激活 Security Command Center Enterprise 层级

在管理项目中配置权限并启用 API

1. 在 Google Cloud 控制台中，验证您正在查看要激活 Security Command Center Enterprise 层级的组织。
2. 选择您之前创建的管理项目。

3. Make sure that you have the following role or roles on the project:

   • Service Usage Admin (roles/serviceusage.serviceUsageAdmin)
   • Service Account Token Creator (roles/iam.serviceAccountTokenCreator)
   • Chronicle API Admin (roles/chronicle.admin)
   • Chronicle Service Admin (roles/chroniclesm.admin)
   • Chronicle SOAR Admin (roles/chronicle.soarAdmin)
   • Service Account Key Admin (roles/iam.serviceAccountKeyAdmin)
   • Service Account Admin (roles/iam.serviceAccountAdmin)

   Check for the roles

   1. In the Google Cloud console, go to the IAM page.

      Go to IAM
   2. Select the project.

   3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

   4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

   Grant the roles

   1. In the Google Cloud console, go to the IAM page.

      前往 IAM
   2. 选择项目。
   3. 点击 person_add 授予访问权限。

   4. 在新的主账号字段中，输入您的用户标识符。 这通常是 Google 账号的电子邮件地址。

   5. 在选择角色列表中，选择一个角色。
   6. 如需授予其他角色，请点击 add 添加其他角色，然后添加其他各个角色。
   7. 点击 Save（保存）。

4. Enable the Cloud Asset, Cloud Pub/Sub, Cloud Resource Manager, Compute Engine, Policy Analyzer, and Recommender APIs.

   Enable the APIs

使用现有 Google SecOps 实例时创建服务账号

如果您计划连接到现有的 Google SecOps 实例，请创建用户管理的服务账号，并向该服务账号授予以下角色：

• 计划激活 Security Command Center 的组织级的 Chronicle SOAR Service Agent (roles/chronicle.soarServiceAgent) 和 Pub/Sub Admin (roles/pubsub.admin)。
• 管理项目的 Chronicle Service Agent (roles/chronicle.serviceAgent)。

配置通知联系人

配置重要联系人，以便您的安全管理员能够接收重要通知。有关说明，请参阅管理通知联系人。

激活 Security Command Center Enterprise 层级

激活过程会自动配置 Security Command Center Enterprise 中包含的服务账号、权限和服务。您可以连接到现有的 Google SecOps 标准版、企业版或企业 Plus 版实例，也可以配置新的实例。

1. 在 Google Cloud 控制台中，前往 Security Command Center 风险概览页面。

   进入 Security Command Center

2. 验证您正在查看要激活 Security Command Center Enterprise 层级的组织。

3. 在 Security Command Center 页面上，点击获取 Security Command Center。

4. 在 Security Command Center Enterprise 使用入门页面上，查看将要配置的服务账号和 API，然后点击下一步。

   • 如需查看将要创建的服务账号，请点击查看服务账号和权限。
   • 如需查看将启用的 API，请点击查看 Security Command Center Enterprise API。
   • 如需查看条款及条件，请点击 Security Command Center Enterprise 条款及条件。

   如果您没有看到 Security Command Center Enterprise 使用入门页面，请与 Google Cloud 销售团队联系，以验证您的订阅使用权是否处于活跃状态。

   下一个页面会显示不同的视图，具体取决于您的环境。

   • 如果您具有现有的 Google SecOps 实例，系统会提示您使用现有实例或创建新实例。 继续执行第 5 步：选择实例类型。

   • 如果您没有现有的 Google SecOps 实例，请继续执行第 6 步：创建新的 Google SecOps 实例。

5. 如果组织已关联到 Google SecOps 实例，请选择以下选项之一。如果未与 Google SecOps 实例相关联，请继续执行第 6 步：创建新的 Google SecOps 实例。

   • 选择有，请为我关联到现有的 Google Security Operations 实例，然后从菜单中选择一个实例。请继续执行第 7 步：开始激活。

     该菜单会显示与您要激活 Security Command Center Enterprise 的组织相关联的 Google SecOps 实例。每一项都包含 Google SecOps 客户 ID、配置的区域以及与之关联的 Google Cloud 项目名称。您无法选择与 Security Command Center Enterprise 不兼容的实例。

     该页面提供了指向所选 Google SecOps 实例的链接，以便您进行验证。如果您在打开实例时收到错误，请检查您是否拥有访问实例所需的 IAM 权限。

   • 选择没有，请创建一个新的 Google Security Operations 实例，然后继续执行第 6 步：创建新的 Google SecOps 实例。

6. 如需创建新的 Google SecOps 实例，请提供其他设置详细信息。

   1. 指定贵公司的联系信息。

      • 技术支持联系人：输入个人邮箱或群组邮箱。
      • 公司名称：输入贵公司名称。

   2. 选择将配置 Google Security Operations 的位置类型。

      • 区域：选择单个区域。
      • 多区域：选择多区域位置。

      此位置仅适用于 Google SecOps，不适用于其他 Security Command Center 功能。 如需查看受支持区域和多区域的列表，请参阅 SecOps 服务位置页面。

   3. 点击下一步，然后选择专用的管理项目。您在上一步中创建了专用管理项目。

      如果您选择已关联到现有 Google SecOps 实例的项目，则在开始激活时会收到错误消息。

   4. 请继续执行第 7 步：开始激活。

7. 点击 Activate（激活）。系统会显示风险概览页面。

   某些服务（例如 Security Health Analytics、Event Threat Detection、Virtual Machine Threat Detection）会自动启用。安全运维功能准备就绪并获得发现结果可能需要一些时间。

8. 继续执行监控启用进度并配置服务。

监控启用进度并配置服务

设置指南会显示预配状态，并允许您查看已启用的服务。您可以配置其他服务，并配置与其他云服务提供商的连接。

1. 在 Google Cloud 控制台中，前往 Security Command Center 设置指南。

   前往设置指南

2. 选择您已在其中激活 Security Command Center Enterprise 的组织。

3. 展开查看安全功能摘要面板。每个面板都会显示相关服务的启用状态。

4. 如需连接到 Amazon Web Services (AWS) 或 Microsoft Azure，请依次点击添加 添加连接器。 这会在设置页面上打开连接器标签页。

   如需了解其他说明，请参阅以下内容：

   • 连接到 AWS 以收集配置和资源数据
   • 连接到 Microsoft Azure 以收集配置和资源数据。

5. 点击任意面板中的设置，以配置其他服务和功能。 如需详细了解每项功能，请点击下表中的链接。

   功能面板名称	详细了解这些功能
   AI Protection	AI Protection 概览 Model Armor 概览
   代码安全	Google Cloud Armor 概览 与 Assured OSS 集成确保代码安全。
   云威胁检测	Container Threat Detection 概览 Event Threat Detection 概览 Virtual Machine Threat Detection 概览 连接到 AWS 以收集配置和资源数据
   身份和访问权限安全	IAM Recommender 集成式服务概览 云基础设施授权管理 (CIEM) 概览
   数据安全	查看和自定义数据安全框架 启用 Event Threat Detection 启用敏感数据保护 启用 Discovery 功能
   法规遵从	应用框架 在 IAM 中授予角色
   安全状况和合规性	管理安全状况 Security Health Analytics 概览 Web Security Scanner 概览
   响应平台	映射用户并对其进行身份验证，以启用与 SOAR 相关的功能 将 Security Command Center Enterprise 与工单系统集成 更新 Enterprise 应用场景 使用 playbook
   漏洞评估	评估软件漏洞概览

配置 Security Command Center Enterprise 持续使用的权限

如需更改组织的配置，您需要在组织级同时拥有以下两个角色：

• Organization Administrator (roles/resourcemanager.organizationAdmin)
• Security Center Admin (roles/securitycenter.admin)

如果用户不需要修改权限，请考虑授予其查看者角色。

如需在 Security Command Center 中查看所有资源、发现结果和攻击路径，用户需要在组织级具有 Security Center Admin Viewer (roles/securitycenter.adminViewer) 角色。

如需查看设置，用户需要在组织级具有 Security Center Admin (roles/securitycenter.admin) 角色。

如需限制对各个文件夹和项目的访问权限，请不要在组织级授予所有角色。请改为在文件夹或 项目级授予以下角色：

• Security Center Assets Viewer (roles/securitycenter.assetsViewer)
• Security Center Findings Viewer (roles/securitycenter.findingsViewer)

每项检测服务可能需要额外的权限才能启用或配置它。如需了解详情，请参阅每项服务的专用文档。

如需使用 Security Command Center Enterprise 支持的 Security Operations 控制台功能，请参阅控制对 Security Operations 控制台页面中功能的访问权限。

后续步骤

• 了解如何处理 Security Command Center 发现结果。
• 了解 Google Cloud 安全来源。
• 使用 Google Security Operations 精选检测调查威胁。
• 将框架应用于您的环境，使您的环境符合合规性和安全性要求。