Activer le niveau Security Command Center Enterprise

Enterprise

Présentation du niveau Enterprise de Security Command Center

Le niveau Enterprise de Security Command Center offre des améliorations de sécurité, y compris les suivantes :

  • des opérations de sécurité avancées à l'aide de Google Security Operations.
  • des intégrations avec d'autres produits Google Cloud , tels que Mandiant Attack Surface Management, Sensitive Data Protection et Assured OSS.
  • la compatibilité avec le multicloud.
  • l'analyse des risques.

Pour obtenir une description des fonctionnalités du niveau Enterprise, consultez Niveaux de service.

Vous devez suivre le guide de configuration dans la console Google Cloud pour activer le niveau Enterprise. Après les tâches obligatoires initiales, vous pouvez effectuer des tâches supplémentaires pour configurer les fonctionnalités facultatives dont votre organisation a besoin.

Pour en savoir plus sur les tarifs et sur la façon de souscrire un abonnement, consultez Tarifs de Security Command Center.

Pour savoir comment activer Security Command Center à un autre niveau, consultez Activer le niveau Standard ou Premium de Security Command Center pour une organisation.

Avant de commencer

Avant d'activer Security Command Center pour la première fois, procédez comme suit :

  1. Planifier l'activation
  2. Créer une organisation
  3. Créer le projet de gestion
  4. Configurer les autorisations et les API
  5. Configurer les contacts pour les notifications

Planifier l'activation

Cette section décrit les décisions et les informations dont vous avez besoin pour préparer l'activation.

Identifier le contact de l'assistance

Lorsque vous activez une nouvelle instance Google SecOps, vous fournissez le nom de votre entreprise et l'adresse e-mail d'un contact. Identifiez un contact dans votre organisation. Cette configuration n'est pas liée aux contacts essentiels.

Choisir la configuration Google SecOps

Lors de l'activation, vous connectez Security Command Center Enterprise à une instance Google SecOps.

  • Vous pouvez vous connecter à une instance existante.

  • Vous pouvez provisionner une nouvelle instance et vous y connecter. Vous pouvez provisionner une nouvelle instance et vous y connecter même si vous en avez déjà une.

Se connecter à une instance existante

Vous ne pouvez pas connecter Security Command Center Enterprise à une instance Google SecOps SIEM autonome ou Google SecOps SOAR autonome existante. Si vous avez des questions sur le type d'instance Google SecOps dont vous disposez, contactez votre Google Cloud représentant commercial.

Lorsque vous sélectionnez une instance Google SecOps existante, la page Se connecter à une instance SecOps fournit un lien vers l'instance pour que vous puissiez vérifier votre sélection. Vous devez avoir accès à cette instance pour la valider. Vous devez au moins disposer du rôle Lecteur de l'API Chronicle avec accès limité aux données (roles/chronicle.restrictedDataAccessViewer) sur le projet de gestion pour vous connecter à l'instance.

Si vous provisionnez Security Command Center à l'aide d'une instance Google SecOps existante configurée pour utiliser la fédération des identités des employés, vous devez mettre à jour les pools d'identités des employés avec des autorisations supplémentaires pour accéder aux fonctionnalités des pages de la console Security Operations disponibles avec Security Command Center Enterprise. Pour en savoir plus, consultez les pages Contrôler l'accès aux fonctionnalités des pages de la console Security Operations.

Provisionner une nouvelle instance

Lorsque vous provisionnez une nouvelle instance, seule celle-ci est associée à Security Command Center. Lorsque vous utilisez Security Command Center, vous naviguez entre les pages de la consoleGoogle Cloud et de la console Security Operations nouvellement provisionnée.

Lors de l'activation, vous spécifiez l'emplacement où la nouvelle instance Google SecOps doit être provisionnée. Pour obtenir la liste des régions et emplacements multirégionaux compatibles, consultez la page Localisation des services SecOps. Cet emplacement ne s'applique qu'à Google SecOps, et non aux autres fonctionnalités ou services Security Command Center.

Chaque instance Google SecOps doit disposer d'un projet de gestion dédié que vous possédez et gérez. Ce projet doit appartenir à l'organisation dans laquelle vous activez Security Command Center Enterprise. Vous ne pouvez pas utiliser le même projet de gestion pour plusieurs instances Google SecOps.

Lorsque vous disposez d'une instance Google SecOps existante et que vous provisionnez une nouvelle instance pour Security Command Center Enterprise, les deux instances utilisent la même configuration pour l'ingestion directe des données Google Cloud . Les mêmes paramètres de configuration contrôlent l'ingestion dans les deux instances Google SecOps, qui reçoivent les mêmes données.

Lors de l'activation de Security Command Center Enterprise, le processus d'activation modifie les paramètres d'ingestion des journaux Google Cloud pour activer tous les champs de type de données : Google Cloud Logging, Métadonnées d'éléments Cloud et Résultats Security Command Center Premium. Les paramètres du filtre d'exportation ne sont pas modifiés. Security Command Center Enterprise nécessite ces types de données pour que toutes les fonctionnalités fonctionnent comme prévu. Vous pouvez modifier les paramètres d'ingestion des journaux Google Cloud une fois l'activation terminée.

Créer une organisation

Security Command Center nécessite une ressource d'organisation associée à un domaine. Si vous n'avez pas créé d'organisation, consultez la page Créer et gérer des organisations.

Si vous avez plusieurs organisations, identifiez celles dans lesquelles vous allez activer Security Command Center Enterprise. Vous devez suivre ces étapes d'activation pour chaque organisation dans laquelle vous prévoyez d'activer Security Command Center Enterprise.

Vérifier les règles d'administration

Si les règles de votre organisation sont configurées pour restreindre l'utilisation des ressources, vérifiez que les API suivantes sont autorisées :

  • chronicle.googleapis.com
  • securitycenter.googleapis.com
  • securitycentermanagement.googleapis.com

Créer un projet de gestion

Security Command Center Enterprise nécessite un projet, appelé projet de gestion, pour activer l'intégration de Google SecOps et de Mandiant Attack Surface Management. Nous vous recommandons d'utiliser ce projet exclusivement pour Security Command Center Enterprise.

Si vous avez activé Google SecOps précédemment et que vous souhaitez vous connecter à l'instance existante, utilisez le projet de gestion existant associé à Google SecOps.

Si vous prévoyez de provisionner une nouvelle instance Google SecOps, créez un projet de gestion dédié à cette instance. N'utilisez pas un projet de gestion déjà associé à une autre instance Google SecOps.

Découvrez comment créer et gérer des projets.

Configurer les autorisations et les API

Cette section liste les rôles Identity and Access Management dont vous avez besoin pour configurer Security Command Center Enterprise et explique comment les attribuer au niveau de l'organisation et du projet de gestion. Il explique également comment activer toutes les API requises par le niveau Security Command Center Enterprise. En savoir plus sur les rôles Security Command Center et les APIGoogle Cloud

Configurer les autorisations sur l'organisation

Make sure that you have the following role or roles on the organization:

  • Organization Administrator (roles/resourcemanager.organizationAdmin)
  • Cloud Asset Owner (roles/cloudasset.owner)
  • Security Center Admin (roles/securitycenter.admin)
  • Security Admin (roles/iam.securityAdmin)
  • Chronicle Service Viewer (roles/chroniclesm.viewer)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Accéder à IAM
  2. Sélectionnez l'organisation.
  3. Cliquez sur Accorder l'accès.

  4. Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.

  5. Dans la liste Sélectionner un rôle, sélectionnez un rôle.
  6. Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
  7. Cliquez sur Enregistrer.

    8. Configurer les autorisations et activer les API dans le projet de gestion

    1. Dans la console Google Cloud , vérifiez que vous consultez l'organisation pour laquelle vous souhaitez activer le niveau Security Command Center Enterprise.
    2. Sélectionnez le projet de gestion que vous avez créé précédemment.

    3. Make sure that you have the following role or roles on the project:

      • Service Usage Admin (roles/serviceusage.serviceUsageAdmin)
      • Service Account Token Creator (roles/iam.serviceAccountTokenCreator)
      • Chronicle API Admin (roles/chronicle.admin)
      • Chronicle Service Admin (roles/chroniclesm.admin)
      • Chronicle SOAR Admin (roles/chronicle.soarAdmin)
      • Service Account Key Admin (roles/iam.serviceAccountKeyAdmin)
      • Service Account Admin (roles/iam.serviceAccountAdmin)

      Check for the roles

      1. In the Google Cloud console, go to the IAM page.

        Go to IAM
      2. Select the project.

      3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

      4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

      Grant the roles

      1. In the Google Cloud console, go to the IAM page.

        Accéder à IAM
      2. Sélectionnez le projet.
      3. Cliquez sur Accorder l'accès.

      4. Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.

      5. Dans la liste Sélectionner un rôle, sélectionnez un rôle.
      6. Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
      7. Cliquez sur Enregistrer.

    4. Enable the Cloud Asset, Cloud Pub/Sub, Cloud Resource Manager, Compute Engine, Policy Analyzer, and Recommender APIs.

      Enable the APIs

      5. Configurer les contacts pour les notifications

      Configurez vos contacts essentiels afin que vos administrateurs de sécurité puissent recevoir des notifications importantes. Pour obtenir des instructions, consultez Gérer les contacts pour les notifications.

      Activer le niveau Security Command Center Enterprise

      Le processus d'activation configure automatiquement les comptes de service, les autorisations et les services inclus dans Security Command Center Enterprise. Vous pouvez vous connecter à une instance Google SecOps Standard, Enterprise ou Enterprise Plus existante, ou en provisionner une nouvelle.

      1. Dans la console Google Cloud , accédez à la page Présentation des risques de Security Command Center.

        Accéder à Security Command Center

      2. Vérifiez que vous consultez l'organisation pour laquelle vous souhaitez activer le niveau Security Command Center Enterprise.

      3. Sur la page Security Command Center, cliquez sur Obtenir Security Command Center.

      4. Sur la page Faites vos premiers pas avec Security Command Center Enterprise, examinez les comptes de service et les API qui seront configurés, puis cliquez sur Activer Enterprise.

        • Pour afficher les comptes de service qui seront créés, cliquez sur Afficher les comptes de service et les autorisations.
        • Pour afficher les API qui seront activées, cliquez sur Afficher les API Security Command Center Enterprise.
        • Pour consulter les conditions d'utilisation, cliquez sur Conditions d'utilisation de Security Command Center Enterprise.

        Si la page Faites vos premiers pas avec Security Command Center Enterprise ne s'affiche pas, contactez Google Cloud sales pour vérifier que votre droit d'accès à l'abonnement est actif.

        La page suivante affiche une vue différente selon votre environnement.

      5. Choisissez l'une des options suivantes pour créer une instance ou en utiliser une existante.

        • Sélectionnez Oui, se connecter à une instance Google Security Operations existante, puis choisissez une instance dans le menu. Passez à l'étape 7 pour lancer l'activation.

          Le menu affiche les instances Google SecOps associées à l'organisation dans laquelle vous activez Security Command Center Enterprise. Chaque élément inclut l'ID client Google SecOps, la région dans laquelle il est provisionné et le nom du projet Google Cloud auquel il est associé. Vous ne pouvez pas sélectionner une instance incompatible avec Security Command Center Enterprise.

          La page fournit un lien vers l'instance Google SecOps sélectionnée pour que vous puissiez la vérifier. Si vous obtenez une erreur lorsque vous ouvrez l'instance, vérifiez que vous disposez des autorisations IAM requises pour y accéder.

        • Sélectionnez Non, créer une instance Google Security Operations, puis passez à l'étape 6 pour créer une instance Google SecOps.

      6. Pour créer une instance Google SecOps, fournissez des informations de configuration supplémentaires.

        1. Saisissez les coordonnées de votre entreprise.

          • Contact de l'assistance technique : saisissez une adresse e-mail individuelle ou de groupe.
          • Nom de l'entreprise : saisissez le nom de votre entreprise.

        2. Sélectionnez le type d'emplacement où Google Security Operations sera provisionné.

          • Région : sélectionnez une seule région.
          • Multirégional : sélectionnez un emplacement multirégional.

          Cet emplacement n'est utilisé que pour Google SecOps, et non pour les autres fonctionnalités de Security Command Center. Pour obtenir la liste des régions et zones multirégionales acceptées, consultez la page Emplacements des services SecOps.

        3. Cliquez sur Suivant, puis sélectionnez le projet de gestion dédié. Vous avez créé le projet de gestion dédié lors d'une étape précédente.

          Si vous sélectionnez un projet associé à une instance Google SecOps existante, une erreur s'affichera lorsque vous lancerez l'activation.

        4. Passez à l'étape 7 pour lancer l'activation.

      7. Cliquez sur Activate (Activer). L'onglet Aperçu des risques> Configuration Enterprise s'affiche et indique l'état du provisionnement. Cet onglet est disponible en version bêta.

        Certains services sont activés automatiquement, comme Security Health Analytics, Event Threat Detection et Virtual Machine Threat Detection. Il peut s'écouler un certain temps avant que les fonctionnalités d'opérations de sécurité soient prêtes et que les résultats soient disponibles.

      8. Poursuivez avec les sections suivantes :

      Configurer des fonctionnalités supplémentaires à l'aide du guide de configuration

      Le guide de configuration de la console Google Cloud se compose de six étapes et de recommandations de configuration supplémentaires. Vous effectuez les deux premières étapes lorsque vous activez Security Command Center. Vous pouvez effectuer les étapes et les recommandations restantes au fil du temps, selon les besoins de votre organisation.

      1. Dans la console Google Cloud , accédez à la page Présentation des risques de Security Command Center.

        Accéder à la page "Présentation"

      2. Sélectionnez l'organisation dans laquelle vous avez activé Security Command Center Enterprise.

      3. Accédez à Paramètres > Détails du niveau.

      4. Sélectionnez l'organisation pour laquelle vous avez activé Security Command Center Enterprise.

      5. Cliquez sur Consulter le guide de configuration.

      6. Si vous utilisez également Amazon Web Services (AWS) ou Microsoft Azure, et que vous souhaitez vous connecter à ces fournisseurs de services cloud pour importer des données de ressources, cliquez sur Étape 3 : Configurer des connecteurs multicloud. Pour obtenir des instructions, consultez l'une des pages suivantes :

      7. Pour ajouter des utilisateurs et des groupes afin qu'ils puissent effectuer des opérations de sécurité, cliquez sur Étape 4 : Configurer les utilisateurs et les groupes. Pour obtenir des instructions, consultez Contrôler l'accès aux fonctionnalités SecOps à l'aide d'IAM.

      8. Pour configurer les outils d'orchestration de la sécurité, d'automatisation et de réponse (SOAR), cliquez sur Étape 5 : Configurer les intégrations. Selon la configuration de votre instance Google Security Operations, votre cas d'utilisation peut déjà être installé. S'il n'est pas installé, contactez votre responsable de compte ou le service commercialGoogle Cloud . Pour l'intégration à des systèmes de suivi des demandes, consultez Intégrer Security Command Center Enterprise à des systèmes de suivi des demandes.

      9. Pour configurer la collecte des données de journaux dans le système de gestion des informations et des événements de sécurité (SIEM), cliquez sur Étape 6 : Configurer l'ingestion des journaux. La configuration de l'ingestion de données est requise pour activer des fonctionnalités telles que les détections organisées et la gestion des droits d'accès à l'infrastructure cloud. Pour obtenir des instructions, consultez Se connecter à AWS pour l'ingestion de journaux et Se connecter à Microsoft Azure pour l'ingestion de journaux.

      10. Pour surveiller les données sensibles dans votre organisation Google Cloud , cliquez sur Configurer la protection des données sensibles. Pour obtenir des instructions, consultez Activer la découverte des données sensibles.

      11. Pour renforcer la sécurité de votre code, cliquez sur Configurer la sécurité du code. Pour obtenir des instructions, consultez Intégrer Assured OSS pour la sécurité du code.

      12. Pour rechercher des failles dans vos ressources AWS connectées, cliquez sur Configurer l'évaluation des failles. Pour obtenir des instructions, consultez Activer et utiliser l'évaluation des failles pour AWS.

      13. Pour rechercher les menaces dans vos machines virtuelles AWS, cliquez sur Configurer Virtual Machine Threat Detection pour AWS. Pour obtenir des instructions, consultez Activer VM Threat Detection pour AWS.

      Surveiller la progression et configurer les services à l'aide de l'onglet "Configuration Enterprise"

      L'onglet Configuration Enterprise affiche l'état du provisionnement et la progression des analyses initiales de vos ressources Google Cloud .

      Utilisez les fonctionnalités de l'onglet Configuration Enterprise pour effectuer l'une des opérations suivantes :

      • Consultez l'état du provisionnement dans l'onglet Aperçu des risques > Configuration Enterprise, y compris l'état d'activation des services Security Command Center.

        Accéder à la page "Présentation"

      • Consultez le nombre de résultats trouvés dans la section Récapitulatif des fonctionnalités de sécurité, puis cliquez sur Afficher les détails pour afficher les comptes de service créés.

      • Cliquez sur Ajouter un connecteur pour configurer l'ingestion de données provenant d'autres fournisseurs de services cloud, tels qu'AWS.

      • Affichez le nombre de services activés par catégorie de sécurité, puis cliquez sur Configurer sur la fiche pour configurer les services compatibles avec cette catégorie de sécurité. Certains services Security Command Center sont activés par défaut lors du provisionnement.

      Étapes suivantes