Activer le niveau Security Command Center Enterprise

Le niveau Enterprise de Security Command Center offre des améliorations de sécurité, y compris les suivantes:

  • des opérations de sécurité avancées à l'aide de Google Security Operations.
  • Intégrations à d'autres produits Google Cloud, tels que Mandiant Attack Surface Management, Sensitive Data Protection et Assured OSS.
  • la compatibilité avec le multicloud.
  • analyse des risques.

Pour en savoir plus sur les fonctionnalités du niveau Enterprise, consultez la présentation de Security Command Center.

Vous devez suivre le guide de configuration dans la console Google Cloud pour terminer le processus d'activation du niveau Enterprise. Après avoir effectué les tâches obligatoires initiales, vous pouvez effectuer des tâches supplémentaires pour configurer les fonctionnalités facultatives dont votre organisation a besoin.

Pour en savoir plus sur les tarifs et obtenir un abonnement, consultez la section Tarifs de Security Command Center.

Pour savoir comment activer Security Command Center à un autre niveau, consultez Activer le niveau Standard ou Premium de Security Command Center pour une organisation.

Avant de commencer

Avant d'activer Security Command Center pour la première fois, procédez comme suit:

  1. Planifier l'activation
  2. Créer une organisation
  3. Créer le projet de gestion
  4. Configurer les autorisations et les API
  5. Configurer les contacts de notification

Planifier l'activation

Cette section décrit les décisions et les informations que vous devez préparer pour l'activation.

Identifier le contact de l'assistance

Lorsque vous activez une nouvelle instance Google SecOps, vous devez indiquer le nom de votre entreprise et l'adresse e-mail d'un contact. Identifiez un contact dans votre organisation. Cette configuration n'est pas liée aux contacts essentiels.

Choisir la configuration Google SecOps

Lors de l'activation, vous connectez Security Command Center Enterprise à une instance Google SecOps.

  • Vous pouvez vous connecter à une instance existante.

  • Vous pouvez provisionner et vous connecter à une nouvelle instance. Vous pouvez provisionner et vous connecter à une nouvelle instance même si vous disposez d'une instance existante.

Se connecter à une instance existante

Vous ne pouvez pas connecter Security Command Center Enterprise à une instance SIEM autonome Google SecOps ou SOAR autonome Google SecOps existante. Pour toute question sur le type d'instance Google SecOps dont vous disposez, contactez votre conseiller commercial Google Cloud.

Lorsque vous sélectionnez une instance Google SecOps existante, la page Se connecter à une instance SecOps fournit un lien vers l'instance afin que vous puissiez vérifier votre sélection. Vous devez avoir accès à cette instance pour la valider. Vous devez au moins disposer du rôle Lecteur de l'API Chronicle avec accès limité aux données (roles/chronicle.restrictedDataAccessViewer) sur le projet de gestion pour vous connecter à l'instance.

Provisionner une nouvelle instance

Lorsque vous provisionnez une nouvelle instance, seule cette instance est associée à Security Command Center. Lorsque vous utilisez Security Command Center, vous pouvez passer de la console Google Cloud à la console Security Operations nouvellement provisionnée.

Lors de l'activation, vous spécifiez l'emplacement où la nouvelle instance Google SecOps doit être provisionnée. Pour obtenir la liste des régions et zones multirégionales acceptées, consultez la page Emplacements des services SecOps. Cet emplacement ne s'applique qu'à Google SecOps, et non aux autres fonctionnalités ou services de Security Command Center.

Chaque instance Google SecOps doit disposer d'un projet de gestion dédié que vous possédez et gérez. Ce projet doit appartenir à l'organisation pour laquelle vous activez Security Command Center Enterprise. Vous ne pouvez pas utiliser le même projet de gestion pour plusieurs instances Google SecOps.

Lorsque vous disposez d'une instance Google SecOps existante et que vous provisionnez une nouvelle instance pour Security Command Center Enterprise, les deux instances utilisent la même configuration pour l'ingestion directe des données Google Cloud. Les mêmes paramètres de configuration contrôlent l'ingestion dans les deux instances Google SecOps, et elles reçoivent les mêmes données.

Lors de l'activation de Security Command Center Enterprise, le processus d'activation modifie les paramètres d'ingestion des journaux Google Cloud pour définir tous les champs de type de données sur "Activé" : Google Cloud Logging, Métadonnées d'éléments Cloud et Résultats de Security Command Center Premium. Les paramètres du filtre d'exportation ne sont pas modifiés. Security Command Center Enterprise nécessite ces types de données pour que toutes les fonctionnalités fonctionnent comme prévu. Vous pouvez modifier les paramètres d'ingestion des journaux Google Cloud une fois l'activation terminée.

Créer une organisation

Security Command Center nécessite une ressource d'organisation associée à un domaine. Si vous n'avez pas créé d'organisation, consultez la page Créer et gérer des organisations.

Si vous possédez plusieurs organisations, identifiez celles dans lesquelles vous allez activer Security Command Center Enterprise. Vous devez suivre ces étapes d'activation pour chaque organisation pour laquelle vous prévoyez d'activer Security Command Center Enterprise.

Créer un projet de gestion

Security Command Center Enterprise nécessite un projet, appelé projet de gestion, pour activer l'intégration de Google SecOps et de Mandiant Attack Surface Management. Nous vous recommandons d'utiliser ce projet exclusivement pour Security Command Center Enterprise.

Si vous avez déjà activé Google SecOps et que vous souhaitez vous connecter à l'instance existante, utilisez le projet de gestion existant associé à Google SecOps.

Si vous prévoyez de provisionner une nouvelle instance Google SecOps, créez un projet de gestion dédié à cette nouvelle instance. Ne réutilisez pas un projet de gestion connecté à une autre instance Google SecOps.

Découvrez comment créer et gérer des projets.

Configurer les autorisations et les API

Cette section liste les rôles Identity and Access Management dont vous avez besoin pour configurer Security Command Center Enterprise et explique comment les accorder à l'organisation et au projet de gestion. Il explique également comment activer toutes les API requises par le niveau Security Command Center Enterprise. En savoir plus sur les rôles Security Command Center et les API Google Cloud

Configurer les autorisations au niveau de l'organisation

Make sure that you have the following role or roles on the organization:

  • Organization Administrator (roles/resourcemanager.organizationAdmin)
  • Cloud Asset Owner (roles/cloudasset.owner)
  • Security Center Admin (roles/securitycenter.admin)
  • Security Admin (roles/iam.securityAdmin)
  • Chronicle Service Viewer (roles/chroniclesm.viewer)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Accéder à IAM
  2. Sélectionnez l'organisation.
  3. Cliquez sur Accorder l'accès.

  4. Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.

  5. Dans la liste Sélectionner un rôle, sélectionnez un rôle.
  6. Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
  7. Cliquez sur Enregistrer.

    8. Pour valider Google SecOps, vous devez également :

    Configurer les autorisations et activer les API sur le projet de gestion

    1. Dans la console Google Cloud, vérifiez que vous consultez l'organisation pour laquelle vous souhaitez activer le niveau Security Command Center Enterprise.
    2. Sélectionnez la gestion du projet que vous avez créé précédemment.

    3. Make sure that you have the following role or roles on the project:

      • Service Usage Admin (roles/serviceusage.serviceUsageAdmin)
      • Service Account Token Creator (roles/iam.serviceAccountTokenCreator)
      • Chronicle API Admin (roles/chronicle.admin)
      • Chronicle Service Admin (roles/chroniclesm.admin)
      • Chronicle SOAR Admin (roles/chronicle.soarAdmin)
      • Service Account Key Admin (roles/iam.serviceAccountKeyAdmin)
      • Service Account Admin (roles/iam.serviceAccountAdmin)

      Check for the roles

      1. In the Google Cloud console, go to the IAM page.

        Go to IAM
      2. Select the project.

      3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

      4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

      Grant the roles

      1. In the Google Cloud console, go to the IAM page.

        Accéder à IAM
      2. Sélectionnez le projet.
      3. Cliquez sur Accorder l'accès.

      4. Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.

      5. Dans la liste Sélectionner un rôle, sélectionnez un rôle.
      6. Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
      7. Cliquez sur Enregistrer.

      8. Enable the Cloud Asset, Cloud Pub/Sub, Cloud Resource Manager, Compute Engine, Policy Analyzer, and Recommender APIs.

        Enable the APIs

      Configurer les contacts de notification

      Configurez vos contacts essentiels afin que vos administrateurs de sécurité puissent recevoir des notifications importantes. Pour obtenir des instructions, consultez Gérer les contacts pour les notifications.

      Activer le niveau Security Command Center Enterprise

      Le processus d'activation configure automatiquement les comptes de service, les autorisations et les services inclus dans Security Command Center Enterprise. Vous pouvez vous connecter à une instance Google SecOps Standard, Enterprise ou Enterprise Plus existante ou en provisionner une nouvelle.

      1. Dans la console Google Cloud, accédez à la page Présentation des risques de Security Command Center.

        Accéder à Security Command Center

      2. Vérifiez que vous consultez l'organisation pour laquelle vous souhaitez activer le niveau Security Command Center Enterprise.

      3. Sur la page Security Command Center, cliquez sur Obtenir Security Command Center.

      4. Sur la page Premiers pas avec Security Command Center Enterprise, examinez les comptes de service et les API qui seront configurés, puis cliquez sur Activer Enterprise.

        • Pour afficher les comptes de service qui seront créés, cliquez sur Afficher les comptes de service et les autorisations.
        • Pour afficher les API qui seront activées, cliquez sur Afficher les API Security Command Center Enterprise.
        • Pour consulter les conditions d'utilisation, cliquez sur Conditions d'utilisation de Security Command Center Enterprise.

        Si la page Premiers pas avec Security Command Center Enterprise ne s'affiche pas, contactez l'équipe commerciale Google Cloud pour vérifier que votre droit d'accès à l'abonnement est actif.

        La page suivante affiche une vue différente selon votre environnement.

      5. Choisissez l'une des options suivantes pour créer une instance ou utiliser une instance existante.

        • Sélectionnez Oui, me connecter à une instance Google Security Operations existante, puis choisissez une instance dans le menu. Passez à l'étape 7 pour lancer l'activation.

          Le menu affiche les instances Google SecOps associées à l'organisation dans laquelle vous activez Security Command Center Enterprise. Chaque élément inclut l'ID client Google SecOps, la région où il est provisionné et le nom du projet Google Cloud auquel il est associé. Vous ne pouvez pas sélectionner une instance incompatible avec Security Command Center Enterprise.

          La page fournit un lien vers l'instance Google SecOps sélectionnée pour que vous puissiez la valider. Si une erreur s'affiche lorsque vous ouvrez l'instance, vérifiez que vous disposez des autorisations IAM requises pour y accéder.

        • Sélectionnez Non, créer une instance Google Security Operations, puis passez à l'étape 6 pour créer une instance Google SecOps.

      6. Pour créer une instance Google SecOps, fournissez des informations de configuration supplémentaires.

        1. Indiquez les coordonnées de votre entreprise.

          • Contact de l'assistance technique: saisissez une adresse e-mail individuelle ou de groupe.
          • Nom de l'entreprise: saisissez le nom de votre entreprise.

        2. Sélectionnez le type d'emplacement où Google Security Operations sera provisionné.

          • Région: sélectionnez une seule région.
          • Multirégional: sélectionnez un emplacement multirégional.

          Cet emplacement n'est utilisé que pour Google SecOps, et non pour les autres fonctionnalités de Security Command Center. Pour obtenir la liste des régions et zones multirégionales acceptées, consultez la page Emplacements des services SecOps.

        3. Cliquez sur Suivant, puis sélectionnez le projet de gestion dédié. Vous avez créé le projet de gestion dédié à une étape précédente.

          Si vous sélectionnez un projet associé à une instance Google SecOps existante, une erreur s'affichera lorsque vous lancerez l'activation.

        4. Passez à l'étape 7 pour lancer l'activation.

      7. Cliquez sur Activer. La page Guide de configuration et l'état de provisionnement s'affichent. Il peut s'écouler un certain temps avant que les fonctionnalités d'opérations de sécurité ne soient prêtes et que les résultats ne soient disponibles.

      Vous pouvez utiliser le guide de configuration de la console Google Cloud pour configurer des fonctionnalités supplémentaires.

      Configurer des fonctionnalités supplémentaires de Security Command Center

      Le guide de configuration de la console Google Cloud se compose de six étapes et de recommandations de configuration supplémentaires. Vous effectuez les deux premières étapes lorsque vous activez Security Command Center. Vous pouvez effectuer les étapes et recommandations restantes au fil du temps, selon les besoins de votre organisation.

      1. Dans la console Google Cloud, accédez à la page Présentation des risques de Security Command Center.

        Accéder à la page "Présentation"

      2. Accédez à Paramètres > Détails du niveau.

      3. Vérifiez que vous consultez l'organisation pour laquelle vous avez activé le niveau Security Command Center Enterprise.

      4. Cliquez sur Afficher le guide de configuration.

      5. Si vous utilisez Amazon Web Services (AWS) et que vous souhaitez connecter Security Command Center à AWS pour évaluer les vulnérabilités et les risques, cliquez sur Étape 3 : Configurer l'intégration d'Amazon Web Services (AWS). Pour obtenir des instructions, consultez la section Se connecter à AWS pour la détection des failles et l'évaluation des risques.

      6. Pour ajouter des utilisateurs et des groupes pour effectuer des opérations de sécurité, cliquez sur Étape 4 : Configurer les utilisateurs et les groupes. Pour obtenir des instructions, consultez Contrôler l'accès aux fonctionnalités SecOps à l'aide d'IAM.

      7. Pour configurer les outils d'orchestration de la sécurité, d'automatisation et de réponse (SOAR), cliquez sur Étape 5: Configurer les intégrations. Selon la configuration de votre instance Google Security Operations, votre cas d'utilisation est peut-être déjà installé. Si ce n'est pas le cas, contactez votre responsable de compte ou le service commercial Google Cloud. Pour intégrer Security Command Center Enterprise à des systèmes de gestion des tickets, consultez Intégrer Security Command Center Enterprise à des systèmes de gestion des tickets.

      8. Pour configurer l'ingestion de données dans le système de gestion des informations et des événements de sécurité (SIEM), cliquez sur Étape 6: Configurer l'ingestion de journaux. Vous devez configurer l'ingestion de données pour activer des fonctionnalités telles que les détections sélectionnées et la gestion des droits d'accès à l'infrastructure cloud. Pour obtenir des instructions, consultez la section Se connecter à AWS pour l'ingestion de journaux.

      9. Pour rechercher des données sensibles dans votre organisation Google Cloud, cliquez sur Configurer la protection des données sensibles. Pour obtenir des instructions, consultez Activer la découverte des données sensibles.

      10. Pour renforcer la sécurité de votre code, cliquez sur Configurer la sécurité du code. Pour obtenir des instructions, consultez la section Intégrer Assured OSS pour la sécurité du code.

      Étape suivante