Attiva il livello Security Command Center Enterprise

Introduzione al livello Security Command Center Enterprise

Il livello Security Command Center Enterprise fornisce miglioramenti della sicurezza, tra cui quanto segue:

  • operazioni di sicurezza avanzate utilizzando Google Security Operations.
  • integrazioni con altri prodotti Google Cloud , come Mandiant Attack Surface Management, Sensitive Data Protection e Assured OSS.
  • supporto multi-cloud.
  • analisi del rischio.

Per una descrizione delle funzionalità del livello Enterprise, vedi Livelli di servizio.

Completa la procedura di attivazione del livello Enterprise utilizzando la guida alla configurazione nella console Google Cloud . Dopo le attività obbligatorie iniziali, puoi completare attività aggiuntive per configurare le funzionalità facoltative richieste dalla tua organizzazione.

Per informazioni sui prezzi e su come ottenere un abbonamento, vedi Prezzi di Security Command Center.

Per istruzioni sull'attivazione di Security Command Center a un altro livello, vedi Attivare il livello Standard o Premium di Security Command Center per un'organizzazione.

Prima di iniziare

Prima di attivare Security Command Center per la prima volta, completa le seguenti operazioni:

  1. Pianificare l'attivazione
  2. Crea un'organizzazione
  3. Crea il progetto di gestione
  4. Configurare le autorizzazioni e le API
  5. Configurare i contatti di notifica

Pianificare l'attivazione

Questa sezione descrive le decisioni e le informazioni che devi preparare per l'attivazione.

Determinare il contatto di assistenza

Quando attivi una nuova istanza di Google SecOps, fornisci il nome della tua azienda e l'indirizzo email di un punto di contatto. Identifica un punto di contatto della tua organizzazione. Questa configurazione non è correlata ai contatti fondamentali.

Scegli la configurazione di Google SecOps

Durante l'attivazione, colleghi Security Command Center Enterprise a un'istanza Google SecOps.

  • Puoi connetterti a un'istanza esistente.

  • Puoi eseguire il provisioning e connetterti a una nuova istanza. Puoi eseguire il provisioning e connetterti a una nuova istanza anche se ne hai una esistente.

Connettersi a un'istanza esistente

Non puoi connettere Security Command Center Enterprise a un'istanza Google SecOps SIEM standalone o Google SecOps SOAR standalone esistente. Se hai domande sul tipo di istanza Google SecOps che hai, contatta il tuo Google Cloud rappresentante di vendita.

Quando selezioni un'istanza Google SecOps esistente, la pagina Connettiti a un'istanza SecOps fornisce un link all'istanza in modo che tu possa verificare la tua selezione. Per verificarla, devi avere accesso a questa istanza. Per accedere all'istanza, devi disporre almeno del ruolo Chronicle API Restricted Data Access Viewer (roles/chronicle.restrictedDataAccessViewer) nel progetto di gestione.

Se esegui il provisioning di Security Command Center utilizzando un'istanza Google SecOps esistente configurata per utilizzare Federazione delle identità della forza lavoro, devi aggiornare i pool di identità della forza lavoro con autorizzazioni aggiuntive per accedere alle funzionalità nelle pagine della console Security Operations disponibili con Security Command Center Enterprise. Per saperne di più, vedi le pagine Controllare l'accesso alle funzionalità nelle pagine della console Security Operations.

Esegui il provisioning di una nuova istanza

Quando esegui il provisioning di una nuova istanza, solo quest'ultima viene associata a Security Command Center. Quando utilizzi Security Command Center, navighi tra le pagine della consoleGoogle Cloud e della console Security Operations appena sottoposta a provisioning.

Durante l'attivazione, specifica la posizione in cui deve essere eseguito il provisioning della nuova istanza di Google SecOps. Per un elenco delle regioni e delle multiregioni supportate, consulta la pagina delle posizioni dei servizi SecOps. Questa posizione si applica solo a Google SecOps e non ad altre funzionalità o servizi di Security Command Center.

Ogni istanza di Google SecOps deve avere un progetto di gestione dedicato di tua proprietà e gestione. Questo progetto deve appartenere alla stessa organizzazione in cui attivi Security Command Center Enterprise. Non puoi utilizzare lo stesso progetto di gestione per più istanze di Google SecOps.

Quando hai un'istanza Google SecOps esistente e ne esegui il provisioning di una nuova per Security Command Center Enterprise, entrambe le istanze utilizzano la stessa configurazione per l'importazione diretta dei dati Google Cloud . Le stesse impostazioni di configurazione controllano l'importazione in entrambe le istanze di Google SecOps e ricevono gli stessi dati.

Durante l'attivazione di Security Command Center Enterprise, la procedura di attivazione modifica le impostazioni di importazione dei log di Google Cloud per impostare tutti i campi del tipo di dati su abilitato: Google Cloud Logging, metadati delle risorse Cloud e risultati di Security Command Center Premium. Le impostazioni del filtro di esportazione non vengono modificate. Security Command Center Enterprise richiede questi tipi di dati per il funzionamento di tutte le funzionalità come previsto. Puoi modificare le impostazioni di importazione dei log di Google Cloud dopo aver completato l'attivazione.

Crea un'organizzazione

Security Command Center richiede una risorsa dell'organizzazione associata a un dominio. Se non hai creato un'organizzazione, consulta la pagina Creare e gestire le organizzazioni.

Se hai più organizzazioni, identifica quelle in cui attiverai Security Command Center Enterprise. Devi seguire questi passaggi di attivazione per ogni organizzazione in cui prevedi di attivare Security Command Center Enterprise.

Verifica le policy dell'organizzazione

Se i criteri della tua organizzazione sono impostati per limitare l'utilizzo delle risorse, verifica che le seguenti API siano consentite:

  • chronicle.googleapis.com
  • securitycenter.googleapis.com
  • securitycentermanagement.googleapis.com

Creare un progetto di gestione

Security Command Center Enterprise richiede un progetto, chiamato progetto di gestione, per abilitare l'integrazione di Google SecOps e Mandiant Attack Surface Management. Ti consigliamo di utilizzare questo progetto esclusivamente per Security Command Center Enterprise.

Se hai attivato Google SecOps in precedenza e vuoi connetterti all'istanza esistente, utilizza il progetto di gestione esistente collegato a Google SecOps.

Se prevedi di eseguire il provisioning di una nuova istanza di Google SecOps, crea un nuovo progetto di gestione dedicato alla nuova istanza. Non riutilizzare un progetto di gestione collegato a un'altra istanza di Google SecOps.

Scopri di più su come creare e gestire i progetti.

Configurare le autorizzazioni e le API

Questa sezione elenca i ruoli Identity and Access Management necessari per configurare Security Command Center Enterprise e descrive come concederli nell'organizzazione e nel progetto di gestione. Descrive inoltre come abilitare tutte le API richieste dal livello Security Command Center Enterprise. Scopri di più sui ruoli di Security Command Center e sulle APIGoogle Cloud .

Configurare le autorizzazioni per l'organizzazione

Make sure that you have the following role or roles on the organization:

  • Organization Administrator (roles/resourcemanager.organizationAdmin)
  • Cloud Asset Owner (roles/cloudasset.owner)
  • Security Center Admin (roles/securitycenter.admin)
  • Security Admin (roles/iam.securityAdmin)
  • Chronicle Service Viewer (roles/chroniclesm.viewer)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Vai a IAM
  2. Seleziona l'organizzazione.
  3. Fai clic su Concedi l'accesso.

  4. Nel campo Nuove entità, inserisci il tuo identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.

  5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
  6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
  7. Fai clic su Salva.

    8. Configura le autorizzazioni e abilita le API nel progetto di gestione

    1. Nella console Google Cloud , verifica di visualizzare l'organizzazione su cui vuoi attivare il livello Security Command Center Enterprise.
    2. Seleziona il progetto di gestione che hai creato in precedenza.

    3. Make sure that you have the following role or roles on the project:

      • Service Usage Admin (roles/serviceusage.serviceUsageAdmin)
      • Service Account Token Creator (roles/iam.serviceAccountTokenCreator)
      • Chronicle API Admin (roles/chronicle.admin)
      • Chronicle Service Admin (roles/chroniclesm.admin)
      • Chronicle SOAR Admin (roles/chronicle.soarAdmin)
      • Service Account Key Admin (roles/iam.serviceAccountKeyAdmin)
      • Service Account Admin (roles/iam.serviceAccountAdmin)

      Check for the roles

      1. In the Google Cloud console, go to the IAM page.

        Go to IAM
      2. Select the project.

      3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

      4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

      Grant the roles

      1. In the Google Cloud console, go to the IAM page.

        Vai a IAM
      2. Seleziona il progetto.
      3. Fai clic su Concedi l'accesso.

      4. Nel campo Nuove entità, inserisci il tuo identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.

      5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
      6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
      7. Fai clic su Salva.

    4. Enable the Cloud Asset, Cloud Pub/Sub, Cloud Resource Manager, Compute Engine, Policy Analyzer, and Recommender APIs.

      Enable the APIs

      5. Configurare i contatti di notifica

      Configura i contatti fondamentali in modo che gli amministratori della sicurezza possano ricevere notifiche importanti. Per istruzioni, vedi Gestione dei contatti per le notifiche.

      Attiva il livello Security Command Center Enterprise

      Il processo di attivazione configura automaticamente i service account, le autorizzazioni e i servizi inclusi in Security Command Center Enterprise. Puoi connetterti a un'istanza Google SecOps Standard, Enterprise o Enterprise Plus esistente o eseguirne il provisioning di una nuova.

      1. Nella console Google Cloud , vai alla pagina Panoramica dei rischi di Security Command Center.

        Vai a Security Command Center

      2. Verifica di visualizzare l'organizzazione su cui vuoi attivare il livello Security Command Center Enterprise.

      3. Nella pagina Security Command Center, fai clic su Ottieni Security Command Center.

      4. Nella pagina Inizia a utilizzare Security Command Center Enterprise, esamina i service account e le API che verranno configurati, quindi fai clic su Attiva Enterprise.

        • Per visualizzare gli account di servizio che verranno creati, fai clic su Visualizza account di servizio e autorizzazioni.
        • Per visualizzare le API che verranno abilitate, fai clic su Visualizza API Security Command Center Enterprise.
        • Per visualizzare i termini e le condizioni, fai clic su Termini e condizioni di Security Command Center Enterprise.

        Se non vedi la pagina Inizia a utilizzare Security Command Center Enterprise, contatta il team Google Cloud vendite per verificare che il tuo diritto di abbonamento sia attivo.

        La pagina successiva mostra una visualizzazione diversa a seconda dell'ambiente.

      5. Scegli una delle seguenti opzioni per creare una nuova istanza o utilizzarne una esistente.

        • Seleziona Sì, collega a un'istanza Google Security Operations esistente, quindi scegli un'istanza dal menu. Continua con il passaggio 7 per avviare l'attivazione.

          Il menu mostra le istanze Google SecOps associate all'organizzazione in cui stai attivando Security Command Center Enterprise. Ogni elemento include l'ID cliente Google SecOps, la regione in cui viene eseguito il provisioning e il nome del progetto Google Cloud a cui è associato. Non puoi selezionare un'istanza incompatibile con Security Command Center Enterprise.

          La pagina fornisce un link all'istanza di Google SecOps selezionata per consentirti di verificarla. Se viene visualizzato un errore quando apri l'istanza, verifica di disporre delle autorizzazioni IAM necessarie per accedere all'istanza.

        • Seleziona No, crea una nuova istanza Google Security Operations e poi continua con il passaggio 6 per creare una nuova istanza Google SecOps.

      6. Per creare una nuova istanza Google SecOps, fornisci ulteriori dettagli di configurazione.

        1. Specifica i dati di contatto della tua azienda.

          • Contatto per l'assistenza tecnica: inserisci un indirizzo email individuale o di gruppo.
          • Nome dell'azienda: inserisci il nome della tua azienda.

        2. Seleziona il Tipo di località in cui verrà eseguito il provisioning di Google Security Operations.

          • Regione: seleziona una singola regione.
          • Più regioni: seleziona una località multiregionale.

          Questa posizione viene utilizzata solo per Google SecOps e non per altre funzionalità di Security Command Center. Per un elenco delle regioni e delle area multiregionali supportate, consulta la pagina delle posizioni dei servizi SecOps.

        3. Fai clic su Avanti e seleziona il progetto di gestione dedicato. Hai creato il progetto di gestione dedicato in un passaggio precedente.

          Se selezioni un progetto collegato a un'istanza Google SecOps esistente, riceverai un errore quando avvii l'attivazione.

        4. Continua con il passaggio 7 per avviare l'attivazione.

      7. Fai clic su Attiva. Viene visualizzata la scheda Panoramica dei rischi > Configurazione di Enterprise che mostra lo stato del provisioning. Questa scheda è in anteprima.

        Alcuni servizi vengono attivati automaticamente, ad esempio Security Health Analytics, Event Threat Detection e Virtual Machine Threat Detection. Potrebbe essere necessario un po' di tempo prima che le funzionalità delle operazioni di sicurezza siano pronte e che i risultati diventino disponibili.

      8. Continua con le sezioni seguenti:

      Configurare funzionalità aggiuntive utilizzando la guida alla configurazione

      La guida alla configurazione nella console Google Cloud è composta da sei passaggi e da ulteriori consigli per la configurazione. Completi i primi due passaggi quando attivi Security Command Center. Puoi completare i passaggi e i consigli rimanenti nel tempo, in base alle esigenze della tua organizzazione.

      1. Nella console Google Cloud , vai alla pagina Panoramica dei rischi di Security Command Center.

        Vai alla panoramica

      2. Seleziona l'organizzazione in cui hai attivato Security Command Center Enterprise.

      3. Vai a Impostazioni > Dettagli livello.

      4. Seleziona l'organizzazione su cui hai attivato Security Command Center Enterprise.

      5. Fai clic su Visualizza guida alla configurazione.

      6. Se utilizzi anche Amazon Web Services (AWS) o Microsoft Azure e vuoi connetterti a questi provider di servizi cloud per importare i dati delle risorse, fai clic su Passaggio 3: Configura i connettori multicloud. Per le istruzioni, consulta uno dei seguenti articoli:

      7. Per aggiungere utenti e gruppi per eseguire operazioni di sicurezza, fai clic su Passaggio 4: configura utenti e gruppi. Per istruzioni, vedi Controllare l'accesso alle funzionalità di SecOps utilizzando IAM.

      8. Per configurare Security Orchestration, Automation and Response (SOAR), fai clic su Passaggio 5: configura le integrazioni. A seconda della configurazione dell'istanza Google Security Operations, il caso d'uso potrebbe essere già installato. Se non è installato, contatta il tuo rappresentante dell'account o il team di Google Cloud vendite. Per l'integrazione con i sistemi di gestione dei ticket, vedi Integrare Security Command Center Enterprise con i sistemi di gestione dei ticket.

      9. Per configurare la raccolta dei dati di log in Security Information and Event Management (SIEM), fai clic su Passaggio 6: configura l'importazione dei log. La configurazione dell&#39importazione datii è necessaria per abilitare funzionalità come i rilevamenti curati e la gestione dei diritti dell'infrastruttura cloud. Per istruzioni, vedi Connettersi ad AWS per l'importazione dei log e Connettersi a Microsoft Azure per l'importazione dei log.

      10. Per monitorare la presenza di dati sensibili nella tua organizzazione Google Cloud , fai clic su Configura Sensitive Data Protection. Per le istruzioni, vedi Attivare il rilevamento dei dati sensibili.

      11. Per migliorare la sicurezza del codice, fai clic su Configura la sicurezza del codice. Per istruzioni, vedi Eseguire l'integrazione con Assured OSS per la sicurezza del codice.

      12. Per eseguire la scansione delle vulnerabilità nelle risorse AWS connesse, fai clic su Configura la valutazione delle vulnerabilità. Per istruzioni, vedi Attivare e utilizzare Vulnerability Assessment for AWS.

      13. Per eseguire la scansione delle minacce nelle tue macchine virtuali AWS, fai clic su Configura Virtual Machine Threat Detection per AWS. Per istruzioni, vedi Attivare VM Threat Detection per AWS.

      Monitorare l'avanzamento e configurare i servizi utilizzando la scheda Configurazione aziendale

      La scheda Configurazione Enterprise mostra sia lo stato del provisioning sia l'avanzamento delle scansioni iniziali delle tue risorse Google Cloud .

      Utilizza le funzionalità della scheda Configurazione aziendale per eseguire una delle seguenti operazioni:

      • Visualizza lo stato del provisioning nella scheda Panoramica dei rischi > Configurazione Enterprise, incluso lo stato di attivazione dei servizi Security Command Center.

        Vai alla panoramica

      • Visualizza il numero di risultati trovati nella sezione Riepilogo delle funzionalità di sicurezza, quindi fai clic su Mostra dettagli per visualizzare i service account creati.

      • Fai clic su Aggiungi connettore per configurare l'importazione dati da altri provider cloud, come AWS.

      • Visualizza il numero di servizi abilitati per categoria di sicurezza, quindi fai clic su Configura nella scheda per configurare i servizi che supportano quella categoria di sicurezza. Alcuni servizi Security Command Center sono abilitati per impostazione predefinita durante il provisioning.

      Passaggi successivi