Activa el nivel de Security Command Center Enterprise

El nivel Enterprise de Security Command Center proporciona mejoras de seguridad, como las siguientes:

  • operaciones de seguridad avanzadas con Google Security Operations.
  • integraciones con otros productos de Google Cloud, como Mandiant Attack Surface Management, Sensitive Data Protection y Assured OSS.
  • compatibilidad con varias nubes.
  • análisis de riesgos.

Para obtener una descripción de las funciones del nivel Enterprise, consulta la descripción general de Security Command Center.

Completa el proceso de activación del nivel empresarial con la guía de configuración en la consola de Google Cloud. Después de las tareas obligatorias iniciales, puedes completar tareas adicionales para configurar las funciones opcionales que requiere tu organización.

Para obtener información sobre los precios y cómo obtener una suscripción, consulta Precios de Security Command Center.

Si deseas obtener instrucciones para activar Security Command Center en otro nivel, consulta Cómo activar el nivel Estándar o Premium de Security Command Center para una organización.

Antes de comenzar

Completa lo siguiente antes de activar Security Command Center por primera vez:

  1. Planifica la activación
  2. Crea una organización
  3. Crea el proyecto de administración
  4. Configura permisos y APIs
  5. Cómo configurar los contactos de notificaciones

Planifica la activación

En esta sección, se describen las decisiones y la información que debes preparar para la activación.

Determina el contacto de asistencia

Cuando activas una nueva instancia de SecOps de Google, proporcionas el nombre de tu empresa y una dirección de correo electrónico de un punto de contacto. Identifica un punto de contacto de tu organización. Esta configuración no está relacionada con los Contactos esenciales.

Elige la configuración de Google SecOps

Durante la activación, conectas Security Command Center Enterprise a una instancia de Google SecOps.

  • Puedes conectarte a una instancia existente.

  • Puedes aprovisionar y conectarte a una instancia nueva. Puedes aprovisionar y conectarte a una instancia nueva, incluso si tienes una instancia existente.

Cómo conectarse a una instancia existente

No puedes conectar Security Command Center Enterprise a una instancia existente de SIEM independiente de Google SecOps ni de SOAR independiente de Google SecOps. Si tienes preguntas sobre el tipo de instancia de Google SecOps que tienes, comunícate con tu representante de ventas de Google Cloud.

Cuando seleccionas una instancia existente de Google SecOps, la página Conéctate a una instancia de SecOps proporciona un vínculo a la instancia para que puedas verificar tu selección. Debes tener acceso a esa instancia para verificarla. Necesitas, al menos, el rol de Visualizador de acceso a los datos restringido de la API de Chronicle (roles/chronicle.restrictedDataAccessViewer) en el proyecto de administración para acceder a la instancia.

Aprovisiona una instancia nueva

Cuando aprovisionas una instancia nueva, solo esta se asocia con Security Command Center. Cuando usas Security Command Center, puedes navegar entre la consola de Google Cloud y la consola de Security Operations recién aprovisionada.

Durante la activación, especificas la ubicación en la que se aprovisionará la nueva instancia de Google SecOps. Para obtener una lista de las regiones y multirregiones compatibles, consulta la página Ubicaciones de los servicios de SecOps. Esta ubicación solo se aplica a Google SecOps y no a otras funciones o servicios de Security Command Center.

Cada instancia de Google SecOps debe tener un proyecto de administración dedicado que tú seas propietario y administres. Este proyecto debe estar en la misma organización en la que activas Security Command Center Enterprise. No puedes usar el mismo proyecto de administración para varias instancias de Google SecOps.

Cuando tienes una instancia existente de Google SecOps y aprovisionas una instancia nueva para Security Command Center Enterprise, ambas instancias usan la misma configuración para la transferencia directa de datos de Google Cloud. La misma configuración controla la transferencia a ambas instancias de Google SecOps y recibe los mismos datos.

Durante la activación de Security Command Center Enterprise, el proceso de activación modifica la configuración de transferencia de registros de Google Cloud para habilitar todos los campos de tipo de datos: Registros de Google Cloud, Metadatos de Cloud Asset y Resultados de Security Command Center Premium. No se cambia la configuración del filtro de exportación. Security Command Center Enterprise requiere estos tipos de datos para que todas las funciones funcionen según lo diseñado. Puedes cambiar la configuración de transferencia de registros de Google Cloud después de que se complete la activación.

Crea una organización

Security Command Center requiere un recurso de organización asociado a un dominio. Si no creaste una organización, consulta Crea y administra organizaciones.

Si tienes varias organizaciones, identifica en cuáles activarás Security Command Center Enterprise. Debes seguir estos pasos de activación para cada organización en la que planeas activar Security Command Center Enterprise.

Crea un proyecto de administración

Security Command Center Enterprise requiere un proyecto, llamado proyecto de administración, para habilitar la integración de Google SecOps y la administración de superficies de ataque de Mandiant. Te recomendamos que uses este proyecto exclusivamente para Security Command Center Enterprise.

Si habilitaste Google SecOps anteriormente y quieres conectarte a la instancia existente, usa el proyecto de administración existente que está conectado a Google SecOps.

Si planeas aprovisionar una nueva instancia de Google SecOps, crea un proyecto de administración nuevo que esté dedicado a la instancia nueva. No reutilices un proyecto de administración que esté conectado a otra instancia de Google SecOps.

Obtén más información sobre cómo crear y administrar proyectos.

Configura permisos y APIs

En esta sección, se enumeran los roles de Identity and Access Management que necesitas para configurar Security Command Center Enterprise y se describe cómo otorgarlos en la organización y el proyecto de administración. También se describe cómo habilitar todas las APIs que requiere el nivel de Security Command Center Enterprise. Obtén más información sobre los roles de Security Command Center y las APIs de Google Cloud.

Configura los permisos en la organización

Make sure that you have the following role or roles on the organization:

  • Organization Administrator (roles/resourcemanager.organizationAdmin)
  • Cloud Asset Owner (roles/cloudasset.owner)
  • Security Center Admin (roles/securitycenter.admin)
  • Security Admin (roles/iam.securityAdmin)
  • Chronicle Service Viewer (roles/chroniclesm.viewer)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Ir a IAM
  2. Selecciona la organización.
  3. Haz clic en Grant access.

  4. En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.

  5. En la lista Seleccionar un rol, elige un rol.
  6. Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
  7. Haz clic en Guardar.

    8. Para verificar Google SecOps, también debes hacer lo siguiente:

    Configura permisos y habilita las APIs en el proyecto de administración

    1. En la consola de Google Cloud, verifica que estés viendo la organización en la que deseas activar el nivel de Security Command Center Enterprise.
    2. Selecciona la administración del proyecto que creaste anteriormente.

    3. Make sure that you have the following role or roles on the project:

      • Service Usage Admin (roles/serviceusage.serviceUsageAdmin)
      • Service Account Token Creator (roles/iam.serviceAccountTokenCreator)
      • Chronicle API Admin (roles/chronicle.admin)
      • Chronicle Service Admin (roles/chroniclesm.admin)
      • Chronicle SOAR Admin (roles/chronicle.soarAdmin)
      • Service Account Key Admin (roles/iam.serviceAccountKeyAdmin)
      • Service Account Admin (roles/iam.serviceAccountAdmin)

      Check for the roles

      1. In the Google Cloud console, go to the IAM page.

        Go to IAM
      2. Select the project.

      3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

      4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

      Grant the roles

      1. In the Google Cloud console, go to the IAM page.

        Ir a IAM
      2. Selecciona el proyecto.
      3. Haz clic en Grant access.

      4. En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.

      5. En la lista Seleccionar un rol, elige un rol.
      6. Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
      7. Haz clic en Guardar.

      8. Enable the Cloud Asset, Cloud Pub/Sub, Cloud Resource Manager, Compute Engine, Policy Analyzer, and Recommender APIs.

        Enable the APIs

      Cómo configurar los contactos de notificaciones

      Configura tus Contactos esenciales para que los administradores de seguridad puedan recibir notificaciones importantes. Para obtener instrucciones, consulta Administra los contactos para las notificaciones.

      Activa el nivel de Security Command Center Enterprise

      El proceso de activación configura automáticamente las cuentas de servicio, los permisos y los servicios incluidos en Security Command Center Enterprise. Puedes conectarte a una instancia existente de Google SecOps Standard, Enterprise o Enterprise Plus, o aprovisionar una nueva.

      1. En la consola de Google Cloud, ve a la página Resumen de riesgos de Security Command Center.

        Ir a Security Command Center

      2. Verifica que estás viendo la organización en la que deseas activar el nivel de Security Command Center Enterprise.

      3. En la página Security Command Center, haz clic en Obtener Security Command Center.

      4. En la página Comienza a usar Security Command Center Enterprise, revisa las cuentas de servicio y las APIs que se configurarán y, luego, haz clic en Activate Enterprise.

        • Para ver las cuentas de servicio que se crearán, haz clic en Ver cuentas de servicio y permisos.
        • Para ver las APIs que se habilitarán, haz clic en Ver APIs de Security Command Center Enterprise.
        • Para ver los términos y condiciones, haz clic en Términos y Condiciones de Security Command Center Enterprise.

        Si no ves la página Comienza a usar Security Command Center Enterprise, comunícate con Ventas de Google Cloud para verificar que tu derecho de suscripción esté activo.

        En la página siguiente, se muestra una vista diferente según tu entorno.

      5. Elige una de las siguientes opciones para crear una instancia nueva o usar una existente.

        • Selecciona Sí, conectarme a una instancia existente de Google Security Operations y, luego, elige una instancia del menú. Continúa con el paso 7 para iniciar la activación.

          En el menú, se muestran las instancias de Google SecOps asociadas con la organización en la que activas Security Command Center Enterprise. Cada elemento incluye el ID de cliente de Google SecOps, la región en la que se aprovisiona y el nombre del proyecto de Google Cloud con el que está asociado. No puedes seleccionar una instancia que sea incompatible con Security Command Center Enterprise.

          La página proporciona un vínculo a la instancia de Google SecOps seleccionada para que puedas verificarla. Si recibes un error cuando abres la instancia, verifica que tengas los permisos de IAM necesarios para acceder a ella.

        • Selecciona No, crear una instancia nueva de Google Security Operations y, luego, continúa con el paso 6 para crear una instancia nueva de Google SecOps.

      6. Para crear una nueva instancia de Google SecOps, proporciona detalles de configuración adicionales.

        1. Especifica la información de contacto de tu empresa.

          • Contacto de asistencia técnica: Ingresa una dirección de correo electrónico individual o de grupo.
          • Nombre de la empresa: Ingresa el nombre de tu empresa.

        2. Selecciona el Tipo de ubicación en el que se aprovisionará Google Security Operations.

          • Región: Selecciona una sola región.
          • Multirregión: Selecciona una ubicación multirregional.

          Esta ubicación solo se usa para Google SecOps y no para otras funciones de Security Command Center. Para obtener una lista de las regiones y multirregiones compatibles, consulta la página Ubicaciones de los servicios de SecOps.

        3. Haz clic en Siguiente y, luego, selecciona el proyecto de administración exclusivo. Creaste el proyecto de administración exclusivo en un paso anterior.

          Si seleccionas un proyecto vinculado a una instancia existente de Google SecOps, recibirás un error cuando inicies la activación.

        4. Continúa con el paso 7 para iniciar la activación.

      7. Haz clic en Activar. Se mostrarán la página Guía de configuración y el estado de aprovisionamiento. Es posible que las funciones de operaciones de seguridad tarden un poco en estar listas y que los resultados estén disponibles.

      Puedes usar la guía de configuración de la consola de Google Cloud para configurar funciones adicionales.

      Configura funciones adicionales de Security Command Center

      La guía de configuración de la consola de Google Cloud consta de seis pasos y recomendaciones de configuración adicionales. Completas los dos primeros pasos cuando activa Security Command Center. Puedes completar los pasos y las recomendaciones restantes con el tiempo, según lo requiera tu organización.

      1. En la consola de Google Cloud, ve a la página Resumen de riesgos de Security Command Center.

        Ir a Descripción general

      2. Navega a Configuración > Detalles del nivel.

      3. Verifica que estés viendo la organización en la que activaste el nivel de Security Command Center Enterprise.

      4. Haz clic en Ver guía de configuración.

      5. Si usas Amazon Web Services (AWS) y deseas conectar Security Command Center a AWS para la evaluación de vulnerabilidades y riesgos, haz clic en Paso 3: Configura la integración de los servicios web de Amazon (AWS). Para obtener instrucciones, consulta Cómo conectarse a AWS para la detección de vulnerabilidades y la evaluación de riesgos.

      6. Para agregar usuarios y grupos que realicen operaciones de seguridad, haz clic en Paso 4: Configurar usuarios y grupos. Para obtener instrucciones, consulta Controla el acceso a las funciones de SecOps con IAM.

      7. Para configurar la organización, automatización y respuesta de seguridad (SOAR), haz clic en Paso 5: Configura las integraciones. Según la configuración de tu instancia de Google Security Operations, es posible que tu caso de uso ya esté instalado. Si no está instalado, comunícate con tu representante de cuenta o con Ventas de Google Cloud. Para integrarlo con sistemas de tickets, consulta Cómo integrar Security Command Center Enterprise con sistemas de tickets.

      8. Para configurar la transferencia de datos a la administración de información y eventos de seguridad (SIEM), haz clic en Paso 6: Configura la transferencia de registros. Es necesario configurar la transferencia de datos para habilitar funciones como las detecciones seleccionadas y la administración de derechos de infraestructura de nube. Para obtener instrucciones, consulta Cómo conectarse a AWS para la transferencia de registros.

      9. Para supervisar los datos sensibles en tu organización de Google Cloud, haz clic en Configurar la protección de datos sensibles. Para obtener instrucciones, consulta Cómo habilitar el descubrimiento de datos sensibles.

      10. Para mejorar la seguridad de tu código, haz clic en Configurar la seguridad del código. Para obtener instrucciones, consulta Cómo realizar la integración con Assured OSS para la seguridad del código.

      ¿Qué sigue?