Activer le niveau Standard de Security Command Center pour une organisation

Ce document explique comment activer Security Command Center Standard pour une organisation à l'aide de la Google Cloud console.

Les activations du niveau Standard au niveau de l'organisation activent les fonctionnalités améliorées de ce niveau.

Pour activer Security Command Center pour un autre niveau de service, consultez les pages suivantes :

Pour activer Security Command Center pour un projet, consultez la page Activer Security Command Center pour un projet.

Avant de commencer

Avant d'activer Security Command Center Standard pour une organisation, vous devez effectuer les opérations suivantes :

  • Obtenir des rôles et des autorisations IAM (Identity and Access Management) spécifiques.
  • Facultatif : activer l'API Security Center Management.
  • Examiner vos règles d'administration, si elles s'appliquent à votre organisation.
  • Si vous prévoyez d'activer la résidence des données, consultez la section Planifier la résidence des données et déterminez l'emplacement à utiliser.
  • Si vous prévoyez d'utiliser une clé de chiffrement gérée par le client (CMEK), effectuez les tâches requises pour activer les CMEK pour Security Command Center.

Rôles requis

Pour obtenir les autorisations dont vous avez besoin pour activer Security Command Center pour une organisation, demandez à votre administrateur de vous attribuer les rôles IAM suivants dans votre organisation :

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Activer l'API Security Center Management

Si vous prévoyez d'utiliser l'API Security Center Management, activez-la dans le projet où vous prévoyez de l'appeler :

Rôles requis pour activer les API

Pour activer les API, vous avez besoin du rôle IAM Administrateur d'utilisation du service (roles/serviceusage.serviceUsageAdmin), qui contient l'autorisation serviceusage.services.enable. Découvrez comment attribuer des rôles.

Activer l'API

Examiner les règles d'administration

Si les règles d'administration de votre organisation sont configurées pour restreindre les identités par domaine, vérifiez les points suivants :

  • Vous devez être connecté à la Google Cloud console avec un compte appartenant à un domaine autorisé.
  • Vos comptes de service doivent appartenir à un domaine autorisé ou être des membres d'un groupe au sein de votre domaine. Cette exigence vous permet d'autoriser les services qui utilisent le compte de service @*.gserviceaccount.com à accéder aux ressources lorsque le partage limité au domaine est activé.

Si les règles d'administration de votre organisation sont configurées pour restreindre l'utilisation des ressources, vérifiez que les API suivantes sont autorisées par votre règle :

  • securitycenter.googleapis.com
  • securitycentermanagement.googleapis.com

Activer Security Command Center Standard

Vous pouvez activer Security Command Center Standard pour une organisation via la Google Cloud console.

  1. Dans la Google Cloud console, accédez à la page de bienvenue de Security Command Center.

    Accéder à Security Command Center

  2. Sélectionnez l'organisation pour laquelle vous souhaitez activer Security Command Center Standard, puis cliquez sur Get Standard (Obtenir la version Standard).

  3. Sur la page de bienvenue, cliquez sur Select (Sélectionner).

  4. Facultatif : pour activer la résidence et le chiffrement des données, cliquez sur Show more (Afficher plus).

    Pour en savoir plus sur la résidence des données, consultez Planifier la résidence des données.

    Pour en savoir plus sur le chiffrement des données, consultez Activer les CMEK pour Security Command Center. Si votre organisation utilise des règles d'administration CMEK, vous ne pourrez peut-être choisir que des CMEK ou des clés spécifiques. Si vous n'utilisez pas de CMEK avec Security Command Center, Google chiffre les données au repos à l'aide de Google-owned and Google-managed encryption keys.

  5. Cliquez sur Activate (Activer).

Les résultats s'affichent dans la console à mesure qu'ils sont disponibles. Vous pouvez ensuite utiliser la Google Cloud console pour examiner et corriger les risques liés à la Google Cloud sécurité et aux données.

Security Command Center effectue sa première analyse complète dans les 24 heures. Le démarrage des analyses peut être retardé pour certains services. Pour en savoir plus, consultez Quand attendre des résultats dans Security Command Center.

Si vous passez de Security Command Center Standard à Premium, vous avez accès à des graphiques qui montrent la progression de l'analyse pour des fonctionnalités telles que les problèmes, les menaces et les frameworks. Les graphiques existants sont également mis à jour avec les résultats d'analyse des détecteurs Premium à mesure qu'ils sont disponibles.

Services pour Security Command Center Standard

Une fois que vous avez activé Security Command Center Standard, des services spécifiques sont automatiquement activés et des agents de service sont créés pour que ces services puissent agir en votre nom.

Security Command Center utilise des services de détection pour détecter les problèmes de sécurité. Les services suivants sont activés lorsque vous activez Security Command Center Standard :

Consultez la documentation de chaque service pour obtenir des instructions d'utilisation et d'optimisation.

Vous pouvez activer des services supplémentaires en suivant les étapes décrites dans Configurer les services Security Command Center.

Modifier votre niveau de service Security Command Center

Pour en savoir plus sur la gestion des niveaux, consultez Modifier le niveau Standard de Security Command Center pour une organisation.

Étape suivante