Configura i servizi Security Command Center

In Security Command Center vengono eseguiti due tipi di servizi: servizi integrati e servizi di terze parti. I servizi integrati fanno parte di Security Command Center. I servizi di terze parti forniscono risultati a Security Command Center. Google Cloud

Questa pagina descrive come configurare i servizi integrati e i servizi di terze parti.

Servizi integrati di Security Command Center

I seguenti servizi integrati fanno parte di Security Command Center:

• AI Protection: solo livelli di servizio Premium ed Enterprise
• Protezione artefatti (anteprima): solo livelli di servizio Premium ed Enterprise
• Container Threat Detection: solo livelli di servizio Premium ed Enterprise
• Cloud Run Threat Detection: solo livelli di servizio Premium ed Enterprise
• Compliance Manager: solo livelli di servizio Standard, Premium ed Enterprise
• Data Security Posture Management (DSPM): solo livelli di servizio Standard, Premium ed Enterprise
• Event Threat Detection: solo livelli di servizio Premium ed Enterprise
• Notebook Security Scanner (anteprima): solo livelli di servizio Premium ed Enterprise
• Security Health Analytics: solo livelli di servizio Standard-legacy, Standard, Premium ed Enterprise
• Security posture: solo livelli di servizio Premium ed Enterprise
• Sensitive Actions Service: solo livelli di servizio Standard-legacy, Standard, Premium ed Enterprise
• Virtual Machine Threat Detection: solo livelli di servizio Premium ed Enterprise
• Valutazione di vulnerabilità per Amazon Web Services (AWS): solo livello di servizio Enterprise

• Valutazione di vulnerabilità per Google Cloud: solo livelli di servizio Standard, Premium ed Enterprise

• Web Security Scanner: solo livelli di servizio Standard-legacy, Premium ed Enterprise

Non puoi abilitare o disabilitare il servizio Security posture o Sensitive Actions Service. Questi servizi sono disponibili per impostazione predefinita quando attivi il livello Security Command Center Premium o Security Command Center Enterprise.

Non puoi disabilitare Compliance Manager o DSPM dopo averli abilitati.

La maggior parte dei servizi integrati può essere abilitata per l'intera organizzazione o solo per cartelle o progetti selezionati. Per impostazione predefinita, le cartelle e i progetti ereditano le impostazioni di abilitazione dei servizi dall'organizzazione o dalla cartella principale.

Il servizio Valutazione di vulnerabilità per AWS può essere abilitato solo per un' Google Cloudorganizzazione e richiede di stabilire una connessione tra Security Command Center e AWS.

Il servizio Container Threat Detection può essere abilitato solo per i cluster. Per informazioni sulle autorizzazioni richieste per Container Threat Detection, consulta Autorizzazioni IAM richieste.

Abilitare o disabilitare un servizio integrato

Per abilitare o disabilitare un servizio Security Command Center per una risorsa:

1. Nella Google Cloud console, vai alla pagina Impostazioni di Security Command Center.

   Vai alle impostazioni

2. Seleziona l'organizzazione o il progetto per cui devi gestire i servizi.

3. Per il servizio che vuoi modificare, fai clic su Gestisci impostazioni.

4. Nella scheda Abilitazione servizi , nella visualizzazione gerarchica delle risorse, seleziona l'organizzazione, la cartella, il progetto o il container per cui devi abilitare il servizio.

5. Per la risorsa, imposta il servizio su Abilita, Disabilita o Eredita.

Alcuni servizi, come Security Health Analytics, operano utilizzando scansioni batch. Quando disabiliti un servizio di questo tipo, la modifica potrebbe non essere applicata immediatamente. La modifica diventa effettiva al termine di tutte le scansioni batch in corso. Ciò può portare a uno scenario in cui le nuove vulnerabilità vengono ancora rilevate per un breve periodo dopo la disabilitazione del servizio.

Visualizzare e modificare i moduli di un servizio

Per alcuni servizi (ad esempio Security Health Analytics), puoi abilitare o disabilitare determinati rilevatori abilitando o disabilitando i moduli corrispondenti. Per configurare i moduli di un servizio e visualizzarne gli stati attuali:

1. Nella Google Cloud console, vai alla pagina Impostazioni di Security Command Center.

   Vai alle impostazioni

2. Seleziona l'organizzazione o il progetto per cui devi gestire i servizi.

3. Per il servizio che vuoi visualizzare, fai clic su Gestisci impostazioni.

4. Fai clic sulla scheda Moduli. Vengono visualizzati i moduli del servizio, insieme ai rispettivi stati. La scheda Moduli è disponibile solo per i servizi con moduli configurabili.

5. Trova il modulo che vuoi modificare e imposta il relativo stato su Abilita o Disabilita.

Se disabiliti un servizio, vengono disabilitati anche i singoli moduli del servizio. Per Virtual Machine Threat Detection e Event Threat Detection, i moduli continuano a mostrare i relativi stati precedenti, tramite l'API e la Google Cloud console, anche quando il servizio è disabilitato. Google Cloud Tieni presente che, sebbene alcuni moduli sembrino abilitati, non sono in funzione se il servizio è disabilitato.

Aggiungere servizi integrati a Security Command Center Google Cloud

Puoi aggiungere un servizio integrato a un'attivazione di Security Command Center a livello di organizzazione. Le attivazioni a livello di progetto non supportano i servizi integrati Google Cloud

Security Command Center fornisce i seguenti servizi integrati:

• Assured Open Source Software (Assured OSS): solo livelli di servizio Premium ed Enterprise
• Mandiant Attack Surface Management: solo livello di servizio Enterprise
• Rilevamento di anomalie: solo livelli di servizio Standard-legacy, Standard, Premium ed Enterprise
• Cloud Armor: solo livelli di servizio Standard-legacy, Standard, Premium ed Enterprise
• IAM Recommender: solo livelli di servizio Standard-legacy, Standard, Premium ed Enterprise
• Sensitive Data Protection: solo livelli di servizio Standard-legacy, Premium ed Enterprise
• VM Manager (anteprima): solo livelli di servizio Premium ed Enterprise
• Model Armor: solo livelli di servizio Standard-legacy, Standard, Premium ed Enterprise

Per saperne di più su questi servizi, consulta Servizi di rilevamento di vulnerabilità e minacce.

Per abilitare un servizio integrato:

1. Nella Google Cloud console, vai alla pagina Security Command Center.

   Vai a Security Command Center

2. Seleziona l'organizzazione o il progetto.

3. Fai clic su Impostazioni settings.settings

4. Fai clic sulla scheda Servizi integrati.

5. Accanto all'origine integrata che vuoi abilitare, fai clic sull'elenco Stato e seleziona Abilita.

I risultati dei servizi che abiliti vengono visualizzati nella pagina Risultati della dashboard di Security Command Center.

Alcuni Google Cloud servizi di sicurezza richiedono passaggi di integrazione aggiuntivi che devi completare. Consulta quanto segue:

• Per configurare l'integrazione di Assured OSS, consulta Integrare con Assured OSS.
• Per configurare l'integrazione di Sensitive Data Protection, consulta Abilitare il rilevamento di dati sensibili.

Per disabilitare un servizio integrato, fai clic sull'elenco accanto al suo nome e seleziona Disabilita.

Aggiungere un servizio di sicurezza di terze parti

Le attivazioni di Security Command Center a livello di organizzazione possono visualizzare i risultati dei servizi di sicurezza di terze parti registrati come partner di Cloud Marketplace.

Le attivazioni di Security Command Center a livello di progetto non supportano i servizi di terze parti.

Per integrare i servizi di sicurezza non registrati come partner di Cloud Marketplace, chiedi ai provider di completare la guida per l'onboarding come partner di Security Command Center.

Per aggiungere un nuovo servizio di sicurezza di terze parti a Security Command Center, configura il servizio di sicurezza e poi lo abiliti nella Google Cloud console.

Prima di iniziare

Per aggiungere un servizio di sicurezza per un partner di Cloud Marketplace registrato, devi disporre di:

• I seguenti ruoli Identity and Access Management (IAM) ruoli:
  • Amministratore Centro sicurezza (roles/securitycenter.admin)
  • Amministratore account di servizio (roles/iam.serviceAccountAdmin)
• Un Google Cloud progetto che vuoi utilizzare per il servizio di sicurezza.

Configurare un servizio di sicurezza

Per configurare un servizio di sicurezza di terze parti, devi disporre di un account di servizio per quel servizio. Quando aggiungi il nuovo servizio di sicurezza, puoi scegliere tra le seguenti opzioni per l'account di servizio:

• Creare un account di servizio.
• Utilizzare il tuo account di servizio esistente.
• Utilizzare un account di servizio del fornitore di servizi.

Per configurare un nuovo servizio di sicurezza già registrato come partner di Cloud Marketplace:

1. Vai alla pagina Marketplace dei servizi Security Command Center nella Google Cloud console.

   Vai a Marketplace

2. La pagina Marketplace mostra i servizi di sicurezza associati direttamente a Security Command Center.

   • Se non vedi il servizio di sicurezza che vuoi aggiungere, cerca Sicurezza e poi seleziona il fornitore del servizio di sicurezza.
   • Se il fornitore del servizio di sicurezza non è registrato in Cloud Marketplace, chiedi al fornitore di completare la guida per l'onboarding come partner di Security Command Center.

3. Nella pagina del fornitore del servizio di sicurezza in Cloud Marketplace, segui le istruzioni di configurazione del fornitore nella sezione Panoramica.

Se configurato correttamente, il servizio di sicurezza che hai aggiunto è disponibile in Security Command Center.

Dopo aver configurato un nuovo servizio di sicurezza, devi abilitarlo nella Google Cloud console.

Abilitare il servizio di sicurezza

I servizi di sicurezza di terze parti utilizzano account di servizio che potrebbero non appartenere alla tua organizzazione.

Per abilitare un servizio di terze parti:

1. Nella Google Cloud console, vai alla pagina Security Command Center.

   Vai a Security Command Center

2. Seleziona l'organizzazione o il progetto.

3. Fai clic su Impostazioni settings.settings

4. Fai clic sulla scheda Servizi integrati.

5. Accanto all'origine integrata che vuoi abilitare, fai clic sull'elenco Stato e seleziona Abilita.

I risultati dei servizi che abiliti vengono visualizzati nella pagina Risultati della dashboard di Security Command Center.

Modificare l'account di servizio di un servizio di sicurezza

Puoi modificare l'account di servizio utilizzato per un servizio di sicurezza di terze parti, ad esempio per risolvere problemi di perdita o rotazione dell'account di servizio. Per modificare l'account di servizio di un servizio di sicurezza, devi aggiornarlo nella Google Cloud console. Dopodiché, segui le istruzioni del fornitore di servizi per aggiornare il account di servizio per il suo servizio.

1. Nella Google Cloud console, vai alla pagina Security Command Center.

   Vai a Security Command Center

2. Seleziona l'organizzazione o il progetto.

3. Fai clic su Impostazioni settings.settings

4. Fai clic sulla scheda Servizi integrati.

5. Nell'elenco a discesa accanto al servizio integrato:

   1. Seleziona Disabilitato per disabilitare temporaneamente il servizio integrato.
   2. Seleziona Gestisci account di servizio.

6. Nel riquadro Modifica provider visualizzato, inserisci il nuovo account di servizio, quindi fai clic su Invia.

7. Nell'elenco a discesa accanto al servizio integrato, seleziona Abilitato per abilitare il servizio di sicurezza.

Se configurato correttamente, l'account di servizio per il servizio integrato viene aggiornato in Security Command Center. Segui le istruzioni del fornitore di servizi per aggiornare le informazioni del account di servizio per il suo servizio.

Passaggi successivi

• Scopri di più sui Google Cloud servizi di sicurezza e su come visualizzare le vulnerabilità e le minacce che rilevano.
• Scopri come ottimizzare Security Command Center.
• Esporta i log in Cloud Logging.
• Configura i punteggi di esposizione agli attacchi per valutare il rischio.