将 Google SecOps 关联到 Google Cloud 服务

Google SecOps 依赖于 Google Cloud 服务来实现某些功能（例如身份验证）。本文档介绍了如何配置 Google SecOps 实例以绑定到这些 Google Cloud 服务。该文档面向配置新的 Google SecOps 实例的用户和迁移现有 Google SecOps 实例的用户提供信息。

准备工作

在为 Google SecOps 实例配置 Google Cloud服务之前，您必须执行以下操作：

• 创建 Google Cloud 项目并启用 Chronicle API。 如需了解详情，请参阅为 Google SecOps 配置 Google Cloud 项目。

• 为 Google SecOps 实例配置单点登录提供程序。

  您可以使用 Cloud Identity、Google Workspace 或第三方身份提供方。如果您使用第三方身份提供方，请执行为 Google 安全运营配置第三方身份提供方中的步骤。

  如果您使用的是 Cloud Identity 或 Google Workspace，请参阅配置 Google Cloud 身份提供方。

• 确保您有权执行本文档中的步骤。如需了解新手入门流程的每个阶段所需的权限，请参阅所需角色。

根据您是新客户还是现有客户，完成以下某个部分。

如果您想绑定为托管安全服务提供商 (MSSP) 创建的 Google Security Operations 实例，请与您的 Google SecOps 客户工程师联系以寻求帮助。此配置需要 Google Security Operations 代表的帮助。

完成将 Google Cloud 项目绑定到 Google SecOps 的步骤后，您可以在 Google SecOps 中检查 Google Cloud 项目数据，以便密切监控项目是否存在任何类型的安全漏洞。

迁移现有 Google SecOps 实例

以下部分介绍了如何迁移现有的 Google SecOps 实例，使其绑定到 Google Cloud 项目并使用 IAM 管理功能访问控制。

绑定到项目和员工队伍提供方

以下过程介绍了如何将现有 Google SecOps 实例与 Google Cloud 项目相关联，以及如何使用 IAM 员工身份联合服务配置 SSO。

1. 登录 Google SecOps。

2. 在导航栏中，依次选择设置 > SIEM 设置。

3. 点击 Google Cloud Platform。

4. 输入 Google Cloud 项目 ID 以将项目关联到 Google SecOps 实例。

5. 点击生成链接。

6. 点击 Connect to Google Cloud Platform（连接到平台）。系统会打开 Google Cloud 控制台。 如果您在 Google Cloud Google SecOps 应用中输入的项目 ID 不正确，请返回 Google SecOps 中的 Google Cloud Platform 页面，然后输入正确的项目 ID。

7. 在 Google Cloud 控制台中，依次前往安全 > Google SecOps。

8. 验证为 Google Cloud 项目创建的服务账号。

9. 在配置单点登录下，根据您用于管理用户和群组对 Google SecOps 的访问权限的身份提供商，选择以下选项之一：

   • 如果您使用的是 Cloud Identity 或 Google Workspace，请选择 Google Cloud Identity。

   • 如果您使用的是第三方身份提供方，请选择员工身份联合，然后选择要使用的员工身份提供方。您可以在配置员工身份联合时进行设置。

10. 如果您选择了 Workforce Identity Federation，请右键点击 Test SSO setup（测试 SSO 设置）链接，然后在私密窗口或无痕式窗口中打开该链接。

    • 如果您看到登录界面，则表示 SSO 设置成功。
    • 如果您没有看到登录界面，请检查第三方身份提供方的配置。请参阅为 Google SecOps 配置第三方身份提供方。

11. 继续阅读下一部分：将现有权限迁移到 IAM。

将现有权限迁移到 IAM

迁移现有 Google SecOps 实例后，您可以使用自动生成的命令将现有权限和角色迁移到 IAM。Google SecOps 会使用您在迁移前的功能 RBAC 访问权限配置创建这些命令。运行时，它们会创建与您现有配置等效的新 IAM 政策，如 Google SecOps 中的 SIEM 设置 > 用户和群组页面中所定义。

运行这些命令后，您将无法再恢复使用之前的功能 RBAC 访问控制功能。如果您遇到问题，请与技术支持团队联系。

1. 在 Google Cloud 控制台中，依次前往安全 > Google SecOps > 访问权限管理标签页。
2. 在迁移角色绑定下，您会看到一组自动生成的 Google Cloud CLI 命令。
3. 查看并验证这些命令是否创建了预期的权限。 如需了解 Google SecOps 角色和权限，请参阅IAM 权限如何映射到每个功能 RBAC 角色。
4. 启动 Cloud Shell 会话。
5. 复制自动生成的命令，然后将其粘贴到 gcloud CLI 中并运行。
6. 执行完所有命令后，点击验证访问权限。如果成功，您会在 Google SecOps 的访问权限管理界面上看到访问权限已验证消息。否则，您会看到访问权限被拒消息。此过程可能需要 1 到 2 分钟。
7. 如需完成迁移，请返回到安全 > Google SecOps > 访问权限管理标签页，然后点击启用 IAM。
8. 验证您是否可以作为具有 Chronicle API Admin 角色的用户访问 Google SecOps。
   1. 以具有 Chronicle API Admin 预定义角色的用户身份登录 Google SecOps。如需了解详情，请参阅登录 Google Security Operations。
   2. 依次打开应用菜单 > 设置 > 用户和群组页面。 您应该会看到以下消息：如需管理用户和群组，请前往 Google Cloud 控制台中的 Identity Access Management (IAM)。详细了解如何管理用户和群组。
9. 以具有其他角色的用户身份登录 Google SecOps。如需了解详情，请参阅登录 Google SecOps。
10. 验证应用中的可用功能是否与 IAM 中定义的权限相符。

配置新的 Google SecOps 实例

以下过程介绍了在配置项目和 IAM 员工身份联合服务以关联到 Google SecOps 后，如何首次设置新的 Google SecOps 实例。 Google Cloud

如果您是 Google SecOps 的新客户，请完成以下步骤：

1. 创建一个 Google Cloud 项目并启用 Google SecOps API。如需了解详情，请参阅为 Google SecOps 配置 Google Cloud 项目。

2. 向您的 Google SecOps 客户工程师提供您计划绑定到 Google SecOps 实例的项目 ID。Google SecOps 客户工程师发起该流程后，您会收到一封确认电子邮件。

3. 打开 Google Cloud 控制台，然后选择您在上一步中提供的 Google Cloud 项目。

4. 前往安全 > Google SecOps。

5. 如果您尚未启用 Google SecOps API，则会看到开始使用按钮。点击开始使用按钮，然后按照引导步骤启用 Google SecOps API。

6. 在公司信息部分，输入您的公司信息，然后点击下一步。

7. 查看服务账号信息，然后点击下一步。 Google SecOps 会在项目中创建一个服务账号，并设置所需的角色和权限。

8. 根据您用于管理用户和群组对 Google 安全运营的访问权限的身份提供程序，选择以下选项之一：

   • 如果您使用的是 Cloud Identity 或 Google Workspace，请选择 Google Cloud Identity 选项。

   • 如果您使用的是第三方身份提供方，请选择要使用的员工队伍提供方。您可以在配置员工身份联合时进行设置。

9. 在在此处输入您的 IdP 管理员群组下，输入一个或多个 IdP 群组的通用名称，其中包括配置用户对 SOAR 相关功能的访问权限的管理员。您在在身份提供程序中定义用户属性和群组时识别并创建了这些群组。

10. 展开服务条款。如果您同意这些条款，请点击开始设置。

    预配 Google 安全运营实例最长可能需要 15 分钟。实例成功预配后，您会收到通知。 如果设置失败，请与您的 Google Cloud 客户代表联系。

11. 如果您选择了 Google Cloud Identity，请务必使用 IAM 向用户和群组授予 Google Security Operations 角色，以便用户可以登录 Google Security Operations。使用您之前创建的与 Google 安全运营团队相关联的Google Cloud 项目执行此步骤。

    以下命令会向使用 gcloud 的单个用户授予 Chronicle API Viewer (roles/chronicle.viewer) 角色。

    如需使用 Google Cloud 控制台，请参阅授予单个角色。

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --role roles/chronicle.viewer \
    --member='EMAIL_ALIAS"
    

    替换以下内容：

    • PROJECT_ID：填写您在为 Google Security Operations 配置项目 Google Cloud 中配置的与 Google Security Operations 相关联的项目的项目 ID。如需了解用于标识项目的字段，请参阅创建和管理项目。
    • EMAIL_ALIAS：个人用户的电子邮件地址，例如 user:alice@example.com。

    如需查看如何向其他成员（例如群组或网域）授予角色的示例，请参阅 gcloud projects add-iam-policy-binding 和主账号标识符参考文档。

更改单点登录 (SSO) 配置

以下部分介绍了如何更改身份提供程序：

• 更改第三方身份提供商
• 从第三方身份提供方迁移到 Cloud Identity

更改第三方身份提供商

1. 设置新的第三方身份提供方和员工身份池。

2. 在 Google SecOps 中，依次选择设置 > SOAR 设置 > 高级 > IDP 组映射，然后将 IdP 组映射更改为引用新身份提供程序中的组。

如需更改 Google SecOps 的 SSO 配置，请完成以下步骤：

1. 打开 Google Cloud 控制台，然后选择 Google Cloud 已绑定到 Google SecOps 的项目。

2. 前往安全 > Google SecOps。

3. 在概览页面上，点击 Single Sign-On（单点登录）标签页。此页面会显示您在为 Google SecOps 配置第三方身份提供商时配置的身份提供商。

4. 使用单点登录菜单更改 SSO 提供程序。

5. 右键点击 Test SSO setup（测试单点登录设置）链接，然后打开一个无痕式或私密窗口。

   • 如果您看到登录界面，则表示 SSO 设置成功。继续执行下一步。
   • 如果您没有看到登录界面，请检查第三方身份提供方的配置。请参阅为 Google SecOps 配置第三方身份提供方。

6. 返回 Google Cloud 控制台，依次点击 Security > Google SecOps > Overview 页面，然后点击 Single Sign-On 标签页。

7. 点击页面底部的保存，以更新新的提供方。

8. 检查您是否可以登录 Google SecOps。

从第三方身份提供商迁移到 Cloud Identity

请完成以下步骤，将 SSO 配置从使用第三方身份提供方更改为使用 Google Cloud Identity：

1. 请务必将 Cloud Identity 或 Google Workspace 配置为身份提供方。
2. 向 Google SecOps 关联的项目中的用户和群组授予预定义的 Chronicle IAM 角色和权限。

3. 在 Google SecOps 中，依次选择设置 > SOAR 设置 > 高级 > IDP 组映射，然后将 IdP 组映射更改为引用新身份提供程序中的组。

4. 打开 Google Cloud 控制台，然后选择 Google Cloud 已绑定到 Google SecOps 的项目。

5. 前往安全 > Chronicle SecOps。

6. 在概览页面上，点击 Single Sign-On（单点登录）标签页。此页面会显示您在为 Google SecOps 配置第三方身份提供商时配置的身份提供商。

7. 选中 Google Cloud Identity 复选框。

8. 右键点击 Test SSO setup（测试单点登录设置）链接，然后打开一个无痕式窗口或私密窗口。

   • 如果您看到登录界面，则表示 SSO 设置成功。继续执行下一步。
   • 如果您没有看到登录界面，请检查身份提供方的配置。

9. 返回 Google Cloud 控制台，然后依次点击安全 > Chronicle SecOps > 概览页面 > 单点登录标签页。

10. 点击页面底部的保存，以更新新的提供方。

11. 检查您是否可以登录 Google SecOps。

需要更多帮助？向社区成员和 Google SecOps 专业人士寻求解答。