Coletar registros de dados do Chrome Enterprise Premium

Nesta página, explicamos como conectar sua organização ao Google Security Operations, ativar a API Identity-Aware Proxy (IAP) e configurar feeds para transferir os seguintes dados ao Google Security Operations.

• Google Cloud Logs
• Dispositivos do Cloud Identity
• Usuários de dispositivos do Cloud Identity

Antes de começar

Antes de configurar os feeds para ingerir dados do Chrome Enterprise Premium, conclua as seguintes tarefas:

• Para conectar sua Google Cloud organização ao Google Security Operations, conclua as seguintes seções:
  1. Ative a ingestão de telemetria no Google Security Operations.
  2. Ative a exportação de Google Cloud registros para o Google Security Operations.
• Ative a API Cloud Identity e crie uma conta de serviço para autenticar a API.
• Crie uma delegação em todo o domínio.
• Crie um usuário para a usurpação de identidade.

Ative a API Cloud Identity e crie uma conta de serviço

1. No console do Google Cloud, selecione o projeto do Google Cloud para o qual você quer ativar a API e acesse a página APIs e serviços:

   Acessar APIs e serviços

2. Clique em Ativar APIs e serviços.

3. Pesquise "API Cloud Identity".

4. Nos resultados da pesquisa, clique em API Cloud Identity.

5. Clique em Ativar.

6. Crie uma conta de serviço:

   1. No console do Google Cloud, selecione IAM e administrador > Contas de serviço.
   2. Clique em Criar conta de serviço.
   3. Na página Criar conta de serviço, insira um nome para a conta de serviço.
   4. Clique em Concluído.

7. Selecione a conta de serviço que você criou.

8. Copie e salve o ID que aparece no campo ID exclusivo. Use esse ID ao criar uma delegação em todo o domínio.

9. Selecione a guia Chaves.

10. Clique em Adicionar chave > Criar nova chave.

11. Selecione JSON como o tipo de chave.

12. Clique em Criar.

13. Copie e salve a chave JSON. Use essa chave ao configurar feeds.

Para mais informações, consulte Ativar a API Cloud Identity e criar uma conta de serviço para autenticar a API.

Criar uma delegação em todo o domínio

Para controlar o acesso da API à conta de serviço usando a delegação em todo o domínio, faça o seguinte:

1. Na página inicial do Google Admin Console, selecione Segurança > Controles de acesso e de dados > Controles de API.
2. Selecione Delegação em todo o domínio > Gerenciar a delegação em todo o domínio.
3. Clique em Adicionar novo.
4. Insira o ID do cliente da conta de serviço. O ID do cliente da conta de serviço é o ID exclusivo que você recebeu ao criar uma conta de serviço.
5. Em Escopos do OAuth, insira https://www.googleapis.com/auth/cloud-identity.devices.readonly.
6. Clique em Autorizar.

Saiba mais em Controlar o acesso da API com a delegação em todo o domínio.

Criar um usuário para a representação

1. Na página inicial do Google Admin Console, selecione Diretório > Usuários.
2. Para adicionar um novo usuário, faça o seguinte:
   1. Clique em Adicionar novo usuário.
   2. Insira um nome para o usuário.
   3. Insira o endereço de e-mail associado ao usuário.
   4. Clique em Criar e em Concluído.
3. Para criar uma função e atribuir um privilégio, faça o seguinte:
   1. Selecione o nome de usuário recém-criado.
   2. Clique em Funções e privilégios do administrador.
   3. Clique em Criar função personalizada.
   4. Clique em Criar nova função.
   5. Insira um nome para a função.
   6. Selecione Serviços > Gerenciamento de dispositivos móveis e selecione o privilégio Gerenciar dispositivos e configurações.
   7. Clique em Continuar.
4. Para atribuir a função ao usuário, faça o seguinte:
   1. Clique em Atribuir usuários.
   2. Acesse o usuário recém-criado e clique em Atribuir função.

Configurar feeds para ingerir registros do Chrome Enterprise Premium

1. Acesse Configurações do SIEM > Feeds.
2. Clique em Add New.
3. Insira um nome exclusivo para o Nome do campo.
4. Selecione API de terceiros como o Tipo de origem.
5. Na lista Tipo de registro, selecione Dispositivos do GCP Cloud Identity ou Usuários de dispositivos do GCP Cloud Identity.
6. Clique em Próxima.

7. Na guia Parâmetros de entrada, especifique os seguintes detalhes:

   • Endpoint do JWT do OAuth. Insira https://oauth2.googleapis.com/token.
   • Emissor de declarações do JWT. Especifique <insert_service_account@project.iam.gserviceaccount.com>. Essa é a conta de serviço que você criou na seção Ativar a API Cloud Identity e criar uma conta de serviço.
   • Assunto das declarações do JWT. Insira o e-mail do usuário que você criou na seção Criar um usuário para a usurpação de identidade.
   • Público-alvo de declarações do JWT. Insira https://oauth2.googleapis.com/token.
   • Chave privada RSA. Insira a chave JSON criada quando você criou uma conta de serviço para autenticar a API.
   • Versão da API. Opcional. Você pode deixar este campo em branco.

8. Clique em Próxima.

9. Na guia Finalizar, revise os valores inseridos e clique em Enviar.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.