Importare i dati di Chrome Enterprise Premium in Google Security Operations

Questa pagina spiega come collegare la tua organizzazione a Google Security Operations, attivare l'API Identity-Aware Proxy (IAP) e configurare i feed per importare i seguenti dati in Google Security Operations.

• Log di Google Cloud
• Cloud Identity Devices
• Utenti di dispositivi Cloud Identity

Prima di iniziare

Prima di configurare i feed per importare i dati di Chrome Enterprise Premium, completa le seguenti attività:

• Collega la tua organizzazione Google Cloud a Google Security Operations completando le seguenti sezioni:
  1. Attiva l'importazione della telemetria in Google Security Operations.
  2. Abilita l'esportazione dei log di Google Cloud in Google Security Operations.
• Attiva l'API Cloud Identity e crea un account di servizio per autenticare l'API.
• Crea una delega a livello di dominio.
• Crea un utente per la simulazione di identità.

Attiva l'API Cloud Identity e crea un account di servizio

1. Nella console Google Cloud, seleziona il progetto Google Cloud per cui vuoi attivare l'API, quindi vai alla pagina API e servizi:

   Vai ad API e servizi

2. Fai clic su Abilita API e servizi.

3. Cerca "API Cloud Identity".

4. Nei risultati di ricerca, fai clic su API Cloud Identity.

5. Fai clic su Attiva.

6. Crea un account di servizio:

   1. Nella console Google Cloud, seleziona IAM e amministrazione > Account di servizio.
   2. Fai clic su Crea account di servizio.
   3. Nella pagina Crea account di servizio, inserisci un nome per l'account di servizio.
   4. Fai clic su Fine.

7. Seleziona l'account di servizio che hai creato.

8. Copia e salva l'ID visualizzato nel campo ID univoco. Utilizza questo ID quando crei una delega a livello di dominio.

9. Seleziona la scheda Chiavi.

10. Fai clic su Aggiungi chiave > Crea nuova chiave.

11. Seleziona JSON come Tipo di chiave.

12. Fai clic su Crea.

13. Copia e salva la chiave JSON. Utilizza questa chiave quando configuri i feed.

Per ulteriori informazioni, vedi Abilita l'API Cloud Identity e crea un account di servizio per autenticare l'API.

Crea una delega a livello di dominio

Per controllare l'accesso all'API per l'account di servizio utilizzando la delega a livello di dominio, svolgi i seguenti passaggi:

1. Nella home page della Console di amministrazione Google, seleziona Sicurezza > Accesso e controllo dei dati > Controlli API.
2. Seleziona Delega a livello di dominio > Gestisci delega a livello di dominio.
3. Fai clic su Aggiungi nuovo.
4. Inserisci l'ID client dell'account di servizio. L'ID client dell'account di servizio è l'ID univoco ottenuto quando hai creato un account di servizio.
5. In Ambiti OAuth, inserisci https://www.googleapis.com/auth/cloud-identity.devices.readonly.
6. Fai clic su Autorizza.

Per saperne di più, vedi Controllare l'accesso all'API con la delega a livello di dominio

Creare un utente per l'impersonificazione

1. Nella home page della Console di amministrazione Google, seleziona Directory > Utenti.
2. Per aggiungere un nuovo utente:
   1. Fai clic su Aggiungi nuovo utente.
   2. Inserisci un nome per l'utente.
   3. Inserisci l'indirizzo email associato all'utente.
   4. Fai clic su Crea e poi su Fine.
3. Per creare un nuovo ruolo e assegnare un privilegio:
   1. Seleziona il nome utente appena creato.
   2. Fai clic su Ruoli e privilegi di amministratore.
   3. Fai clic su Crea ruolo personalizzato.
   4. Fai clic su Crea nuovo ruolo.
   5. Inserisci un nome per il ruolo.
   6. Seleziona Servizi > Gestione dei dispositivi mobili e poi il privilegio Gestisci dispositivi e impostazioni.
   7. Fai clic su Continua.
4. Per assegnare il ruolo all'utente, segui questi passaggi:
   1. Fai clic su Assegna utenti.
   2. Vai all'utente appena creato e fai clic su Assegna ruolo.

Configurare i feed per importare i log di Chrome Enterprise Premium

1. Vai a Impostazioni SIEM > Feed.
2. Fai clic su Add New (Aggiungi nuovo).
3. Inserisci un nome univoco per il nome del campo.
4. Seleziona API di terze parti come Tipo di origine.
5. Nell'elenco Tipo di log, seleziona Dispositivi Cloud Identity di Google Cloud o Utenti di dispositivi Cloud Identity di Google Cloud.
6. Fai clic su Avanti.

7. Nella scheda Parametri di input, specifica i seguenti dettagli:

   • Endpoint JWT OAuth. Inserisci https://oauth2.googleapis.com/token.
   • Emittente delle attestazioni JWT. Specifica <insert_service_account@project.iam.gserviceaccount.com>. Si tratta dell'account di servizio che hai creato nella sezione Attivare l'API Cloud Identity e creare un account di servizio.
   • Oggetto delle rivendicazioni JWT. Inserisci l'indirizzo email dell'utente che hai creato nella sezione Creare un utente per la simulazione di identità.
   • JWT claims audience. Inserisci https://oauth2.googleapis.com/token.
   • Chiave privata RSA. Inserisci la chiave JSON creata durante la creazione di un account di servizio per autenticare l'API.
   • Versione dell'API. Facoltativo. Puoi lasciare vuoto questo campo.

8. Fai clic su Avanti.

9. Nella scheda Concludi, controlla i valori inseriti e fai clic su Invia.