Ative o nível Standard ou Premium do Security Command Center para uma organização

Esta página mostra como ativar o nível Standard ou Premium do Security Command Center para uma organização. Se o Security Command Center já estiver configurado para a sua organização, consulte o guia para usar o Security Command Center.

O Security Command Center oferece três níveis de serviço: Standard, Premium e Enterprise. O nível que selecionar determina as funcionalidades que estão disponíveis para si e o custo de utilização do Security Command Center. Para ativar o nível Enterprise, consulte o artigo Ative o nível Enterprise do Security Command Center.

Para ativar o nível Premium do Security Command Center ao nível da organização, selecione uma opção de preços de autosserviço e de pagamento conforme a utilização na Google Cloud consola.

Pode ativar os controlos de residência de dados quando ativa o Security Command Center pela primeira vez. Após a ativação, não pode ativar nem desativar os controlos de residência de dados. Para mais informações, consulte o artigo Suporte de residência de dados.

Para ver informações detalhadas sobre os serviços incorporados do Security Command Center disponíveis em cada nível, consulte os níveis de serviço.

Para obter informações sobre os custos associados à utilização do Security Command Center, consulte a página de preços.

Para ativar o Security Command Center apenas para um projeto, consulte o artigo Ative o Security Command Center para um projeto.

Pré-requisitos

Antes de ativar o Security Command Center, precisa de uma organização, das autorizações de gestão de identidade e de acesso (IAM) adequadas e das políticas da organização adequadas.

Criar uma entidade

O Security Command Center requer um recurso de organização associado a um domínio. Se ainda não criou uma organização, consulte o artigo Criar e gerir organizações.

Configure as autorizações

Para configurar o Security Command Center, precisa das seguintes funções do IAM:

• Administrador da organização roles/resourcemanager.organizationAdmin
• Administrador do Centro de segurança roles/securitycenter.admin
• Administrador de segurança roles/iam.securityAdmin

Saiba mais sobre as funções do Security Command Center.

Valide as políticas da organização

Se as políticas da sua organização estiverem definidas para restringir identidades por domínio:

• Tem de ter sessão iniciada na Google Cloud consola numa conta que esteja num domínio permitido.
• As suas contas de serviço têm de estar num domínio permitido ou ser membros de um grupo no seu domínio. Este requisito permite-lhe autorizar serviços que usam a conta de serviço @*.gserviceaccount.com a aceder a recursos quando a partilha restrita por domínio está ativada.

Se as políticas da sua organização estiverem definidas para restringir a utilização de recursos, verifique se securitycenter.googleapis.com é permitido.

Cenários de ativação para uma organização

Esta página aborda os seguintes cenários de ativação:

• Numa organização que nunca ativou o Security Command Center, ative o nível Premium ou o nível Standard do Security Command Center para uma organização.
• Numa organização que usa o nível Standard, ative o nível Premium do Security Command Center para a organização.
• Numa organização que usa uma subscrição do nível Premium com data de validade, mude para a opção de preços de pagamento conforme o uso.

Ative o nível Premium do Security Command Center para uma organização pela primeira vez

Para ativar o Security Command Center numa organização pela primeira vez, segue um processo de ativação guiada na Google Cloud consola para escolher um nível de serviço e ativar os serviços de deteção de que precisa. Em seguida, seleciona os recursos ou os ativos a monitorizar e concede autorizações às contas de serviço necessárias.

Conclua os passos seguintes para ativar o nível do Security Command Center Premium ao nível da organização.

1. Na Google Cloud consola, aceda ao Security Command Center.

   Aceder ao Security Command Center

2. Selecione a organização para a qual quer ativar o Security Command Center e, de seguida, clique em Selecionar.

   É aberta a janela Obter Security Command Center.

3. Em Selecionar nível, selecione um nível.

4. Clicar em Seguinte. É apresentada a página Selecionar serviços.

5. Na secção Serviços, ative os serviços incorporados do Security Command Center de que precisa. Cada serviço ativado analisa todos os recursos suportados e comunica as conclusões para toda a sua organização. Para desativar um serviço, clique na lista junto ao nome do serviço e, de seguida, selecione Desativar.

   Se o nível Standard estiver ativado, pode configurar a ativação dos serviços Premium antes de ativar o nível Premium. A configuração não é aplicada até ativar o nível Premium para a organização mais tarde.

   Seguem-se notas para serviços específicos:

   • Para que a deteção de ameaças de contentores funcione corretamente, certifique-se de que os seus clusters estão numa versão suportada do Google Kubernetes Engine (GKE) e que os clusters do GKE estão configurados corretamente. Para mais informações, consulte o artigo Usar a Deteção de ameaças de contentores.

   • A Deteção de ameaças de eventos baseia-se nos registos gerados pelo Google Cloud. Para usar a Deteção de ameaças de eventos, ative os registos para a sua organização, pastas e projetos.

   • As conclusões da Deteção de anomalias estão automaticamente disponíveis no Security Command Center. Pode desativar a deteção de anomalias após a integração seguindo os passos em Configure os serviços do Security Command Center.

   • Embora não esteja listado, o serviço de postura de segurança é ativado automaticamente quando seleciona o nível Premium.

   Além disso, se precisar de usar uma chave de encriptação gerida pelo cliente (CMEK) para o Security Command Center, tem de concluir as tarefas em Configurar a CMEK para o Security Command Center antes de continuar. Se não usar as CMEK com o Security Command Center, a Google encripta os dados em repouso através da Google-owned and Google-managed encryption keys. Não pode alterar esta definição mais tarde.

6. Em Atribuir funções, atribua as funções IAM necessárias aos agentes de serviço para o Security Command Center.

   Ao conceder as funções aos agentes de serviço, está a fornecer as autorizações de que o Security Command Center e os respetivos serviços de deteção precisam para desempenhar as suas funções.

   Os nomes das contas de serviço estão nos seguintes formatos:

   • service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

     Concede a função do IAM roles/securitycenter.serviceAgent a este agente de serviço.

   • service-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.com

     Concede a função do roles/containerthreatdetection.serviceAgentIAM a este agente do serviço.

   Em vez de ORGANIZATION_ID, o agente do serviço contém o identificador numérico da sua organização.

   Para adicionar as funções, clique em Conceder funções.

   Em alternativa, pode conceder as funções manualmente, concluindo os seguintes passos:

   1. Expanda a secção Conceder funções manualmente e copie o comando da CLI gcloud.
   2. Na Google Cloud barra de ferramentas da consola, clique em Ativar Cloud Shell.
   3. Na janela do terminal apresentada, cole os comandos da CLI gcloud que copiou e, de seguida, prima Enter.

   Para saber mais sobre as autorizações associadas a estas funções, consulte o controlo de acesso.

7. Em Concluir configuração, reveja as informações e clique em Concluir.

   Quando terminar a configuração, o Security Command Center inicia uma análise inicial de recursos, após a qual pode usar a Google Cloud consola para rever e corrigir Google Cloud riscos de segurança e de dados no seu projeto.

   Pode haver um atraso antes de as análises serem iniciadas para alguns produtos. Leia a vista geral da latência do Security Command Center para saber mais sobre o processo de ativação.

8. Consulte a documentação de cada serviço para ver se pode testar ou otimizar ainda mais o serviço.

   Por exemplo, a Deteção de ameaças de eventos baseia-se em registos gerados pelo Google Cloud. Alguns registos estão sempre ativados, pelo que a Deteção de ameaças de eventos pode começar a analisá-los assim que é ativada. Outros registos, como a maioria dos registos de auditoria de acesso a dados, têm de ser ativados antes de a Deteção de ameaças de eventos os poder analisar. Para mais informações, consulte o artigo Tipos de registos e requisitos de ativação.

   Para mais informações sobre os testes e a utilização de cada um dos serviços integrados, consulte as seguintes páginas:

   • Use a Deteção de ameaças de contentores
   • Use a Deteção de ameaças de eventos
   • Use o Security Health Analytics
   • Use a deteção de ameaças de máquinas virtuais
   • Use o Web Security Scanner
   • Use o serviço de postura de segurança

Atualize do nível Standard para o nível Premium

Conclua os passos seguintes para atualizar do nível Standard do Security Command Center para o nível Premium do Security Command Center. Se quiser usar uma subscrição, contacte primeiro a equipa de Google Cloud vendas.

Conclua esta tarefa quando a sua organização exigir as capacidades adicionais de deteção de ameaças e postura de segurança que o nível Premium do Security Command Center oferece.

1. Na Google Cloud consola, aceda ao Security Command Center.

   Aceder ao Security Command Center

2. Selecione a organização para a qual está a atualizar para o nível Security Command Center Premium e, de seguida, clique em Selecionar.

3. Na página do Security Command Center, clique em Obter Premium.

4. Em Alterar nível, verifique se a opção Premium está selecionada. Clique em Seguinte.

5. Em Rever serviços, ative os serviços de que precisa.

6. Clique em Atualizar nível.

Mude de uma opção de subscrição do nível Premium para a opção de pagamento conforme o uso

Se ativou anteriormente o nível Premium do Security Command Center através de uma subscrição, pode inscrever o Security Command Center no preço de pagamento conforme o uso antes da expiração da subscrição. Esta inscrição ajuda a sua organização a aceder ao nível Premium do Security Command Center sem interrupções. Esta alteração de preço entra em vigor após a expiração da sua subscrição.

1. Na Google Cloud consola, aceda ao Security Command Center.

   Aceder ao Security Command Center

2. Selecione a organização para a qual quer alterar a opção de preços e, de seguida, clique em Selecionar.

3. Na página Vista geral do Security Command Center, clique em Definições. É apresentada a página Definições, que mostra o separador Serviços.

4. Na página Definições, clique em Detalhes do nível. A página Nível é aberta.

5. Clique em Gerir nível.

6. Na página Alterar nível, verifique se a opção Premium está selecionada e clique em Seguinte.

7. Na página Rever serviços, reveja os serviços que ativou e clique em Atualizar o seu nível.

Altere a opção de pagamento conforme o uso do Nível premium para o Nível Standard

Conclua os passos seguintes para alterar a opção de pagamento pré-pago do nível Premium do Security Command Center para o nível Standard do Security Command Center. Por predefinição, se tiver uma subscrição, a sua conta é automaticamente mudada para o nível Standard quando a subscrição expira.

Quando altera para o nível padrão do Security Command Center, perde o acesso aos serviços e às funcionalidades do nível premium. Valide se o perfil de risco de segurança da sua organização não é afetado negativamente antes de fazer esta alteração.

Embora o nível Standard do Security Command Center seja gratuito, ainda pode ter encargos indiretos. Para mais informações, consulte o artigo Possíveis custos indiretos associados ao Security Command Center.

Se atualizar novamente para o nível Premium ao nível da organização após concluir esta tarefa, as definições de configuração dos serviços do nível Premium são restauradas.

1. Na Google Cloud consola, aceda ao Security Command Center.

   Aceder ao Security Command Center

2. Selecione a organização para a qual quer mudar o nível do Security Command Center e, de seguida, clique em Selecionar.

3. Na página Vista geral do Security Command Center, clique em Definições. É apresentada a página Definições, que mostra o separador Serviços.

4. Na página Definições, clique em Detalhes do nível. A página Nível é aberta.

5. Clique em Gerir nível.

6. Na página Alterar nível, verifique se a opção Padrão está selecionada e clique em Seguinte.

7. Na página Rever serviços, reveja os serviços que ativou e clique em Atualizar o seu nível.

Alteração da ativação do nível Premium do nível do projeto para o nível da organização

Para alterar de uma ativação ao nível do projeto para uma ativação ao nível da organização, pode seguir o processo de ativação descrito no artigo Ative o Security Command Center para uma organização pela primeira vez.

Aplicam-se as seguintes alterações de preços:

• A utilização do nível Premium do Security Command Center é abrangida pela ativação ao nível da organização.
• Os termos de preços para a ativação ao nível da organização do Security Command Center tornam-se os termos de preços efetivos. As cobranças são comunicadas em relação aos projetos onde a utilização ocorre.

Se mudar para uma ativação ao nível da organização, não elimine a conta de serviço do Security Command Center que foi criada quando ativou o Security Command Center ao nível do projeto. Determinados detetores do Security Health Analytics podem não funcionar corretamente se eliminar a conta de serviço.

Monitorize os seus custos com o Nível premium

Para monitorizar os custos associados ao nível Premium do Security Command Center, pode usar a Faturação do Google Cloud. Pode exportar dados de faturação para o BigQuery para uma análise detalhada ou criar um orçamento com alertas de gastos. Para mais informações, consulte o artigo Monitorize os custos.

O que se segue?

• Saiba como configurar os serviços do Security Command Center.
• Saiba como usar o Security Command Center na Google Cloud consola.
• Saiba como trabalhar com as conclusões do Security Command Center.
• Saiba mais sobre as Google Cloud origens de segurança.