Cette page explique comment configurer le service de détection CIEM (Cloud Infrastructure Entitlement Management) de Security Command Center pour détecter les problèmes d'identité dans vos déploiements sur d'autres plates-formes cloud, comme Amazon Web Services (AWS) et Microsoft Azure (aperçu).
Le service de détection CIEM génère des résultats qui vous alertent sur les problèmes potentiels de sécurité liés à l'identité et à l'accès dans vos environnements AWS et Microsoft Azure, tels que les identités (comptes) disposant de privilèges élevés.
Avant de commencer
Avant d'activer le service de détection CIEM, effectuez les tâches suivantes :
- Souscrivez le niveau Enterprise de Security Command Center et activez-le pour votre organisation. Pour obtenir des instructions, consultez Activer le niveau Security Command Center Enterprise.
- En savoir plus sur les fonctionnalités CIEM de Security Command Center
Configurer les autorisations
Pour obtenir les autorisations nécessaires pour activer CIEM, demandez à votre administrateur de vous accorder les rôles IAM suivants dans votre organisation Google Cloud :
- Administrateur de l'API Chronicle (roles/chronicle.admin)
- Administrateur Chronicle SOAR (roles/chronicle.soarAdmin)
- Administrateur du service Chronicle (roles/chroniclesm.admin)
- Propriétaire d'éléments Cloud (roles/cloudasset.owner)
- Créer des comptes de service (roles/iam.serviceAccountCreator)
- Administrateur IAM de dossier (roles/resourcemanager.folderIamAdmin)
- Administrateur de l'outil de recommandation IAM (roles/recommender.iamAdmin)
- Administrateur de l'organisation (roles/resourcemanager.organizationAdmin)
- Administrateur des rôles de l'organisation (roles/iam.roleAdmin)
- Créateur de projet (roles/resourcemanager.projectCreator)
- Administrateur de projet IAM (roles/resourcemanager.projectIamAdmin)
- Administrateur de sécurité (roles/iam.securityAdmin)
- Administrateur du centre de sécurité (roles/securitycenter.admin)
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
Configurer les composants compatibles pour CIEM
Pour permettre au service de détection CIEM de générer des résultats pour vos fournisseurs de services cloud, vous devez configurer certains composants compatibles dans Security Command Center.
Utiliser CIEM avec AWS
Pour activer le service de détection CIEM pour AWS, procédez comme suit :
- Configurer l'intégration d'Amazon Web Services (AWS) : connectez votre environnement AWS à Security Command Center. Pour obtenir des instructions, consultez Se connecter à AWS.
- Configurer les intégrations : configurez les intégrations Security Command Center facultatives, par exemple en vous connectant à vos systèmes de demandes d'assistance :
- Pour connecter votre système de suivi des demandes, intégrez Security Command Center Enterprise à des systèmes de suivi des demandes.
- Pour synchroniser les données des demandes, activez la synchronisation des demandes.
- Configurer l'ingestion des journaux : pour configurer correctement l'ingestion des journaux pour CIEM, consultez Configurer l'ingestion des journaux AWS pour CIEM.
Utiliser CIEM avec Microsoft Azure
Pour activer le service de détection CIEM pour Microsoft Azure, procédez comme suit :
- Configurer l'intégration de Microsoft Azure : connectez votre environnement Microsoft Azure à Security Command Center. Pour obtenir des instructions, consultez Se connecter à Microsoft Azure.
- Configurer les intégrations : configurez les intégrations Security Command Center facultatives, par exemple en vous connectant à vos systèmes de demandes d'assistance :
- Pour connecter votre système de suivi des demandes, consultez Intégrer Security Command Center Enterprise à des systèmes de suivi des demandes.
- Pour synchroniser les données des demandes, activez la synchronisation des demandes.
- Configurer l'ingestion des journaux : pour configurer l'ingestion des journaux de manière appropriée pour CIEM, consultez Configurer l'ingestion des journaux Microsoft Azure pour CIEM.
Utiliser CIEM avec Google Cloud
La plupart des fonctionnalités CIEM de Security Command Center fonctionnent par défaut pour votre environnement Google Cloud et ne nécessitent aucune configuration supplémentaire. Dans le cadre des fonctionnalités CIEM de Security Command Center, les résultats sont générés automatiquement pour Google Cloud tant que vous êtes abonné à Security Command Center.
Étapes suivantes
- Découvrez comment examiner les résultats concernant l'identité et les accès.
- Découvrez comment examiner les demandes concernant les problèmes d'identité et d'accès.
- Apprenez-en plus sur les rôles Security Command Center.