Configura los servicios de Security Command Center

Existen dos tipos de servicios que se ejecutan en Security Command Center: los servicios integrados y los servicios asociados. Los servicios integrados son parte de Security Command Center. Los servicios integrados son servicios de Google Cloud o de terceros que proporcionan resultados a Security Command Center.

En esta página, se describe cómo configurar los servicios integrados y los servicios integrados.

Servicios integrados de Security Command Center

Los siguientes servicios integrados son parte de Security Command Center:

• Protección de la IA (vista previa)
• Container Threat Detection: Solo para los niveles de servicio Premium y Enterprise
• Detección de amenazas de Cloud Run: Solo en los niveles de servicio Premium y Enterprise
• Administrador de cumplimiento: Solo niveles de servicio Premium y Enterprise (requiere activación a nivel de la organización)
• Administración de la postura de seguridad de los datos (DSPM) : Solo para los niveles de servicio Premium y Enterprise (requiere activación a nivel de la organización)
• Event Threat Detection: Solo en los niveles de servicio Premium y Enterprise
• Notebook Security Scanner (versión preliminar): Solo para los niveles de servicio Premium y Enterprise
• Security Health Analytics
• Postura de seguridad: Solo niveles de servicio Premium y Enterprise (requiere activación a nivel de la organización)
• Servicio de acciones sensibles
• Virtual Machine Threat Detection: Solo para los niveles de servicio Premium y Enterprise
• Evaluación de vulnerabilidades para Amazon Web Services (AWS): Solo nivel de servicio Enterprise
• Web Security Scanner

No puedes habilitar ni inhabilitar el servicio de Security posture, ya que está disponible de forma predeterminada cuando activas el nivel Premium o Security Command Center Enterprise.

No puedes inhabilitar el Administrador de cumplimiento ni DSPM después de habilitarlos.

La mayoría de los servicios integrados se pueden habilitar para toda tu organización o solo para carpetas o proyectos seleccionados. De forma predeterminada, las carpetas y los proyectos heredan la configuración de habilitación de servicios de su organización o carpeta principal.

El servicio de Evaluación de vulnerabilidades para AWS solo se puede habilitar para una organización Google Cloudy requiere que establezcas una conexión entre Security Command Center y AWS.

El servicio de Container Threat Detection solo se puede habilitar para clústeres. Para obtener información sobre los permisos necesarios para la Detección de amenazas en contenedores, consulta Permisos de IAM necesarios.

Cómo habilitar o inhabilitar un servicio integrado

Para habilitar o inhabilitar un servicio de Security Command Center para un recurso, haz lo siguiente:

1. En la consola Google Cloud , ve a la página Configuración de Security Command Center.

   Ir a la configuración

2. Selecciona la organización o el proyecto para los que necesitas administrar servicios.

3. En el servicio que deseas modificar, haz clic en Administrar la configuración.

4. En la pestaña Habilitación de servicios, en la vista jerárquica de los recursos, selecciona la organización, la carpeta, el proyecto o el contenedor para el que necesitas habilitar el servicio.

5. Para ese recurso, configura el servicio como Habilitar, Inhabilitar o Heredar.

Algunos servicios, como las estadísticas del estado de seguridad, funcionan con análisis por lotes. Cuando inhabilitas un servicio de este tipo, es posible que el cambio no se refleje de inmediato. El cambio entrará en vigencia después de que se completen todos los análisis por lotes en curso. Esto puede provocar una situación en la que se sigan detectando vulnerabilidades nuevas durante un breve período después de que inhabilites el servicio.

Cómo ver y editar los módulos de un servicio

En el caso de algunos servicios (por ejemplo, Security Health Analytics), puedes habilitar o inhabilitar ciertos detectores habilitando o inhabilitando sus módulos correspondientes. Para configurar los módulos de un servicio y ver sus estados actuales, haz lo siguiente:

1. En la consola Google Cloud , ve a la página Configuración de Security Command Center.

   Ir a la configuración

2. Selecciona la organización o el proyecto para los que necesitas administrar servicios.

3. En el servicio que deseas ver, haz clic en Administrar configuración.

4. Haz clic en la pestaña Módulos. Se muestran los módulos del servicio junto con sus respectivos estados. La pestaña Módulos solo está disponible para los servicios que tienen módulos configurables.

5. Busca el módulo que quieras modificar y configura su estado como Habilitar o Inhabilitar.

Si inhabilitas un servicio, también se inhabilitan los módulos individuales de ese servicio. En el caso de Virtual Machine Threat Detection para Google Cloud y Event Threat Detection, los módulos siguen mostrando sus estados anteriores (a través de la API y la consola deGoogle Cloud ) incluso cuando el servicio está inhabilitado. Ten en cuenta que, aunque algunos módulos parezcan estar habilitados, no estarán en funcionamiento si el servicio está inhabilitado.

Agrega servicios Google Cloud integrados a Security Command Center

Puedes agregar un servicio integrado a una activación de Security Command Center a nivel de la organización. Las activaciones a nivel del proyecto no admiten servicios integrados deGoogle Cloud .

Security Command Center proporciona los siguientes servicios integrados:

• Software de código abierto garantizado (Assured OSS): Nivel de servicio empresarial únicamente
• Administración de la superficie de ataque de Mandiant: Solo nivel de servicio Enterprise (no disponible si los controles de residencia de datos están habilitados)
• Detección de anomalías
• Cloud Armor
• Recomendador de IAM
• Protección de datos sensibles
• VM Manager (vista previa): Solo niveles de servicio Premium y Enterprise (requiere activación a nivel de la organización)

Para obtener más información sobre estos servicios, consulta Servicios de detección de vulnerabilidades y amenazas.

Para habilitar un servicio integrado, sigue estos pasos:

1. En la consola Google Cloud , ve a la página de Security Command Center.

   Ir a Security Command Center

2. Selecciona tu organización o proyecto.

3. Haz clic en settings Configuración.

4. Haz clic en la pestaña Servicios integrados.

5. Junto a la fuente integrada que quieras habilitar, haz clic en la lista Estado y selecciona Habilitar.

Los resultados de los servicios que habilites se mostrarán en la página Resultados en el panel de Security Command Center.

Algunos Google Cloud servicios de seguridad requieren pasos de integración adicionales que debes completar. Consulta lo siguiente:

• Para configurar la integración de Assured OSS, consulta Integración con Assured OSS.
• Para configurar la integración de Sensitive Data Protection, consulta Cómo habilitar el descubrimiento de datos sensibles.

Para inhabilitar un servicio integrado, junto a su nombre, haz clic en la lista y selecciona Inhabilitar.

Agrega un servicio de seguridad de terceros

Las activaciones de Security Command Center a nivel de la organización pueden mostrar resultados de servicios de seguridad de terceros que se registraron como socios de Cloud Marketplace.

Las activaciones de Security Command Center a nivel del proyecto no admiten servicios de terceros.

Para integrar servicios de seguridad que no están registradas como socios de Cloud Marketplace, pídele a los proveedores que completen la guía para la incorporación como socio de Security Command Center.

Para agregar un servicio de seguridad de terceros nuevo a Security Command Center, configura el servicio de seguridad y, luego, habilítalo en la Google Cloud consola.

Antes de comenzar

Para agregar un servicio de seguridad para un socio registrado de Cloud Marketplace, necesitas lo siguiente:

• Las siguientes funciones de administración de identidades y accesos (IAM):
  • Administrador del centro de seguridad (roles/securitycenter.admin)
  • Administrador de cuenta de servicio (roles/iam.serviceAccountAdmin)
• Un Google Cloud proyecto que deseas usar para el servicio de seguridad.

Configura un servicio de seguridad

A fin de configurar un servicio de seguridad de terceros, necesitas una cuenta de servicio para ese servicio. Cuando agregas el servicio de seguridad nuevo, puedes elegir entre las siguientes opciones de cuenta de servicio:

• Crea una cuenta de servicio.
• Usa tu propia cuenta de servicio existente.
• Usa una cuenta de servicio del proveedor de origen.

Para configurar un servicio de seguridad nuevo que ya esté registrado como socio de Cloud Marketplace, completa los siguientes pasos:

1. Ve a la página de Marketplace de Servicios de Security Command Center en laGoogle Cloud consola.

   Ir a Marketplace

2. En la página Marketplace, se muestran los servicios de seguridad que están asociadas directamente con Security Command Center.

   • Si no ves la fuente de seguridad que deseas agregar, busca Seguridad y selecciona el proveedor de fuentes de seguridad.
   • Si el proveedor de servicio de seguridad no está registrado en Cloud Marketplace, pídele que complete la guía para la incorporación como socio de Security Command Center.

3. En la página del proveedor de servicios de seguridad en Cloud Marketplace, sigue las instrucciones de configuración del proveedor que se encuentran en la descripción general.

Cuando se configura correctamente, el servicio de seguridad que agregaste está disponible en el Security Command Center.

Después de configurar un servicio de seguridad nuevo, debes habilitarlo en la consola deGoogle Cloud .

Habilita el servicio de seguridad

Los servicios de seguridad de terceros usan cuentas de servicio que pueden estar fuera de tu organización.

Para habilitar un servicio de terceros, sigue estos pasos:

1. En la consola Google Cloud , ve a la página de Security Command Center.

   Ir a Security Command Center

2. Selecciona tu organización o proyecto.

3. Haz clic en settings Configuración.

4. Haz clic en la pestaña Servicios integrados.

5. Junto a la fuente integrada que quieras habilitar, haz clic en la lista Estado y selecciona Habilitar.

Los resultados de los servicios que habilites se mostrarán en la página Resultados en el panel de Security Command Center.

Cómo cambiar la cuenta de servicio de un servicio de seguridad

Puedes cambiar la cuenta de servicio que se usa para un servicio de seguridad de terceros, por ejemplo, a fin de abordar la filtración o rotación de la cuenta de servicio. Para cambiar la cuenta de servicio de un servicio de seguridad, debes actualizarla en la consola de Google Cloud. Después, sigue las instrucciones del proveedor de servicios para actualizar la cuenta de servicio de su servicio.

1. En la consola Google Cloud , ve a la página de Security Command Center.

   Ir a Security Command Center

2. Selecciona tu organización o proyecto.

3. Haz clic en settings Configuración.

4. Haz clic en la pestaña Servicios integrados.

5. En la lista desplegable junto al servicio integrado:

   1. Selecciona Inhabilitado para inhabilitar de forma temporal el servicio integrado.
   2. Selecciona Administrar cuenta de servicio.

6. En el panel Editar provider que aparece, ingresa la nueva cuenta de servicio y, luego, haz clic en Enviar.

7. En la lista desplegable junto al servicio integrado, selecciona Habilitado para habilitar el servicio de seguridad.

Cuando se configura correctamente, la cuenta de servicio para el servicio integrado se actualiza en Security Command Center. Sigue las instrucciones del proveedor de origen a fin de actualizar la información de la cuenta de servicio para su servicio.

¿Qué sigue?

• Obtén información sobre los Google Cloud servicios de seguridad y cómover las vulnerabilidades y amenazasque muestran.
• Obtén más información para optimizar Security Command Center.
• Exporta registros a Cloud Logging.
• Configura las puntuaciones de exposición a ataques para evaluar el riesgo.