Configura i servizi Security Command Center

Su Security Command Center vengono eseguiti due tipi di servizi: servizi integrati e servizi integrati. I servizi integrati fanno parte di Security Command Center. I servizi integrati sono servizi Google Cloud o di terze parti che forniscono risultati a Security Command Center.

Questa pagina descrive come configurare i servizi integrati e i servizi integrati.

Servizi integrati di Security Command Center

I seguenti servizi integrati fanno parte di Security Command Center:

• AI Protection (anteprima)
• Container Threat Detection: solo livelli di servizio Premium ed Enterprise
• Cloud Run Threat Detection: solo livelli di servizio Premium ed Enterprise
• Compliance Manager: solo livelli di servizio Premium ed Enterprise (richiede l'attivazione a livello di organizzazione)
• Gestione della security posture dei dati (DSPM) : solo livelli di servizio Premium ed Enterprise (richiede l'attivazione a livello di organizzazione)
• Event Threat Detection: solo livelli di servizio Premium ed Enterprise
• Notebook Security Scanner (anteprima): solo per i livelli di servizio Premium ed Enterprise
• Security Health Analytics
• Postura di sicurezza: solo livelli di servizio Premium ed Enterprise (richiede l'attivazione a livello di organizzazione)
• Servizio Azioni sensibili
• Virtual Machine Threat Detection: solo livelli di servizio Premium ed Enterprise
• Valutazione delle vulnerabilità per Amazon Web Services (AWS): solo livello di servizio Enterprise
• Web Security Scanner

Non puoi attivare o disattivare il servizio di postura di sicurezza. È disponibile per impostazione predefinita quando attivi il livello Security Command Center Premium o Security Command Center Enterprise.

Non puoi disabilitare Compliance Manager o DSPM dopo averli abilitati.

La maggior parte dei servizi integrati può essere abilitata per l'intera organizzazione o solo per cartelle o progetti selezionati. Per impostazione predefinita, le cartelle e i progetti ereditano le impostazioni di attivazione del servizio dall'organizzazione o dalla cartella principale.

Il servizio Vulnerability Assessment for AWS può essere abilitato solo per un'organizzazione e richiede di stabilire una connessione tra Security Command Center e AWS. Google Cloud

Il servizio Container Threat Detection può essere attivato solo per i cluster. Per informazioni sulle autorizzazioni richieste per Container Threat Detection, consulta Autorizzazioni IAM obbligatorie.

Attivare o disattivare un servizio integrato

Per abilitare o disabilitare un servizio Security Command Center per una risorsa:

1. Nella console Google Cloud , vai alla pagina Impostazioni di Security Command Center.

   Vai alle impostazioni

2. Seleziona l'organizzazione o il progetto per cui devi gestire i servizi.

3. Per il servizio che vuoi modificare, fai clic su Gestisci impostazioni.

4. Nella scheda Abilitazione dei servizi, nella visualizzazione gerarchica delle risorse, seleziona l'organizzazione, la cartella, il progetto o il contenitore per cui devi abilitare il servizio.

5. Per quella risorsa, imposta il servizio su Attiva, Disattiva o Eredita.

Alcuni servizi, come Security Health Analytics, funzionano utilizzando scansioni batch. Quando disattivi un servizio di questo tipo, la modifica potrebbe non essere applicata immediatamente. La modifica ha effetto dopo il completamento di tutte le scansioni batch in corso. Ciò può portare a uno scenario in cui vengono ancora rilevate nuove vulnerabilità per un breve periodo di tempo dopo la disattivazione del servizio.

Visualizzare e modificare i moduli di un servizio

Per alcuni servizi (ad esempio Security Health Analytics), puoi attivare o disattivare determinati detector attivando o disattivando i moduli corrispondenti. Per configurare i moduli di un servizio e visualizzarne gli stati attuali:

1. Nella console Google Cloud , vai alla pagina Impostazioni di Security Command Center.

   Vai alle impostazioni

2. Seleziona l'organizzazione o il progetto per cui devi gestire i servizi.

3. Per il servizio che vuoi visualizzare, fai clic su Gestisci impostazioni.

4. Fai clic sulla scheda Moduli. Vengono visualizzati i moduli del servizio, insieme ai rispettivi stati. La scheda Moduli è disponibile solo per i servizi con moduli configurabili.

5. Trova il modulo che vuoi modificare e imposta il relativo stato su Attiva o Disattiva.

Se disattivi un servizio, vengono disattivati anche i singoli moduli del servizio. Per Virtual Machine Threat Detection per Google Cloud ed Event Threat Detection, i moduli continuano a mostrare i loro stati precedenti, tramite l'API e la consoleGoogle Cloud , anche quando il servizio è disattivato. Tieni presente che anche se alcuni moduli sembrano essere abilitati, non sono in funzione se il servizio è disattivato.

Aggiungere servizi Google Cloud integrati a Security Command Center

Puoi aggiungere un servizio integrato a un'attivazione a livello di organizzazione di Security Command Center. Le attivazioni a livello di progetto non supportano i serviziGoogle Cloud integrati.

Security Command Center fornisce i seguenti servizi integrati:

• Assured Open Source Software (Assured OSS): solo livello di servizio Enterprise
• Mandiant Attack Surface Management: solo livello di servizio Enterprise (non disponibile se i controlli di residenza dei dati sono abilitati)
• Rilevamento di anomalie
• Cloud Armor
• Motore per suggerimenti IAM
• Sensitive Data Protection
• VM Manager (anteprima): solo livelli di servizio Premium ed Enterprise (richiede l'attivazione a livello di organizzazione)

Per saperne di più su questi servizi, consulta Servizi di rilevamento di vulnerabilità e minacce.

Per attivare un servizio integrato:

1. Nella console Google Cloud , vai alla pagina Security Command Center.

   Vai a Security Command Center

2. Seleziona la tua organizzazione o il tuo progetto.

3. Fai clic su settings Impostazioni.

4. Fai clic sulla scheda Servizi integrati.

5. Accanto all'origine integrata che vuoi attivare, fai clic sull'elenco Stato e seleziona Attiva.

I risultati dei servizi che abiliti vengono visualizzati nella pagina Risultati della dashboard di Security Command Center.

Alcuni Google Cloud servizi di sicurezza richiedono passaggi di integrazione aggiuntivi che devi completare. Vedi quanto segue:

• Per configurare l'integrazione di Assured OSS, vedi Eseguire l'integrazione con Assured OSS.
• Per configurare l'integrazione di Sensitive Data Protection, consulta Abilitare il rilevamento dei dati sensibili.

Per disattivare un servizio integrato, fai clic sull'elenco accanto al suo nome e seleziona Disattiva.

Aggiungere un servizio di sicurezza di terze parti

Le attivazioni di Security Command Center a livello di organizzazione possono mostrare i risultati di servizi di sicurezza di terze parti registrati come partner di Cloud Marketplace.

Le attivazioni di Security Command Center a livello di progetto non supportano servizi di terze parti.

Per integrare servizi di sicurezza non registrati come partner di Cloud Marketplace, chiedi ai provider di completare la guida Orientamento iniziale come partner di Security Command Center.

Per aggiungere un nuovo servizio di sicurezza di terze parti a Security Command Center, configura il servizio di sicurezza e poi attivalo nella console Google Cloud .

Prima di iniziare

Per aggiungere un servizio di sicurezza per un partner Cloud Marketplace registrato, devi disporre di quanto segue:

• I seguenti ruoli Identity and Access Management (IAM):
  • Amministratore Centro sicurezza (roles/securitycenter.admin)
  • Amministratore service account (roles/iam.serviceAccountAdmin)
• Un progetto Google Cloud che vuoi utilizzare per il servizio di sicurezza.

Configurare un servizio di sicurezza

Per configurare un servizio di sicurezza di terze parti, devi disporre di un account di servizio per quel servizio. Quando aggiungi il nuovo servizio di sicurezza, puoi scegliere tra le seguenti opzioni di account di servizio:

• Crea un account di servizio.
• Utilizza un account di servizio esistente di tua proprietà.
• Utilizza un account di servizio del fornitore di servizi.

Per configurare un nuovo servizio di sicurezza già registrato come partner di Cloud Marketplace, completa i seguenti passaggi:

1. Vai alla pagina Marketplace dei servizi Security Command Center nella consoleGoogle Cloud .

   Vai a Marketplace

2. La pagina Marketplace mostra i servizi di sicurezza direttamente associati a Security Command Center.

   • Se non vedi il servizio di sicurezza che vuoi aggiungere, cerca Sicurezza e seleziona il fornitore del servizio di sicurezza.
   • Se il fornitore di servizi di sicurezza non è registrato in Cloud Marketplace, chiedi al fornitore di completare la guida per l'onboarding come partner di Security Command Center.

3. Nella pagina del fornitore di servizi di sicurezza in Cloud Marketplace, segui le istruzioni di configurazione del fornitore nella Panoramica.

Se configurato correttamente, il servizio di sicurezza che hai aggiunto è disponibile in Security Command Center.

Dopo aver configurato un nuovo servizio di sicurezza, devi attivarlo nella consoleGoogle Cloud .

Attiva il servizio di sicurezza

I servizi di sicurezza di terze parti utilizzano service account che potrebbero trovarsi al di fuori della tua organizzazione.

Per attivare un servizio di terze parti:

1. Nella console Google Cloud , vai alla pagina Security Command Center.

   Vai a Security Command Center

2. Seleziona la tua organizzazione o il tuo progetto.

3. Fai clic su settings Impostazioni.

4. Fai clic sulla scheda Servizi integrati.

5. Accanto all'origine integrata che vuoi attivare, fai clic sull'elenco Stato e seleziona Attiva.

I risultati dei servizi che abiliti vengono visualizzati nella pagina Risultati della dashboard di Security Command Center.

Modificare il account di servizio di un servizio di sicurezza

Puoi modificare il account di servizio utilizzato per un servizio di sicurezza di terze parti, ad esempio per risolvere problemi di perdita o rotazione del account di servizio. Per modificare il service account per un servizio di sicurezza, devi aggiornarlo nella console Google Cloud. Dopodiché, segui le istruzioni del fornitore di servizi per aggiornare l'account di servizio per il suo servizio.

1. Nella console Google Cloud , vai alla pagina Security Command Center.

   Vai a Security Command Center

2. Seleziona la tua organizzazione o il tuo progetto.

3. Fai clic su settings Impostazioni.

4. Fai clic sulla scheda Servizi integrati.

5. Nell'elenco a discesa accanto al servizio integrato:

   1. Seleziona Disattivato per disattivare temporaneamente il servizio integrato.
   2. Seleziona Gestisci service account.

6. Nel riquadro Modifica provider visualizzato, inserisci il nuovo account di servizio, poi fai clic su Invia.

7. Nell'elenco a discesa accanto al servizio integrato, seleziona Attivato per attivare il servizio di sicurezza.

Se configurato correttamente, il account di servizio per il servizio integrato viene aggiornato in Security Command Center. Segui le istruzioni del fornitore di servizi per aggiornare i dati dell'account di servizio per il suo servizio.

Passaggi successivi

• Scopri di più sui Google Cloud servizi di sicurezza e su come visualizzare le vulnerabilità e le minacce che rilevano.
• Scopri come ottimizzare Security Command Center.
• Esporta i log in Cloud Logging.
• Configura i punteggi di esposizione agli attacchi per valutare il rischio.