Collecter les journaux de données Chrome Enterprise Premium

Cette page explique comment connecter votre organisation à Google Security Operations, activer l'API Identity-Aware Proxy (IAP) et configurer des flux pour ingérer les données suivantes dans Google Security Operations.

• Google Cloud Logs
• Appareils Cloud Identity
• Utilisateurs d'appareils Cloud Identity

Avant de commencer

Avant de configurer des flux pour ingérer les données Chrome Enterprise Premium, effectuez les tâches suivantes:

• Connectez votre Google Cloud organisation à Google Security Operations en suivant les sections suivantes :
  1. Activez l'ingestion de la télémétrie dans Google Security Operations.
  2. Activez l'exportation des journaux Google Cloud vers Google Security Operations.
• Activez l'API Cloud Identity et créez un compte de service pour authentifier l'API.
• Créez une délégation au niveau du domaine.
• Créez un utilisateur pour l'usurpation d'identité.

Activer l'API Cloud Identity et créer un compte de service

1. Dans la console Google Cloud, sélectionnez le projet Google Cloud pour lequel vous souhaitez activer l'API, puis accédez à la page API et services:

   Accéder à API et services

2. Cliquez sur Activer les API et les services.

3. Recherchez "API Cloud Identity".

4. Dans les résultats de recherche, cliquez sur API Cloud Identity.

5. Cliquez sur Activer.

6. Créez un compte de service :

   1. Dans la console Google Cloud, sélectionnez IAM et administration > Comptes de service.
   2. Cliquez sur Créer un compte de service.
   3. Sur la page Créer un compte de service, saisissez un nom pour le compte de service.
   4. Cliquez sur OK.

7. Sélectionnez le compte de service que vous avez créé.

8. Copiez et enregistrez l'ID qui s'affiche dans le champ ID unique. Vous utilisez cet ID lorsque vous créez une délégation au niveau du domaine.

9. Sélectionnez l'onglet Keys (clés).

10. Cliquez sur Ajouter une clé > Créer une clé.

11. Sélectionnez JSON comme type de clé.

12. Cliquez sur Créer.

13. Copiez et enregistrez la clé JSON. Vous utiliserez cette clé lorsque vous configurerez des flux.

Pour en savoir plus, consultez Activer l'API Cloud Identity et créer un compte de service pour authentifier l'API.

Créer une délégation au niveau du domaine

Pour contrôler l'accès à l'API pour le compte de service à l'aide de la délégation au niveau du domaine, procédez comme suit:

1. Sur la page d'accueil de la console d'administration Google, sélectionnez Sécurité > Contrôle des accès et des données > Commandes des API.
2. Sélectionnez Délégation au niveau du domaine > Gérer la délégation au niveau du domaine.
3. Cliquez sur Ajouter.
4. Saisissez l'ID client du compte de service. L'ID client du compte de service est l'ID unique que vous avez obtenu lorsque vous avez créé un compte de service.
5. Dans Champs d'application OAuth, saisissez https://www.googleapis.com/auth/cloud-identity.devices.readonly.
6. Cliquez sur Autoriser.

Pour en savoir plus, consultez Contrôler l'accès à l'API à l'aide de la délégation au niveau du domaine.

Créer un utilisateur pour l'usurpation d'identité

1. Sur la page d'accueil de la console d'administration Google, sélectionnez Annuaire > Utilisateurs.
2. Pour ajouter un utilisateur, procédez comme suit :
   1. Cliquez sur Ajouter un utilisateur.
   2. Saisissez un nom pour l'utilisateur.
   3. Saisissez l'adresse e-mail associée à l'utilisateur.
   4. Cliquez sur Créer, puis sur OK.
3. Pour créer un rôle et attribuer un droit, procédez comme suit :
   1. Sélectionnez le nom d'utilisateur que vous venez de créer.
   2. Cliquez sur Rôles et droits d'administrateur.
   3. Cliquez sur Créer un rôle personnalisé.
   4. Cliquez sur Créer un rôle.
   5. Saisissez un nom pour le rôle.
   6. Sélectionnez Services > Gestion des appareils mobiles, puis le droit Gérer les appareils et les paramètres.
   7. Cliquez sur Continuer.
4. Pour attribuer le rôle à l'utilisateur, procédez comme suit :
   1. Cliquez sur Attribuer des utilisateurs.
   2. Accédez à l'utilisateur que vous venez de créer, puis cliquez sur Attribuer un rôle.

Configurer des flux pour ingérer les journaux Chrome Enterprise Premium

1. Accédez à Paramètres du SIEM > Flux.
2. Cliquez sur Ajouter.
3. Saisissez un nom unique dans le champ Nom du champ.
4. Sélectionnez API tierce comme type de source.
5. Dans la liste Type de journal, sélectionnez Appareils Cloud Identity GCP ou Utilisateurs d'appareils Cloud Identity GCP.
6. Cliquez sur Suivant.

7. Dans l'onglet Input parameters (Paramètres d'entrée), spécifiez les informations suivantes:

   • Point de terminaison OAuth JWT Saisissez https://oauth2.googleapis.com/token.
   • Émetteur des revendications JWT Spécifiez <insert_service_account@project.iam.gserviceaccount.com>. Il s'agit du compte de service que vous avez créé dans la section Activer l'API Cloud Identity et créer un compte de service.
   • Sujet des revendications JWT. Saisissez l'adresse e-mail de l'utilisateur que vous avez créé dans la section Créer un utilisateur pour l'usurpation d'identité.
   • Audience des revendications JWT Saisissez https://oauth2.googleapis.com/token.
   • Clé privée RSA Saisissez la clé JSON créée lorsque vous avez créé un compte de service pour authentifier l'API.
   • Version de l'API Facultatif. Vous pouvez laisser ce champ vide.

8. Cliquez sur Suivant.

9. Dans l'onglet Finaliser, vérifiez les valeurs que vous avez saisies, puis cliquez sur Envoyer.