Vincula Google SecOps a los servicios de Google Cloud

Google SecOps depende de los servicios de Google Cloud para ciertas capacidades, como la autenticación. En este documento, se describe cómo configurar una instancia de Google SecOps para vincularse a estos servicios de Google Cloud. Proporciona información para los usuarios que configuran una instancia nueva de Google SecOps y aquellos que migran una instancia existente de Google SecOps.

Antes de comenzar

Antes de configurar una instancia de Google SecOps con servicios de Google Cloud, debes hacer lo siguiente:

Completa una de las siguientes secciones según si eres un cliente nuevo o existente.

Si deseas vincular una instancia de Google Security Operations creada para un proveedor de servicios de seguridad administrados (MSSP), comunícate con tu Ingeniero de Atención al cliente de Google SecOps para obtener ayuda. La configuración requiere la asistencia de un representante de Google Security Operations.

Migra una instancia existente de Google SecOps

En el siguiente procedimiento, se describe cómo conectar una instancia existente de Google SecOps con un proyecto de Google Cloud y configurar el SSO con los servicios de IAM de federación de identidades de personal.

  1. Accede a Google SecOps.

  2. En la barra de navegación, selecciona Configuración > Configuración de SIEM.

  3. Haz clic en Google Cloud Platform.

  4. Ingresa el ID del proyecto de Google Cloud para vincularlo a la instancia de Google SecOps.

  5. Haz clic en Generar vínculo.

  6. Haz clic en Conectar a Google Cloud Platform. Se abrirá la consola de Google Cloud. Si ingresaste un ID de proyecto de Google Cloud incorrecto en la aplicación de Google SecOps, regresa a la página Google Cloud Platform en Google SecOps y, luego, ingresa el ID del proyecto correcto.

  7. En la consola de Google Cloud, ve a Seguridad > Google SecOps.

  8. Verifica la cuenta de servicio que se creó para el proyecto de Google Cloud.

  9. En Configurar el inicio de sesión único, selecciona una de las siguientes opciones según el proveedor de identidad que uses para administrar el acceso de usuarios y grupos a Google SecOps:

    • Si usas Cloud Identity o Google Workspace, selecciona Google Cloud Identity.

    • Si usas un proveedor de identidad de terceros, selecciona Federación de identidades de personal y, luego, selecciona el proveedor de personal que deseas usar. Debes establecer esto cuando configures la federación de identidades de personal.

  10. Si seleccionaste Federación de identidades de personal, haz clic con el botón derecho en el vínculo Probar la configuración de SSO y, luego, ábrelo en una ventana privada o de incógnito.

Después de completar estos pasos para vincular el proyecto de Google Cloud a Google SecOps, puedes examinar los datos del proyecto de Google Cloud en Google SecOps, lo que te permitirá supervisar de cerca tu proyecto en busca de cualquier tipo de compromiso de seguridad.

Configura una nueva instancia de Google SecOps

En el siguiente procedimiento, se describe cómo configurar una nueva instancia de Google SecOps por primera vez después de configurar el proyecto de Google Cloud y los servicios de federación de identidades de personal de IAM para vincularlos a Google SecOps.

Si eres un cliente nuevo de Google SecOps, completa los siguientes pasos:

  1. Crea un proyecto de Google Cloud y habilita la API de Google SecOps. Si deseas obtener más información, consulta Configura un proyecto de Google Cloud para Google SecOps.

  2. Proporciona a tu Ingeniero de Atención al cliente de Google SecOps el ID del proyecto que planeas vincular a la instancia de Google SecOps. Después de que el Ingeniero de Atención al cliente de Google SecOps inicie el proceso, recibirás un correo electrónico de confirmación.

  3. Abre la consola de Google Cloud y, luego, selecciona el proyecto de Google Cloud que proporcionaste en el paso anterior.

  4. Ve a Seguridad > Google SecOps.

  5. Si no habilitaste la API de Google SecOps, verás el botón Getting Started. Haz clic en el botón Comenzar y completa los pasos guiados para habilitar la API de Google SecOps.

  6. En la sección Company Information, ingresa la información de tu empresa y, luego, haz clic en Next.

  7. Revisa la información de la cuenta de servicio y, luego, haz clic en Siguiente. Google SecOps crea una cuenta de servicio en el proyecto y establece los roles y permisos necesarios.

  8. Selecciona una de las siguientes opciones según el proveedor de identidad que uses para administrar el acceso de grupos y usuarios a Google Security Operations:

    • Si usas Cloud Identity o Google Workspace, selecciona la opción Google Cloud Identity.

    • Si usas un proveedor de identidad de terceros, selecciona el proveedor de personal que deseas usar. Debes establecer esto cuando configures la federación de identidades de personal.

  9. En Input your IdP Admin Groups here, ingresa el nombre común de uno o más grupos de IdP que incluyan administradores que configuran el acceso de los usuarios a funciones relacionadas con SOAR. Identificaste y creaste estos grupos cuando definiste los atributos y grupos de usuario en el IdP.

  10. Expande las Condiciones del Servicio. Si las aceptas, haz clic en Iniciar configuración.

    La instancia de Google Security Operations puede tardar hasta 15 minutos en aprovisionarse. Recibirás una notificación cuando la instancia se aprovisione correctamente. Si la configuración falla, comunícate con tu representante de atención al cliente de Google Cloud.

  11. Si seleccionaste Google Cloud Identity, asegúrate de otorgar una función de Google Security Operations a los usuarios y grupos mediante IAM para que los usuarios puedan acceder a Google Security Operations. Realiza este paso con el proyecto de Google Cloud vinculado a Google Security Operations que creaste antes.

    El siguiente comando otorga el rol de visualizador de la API de Chronicle (roles/chronicle.viewer) a un solo usuario a través de gcloud.

    Para usar la consola de Google Cloud, consulta Asigna un solo rol.

    gcloud projects add-iam-policy-binding PROJECT_ID \
--role roles/chronicle.viewer \
--member='EMAIL_ALIAS"

    Reemplaza lo siguiente:

    Para ver ejemplos sobre cómo otorgar roles a otros miembros, como un grupo o dominio, consulta la documentación de referencia sobre gcloud projects add-iam-policy-binding y sobre identificadores principales.

Cambiar la configuración del inicio de sesión único (SSO)

En las siguientes secciones, se describe cómo cambiar los proveedores de identidad:

Cambia el proveedor de identidad de terceros

  1. Configura el nuevo proveedor de identidad de terceros y grupo de identidades de personal.

  2. En Google SecOps, en Configuración > Configuración de SOAR > Avanzado > Asignación de grupos IdP, cambia la asignación de grupos de IdP a grupos de referencia en el nuevo proveedor de identidad.

Completa los siguientes pasos para cambiar la configuración del SSO de Google SecOps:

  1. Abre la consola de Google Cloud y selecciona el proyecto de Google Cloud vinculado a Google SecOps.

  2. Ve a Seguridad > Google SecOps.

  3. En la página Descripción general, haz clic en la pestaña Inicio de sesión único. En esta página, se muestran los proveedores de identidad que configuraste cuando configuraste un proveedor de identidad de terceros para Google SecOps.

  4. Usa el menú Inicio de sesión único para cambiar los proveedores de SSO.

  5. Haz clic con el botón derecho en el vínculo Probar la configuración de SSO y, luego, abre una ventana privada o de incógnito.

  6. Regresa a la consola de Google Cloud, haz clic en la página Seguridad > Google SecOps > Descripción general y, luego, en la pestaña Inicio de sesión único.

  7. Haz clic en Guardar en la parte inferior de la página para actualizar el proveedor nuevo.

  8. Verifica que puedes acceder a Google SecOps.

Migra del proveedor de identidad de terceros a Cloud Identity

Completa los siguientes pasos para cambiar la configuración de SSO de usar un proveedor de identidad de terceros a Google Cloud Identity:

  1. Asegúrate de configurar Cloud Identity o Google Workspace como proveedor de identidad.
  2. Otorga los roles y permisos predefinidos de Chronicle IAM a los usuarios y grupos en el proyecto vinculado a Google SecOps.

  3. En Google SecOps, en Configuración > Configuración de SOAR > Avanzado > Asignación de grupos IdP, cambia la asignación de grupos de IdP a grupos de referencia en el nuevo proveedor de identidad.

  4. Abre la consola de Google Cloud y selecciona el proyecto de Google Cloud vinculado a Google SecOps.

  5. Ve a Seguridad > Chronicle SecOps.

  6. En la página Descripción general, haz clic en la pestaña Inicio de sesión único. En esta página, se muestran los proveedores de identidad que configuraste cuando configuraste un proveedor de identidad de terceros para Google SecOps.

  7. Selecciona la casilla de verificación Google Cloud Identity.

  8. Haz clic con el botón derecho en el vínculo Probar la configuración de SSO y, luego, abre una ventana privada o de incógnito.

    • Si ves una pantalla de acceso, el SSO se configuró correctamente. Continúa con el siguiente paso.
    • Si no ves una pantalla de acceso, verifica la configuración del proveedor de identidad.

  9. Regresa a la consola de Google Cloud y haz clic en Seguridad > Chronicle SecOps > página Descripción general > pestaña Inicio de sesión único.

  10. Haz clic en Guardar en la parte inferior de la página para actualizar el proveedor nuevo.

  11. Verifica que puedes acceder a Google SecOps.