Ativar o Security Command Center para um projeto

Esta página explica como ativar o nível Standard ou Premium do Security Command Center para um Google Cloud projeto.

Para ativar o Security Command Center para toda a organização, consulte um dos seguintes:

Pré-requisitos

Para ativar o Security Command Center em um projeto, você precisa dos seguintes pré-requisitos, explicados nas subseções a seguir:

  • Leia as informações de pré-requisito para entender como uma ativação do Security Command Center para envolvidos no projeto é diferente de uma ativação no nível da organização.
  • Você precisa ter um Google Cloud projeto associado a uma organização.
  • Sua conta de usuário precisa receber papéis do Identity and Access Management (IAM) que contenham as permissões necessárias.
  • Se o projeto herdar políticas da organização definidas para restringir identidades por domínio, as contas de usuário e serviço precisam ficar em um domínio permitido.
  • Se você usar o Container Threat Detection, os clusters do Google Kubernetes Engine precisam ser compatíveis com ele.

Informações de pré-requisito

Para entender como uma ativação do Security Command Center para envolvidos no projeto é diferente da ativação no nível da organização, consulte Visão geral da ativação do Security Command Center para envolvidos no projeto.

Para saber mais sobre os serviços e as descobertas do Security Command Center que não são compatíveis com as ativações no nível do projeto, consulte Limitações do serviço de ativação no nível do projeto.

Requisitos do projeto

Para ativar o Security Command Center em um projeto, ele precisa estar associado a uma organização. Se você precisar criar um projeto, consulte Como criar e gerenciar projetos.

Funções exigidas

Para ter as permissões necessárias para ativar o Security Command Center em um projeto, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto:

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando personalizados papéis ou outros predefinidos papéis.

Verificar as políticas da organização

Se o projeto herdar políticas da organização definidas para restringir identidades por domínio, você precisará atender aos seguintes requisitos:

  • Você precisa fazer login no Google Cloud consolenuma conta que esteja em um domínio permitido.
  • As contas de serviço precisam estar em um domínio permitido ou membros de um grupo dentro do domínio. Esse requisito permite que você possibilite o acesso de serviços @*.gserviceaccount.com aos recursos quando o compartilhamento restrito de domínio estiver ativado.

Confirmar as versões de software do Detecção de Ameaças em Contêiner

Se você planeja usar a Detecção de Ameaças em Contêiner com o Google Kubernetes Engine (GKE), verifique se os clusters estão em uma versão compatível do GKE e se eles estão configurados corretamente. Para mais informações, consulte Como usar o Container Threat Detection.

Cenários de ativação de um projeto

Esta página abrange os seguintes cenários de ativação:

  • Em uma organização que nunca ativou o Security Command Center, ative o nível Premium ou Standard do Security Command Center para um projeto.
  • Em uma organização que usa o nível Standard, ative o nível Premium do Security Command Center para um projeto.
  • Em uma organização que usa uma assinatura do nível Premium que está expirando, ative o nível Premium do Security Command Center para um projeto.

Se a organização estiver usando o Security Command Center, ative o Security Command Center para um projeto usando métodos diferentes.

Se a organização não usar o Security Command Center, o Google Cloud console vai guiar você por uma série de páginas de configuração.

Se a organização usa o Security Command Center, ative o Security Command Center Premium para um projeto na guia Detalhes de nível da página Configurações.

Determinar se o Security Command Center já está ativo na organização

A maneira de ativar o Security Command Center para um projeto varia dependendo se o Security Command Center já está ativo na organização.

Para verificar se o Security Command Center já está ativo na organização, conclua as seguintes etapas:

  1. Acesse a página Visão geral do Security Command Center no Google Cloud console.

    Acesse Security Command Center

  2. Selecione o nome do projeto em que você precisa ativar o Security Command Center.

    Depois de selecionar o projeto, uma das seguintes páginas vai ser aberta:

    • Se o Security Command Center estiver ativo na organização, a página Visão geral de riscos será aberta.
    • Se o Security Command Center não estiver ativado na organização, a página Usar o Security Command Center será aberta para você iniciar o processo de ativação do projeto.

  3. Se o Security Command Center já estiver ativo na organização, verifique o nível de serviço que está ativo no momento.

    1. Abra a página Configurações do Security Command Center:

      Acesse configurações

    2. Na página Configurações, clique em Detalhes de nível. A página Nível será aberta.

    3. O nível de serviço que o projeto herda é listado na linha Nível.

  4. Para ativar o Security Command Center para um projeto, siga o procedimento para o estado de ativação do Security Command Center na organização-pai:

Ativar para um projeto quando o Security Command Center estiver ativo na organização

Se o Security Command Center já estiver ativo em uma organização, o único nível de serviço que você precisará ativar no nível do projeto será o nível Premium, porque, no mínimo, o projeto herdará o uso do nível Standard.

Para analisar os recursos de cada nível, consulte Níveis de serviço.

Selecione o nível de serviço, Standard ou Standard-legado, e siga as etapas para fazer upgrade do projeto para o nível Premium. Para mais informações, consulte Migração e ativação do nível Standard.

Padrão

  1. Noconsolenuma conta que esteja em um domínio permitido, acesse a página Detalhes de nível. Google Cloud

    Acessar detalhes de nível

  2. Selecione o projeto em que você quer fazer upgrade do nível do Security Command Center e clique em Selecionar.

  3. Clique em Gerenciar o nível do projeto.

  4. No painel Gerenciar nível, clique em Selecionar para o nível Premium. Em seguida, clique em Atualizar.

Standard-legado

  1. Noconsolenuma conta que esteja em um domínio permitido, acesse a página Detalhes de nível. Google Cloud

    Acessar detalhes de nível

  2. Selecione o projeto em que você quer fazer upgrade do nível do Security Command Center e clique em Selecionar.

  3. Clique em uma das seguintes opções:

    • Gerenciar o nível do projeto
    • Seja Premium

    A página Gerenciar seu nível será aberta.

  4. Na página Gerenciar seu nível, selecione Premium.

  5. Clique em Next. A página Serviços será aberta.

  6. Na página Serviços, ative ou desative cada serviço integrado conforme necessário selecionando um dos seguintes valores do menu à esquerda do serviço listado:

    • Herdar (a entrada padrão)
    • Ativar
    • Desativar

Você concluiu a ativação do Security Command Center Premium para o projeto. Em seguida, aguarde a conclusão das verificações iniciais.

Ativar para um projeto quando o Security Command Center não estiver ativo na organização

Se sua organização não usa o Security Command Center, o Google Cloud console vai guiar você por uma série de páginas de configuração quando o Security Command Center é ativado para um projeto.

Etapa 1: selecionar o nível

Se o Security Command Center não estiver ativo na organização, a página Usar o Security Command Center será exibida quando você abrir o Security Command Center no Google Cloud console. Você inicia o processo de ativação selecionando um nível.

O Security Command Center tem três níveis: Standard, Premium e Enterprise. O nível selecionado determina os recursos disponíveis e o custo de uso do Security Command Center. Só é possível ativar o nível Enterprise na organização. Para mais informações, consulte Ativar o Security Command Center Enterprise Center.

Para analisar os recursos de cada nível, consulte Níveis de serviço.

Para selecionar o nível e iniciar o processo de ativação do Security Command Center, siga estas etapas:

  1. Acesse a página de visão geral do Security Command Center no Google Cloud console.

    Acesse Security Command Center

  2. Selecione o nome do projeto em que você precisa ativar o Security Command Center.

    Depois de selecionar o projeto, o Security Command Center é aberto na página Use o Security Command Center , na qual você inicia o processo de ativação selecionando um nível. Se o console do Security Command Center for aberto, o Security Command Center já estará ativo na organização ou no projeto.

  3. Selecione o nível Premium ou Standard , dependendo dos serviços necessários.

  4. Clique em Next. A página Selecionar serviços será aberta.

Na próxima seção, selecione os serviços integrados que você quer ativar para o projeto.

Etapa 2: selecionar serviços

Na página Selecionar serviços, todos os serviços integrados do Security Command Center são exibidos.

  1. Na página Serviços, ative ou desative cada serviço integrado conforme necessário selecionando um dos seguintes valores do menu à esquerda do serviço listado:

    • Herdar
    • Ativar
    • Desativar

    Depois de concluir o processo de ativação, verifique as etapas adicionais que podem ser necessárias para cada serviço habilitado na documentação desse serviço.

  2. Clique em Next. A página Conceder papéis será aberta.

Etapa 3: configurar os agentes de serviço

Ao ativar o Security Command Center pela primeira vez, Google Cloud o Google Cloud cria automaticamente agentes de serviço do IAM para o Security Command Center e os serviços de detecção.

Conforme descrito no procedimento a seguir, você concede papéis do IAM a esses agentes de serviço que fornecem as permissões necessárias para o Security Command Center e os serviços de detecção para executar as funções.

Quando você ativa o Security Command Center no nível do projeto e o Security Command Center ainda não está ativo na organização, os seguintes agentes de serviço no nível do projeto são criados:

  • service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com. Você concede o papel do securitycenter.serviceAgent IAM a essa conta de serviço.

  • service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.com. Você concede o papel do roles/containerthreatdetection.serviceAgent IAM a essa conta de serviço.

No lugar de PROJECT_NUMBER, a conta de serviço contém o número do projeto.

Para conceder os papéis do IAM aos agentes de serviço, siga estas etapas:

  1. Como opção, na página Conceder papéis, clique em Analisar permissões para revisar os papéis e permissões que serão concedidos.

  2. Conceda os papéis necessários automaticamente clicando em Conceder papéis.

    Se preferir, siga estas etapas para conceder papéis manualmente:

    1. Clique em Alternativamente: conceder papéis manualmente (gcloud).
    2. Copie os comandos da CLI gcloud.
    3. Na barra de ferramentas do Google Cloud console, clique em Ativar o Cloud Shell.
    4. Na janela do terminal exibida, cole os comandos da CLI gcloud que você copiou e pressione Enter.

  3. Clique em Next. A página Concluir configuração será aberta.

Etapa 4: confirmar a ativação

Siga estas etapas para concluir a ativação do Security Command Center:

  1. Na página Concluir configuração, clique em Concluir.

Ao terminar a configuração, o Security Command Center inicia uma verificação inicial de recursos. Depois disso, é possível usar o console para analisar e corrigir Google Cloud os riscos de segurança e dados do projeto.

As verificações de alguns serviços podem demorar um tempo até serem iniciadas. Como esperado, o atraso ou a latência de verificação para serviços de um projeto individual geralmente é menor do que para uma organização, mas a maioria dos motivos para a latência ainda se aplica. Para mais informações sobre as latências aplicáveis às organizações e para saber mais sobre o processo de ativação, consulte Visão geral da latência do Security Command Center.

Para todos os cenários de ativação, otimizar e testar os serviços integrados

Depois de ativar o Security Command Center, verifique a documentação de cada serviço para ver se é possível testá-los ou otimizá-los ainda mais.

Por exemplo, o Event Threat Detection depende de registros gerados pelo Google Cloud. Alguns registros ficam sempre ativados, então o Event Threat Detection pode começar a verificá-los assim que forem ativados. Outros registros, como a maioria dos registros de auditoria de acesso a dados, precisam ser ativados antes que o Event Threat Detection possa verificá-los. Para mais informações, consulte Tipos de registro e requisitos de ativação.

Para mais informações sobre como testar e usar cada serviço integrado, consulte as seguintes páginas:

A seguir

Saiba mais sobre o Security Command Center e os serviços integrados.