激活 Security Command Center Enterprise 层级

Security Command Center Enterprise 层级简介

Security Command Center Enterprise 层级提供安全增强功能,包括:

  • 使用 Google Security Operations 进行高级安全运营。
  • 与其他 Google Cloud 产品(例如 Mandiant Attack Surface Management、Sensitive Data Protection 和 Assured OSS)集成。
  • 多云支持。
  • 风险分析。

如需了解 Enterprise 层级功能的说明,请参阅服务层级

您可以使用 Google Cloud 控制台中的设置指南完成 Enterprise 层级的激活过程。完成初始必需任务后,您可以完成其他任务来设置贵组织所需的可选功能。

如需了解价格和订阅方式,请参阅 Security Command Center 价格

如需了解如何在其他层级激活 Security Command Center,请参阅为组织激活 Security Command Center 标准层级或高级层级

准备工作

在首次激活 Security Command Center 之前,完成以下操作:

  1. 规划激活
  2. 创建组织
  3. 创建管理项目
  4. 配置权限和 API
  5. 配置通知联系人

规划激活

本部分介绍了您需要为激活做好准备的决策和信息。

确定支持联系人

激活新的 Google SecOps 实例时,您需要提供公司名称和联系人的邮箱。确定贵组织的联系人。 此配置与重要联系人无关。

选择 Google SecOps 配置

在激活过程中,您需要将 Security Command Center Enterprise 连接到 Google SecOps 实例。

  • 您可以连接到现有实例

  • 您可以配置并连接到新实例。即使您已有实例,也可以配置并连接到新实例。

连接到现有实例

您无法将 Security Command Center Enterprise 连接到现有的 Google SecOps SIEM 独立版Google SecOps SOAR 独立版实例。如果您对所拥有的 Google SecOps 实例的类型有疑问,请与您的 Google Cloud 销售代表联系。

当您选择现有的 Google SecOps 实例时,连接到 SecOps 实例页面会提供指向该实例的链接,以便您验证您的选择。您必须有权访问该实例才能进行验证。您至少需要拥有管理项目的 Chronicle API Restricted Data Access Viewer (roles/chronicle.restrictedDataAccessViewer) 角色,才能登录实例。

如果您使用已配置为使用员工身份联合的现有 Google SecOps 实例来配置 Security Command Center,则必须使用额外的权限来更新员工身份池,以访问 Security Command Center Enterprise 提供的 Security Operations 控制台页面中的功能。如需了解详情,请参阅控制对 Security Operations 控制台页面中功能的访问权限页面。

配置新实例

在您配置新实例时,只有新实例会与 Security Command Center 关联。使用 Security Command Center 时,您需要在 Google Cloud 控制台和新配置的 Security Operations 控制台页面之间导航。

在激活期间,您需要指定要配置新 Google SecOps 实例的位置。如需查看受支持区域和多区域的列表,请参阅 SecOps 服务位置页面。 此位置仅适用于 Google SecOps,不适用于其他 Security Command Center 功能或服务。

每个 Google SecOps 实例都必须有一个专用的管理项目,由您拥有和管理。此项目必须位于您激活 Security Command Center Enterprise 的同一组织中。您无法为多个 Google SecOps 实例使用同一个管理项目。

如果您已有 Google SecOps 实例,且为 Security Command Center Enterprise 配置新实例,则这两个实例会使用相同的配置来直接注入 Google Cloud 数据。相同的配置设置可控制对这两个 Google SecOps 实例的注入,并且它们会接收相同的数据。

在激活 Security Command Center Enterprise 期间,激活流程会修改 Google Cloud 日志注入设置,以将所有数据类型字段设为“已启用”:Google Cloud LoggingCloud 资产元数据Security Command Center 高级方案发现结果。导出过滤条件设置不会更改。Security Command Center Enterprise 的所有功能都需要这些数据类型才能按设计运行。激活完成后,您可以更改 Google Cloud 日志注入设置

创建组织

Security Command Center 需要与网域关联的组织资源。如果您尚未创建组织,请参阅创建和管理组织

如果您有多个组织,请确定您将在哪些组织中激活 Security Command Center Enterprise。您必须针对计划激活 Security Command Center Enterprise 的每个组织执行这些激活步骤。

验证组织政策

如果您的组织政策设置为限制资源用量,请验证是否允许使用以下 API:

  • chronicle.googleapis.com
  • securitycenter.googleapis.com
  • securitycentermanagement.googleapis.com

创建管理项目

Security Command Center Enterprise 需要一个项目(称为管理项目),以启用 Google SecOps 和 Mandiant Attack Surface Management 集成。我们建议您将此项目专门用于 Security Command Center Enterprise。

如果您之前已启用 Google SecOps,并且想要连接到现有实例,请使用已连接到 Google SecOps 的现有管理项目。

如果您计划配置新的 Google SecOps 实例,请创建一个专门用于新实例的新管理项目。请勿重复使用已连接到其他 Google SecOps 实例的管理项目。

详细了解如何创建和管理项目

配置权限和 API

本部分列出了您设置 Security Command Center Enterprise 所需的 Identity and Access Management 角色,并介绍了如何在组织和管理项目中授予这些角色。还介绍了如何启用 Security Command Center Enterprise 层级所需的所有 API。详细了解 Security Command Center 角色Google Cloud API

针对组织配置权限

Make sure that you have the following role or roles on the organization:

  • Organization Administrator (roles/resourcemanager.organizationAdmin)
  • Cloud Asset Owner (roles/cloudasset.owner)
  • Security Center Admin (roles/securitycenter.admin)
  • Security Admin (roles/iam.securityAdmin)
  • Chronicle Service Viewer (roles/chroniclesm.viewer)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    前往 IAM
  2. 选择组织。
  3. 点击 授予访问权限

  4. 新的主账号字段中,输入您的用户标识符。 这通常是 Google 账号的电子邮件地址。

  5. 选择角色列表中,选择一个角色。
  6. 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
  7. 点击 Save(保存)。

    8. 在管理项目中配置权限并启用 API

    1. 在 Google Cloud 控制台中,验证您正在查看要为其激活 Security Command Center Enterprise 层级的组织。
    2. 选择您之前创建的管理项目。

    3. Make sure that you have the following role or roles on the project:

      • Service Usage Admin (roles/serviceusage.serviceUsageAdmin)
      • Service Account Token Creator (roles/iam.serviceAccountTokenCreator)
      • Chronicle API Admin (roles/chronicle.admin)
      • Chronicle Service Admin (roles/chroniclesm.admin)
      • Chronicle SOAR Admin (roles/chronicle.soarAdmin)
      • Service Account Key Admin (roles/iam.serviceAccountKeyAdmin)
      • Service Account Admin (roles/iam.serviceAccountAdmin)

      Check for the roles

      1. In the Google Cloud console, go to the IAM page.

        Go to IAM
      2. Select the project.

      3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

      4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

      Grant the roles

      1. In the Google Cloud console, go to the IAM page.

        进入 IAM
      2. 选择项目。
      3. 点击 授予访问权限

      4. 新的主账号字段中,输入您的用户标识符。 这通常是 Google 账号的电子邮件地址。

      5. 选择角色列表中,选择一个角色。
      6. 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
      7. 点击 Save(保存)。

    4. Enable the Cloud Asset, Cloud Pub/Sub, Cloud Resource Manager, Compute Engine, Policy Analyzer, and Recommender APIs.

      Enable the APIs

      5. 配置通知联系人

      配置重要联系人,以便您的安全管理员能够接收重要通知。有关说明,请参阅管理通知联系人

      激活 Security Command Center Enterprise 层级

      激活过程会自动配置 Security Command Center Enterprise 中包含的服务账号、权限和服务。您可以连接到现有的 Google SecOps 标准版、企业版或企业 Plus 版实例,也可以配置新的实例。

      1. 在 Google Cloud 控制台中,前往 Security Command Center 风险概览页面。

        进入 Security Command Center

      2. 验证您正在查看要为其激活 Security Command Center Enterprise 层级的组织。

      3. Security Command Center 页面上,点击获取 Security Command Center

      4. Security Command Center Enterprise 使用入门页面上,查看将要配置的服务账号和 API,然后点击激活 Enterprise

        • 如需查看将要创建的服务账号,请点击查看服务账号和权限
        • 如需查看将启用的 API,请点击查看 Security Command Center Enterprise API
        • 如需查看条款及条件,请点击 Security Command Center Enterprise 条款及条件

        如果您没有看到 Security Command Center Enterprise 使用入门页面,请与 Google Cloud 销售团队联系,以验证您的订阅使用权是否处于活跃状态。

        下一个页面会显示不同的视图,具体取决于您的环境。

      5. 选择以下选项之一以创建新实例或使用现有实例。

        • 选择有,请为我关联到现有的 Google Security Operations 实例,然后从菜单中选择一个实例。请继续执行第 7 步:开始激活

          该菜单会显示与您要激活 Security Command Center Enterprise 的组织相关联的 Google SecOps 实例。每一项都包含 Google SecOps 客户 ID、配置的区域以及与之关联的 Google Cloud 项目名称。您无法选择与 Security Command Center Enterprise 不兼容的实例。

          该页面提供了指向所选 Google SecOps 实例的链接,以便您进行验证。如果您在打开实例时收到错误,请检查您是否拥有访问实例所需的 IAM 权限

        • 选择没有,请创建一个新的 Google Security Operations 实例,然后继续执行第 6 步:创建新的 Google SecOps 实例

      6. 如需创建新的 Google SecOps 实例,请提供其他设置详细信息。

        1. 指定贵公司的联系信息。

          • 技术支持联系人:输入个人邮箱或群组邮箱。
          • 公司名称:输入贵公司名称。

        2. 选择将配置 Google Security Operations 的位置类型

          • 区域:选择单个区域。
          • 多区域:选择多区域位置。

          此位置仅适用于 Google SecOps,不适用于其他 Security Command Center 功能。 如需查看受支持区域和多区域的列表,请参阅 SecOps 服务位置页面

        3. 点击下一步,然后选择专用的管理项目。您在上一步中创建了专用管理项目

          如果您选择已关联到现有 Google SecOps 实例的项目,则在开始激活时会收到错误消息。

        4. 请继续执行第 7 步:开始激活

      7. 点击 Activate(激活)。系统会显示风险概览 > Enterprise 设置标签页,并显示配置状态。此标签页目前为预览版

        某些服务(例如 Security Health Analytics、Event Threat Detection、Virtual Machine Threat Detection)会自动启用。安全运维功能准备就绪并获得发现结果可能需要一些时间。

      8. 继续执行以下部分:

      使用设置指南配置其他功能

      Google Cloud 控制台中的设置指南包含六个步骤和其他配置建议。激活 Security Command Center 时,您已完成前两个步骤。您可以根据组织的要求,逐步完成剩余的步骤和建议。

      1. 在 Google Cloud 控制台中,前往 Security Command Center 风险概览页面。

        转到“概览”页面

      2. 选择您已在其中激活 Security Command Center Enterprise 的组织。

      3. 前往 设置 > 层级详细信息

      4. 选择您已为其激活 Security Command Center Enterprise 的组织。

      5. 点击查看设置指南

      6. 如果您还使用 Amazon Web Services (AWS) 或 Microsoft Azure,并且想要连接到这些云服务提供商以导入资源数据,请点击第 3 步:设置多云连接器。如需相关说明,请参阅以下任一内容:

      7. 如需添加用户和群组以执行安全运维,请点击第 4 步:设置用户和群组。如需相关说明,请参阅使用 IAM 控制对 SecOps 功能的访问权限

      8. 如需配置安全编排、自动化和响应 (SOAR),请点击第 5 步:配置集成。 具体取决于您的 Google Security Operations 实例的设置,您的应用场景可能已经安装。如果未安装,请联系您的客户代表或 Google Cloud 销售代表。如需与工单系统集成,请参阅将 Security Command Center Enterprise 与工单系统集成

      9. 如需将日志数据收集配置到安全信息和事件管理 (SIEM) 中,请点击第 6 步:配置日志注入。需要配置数据注入,才能启用精选检测和云基础设施授权管理等功能。如需相关说明,请参阅连接到 AWS 进行日志注入连接到 Microsoft Azure 进行日志注入

      10. 如需监控您的 Google Cloud 组织中的敏感数据,请点击设置敏感数据保护。如需相关说明,请参阅启用敏感数据发现

      11. 如需增强代码安全,请点击设置代码安全。如需相关说明,请参阅与 Assured OSS 集成确保代码安全

      12. 如需扫描已连接 AWS 资源中的漏洞,请点击设置漏洞评估。如需相关说明,请参阅对 AWS 启用和使用漏洞评估

      13. 如需扫描 AWS 虚拟机中的威胁,请点击为 AWS 设置虚拟机威胁检测。如需相关说明,请参阅为 AWS 启用虚拟机威胁检测

      使用“Enterprise 设置”标签页监控进度并配置服务

      Enterprise 设置标签页会同时显示您的 Google Cloud 资源的配置状态和初始扫描进度。

      使用 Enterprise 设置标签页上的功能,执行以下任一操作:

      • 风险概览 > Enterprise 设置标签页中查看配置状态,包括 Security Command Center 服务的启用状态。

        转到“概览”页面

      • 查看安全功能摘要部分中查看发现结果的数量,然后点击查看详细信息以查看所创建的服务账号。

      • 点击添加连接器,以配置来自其他云服务提供商(例如 AWS)的数据注入。

      • 查看已启用的服务数(按安全类别),然后点击卡片上的设置以配置支持该安全类别的服务。某些 Security Command Center 服务在配置期间默认处于已启用状态。

      后续步骤