En esta página se explica cómo activar el nivel Standard o Premium de Security Command Center en una organización. Si Security Command Center ya está configurado en tu organización, consulta la guía sobre cómo usar Security Command Center.
Security Command Center ofrece tres niveles de servicio: Standard, Premium y Enterprise. El nivel que elijas determinará las funciones que tengas disponibles y el coste de usar Security Command Center. Para activar el nivel Enterprise, consulta el artículo Activar el nivel Enterprise de Security Command Center.
Para activar el nivel Premium de Security Command Center a nivel de organización, selecciona una opción de precios de autoservicio y pago por uso en la Google Cloud consola.
Puedes habilitar los controles de residencia de datos cuando actives Security Command Center por primera vez. Una vez activados, no podrás habilitar ni inhabilitar los controles de residencia de datos. Para obtener más información, consulta Residencia de datos.
Para obtener información detallada sobre los servicios integrados de Security Command Center que están disponibles en cada nivel, consulta el artículo Niveles de servicio.
Para obtener información sobre los costes asociados al uso de Security Command Center, consulta la página de precios.
Para activar Security Command Center solo en un proyecto, consulta el artículo Activar Security Command Center en un proyecto.
Requisitos previos
Antes de activar Security Command Center, necesitas una organización, los permisos de Gestión de Identidades y Accesos (IAM) adecuados y las políticas de organización correctas.
Creación de una organización
Security Command Center requiere un recurso de organización asociado a un dominio. Si no has creado ninguna organización, consulta el artículo Crear y gestionar organizaciones.
Configurar permisos
Para configurar Security Command Center, necesitas los siguientes roles de gestión de identidades y accesos:
- Administrador de la organización
roles/resourcemanager.organizationAdmin - Administrador del centro de seguridad
roles/securitycenter.admin - Administrador de seguridad
roles/iam.securityAdmin
Consulta más información sobre los roles de Security Command Center.
Verificar las políticas de la organización
Si tus políticas de organización están configuradas para restringir las identidades por dominio:
- Debes iniciar sesión en la consola Google Cloud con una cuenta que pertenezca a un dominio permitido.
- Tus cuentas de servicio deben estar en un dominio permitido o ser miembros de un grupo de tu dominio. Este requisito te permite autorizar que los servicios que usan la cuenta de servicio
@*.gserviceaccount.comaccedan a los recursos cuando se habilita el uso compartido restringido por dominio.
Si tus políticas de la organización están configuradas para restringir el uso de recursos, comprueba que securitycenter.googleapis.com esté permitido.
Situaciones de activación de una organización
En esta página se tratan los siguientes casos de activación:
- En una organización que nunca haya activado Security Command Center, activa el nivel Premium o Standard de Security Command Center para una organización.
- En una organización que utilice el nivel Standard, activa el nivel Premium de Security Command Center para la organización.
- En una organización que utilice una suscripción al nivel Premium que vaya a caducar, cambia a la opción de precios de pago por uso.
Activar por primera vez el nivel Premium de Security Command Center en una organización
Para activar Security Command Center en una organización por primera vez, sigue un proceso de activación guiado en la Google Cloud consola para elegir un nivel de servicio y habilitar los servicios de detección que necesites. A continuación, selecciona los recursos o activos que quieras monitorizar y concede permisos a las cuentas de servicio necesarias.
Sigue estos pasos para activar el nivel Premium de Security Command Center a nivel de organización.
En la Google Cloud consola, ve a Security Command Center.
Selecciona la organización en la que quieras habilitar Security Command Center y haz clic en Seleccionar.
Se abrirá la ventana Obtener Security Command Center.
En Seleccionar nivel, elige un nivel.
Haz clic en Siguiente. Se abrirá la página Seleccionar servicios.
En la sección Servicios, habilita los servicios integrados de Security Command Center que necesites. Cada servicio habilitado analiza todos los recursos admitidos y genera informes de los resultados de toda tu organización. Para inhabilitar un servicio, haz clic en la lista situada junto al nombre del servicio y, a continuación, selecciona Inhabilitar.
Si el nivel Estándar está habilitado, puedes configurar la habilitación de los servicios Premium antes de activar el nivel Premium. La configuración no se aplicará hasta que actives el nivel Premium para la organización más adelante.
A continuación se indican algunas notas sobre servicios específicos:
Para que Container Threat Detection funcione correctamente, asegúrate de que tus clústeres tengan una versión compatible de Google Kubernetes Engine (GKE) y de que estén configurados correctamente. Para obtener más información, consulta Usar Container Threat Detection.
Event Threat Detection se basa en los registros generados por Google Cloud. Para usar Event Threat Detection, habilita los registros de tu organización, carpetas y proyectos.
Los resultados de Detección de anomalías están disponibles automáticamente en Security Command Center. Puedes inhabilitar Anomaly Detection después de la incorporación siguiendo los pasos que se indican en Configurar los servicios de Security Command Center.
Aunque no se indica, el servicio de postura de seguridad se habilita automáticamente al seleccionar el nivel Premium.
Además, si necesitas usar una clave de cifrado gestionada por el cliente (CMEK) para Security Command Center, debes completar las tareas descritas en el artículo Configurar una CMEK para Security Command Center antes de continuar. Si no usas CMEK con Security Command Center, Google cifra los datos en reposo mediante Google-owned and Google-managed encryption keys. No podrás cambiar esta opción más adelante.
En Conceder roles, concede los roles de gestión de identidades y accesos necesarios a los agentes de servicio de Security Command Center.
Al asignar los roles a los agentes de servicio, proporcionas los permisos que necesitan Security Command Center y sus servicios de detección para realizar sus funciones.
Los nombres de las cuentas de servicio tienen los siguientes formatos:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.comAsigna el rol de gestión de identidades y accesos de
roles/securitycenter.serviceAgenta este agente de servicio.service-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.comAsigna el rol de
roles/containerthreatdetection.serviceAgentgestión de identidades y accesos a este agente de servicio.
En lugar de
ORGANIZATION_ID, el agente de servicio contiene el identificador numérico de tu organización.Para añadir los roles, haz clic en Grant Roles (Conceder roles).
También puede asignar los roles manualmente siguiendo estos pasos:
- Despliega la sección Otorgar roles manualmente y copia el comando de la interfaz de línea de comandos de gcloud.
- En la barra de herramientas de la consola Google Cloud , haz clic en Activar Cloud Shell.
- En la ventana de terminal que aparece, pega los comandos de la CLI de gcloud que has copiado y, a continuación, pulsa Intro.
Para obtener información sobre los permisos asociados a estos roles, consulta el artículo sobre control de acceso.
En Completar configuración, revisa la información y haz clic en Finalizar.
Cuando termines la configuración, Security Command Center iniciará un análisis inicial de los recursos. Después, podrás usar la Google Cloud consola para revisar y corregirGoogle Cloud los riesgos de seguridad y de datos de tu proyecto.
Es posible que las exploraciones de algunos productos tarden en iniciarse. Consulta la información general sobre la latencia de Security Command Center para obtener más información sobre el proceso de activación.
Consulta la documentación de cada servicio para ver si puedes probarlo u optimizarlo más.
Por ejemplo, Event Threat Detection se basa en los registros generados porGoogle Cloud. Algunos registros están siempre activados, por lo que Event Threat Detection puede empezar a analizarlos en cuanto se habilite. Otros registros, como la mayoría de los registros de auditoría de acceso a los datos, deben activarse para que Detección de amenazas de eventos pueda analizarlos. Para obtener más información, consulta Tipos de registros y requisitos de activación.
Para obtener más información sobre cómo probar y usar cada uno de los servicios integrados, consulta las siguientes páginas:
Cambiar del nivel Standard al Premium
Sigue estos pasos para cambiar del nivel Standard al nivel Premium de Security Command Center. Si quieres usar una suscripción, ponte en contacto con el equipo de Google Cloud Ventas primero.
Completa esta tarea cuando tu organización necesite las funciones adicionales de detección de amenazas y postura de seguridad que ofrece el nivel Premium de Security Command Center.
En la Google Cloud consola, ve a Security Command Center.
Selecciona la organización a la que quieres cambiar al nivel Premium de Security Command Center y haz clic en Seleccionar.
En la página de Security Command Center, haz clic en Obtener Premium.
En Cambiar nivel, comprueba que esté seleccionado Premium. Haz clic en Siguiente.
En Revisar servicios, habilita los servicios que necesites.
Haz clic en Actualizar nivel.
Cambiar de una opción de suscripción del nivel Premium a la opción de pago por uso
Si ya has activado el nivel Premium de Security Command Center mediante una suscripción, puedes registrar Security Command Center con precios de pago por uso antes de que caduque tu suscripción. Esta suscripción ayuda a tu organización a acceder al nivel Premium de Security Command Center sin interrupciones. Este cambio de precio entrará en vigor cuando caduque tu suscripción.
En la Google Cloud consola, ve a Security Command Center.
Selecciona la organización cuya opción de precios quieras cambiar y haz clic en Seleccionar.
En la página Vista general de Security Command Center, haga clic en Configuración. Se abrirá la página Configuración y se mostrará la pestaña Servicios.
En la página Configuración, haz clic en Detalles del nivel. Se abrirá la página Nivel.
Haz clic en Gestionar nivel.
En la página Cambiar a otro nivel, comprueba que esté seleccionado Premium y haz clic en Siguiente.
En la página Revisar servicios, comprueba los servicios que has habilitado y haz clic en Actualizar tu nivel.
Cambiar de la opción de pago por uso del nivel Premium al nivel Estándar
Sigue estos pasos para cambiar de la opción de pago por uso del nivel Premium de Security Command Center al nivel Standard. De forma predeterminada, si tienes una suscripción, se te cambiará automáticamente al nivel Estándar cuando caduque.
Si cambias al nivel Standard de Security Command Center, perderás el acceso a los servicios y las funciones del nivel Premium. Verifica que el perfil de riesgo de seguridad de tu organización no se vea afectado negativamente antes de aplicar este cambio.
Aunque el nivel Standard de Security Command Center es gratuito, es posible que se te apliquen cargos indirectos. Para obtener más información, consulta Posibles cargos indirectos asociados a Security Command Center.
Si vuelves al nivel Premium a nivel de organización después de completar esta tarea, se restaurarán los ajustes de configuración de los servicios del nivel Premium.
En la Google Cloud consola, ve a Security Command Center.
Seleccione la organización para la que quiera cambiar a una versión inferior de Security Command Center y, a continuación, haga clic en Seleccionar.
En la página Vista general de Security Command Center, haga clic en Configuración. Se abrirá la página Configuración y se mostrará la pestaña Servicios.
En la página Configuración, haz clic en Detalles del nivel. Se abrirá la página Nivel.
Haz clic en Gestionar nivel.
En la página Cambiar nivel, comprueba que esté seleccionado Estándar y haz clic en Siguiente.
En la página Revisar servicios, comprueba los servicios que has habilitado y haz clic en Actualizar tu nivel.
Cambiar de la activación a nivel de proyecto a la activación a nivel de organización del nivel Premium
Para cambiar de una activación a nivel de proyecto a una a nivel de organización, puedes seguir el proceso de activación que se describe en Activar Security Command Center por primera vez en una organización.
Se aplican los siguientes cambios en los precios:
- El uso del nivel Premium de Security Command Center se incluye en la activación a nivel de organización.
- Los términos de precios de la activación de Security Command Center a nivel de organización se convierten en los términos de precios vigentes. Los cargos se registran en los proyectos en los que se produce el uso.
Si cambias a una activación a nivel de organización, no elimines la cuenta de servicio de Security Command Center que se creó cuando activaste Security Command Center a nivel de proyecto. Es posible que algunos detectores de la función de análisis del estado de seguridad no funcionen correctamente si eliminas la cuenta de servicio.
Monitoriza tus costes con el nivel Premium
Para monitorizar los costes asociados al nivel Premium de Security Command Center, puedes usar Cloud Billing. Puede exportar datos de facturación a BigQuery para hacer análisis detallados o crear un presupuesto con alertas de gasto. Para obtener más información, consulta Monitorizar los costes.
Siguientes pasos
- Consulta cómo configurar los servicios de Security Command Center.
- Consulta cómo usar Security Command Center en la Google Cloud consola.
- Consulta cómo trabajar con los resultados de Security Command Center.
- Consulta información sobre las Google Cloud fuentes de seguridad.