Cómo activar Security Command Center para un proyecto

En esta página, se explica cómo activar el nivel Estándar o Premium de Security Command Center para un proyecto Google Cloud .

Para activar Security Command Center en toda una organización, consulta uno de los siguientes recursos:

Requisitos previos

Para activar Security Command Center en un proyecto, necesitas los siguientes requisitos previos, que se explican en las siguientes subsecciones:

  • Lee la información sobre los requisitos previos para comprender en qué se diferencia la activación de Security Command Center a nivel del proyecto de la activación a nivel de la organización.
  • Debes tener un proyecto Google Cloud asociado a una organización.
  • Se deben otorgar a tu cuenta de usuario roles de Identity and Access Management (IAM) que contengan los permisos necesarios.
  • Si tu proyecto hereda políticas de la organización configuradas para restringir identidades por dominio, tus cuentas de usuario y de servicio deben estar en un dominio permitido.
  • Si usarás la detección de amenazas a contenedores, tus clústeres de Google Kubernetes Engine deben admitir esta detección.

Información sobre los requisitos

Para comprender en qué se diferencia la activación de Security Command Center a nivel del proyecto de la activación a nivel de la organización, consulta Descripción general de la habilitación de Security Command Center a nivel del proyecto.

Para obtener información sobre los servicios y los hallazgos de Security Command Center que no se admiten con las activaciones a nivel del proyecto, consulta Limitaciones de los servicios de activación a nivel del proyecto.

Requisitos del proyecto

Para activar Security Command Center en un proyecto, este debe estar asociado a una organización. Si necesitas crear un proyecto, consulta Crea y administra proyectos.

Roles de IAM que necesitas para esta tarea

Para configurar Security Command Center, necesitas los siguientes roles de IAM otorgados a tu cuenta de usuario en el proyecto en el que habilitarás Security Command Center:

  • Administrador del centro de seguridad roles/securitycenter.admin
  • Administrador de seguridad roles/iam.securityAdmin
  • A menos que las cuentas de servicio requeridas de Security Command Center ya existan debido a una activación a nivel de la organización, crea cuentas de servicio. roles/iam.serviceAccountCreator

Obtén más información sobre las funciones de Security Command Center.

Verifica las políticas de la organización

Si tu proyecto hereda políticas de la organización que están configuradas para restringir identidades por dominio, debes cumplir con los siguientes requisitos:

  • Debes acceder a la consola de Google Cloud en una cuenta que esté en un dominio permitido.
  • Tus cuentas de servicio deben estar en un dominio permitido o miembros de un grupo dentro de tu dominio. Este requisito te permite permitir que los servicios de @*.gserviceaccount.com accedan a los recursos cuando el uso compartido restringido del dominio se habilita.

Confirma las versiones de software para la detección de amenazas a contenedores

Si planeas usar la detección de amenazas a contenedores con Google Kubernetes Engine (GKE), asegúrate de que tus clústeres estén en una versión compatible de GKE y que estén configurados de forma correcta. Para obtener más información, consulta Usa la detección de amenazas de contenedores.

Situaciones de activación para un proyecto

En esta página, se describen las siguientes situaciones de activación:

  • En una organización que nunca activó Security Command Center, activa el nivel Premium o Estándar de Security Command Center para un proyecto.
  • En una organización que usa el nivel Estándar, activa el nivel Premium de Security Command Center para un proyecto.
  • En una organización que usa una suscripción al nivel Premium que vence, activa el nivel Premium de Security Command Center para un proyecto.

Según si tu organización usa Security Command Center, puedes activarlo para un proyecto con diferentes métodos.

Si tu organización no usa Security Command Center, la consola Google Cloud te guiará por una serie de páginas de configuración.

Si tu organización usa Security Command Center, puedes activar Security Command Center Premium para un proyecto en la pestaña Detalles del nivel de la página Configuración.

Determina si Security Command Center ya está activo en tu organización

La forma en que activas Security Command Center para un proyecto varía según si Security Command Center ya está activo en tu organización.

Para verificar si Security Command Center ya está activo en tu organización, completa los siguientes pasos:

  1. Ve a la página Descripción general de Security Command Center en la consola de Google Cloud .

    Ir a Security Command Center

  2. Selecciona el nombre del proyecto para el que necesitas activar Security Command Center.

    Después de seleccionar el proyecto, se abrirá una de las siguientes páginas:

    • Si Security Command Center está activo en tu organización, se abrirá la página Descripción general del riesgo.
    • Si Security Command Center no se activó en la organización, se abrirá la página Obtener Security Command Center, desde la que podrás iniciar el proceso de activación para tu proyecto.

  3. Si Security Command Center ya está activo en tu organización, verifica el nivel de servicio que está activo actualmente.

    1. Abre la página Configuración de Security Command Center:

      Ir a la configuración

    2. En la página Configuración, haz clic en Detalles del nivel. Se abrirá la página Nivel.

    3. En la fila Nivel, se indica el nivel de servicio que hereda el proyecto.

  4. Para activar Security Command Center en un proyecto, sigue el procedimiento correspondiente al estado de activación de Security Command Center en la organización principal:

Activa un proyecto cuando Security Command Center esté activo en la organización

Si Security Command Center ya está activo en una organización, el único nivel de servicio que deberás activar a nivel del proyecto es el nivel Premium, ya que, como mínimo, el proyecto heredará el uso del nivel Estándar.

Para revisar las funciones que se incluyen en cada nivel, consulta Niveles de servicio.

Cuando Security Command Center está activo en una organización, debes seleccionar tu proyecto en la consola deGoogle Cloud y, luego, seleccionar el nivel Premium en la página Configuración de Security Command Center para iniciar el proceso de activación a nivel del proyecto.

  1. Abre la pestaña Detalles del nivel en la página Configuración:

    Ir a Detalles del nivel

    Se abrirá una página de selección de proyectos antes de que se te redireccione a la página Detalles del nivel.

  2. Elige tu proyecto. Se abrirá la página Detalles del nivel.

  3. En la página de detalles del nivel, haz clic en una de las siguientes opciones:

    • Administrar nivel del proyecto
    • Obtener Premium

    Se abrirá la página Administra tu nivel.

  4. En la página Administra tu nivel, selecciona Premium.

  5. Haz clic en Siguiente. Se abrirá la página Servicios.

  6. En la página Servicios, habilita o inhabilita cada servicio integrado según sea necesario. Para ello, selecciona uno de los siguientes valores en el menú que se encuentra a la izquierda del servicio que aparece en la lista:

    • Heredar (la entrada predeterminada)
    • Habilitar
    • Inhabilitar

Completaste la activación de Security Command Center. A continuación, espera a que se completen los análisis iniciales.

Activa un proyecto cuando Security Command Center no esté activo en la organización

Si tu organización no usa Security Command Center, la consola Google Cloud te guiará por una serie de páginas de configuración cuando actives Security Command Center para un proyecto.

Paso 1: Selecciona tu nivel

Cuando Security Command Center no está activo en tu organización, cuando abres Security Command Center en la consola de Google Cloud , se muestra la página Obtén Security Command Center. Para comenzar el proceso de activación, selecciona un nivel.

Security Command Center tiene tres niveles: Estándar, Premium y Enterprise. El nivel que selecciones determina las funciones que tienes disponibles y el costo de usar Security Command Center. Solo puedes activar el nivel Enterprise a nivel de la organización. Para obtener más información, consulta Cómo activar Security Command Center Enterprise Center.

Para revisar las funciones que se incluyen en cada nivel, consulta Niveles de servicio.

Para seleccionar tu nivel y comenzar el proceso de activación de Security Command Center, completa los siguientes pasos:

  1. Ve a la página de descripción general de Security Command Center en la Google Cloud consola.

    Ir a Security Command Center

  2. Selecciona el nombre del proyecto para el que necesitas activar Security Command Center.

    Después de seleccionar el proyecto, se abrirá Security Command Center en la página Obtén Security Command Center, en la que podrás iniciar el proceso de activación seleccionando un nivel. Si se abre la consola de Security Command Center, significa que Security Command Center ya está activo en tu organización o proyecto.

  3. Selecciona el nivel Premium o Estándar, según los servicios que necesites.

  4. Haz clic en Siguiente. Se abrirá la página Seleccionar servicios.

En la siguiente sección, selecciona los servicios integrados que deseas habilitar para tu proyecto.

Paso 2: Selecciona los servicios

En la página Seleccionar servicios, se muestran todos los servicios integrados de Security Command Center.

  1. En la página Servicios, habilita o inhabilita cada servicio integrado según sea necesario. Para ello, selecciona uno de los siguientes valores en el menú que se encuentra a la izquierda del servicio enumerado:

    • Heredar
    • Habilitar
    • Inhabilitar

    Después de completar el proceso de activación, para cada servicio que habilites, consulta la documentación de ese servicio para conocer los pasos adicionales que podrían ser necesarios.

  2. Haz clic en Siguiente. Se abrirá la página Grant roles.

Paso 3: Configura los agentes de servicio

Cuando activas Security Command Center por primera vez, Google Cloudse crean automáticamente agentes de servicio de IAM para Security Command Center y sus servicios de detección.

Como se describe en el siguiente procedimiento, debes otorgar roles de IAM a estos agentes de servicio que proporcionan los permisos que Security Command Center y sus servicios de detección necesitan para realizar sus funciones.

Cuando activas Security Command Center a nivel del proyecto y Security Command Center aún no está activo en tu organización, se crean los siguientes agentes de servicio a nivel del proyecto:

  • service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com. Otorga el rol de IAM securitycenter.serviceAgent a esta cuenta de servicio.

  • service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.com. Otorga el rol de IAM roles/containerthreatdetection.serviceAgent a esta cuenta de servicio.

En lugar de PROJECT_NUMBER, la cuenta de servicio contiene el número de tu proyecto.

Para otorgar los roles de IAM a los agentes de servicio, sigue estos pasos:

  1. De manera opcional, en la página Otorgar roles, revisa el rol y los permisos que estás a punto de otorgar haciendo clic en Revisar permisos.

  2. Haz clic en Otorgar roles para otorgar los roles necesarios automáticamente.

    Como alternativa, puedes otorgar el rol de forma manual. Para ello, completa los siguientes pasos:

    1. Haz clic en También puedes otorgar funciones manualmente (gcloud).
    2. Copia los comandos de gcloud CLI.
    3. En la barra de herramientas de la Google Cloud consola, haz clic en Activar Cloud Shell.
    4. En la ventana de la terminal que, a continuación, pega los comandos de la CLI de gcloud que copiaste y, luego, presiona Intro.

  3. Haz clic en Siguiente. Se abrirá la página Completar la configuración.

Paso 4: Confirma la activación

Para completar la activación de Security Command Center, sigue estos pasos:

  1. En la página Complete setup, haz clic en Finish.

Cuando termines la configuración, Security Command Center iniciará un análisis inicial de activos, después de lo cual podrás usar la consola para revisar y solucionar Google Cloudlos riesgos de seguridad y datos en tu proyecto.

Es posible que haya una demora antes de que se inicien los análisis de algunos servicios. Como es de esperar, la demora, o latencia de análisis, para los servicios en un proyecto individual suele ser más corta que para una organización, pero la mayoría de los motivos de latencia siguen siendo válidos. Para obtener más información sobre las latencias en relación con las organizaciones, consulta la descripción general de la latencia de Security Command Center para obtener más información sobre el proceso de activación.

Para todas las situaciones de activación, optimiza y prueba los servicios integrados

Después de activar Security Command Center, consulta la documentación de cada servicio para ver si puedes probarlo o optimizarlo aún más.

Por ejemplo, Event Threat Detection se basa en los registros generados porGoogle Cloud. Algunos registros siempre están activados, por lo que Event Threat Detection puede comenzar a analizarlos en cuanto se habilita. Otros registros, como la mayoría de los registros de auditoría de acceso a los datos, debes activarlos antes de que Event Threat Detection pueda analizarlos. Para obtener más información, consulta Tipos de registros y requisitos de activación.

Para obtener más información sobre cómo probar y usar cada uno de los servicios integrados, consulta las siguientes páginas:

¿Qué sigue?

Obtén más información sobre Security Command Center y sus servicios integrados.