Raccogliere i dati sensibili al contesto di Chrome Enterprise Premium

Questo documento spiega come collegare la tua organizzazione a Google Security Operations, attivare l'API Identity-Aware Proxy (IAP) e configurare i feed per importare i seguenti dati in Google Security Operations. I feed includono contenuti di Chrome Enterprise Premium specifici per le API di accesso in-app e dati sensibili al contesto.

• Log di Google Cloud
• Cloud Identity Devices
• Utenti di dispositivi Cloud Identity

Prima di iniziare

Prima di configurare i feed per importare i dati di Chrome Enterprise Premium, completa le seguenti attività:

• Collega la tua Google Cloud organizzazione a Google Security Operations completando le seguenti sezioni:
  1. Attiva l'importazione della telemetria in Google Security Operations.
  2. Abilita l'esportazione dei Google Cloud log in Google Security Operations.
• Attiva l'API Cloud Identity e crea un account di servizio per autenticare l'API.
• Crea una delega a livello di dominio.
• Crea un utente per la simulazione di identità.

Attiva l'API Cloud Identity e crea un account di servizio

1. Nella Google Cloud console, seleziona il Google Cloud progetto per il quale vuoi attivare l'API e poi vai alla pagina API e servizi.

   Vai ad API e servizi

2. Fai clic su Abilita API e servizi.

3. Cerca "API Cloud Identity".

4. Nei risultati di ricerca, fai clic su API Cloud Identity.

5. Fai clic su Attiva.

6. Crea un account di servizio:

   1. Nella Google Cloud console, seleziona IAM e amministrazione > Account di servizio.
   2. Fai clic su Crea account di servizio.
   3. Nella pagina Crea account di servizio, inserisci un nome per l'account di servizio.
   4. Fai clic su Fine.

7. Seleziona l'account di servizio che hai creato.

8. Copia e salva l'ID visualizzato nel campo ID univoco. Utilizza questo ID quando crei una delega a livello di dominio.

9. Seleziona la scheda Chiavi.

10. Fai clic su Aggiungi chiave > Crea nuova chiave.

11. Seleziona JSON come Tipo di chiave.

12. Fai clic su Crea.

13. Copia e salva la chiave JSON. Utilizza questa chiave quando configuri i feed.

Per ulteriori informazioni, vedi Abilita l'API Cloud Identity e crea un account di servizio per autenticare l'API.

Crea una delega a livello di dominio

Per controllare l'accesso all'API per l'account di servizio utilizzando la delega a livello di dominio, svolgi i seguenti passaggi:

1. Nella home page della Console di amministrazione Google, seleziona Sicurezza > Accesso e controllo dei dati > Controlli API.
2. Seleziona Delega a livello di dominio > Gestisci delega a livello di dominio.
3. Fai clic su Aggiungi nuovo.
4. Inserisci l'ID client dell'account di servizio. L'ID client dell'account di servizio è l'ID univoco che hai ottenuto quando hai creato un account di servizio.
5. In Ambiti OAuth, inserisci https://www.googleapis.com/auth/cloud-identity.devices.readonly.
6. Fai clic su Autorizza.

Per saperne di più, vedi Controllare l'accesso all'API con la delega a livello di dominio

Creare un utente per l'impersonificazione

1. Nella home page della Console di amministrazione Google, seleziona Directory > Utenti.
2. Per aggiungere un nuovo utente:
   1. Fai clic su Aggiungi nuovo utente.
   2. Inserisci un nome per l'utente.
   3. Inserisci l'indirizzo email associato all'utente.
   4. Fai clic su Crea e poi su Fine.
3. Per creare un nuovo ruolo e assegnare un privilegio:
   1. Seleziona il nome utente appena creato.
   2. Fai clic su Ruoli e privilegi di amministratore.
   3. Fai clic su Crea ruolo personalizzato.
   4. Fai clic su Crea nuovo ruolo.
   5. Inserisci un nome per il ruolo.
   6. Seleziona Servizi > Gestione dei dispositivi mobili e poi il privilegio Gestisci dispositivi e impostazioni.
   7. Fai clic su Continua.
4. Per assegnare il ruolo all'utente, segui questi passaggi:
   1. Fai clic su Assegna utenti.
   2. Vai all'utente appena creato e fai clic su Assegna ruolo.

Configurare i feed

Esistono due diversi punti di contatto per configurare i feed nella piattaforma Google SecOps:

• Impostazioni SIEM > Feed
• Content Hub > Pacchetti di contenuti

Configura i feed da Impostazioni SIEM > Feed

Per configurare un feed:

1. Vai a Impostazioni SIEM > Feed.
2. Fai clic su Aggiungi nuovo feed.
3. Nella pagina successiva, fai clic su Configura un singolo feed.
4. Inserisci un nome univoco per il Nome campo (ad esempio Log di Chrome Enterprise Premium).
5. Seleziona API di terze parti come Tipo di origine.
6. Nell'elenco Tipo di log, seleziona Dispositivi Cloud Identity di Google Cloud o Utenti di dispositivi Cloud Identity di Google Cloud.
7. Fai clic su Avanti.

8. Nella scheda Parametri di input, specifica i seguenti dettagli:

   • Endpoint JWT OAuth. Inserisci https://oauth2.googleapis.com/token.
   • Emittente delle attestazioni JWT. Specifica <insert_service_account@project.iam.gserviceaccount.com>. Si tratta dell'account di servizio che hai creato nella sezione Attivare l'API Cloud Identity e creare un account di servizio.
   • Oggetto delle rivendicazioni JWT. Inserisci l'indirizzo email dell'utente che hai creato nella sezione Creare un utente per la simulazione di identità.
   • JWT claims audience. Inserisci https://oauth2.googleapis.com/token.
   • Chiave privata RSA. Inserisci la chiave JSON creata durante la creazione di un account di servizio per autenticare l'API.
   • Versione dell'API. Facoltativo. Puoi lasciare vuoto questo campo.

9. Fai clic su Avanti.

10. Nella scheda Concludi, controlla i valori inseriti e fai clic su Invia.

Configurare i feed da Content Hub

Specifica i valori per i seguenti campi:

• Endpoint JWT OAuth. Inserisci https://oauth2.googleapis.com/token.
• Emittente delle attestazioni JWT. Specifica <insert_service_account@project.iam.gserviceaccount.com>. Si tratta dell'account di servizio che hai creato nella sezione Attivare l'API Cloud Identity e creare un account di servizio.
• Oggetto delle rivendicazioni JWT. Inserisci l'indirizzo email dell'utente che hai creato nella sezione Creare un utente per la simulazione di identità.
• Claim del pubblico JWT. Inserisci https://oauth2.googleapis.com/token.
• Chiave privata RSA. Inserisci la chiave JSON creata durante la creazione di un account di servizio per autenticare l'API.
• Versione dell'API. Facoltativo. Puoi lasciare vuoto questo campo.

Opzioni avanzate

• Nome feed: un valore precompilato che identifica il feed.
• Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
• Spazio dei nomi dell'asset: spazio dei nomi associato al feed.
• Etichette di importazione: le etichette applicate a tutti gli eventi di questo feed.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.