Ative o Security Command Center para um projeto

Esta página explica como ativar o nível Standard ou o nível Premium do Security Command Center para um Google Cloud projeto.

Para ativar o Security Command Center para uma organização inteira, consulte uma das seguintes opções:

• Ative o nível Standard ou Premium do Security Command Center para uma organização
• Ative o nível empresarial do Security Command Center

Pré-requisitos

Para ativar o Security Command Center num projeto, precisa dos seguintes pré-requisitos, que são explicados nas subsecções seguintes:

• Leia as informações dos pré-requisitos para compreender como uma ativação do Security Command Center ao nível do projeto difere de uma ativação ao nível da organização.
• Tem de ter um Google Cloud projeto associado a uma organização.
• A sua conta de utilizador tem de ter funções de gestão de identidade e acesso (IAM) atribuídas que contenham as autorizações necessárias.
• Se o seu projeto herdar políticas organizacionais definidas para restringir identidades por domínio, as suas contas de utilizador e de serviço têm de estar num domínio permitido.
• Se usar a Deteção de ameaças de contentores, os seus clusters do Google Kubernetes Engine têm de suportar a Deteção de ameaças de contentores.

Informações previamente necessárias

Para compreender a diferença entre uma ativação do Security Command Center ao nível do projeto e uma ativação ao nível da organização, consulte o resumo da ativação do Security Command Center ao nível do projeto.

Para saber mais sobre os serviços e as conclusões do Security Command Center que não são suportados com ativações ao nível do projeto, consulte o artigo Limitações do serviço de ativação ao nível do projeto.

Requisitos do projeto

Para ativar o Security Command Center para um projeto, o projeto tem de estar associado a uma organização. Se precisar de criar um projeto, consulte o artigo Criar e gerir projetos.

Funções de IAM necessárias para esta tarefa

Para configurar o Security Command Center, precisa das seguintes funções de IAM concedidas à sua conta de utilizador no projeto no qual está a ativar o Security Command Center:

• Administrador do Centro de segurança roles/securitycenter.admin
• Administrador de segurança roles/iam.securityAdmin
• A menos que as contas de serviço do Security Command Center necessárias já existam a partir de uma ativação ao nível da organização, crie contas de serviço roles/iam.serviceAccountCreator

Saiba mais sobre as funções do Security Command Center.

Valide as políticas da organização

Se o seu projeto herdar políticas da organização definidas para restringir identidades por domínio, tem de cumprir os seguintes requisitos:

• Tem de ter sessão iniciada na Google Cloud consola numa conta que esteja num domínio permitido.
• As suas contas de serviço têm de estar num domínio permitido ou ser membros de um grupo no seu domínio. Este requisito permite-lhe conceder aos serviços @*.gserviceaccount.com acesso a recursos quando a partilha restrita ao domínio está ativada.

Confirme as versões do software para a Deteção de ameaças de contentores

Se planeia usar a Deteção de ameaças de contentores com o Google Kubernetes Engine (GKE), certifique-se de que os seus clusters estão numa versão suportada do GKE e que os clusters estão configurados corretamente. Para mais informações, consulte o artigo Usar a Deteção de ameaças de contentores.

Cenários de ativação para um projeto

Esta página aborda os seguintes cenários de ativação:

• Numa organização que nunca ativou o Security Command Center, ative o nível Premium ou Standard do Security Command Center para um projeto.
• Numa organização que usa o nível Standard, ative o nível Security Command Center Premium para um projeto.
• Numa organização que usa uma subscrição do nível Premium com prazo de validade, ative o nível Premium do Security Command Center para um projeto.

Consoante a sua organização esteja a usar o Security Command Center, ativa o Security Command Center para um projeto através de métodos diferentes.

Se a sua organização não estiver a usar o Security Command Center, a Google Cloud consola orienta-o através de uma série de páginas de configuração.

Se a sua organização estiver a usar o Security Command Center, ative o Security Command Center Premium para um projeto através do separador Detalhes do nível da página Definições.

Determine se o Security Command Center já está ativo na sua organização

A forma como ativa o Security Command Center para um projeto é diferente, consoante o Security Command Center já esteja ativo na sua organização.

Para verificar se o Security Command Center já está ativo na sua organização, conclua os seguintes passos:

1. Aceda à página Vista geral do Security Command Center na Google Cloud consola.

   Aceder ao Security Command Center

2. Selecione o nome do projeto para o qual tem de ativar o Security Command Center.

   Depois de selecionar o projeto, é aberta uma das seguintes páginas:

   • Se o Security Command Center estiver ativo na sua organização, a página Vista geral de riscos é aberta.
   • Se o Security Command Center não tiver sido ativado na organização, é aberta a página Obter Security Command Center, a partir da qual pode iniciar o processo de ativação do seu projeto.

3. Se o Security Command Center já estiver ativo na sua organização, verifique o nível de serviço que está atualmente ativo.

   1. Abra a página Definições do Security Command Center:

      Aceda às Definições

   2. Na página Definições, clique em Detalhes do nível. A página Nível é aberta.

   3. Na linha Nível, é apresentado o nível de serviço que o projeto está a herdar.

4. Para ativar o Security Command Center para um projeto, siga o procedimento para o estado de ativação do Security Command Center na organização principal:

   • Ative para um projeto quando o Security Command Center estiver ativo na organização
   • Ative para um projeto quando o Security Command Center não estiver ativo na organização

Ative para um projeto quando o Security Command Center estiver ativo na organização

Se o Security Command Center já estiver ativo numa organização, o único nível de serviço que tem de ativar ao nível do projeto é o nível Premium, porque, no mínimo, o projeto herda a utilização do nível Standard.

Para rever as funcionalidades incluídas em cada nível, consulte a secção Níveis de serviço.

Quando o Security Command Center está ativo numa organização, inicia o processo de ativação ao nível do projeto selecionando o seu projeto naGoogle Cloud consola e, em seguida, selecionando o nível Premium na página Definições do Security Command Center.

1. Abra o separador Detalhes do nível na página Definições:

   Aceder aos detalhes do nível

   É apresentada uma página de seleção de projetos antes de aceder à página Detalhes do nível.

2. Selecione o seu projeto. É apresentada a página Detalhes do nível.

3. Na página de detalhes do nível, clique numa das seguintes opções:

   • Faça a gestão do nível do projeto
   • Aceder ao Premium

   É apresentada a página Faça a gestão do seu nível.

4. Na página Gerir o seu nível, selecione Premium.

5. Clicar em Seguinte. É apresentada a página Serviços.

6. Na página Serviços, ative ou desative cada serviço integrado conforme necessário selecionando um dos seguintes valores no menu à esquerda do serviço apresentado:

   • Herdar (a entrada predefinida)
   • Ativar
   • Desativar

Concluiu a ativação do Security Command Center. Em seguida, aguarde pela conclusão das análises iniciais.

Ative-o para um projeto quando o Security Command Center não estiver ativo na organização

Se a sua organização não usar o Security Command Center, a Google Cloud consola orienta-o através de uma série de páginas de configuração quando ativa o Security Command Center para um projeto.

Passo 1: selecione o seu nível

Quando o Security Command Center não está ativo na sua organização, quando abre o Security Command Center na Google Cloud consola, é apresentada a página Obter Security Command Center. Comece o processo de ativação selecionando um nível.

O Security Command Center tem três níveis: Standard, Premium e Enterprise. O nível que selecionar determina as funcionalidades que estão disponíveis para si e o custo de utilização do Security Command Center. Só pode ativar o nível Enterprise ao nível da organização. Para mais informações, consulte o artigo Ative o nível Enterprise do Security Command Center.

Para rever as funcionalidades incluídas em cada nível, consulte a secção Níveis de serviço.

Para selecionar o seu nível e iniciar o processo de ativação do Security Command Center, conclua os seguintes passos:

1. Aceda à página de vista geral do Security Command Center na Google Cloud consola.

   Aceder ao Security Command Center

2. Selecione o nome do projeto para o qual tem de ativar o Security Command Center.

   Depois de selecionar o projeto, o Security Command Center abre a página Obter Security Command Center, onde inicia o processo de ativação selecionando um nível. Se a consola do Security Command Center for aberta, o Security Command Center já está ativo na sua organização ou projeto.

3. Selecione o nível Premium ou Standard, consoante os serviços de que precisa.

4. Clicar em Seguinte. É apresentada a página Selecionar serviços.

Na secção seguinte, selecione os serviços incorporados que quer ativar para o seu projeto.

Passo 2: selecione os serviços

Na página Selecionar serviços, são apresentados todos os serviços incorporados do Security Command Center.

1. Na página Serviços, ative ou desative cada serviço integrado conforme necessário selecionando um dos seguintes valores no menu à esquerda do serviço apresentado:

   • Herdar
   • Ativar
   • Desativar

   Depois de concluir o processo de ativação, para cada serviço que ativar, consulte a documentação desse serviço para ver se existem passos adicionais que possam ser necessários para cada serviço.

2. Clicar em Seguinte. É apresentada a página Conceder funções.

Passo 3: configure os agentes de serviço

Quando ativa o Security Command Center pela primeira vez, Google Cloud cria automaticamente agentes de serviço do IAM para o Security Command Center e os respetivos serviços de deteção.

Conforme descrito no procedimento seguinte, concede funções da IAM a estes agentes de serviço que fornecem as autorizações de que o Security Command Center e os respetivos serviços de deteção precisam para desempenhar as suas funções.

Quando ativa o Security Command Center ao nível do projeto e o Security Command Center ainda não está ativo na sua organização, são criados os seguintes agentes de serviço ao nível do projeto:

• service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com. Concede a função do IAM a esta conta de serviço.securitycenter.serviceAgent

• service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.com. Concede a função do IAM a esta conta de serviço.roles/containerthreatdetection.serviceAgent

Em vez de PROJECT_NUMBER, a conta de serviço contém o número do seu projeto.

Para conceder as funções do IAM aos agentes de serviço, siga estes passos:

1. Opcionalmente, na página Conceder funções, reveja a função e as autorizações que está prestes a conceder clicando em Rever autorizações.

2. Conceda as funções necessárias automaticamente clicando em Conceder funções.

   Em alternativa, pode conceder a função manualmente, concluindo os seguintes passos:

   1. Clique em Em alternativa: atribua funções manualmente (gcloud).
   2. Copie os comandos da CLI gcloud.
   3. Na Google Cloud barra de ferramentas da consola, clique em Ativar Cloud Shell.
   4. Na janela do terminal apresentada, cole os comandos da CLI gcloud que copiou e, de seguida, prima Enter.

3. Clicar em Seguinte. É aberta a página Concluir configuração.

Passo 4: confirme a ativação

Conclua a ativação do Security Command Center seguindo estes passos:

1. Na página Concluir configuração, clique em Concluir.

Quando terminar a configuração, o Security Command Center inicia uma análise inicial de recursos. Depois, pode usar a consola para rever e corrigir Google Cloud riscos de segurança e de dados no seu projeto.

Pode haver um atraso antes de as análises serem iniciadas para alguns serviços. Como seria de esperar, o atraso ou a latência de análise para serviços num projeto individual é normalmente inferior ao de uma organização, mas a maioria dos motivos da latência continua a aplicar-se. Para mais informações sobre as latências aplicadas às organizações, consulte o artigo Vista geral da latência do Security Command Center para saber mais sobre o processo de ativação.

Para todos os cenários de ativação, otimize e teste os serviços integrados

Depois de ativar o Security Command Center, consulte a documentação de cada serviço para ver se pode testar ou otimizar ainda mais o serviço.

Por exemplo, a Deteção de ameaças de eventos baseia-se em registos gerados pelo Google Cloud. Alguns registos estão sempre ativados, pelo que a Deteção de ameaças de eventos pode começar a analisá-los assim que é ativada. Tem de ativar outros registos, como a maioria dos registos de auditoria de acesso a dados, antes de a Deteção de ameaças de eventos poder analisá-los. Para mais informações, consulte o artigo Tipos de registos e requisitos de ativação.

Para mais informações sobre os testes e a utilização de cada um dos serviços integrados, consulte as seguintes páginas:

• Use a Deteção de ameaças de contentores
• Use a Deteção de ameaças de eventos
• Use o Security Health Analytics
• Use a deteção de ameaças de máquinas virtuais
• Use o Web Security Scanner

O que se segue?

Saiba mais sobre o Security Command Center e os respetivos serviços incorporados.

• Saiba como rever recursos, resultados e vulnerabilidades através do Security Command Center.
• Saiba mais sobre as Google Cloud origens de segurança.
• Saiba como adicionar origens de segurança ao Security Command Center.