为组织激活 Security Command Center 标准层级或高级层级

本页介绍了如何为组织激活 Security Command Center 标准层级或高级层级。如果您已为组织设置 Security Command Center,请参阅使用 Security Command Center 指南。

Security Command Center 提供三种服务层级:标准、高级和企业。您选择的层级决定了您可以使用的功能以及使用 Security Command Center 的费用。如需激活企业版,请参阅激活 Security Command Center Enterprise

如需在组织级层激活 Security Command Center 高级层级,您可以在 Google Cloud 控制台中选择随用随付的自助式价格选项。

您可以在首次激活 Security Command Center 时启用数据驻留控制措施。启用后,您将无法启用或停用数据驻留控制措施。如需了解详情,请参阅数据驻留支持

如需详细了解每个层级提供的内置 Security Command Center 服务,请参阅 Security Command Center 层级

如需了解与使用 Security Command Center 相关的费用,请参阅价格页面。

如需仅为项目激活 Security Command Center,请参阅为项目激活 Security Command Center

前提条件

激活 Security Command Center 之前,您需要一个组织、适当的 Identity and Access Management (IAM) 权限以及适当的组织政策。

创建组织

Security Command Center 需要与网域关联的组织资源。如果您尚未创建组织,请参阅创建和管理组织

设置权限

如需设置 Security Command Center,您需要以下 IAM 角色:

  • 组织管理员 roles/resourcemanager.organizationAdmin
  • Security Center Admin roles/securitycenter.admin
  • Security Admin roles/iam.securityAdmin
  • Create Service Accounts roles/iam.serviceAccountCreator

详细了解 Security Command Center 角色

验证组织政策

如果您的组织政策已设为 按网域限制身份

  • 您必须使用在允许的网域中的账号登录 Google Cloud 控制台。
  • 您的服务账号必须位于允许的网域中,或是您网域内某个群组的成员。当启用了网域限制共享时,借助此要求,您就可以允许使用 @*.gserviceaccount.com 服务账号的服务访问资源。

如果您的组织政策已设为限制资源使用,请验证是否允许 securitycenter.googleapis.com

组织的激活场景

本页面介绍以下激活场景:

  • 在从未激活 Security Command Center 的组织中,为组织激活 Security Command Center 的高级层级或标准层级。
  • 在使用标准层级的组织中,为组织激活 Security Command Center 高级层级。
  • 在使用即将过期的高级层级订阅的组织中,请改用随用随付价格选项。

首次为组织激活 Security Command Center

如需首次为组织激活 Security Command Center,您需要按照 Google Cloud 控制台中的引导式激活流程选择服务层级、启用数据驻留控制措施,并启用所需的检测服务。然后,选择要监控的资源或资产,并向所需的服务账号授予权限。

完成以下步骤,在组织级层激活 Security Command Center 高级层级。

  1. 在 Google Cloud 控制台中,前往 Security Command Center。

    前往 Security Command Center

  2. 选择要为其启用 Security Command Center 的组织,然后点击选择

    系统会打开获取 Security Command Center 窗口。

  3. 选择层级中,选择一个层级。

  4. 点击下一步。此时会打开选择服务页面。

  5. 可选:选择以下选项,启用 Security Command Center 数据驻留控制措施

    1. 数据驻留下,选择启用数据驻留

      启用数据驻留后,如果 Security Command Center 服务在位于 Security Command Center 支持的数据位置的资源中检测到安全问题,Security Command Center 会自动将生成的发现结果记录存储在受影响资源所在的同一 Security Command Center 位置。

    2. 选择默认位置字段中,选择默认的 Security Command Center 位置,以存储位于不受 Security Command Center 支持的位置或未在元数据中指定位置的资源的发现结果。

  6. 服务部分,启用您需要的内置 Security Command Center 服务。每项已启用的服务都会扫描所有受支持的资源并报告整个组织的发现结果。如需停用某项服务,请点击服务名称旁边的列表,然后选择停用

    如果标准层级已启用,您可以先配置高级服务的启用,然后再激活高级层级。只有稍后为组织激活高级层级后,配置才会应用。

    以下是特定服务的说明:

    • 为使 Container Threat Detection 正常运行,请确保集群采用了受支持的 Google Kubernetes Engine (GKE) 版本,并且 GKE 集群已正确配置。如需了解详情,请参阅使用 Container Threat Detection

    • Event Threat Detection 依赖于 Google Cloud 生成的日志。如需使用 Event Threat Detection,请为组织、文件夹和项目启用日志

    • Security Command Center 中自动提供了异常值检测发现结果。 新手入门后,可以按照配置 Security Command Center 服务中的步骤停用异常值检测。

    • 虽然未列出,但当您选择付费级别时,系统会自动启用安全状况服务

  1. 授予角色中,向 Security Command Center 的服务代理授予所需的 IAM 角色。

    向服务代理授予这些角色,即表示您向 Security Command Center 及其检测服务提供了执行其功能所需的权限。

    服务账号名称采用以下格式:

    • service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

      您需要向此服务代理授予 roles/securitycenter.serviceAgent IAM 角色。

    • service-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.com

      您向此服务代理授予 roles/containerthreatdetection.serviceAgent IAM 角色。

    该服务代理包含贵组织的数字标识符,以代替 ORGANIZATION_ID

    如需添加角色,请点击授予角色

    或者,您可以通过完成以下步骤来手动授予角色:

    1. 展开手动授予角色部分,然后复制 gcloud CLI 命令。
    2. 在 Google Cloud 控制台工具栏中,点击激活 Cloud Shell
    3. 在分隔的终端窗口中,粘贴您复制的 gcloud CLI 命令,然后按 Enter 键。

    如需了解与这些角色关联的权限,请参阅访问权限控制

  1. 完成设置中,查看信息,然后点击完成

    设置完毕后,Security Command Center 会启动初始资产扫描,之后您可以使用 Google Cloud 控制台审核并修复项目中的 Google Cloud 安全和数据风险。

    对某些产品启动扫描之前可能会有延迟。请阅读 Security Command Center 延迟时间概览以详细了解激活过程。

  2. 查看每项服务的文档,了解您是否可以进一步测试或优化该服务。

    例如,Event Threat Detection 依赖于 Google Cloud 生成的日志。某些日志始终处于启用状态,因此 Event Threat Detection 可以在启用后立即开始扫描它们。其他日志(例如大多数数据访问审核日志)必须先激活,然后 Event Threat Detection 才能扫描。如需了解详情,请参阅日志类型和激活要求

    如需详细了解如何测试和使用每种内置服务,请参阅以下页面:

从标准层级升级到高级层级

如需从 Security Command Center 标准层级升级到 Security Command Center 高级层级,请完成以下步骤。如果您想使用订阅,请先与 Google Cloud 销售团队联系。

如果贵组织需要 Security Command Center 高级层级提供的额外威胁检测和安全状况功能,请完成此任务。

  1. 在 Google Cloud 控制台中,前往 Security Command Center。

    前往 Security Command Center

  2. 选择要升级到 Security Command Center 高级层级的组织,然后点击选择

  3. 在 Security Command Center 页面上,点击获取高级层级

  4. 更改层级中,确认已选择高级。点击下一步

  5. 审核服务部分,启用所需的服务

  6. 点击更新层级

从高级层级的订阅选项更改为随用随付选项

如果您之前使用订阅激活了 Security Command Center 高级层级,则可以在订阅到期之前注册按需付费的 Security Command Center。此注册有助于确保贵组织能够无中断地访问 Security Command Center 高级层级。此价格变动将在您的订阅到期后生效。

  1. 在 Google Cloud 控制台中,前往 Security Command Center。

    前往 Security Command Center

  2. 选择您要更改定价选项的组织,然后点击选择

  3. 在 Security Command Center 概览 页面上,点击设置。此时会打开设置页面,并显示服务标签页。

  4. 设置页面上,点击层级详细信息。此时会打开层级页面。

  5. 点击管理层级

  6. 更改层级页面中,验证是否选择了高级,然后点击下一步

  7. 审核服务页面中,查看您已启用的服务,然后点击更新层级

从高级层级的按需付费选项降级为标准层级

如需从 Security Command Center 高级层级的随用随付付款方式更改为 Security Command Center 标准层级,请完成以下步骤。默认情况下,如果您有一项订阅,当订阅到期时,系统会自动将您降级为标准层级。

降级到 Security Command Center 标准版后,您将无法再使用高级版服务和功能。在进行此更改之前,请先验证贵组织的安全风险信号不会受到不利影响。

虽然 Security Command Center 标准层级是免费的,但您可能仍会产生间接费用。如需了解详情,请参阅与 Security Command Center 相关的可能的间接费用

如果您在完成此任务后在组织级层升级回高级层级,则高级层级服务的配置设置会恢复。

  1. 在 Google Cloud 控制台中,前往 Security Command Center。

    前往 Security Command Center

  2. 选择要降级 Security Command Center 层级的组织,然后点击选择

  3. 在 Security Command Center 概览 页面上,点击设置。此时会打开设置页面,并显示服务标签页。

  4. 设置页面上,点击层级详细信息。此时会打开层级页面。

  5. 点击管理层级

  6. 更改层级页面中,验证是否选择了标准,然后点击下一步

  7. 审核服务页面中,查看您已启用的服务,然后点击更新层级

从高级层级的项目级激活更改为组织级激活

如需从项目级激活更改为组织级激活,您可以按照首次为组织激活 Security Command Center 中所述的激活流程操作。

以下价格变动将生效:

  • 组织级激活涵盖 Security Command Center 高级层级的使用。
  • Security Command Center 的组织级激活价格条款将成为有效价格条款。系统会针对产生用量的项目报告费用。

如果您改为在组织级层激活 Security Command Center,请勿删除在项目级层激活 Security Command Center 时创建的 Security Command Center 服务账号。如果您删除该服务账号,某些 Security Health Analytics 检测器可能无法正常运行。

监控高级层级费用

如需监控与 Security Command Center 高级层级相关的费用,您可以使用 Cloud Billing。您可以将结算数据导出到 BigQuery 进行详细分析,也可以创建预算并设置支出提醒。如需了解详情,请参阅 Monitor 费用

后续步骤