Cloud . Pour commencer le processus d'activation, sélectionnez un niveau.
Security Command Center propose trois niveaux : Standard, Premium et Enterprise. Le niveau que vous sélectionnez détermine les fonctionnalités à votre disposition et le coût d'utilisation de Security Command Center. Vous ne pouvez activer le niveau Enterprise qu'au niveau de l'organisation. Pour en savoir plus, consultez Activer le niveau Security Command Center Enterprise.
Pour consulter les fonctionnalités incluses dans chaque niveau, consultez Niveaux de service.
Pour activer Security Command Center pour un projet, sélectionnez le niveau de service que vous souhaitez activer (Standard ou Premium), puis procédez comme suit :
Standard
Dans la console Google Cloud , accédez à la page Présentation de Security Command Center.
Sélectionnez le projet pour lequel vous souhaitez activer Security Command Center Standard, puis cliquez sur Sélectionner.
Sur la page d'accueil, cliquez sur Obtenir Standard.
Cliquez sur Activer.
Premium
Dans la console Google Cloud , accédez à la page Présentation de Security Command Center.
Sélectionnez le projet pour lequel vous souhaitez activer Security Command Center Premium, puis cliquez sur Sélectionner.
Sur la page d'accueil, sélectionnez Démarrer un essai sans frais de Premium.
Cliquez sur Activer.
Les résultats s'affichent dans la console Google Cloud au fur et à mesure de leur disponibilité. Une fois les résultats affichés, vous pouvez examiner et corriger les risques liés à la sécurité Google Cloud et aux données.
Security Command Center effectue sa première analyse complète sous 24 heures. Il est possible que certains services ne commencent pas l'analyse immédiatement. Pour en savoir plus, consultez Quand attendre les résultats dans Security Command Center.
Services pour Security Command Center
Security Command Center utilise des services de détection pour détecter les problèmes de sécurité dans vos environnements cloud. Après avoir activé Security Command Center, des services spécifiques sont automatiquement activés et des agents de service sont créés pour que ces services puissent agir en votre nom.
Suivez la procédure décrite dans Configurer les services Security Command Center pour activer ou désactiver différents services.
Les services activés automatiquement dépendent de votre niveau de service. Sélectionnez votre niveau de service pour voir ce qui est automatiquement activé.
Standard
L'activation de Security Command Center Standard active automatiquement Security Health Analytics et accorde à son agent de service les rôles et autorisations nécessaires au fonctionnement du service.
Premium
Les services suivants sont activés lorsque vous activez Security Command Center Premium :
-
Pour que Container Threat Detection fonctionne, assurez-vous que vos clusters utilisent une version compatible de Google Kubernetes Engine (GKE) et qu'ils sont correctement configurés. Pour en savoir plus, consultez Utiliser Container Threat Detection.
-
Event Threat Detection s'appuie sur les journaux générés par Google Cloud. Pour utiliser Event Threat Detection, activez les journaux de votre organisation, de vos dossiers et de vos projets.
Agents de service
Un agent de service est un compte de service créé et géré par Google Cloud pour accéder aux ressources en votre nom. Une fois l'agent de service créé, Security Command Center lui attribue automatiquement les rôles IAM requis. L'activation de Security Command Center Premium inclut les agents de service suivants :
- Agent de service Cloud Security Command Center pour Event Threat Detection, Security Health Analytics, Virtual Machine Threat Detection et l'évaluation des failles
- Agent de service de sécurité et de conformité du cloud pour AI Protection et Compliance Manager
- Agent de service Container Threat Detection pour Container Threat Detection
- Agent du service de gestion de la stratégie de sécurité des données (DSPM)
Pour obtenir des instructions sur l'utilisation et l'optimisation, consultez la documentation de chaque service. Par exemple, Event Threat Detection s'appuie sur les journaux générés parGoogle Cloud. Certains journaux sont toujours activés. Event Threat Detection peut donc commencer à les analyser dès qu'il est activé. D'autres journaux, tels que la plupart des journaux d'audit d'accès aux données, doivent être activés pour qu'Event Threat Detection puisse les analyser.
Étapes suivantes
En savoir plus sur Security Command Center et ses services intégrés
- Découvrez comment examiner les éléments, les résultats et les failles en utilisant Security Command Center.
- En savoir plus sur les sources de sécurité pourGoogle Cloud
- Découvrez comment ajouter des sources de sécurité à Security Command Center.