Ativar o nível Security Command Center Enterprise

Introdução ao nível Enterprise do Security Command Center

O nível Enterprise do Security Command Center oferece melhorias de segurança, incluindo o seguinte:

  • operações de segurança avançadas usando o Google Security Operations.
  • integrações com outros produtos do Google Cloud , como o Mandiant Attack Surface Management, a proteção de dados sensíveis e o Assured OSS.
  • suporte a várias nuvens.
  • análise de risco.

Para uma descrição dos recursos do nível Enterprise, consulte Níveis de serviço.

Conclua o processo de ativação do nível Enterprise usando o guia de configuração no console do Google Cloud . Depois das tarefas obrigatórias iniciais, você pode concluir outras tarefas para configurar os recursos opcionais de que sua organização precisa.

Para informações sobre preços e como assinar, consulte Preços do Security Command Center.

Para instruções sobre como ativar o Security Command Center em outro nível, consulte Ativar o nível Standard ou Premium do Security Command Center para uma organização.

Antes de começar

Antes de ativar o Security Command Center pela primeira vez, faça o seguinte:

  1. Planejar a ativação
  2. Criar uma organização
  3. Criar o projeto de gerenciamento
  4. Configurar permissões e APIs
  5. Configurar contatos de notificação

Planejar a ativação

Esta seção descreve as decisões e informações necessárias para se preparar para a ativação.

Determinar o contato de suporte

Ao ativar uma nova instância do Google SecOps, você informa o nome da empresa e um endereço de e-mail de um ponto de contato. Identifique um ponto de contato da sua organização. Essa configuração não está relacionada aos Contatos essenciais.

Escolher a configuração do Google SecOps

Durante a ativação, você conecta o Security Command Center Enterprise a uma instância do Google SecOps.

  • É possível se conectar a uma instância atual.

  • É possível provisionar e se conectar a uma nova instância. É possível provisionar e se conectar a uma nova instância mesmo que você já tenha uma.

Conectar a uma instância atual

Não é possível conectar o Security Command Center Enterprise a uma instância independente do SIEM do Google SecOps ou do SOAR do Google SecOps. Se você tiver dúvidas sobre o tipo de instância do Google SecOps, entre em contato com seu representante de vendas Google Cloud .

Ao selecionar uma instância do Google SecOps, a página Conectar a uma instância do SecOps fornece um link para que você verifique sua seleção. Você precisa ter acesso a essa instância para fazer a verificação. Você precisa ter pelo menos o papel de Leitor de acesso a dados restritos da API Chronicle (roles/chronicle.restrictedDataAccessViewer) no projeto de gerenciamento para fazer login na instância.

Se você provisionar o Security Command Center usando uma instância do Google SecOps configurada para usar a federação de identidade da força de trabalho, será necessário atualizar os pools de identidade da força de trabalho com permissões adicionais para acessar recursos nas páginas do console do Security Operations disponíveis com o Security Command Center Enterprise. Para mais informações, consulte Controlar o acesso aos recursos nas páginas do console do Security Operations.

Provisionar uma nova instância

Quando você provisiona uma nova instância, apenas ela é associada ao Security Command Center. Ao usar o Security Command Center, você navega entre as páginas do consoleGoogle Cloud e do console de operações de segurança recém-provisionado.

Durante a ativação, você especifica o local em que a nova instância do Google SecOps será provisionada. Para conferir uma lista de regiões e multirregiões compatíveis, consulte a página de locais dos serviços do SecOps. Essa localização se aplica apenas ao Google SecOps, e não a outros recursos ou serviços do Security Command Center.

Cada instância do Google SecOps precisa ter um projeto de gerenciamento dedicado que você possui e gerencia. Esse projeto precisa estar na mesma organização em que você ativa o Security Command Center Enterprise. Não é possível usar o mesmo projeto de gerenciamento para várias instâncias do Google SecOps.

Quando você tem uma instância do Google SecOps e provisiona uma nova instância para o Security Command Center Enterprise, ambas usam a mesma configuração para a ingestão direta de dados do Google Cloud . As mesmas configurações controlam a ingestão nas duas instâncias do Google SecOps, e elas recebem os mesmos dados.

Durante a ativação do Security Command Center Enterprise, o processo modifica as configurações de ingestão de registros do Google Cloud para definir todos os campos de tipo de dados como ativados: Google Cloud Logging, Metadados de recursos do Cloud e Descobertas do Security Command Center Premium. As configurações de filtro de exportação não são alteradas. O Security Command Center Enterprise exige esses tipos de dados para que todos os recursos funcionem conforme o esperado. É possível mudar as configurações de ingestão de registros do Google Cloud depois que a ativação for concluída.

Criar uma organização

O Security Command Center requer um recurso da organização associado a um domínio. Se você ainda não criou uma organização, consulte Como criar e gerenciar organizações.

Se você tiver várias organizações, identifique em quais delas vai ativar o Security Command Center Enterprise. Siga estas etapas de ativação para cada organização em que você planeja ativar o Security Command Center Enterprise.

Verificar as políticas da organização

Se as políticas da sua organização estiverem definidas para restringir o uso de recursos, verifique se as seguintes APIs são permitidas:

  • chronicle.googleapis.com
  • securitycenter.googleapis.com
  • securitycentermanagement.googleapis.com

Criar um projeto de gerenciamento

O Security Command Center Enterprise exige um projeto, chamado de projeto de gerenciamento, para ativar a integração do Google SecOps e do Mandiant Attack Surface Management. Recomendamos que você use esse projeto exclusivamente para o Security Command Center Enterprise.

Se você ativou o Google SecOps antes e quer se conectar à instância atual, use o projeto de gerenciamento conectado ao Google SecOps.

Se você planeja provisionar uma nova instância do Google SecOps, crie um projeto de gerenciamento dedicado a ela. Não reutilize um projeto de gerenciamento conectado a outra instância do Google SecOps.

Saiba mais sobre como criar e gerenciar projetos.

Configurar permissões e APIs

Nesta seção, listamos os papéis do Identity and Access Management necessários para configurar o Security Command Center Enterprise e descrevemos como concedê-los na organização e no projeto de gerenciamento. Também descreve como ativar todas as APIs necessárias para o nível Security Command Center Enterprise. Saiba mais sobre os papéis do Security Command Center e as APIsGoogle Cloud .

Configurar permissões na organização

Make sure that you have the following role or roles on the organization:

  • Organization Administrator (roles/resourcemanager.organizationAdmin)
  • Cloud Asset Owner (roles/cloudasset.owner)
  • Security Center Admin (roles/securitycenter.admin)
  • Security Admin (roles/iam.securityAdmin)
  • Chronicle Service Viewer (roles/chroniclesm.viewer)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Acessar o IAM
  2. Selecionar uma organização.
  3. Clique em CONCEDER ACESSO.

  4. No campo Novos principais, insira seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.

  5. Na lista Selecionar um papel, escolha um.
  6. Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
  7. Clique em Salvar.

    8. Configurar permissões e ativar APIs no projeto de gerenciamento

    1. No console do Google Cloud , verifique se você está visualizando a organização em que quer ativar o nível Security Command Center Enterprise.
    2. Selecione o projeto de gerenciamento que você criou anteriormente.

    3. Make sure that you have the following role or roles on the project:

      • Service Usage Admin (roles/serviceusage.serviceUsageAdmin)
      • Service Account Token Creator (roles/iam.serviceAccountTokenCreator)
      • Chronicle API Admin (roles/chronicle.admin)
      • Chronicle Service Admin (roles/chroniclesm.admin)
      • Chronicle SOAR Admin (roles/chronicle.soarAdmin)
      • Service Account Key Admin (roles/iam.serviceAccountKeyAdmin)
      • Service Account Admin (roles/iam.serviceAccountAdmin)

      Check for the roles

      1. In the Google Cloud console, go to the IAM page.

        Go to IAM
      2. Select the project.

      3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

      4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

      Grant the roles

      1. In the Google Cloud console, go to the IAM page.

        Acessar o IAM
      2. Selecionar um projeto.
      3. Clique em CONCEDER ACESSO.

      4. No campo Novos principais, insira seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.

      5. Na lista Selecionar um papel, escolha um.
      6. Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
      7. Clique em Salvar.

    4. Enable the Cloud Asset, Cloud Pub/Sub, Cloud Resource Manager, Compute Engine, Policy Analyzer, and Recommender APIs.

      Enable the APIs

      5. Configurar contatos de notificação

      Configure os contatos essenciais para que os administradores de segurança recebam notificações importantes. Para instruções, consulte Como gerenciar contatos para notificações.

      Ativar o nível Security Command Center Enterprise

      O processo de ativação configura automaticamente as contas de serviço, as permissões e os serviços incluídos no Security Command Center Enterprise. Você pode se conectar a uma instância do Google SecOps Standard, Enterprise ou Enterprise Plus ou provisionar uma nova.

      1. No console Google Cloud , acesse a página Visão geral de risco do Security Command Center.

        Acesse Security Command Center

      2. Verifique se você está visualizando a organização em que quer ativar o nível do Security Command Center Enterprise.

      3. Na página Security Command Center, clique em Receber o Security Command Center.

      4. Na página Começar a usar o Security Command Center Enterprise, revise as contas de serviço e as APIs que serão configuradas e clique em Ativar o Enterprise.

        • Para conferir as contas de serviço que serão criadas, clique em Ver contas de serviço e permissões.
        • Para conferir as APIs que serão ativadas, clique em Acessar APIs do Security Command Center Enterprise.
        • Para conferir os termos e condições, clique em Termos e Condições do Security Command Center Enterprise.

        Se a página Começar a usar o Security Command Center Enterprise não aparecer, entre em contato com Google Cloud vendas para verificar se o direito de assinatura está ativo.

        A próxima página mostra uma visualização diferente dependendo do seu ambiente.

      5. Escolha uma das opções a seguir para criar ou usar uma instância.

        • Selecione Sim, conecte-se a uma instância do Google Security Operations e escolha uma instância no menu. Continue com a etapa 7 para iniciar a ativação.

          O menu mostra as instâncias do Google SecOps associadas à organização em que você está ativando o Security Command Center Enterprise. Cada item inclui o ID do cliente do Google SecOps, a região em que ele é provisionado e o nome do projeto Google Cloud a que está associado. Não é possível selecionar uma instância incompatível com o Security Command Center Enterprise.

          A página fornece um link para a instância do Google SecOps selecionada para que você possa verificar. Se você receber um erro ao abrir a instância, verifique se tem as permissões do IAM necessárias para acessar a instância.

        • Selecione Não, criar uma nova instância do Google Security Operations e continue com a etapa 6 para criar uma nova instância do Google SecOps.

      6. Para criar uma instância do Google SecOps, forneça mais detalhes de configuração.

        1. Especifique os dados de contato da sua empresa.

          • Contato de suporte técnico: insira um endereço de e-mail individual ou de grupo.
          • Nome da empresa: insira o nome da sua empresa.

        2. Selecione o Tipo de local em que o Google Security Operations será provisionado.

          • Região: selecione uma região.
          • Multirregional: selecione um local multirregional.

          Esse local é usado apenas pelo Google SecOps, e não por outros recursos do Security Command Center. Para uma lista de regiões e multirregiões compatíveis, consulte a página de locais dos serviços de SecOps.

        3. Clique em Próxima e selecione o Projeto de gerenciamento dedicado. Você criou o projeto de gerenciamento dedicado em uma etapa anterior.

          Se você selecionar um projeto vinculado a uma instância do Google SecOps, vai receber um erro ao iniciar a ativação.

        4. Continue com a etapa 7 para iniciar a ativação.

      7. Clique em Ativar. A guia Visão geral de riscos > Configuração do Enterprise aparece e mostra o status do provisionamento. Essa guia está em Pré-lançamento.

        Alguns serviços são ativados automaticamente, como o Security Health Analytics, a detecção de ameaças a eventos e a detecção de ameaças a máquinas virtuais. Pode levar algum tempo até que os recursos de operações de segurança fiquem prontos e as descobertas sejam disponibilizadas.

      8. Continue com as seções a seguir:

      Configurar outros recursos usando o guia de configuração

      O guia de configuração no console Google Cloud consiste em seis etapas e outras recomendações de configuração. Você conclui as duas primeiras etapas ao ativar o Security Command Center. Você pode concluir as etapas e recomendações restantes ao longo do tempo, conforme exigido pela sua organização.

      1. No console Google Cloud , acesse a página Visão geral de risco do Security Command Center.

        Ir para Visão geral

      2. Selecione a organização em que você ativou o Security Command Center Enterprise.

      3. Acesse Configurações > Detalhes do nível.

      4. Selecione a organização em que você ativou o Security Command Center Enterprise.

      5. Clique em Ver guia de configuração.

      6. Se você também usa a Amazon Web Services (AWS) ou o Microsoft Azure e quer se conectar a esses provedores de nuvem para importar dados de recursos, clique em Etapa 3: configurar conectores multicloud. Para instruções, consulte uma das opções a seguir:

      7. Para adicionar usuários e grupos que vão realizar operações de segurança, clique em Etapa 4: configurar usuários e grupos. Para instruções, consulte Controlar o acesso aos recursos da SecOps usando o IAM.

      8. Para configurar a orquestração, automação e resposta de segurança (SOAR), clique em Etapa 5: configurar integrações. Dependendo da configuração da sua instância do Google Security Operations, seu caso de uso pode já estar instalado. Se ele não estiver instalado, entre em contato com seu representante de conta ou com a equipe de vendas.Google Cloud Para integrar com sistemas de tíquetes, consulte Integrar o Security Command Center Enterprise a sistemas de tíquetes.

      9. Para configurar a coleta de dados de registro no gerenciamento de eventos e informações de segurança (SIEM), clique em Etapa 6: configurar a ingestão de registros. A configuração da ingestão de dados é necessária para ativar recursos como detecções selecionadas e gerenciamento de direitos de infraestrutura de nuvem. Para instruções, consulte Conectar à AWS para ingestão de registros e Conectar ao Microsoft Azure para ingestão de registros.

      10. Para monitorar dados sensíveis na sua organização do Google Cloud , clique em Configurar a proteção de dados sensíveis. Para instruções, consulte Ativar a descoberta de dados sensíveis.

      11. Para aumentar a segurança do código, clique em Configurar segurança do código. Para instruções, consulte Integrar com o Assured OSS para segurança de código.

      12. Para verificar vulnerabilidades nos recursos conectados da AWS, clique em Configurar avaliação de vulnerabilidades. Para instruções, consulte Ativar e usar a avaliação de vulnerabilidades para a AWS.

      13. Para verificar ameaças nas suas máquinas virtuais da AWS, clique em Configurar a detecção de ameaças a máquinas virtuais para a AWS. Para instruções, consulte Ativar a detecção de ameaças da VM para a AWS.

      Monitore o progresso e configure os serviços usando a guia "Configuração do Enterprise"

      A guia Configuração empresarial mostra o status de provisionamento e o progresso das verificações iniciais dos seus recursos do Google Cloud .

      Use os recursos na guia Configuração do Enterprise para fazer o seguinte:

      • Confira o status do provisionamento na guia Visão geral de riscos > Configuração do Enterprise, incluindo o status de ativação dos serviços do Security Command Center.

        Ir para Visão geral

      • Confira o número de descobertas na seção Resumo de recursos de segurança e clique em Ver detalhes para conferir as contas de serviço criadas.

      • Clique em Adicionar conector para configurar a ingestão de dados de outros provedores de nuvem, como a AWS.

      • Confira o número de serviços ativados por categoria de segurança e clique em Configurar no card para configurar os serviços que oferecem suporte a essa categoria. Alguns serviços do Security Command Center são ativados por padrão durante o provisionamento.

      A seguir