本页面介绍了如何为组织激活 Security Command Center 标准层级或高级层级。如果您已为组织设置 Security Command Center,请参阅使用 Security Command Center 指南。
Security Command Center 提供三种服务层级:标准、高级和企业。您选择的层级决定了您可以使用的功能以及使用 Security Command Center 的费用。如需激活 Enterprise 层级,请参阅激活 Security Command Center Enterprise 层级。
如需在组织级层激活 Security Command Center 专业版层级,请在 Google Cloud 控制台中选择基于用量的自助式价格选项。
首次激活 Security Command Center 时,您可以启用数据驻留控制措施。激活后,您就无法启用或停用数据驻留控制措施。如需了解详情,请参阅数据驻留支持。
如需详细了解每个层级提供的内置 Security Command Center 服务,请参阅 Security Command Center 层级。
如需了解与使用 Security Command Center 相关的费用,请参阅pricing页面。
如需仅为项目激活 Security Command Center,请参阅为项目激活 Security Command Center。
前提条件
激活 Security Command Center 之前,您需要一个组织、适当的 Identity and Access Management (IAM) 权限以及适当的组织政策。
创建组织
Security Command Center 需要与网域关联的组织资源。如果您尚未创建组织,请参阅创建和管理组织。
设置权限
如需设置 Security Command Center,您需要以下 IAM 角色:
- 组织管理员
roles/resourcemanager.organizationAdmin - Security Center Admin
roles/securitycenter.admin - Security Admin
roles/iam.securityAdmin - Create Service Accounts
roles/iam.serviceAccountCreator
详细了解 Security Command Center 角色。
验证组织政策
如果您的组织政策已设为 按网域限制身份:
- 您必须使用在允许的网域中的账号登录 Google Cloud 控制台。
- 您的服务账号必须位于允许的网域中,或是您网域内某个群组的成员。此要求允许您在启用网域限定共享后,允许使用
@*.gserviceaccount.com服务帐号的服务访问资源。
如果您的组织政策设置为限制资源用量,请确认是否已允许 securitycenter.googleapis.com。
组织的激活场景
本页面介绍以下激活场景:
- 在从未激活 Security Command Center 的组织中,为组织激活 Security Command Center 的高级层级或标准层级。
- 在使用标准层级的组织中,为组织激活 Security Command Center 高级层级。
- 在使用即将过期的高级层级订阅的组织中,请更改为基于用量的价格选项。
首次为组织激活 Security Command Center
如需首次为组织激活 Security Command Center,请按照 Google Cloud 控制台中的引导式激活流程选择服务层级,启用数据驻留控制措施,并启用所需的检测服务。然后,选择要监控的资源或资产,并向所需服务帐号授予权限。
如需在组织级别激活 Security Command Center 高级层级,请完成以下步骤。
转到 Google Cloud 控制台中的 Security Command Center。
在组织列表中,选择要为其启用 Security Command Center 的组织,然后点击选择。
系统随即会打开获取 Security Command Center 窗口。
在选择层级中,选择一个层级。
点击下一步。此时会打开选择服务页面。
可选:通过选择以下选项启用 Security Command Center 数据驻留控件:
在数据驻留下,选择启用数据驻留。
启用数据驻留后,如果 Security Command Center 服务检测到位于 Security Command Center 支持的数据位置的资源存在安全问题,则 Security Command Center 会自动将生成的发现结果记录存储在受影响资源所在的 Security Command Center 位置。
在选择默认位置字段中,选择 Security Command Center 的默认位置,用于存储不在 Security Command Center 支持的位置或未在元数据中指定位置的资源的发现结果。
在服务部分中,启用所需的内置 Security Command Center 服务。每项已启用的服务都会扫描所有受支持的资源,并报告整个组织的发现结果。要停用任何服务,请点击相应服务名称旁边的列表,然后选择停用。
如果标准层级已启用,您可以先配置高级服务的启用,然后再激活高级层级。只有稍后为组织激活高级层级后,配置才会应用。
以下是特定服务的说明:
为使 Container Threat Detection 正常运行,请确保集群采用了受支持的 Google Kubernetes Engine (GKE) 版本,并且 GKE 集群已正确配置。如需了解详情,请参阅使用 Container Threat Detection。
Event Threat Detection 依赖于 Google Cloud 生成的日志。如需使用 Event Threat Detection,请为您的组织、文件夹和项目启用日志。
Security Command Center 中自动提供了异常值检测发现结果。 初始配置后,您可以按照配置 Security Command Center 服务中的步骤停用异常值检测。
虽然未列出,但当您选择高级层级时,系统会自动启用 Security Posture 服务。
在授予角色中,向 Security Command Center 的服务代理授予必需的 IAM 角色。
通过向服务代理授予角色,您可以提供 Security Command Center 及其检测服务执行其功能所需的权限。
服务帐号名称采用以下格式:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com.您可以将
securitycenter.serviceAgentIAM 角色授予此服务帐号。service-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.com.您可以将
roles/containerthreatdetection.serviceAgentIAM 角色授予此服务帐号。
该服务账号包含您的组织的数字标识符,以代替
ORGANIZATION_ID。如需添加角色,请点击授予角色。
或者,您可以通过完成以下步骤来手动授予角色:
- 展开手动授予角色部分,然后复制 gcloud CLI 命令。
- 在 Google Cloud 控制台工具栏中,点击激活 Cloud Shell。
- 在分隔的终端窗口中,粘贴您复制的 gcloud CLI 命令,然后按 Enter 键。
如需了解与这些角色关联的权限,请参阅访问权限控制。完成以下操作之一:
在完成设置中,查看信息,然后点击完成。
设置完之后,Security Command Center 将启动初始资源扫描,之后您可以使用 Google Cloud 控制台审核并修复项目中的 Google Cloud 安全和数据风险。
对某些产品启动扫描之前可能会有延迟。请阅读 Security Command Center 延迟时间概览以详细了解激活过程。
查看每项服务的文档,了解您是否可以进一步测试或优化该服务。
例如,Event Threat Detection 依赖于 Google Cloud 生成的日志。某些日志始终处于启用状态,因此 Event Threat Detection 可以在启用后立即开始扫描它们。其他日志(例如大多数数据访问审核日志)必须先激活,然后 Event Threat Detection 才能扫描。如需了解详情,请参阅日志类型和激活要求。
如需详细了解如何测试和使用每种内置服务,请参阅以下页面:
从标准层级升级到高级层级
如需从 Security Command Center 标准层级升级到 Security Command Center 高级层级,请完成以下步骤。如果您想使用订阅,请先与 Google Cloud 销售人员联系。
如果您的组织需要 Security Command Center 高级层级提供的其他威胁检测和安全状况功能,请完成此任务。
转到 Google Cloud 控制台中的 Security Command Center。
在组织列表中,选择要升级到 Security Command Center 高级层级的组织,然后点击选择。
在 Security Command Center 页面上,点击获取高级层级。
在更改层级中,确认已选择高级。点击下一步。
在查看服务中,启用所需的服务。
点击更新层级。
从高级层级的订阅选项更改为基于用量选项
如果您之前使用订阅激活了 Security Command Center 高级层级,则可以在订阅到期之前注册基于用量价格的 Security Command Center。此注册可确保您的组织不会失去 Security Command Center 高级层级提供的安全功能。这项价格变动将在您的订阅到期后生效。
转到 Google Cloud 控制台中的 Security Command Center。
在组织列表中,选择要为其更改价格选项的组织,然后点击选择。
在 Security Command Center 概览 页面上,点击设置。此时会打开设置页面,并显示服务标签页。
在设置页面上,点击层级详细信息。此时会打开层级页面。
点击管理层级。
在更改层级页面中,验证是否选择了高级,然后点击下一步。
在查看服务页面中,查看已启用的服务,然后点击更新层级。
从高级层级基于用量的选项降级为标准层级
如需从 Security Command Center 高级层级基于用量的付款方式更改为 Security Command Center 标准层级,请完成以下步骤。默认情况下,如果您有一项订阅,当订阅到期时,系统会自动将您降级为标准层级。
降级为 Security Command Center 标准层级后,您将无法再使用高级层级服务和功能。在进行此项更改之前,请确认贵组织的安全风险概况未受到负面影响。
虽然 Security Command Center 标准层级是免费的,但您可能仍会产生间接费用。如需了解详情,请参阅可能与 Security Command Center 相关的间接费用。
如果您在完成此任务后在组织级层升级回高级层级,则高级层级服务的配置设置会恢复。
转到 Google Cloud 控制台中的 Security Command Center。
在组织列表中,选择要为哪个组织降级 Security Command Center 层级,然后点击选择。
在 Security Command Center 概览 页面上,点击设置。此时会打开设置页面,并显示服务标签页。
在设置页面上,点击层级详细信息。此时会打开层级页面。
点击管理层级。
在更改层级页面中,确认已选择标准,然后点击下一步。
在查看服务页面中,查看已启用的服务,然后点击更新层级。
从高级层级的项目级激活更改为高级层级的组织级激活
如需从项目级激活更改为组织级激活,您可以按照首次为组织激活 Security Command Center 中所述的激活流程进行操作。
适用的价格变更如下:
- Security Command Center 高级层级的使用在组织级激活的涵盖范围内。
- Security Command Center 的组织级激活价格条款将成为有效的价格条款。系统会针对产生用量的项目报告费用。
如果更改为组织级激活,请勿删除在项目级激活 Security Command Center 时创建的 Security Command Center 服务帐号。如果您确实删除了服务帐号,某些 Security Health Analytics 检测器可能无法正常运行。
监控高级层级费用
如需监控与 Security Command Center 高级层级相关的费用,您可以使用 Cloud Billing。您可以将结算数据导出到 BigQuery 以进行详细分析,或者创建带有支出提醒的预算。如需了解详情,请参阅监控费用。
后续步骤
- 了解如何配置 Security Command Center 服务。
- 了解如何使用 Google Cloud 控制台中的 Security Command Center。
- 了解如何处理 Security Command Center 发现结果。
- 了解 Google Cloud 安全来源。