Esta página explica como ativar o nível Standard ou Premium do Security Command Center para um Google Cloud projeto.
As ativações do nível Standard no nível do projeto oferecem suporte aos novos recursos do nível Standard.
Para informações sobre os recursos do nível Standard, consulte Níveis de serviço do Security Command Center.
Para informações sobre as diferenças entre os níveis Standard e Standard-legado, consulte Nível Standard aprimorado e ativado automaticamente para alguns clientes.
Para ativar o Security Command Center para uma organização inteira, consulte um dos seguintes:
- Ativar o nível Standard do Security Command Center para uma organização
- Ativar o nível Premium do Security Command Center para uma organização
- Ativar o Security Command Center Enterprise Center
Antes de começar
Para ativar o Security Command Center em um projeto, você precisa dos pré-requisitos a seguir, explicados nas subseções a seguir:
- Leia as informações de pré-requisito para entender como uma ativação do Security Command Center para envolvidos no projeto é diferente de uma ativação no nível da organização.
- Você precisa ter um Google Cloud projeto associado a uma organização.
- Sua conta de usuário precisa receber papéis do Identity and Access Management (IAM) que contenham as permissões necessárias.
- Ative as APIs necessárias, dependendo de como você foi integrado ao nível Standard do Security Command Center.
- Se o projeto herdar políticas da organização definidas para restringir identidades por domínio, as contas de usuário e serviço precisam ficar em um domínio permitido.
- Se você usar a Detecção de Ameaças em Contêiner, os clusters do Google Kubernetes Engine precisarão ser compatíveis com a Detecção de Ameaças em Contêiner. Para mais informações, consulte Confirmar as versões de software da Detecção de Ameaças em Contêiner.
Informações de pré-requisito
Para entender como uma ativação do Security Command Center para envolvidos no projeto é diferente da ativação no nível da organização, consulte Visão geral da ativação do Security Command Center para envolvidos no projeto.
Para saber mais sobre os serviços e as descobertas do Security Command Center que não são compatíveis com as ativações no nível do projeto, consulte Limitações do serviço de ativação no nível do projeto.
Requisitos do projeto
Para ativar o Security Command Center para um projeto, ele precisa estar associado a uma organização. Se você precisar criar um projeto, consulte Como criar e gerenciar projetos.
Funções exigidas
Para receber as permissões necessárias para ativar o Security Command Center para um projeto, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto:
- Administrador de segurança (
roles/iam.securityAdmin) - Administrador da Central de segurança (
roles/securitycenter.admin)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias usando personalizados papéis ou outros predefinidos papéis.
Ativar APIs obrigatórias
Se a organização foi integrada automaticamente ao Security Command Center como parte dos Google Cloud serviços ou se você planeja usar a API Security Command Center, ative a API para seu projeto.
Funções necessárias para ativar APIs
Para ativar as APIs, é necessário ter o papel do IAM de administrador de uso do serviço (roles/serviceusage.serviceUsageAdmin), que contém a permissão serviceusage.services.enable. Saiba como conceder
papéis.
Verificar as políticas da organização
Se o projeto herdar políticas da organização definidas para restringir identidades por domínio, você precisará atender aos seguintes requisitos:
- Você precisa fazer login no Google Cloud console em uma conta que esteja em um domínio permitido.
- As contas de serviço precisam estar em um domínio permitido ou ser membros de um grupo dentro do domínio. Esse requisito permite que você conceda acesso de serviços
@*.gserviceaccount.comaos recursos quando o compartilhamento restrito de domínio estiver ativado.
Confirmar as versões de software do Detecção de Ameaças em Contêiner
Se você planeja usar a Detecção de Ameaças em Contêiner com o Google Kubernetes Engine (GKE), verifique se os clusters estão em uma versão compatível do GKE e se eles estão configurados corretamente. Para mais informações, consulte Como usar a Detecção de Ameaças em Contêiner.
Cenários de ativação de um projeto
Esta página abrange os seguintes cenários de ativação:
- Em uma organização que nunca ativou o Security Command Center, ative o nível Premium ou Standard do Security Command Center para um projeto.
- Em uma organização que usa o nível Standard, ative o Security Command Center Premium para um projeto.
- Em uma organização que usa uma assinatura do nível Premium que está expirando, ative o nível Premium do Security Command Center para um projeto.
Se a organização estiver usando o Security Command Center, ative o Security Command Center para um projeto usando métodos diferentes.
Se a organização não estiver usando o Security Command Center, o Google Cloud console vai orientar você em uma série de páginas de configuração.
Se a organização usa o Security Command Center, ative o Security Command Center Premium para um projeto na guia Detalhes de nível da página Configurações.
Determinar se o Security Command Center já está ativo na organização
A maneira de ativar o Security Command Center para um projeto varia dependendo se o Security Command Center já está ativo na organização.
Para verificar se o Security Command Center já está ativo na organização, conclua as seguintes etapas:
Noconsole, acesse a página Visão geral do Security Command Center. Google Cloud
Selecione o nome do projeto para o qual você precisa ativar o Security Command Center.
Depois de selecionar o projeto, uma das seguintes páginas vai ser aberta:
- Se o Security Command Center estiver ativo na organização, a página Visão geral de riscos será aberta.
- Se o Security Command Center não estiver ativado na organização, a página de boas-vindas será aberta, em que você poderá iniciar o processo de ativação do projeto.
Se o Security Command Center já estiver ativo na organização, verifique o nível de serviço ativo.
Abra a página Configurações do Security Command Center:
Na página Configurações, clique em Detalhes de nível. A página Nível será aberta.
O nível de serviço que o projeto herda é listado na linha Nível.
Para ativar o Security Command Center para um projeto, siga o procedimento para o estado de ativação do Security Command Center na organização-pai:
Ativar para um projeto quando o Security Command Center estiver ativo na organização
Se o Security Command Center já estiver ativo em uma organização, o único nível de serviço que você precisará ativar no nível do projeto será o nível Premium, porque, no mínimo, o projeto herdará o uso do nível Standard.
Para analisar os recursos de cada nível, consulte Níveis de serviço.
Para fazer upgrade do seu projeto para o nível Premium, siga estas etapas:
Noconsole, acesse a página Detalhes de nível. Google Cloud
Selecione o projeto para o qual você quer fazer upgrade do nível do Security Command Center e clique em Selecionar.
Clique em Gerenciar o nível do projeto.
No painel Gerenciar nível, clique em Selecionar para o nível Premium. Em seguida, clique em Atualizar.
Você concluiu a ativação do Security Command Center Premium para seu projeto. Em seguida, aguarde a conclusão das verificações iniciais.
Ativar para um projeto quando o Security Command Center não estiver ativo na organização
Se o Security Command Center não estiver ativo na organização, a página de boas-vindas com detalhes do nível será exibida quando você abrir o Security Command Center no Google Cloud console. Você inicia o processo de ativação selecionando um nível.
O Security Command Center tem três níveis: Standard, Premium e Enterprise. O nível selecionado determina os recursos disponíveis e o custo de uso do Security Command Center. Só é possível ativar o nível Enterprise no nível da organização. Para mais informações, consulte Ativar o Security Command Center Enterprise Center.
Para analisar os recursos de cada nível, consulte Níveis de serviço.
Para ativar o Security Command Center para um projeto, selecione o nível de serviço que você quer ativar, Standard ou Premium, e siga estas etapas:
Padrão
Noconsole, acesse a página Visão geral do Security Command Center. Google Cloud
Selecione o projeto para o qual você quer ativar o Security Command Center Standard e clique em Selecionar.
Na página de boas-vindas, clique em Usar o Standard.
Clique em Ativar.
Premium
Noconsole, acesse a página Visão geral do Security Command Center. Google Cloud
Selecione o projeto para o qual você quer ativar o Security Command Center Premium e clique em Selecionar.
Na página de boas-vindas, selecione Iniciar um teste sem custo financeiro do Premium.
Clique em Ativar.
Os resultados são exibidos no Google Cloud console assim que ficam disponíveis. Depois de exibidos, você pode revisar e corrigir Google Cloud riscos de segurança e dados.
O Security Command Center conclui a primeira verificação completa em até 24 horas. Alguns serviços podem não começar a verificação imediatamente. Para mais informações, consulte Quando esperar descobertas no Security Command Center.
Serviços do Security Command Center
O Security Command Center usa serviços de detecção para detectar problemas de segurança nos ambientes de nuvem. Depois de ativar o Security Command Center, serviços específicos são ativados automaticamente, e os agentes de serviço são criados para que esses serviços possam agir em seu nome.
Siga as etapas em Configurar os serviços do Security Command Center para ativar ou desativar vários serviços.
Os serviços ativados automaticamente são determinados pelo nível de serviço. Selecione o nível de serviço para conferir o que é ativado automaticamente.
Padrão
A ativação do Security Command Center Standard ativa automaticamente a Análise de integridade da segurança e concede ao agente de serviço os papéis e permissões necessários para que o serviço funcione.
Premium
Os serviços a seguir são ativados quando você ativa o Security Command Center Premium:
Detecção de Ameaças em Contêiner
Para que a Detecção de Ameaças em Contêiner funcione, verifique se os clusters estão em uma versão compatível do Google Kubernetes Engine (GKE) e se os clusters do GKE estão configurados corretamente. Para mais informações, consulte Usar a Detecção de Ameaças em Contêiner.
-
O Event Threat Detection depende de registros gerados por Google Cloud. Para usar o Event Threat Detection, ative os registros da sua organização, pastas e projetos.
Agentes de serviço
Um agente de serviço é uma conta de serviço criada e gerenciada por Google Cloud para acessar recursos em seu nome. Depois que um agente de serviço é criado, o Security Command Center concede automaticamente os papéis do IAM necessários ao agente de serviço. A ativação do Security Command Center Premium inclui os seguintes agentes de serviço:
- Agente de serviço do Cloud Security Command Center para Event Threat Detection, Análise de integridade da segurança, Detecção de ameaças a máquinas virtuais e Avaliação de vulnerabilidades
- Agente de serviço de compliance de segurança do Cloud para proteção para IA e Compliance Manager
- Agente de serviço da Detecção de Ameaças em Contêiner para Detecção de Ameaças em Contêiner
- Agente de serviço de gerenciamento de postura de segurança de dados para DSPM
Para instruções de uso e otimização, consulte a documentação de cada serviço. Por exemplo, o Event Threat Detection depende de registros gerados por Google Cloud. Alguns registros ficam sempre ativados, então o Event Threat Detection pode começar a verificar esses registros assim que forem ativados. Outros registros, como a maioria dos registros de auditoria de acesso a dados, precisam ser ativados antes que o Event Threat Detection possa verificá-los.
A seguir
Saiba mais sobre o Security Command Center e os serviços integrados.
- Saiba como revisar recursos, descobertas e vulnerabilidades usando o Security Command Center.
- Saiba mais sobre Google Cloud as fontes de segurança.
- Saiba como adicionar fontes de segurança ao Security Command Center.