Esta página descreve como configurar o serviço de detecção do Security Command Center Cloud Infrastructure Entitlement Management (CIEM) para detectar problemas de identidade nas implantações em outras plataformas de nuvem, como Amazon Web Services (AWS) e Microsoft Azure (pré-lançamento).
O serviço de detecção do CIEM gera descobertas que alertam sobre possíveis problemas de segurança de identidade e acesso nos seus ambientes da AWS e do Microsoft Azure, como identidades (contas) com privilégios elevados.
Antes de começar
Antes de ativar o serviço de detecção do CIEM, conclua as seguintes tarefas:
- Compre e ative o nível Enterprise do Security Command Center para sua organização. Para instruções, consulte Ativar o nível Enterprise do Security Command Center.
- Saiba mais sobre os recursos de CIEM do Security Command Center.
Configurar permissões
Para receber as permissões necessárias para ativar o CIEM, peça ao administrador para conceder a você os seguintes papéis do IAM na Google Cloud organização:
- Administrador da API Chronicle (roles/chronicle.admin)
- Administrador do Chronicle SOAR (roles/chronicle.soarAdmin)
- Administrador de serviço do Chronicle (roles/chroniclesm.admin)
- Proprietário de recursos do Cloud (roles/cloudasset.owner)
- Criador de contas de serviço (roles/iam.serviceAccountCreator)
- Administrador de pastas do IAM (roles/resourcemanager.folderIamAdmin)
- Administrador de recomendações do IAM (roles/recommender.iamAdmin)
- Administrador da organização (roles/resourcemanager.organizationAdmin)
- Administrador de papéis da organização (roles/iam.roleAdmin)
- Criador de projetos (roles/resourcemanager.projectCreator)
- Administrador de IAM do projeto (roles/resourcemanager.projectIamAdmin)
- Administrador de segurança (roles/iam.securityAdmin)
- Administrador da Central de segurança (roles/securitycenter.admin)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
Configurar componentes de suporte para CIEM
Para ativar o serviço de detecção do CIEM e produzir descobertas para os provedores de nuvem, configure determinados componentes de suporte no Security Command Center.
Usar o CIEM com a AWS
Para ativar o serviço de detecção do CIEM para a AWS, faça o seguinte:
- Configurar a integração da Amazon Web Services (AWS): conecte seu ambiente da AWS ao Security Command Center. Para instruções, consulte Conectar-se à AWS.
- Configurar integrações: configure integrações opcionais do Security Command Center, como a conexão com seus sistemas de tíquetes:
- Para conectar seu sistema de tíquetes, integre o Security Command Center Enterprise a ele.
- Para sincronizar dados de casos, ative a sincronização de casos.
- Configurar a ingestão de registros: para configurar a ingestão de registros de forma adequada para a CIEM, configure a ingestão de registros da AWS para CIEM.
Usar a CIEM com o Microsoft Azure
Para ativar o serviço de detecção do CIEM para o Microsoft Azure, faça o seguinte:
- Configurar a integração do Microsoft Azure: conecte seu ambiente do Microsoft Azure ao Security Command Center. Para instruções, consulte Conectar-se ao Microsoft Azure.
- Configurar integrações: configure integrações opcionais do Security Command Center, como a conexão com seus sistemas de tíquetes:
- Para conectar seu sistema de tíquetes, integre o Security Command Center Enterprise a sistemas de tíquetes.
- Para sincronizar dados de casos, ative a sincronização de casos.
- Configurar a ingestão de registros: para configurar a ingestão de registros de forma adequada para a CIEM, configure a ingestão de registros do Microsoft Azure para a CIEM.
Usar o CIEM com Google Cloud
A maioria dos recursos de CIEM do Security Command Center funciona por padrão no seu Google Cloud ambiente e não requer nenhuma configuração extra. Como parte dos recursos de CIEM do Security Command Center, as descobertas são produzidas automaticamente para Google Cloud desde que você tenha uma assinatura ativa do Security Command Center Enterprise.
A seguir
- Saiba como investigar descobertas de identidade e acesso.
- Saiba como analisar casos de problemas de identidade e acesso.
- Saiba mais sobre os papéis do Security Command Center.