הפעלת Security Command Center בפרויקט

Standard-legacy ו-Premium

בדף הזה מוסבר איך להפעיל את רמת Standard או Premium של Security Command Center עבור Google Cloud פרויקט.

כדי להפעיל את Security Command Center בארגון שלם, אפשר לעיין באחד מהמאמרים הבאים:

דרישות מוקדמות

כדי להפעיל את Security Command Center בפרויקט, צריך לעמוד בדרישות המוקדמות הבאות, שמפורטות בקטעי המשנה הבאים:

  • כדאי לקרוא את המידע על הדרישות המוקדמות כדי להבין את ההבדלים בין הפעלה של Security Command Center ברמת הפרויקט לבין הפעלה ברמת הארגון.
  • צריך שיהיה לכם Google Cloud פרויקט שמשויך לארגון.
  • צריך להקצות לחשבון המשתמש שלכם תפקידים של ניהול זהויות והרשאות גישה (IAM) שמכילים את ההרשאות הנדרשות.
  • אם הפרויקט שלכם יורש מדיניות ארגונית שמוגדרת להגבלת זהויות לפי דומיין, חשבונות המשתמשים וחשבונות השירות שלכם צריכים להיות בדומיין מותר.
  • אם אתם מתכננים להשתמש ב-זיהוי איומים בקונטיינר, אשכולות Google Kubernetes Engine שלכם צריכים לתמוך ב-זיהוי איומים בקונטיינר.

מידע על דרישות מוקדמות

כדי להבין את ההבדל בין הפעלה של Security Command Center ברמת הפרויקט לבין הפעלה ברמת הארגון, אפשר לעיין במאמר סקירה כללית על הפעלה של Security Command Center ברמת הפרויקט.

במאמר מגבלות בהפעלת שירותים ברמת הפרויקט מוסבר על השירותים והממצאים של Security Command Center שלא נתמכים בהפעלות ברמת הפרויקט.

דרישות הפרויקט

כדי להפעיל את Security Command Center בפרויקט, הפרויקט צריך להיות משויך לארגון. אם אתם צריכים ליצור פרויקט, קראו את המאמר יצירה וניהול של פרויקטים.

התפקידים הנדרשים

כדי לקבל את ההרשאות שדרושות להפעלת Security Command Center בפרויקט, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בפרויקט:

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

אימות מדיניות הארגון

אם הפרויקט שלכם יורש מדיניות ארגונית שמוגדרת להגבלת זהויות על סמך הדומיין, אתם צריכים לעמוד בדרישות הבאות:

  • אתם צריכים להיות מחוברים למסוף Google Cloud באמצעות חשבון שנמצא בדומיין מורשה.
  • חשבונות השירות צריכים להיות בדומיין מותר, או חברים בקבוצה בתוך הדומיין שלכם. הדרישה הזו מאפשרת לכם לתת לשירותים של @*.gserviceaccount.com גישה למשאבים כששיתוף מוגבל לדומיין מופעל.

אישור גרסאות התוכנה לזיהוי איומים בקונטיינר

אם אתם מתכננים להשתמש בזיהוי איומים בקונטיינר עם Google Kubernetes Engine‏ (GKE), ודאו שהאשכולות שלכם פועלים בגרסה נתמכת של GKE ושהם מוגדרים בצורה נכונה. מידע נוסף זמין במאמר בנושא שימוש ב-זיהוי איומים בקונטיינר.

תרחישי הפעלה של פרויקט

בדף הזה מפורטים תרחישי ההפעלה הבאים:

  • בארגון שבו אף פעם לא הופעל Security Command Center, צריך להפעיל את רמת Premium או Standard של Security Command Center לפרויקט.
  • בארגון שמשתמש במסלול הרגיל, מפעילים את מסלול פרימיום של Security Command Center לפרויקט.
  • בארגון שמשתמש במינוי למהדורת פרימיום שתוקפו עומד לפוג, צריך להפעיל את מהדורת פרימיום של Security Command Center בפרויקט.

בהתאם לשאלה אם הארגון שלכם משתמש ב-Security Command Center, אתם יכולים להפעיל את Security Command Center לפרויקט בשיטות שונות.

אם הארגון שלכם לא משתמש ב-Security Command Center, ההגדרות במסוף ינחו אתכם בסדרת דפי הגדרה. Google Cloud

אם הארגון שלכם משתמש ב-Security Command Center, אתם יכולים להפעיל את Security Command Center Premium לפרויקט באמצעות הכרטיסייה פרטי המסלול בדף הגדרות.

קביעה אם Security Command Center כבר פעיל בארגון

הדרך להפעלת Security Command Center בפרויקט משתנה בהתאם לשאלה אם Security Command Center כבר פעיל בארגון שלכם.

כדי לבדוק אם Security Command Center כבר פעיל בארגון שלכם, מבצעים את השלבים הבאים:

  1. עוברים לדף Overview של Security Command Center במסוף Google Cloud .

    מעבר אל Security Command Center

  2. בוחרים את שם הפרויקט שבו רוצים להפעיל את Security Command Center.

    אחרי שבוחרים את הפרויקט, נפתח אחד מהדפים הבאים:

    • אם Security Command Center פעיל בארגון שלכם, ייפתח הדף Risk overview.
    • אם Security Command Center לא הופעל בארגון, ייפתח הדף Get Security Command Center שבו אפשר להתחיל את תהליך ההפעלה של הפרויקט.

  3. אם Security Command Center כבר פעיל בארגון, צריך לבדוק את רמת השירות שפעילה כרגע.

    1. פותחים את הדף הגדרות של Security Command Center:

      כניסה לדף Settings

    2. בדף הגדרות, לוחצים על פרטי התוכנית. נפתח הדף רמה.

    3. בשורה Tier (מסלול), מופיע מסלול השירות שהפרויקט יורש.

  4. כדי להפעיל את Security Command Center בפרויקט, פועלים לפי ההליך של מצב ההפעלה של Security Command Center בארגון האב:

הפעלה בפרויקט כש-Security Command Center פעיל בארגון

אם Security Command Center כבר פעיל בארגון, רמת השירות היחידה שצריך להפעיל ברמת הפרויקט היא רמת Premium, כי הפרויקט יקבל בירושה את השימוש ברמת Standard לפחות.

כדי לעיין בתכונות שנכללות בכל רמה, אפשר לעיין במאמר בנושא רמות שירות.

בוחרים את מסלול השירות הרצוי, Standard או Standard-legacy, ופועלים לפי השלבים לשדרוג הפרויקט למסלול Premium. מידע נוסף זמין במאמר בנושא העברה והפעלה של מסלול Standard.

רגילה

  1. נכנסים לדף Tier Detail במסוף Google Cloud .

    כניסה לפרטי התוכנית

  2. בוחרים את הפרויקט שרוצים לשדרג את רמת השירות של Security Command Center שלו ולוחצים על בחירה.

  3. לוחצים על ניהול רמת הפרויקט.

  4. בחלונית ניהול רמה, לוחצים על בחירה ברמה Premium. לאחר מכן לוחצים על עדכון.

Standard-legacy

  1. נכנסים לדף Tier Detail במסוף Google Cloud .

    כניסה לפרטי התוכנית

  2. בוחרים את הפרויקט שרוצים לשדרג את רמת השירות של Security Command Center שלו ולוחצים על בחירה.

  3. בדף פרטי הרמה, לוחצים על אחת מהאפשרויות הבאות:

    • ניהול רמת הפרויקט
    • להרשמה למינוי Premium

    ייפתח הדף ניהול רמת המינוי.

  4. בדף ניהול רמת המינוי, בוחרים באפשרות Premium.

  5. לוחצים על הבא. ייפתח הדף Services.

  6. בדף Services, מפעילים או משביתים כל שירות מובנה לפי הצורך. כדי לעשות זאת, בוחרים באחד מהערכים הבאים בתפריט שמימין לשירות הרצוי:

    • ירושה (הערך שמוגדר כברירת מחדל)
    • הפעלה
    • השבתה

השלמתם את ההפעלה של Security Command Center Premium בפרויקט. לאחר מכן, מחכים שהסריקות הראשוניות יסתיימו.

הפעלה לפרויקט כש-Security Command Center לא פעיל בארגון

אם הארגון שלכם לא משתמש ב-Security Command Center, המסוף יציג לכם סדרה של דפי הגדרה כשתפעילו את Security Command Center לפרויקט. Google Cloud

שלב 1: בוחרים רמה

אם Security Command Center לא פעיל בארגון שלכם, כשפותחים את Security Command Center במסוף Google Cloud , מוצג הדף Get Security Command Center. כדי להתחיל את תהליך ההפעלה, בוחרים רמה.

ל-Security Command Center יש שלוש רמות: Standard,‏ Premium ו-Enterprise. המהדורה שתבחרו תקבע אילו תכונות יהיו זמינות לכם ואת העלות של השימוש ב-Security Command Center. אפשר להפעיל את רמת Enterprise רק ברמת הארגון. מידע נוסף זמין במאמר בנושא הפעלת מהדורת Enterprise של Security Command Center.

כדי לעיין בתכונות שנכללות בכל רמה, אפשר לעיין במאמר בנושא רמות שירות.

כדי לבחור את הרמה ולהתחיל את תהליך ההפעלה של Security Command Center, מבצעים את השלבים הבאים:

  1. עוברים לדף הסקירה הכללית של Security Command Center במסוף Google Cloud .

    מעבר אל Security Command Center

  2. בוחרים את שם הפרויקט שבו רוצים להפעיל את Security Command Center.

    אחרי שבוחרים את הפרויקט, נפתח Security Command Center בדף Get Security Command Center (קבלת Security Command Center). בדף הזה בוחרים רמה כדי להתחיל את תהליך ההפעלה. אם מסוף Security Command Center נפתח, סימן ש-Security Command Center כבר פעיל בארגון או בפרויקט שלכם.

  3. בוחרים את רמת השירות Premium או Standard, בהתאם לשירותים שאתם צריכים.

  4. לוחצים על הבא. נפתח הדף בחירת שירותים.

בקטע הבא, בוחרים את השירותים המובנים שרוצים להפעיל בפרויקט.

שלב 2: בחירת שירותים

בדף Select services מוצגים כל השירותים המובנים של Security Command Center.

  1. בדף Services, מפעילים או משביתים כל שירות מובנה לפי הצורך. כדי לעשות זאת, בוחרים באחד מהערכים הבאים בתפריט שמימין לשירות הרצוי:

    • ירושה
    • הפעלה
    • השבתה

    אחרי שמסיימים את תהליך ההפעלה, צריך לעיין במסמכים של כל שירות שהפעלתם כדי לבדוק אם יש שלבים נוספים שנדרשים עבור כל שירות.

  2. לוחצים על הבא. נפתח הדף Grant roles.

שלב 3: הגדרת סוכני השירות

כשמפעילים את Security Command Center בפעם הראשונה,מערכת Google Cloudיוצרת באופן אוטומטי סוכני שירות של IAM עבור Security Command Center ושירותי הזיהוי שלו.

כמו שמתואר בהליך הבא, אתם מקצים תפקידים ב-IAM לסוכני השירות האלה, שמספקים את ההרשאות שנדרשות ל-Security Command Center ולשירותי הזיהוי שלו כדי לבצע את הפונקציות שלהם.

כשמפעילים את Security Command Center ברמת הפרויקט, ו-Security Command Center עדיין לא פעיל בארגון, נוצרים סוכני השירות הבאים ברמת הפרויקט:

  • service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com. מקצים לחשבון השירות הזה את התפקיד securitycenter.serviceAgent ב-IAM.

  • service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.com. מקצים לחשבון השירות הזה את התפקיד roles/containerthreatdetection.serviceAgent ב-IAM.

במקום PROJECT_NUMBER, חשבון השירות מכיל את מספר הפרויקט.

כדי להקצות את תפקידי ה-IAM לסוכני השירות, פועלים לפי השלבים הבאים:

  1. אופציונלי: בדף Grant roles, לוחצים על Review permissions כדי לבדוק את התפקיד וההרשאות שאתם עומדים להעניק.

  2. כדי להקצות את התפקידים הנדרשים באופן אוטומטי, לוחצים על הקצאת תפקידים.

    לחלופין, אפשר להקצות את התפקיד באופן ידני, על ידי ביצוע השלבים הבאים:

    1. לוחצים על לחלופין: הקצאת תפקידים באופן ידני (gcloud).
    2. מעתיקים את הפקודות של ה-CLI של gcloud.
    3. בסרגל הכלים של מסוף Google Cloud , לוחצים על Activate Cloud Shell (הפעלת Cloud Shell).
    4. בחלון הטרמינל שמופיע, מדביקים את הפקודות של ה-CLI של gcloud שהעתקתם, ואז מקישים על Enter.

  3. לוחצים על הבא. ייפתח הדף השלמת ההגדרה.

שלב 4: מאשרים את ההפעלה

כדי להשלים את ההפעלה של Security Command Center, פועלים לפי השלבים הבאים:

  1. בדף השלמת ההגדרה, לוחצים על סיום.

אחרי שמסיימים את ההגדרה, Security Command Center מתחיל בסריקה ראשונית של הנכסים. לאחר מכן אפשר להשתמש במסוף כדי לבדוק ולתקן Google Cloud סיכוני אבטחה ונתונים בפרויקט.

יכול להיות שיהיה עיכוב לפני שהסריקות יתחילו לפעול בשירותים מסוימים. כצפוי, ההשהיה, או זמן האחזור של הסריקה, בשירותים בפרויקט ספציפי בדרך כלל קצרה יותר מאשר בארגון, אבל רוב הסיבות לזמן האחזור עדיין רלוונטיות. מידע נוסף על השהיות שרלוונטיות לארגונים זמין במאמר סקירה כללית על השהיות ב-Security Command Center.

בכל תרחישי ההפעלה, כדאי לבצע אופטימיזציה של השירותים המובנים ולבדוק אותם

אחרי שמפעילים את Security Command Center, כדאי לעיין במסמכים של כל שירות כדי לראות אם אפשר לבדוק או לבצע אופטימיזציה נוספת של השירות.

לדוגמה, Event Threat Detection מסתמך על יומנים שנוצרו על ידיGoogle Cloud. חלק מהיומנים תמיד מופעלים, כך ש-Event Threat Detection יכול להתחיל לסרוק אותם מיד אחרי ההפעלה. יומנים אחרים, כמו רוב יומני הביקורת של גישה לנתונים, צריך להפעיל לפני ש-Event Threat Detection יכול לסרוק אותם. מידע נוסף זמין במאמר בנושא סוגי יומנים ודרישות הפעלה.

מידע נוסף על בדיקה ושימוש בכל אחד מהשירותים המובנים זמין בדפים הבאים:

המאמרים הבאים

מידע נוסף על Security Command Center ועל השירותים המובנים שלו