Google SecOps を Google Cloud サービスにリンクする
Google SecOps は、認証などの特定の機能について Google Cloud サービスに依存しています。このドキュメントでは、これらの Google Cloud サービスにバインドされるように Google SecOps インスタンスを構成する方法について説明します。このドキュメントには、新しい Google SecOps インスタンスを構成するユーザーと、既存の Google SecOps インスタンスを移行するユーザー向けの情報が記載されています。
始める前に
Google Cloud サービスで Google SecOps インスタンスを構成する前に、次の操作を行う必要があります。
Google Cloud プロジェクトを作成し、Chronicle API を有効にします。詳細については、Google SecOps 用に Google Cloud プロジェクトを構成するをご覧ください。
Google SecOps インスタンスの SSO プロバイダを構成します。
Cloud Identity、Google Workspace、またはサードパーティの ID プロバイダを使用できます。サードパーティの ID プロバイダを使用している場合は、Google Security Operations 用にサードパーティ ID プロバイダを構成するの手順を実施します。
Cloud Identity または Google Workspace を使用している場合は、Google Cloud ID プロバイダを構成するをご覧ください。
このドキュメントの手順を実施するための権限を付与されていることを確認してください。オンボーディング プロセスの各フェーズに必要な権限については、必要なロールをご覧ください。
新規のお客様か既存のお客様かに応じて、次のいずれかのセクションに入力します。
マネージド セキュリティ サービス プロバイダ(MSSP)用に作成された Google Security Operations インスタンスをバインドする場合は、Google SecOps カスタマー エンジニアにサポートについてお問い合わせください。この構成を行うには、Google Security Operations 担当者のサポートが必要です。
この手順を完了して Google Cloud プロジェクトを Google SecOps にバインドしたら、Google SecOps で Google Cloud プロジェクト データを調べて、あらゆる種類のセキュリティ侵害についてプロジェクトを詳細にモニタリングできます。
既存の Google SecOps インスタンスを移行する
以降のセクションでは、既存の Google SecOps インスタンスを移行して Google Cloud プロジェクトにバインドし、IAM を使用して機能アクセス制御を管理する方法について説明します。
プロジェクトと Workforce プロバイダにバインドする
次の手順では、既存の Google SecOps インスタンスを Google Cloud プロジェクトと接続し、IAM Workforce Identity 連携サービスを使用して SSO を構成する方法について説明します。
Google SecOps にログインします。
ナビゲーション バーで、[設定] > [SIEM の設定] を選択します。
[Google Cloud Platform] をクリックします。
Google Cloud プロジェクト ID を入力して、プロジェクトを Google SecOps インスタンスにリンクします。
[リンクを生成] をクリックします。
[Google Cloud Platform に接続] をクリックします。 Google Cloud コンソールが開きます。Google SecOps アプリケーションに間違った Google Cloud プロジェクト ID を入力した場合は、Google SecOps の [Google Cloud Platform] ページに戻り、正しいプロジェクト ID を入力します。
Google Cloud コンソールで、[セキュリティ] > [Google SecOps] に移動します。
Google Cloud プロジェクト用に作成されたサービス アカウントを確認します。
[シングル サインオンを構成する] で、Google SecOps へのユーザーとグループのアクセス権の管理に使用する ID プロバイダに基づいて、次のいずれかのオプションを選択します。
Cloud Identity または Google Workspace を使用している場合は、[Google Cloud Identity] を選択します。
サードパーティの ID プロバイダを使用している場合は、[Workforce Identity 連携] を選択し、使用する Workforce プロバイダを選択します。これは、Workforce Identity 連携を構成するときに設定します。
[Workforce Identity 連携] を選択した場合は、[SSO のセットアップのテスト] リンクを右クリックして、プライベート ウィンドウまたはシークレット ウィンドウで開きます。
- ログイン画面が表示されたら、SSO の設定は成功しています。
- ログイン画面が表示されない場合は、サードパーティの ID プロバイダの構成を確認してください。Google SecOps 用にサードパーティ ID プロバイダを構成するをご覧ください。
次のセクション「既存の権限を IAM に移行する」に進みます。
既存の権限を IAM に移行する
既存の Google SecOps インスタンスを移行したら、自動生成されたコマンドを使用して、既存の権限とロールを IAM に移行できます。Google SecOps は、移行前の機能 RBAC アクセス制御構成を使用してこれらのコマンドを作成します。実行すると、Google SecOps の [SIEM 設定] > [ユーザーとグループ] ページで定義されている既存の構成と同等の新しい IAM ポリシーが作成されます。
これらのコマンドを実行すると、前の機能 RBAC アクセス制御機能に戻すことはできません。問題が発生した場合は、テクニカル サポートにお問い合わせください。
- Google Cloud コンソールで、[セキュリティ] > [Google SecOps] > [アクセス管理] タブに移動します。
- [ロール バインディングを移行する] に、自動生成された一連の Google Cloud CLI コマンドが表示されます。
- コマンドが期待どおりの権限を作成していることを確認します。Google SecOps のロールと権限の詳細については、IAM 権限が各機能 RBAC ロールをマッピングする方法をご覧ください。
- Cloud Shell セッションを開始する
- 自動生成されたコマンドをコピーし、gcloud CLI に貼り付けて実行します。
- すべてのコマンドを実行したら、[アクセス権を確認する] をクリックします。成功すると、Google SecOps [アクセス管理] に「アクセスが確認されました」というメッセージが表示されます。それ以外の場合は、「アクセスが拒否されました」というメッセージが表示されます。表示されるまでに 1~2 分かかることがあります。
- 移行を完了するには、[セキュリティ] > [Google SecOps] > [アクセス管理] タブに戻り、[IAM を有効にする] をクリックします。
- Chronicle API 管理者ロールを持つユーザーとして Google SecOps にアクセスできることを確認します。
- Chronicle API 管理者の事前定義ロールを持つユーザーとして Google SecOps にログインします。詳細については、Google Security Operations にログインするをご覧ください。
- [アプリケーション メニュー] > [設定] > [ユーザーとグループ] ページを開きます。「ユーザーとグループを管理するには、Google Cloud コンソールで Identity Access Management(IAM)に移動します」というメッセージが表示されます。ユーザーとグループの管理についての詳細
- 別のロールを持つユーザーとして Google SecOps にログインします。詳細については、Google SecOps にログインするをご覧ください。
- アプリケーションで使用可能な機能が IAM で定義された権限と一致していることを確認します。
新しい Google SecOps インスタンスを構成する
次の手順では、Google Cloud プロジェクトと IAM Workforce Identity 連携サービスを構成して Google SecOps にリンクした後、新しい Google SecOps インスタンスを初めて設定する方法について説明します。
Google SecOps を初めてご利用になる場合は、次の手順を完了します。
Google Cloud プロジェクトを作成し、Google SecOps API を有効にします。詳細については、Google SecOps 用に Google Cloud プロジェクトを構成するをご覧ください。
Google SecOps カスタマー エンジニアに、Google SecOps インスタンスにバインドする予定のプロジェクト ID を提示します。Google SecOps カスタマー エンジニアがプロセスを開始すると、確認メールが届きます。
Google Cloud コンソールを開き、前のステップで指定した Google Cloud プロジェクトを選択します。
[セキュリティ] > [Google SecOps] に移動します。
Google SecOps API を有効にしていない場合は、[開始する] ボタンが表示されます。[開始する] ボタンをクリックし、ガイド付きの手順に沿って Google SecOps API を有効にします。
[会社情報] セクションで会社情報を入力し、[次へ] をクリックします。
サービス アカウントの情報を調べて、[次へ] をクリックします。Google SecOps がプロジェクトにサービス アカウントを作成し、必要なロールと権限を設定します。
Google Security Operations へのユーザーとグループのアクセスを管理するために使用する ID プロバイダに基づいて、次のいずれかのオプションを選択します。
Cloud Identity または Google Workspace を使用している場合は、[Google Cloud Identity] オプションを選択します。
サードパーティの ID プロバイダを使用している場合は、使用する Workforce プロバイダを選択します。これは、Workforce Identity 連携を構成するときに設定します。
[Input your IDP Admin Groups here] で、SOAR 関連機能へのユーザー アクセスを構成する管理者を含む 1 つ以上の IdP グループの共通名を入力します。これらのグループは、IdP でユーザー属性とグループを定義したときに特定して作成しました。
[利用規約] を開きます。利用規約に同意する場合は、[設定を開始] をクリックします。
Google Security Operations インスタンスがプロビジョニングされるまでに最大 15 分を要する場合があります。インスタンスが正常にプロビジョニングされると、通知が届きます。設定が失敗した場合は、Google Cloud のお客様担当にお問い合わせください。
[Google Cloud Identity] を選択した場合は、ユーザーが Google Security Operations にログインできるように、IAM を使用してユーザーとグループに Google Security Operations のロールを付与してください。このステップは、先ほど作成した Google Security Operations にバインドされた Google Cloud プロジェクトを使用して行います。
次のコマンドは、
gcloud
を使用して 1 人のユーザーに Chronicle API 閲覧者(roles/chronicle.viewer
)ロールを付与します。Google Cloud コンソールを使用するには、単一のロールを付与するをご覧ください
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member='EMAIL_ALIAS"
次のように置き換えます。
PROJECT_ID
: Google Security Operations 用に Google Cloud プロジェクトを構成するで構成した Google Security Operations にバインドされたプロジェクトのプロジェクト ID。プロジェクトを識別するフィールドの説明については、プロジェクトの作成と管理をご覧ください。EMAIL_ALIAS
: 個別のユーザーのメールアドレス(例:user:alice@example.com
)。
グループやドメインなどの他のメンバーにロールを付与する方法の例については、gcloud projects add-iam-policy-binding とプリンシパル ID のリファレンス ドキュメントをご覧ください。
シングル サインオン(SSO)構成を変更する
以降のセクションでは、ID プロバイダを変更する方法について説明します。
サードパーティの ID プロバイダを変更する
新しいサードパーティ ID プロバイダと Workforce Identity プールを設定します。
Google SecOps で [設定] > [SOAR 設定] > [詳細] > [IDP グループ マッピング] の順に選択し、IdP グループ マッピングを新しい ID プロバイダの参照グループに変更します。
Google SecOps の SSO 構成を変更するには、次の手順を行います。
Google Cloud コンソールを開き、Google SecOps にバインドされている Google Cloud プロジェクトを選択します。
[セキュリティ] > [Google SecOps] に移動します。
[概要] ページで、[シングル サインオン] タブをクリックします。このページには、Google SecOps 用にサードパーティ ID プロバイダを構成するときに構成した ID プロバイダが表示されます。
[シングル サインオン] メニューを使用して SSO プロバイダを変更します。
[SSO の設定をテスト] リンクを右クリックし、プライベート ウィンドウまたはシークレット ウィンドウを開きます。
- ログイン画面が表示されたら、SSO の設定は成功しています。次のステップに進みます。
- ログイン画面が表示されない場合は、サードパーティの ID プロバイダの構成を確認してください。Google SecOps 用にサードパーティ ID プロバイダを構成するをご覧ください。
Google Cloud コンソールに戻り、[セキュリティ] > [Google SecOps] > [概要] ページをクリックして、[シングル サインオン] タブをクリックします。
ページ下部の [保存] をクリックして、新しいプロバイダに更新します。
Google SecOps にログインできることを確認します。
サードパーティの ID プロバイダから Cloud Identity に移行する
次の手順で、SSO の構成をサードパーティの ID プロバイダを使用する状態から Google Cloud Identity を使用するように変更します。
- Cloud Identity または Google Workspace を ID プロバイダとして構成してください。
- Google SecOps にバインドされたプロジェクトのユーザーとグループに、事前定義された Chronicle IAM のロールと権限を付与します。
Google SecOps で [設定] > [SOAR 設定] > [詳細] > [IDP グループ マッピング] の順に選択し、IdP グループ マッピングを新しい ID プロバイダの参照グループに変更します。
Google Cloud コンソールを開き、Google SecOps にバインドされている Google Cloud プロジェクトを選択します。
[セキュリティ] > [Chronicle SecOps] に移動します。
[概要] ページで、[シングル サインオン] タブをクリックします。このページには、Google SecOps 用にサードパーティ ID プロバイダを構成するときに構成した ID プロバイダが表示されます。
[Google Cloud Identity] チェックボックスをオンにします。
[SSO の設定をテスト] リンクを右クリックし、プライベート ウィンドウまたはシークレット ウィンドウを開きます。
- ログイン画面が表示されたら、SSO の設定は成功しています。次のステップに進みます。
- ログイン画面が表示されない場合は、ID プロバイダの構成を確認してください。
Google Cloud コンソールに戻り、[セキュリティ] >Chronicle SecOps > [概要] ページ > [シングル サインオン] タブの順にクリックします。
ページ下部の [保存] をクリックして、新しいプロバイダに更新します。
Google SecOps にログインできることを確認します。