Activer le niveau Standard de Security Command Center pour une organisation

Ce document explique comment activer Security Command Center Standard pour une organisation à l'aide de la console Google Cloud .

Les activations du niveau Standard au niveau de l'organisation permettent d'activer les fonctionnalités améliorées du niveau Standard.

Pour activer Security Command Center pour un autre niveau de service, consultez les pages suivantes :

Pour activer Security Command Center pour un projet, consultez Activer Security Command Center pour un projet.

Avant de commencer

Avant d'activer Security Command Center Standard pour une organisation, vous devez effectuer les opérations suivantes :

  • Obtenez des rôles et des autorisations IAM (Identity and Access Management) spécifiques.
  • Facultatif : Activez l'API Security Center Management.
  • Examinez les règles d'administration de votre organisation, le cas échéant.
  • Si vous prévoyez d'activer la résidence des données, consultez Planifier la résidence des données et déterminez l'emplacement à utiliser.
  • Si vous prévoyez d'utiliser une clé de chiffrement gérée par le client (CMEK), effectuez les tâches requises pour activer les CMEK pour Security Command Center.

    Vous pouvez configurer la résidence et le chiffrement des données lorsque vous activez Security Command Center. Pour modifier ces paramètres après avoir activé Security Command Center Standard ou Premium, consultez Modifier la configuration de la résidence ou du chiffrement des données.

Rôles requis

Pour obtenir les autorisations nécessaires pour activer Security Command Center pour une organisation, demandez à votre administrateur de vous accorder les rôles IAM suivants dans votre organisation :

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Activer l'API Security Center Management

Si vous prévoyez d'utiliser l'API Security Center Management, activez-la dans le projet dans lequel vous prévoyez de l'appeler :

Rôles requis pour activer les API

Pour activer les API, vous avez besoin du rôle IAM Administrateur Service Usage (roles/serviceusage.serviceUsageAdmin), qui contient l'autorisation serviceusage.services.enable. Découvrez comment attribuer des rôles.

Activer l'API

Examiner les règles d'administration

Si les règles de votre organisation sont configurées pour restreindre les identités par domaine, vérifiez les points suivants :

  • Vous devez être connecté à la console Google Cloud avec un compte appartenant à un domaine autorisé.
  • Vos comptes de service doivent appartenir à un domaine autorisé ou être des membres d'un groupe au sein de votre domaine. Cela vous permet d'autoriser les services qui utilisent le compte de service @*.gserviceaccount.com à accéder aux ressources lorsque le partage limité au domaine est activé.

Si les règles de votre organisation sont configurées pour restreindre l'utilisation des ressources, vérifiez que les API suivantes sont autorisées par vos règles :

  • securitycenter.googleapis.com
  • securitycentermanagement.googleapis.com

Activer Security Command Center Standard

Vous pouvez activer Security Command Center Standard pour une organisation dans la consoleGoogle Cloud .

  1. Dans la console Google Cloud , accédez à la page d'accueil de Security Command Center.

    Accéder à Security Command Center

  2. Si vous souhaitez activer la résidence des données, ouvrez une console juridictionnelle à l'aide de l'URL correspondant à l'emplacement que vous prévoyez de configurer.

    Vous devez utiliser la console juridictionnelle Google Cloud pour activer Security Command Center avec les contrôles de résidence des données et modifier la configuration de la résidence des données après l'activation. Pour en savoir plus, consultez À propos de la consoleGoogle Cloud juridictionnelle.

  3. Sélectionnez l'organisation pour laquelle vous souhaitez activer Security Command Center Standard, puis cliquez sur Obtenir Standard.

  4. Sur la page d'accueil, cliquez sur Select (Sélectionner).

  5. Facultatif : Pour confirmer la configuration de la résidence des données ou modifier la configuration du chiffrement des données, cliquez sur Afficher plus.

    • Si vous utilisez une console juridictionnelle, le champ Résidence des données affiche Activer et le champ Emplacement affiche le même emplacement que la console juridictionnelle. Pour modifier l'emplacement, ouvrez la console à l'aide d'une URL correspondant à l'emplacement que vous souhaitez configurer.
    • La configuration de chiffrement des données par défaut utilise Google-owned and Google-managed encryption keys. Pour utiliser une clé Cloud Key Management Service, cliquez sur Modifier le chiffrement des données, puis procédez comme suit :
      1. Sélectionnez Clé Cloud KMS.
      2. Sélectionnez un projet.
      3. Sélectionnez une clé. Vous pouvez sélectionner une clé à partir de n'importe quel Google Cloud projet, y compris les projets d'autres organisations. Seules les clés situées dans des emplacements compatibles sont affichées dans la liste.

      Pour savoir quelles zones clés sont compatibles avec Security Command Center, consultez Déterminer la zone clé.

      Si votre organisation utilise des règles d'administration CMEK, vous ne pourrez peut-être choisir que la CMEK ou des clés spécifiques.

      Lors du processus d'activation, Security Command Center attribue le rôle Chiffreur/Déchiffreur de CryptoKey Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) à l'agent de service Cloud Security Command Center sur la clé Cloud KMS.

  6. Cliquez sur Activer.

Les résultats s'affichent dans la console au fur et à mesure qu'ils sont disponibles. Vous pouvez ensuite utiliser la console Google Cloud pour examiner et corriger les risques liés à la sécurité Google Cloud et aux données.

Security Command Center effectue sa première analyse complète sous 24 heures. Le lancement des analyses de certains services peut prendre quelques instants. Pour en savoir plus, consultez Quand attendre les résultats dans Security Command Center.

Si vous passez de Security Command Center Standard à Premium, vous avez accès à des graphiques qui indiquent la progression de l'analyse pour des fonctionnalités telles que les problèmes, les menaces et les frameworks. Les graphiques existants sont également mis à jour avec les résultats d'analyse des détecteurs Premium à mesure qu'ils sont disponibles.

Services pour Security Command Center Standard

Après avoir activé Security Command Center Standard, des services spécifiques sont automatiquement activés et des agents de service sont créés pour que ces services puissent agir en votre nom.

Security Command Center utilise des services de détection pour détecter les problèmes de sécurité. Les services suivants sont activés lorsque vous activez Security Command Center Standard :

Consultez la documentation de chaque service pour obtenir des instructions sur l'utilisation et l'optimisation.

Vous pouvez activer d'autres services en suivant les étapes décrites dans Configurer les services Security Command Center.

Modifier votre niveau de service Security Command Center

Pour en savoir plus sur la gestion des niveaux, consultez Modifier le niveau Standard de Security Command Center pour une organisation.

Étapes suivantes