Configurer les services Security Command Center

Deux types de services s'exécutent sur Security Command Center : les services prédéfinis et les services intégrés. Les services intégrés font partie de Security Command Center. Les services intégrés sont des services Google Cloud ou tiers qui fournissent les résultats à Security Command Center.

Cette page explique comment configurer les services intégrés et les services intégrés.

Activer ou désactiver un service intégré

Les services intégrés suivants font partie de Security Command Center :

• Container Threat Detection
• Event Threat Detection
• Security Health Analytics
• Stratégie de sécurité
• Service d'actions sensibles
• Virtual Machine Threat Detection
• Évaluation des failles pour Amazon Web Services (AWS)
• Web Security Scanner

Certains services intégrés ne sont disponibles qu'avec les niveaux Premium ou Enterprise de Security Command Center. Apprenez-en plus sur les différents niveaux de Security Command Center.

Vous ne pouvez pas activer ni désactiver le service d'état de sécurité. Il est disponible par défaut lorsque vous activez le niveau Security Command Center Enterprise.

La plupart des services intégrés peuvent être activés pour l'ensemble de votre organisation ou uniquement pour certains dossiers ou projets. Par défaut, les dossiers et les projets héritent des paramètres d'activation du service de leur organisation ou dossier parent.

L'évaluation des failles pour le service AWS ne peut être activée que pour une organisation Google Cloud et nécessite que vous établissiez une connexion entre Security Command Center et AWS.

Le service Container Threat Detection ne peut être activé que pour les clusters. Pour en savoir plus sur les autorisations requises pour la détection des menaces dans les conteneurs, consultez la section Autorisations IAM requises.

Pour activer ou désactiver un service Security Command Center pour une ressource, procédez comme suit:

1. Dans la console Google Cloud, accédez à la page Security Command Center.

   Accéder à Security Command Center

2. Sélectionnez l'organisation, le dossier ou le projet pour lesquels vous devez gérer les services.

3. Cliquez sur settings Paramètres.

4. Pour le service que vous souhaitez modifier, cliquez sur Gérer les paramètres.

5. Dans l'onglet Activation du service, dans la vue hiérarchique des ressources, sélectionnez l'organisation, le dossier, le projet ou le conteneur pour lesquels vous devez activer le service. Si vous activez le service d'évaluation des failles pour AWS, sélectionnez Activer.

6. Pour cette ressource, définissez le service sur Enable (Activer), Disable (Désactiver) ou Inherit (Hériter).

Certains services, comme Security Health Analytics, fonctionnent à l'aide d'analyses par lot. Lorsque vous désactivez un tel service, il est possible que la modification ne soit pas immédiatement prise en compte. Le changement prend effet une fois tous les scans par lot en cours terminés. Cela peut entraîner un scénario où de nouvelles failles sont toujours détectées pendant une courte période après la désactivation du service.

Afficher et modifier les détecteurs d'un service

Pour certains services (par exemple, Security Health Analytics), vous pouvez activer ou désactiver certains détecteurs, également appelés modules. Pour configurer les détecteurs d'un service et afficher leur état actuel, procédez comme suit:

1. Dans la console Google Cloud, accédez à la page Security Command Center.

   Accéder à Security Command Center

2. Sélectionnez l'organisation, le dossier ou le projet pour lesquels vous devez gérer les services.

3. Cliquez sur settings Paramètres.

4. Pour le service que vous souhaitez afficher, cliquez sur Gérer les paramètres.

5. Cliquez sur l'onglet Modules. Les détecteurs du service s'affichent, ainsi que leurs états respectifs.

6. Recherchez le détecteur que vous souhaitez modifier, puis définissez son état sur Activer ou Désactiver.

Ajouter des services Google Cloud intégrés à Security Command Center

Vous pouvez ajouter un service intégré à une activation de Security Command Center au niveau de l'organisation. Les activations au niveau du projet ne sont pas compatibles avec les services Google Cloud intégrés.

Voici les services de sécurité Google Cloud qui s'intègrent aux activations de Security Command Center au niveau de l'organisation:

• Assured Open Source Software (Assured OSS)
• Mandiant Attack Surface Management
• Détection d'anomalies
• Google Cloud Armor
• Outil de recommandation IAM
• Sensitive Data Protection
• VM Manager (bêta)

Certains services intégrés ne sont disponibles qu'avec les niveaux Premium ou Enterprise de Security Command Center. Apprenez-en plus sur les différents niveaux de Security Command Center.

Pour en savoir plus sur ces services, consultez la section Services de détection des failles et des menaces.

1. Dans la console Google Cloud, accédez à la page Security Command Center.

   Accéder à Security Command Center

2. Sélectionnez votre organisation ou votre projet.

3. Cliquez sur settings Paramètres.

4. Cliquez sur l'onglet Services intégrés.

5. À côté de la source intégrée que vous souhaitez activer, cliquez sur la liste État, puis sélectionnez Activer.

Les résultats des services que vous activez s'affichent sur la page Résultats du tableau de bord Security Command Center.

Certains services de sécurité Google Cloud nécessitent que vous effectuiez des étapes d'intégration supplémentaires. Consultez les références suivantes :

• Pour configurer l'intégration d'Assured OSS, consultez la section Intégrer à Assured OSS.
• Pour configurer l'intégration de la protection des données sensibles, consultez la page Intégrer à la protection des données sensibles.

Pour désactiver un service intégré, cliquez sur la liste à côté de son nom, puis sélectionnez Désactiver.

Ajouter un service de sécurité tiers

Les activations de Security Command Center au niveau de l'organisation peuvent afficher les résultats de services de sécurité tiers enregistrés en tant que partenaires Cloud Marketplace.

Les activations de Security Command Center au niveau du projet ne sont pas compatibles avec les services tiers.

Pour intégrer des services de sécurité qui ne sont pas enregistrées en tant que partenaires Cloud Marketplace, demandez à votre fournisseur de suivre le guide intitulé Intégrer en tant que partenaire Security Command Center.

Pour ajouter un service de sécurité tiers à Security Command Center, configurez le service de sécurité, puis activez-le dans la console Google Cloud.

Avant de commencer

Pour ajouter un service de sécurité pour un partenaire de place de marché Cloud enregistré, vous avez besoin des éléments suivants:

• Les rôles de gestion de l'authentification et des accès (IAM) suivants :
  • Administrateur du centre de sécurité (roles/securitycenter.admin)
  • Administrateur de compte de service (roles/iam.serviceAccountAdmin)
• Un projet Google Cloud que vous souhaitez utiliser pour le service de sécurité.

Configurer un service de sécurité

Pour configurer un service de sécurité tiers, vous avez besoin d'un compte de service pour ce service. Lorsque vous ajoutez le service de sécurité, vous avez le choix entre les options de compte de service suivantes :

• Créer un compte de service
• Utilisez votre propre compte de service existant
• Utilisez un compte de service du fournisseur de services

Pour configurer un nouveau service de sécurité déjà enregistré en tant que partenaire de place de marché Cloud, procédez comme suit:

1. Accédez à la page Place de marché de Security Command Center dans la console Google Cloud.

   Accéder à Marketplace

2. La page Place de marché affiche les services de sécurité directement associés à Security Command Center.

   • Si vous ne voyez pas le service de sécurité que vous souhaitez ajouter, recherchez Security (Sécurité), puis sélectionnez le fournisseur de service de sécurité.
   • Si le fournisseur de services de sécurité n'est pas enregistré dans Cloud Marketplace, demandez-lui de suivre le guide Intégrer en tant que partenaire Security Command Center.

3. Sur la page du fournisseur de services de sécurité de la place de marché Cloud, suivez les instructions de configuration du fournisseur dans la présentation.

Une fois la configuration effectuée, le service de sécurité que vous avez ajouté est disponible dans Security Command Center.

Après avoir configuré un nouveau service de sécurité, vous devez l'activer dans la console Google Cloud.

Activer le service de sécurité

Les services de sécurité tiers utilisent des comptes de service qui peuvent se trouver en dehors de votre organisation.

1. Dans la console Google Cloud, accédez à la page Security Command Center.

   Accéder à Security Command Center

2. Sélectionnez votre organisation ou votre projet.

3. Cliquez sur settings Paramètres.

4. Cliquez sur l'onglet Services intégrés.

5. À côté de la source intégrée que vous souhaitez activer, cliquez sur la liste État, puis sélectionnez Activer.

Les résultats des services que vous activez s'affichent sur la page Résultats du tableau de bord Security Command Center.

Modifier le compte de service d'un service de sécurité

Vous pouvez modifier le compte de service utilisé pour un service de sécurité tiers ; par exemple, pour traiter les fuites ou la rotation des comptes de service. Pour modifier le compte de service d'un service de sécurité, vous devez le mettre à jour dans la console Google Cloud. Ensuite, suivez les instructions du fournisseur de services pour mettre à jour le compte de service associé à son service.

1. Dans la console Google Cloud, accédez à la page Security Command Center.

   Accéder à Security Command Center

2. Sélectionnez votre organisation ou votre projet.

3. Cliquez sur settings Paramètres.

4. Cliquez sur l'onglet Services intégrés.

5. Dans la liste déroulante située à côté du service intégré :

   1. Sélectionnez Désactivé pour désactiver temporairement le service intégré.
   2. Sélectionnez Gérer le compte de service.

6. Dans le panneau Modifier [nom du fournisseur] qui s'affiche, saisissez le nouveau compte de service, puis cliquez sur Envoyer.

7. Dans la liste déroulante située à côté du service intégré, sélectionnez Activé pour activer le service de sécurité.

Lorsqu'il est correctement configuré, le compte de service du service intégré est mis à jour dans Security Command Center. Suivez les instructions du fournisseur correspondant au service pour mettre à jour les informations du compte de service associé à son service.

Étape suivante

• Découvrez les services de sécurité Google Cloud et comment afficher les failles et les menaces qu'ils mettent en évidence.
• Découvrez comment optimiser Security Command Center.
• Exporter des journaux vers Cloud Logging
• Configurez les scores d'exposition aux attaques pour évaluer les risques.