Mengaktifkan paket Security Command Center Enterprise

Pengantar Paket Enterprise Security Command Center

Paket Security Command Center Enterprise memberikan peningkatan keamanan, termasuk yang berikut:

  • operasi keamanan tingkat lanjut menggunakan Google Security Operations.
  • integrasi dengan produk lain, seperti Mandiant Attack Surface Management, Sensitive Data Protection, dan Assured OSS. Google Cloud
  • dukungan multi-cloud.
  • analisis risiko.

Untuk mengetahui deskripsi fitur tingkat Enterprise, lihat Tingkat layanan.

Anda menyelesaikan proses aktivasi paket Enterprise menggunakan panduan penyiapan di konsol Google Cloud . Setelah menyelesaikan tugas wajib awal, Anda dapat menyelesaikan tugas tambahan untuk menyiapkan fitur opsional yang diperlukan organisasi Anda.

Untuk mengetahui informasi tentang harga dan cara mendapatkan langganan, lihat Harga Security Command Center.

Untuk mengetahui petunjuk tentang cara mengaktifkan Security Command Center di paket lain, lihat Mengaktifkan paket Standard atau Premium Security Command Center untuk organisasi.

Sebelum memulai

Selesaikan langkah-langkah berikut sebelum Anda mengaktifkan Security Command Center untuk pertama kalinya:

  1. Merencanakan aktivasi
  2. Membuat organisasi
  3. Buat project pengelolaan
  4. Mengonfigurasi izin dan API
  5. Mengonfigurasi kontak notifikasi

Merencanakan aktivasi

Bagian ini menjelaskan keputusan dan informasi yang Anda perlukan untuk mempersiapkan pengaktifan.

Menentukan kontak dukungan

Saat mengaktifkan instance Google SecOps baru, Anda memberikan nama perusahaan dan alamat email kontak. Identifikasi kontak dari organisasi Anda. Konfigurasi ini tidak terkait dengan Kontak Penting.

Pilih konfigurasi Google SecOps

Selama aktivasi, Anda menghubungkan Security Command Center Enterprise ke instance Google SecOps.

  • Anda dapat terhubung ke instance yang ada.

  • Anda dapat menyediakan dan terhubung ke instance baru. Anda dapat menyediakan dan terhubung ke instance baru meskipun Anda memiliki instance yang sudah ada.

Menghubungkan ke instance yang ada

Anda tidak dapat menghubungkan Security Command Center Enterprise ke instance Google SecOps SIEM mandiri atau Google SecOps SOAR mandiri yang ada. Jika ada pertanyaan tentang jenis instance Google SecOps yang Anda miliki, hubungi Google Cloud Sales Rep Anda.

Saat Anda memilih instance Google SecOps yang ada, halaman Hubungkan ke instance SecOps menyediakan link ke instance tersebut sehingga Anda dapat memverifikasi pilihan Anda. Anda harus memiliki akses ke instance tersebut untuk memverifikasinya. Anda memerlukan setidaknya peran Chronicle API Restricted Data Access Viewer (roles/chronicle.restrictedDataAccessViewer) di project pengelolaan untuk login ke instance.

Jika Anda menyediakan Security Command Center menggunakan instance Google SecOps yang ada dan dikonfigurasi untuk menggunakan Workforce Identity Federation, Anda harus memperbarui kumpulan identitas tenaga kerja dengan izin tambahan untuk mengakses fitur di halaman konsol Security Operations yang tersedia dengan Security Command Center Enterprise. Untuk mengetahui informasi selengkapnya, lihat halaman Mengontrol akses ke fitur di halaman konsol Operasi Keamanan.

Menyediakan instance baru

Saat Anda menyediakan instance baru, hanya instance baru yang dikaitkan dengan Security Command Center. Saat menggunakan Security Command Center, Anda dapat membuka halaman Google Cloud konsol dan konsol Operasi Keamanan yang baru disediakan.

Selama aktivasi, Anda menentukan lokasi tempat instance Google SecOps baru akan disediakan. Untuk mengetahui daftar region dan multi-region yang didukung, lihat Halaman Lokasi Layanan SecOps. Lokasi ini hanya berlaku untuk Google SecOps, dan bukan fitur atau layanan Security Command Center lainnya.

Setiap instance Google SecOps harus memiliki project pengelolaan khusus yang Anda miliki dan kelola. Project ini harus berada di organisasi yang sama dengan tempat Anda mengaktifkan Security Command Center Enterprise. Anda tidak dapat menggunakan project pengelolaan yang sama untuk beberapa instance Google SecOps.

Jika Anda memiliki instance Google SecOps yang sudah ada dan menyediakan instance baru untuk Security Command Center Enterprise, kedua instance tersebut akan menggunakan konfigurasi yang sama untuk penyerapan data langsung Google Cloud . Setelan konfigurasi yang sama mengontrol penyerapan ke kedua instance Google SecOps dan menerima data yang sama.

Selama aktivasi Security Command Center Enterprise, proses aktivasi akan mengubah setelan penyerapan log Google Cloud untuk menetapkan semua kolom jenis data ke aktif: Google Cloud Logging, Metadata Aset Cloud, dan temuan Security Command Center Premium. Setelan filter ekspor tidak berubah. Security Command Center Enterprise memerlukan jenis data ini agar semua fitur berfungsi sebagaimana dirancang. Anda dapat mengubah setelan penyerapan log Google Cloud setelah aktivasi selesai.

Membuat organisasi

Security Command Center memerlukan resource organisasi yang terkait dengan domain. Jika Anda belum membuat organisasi, lihat Membuat dan mengelola organisasi.

Jika Anda memiliki beberapa organisasi, identifikasi organisasi tempat Anda akan mengaktifkan Security Command Center Enterprise. Anda harus mengikuti langkah-langkah aktivasi ini untuk setiap organisasi tempat Anda berencana mengaktifkan Security Command Center Enterprise.

Memverifikasi kebijakan organisasi

Jika kebijakan organisasi Anda ditetapkan untuk membatasi penggunaan resource, pastikan API berikut diizinkan:

  • chronicle.googleapis.com
  • securitycenter.googleapis.com
  • securitycentermanagement.googleapis.com

Membuat project pengelolaan

Security Command Center Enterprise memerlukan project, yang disebut project pengelolaan, untuk mengaktifkan integrasi Google SecOps dan Mandiant Attack Surface Management. Sebaiknya gunakan project ini secara eksklusif untuk Security Command Center Enterprise.

Jika Anda telah mengaktifkan Google SecOps sebelumnya, dan ingin terhubung ke instance yang ada, gunakan project pengelolaan yang ada yang terhubung ke Google SecOps.

Jika Anda berencana untuk menyediakan instance Google SecOps baru, buat project pengelolaan baru yang dikhususkan untuk instance baru tersebut. Jangan menggunakan ulang project pengelolaan yang terhubung ke instance Google SecOps lain.

Pelajari lebih lanjut tentang membuat dan mengelola project.

Mengonfigurasi izin dan API

Bagian ini mencantumkan peran Identity and Access Management yang perlu Anda tetapkan untuk menyiapkan Security Command Center Enterprise dan menjelaskan cara memberikan peran tersebut di organisasi dan project pengelolaan. Bagian ini juga menjelaskan cara mengaktifkan semua API yang diperlukan oleh tingkat Security Command Center Enterprise. Pelajari lebih lanjut peran Security Command Center dan Google Cloud API.

Mengonfigurasi izin di organisasi

Make sure that you have the following role or roles on the organization:

  • Organization Administrator (roles/resourcemanager.organizationAdmin)
  • Cloud Asset Owner (roles/cloudasset.owner)
  • Security Center Admin (roles/securitycenter.admin)
  • Security Admin (roles/iam.securityAdmin)
  • Chronicle Service Viewer (roles/chroniclesm.viewer)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Buka IAM
  2. Pilih organisasi.
  3. Klik Berikan akses.

  4. Di kolom Akun utama baru, masukkan ID pengguna Anda. Biasanya berupa alamat email untuk Akun Google.

  5. Di daftar Pilih peran, pilih peran.
  6. Untuk memberikan peran tambahan, klik Tambahkan peran lain, lalu tambahkan setiap peran tambahan.
  7. Klik Simpan.

    8. Mengonfigurasi izin dan mengaktifkan API di project pengelolaan

    1. Di konsol Google Cloud , pastikan Anda melihat organisasi yang ingin Anda aktifkan paket Security Command Center Enterprise-nya.
    2. Pilih project pengelolaan yang Anda buat sebelumnya.

    3. Make sure that you have the following role or roles on the project:

      • Service Usage Admin (roles/serviceusage.serviceUsageAdmin)
      • Service Account Token Creator (roles/iam.serviceAccountTokenCreator)
      • Chronicle API Admin (roles/chronicle.admin)
      • Chronicle Service Admin (roles/chroniclesm.admin)
      • Chronicle SOAR Admin (roles/chronicle.soarAdmin)
      • Service Account Key Admin (roles/iam.serviceAccountKeyAdmin)
      • Service Account Admin (roles/iam.serviceAccountAdmin)

      Check for the roles

      1. In the Google Cloud console, go to the IAM page.

        Go to IAM
      2. Select the project.

      3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

      4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

      Grant the roles

      1. In the Google Cloud console, go to the IAM page.

        Buka IAM
      2. Pilih project.
      3. Klik Berikan akses.

      4. Di kolom Akun utama baru, masukkan ID pengguna Anda. Biasanya berupa alamat email untuk Akun Google.

      5. Di daftar Pilih peran, pilih peran.
      6. Untuk memberikan peran tambahan, klik Tambahkan peran lain, lalu tambahkan setiap peran tambahan.
      7. Klik Simpan.

    4. Enable the Cloud Asset, Cloud Pub/Sub, Cloud Resource Manager, Compute Engine, Policy Analyzer, and Recommender APIs.

      Enable the APIs

      5. Mengonfigurasi kontak notifikasi

      Konfigurasi Kontak Penting Anda agar administrator keamanan Anda dapat menerima notifikasi penting. Untuk mengetahui petunjuknya, lihat Mengelola kontak untuk notifikasi.

      Mengaktifkan Paket Enterprise Security Command Center

      Proses aktivasi akan otomatis mengonfigurasi akun layanan, izin, dan layanan yang disertakan dengan Security Command Center Enterprise. Anda dapat terhubung ke instance Google SecOps Standard, Enterprise, atau Enterprise Plus yang ada atau menyediakan instance baru.

      1. Di Google Cloud konsol, buka halaman Ringkasan Risiko Security Command Center.

        Buka Security Command Center

      2. Pastikan Anda melihat organisasi tempat Anda ingin mengaktifkan paket Security Command Center Enterprise.

      3. Di halaman Security Command Center, klik Dapatkan Security Command Center.

      4. Di halaman Mulai menggunakan Security Command Center Enterprise, tinjau akun layanan dan API yang akan dikonfigurasi, lalu klik Aktifkan Enterprise.

        • Untuk melihat akun layanan yang akan dibuat, klik Lihat akun layanan dan izin.
        • Untuk melihat API yang akan diaktifkan, klik Lihat API Security Command Center Enterprise.
        • Untuk melihat persyaratan dan ketentuan, klik Persyaratan dan ketentuan Security Command Center Enterprise.

        Jika Anda tidak melihat halaman Mulai menggunakan Security Command Center Enterprise, hubungi Google Cloud tim penjualan untuk memverifikasi bahwa hak langganan Anda aktif.

        Halaman berikutnya menampilkan tampilan yang berbeda, bergantung pada lingkungan Anda.

      5. Pilih salah satu opsi berikut untuk membuat instance baru atau menggunakan instance yang ada.

        • Pilih Ya, hubungkan saya ke instance Google Security Operations yang ada, lalu pilih instance dari menu. Lanjutkan dengan langkah 7 untuk memulai aktivasi.

          Menu ini menampilkan instance Google SecOps yang terkait dengan organisasi tempat Anda mengaktifkan Security Command Center Enterprise. Setiap item mencakup ID pelanggan Google SecOps, region tempat item tersebut disediakan, dan nama project Google Cloud yang terkait dengannya. Anda tidak dapat memilih instance yang tidak kompatibel dengan Security Command Center Enterprise.

          Halaman ini menyediakan link ke instance Google SecOps yang dipilih sehingga Anda dapat memverifikasinya. Jika Anda mendapatkan error saat membuka instance, periksa apakah Anda memiliki izin IAM yang diperlukan untuk mengakses instance.

        • Pilih Tidak, buat instance Google Security Operations baru, lalu lanjutkan dengan langkah 6 untuk membuat instance Google SecOps baru.

      6. Untuk membuat instance Google SecOps baru, berikan detail penyiapan tambahan.

        1. Tentukan informasi kontak perusahaan Anda.

          • Kontak dukungan teknis: masukkan alamat email individual atau alamat email grup.
          • Nama perusahaan: masukkan nama perusahaan Anda.

        2. Pilih Jenis lokasi tempat Google Security Operations akan disediakan.

          • Region: pilih satu region.
          • Multi-region: pilih lokasi multi-regional.

          Lokasi ini hanya digunakan untuk Google SecOps, dan bukan untuk fitur Security Command Center lainnya. Untuk mengetahui daftar region dan multi-region yang didukung, lihat Halaman Lokasi Layanan SecOps.

        3. Klik Berikutnya, lalu pilih Project pengelolaan khusus. Anda membuat project pengelolaan khusus di langkah sebelumnya.

          Jika Anda memilih project yang ditautkan ke instance Google SecOps yang ada, Anda akan mendapatkan error saat memulai aktivasi.

        4. Lanjutkan dengan langkah 7 untuk memulai aktivasi.

      7. Klik Aktifkan. Tab Ringkasan risiko > Penyiapan Perusahaan akan muncul dan menampilkan status penyediaan. Tab ini berada dalam Pratinjau.

        Layanan tertentu diaktifkan secara otomatis, seperti Security Health Analytics, Event Threat Detection, Virtual Machine Threat Detection. Mungkin perlu waktu beberapa saat sebelum fitur operasi keamanan siap dan temuan tersedia.

      8. Lanjutkan dengan bagian berikut:

      Mengonfigurasi fitur tambahan menggunakan panduan penyiapan

      Panduan penyiapan di konsol Google Cloud terdiri dari enam langkah dan rekomendasi konfigurasi tambahan. Anda menyelesaikan dua langkah pertama saat Anda mengaktifkan Security Command Center. Anda dapat menyelesaikan langkah-langkah dan rekomendasi yang tersisa seiring waktu, sesuai kebutuhan organisasi Anda.

      1. Di Google Cloud konsol, buka halaman Ringkasan Risiko Security Command Center.

        Buka Ringkasan

      2. Pilih organisasi tempat Anda mengaktifkan Security Command Center Enterprise.

      3. Buka Setelan > Detail Tingkatan.

      4. Pilih organisasi tempat Anda mengaktifkan Security Command Center Enterprise.

      5. Klik Lihat panduan penyiapan.

      6. Jika Anda juga menggunakan Amazon Web Services (AWS) atau Microsoft Azure, dan ingin terhubung ke penyedia cloud ini untuk mengimpor data resource, klik Langkah 3: Siapkan konektor multicloud. Untuk mengetahui petunjuknya, lihat salah satu bagian berikut:

      7. Untuk menambahkan pengguna dan grup agar dapat melakukan operasi keamanan, klik Langkah 4: Siapkan pengguna dan grup. Untuk mengetahui petunjuknya, lihat Mengontrol akses ke fitur SecOps menggunakan IAM.

      8. Untuk mengonfigurasi orkestrasi, otomatisasi, dan respons keamanan (SOAR), klik Langkah 5: Konfigurasi integrasi. Bergantung pada penyiapan instance Google Security Operations Anda, kasus penggunaan Anda mungkin sudah diinstal. Jika aplikasi tidak diinstal, hubungi perwakilan akun atau Google Cloud bagian penjualan. Untuk berintegrasi dengan sistem tiket, lihat Mengintegrasikan Security Command Center Enterprise dengan sistem tiket.

      9. Untuk mengonfigurasi pengumpulan data log ke dalam sistem informasi keamanan dan manajemen peristiwa (SIEM), klik Langkah 6: Konfigurasi penyerapan log. Konfigurasi penyerapan data diperlukan untuk mengaktifkan kemampuan seperti deteksi yang dikurasi dan pengelolaan hak infrastruktur cloud. Untuk mendapatkan petunjuk, lihat Menghubungkan ke AWS untuk penyerapan log dan Menghubungkan ke Microsoft Azure untuk penyerapan log.

      10. Untuk memantau data sensitif di Google Cloud organisasi Anda, klik Siapkan perlindungan data sensitif. Untuk mengetahui petunjuknya, lihat Mengaktifkan penemuan data sensitif.

      11. Untuk meningkatkan keamanan kode Anda, klik Siapkan keamanan kode. Untuk petunjuknya, lihat Mengintegrasikan dengan Assured OSS untuk keamanan kode.

      12. Untuk memindai kerentanan di resource AWS yang terhubung, klik Siapkan penilaian kerentanan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menggunakan Vulnerability Assessment for AWS.

      13. Untuk memindai ancaman di mesin virtual AWS Anda, klik Siapkan deteksi ancaman mesin virtual untuk AWS. Untuk mengetahui petunjuknya, lihat Mengaktifkan Deteksi Ancaman VM untuk AWS.

      Memantau progres dan mengonfigurasi layanan menggunakan tab Penyiapan perusahaan

      Tab Penyiapan Enterprise menampilkan status penyediaan dan progres pemindaian awal resource Google Cloud Anda.

      Gunakan fitur di tab Penyiapan perusahaan untuk melakukan salah satu hal berikut:

      • Lihat status penyediaan di tab Ringkasan Risiko > Penyiapan Enterprise, termasuk status pengaktifan layanan Security Command Center.

        Buka Ringkasan

      • Lihat jumlah temuan yang ditemukan di bagian Ringkasan tinjau kemampuan keamanan, lalu klik Lihat detail untuk melihat akun layanan yang dibuat.

      • Klik Tambahkan konektor untuk mengonfigurasi penyerapan data dari penyedia cloud lain, seperti AWS.

      • Lihat jumlah layanan yang diaktifkan menurut kategori keamanan, lalu klik Siapkan di kartu untuk mengonfigurasi layanan yang mendukung kategori keamanan tersebut. Layanan Security Command Center tertentu diaktifkan secara default selama penyediaan.

      Langkah berikutnya