Ativar o nível Security Command Center Enterprise

O nível Enterprise do Security Command Center oferece melhorias de segurança, incluindo o seguinte:

  • Operações de segurança avançadas usando o Google Security Operations
  • Integrações com outros produtos do Google Cloud , como o Mandiant Attack Surface Management, a proteção de dados sensíveis e o Assured OSS
  • Suporte a várias nuvens
  • Análise de risco
  • Suporte à conformidade (pré-lançamento).

Para uma descrição dos recursos do nível Enterprise, consulte Níveis de serviço.

É possível concluir o processo de ativação do nível Enterprise usando o guia de configuração no console Google Cloud . Depois das tarefas obrigatórias iniciais, conclua etapas adicionais para configurar recursos opcionais que sua organização precisa.

Para informações sobre preços e como assinar, consulte Preços do Security Command Center.

Para instruções sobre como ativar o Security Command Center em outro nível, consulte Ativar o nível Standard ou Premium do Security Command Center para uma organização.

Antes de começar

Antes de ativar o Security Command Center pela primeira vez, faça o seguinte:

  1. Planejar a ativação
  2. Criar uma organização
  3. Criar o projeto de gerenciamento
  4. Configurar permissões e APIs
  5. Configurar contatos de notificação

Planejar a ativação

Esta seção descreve as decisões e informações necessárias para se preparar para a ativação.

Decidir se é necessário ativar o suporte à residência de dados

Ao ativar o Security Command Center, você pode ativar o suporte à residência de dados, que oferece mais controle sobre onde os dados do Security Command Center estão localizados. Para o Google SecOps, a residência de dados está sempre ativada.

Para o nível de serviço Enterprise, antes de ativar o Security Command Center com controles de residência de dados, entre em contato com seu representante da conta Google Cloud e agende uma data e hora para ativar o Security Command Center. Após a ativação, seu representante da conta vai ajudar a garantir que a instância do Google SecOps esteja configurada para oferecer suporte total aos controles de residência de dados.

Depois que o suporte à residência de dados é ativado na sua organização, não é possível desativá-lo.

Se você usa o nível de serviço Standard ou Premium, o upgrade para o nível Enterprise não muda o local dos dados do Security Command Center. Se você não ativou a residência de dados do Security Command Center para o nível Standard ou Premium, não será possível ativá-la ao fazer upgrade para o nível Enterprise.

Determinar o contato de suporte

Ao ativar uma nova instância do Google SecOps, você informa o nome da empresa e um endereço de e-mail de um ponto de contato. Identifique um ponto de contato da sua organização. Essa configuração não está relacionada aos Contatos essenciais.

Escolher a configuração do Google SecOps

Durante a ativação, você conecta o Security Command Center Enterprise a uma instância do Google SecOps.

  • É possível se conectar a uma instância atual.

  • É possível provisionar e se conectar a uma nova instância. É possível provisionar e se conectar a uma nova instância mesmo que você já tenha uma.

Conectar a uma instância atual

Não é possível conectar o Security Command Center Enterprise a uma instância independente do SIEM do Google SecOps ou do SOAR do Google SecOps. Se você tiver dúvidas sobre o tipo de instância do Google SecOps, entre em contato com seu representante de vendas Google Cloud .

Ao selecionar uma instância do Google SecOps, a página Conectar a uma instância do SecOps fornece um link para que você verifique sua seleção. Você precisa ter acesso a essa instância para fazer a verificação. Você precisa ter pelo menos o papel de Leitor de acesso a dados restritos da API Chronicle (roles/chronicle.restrictedDataAccessViewer) no projeto de gerenciamento para fazer login na instância.

Se você provisionar o Security Command Center usando uma instância do Google SecOps configurada para usar a federação de identidade da força de trabalho, será necessário atualizar os pools de identidade da força de trabalho com permissões adicionais para acessar recursos nas páginas do console do Security Operations disponíveis com o Security Command Center Enterprise. Para mais informações, consulte Controlar o acesso aos recursos nas páginas do console do Security Operations.

Provisionar uma nova instância

Quando você provisiona uma nova instância, apenas ela é associada ao Security Command Center. Ao usar o Security Command Center, você navega entre as páginas do consoleGoogle Cloud e do console de operações de segurança recém-provisionado.

Durante a ativação, você especifica o local em que a nova instância do Google SecOps será provisionada. Para conferir uma lista de regiões e multirregiões compatíveis, consulte a página de locais dos serviços do SecOps. Essa localização se aplica apenas ao Google SecOps, e não a outros recursos ou serviços do Security Command Center.

Cada instância do Google SecOps precisa ter um projeto de gerenciamento dedicado que você possui e gerencia. Esse projeto precisa estar na mesma organização em que você ativa o Security Command Center Enterprise. Não é possível usar o mesmo projeto de gerenciamento para várias instâncias do Google SecOps.

Quando você tem uma instância do Google SecOps e provisiona uma nova instância para o Security Command Center Enterprise, ambas usam a mesma configuração para a ingestão direta de dados do Google Cloud . As mesmas configurações controlam a ingestão nas duas instâncias do Google SecOps, e elas recebem os mesmos dados.

Durante a ativação do Security Command Center Enterprise, o processo modifica as configurações de ingestão de registros do Google Cloud para definir todos os campos de tipo de dados como ativados: Google Cloud Logging, Metadados de recursos do Cloud e Descobertas do Security Command Center Premium. As configurações de filtro de exportação não são alteradas. O Security Command Center Enterprise exige esses tipos de dados para que todos os recursos funcionem conforme o esperado. É possível mudar as configurações de ingestão de registros do Google Cloud depois que a ativação for concluída.

Criar uma organização

O Security Command Center requer um recurso da organização associado a um domínio. Se você ainda não criou uma organização, consulte Como criar e gerenciar organizações.

Se você tiver várias organizações, identifique em quais delas vai ativar o Security Command Center Enterprise. Siga estas etapas de ativação para cada organização em que você planeja ativar o Security Command Center Enterprise.

Verificar as políticas da organização

Se as políticas da sua organização estiverem definidas para restringir o uso de recursos, verifique se as seguintes APIs são permitidas:

  • chronicle.googleapis.com
  • cloudsecuritycompliance.googleapis.com
  • securitycenter.googleapis.com
  • securitycentermanagement.googleapis.com

Criar um projeto de gerenciamento

O Security Command Center Enterprise exige um projeto, chamado de projeto de gerenciamento, para ativar a integração do Google SecOps e do Mandiant Attack Surface Management. Recomendamos que você use esse projeto exclusivamente para o Security Command Center Enterprise.

Se você ativou o Google SecOps antes e quer se conectar à instância atual, use o projeto de gerenciamento conectado ao Google SecOps.

Se você planeja provisionar uma nova instância do Google SecOps, crie um projeto de gerenciamento dedicado a ela. Não reutilize um projeto de gerenciamento conectado a outra instância do Google SecOps.

O Google SecOps não é compatível com o uso de um projeto de gerenciamento que exista em um perímetro de serviço do VPC Service Controls.

Saiba mais sobre como criar e gerenciar projetos.

Configurar permissões e APIs

Use as informações desta seção para configurar as permissões necessárias para ativar o Security Command Center Enterprise:

Saiba mais sobre os papéis do Security Command Center e as APIsGoogle Cloud .

Configurar permissões na organização

Make sure that you have the following role or roles on the organization:

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Acessar o IAM
  2. Selecione a organização.
  3. Clique em Conceder acesso.

  4. No campo Novos principais, insira seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.

  5. Na lista Selecionar um papel, escolha um.
  6. Para conceder outros papéis, adicione-os clicando em Adicionar outro papel.
  7. Clique em Salvar.

    8. Configurar permissões e ativar APIs no projeto de gerenciamento

    1. No console do Google Cloud , verifique se você está visualizando a organização em que quer ativar o nível Security Command Center Enterprise.
    2. Selecione o projeto de gerenciamento que você criou anteriormente.

    3. Make sure that you have the following role or roles on the project:

      Check for the roles

      1. In the Google Cloud console, go to the IAM page.

        Go to IAM
      2. Select the project.

      3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

      4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

      Grant the roles

      1. In the Google Cloud console, go to the IAM page.

        Acessar o IAM
      2. Selecione o projeto.
      3. Clique em Conceder acesso.

      4. No campo Novos principais, insira seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.

      5. Na lista Selecionar um papel, escolha um.
      6. Para conceder outros papéis, adicione-os clicando em Adicionar outro papel.
      7. Clique em Salvar.

    4. Enable the Cloud Asset, Cloud Pub/Sub, Cloud Resource Manager, Compute Engine, Policy Analyzer, and Recommender APIs.

      Enable the APIs

      5. Criar uma conta de serviço ao usar uma instância do Google SecOps

      Se você planeja se conectar a uma instância do Google SecOps, crie uma conta de serviço gerenciado pelo usuário e conceda a ela os seguintes papéis:

      Configurar contatos de notificação

      Configure os contatos essenciais para que os administradores de segurança recebam notificações importantes. Para instruções, consulte Como gerenciar contatos para notificações.

      Ativar o nível Security Command Center Enterprise

      O processo de ativação configura automaticamente as contas de serviço, as permissões e os serviços incluídos no Security Command Center Enterprise. Você pode se conectar a uma instância do Google SecOps Standard, Enterprise ou Enterprise Plus ou provisionar uma nova.

      1. No console Google Cloud , acesse a página Visão geral de risco do Security Command Center.

        Acesse Security Command Center

      2. Verifique se você está visualizando a organização em que quer ativar o nível do Security Command Center Enterprise.

      3. Na página Security Command Center, clique em Receber o Security Command Center.

      4. Na página Começar a usar o Security Command Center Enterprise, revise as contas de serviço e as APIs que serão configuradas e clique em Próxima.

        • Para conferir as contas de serviço que serão criadas, clique em Ver contas de serviço e permissões.
        • Para conferir as APIs que serão ativadas, clique em Acessar APIs do Security Command Center Enterprise.
        • Para conferir os termos e condições, clique em Termos e Condições do Security Command Center Enterprise.

        Se a página Começar a usar o Security Command Center Enterprise não aparecer, entre em contato com Google Cloud vendas para verificar se o direito de assinatura está ativo.

        A próxima página mostra uma visualização diferente dependendo do seu ambiente.

      5. Se a organização estiver vinculada a uma instância do Google SecOps, escolha uma das opções a seguir. Se não estiver vinculada a uma instância do Google SecOps, continue com a etapa 6 para criar uma instância do Google SecOps.

        • Selecione Sim, conecte-se a uma instância do Google Security Operations e escolha uma instância no menu. Continue com a etapa 7 para iniciar a ativação.

          O menu mostra as instâncias do Google SecOps associadas à organização em que você está ativando o Security Command Center Enterprise. Cada item inclui o ID do cliente do Google SecOps, a região em que ele é provisionado e o nome do projeto Google Cloud a que está associado. Não é possível selecionar uma instância incompatível com o Security Command Center Enterprise.

          A página fornece um link para a instância do Google SecOps selecionada para que você possa verificar. Se você receber um erro ao abrir a instância, verifique se tem as permissões do IAM necessárias para acessar a instância.

        • Selecione Não, criar uma nova instância do Google Security Operations e continue com a etapa 6 para criar uma nova instância do Google SecOps.

      6. Para criar uma instância do Google SecOps, forneça mais detalhes de configuração.

        1. Especifique os dados de contato da sua empresa.

          • Contato de suporte técnico: insira um endereço de e-mail individual ou de grupo.
          • Nome da empresa: insira o nome da sua empresa.

        2. Selecione o Tipo de local em que o Google Security Operations será provisionado.

          • Região: selecione uma região.
          • Multirregional: selecione um local multirregional.

          Esse local é usado apenas pelo Google SecOps, e não por outros recursos do Security Command Center. Para uma lista de regiões e multirregiões compatíveis, consulte a página de locais dos serviços de SecOps.

        3. Clique em Próxima e selecione o Projeto de gerenciamento dedicado. Você criou o projeto de gerenciamento dedicado em uma etapa anterior.

          Se você selecionar um projeto vinculado a uma instância do Google SecOps, vai receber um erro ao iniciar a ativação.

        4. Continue com a etapa 7 para iniciar a ativação.

      7. Clique em Ativar. A página Visão geral de risco é exibida.

        Alguns serviços são ativados automaticamente, como o Security Health Analytics, a detecção de ameaças a eventos e a detecção de ameaças a máquinas virtuais. Pode levar algum tempo até que os recursos de operações de segurança fiquem prontos e as descobertas sejam disponibilizadas.

      8. Continue com Acompanhar o progresso da ativação do monitor e configurar serviços.

      Monitorar o progresso da ativação e configurar serviços

      O guia de configuração mostra o status do provisionamento e permite visualizar os serviços ativados. É possível configurar outros serviços e conexões com outros provedores de serviços de nuvem.

      1. No console do Google Cloud , acesse o Guia de configuração do Security Command Center.

        Acessar o Guia de configuração

      2. Selecione a organização em que você ativou o Security Command Center Enterprise.

      3. Abra o painel Revisar o resumo dos recursos de segurança. Cada painel mostra o status de ativação dos serviços relacionados.

      4. Para se conectar à Amazon Web Services (AWS) ou ao Microsoft Azure, clique em Adicionar Adicionar um conector. Isso abre a guia Conectores na página Configurações.

        Para mais instruções, consulte:

      5. Clique em Configurar em qualquer painel para configurar outros serviços e recursos. Use os links na tabela a seguir para saber mais sobre cada funcionalidade.

        Nome do painel de recursos Saiba mais sobre essas funcionalidades
        Proteção de IA
        Segurança do código
        Detecção de ameaças na nuvem
        Segurança de identidade e acesso
        Segurança de dados
        Conformidade
        Postura e compliance
        Plataforma de resposta
        Avaliação de vulnerabilidades

      Configurar permissões para uso contínuo do Security Command Center Enterprise

      Para mudar a configuração da sua organização, você precisa dos dois papéis a seguir no nível da organização:

      Se um usuário não precisar de permissões para edição, considere conceder a ele papéis de leitor.

      Para visualizar todos os recursos, descobertas e caminhos de ataque no Security Command Center, os usuários precisam ter o papel Leitor administrador da Central de segurança (roles/securitycenter.adminViewer) no nível da organização.

      Para visualizar as configurações, os usuários precisam do papel Administrador da Central de segurança (roles/securitycenter.admin) no nível da organização.

      Para restringir o acesso a pastas e projetos individuais, não conceda todos os papéis no nível da organização. Em vez disso, conceda os seguintes papéis no nível da pasta ou projeto:

      Cada serviço de detecção pode exigir permissões adicionais para ser ativado ou configurado. Consulte a documentação específica de cada serviço para mais informações.

      Para usar os recursos do console do Security Operations compatíveis com o Security Command Center Enterprise, consulte Controlar o acesso aos recursos nas páginas do console do Security Operations.

      A seguir